【文档说明】计算机网络安全04课件.ppt，共(89)页，1.706 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-76947.html

以下为本文档部分文字说明：

2022/12/1计算机网络安全041/89计算机网络安全(4)认证协议与散列函数杨寿保中国科技大学计算机系syang@ustc.edu.cn202.38.64.11/~syang3601540二○○六年三月2022/12/1计算

机网络安全042/89认证(鉴别)的需求Disclosure泄露Trafficanalysis通信量分析Masquerade伪装Contentmodification内容篡改Sequencemodification序号篡改Ti

mingmodification计时篡改Sourcerepudiation信源抵赖Destinationrepudiation信宿抵赖2022/12/1计算机网络安全043/89报文鉴别MessageAuthenticationMessageauthenticationi

sconcernedwith:protectingtheintegrityofamessagevalidatingidentityoforiginatornon-repudiationoforigin(disputeresol

ution)WillconsiderthesecurityrequirementsThenthreealternativefunctionsused:messageencryptionmessageauthenticationcode(MAC)

hashfunction2022/12/1计算机网络安全044/89鉴别函数报文加密MessageencryptionbyitselfalsoprovidesameasureofauthenticationIfs

ymmetricencryptionisusedthen:receiverknowsendermusthavecreateditsinceonlysenderandreceiverhavekeyusedknowcontentcannotofbeenalteredifmessagehass

uitablestructure,redundancyorachecksumtodetectanychanges2022/12/1计算机网络安全045/89Ifpublic-keyencryptionisused:encryption

providesnoconfidenceofsendersinceanyonepotentiallyknowspublic-keyhoweverifsendersignsmessageusingtheirprivate-keythenencryptswithrecipientspu

blickeyhavebothsecrecyandauthenticationagainneedtorecognizecorruptedmessagesbutatcostoftwopublic-keyusesonmes

sage2022/12/1计算机网络安全046/892022/12/1计算机网络安全047/892022/12/1计算机网络安全048/892022/12/1计算机网络安全049/892022/12/1计算机网络安全0410/89报文鉴别码MACMessa

geAuthenticationCodes使用密钥产生短小的定长数据分组，即所谓的密码检验MAC，将它附加在报文中。通信双方A和B共享密钥K，报文从A发往B，A计算MAC=CK(M),附在报文后发给B。B对接收到的报文重新计算MAC

，并接收到的MAC比较。如果只有收发双方知道密钥且两个MAC匹配，则：接收方可以确信报文未被更改；接收方可以确信报文来自声称的发送者；接收方可以确信报文序号正确，如果有的话。报文鉴别不提供保密MAC函数类似加密，但非数字签

名，也无需可逆将MAC直接与明文并置，然后加密传输比较常用2022/12/1计算机网络安全0411/892022/12/1计算机网络安全0412/89使用报文鉴别码的几种情形相同报文进行多点广播，以明文加对应MAC的形式进行广播，接收者负责鉴别，不正确时发出告警接收方无法对所有收到的报

文进行解密工作，则可以进行有选择地鉴别，对报文作随机检查对明文计算机程序进行鉴别，检查完整性某些应用不关注报文的保密而更重视鉴别报文的真实性，将保密与鉴别分开保密函数与鉴别函数的分离能提供结构上的灵活性，如在应用层完成鉴别而在较低层加密在超过接收时间后

继续延长保护期限，同时允许处理报文内容MAC不提供数字签名，因为双方共享密钥。2022/12/1计算机网络安全0413/892022/12/1计算机网络安全0414/89散列函数一个散列函数以变长的

报文M作为输入，产生定长的散列码H(M)，作为输出，亦称作报文摘要MessageDigest.散列码是报文所有比特的函数值，具有差错检测能力，报文任意一比特的改变都将引起散列码的改变不同的散列码使用

方式对附加了散列码的报文进行加密使用常规加密方法仅对散列码加密使用公开密钥方法仅对散列码加密，提供数字签名同时提供保密和签名，可以分别使用常规方法加密报文及使用了公开密钥方法加密的散列码其他对避

免加密的方法重视的原因加密过程很慢，硬件开销，初始化的开销，专利问题，出口限制2022/12/1计算机网络安全0415/892022/12/1计算机网络安全0416/892022/12/1计算机网络安全0417/892022/12/1计算机网

络安全0418/89散列函数和信息摘要技术散列函数一个散列函数以变长的报文M作为输入，产生定长的散列码H(M)，作为输出，亦称作报文摘要MessageDigest.散列码是报文所有比特的函数值，具有差错检测能力，报文任意一比特的改变都将引起散列码的改变

。h=H(M)信息摘要的基本原理对任意长度的明文m，经由哈希函数(杂凑函数)h产生固定长度的哈希值h(m)，用来对明文作鉴别(authentication)或数字签名(digitalsignature)。哈希函数值是对明文的一种“指纹”(fing

erprint)或是摘要(digest)。对哈希函数值的数字签名，就是对此明文的数字签名，可以用来提高数字签名的效率。2022/12/1计算机网络安全0419/892022/12/1计算机网络安全0420/892022/12/1计算机网络安全0421/

89使用在数字签名上的哈希函数必须满足：一、对任意长度的明文m，产生固定长度的哈希值h(m)；二、对任意的明文m，哈希函数值h(m)可由硬件或软件容易得到；三、对任意哈希函数值x，要找到一个明文m与之对应，即x=h(m)，在计算上不可行；四、对一个明文m1，要找到另一个

不同的明文m2，使之具有相同的哈希值，即h(m1)=h(m2)，在计算上不可行；五、要找到任意一对不同的明文(m1,m2)，具有相同的哈希值，即h(m1)=h(m2)，在计算上不可行。2022/12/1计算机网络安全0422/89条件一、二是所谓单向性问题(One-way)；条件

三、四是对使用的哈希值的数字签名方法所做的安全保障。否则攻击者可由已知的明文及相关的数字签名任意伪造对其他明文的签名；条件五主要是用于防范所谓的生日攻击法。能满足条件一～四的，称为弱哈希函数(WeakHashFunction)；能同

时满足条件五的，称为强哈希函数(StrongHashFunction)；应用在数字签名上的哈希函数必须是强哈希函数。2022/12/1计算机网络安全0423/89简单哈希函数1978年，Rabin利用DES，使用密文块链方式(CBC,CipherBlockChaining)提出一种简单快速的H

ash函数：2022/12/1计算机网络安全0424/89将明文M分成固定长度64位的明文块(block)m1,m2,…,mn，使用DES的CBC操作方法，对每一明文块陆续加密。令h0=初始值，hi=Emi[hi-1]以及G=hn。这种方法不使用密钥，G就是64位的哈希函数值，不安

全。对哈希函数的攻击法生日似是而非攻击法(BirthdayParadox)：若试图伪造明文M的签名，要求签字人签名M’，为达到目的，到底需要找多少明文才能找到这个对应的M’？2022/12/1计算机网络安全0425/89Rabin提出：若一个函数可能有n个函数值，且已知一个

函数值h(x)，任选k个任意数作为函数输入值，问：k必须多大才能保证至少找到一个输入值y，且h(x)=h(y)的概率大于1/2？对于任意y，满足h(x)=h(y)的概率是1/n，不满足的概率是1-1/n。k

个任意输入没有一个满足h(x)=h(y)的概率是(1-1/n)k，至少有一个满足的概率是1-(1-1/n)k。根据二项式定理，(1-a)k=1-ka+a2–a3+…当a→0时，(1-a)k→1-ka.所以，至少有一个y满足h(x)=

h(y)的概率几乎等于1-(1-ka)=ka，这里，a即为1/n，至少有一个y满足h(x)=h(y)的概率几乎等于k/n。当k>n/2时，这个概率将超过1/2。!2)1(kk!3)2)(1(kkk2022/12/1计算机网络安全0426/89因此，看来64位的Hash函数，有264种组合，攻

击者只要尝试k>n/2，即264/2=263个明文，就有可能获得超过1/2的成功机会。但是，Yuval提出用生日似是而非(BirthdayParadox)对Rabin的方法进行攻击，证明只需要232次

的运算就有可能获得超过1/2的成功机会。生日似是而非的数学背景：到底k要多大，才能在k个人中，至少找到两个人有同一天生日的概率大于1/2？k个人的生日总排列数是365k，k个人有不同生日的总排列数为：N=Pk365=即第一个人可能有365种生日选择，第二个人必须不同于第一个人，所以

有364种选择，依此类推。)!365(!365k2022/12/1计算机网络安全0427/89k个人有不同生日的概率Q(365,k)=(365!/(365-k)!)/365k=365!/(365k(365

-k)!)k个人中至少有两个人有相同生日的概率是P(365,k)=1-Q(365,k)k要多大，才能保证在k个人中，至少有两个人同一天生日的概率大于1/2？计算得P(365,23)=0.5073，即k=23

。当k=100时，P(365,100)=0.999997。可以这样解释，在23个人当中，考虑某一个人的特定生日，在剩下的22个人中能找到相同特定生日的概率是很小的；但是只考虑同一天生，只有=253种不同的组合。

所以只要23个人，找到两人同天生的概率大于1/2。C2232022/12/1计算机网络安全0428/89信息摘要技术的应用利用MD进行双向鉴别，如确认双方是否共享KAB;用于计算数据完整码MIC(MessageIntegrityCode)，计算MD(m|KAB)用于加密：将分组

加密转换成序列加密，有OFB和CFB方式。MD2(RFC1319)基本算法：输入任意长字节流，输出128位信息摘要通过对输入填充，使之成为16字节的倍数；计算输入的校验和(16字节)，并置在输入的最后；以16字

节为单位进行报文摘要处理，前一块的结果作为后一块的输入；最终计算结果MD2的填充校验和的计算最终的步骤MD4(RFC1320)2022/12/1计算机网络安全0429/89MD5(RFC1321)输入为任意长的明文(必要时填充，使长度模512等于448)

，输出为128位的报文摘要。在2128个明文中寻找一对具有相同输出哈希值的明文，为计算上不可行。MD5报文摘要流程明文分成L块，每块512位，每块再分成16份，每份32位子明文块(subblock)

，M[k],k=0,1,2…,152022/12/1计算机网络安全0430/892022/12/1计算机网络安全0431/89共四轮，每轮16步，共64步，每一步都是针对4个32位的寄存器中的数据进行处理。4个32位的寄存器初始值是：A=01234567;B=89ABCDEF;C=

FEDCBA98;D=76543210经过64步处理后，ABCD中的值即为128位摘要。复制A、B、C、D到AA、BB、CC、DD；ABCD中三个寄存器的内容以非线性操作方式处理；结果与32位子明文块M[k]及一个固定数T[i]相加；结果左移S位，再与剩下的第四

个寄存器的值相加；最后的32位结果重新存入A、B、C、D中的一个。每一回合操作，MD5使用不同的逻辑运算，将三个寄存器的内容以非线性方式进行处理。MD5报文摘要流程2022/12/1计算机网络安全0432/892022/12/1计算机网络安全0433/89MD5中使用的逻辑函

数每步骤的操作程序：FF(A,B,C,D,M[k],S,T[i])：ab+((F(B,C,D,)+M[k],S,T[i])<<<S)GG(A,B,C,D,M[k],S,T[i])：ab+((G(

B,C,D,)+M[k],S,T[i])<<<S)HH(A,B,C,D,M[k],S,T[i])：ab+((H(B,C,D,)+M[k],S,T[i])<<<S)II(A,B,C,D,M[k],S,T[i])：ab

+((I(B,C,D,)+M[k],S,T[i])<<<S)回合表示定义1F(x,y,z)(xy)(x-1z)2G(x,y,z)(xz)(yz-1)3H(x,y,z)xyz4I(x,y,

z)y(xz-1)2022/12/1计算机网络安全0434/892022/12/1计算机网络安全0435/89+：模232的加运算常数T[i]的产生依据232*abs(sin(i))，i是弧度，取1~64第四回合最

后一步输出A、B、C、D，分别与AA、BB、CC、DD的值相加，成为处理下一个512位明文块的A、B、C、D的初值。完成最后一个明文块的处理后，A、B、C、D中的值就是最后的哈希值。与MD4相比多一回合每一步都使用不同的常数T[i]比MD4多一种逻辑

运算每一步都有一取代一个寄存器值的操作，加快了雪崩效应。2022/12/1计算机网络安全0436/89概述由美国NIST提出，SHS(SecureHashStandard)，算法为SHA。要求输入小于264位，输出

为160位(5个寄存器，A,B,C,D,E)。将明文分成若干512位的定长块，每一块与当前的信息摘要值结合，产生信息摘要的下一个中间结果，直到处理完毕。共扫描5遍，效率略低于MD5，强度略高。基本算法初值：A=67452

301;B=EFCDAB89;C=98BADCFE;D=10325476;E=C3D2E1F0A、B、C、D、E分别被复制到AA、BB、CC、DD、EE，进行四回合迭代，每回合20步运算，每一步运算对A、B、C、D、E中的三

个寄存器进行非线性操作，然后移位。每回合有一个常数k。安全散列标准SHS2022/12/1计算机网络安全0437/89RoundsKtFt(B,C,D)0<=t<=195A827999(BC)(B-1D)20<=t<

=396ED9EBA1BCD40<=t<=598F1BBCDC(BC)(BD)(CD)60<=t<=79CA62C1D6BCD2022/12/1计算机网络安全0438/892022/12/1计算机网

络安全0439/89SHA-1CompressionFunction2022/12/1计算机网络安全0440/89每一步基本运算：A,B,C,D,E(CLS5(A)+ft(B,C,D)+E+wt+kt),A,CLS30(B),C,D其中

，A,B,C,D,E为寄存器t：步数ft：基本逻辑函数CLSx：左循环移位x位wt：由输入导出的一个32位字kt：常数+：模232的加运算wt=Mt(输入的相应消息字),0<=t<=15wt=wt-3wt-8wt-14wt-16,16<=t<=79SHA的安全性类似M

D5，增加扩展变换，160位输出，能对抗穷举攻击。2022/12/1计算机网络安全0441/892022/12/1计算机网络安全0442/89可供选择的认证方法你知道的事用户必须知道一些“秘密”才能被认证，口令就是你知道的事情。另一个例子是同银行卡一起使用

的个人识别号码（PIN）或者类似标记(tokens)。第三个例子，考虑你打电话查询银行帐户的情形，接听电话的银行职员在告诉你任何信息之前可能会向你询问更多的个人信息，像家庭住址、出生日期、配偶名字等。在这种认证模式中，获知你秘密的任何人就“是你”，另一方面，如果你把你的秘密告诉其

他人，你不会不留下痕迹。考虑以下情形，在你单位发生了滥用计算机的事件，有人用你的用户名和口令注册了。你能证明你是无辜的吗？你能证明你没有泄漏口令吗？2022/12/1计算机网络安全0443/89可供选择的认证方法

你拥有的东西用户必须出示一个物理标记才能被认证。能打开锁的钥匙就是你拥有的东西，这种标记的另一个例子是用于控制进入公司大门的卡片或身份标签。在将来，一旦智能卡的读卡机成为工作站的标准部件，智能卡可能成为口令的替代物。物理标记可能会遗失或被盗。如前所述，任何拥有标记的人将具有与

合法拥有者相同的权利。为了增加安全性，物理标记通常与你知道的事结合起来使用，如银行卡与PIN一起使用，或者它们包含能够识别合法用户的信息，如银行卡上的照片。然而，就是将这些机制结合起来也不能防止骗子获得必要

的信息去假冒合法用户，也不能阻止用户自愿传递这些信息。2022/12/1计算机网络安全0444/89可供选择的认证方法你是谁如果你真的必须准确无误地认证每一个人，你可以使用生物测定技术。除了带有照片的卡片，更复杂的方法使用掌纹、指纹、虹膜图

案或视网膜图案来辨别一个人。在生物测定中，一个存储的图案与实际测量的图案进行比较，但这些图案几乎从来都不能精确匹配。因此，我们必须面对一个新的问题，就是假阳性和假阴性。错误地接受一个用户（假阳性）显然是一个安全问题，而拒绝一个合法用户（假阴性）则会造成尴尬的及低效的工作环境。生

物测定认证系统的设计者必须在这两种错误之间找到合理的平衡，而这种平衡极其依赖于找到这种平衡的应用。还有一个问题，用户在被提取指纹时，他们可能感觉象被当成了罪犯一样，他们可能也不喜欢用一束激光扫描视网膜的做法。2022/12/1计算机网络安全0445/89你做什么人们往往以一种独特的和可重复的

方式做一些机械性的工作。检查手写签名就是来自纸质文档世界的一个例子，在这里伪造并不是那么困难的。为了获得更高的安全性，用户可以在一个特殊的垫子上签名，垫子可以测量出像书写速度和书写力度这样的特征。在一个键盘上，打字速度以及击键之间的间隔被用来认证用户个人。

你在哪里当你注册时，系统可能还要考虑你在哪里，仅当你是从某个特定的终端注册时才允许访问。比如，系统管理员只可以从操作员控制台注册，类似地，作为用户你只允许从你办公室的工作站上注册。这类决定在移动和分布式计算中将会更加频繁。如果在认证过程中必须建立精确的地理位置，系统可以使用全球定位系统（GPS

）的服务。在处理一个请求的注册时确定用户的位置，也有助于解决过后关于用户真实身份的争端。2022/12/1计算机网络安全0446/89单向鉴别使用对称加密方法，即一次一密方法的变形使用公开密钥方法：A向B声称是A，B则向A送一随机数R，

A用其秘密密钥加密送B，B用A的公开密钥验证。使用改进的口令方式双向鉴别对称密钥方式(三次握手)公开密钥方式，A、B双向使用不同的R值时标方式可信中继使用KDC密钥分发中心通过DASS(DistributedAuthenticationSecurityService)群鉴别(Gr

oupAuthentication)基本鉴别方法2022/12/1计算机网络安全0447/89AuthenticationProtocolsUsedtoconvincepartiesofeachothersidentity

andtoexchangesessionkeysMaybeone-wayormutualKeyissuesareconfidentiality–toprotectsessionkeystimeliness–topreventreplayattac

ks2022/12/1计算机网络安全0448/89MutuallyAuthenticationReplayAttacks:whereavalidsignedmessageiscopiedandlaterresent,examplesaresimplerep

layrepetitionthatcanbeloggedrepetitionthatcannotbedetectedbackwardreplaywithoutmodificationReplayattackscountermeasuresincl

udeuseofsequencenumbers(generallyimpractical)timestamps(needssynchronizedclocks)challenge/response(usinguniq

uenonce)2022/12/1计算机网络安全0449/89UsingSymmetricEncryptionAsdiscussedpreviouslycanuseatwo-levelhierarchyofk

eysUsuallywithatrustedKeyDistributionCenter(KDC)eachpartysharesownmasterkeywithKDCKDCgeneratessessionkeysusedforconnectionsbetweenpartiesmasterk

eysusedtodistributethesetothem2022/12/1计算机网络安全0450/89Needham-SchroederProtocolOriginalthird-partykeyd

istributionprotocolforsessionbetweenABmediatedbyKDCProtocoloverviewis:1.A→KDC:IDA||IDB||N12.KDC→A:EKa[Ks

||IDB||N1||EKb[Ks||IDA]]3.A→B:EKb[Ks||IDA]4.B→A:EKs[N2]5.A→B:EKs[f(N2)]2022/12/1计算机网络安全0451/892022/12/1计算机网络安全0452/89Needham-

SchroederProtocolUsedtosecurelydistributeanewsessionkeyforcommunicationsbetweenA&BButisvulnerabletoareplayattackifanoldsessionkeyhasbeencompromis

edthenmessage3canberesentconvincingBthatiscommunicatingwithAModificationstoaddressthisrequire:timestamps(Denning81)usinganextranonce(N

euman93)2022/12/1计算机网络安全0453/89Denning811.A→KDC:IDA||IDB2.KDC→A:EKa[Ks||IDB||T||EKb[Ks||IDA||T]]3.A→B:EKb[Ks||IDA||T]4.B

→A:EKs[N1]5.A→B:EKs[f(N1)]AandBverifytimelinessby|Clock–T|<Δt1+Δt2Δt1:timedifferencebetweenKDCandlocalones,Δt2:networkdelay2022/12/1计算机网

络安全0454/89Neuman931.A→B:IDA||NA2.B→KDC:IDB||NB||EKb[IDA||NA||Tb]3.KDC→A:EKa[IDB||NA||Ks||Tb]||EKb[IDA||Ks||Tb]||

NB4.A→B:EKb[IDA||Ks||Tb]||EKs[NB]在有效时限内，A与B建立新的会话：1.A→B:EKb[IDA||Ks||Tb],N’a2.B→A:N’b,EKs[N’a]3.A→B:EKs[N’b]202

2/12/1计算机网络安全0455/89UsingPublic-KeyEncryptionHavearangeofapproachesbasedontheuseofpublic-keyencryptionNeedtoe

nsurehavingcorrectpublickeysforotherpartiesUsingacentralAuthenticationServer(AS)Variousprotocolsexistusingtimestampsornonces202

2/12/1计算机网络安全0456/89DenningASProtocolDenning81presentedthefollowing:1.A→AS:IDA||IDB2.AS→A:EKRas[IDA||KUa||T]||EKRas[IDB||KUb||T]3.A→B:EKR

as[IDA||KUa||T]||EKRas[IDB||KUb||T]||EKUb[EKRas[Ks||T]]NotesessionkeyischosenbyA,henceASneednotbetrustedtoprotec

titTimestampspreventreplaybutrequiresynchronizedclocks2022/12/1计算机网络安全0457/89One-WayAuthenticationRequiredwhensender&receiverarenotinc

ommunicationsatsametime(e.g.email)HaveheaderinclearsocanbedeliveredbyemailsystemMaywantcontentsofbodyprotected&senderauthenticated2022/12/1计

算机网络安全0458/89UsingSymmetricEncryptionCanrefineuseofKDCbutcan’thavefinalexchangeofnonces,via:1.A→KDC:IDA||IDB||

N12.KDC→A:EKa[Ks||IDB||N1||EKb[Ks||IDA]]3.A→B:EKb[Ks||IDA]||EKs[M]Doesnotprotectagainstreplayscouldrelyontimestampinmessage,thoughemail

delaysmakethisproblematic2022/12/1计算机网络安全0459/89Public-KeyApproachesIfconfidentialityismajorconcern,canuse:A→B:EKUb[Ks]||EKs[M]h

asencryptedsessionkey,encryptedmessageIfauthenticationneededuseadigitalsignaturewithadigitalcertificate:A→B:M||EKRa[H(M)]||EKRas[T||IDA||KUa]withme

ssage,signature,certificate2022/12/1计算机网络安全0460/89AnAuthenticationProtocol-KerberosTrustedkeyserversystemfromMITProvidescentralisedpri

vate-keythird-partyauthenticationinadistributednetworkallowsusersaccesstoservicesdistributedthroughnetworkwithoutn

eedingtotrustallworkstationsratheralltrustacentralauthenticationserverTwoversionsinuse:4&52022/12/1计算机网络安全0461/89KerberosRequirementsFirst

publishedreportidentifieditsrequirementsas:securityreliabilitytransparencyscalabilityImplementedusinganauthen

ticationprotocolbasedonNeedham-Schroeder2022/12/1计算机网络安全0462/89Kerberos的使用模式主体是Client/Server服务器：包括提供识别服务的Kerberos服务器

和提供应用的各类服务器客户机：用户用户和服务器首先都到Kerberos服务器注册，与Kerberos服务器实现秘密共享，识别过程中Kerberos服务器为通信双方建立一个通信密钥。Kerberos第四版本(用DES做加密)方法1：使用中央式的识别服务器(Authenticatio

nServer,AS)，为用户和应用服务器提供识别服务。AS与用户共享口令，与其他服务器共享密钥，在注册时以特别安全的方式分配给各方。2022/12/1计算机网络安全0463/89设有用户C，服务器V，通过AS提供服务

：C→AS：IDC,PC,IDVAS→C：TicketC→V：IDC,Ticket其中，Ticket:EKV[IDC,ADC,IDV]IDC:用户C名IDV:服务器V名ADC:用户C的网络地址KV:服务器V与AS共享的密钥PC:用户C的口令缺点：PC不

能明文传送，否则不安全；Ticket只能用一次，否则易遭重播攻击；为换得不同的通行票，用户口令要反复使用，很不安全。IDc,Pc,IDvTicketIDc,TicketASCV2022/12/1计算机网络安全0464/89方法2：增加通行票产生服务器TGS(Ticket-Grant

ingServer).AS中存储与用户和TGS共享的密钥，专门负责识别用户身份，然后将TGT(Ticket-GrantingTicket)用与TGS共享的密钥加密交给用户。用户据此获得TGS的服务，TGS产生

SGT(Service-GrantingTicket)，用户据此获得其他服务器的服务。(1)C→AS：IDC,IDtgs(2)AS→C：EKC[Tickettgs]对不同的服务器，重复下面的步骤：(3)C→TGS：IDC,IDV,Tickettgs(4)TGS→

C：TicketV对相同的服务器，不同的通信回合，重复：(5)C→V：IDC,TicketV2022/12/1计算机网络安全0465/89TGT→Tickettgs=EKtgs[IDC,ADC,IDtgs,TS1,Lifetime1]SGT→Tickettgs=EK

v[IDC,ADC,TS2,Lifetime2]TS：timestamp；Adc：user’snetworkaddress攻击者可以截获TGT和SGT，在有效的时间内实施重播攻击。解决办法是在提交TGT或SGT的同时必须向服务器

证明其身份仍同前面取得TGT和SGT时的用户相同。2022/12/1计算机网络安全0466/89Kerberos版本4协议①②③④⑤⑥中央识别服务器AS通行票产生服务器TGS用户C服务器V2022/12/1计算机网络安全

0467/89①IDC,IDtgs,TS1②EKC[KC,tgs,IDtgs,TS2,Lifetime1,Tickettgs]Tickettgs=EKtgs[KC,tgs,IDC,ADC,IDtgs,TS2,Lifetime2]③IDV,Tickettgs,Authe

nticatorC(用户身份证明文件)AuthenticatorC=Ekc,tgs[IDC,ADC,TS3]④Ekc,tgs[KC,V,IDV,TS4,TicketV]TicketV=Ekv[KC,V,IDC,ADC,IDV,TS4,Lifetime4]⑤Tic

ketV,AuthenticatorCAuthenticatorC=Ekc,v[IDC,ADC,TS5]⑥Ekc,v[TS5+1]2022/12/1计算机网络安全0468/89Kerberos4OverviewAbasicthird-part

yauthenticationschemeHaveanAuthenticationServer(AS)usersinitiallynegotiatewithAStoidentifyselfASprovidesanon-corr

uptibleauthenticationcredential(ticketgrantingticketTGT)HaveaTicketGrantingserver(TGS)userssubsequentlyrequestaccess

tootherservicesfromTGSonbasisofusersTGT2022/12/1计算机网络安全0469/89Kerberos4Overview2022/12/1计算机网络安全0470/89KerberosRealmsAKer

berosenvironmentconsistsof:aKerberosserveranumberofclients,allregisteredwithserverapplicationservers

,sharingkeyswithserverThisistermedarealmtypicallyasingleadministrativedomainIfhavemultiplerealms,theirKerberosserversmustsharek

eysandtrust2022/12/1计算机网络安全0471/892022/12/1计算机网络安全0472/89Kerberos的安全性问题使用TimeStamp防止palyback攻击；使用口令做密钥，不安全；集中式管理，使用AS和TGS，

容易出危险。Kerberos5的改进增加代理功能，委托授权与有限授权改进安全机制在鉴别符AuthenticatorC中增加子密钥，可用于群通信增加域名，名字的结构分为两部分了PDU描述改为ASN.1，方便变长字段和可选字段的处理2022/12/1计算机网络安全0473/89Kerb

erosVersion5Developedinmid1990’sProvidesimprovementsoverv4addressesenvironmentalshortcomingsencryptionalg,networkprotoco

l,byteorder,ticketlifetime,authenticationforwarding,interrealmauthandtechnicaldeficienciesdoubleencryption,non-stdmodeofuse,sessionk

eys,passwordattacksSpecifiedasInternetstandardRFC15102022/12/1计算机网络安全0474/89X.509AuthenticationServicePartofCCITTX.500direct

oryservicestandardsdistributedserversmaintainingsomeinfodatabaseDefinesframeworkforauthenticationservicesdir

ectorymaystorepublic-keycertificateswithpublickeyofusersignedbycertificationauthorityAlsodefinesauthenticationprotocolsUses

public-keycrypto&digitalsignaturesalgorithmsnotstandardised,butRSArecommended2022/12/1计算机网络安全0475/89X.509CertificatesIssuedbyaCertificationAut

hority(CA),containing:version(1,2,or3)serialnumber(uniquewithinCA)identifyingcertificatesignaturealgorithmidentifierissuerX.500name(CA)period

ofvalidity(from-todates)subjectX.500name(nameofowner)subjectpublic-keyinfo(algorithm,parameters,key)issueruniqueidentifier(v2+)subjectuniquei

dentifier(v2+)extensionfields(v3)signature(ofhashofallfieldsincertificate)NotationCA<<A>>=CA{V,SN,AI,CA,TA,A

,Ap}denotescertificateforAsignedbyCA2022/12/1计算机网络安全0476/89X.509Certificates2022/12/1计算机网络安全0477/89ObtainingaCertificateAn

yuserwithaccesstoCAcangetanycertificatefromitOnlytheCAcanmodifyacertificateBecausecannotbeforged,certificatescanbeplacedinapublicdirectory如果两个CA能够

安全地交换各自的公开密钥，如下的过程可以使A获得B的公开密钥A从目录获得由X1签名的X2的证书，因而获得X2的公开密钥并通过证书中X1的签名加以证实A从目录中得到由X2签名的B的证书，因为A已经拥有X2的公开密钥，因此能验证这个签名并安全获得

B的公开密钥：X1<<X2>>X2<<B>>B使用相反对链可以获得A的公开密钥：X2<<X2>>X1<<A>>2022/12/1计算机网络安全0478/89CertificateRevocationCertificateshaveaperiodofvalidityMayn

eedtorevokebeforeexpiry,e.g.1.user'sprivatekeyiscompromised2.userisnolongercertifiedbythisCA3.CA'scertificateiscompromisedCA’smaintainlistofr

evokedcertificatestheCertificateRevocationList(CRL)UsersshouldcheckcertswithCA’sCRL2022/12/1计算机网络安全047

9/89AuthenticationProceduresX.509includesthreealternativeauthenticationprocedures:One-WayAuthenticationTwo-WayAuth

enticationThree-WayAuthenticationAllusepublic-keysignatures2022/12/1计算机网络安全0480/892022/12/1计算机网络安全0481/89One-WayAuthentic

ation1message(A->B)usedtoestablishtheidentityofAandthatmessageisfromAmessagewasintendedforBintegrity&originalityofmessageMe

ssagemustincludetimestamp,nonce,B'sidentityandissignedbyA2022/12/1计算机网络安全0482/89Two-WayAuthentication2messages(A->B,B->A)whichalsoestablishesinad

dition:theidentityofBandthatreplyisfromBthatreplyisintendedforAintegrity&originalityofreplyReply

includesoriginalnoncefromA,alsotimestampandnoncefromB2022/12/1计算机网络安全0483/89Three-WayAuthentication3messages(A->B,B->A,A->B)whichenab

lesaboveauthenticationwithoutsynchronizedclocksHasreplyfromAbacktoBcontainingsignedcopyofnoncefromBMeansthattimestampsneedn

otbecheckedorreliedupon2022/12/1计算机网络安全0484/89公开密钥的全局管理体制基于X.509证书的PKI概述公钥体制需要一个管理机制，保证公开密钥的可靠性。PKI(PublicKey

Infrastructure)是公开密钥证书的管理体制。除了登记注册、管理、发布公钥证书之外，PKI还要负责撤销过去签发但现已失效的密钥证书，即CRL(X.509证书和证书撤销列表)。PKI本质上是一种公证服务，通过离线的数字证书来证明某

个公开密钥的真实性，并通过CRL来确认某个公开密钥的有效性。PKI的目标是向Internet用户和应用程序提供公开密钥管理服务，使其可靠地使用非对称密钥加密技术。数字证书是PKI的核心数据结构，引入了公认可信的第三方和数字证书，依赖证书上的第三方数字签名，用户可以离线地确认公钥的真实性

。2022/12/1计算机网络安全0485/89X.509证书和证书撤销列表CRLX.509证书是由发布者数字签名的、用于绑定某公开密钥及其持有者身份的数据结构。证书撤销列表是另一种证书有效期控制机制，由发布者数字签名。证书使用者可以依据CRL(CertificateRev

ocationList)验证某证书是否已被撤销。PKI的结构模型PKI是公钥的管理机制，为域结构形态，每个PKI都有一定的覆盖范围，形成一个管理域。这些管理域通过交叉证书相互关联，构成更大的管理域，最终形成全局性公钥管理体系。2022/12/1计算机网络安全0486/8

9PAA(PolicyApprovalAuthority)政策审批机构制订整个体系结构的安全政策并制订所有下级机构都需要遵循的规章制度，主要是证书政策和证书使用规定。CA(CertificateAuthority)证书管理中心负责具体的

证书颁发与管理，象颁发护照的部门，是可信任的第三方。ORA(OrganizationalRegistryAuthority)单位注册机构帮助用户在CA处注册并获得证书。PMA(PolicyManagementAuthority)政策管理机构，对PK

I进行宏观管理。端实体：数字签名和加密的实体2022/12/1计算机网络安全0487/89PKI的操作模型PKI中有两种管理实体：证书管理中心CA和注册中心RACA：能够发布和撤销证书，维护证书的生存周期RA：负责处理用户注册请求，在验证请

求有效性后代用户向CA提交。PKI中有两种端实体：持证者(Holder)和验证者(Verifier)持证者是证书拥有者，是证书所声明事实的主体；验证者通常是授权方，确认证书持有者的证书有效后再授予对方相应权力。不同实体之间通过PKI操作完成证书的请求、确认、发布、撤销、更新、

获取等过程。PKI的操作主要分成两大类：存取操作和管理操作。2022/12/1计算机网络安全0488/892022/12/1计算机网络安全0489/89复习思考题读WilliamStallings的密码编码学与网络安全第二版第8章和第

9章相关内容。1.什么是报文认证码（MAC）？它与报文哈希值的主要区别是什么？2.说明报文认证码的基本用途。3.哈希函数具有哪些性质？4.为什么说哈希函数实际上是不可逆的？5.对称和非对称数据完整性技术的主要区别是什么？6.试叙述Kerberos的工作

过程