【正文】 ，同樣的明文映射為同樣的密文。 公鑰密碼的優(yōu)點： 盡管通信雙方不認識，但只要提供密鑰的認證中心 （ Certificate Agency， CA）可靠，就可以進行安全通信，這正是 Web商務(wù)所要求的。 通常把公鑰密碼與私鑰密碼技術(shù)結(jié)合起來。 另外，公鑰密碼技術(shù)也用來對私有密鑰進行加密。 19 20 數(shù)字簽名 鑒別 密鑰分配 因特網(wǎng)使用的安全協(xié)議 鏈路加密與端到端加密 防火墻 兩類密碼體制 數(shù)字簽名 數(shù)字簽名是使用某人的私鑰加密特定消息摘要散列值而得到的結(jié)果，通過這種方法把人同特定的消息聯(lián)系起來，類似于手書簽名。而數(shù)字簽名是 0和 1的數(shù)字串，因消息而異。 現(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法。 21 一種是對整體消息的簽名，即經(jīng)過密碼變換后被簽名的整體消息； 另一種是對壓縮消息的簽名，即附加在被簽名消息之后或某一特定位置上的一段簽名圖樣。一個明文可有多個合法的數(shù)字簽名。 對 M的簽名可簡記為 Sig(M)＝ S， 對 S的驗證簡記為 Ver（ S）＝ {真，偽 }＝ {0， 1}。 1994年 12月 1日，它被正式采用為美國聯(lián)邦信息處理標(biāo)準(zhǔn)。 體制的安全性在于，從 M和其簽名 S難以推出 K或偽造一個M′，使 M′和 S可被證實為真。 ? g＝ h(p1)/q mod q，其中 1＜ h＜ p1且 g＞ 1的整數(shù)。 ? 簽名過程： 0＜ k＜ q，且為隨機產(chǎn)生的整數(shù)。 ? 驗證過程： ? w＝ s1mod q ? u1＝ (H(m)xw)modq ? u2＝ (rw)modq ? v＝ ((g u1xy u2)mod p)mod q ? 若 v＝ r，則對 m的簽名有效 。 基本算法 DSA算法的安全性也依賴于有限域上的離散對數(shù)問題，安全強度和速度均低于 RSA算法，其優(yōu)點 不涉及專利 問題。 ? 使用加密就可達到報文鑒別的目的。應(yīng)當(dāng)使接收者能用很簡單的方法鑒別報文的真?zhèn)巍? 鑒別與授權(quán)不同 ? 鑒別與 授權(quán) (authorization)是不同的概念。 29 報文鑒別 實體鑒別 報文鑒別 許多報文并不需要加密但卻需要數(shù)字簽名，以便讓報文的接收者能夠 鑒別報文的真?zhèn)?。 當(dāng)我們傳送不需要加密的報文時，應(yīng)當(dāng)使接收者能用很簡單的方法鑒別報文的真?zhèn)?。然后然后用自己的私鑰對 H 進行 D 運算，即進行數(shù)字簽名。 ? B 收到報文后首先把已簽名的 D(H) 和報文 X 分離。 31 ? 用 A的公鑰對 D(H) 進行 E運算，得出報文摘要 H 。如一樣，就能以極高的概率斷定收到的報文是 A 產(chǎn)生的。 報文摘要的優(yōu)點 僅對短得多的定長報文摘要 H 進行數(shù)字簽名要比對整個長報文進行數(shù)字簽名要簡單得多，所耗費的計算資源也小得多。也就是說，報文 X 和已簽名的報文摘要 D(H) 合在一起是 不可偽造的 ，是 可檢驗的 和 不可否認的 。這種散列函數(shù)也叫做 密碼編碼的檢驗和 。 報文摘要算法是精心選擇的一種 單向函數(shù) 。 若想找到任意兩個報文，使得它們具有相同的報文摘要，那么實際上也是不可能的。 36 實體鑒別和報文鑒別不同 最簡單的實體鑒別過程 ? A 發(fā)送給 B 的報文的被加密，使用的是 對稱密鑰 KAB。 A B A, 口令 KAB 37 鑒別方法明顯的漏洞 入侵者 C 可以從網(wǎng)絡(luò)上截獲 A 發(fā)給 B 的報文。然后 B 就向偽裝是 A 的 C 發(fā)送應(yīng)發(fā)給 A 的報文。 C 甚至還可以截獲 A 的 IP 地址，然后把 A 的 IP 地址冒充為自己的 IP 地址（ 這叫做 IP 欺騙 ），使 B 更加容易受騙。不重數(shù)就是一個不重復(fù)使用的大隨機數(shù)。 A和 B對不同的會話必須使用不同的不重數(shù)。 40 ? C冒充是 A,發(fā)送報文給 B,說 :“ 我是 A” 。 ? C用自己的私鑰 SKC 冒充是 A的私鑰 ,對 RB加密 ,并發(fā)送給 B。 C把自己的公鑰 PKA冒充是 A的公鑰發(fā)送給 B。于是 B相信通信的對方是 A,接著就向 A發(fā)送許多敏感數(shù)據(jù) ,但都被 C截獲了。此報文被“ 中間人 ” C 截獲， C 把此報文原封不動地轉(zhuǎn)發(fā)給 B。 ? 中間人 C 用自己的私鑰 SKC 對 RB 加密后發(fā)回給 B，使 B 誤以為是 A 發(fā)來的。 B 向 A 索取其公鑰，此報文被 C截獲后轉(zhuǎn)發(fā)給 A。 ? B 用收到的公鑰 PKC（以為是 A 的）對數(shù)據(jù)加密發(fā)送給 A。 A 收到數(shù)據(jù)后，用自己的私鑰 SKA 解密，以為和 B進行了保密通信。但 A 和 B 卻都不知道。每個用戶只保存自己的秘密密鑰和 KDC的公開密鑰 PKAS。 ? 密鑰管理包括： 密鑰的產(chǎn)生、分配、注入、驗證和使用。 ? 密鑰分配是密鑰管理中最大的問題。 44 方 法 1. A 向 KDC（秘鑰分配中心）請求一個會話密鑰以保護與 B的邏輯連接，消息中有 A和 B的標(biāo)識及唯一的標(biāo)識 N1，稱為 臨時交互號 。所以只有 A能夠得到正確的消息，消息中有兩項內(nèi)容給 A。 （ 2）原始請求消息，包括臨時交互號，以使 A能夠得到正確的消息，并可知它來自于 KDC。 （ 2） A的標(biāo)識符 IDa。 45 3. A存下會話密鑰備用，將消息的后兩項給 B。 （ 2） A的標(biāo)識符 IDa。 5. B發(fā)送一個臨時交互 N2的密文給 A。 56步保證 B 原來收到的報文不是 一個重放 。 在對大的信息進行加密時，對稱密鑰密碼比非對稱密鑰密碼更為有效。 48 如果我們要 A和 B在雙向通信中用兩個密鑰，那總共要用N(N 1)個密鑰； 如果允許在兩個方向上用一個密鑰，那就只需要 N(N 1)/2個密鑰。因為 N個實體需要密鑰的數(shù)量是 N2，通常這就被稱為 N2問題。 如果 A和 B要通信，他們就要有一個交換密鑰的方法。為了減少密鑰的數(shù)量，每人要與KDC建立一個共享密鑰， 49 如果 A要和一百萬人通信，她怎樣才能和一百萬人交換一百萬把密鑰呢？ 運用因特網(wǎng)肯定不是一種安全的方法。 KDC為每個成員創(chuàng)建一個密鑰，這個密鑰只能用于成員和 KDC之間，不能在成員之間使用。 50 用戶 A向密鑰分配中心 KDC發(fā)送 A， B，表明想和用戶 B通信，其中 A和 B是在 KDC中注冊的身份。這個應(yīng)答報文用 A的主密鑰 加密。由于這個票據(jù)是用 B的主密鑰 加密的，因此 A無法知道此票據(jù)的內(nèi)容（因為 A沒有 B的主密鑰 ）。 A和 B就可以使用會話密鑰 進行這次通信了 。有幾種系統(tǒng)，包括 Windows 2023都使用Kerberos。 ? 驗證服務(wù)器 (AS)： 每個用戶用 AS注冊，并被授予一個用戶身份和一個口令。 AS確認用戶，發(fā)行在 A 和 TGS之間使用的會話密鑰，并把 TGS的票據(jù)發(fā)送出去。這樣 A雖然只用 AS對 A自己的 ID驗證一次，但為了獲得不同的真實服務(wù)器票據(jù)， A可以多次聯(lián)系 TGS。 Kerberos是為客戶 服務(wù)器程序設(shè)計的，如FTP，一個用戶使用客戶程序就能訪問服務(wù)器程序。 AS把一個用 A的永久對稱密鑰 KAAS加密的信息發(fā)送出去。 A 不知道 KAAS，但收到信息后，鍵入了她的對稱口令。然后，立即銷毀口令，這個口令既不發(fā)送到網(wǎng)絡(luò)也不在終端停留，只在創(chuàng)建 KAAS的那一刻使用。 信息包含兩項 A現(xiàn)在給 TGS發(fā)送三項內(nèi)容。時間戳可以避免重放。 A 的票據(jù)用 KATGS加密； B 的票據(jù)用 B的密鑰 KTGSB加密。即入侵者使的速度足夠快，在時間戳作廢之前發(fā)送了第三步的信息，也收到了相同的兩個票據(jù)， A還是不能解密。 B通過在時間戳上加 1來證實他已經(jīng)接收了。 55 ? ? ? ? 對稱密鑰的分配 公鑰的分配 56 密鑰分配 公鑰的分配 在非對稱密鑰加密中，人們并不需要知道對稱共享密鑰。如果 B要發(fā)送一個信息給 B，他只要知道 A的公鑰，這個公鑰也是公開的人人可用的。 需要有一個值得信賴的機構(gòu) —— 即認證中心 CA ，來將公鑰與其對應(yīng)的實體（人或機器）進行 綁定 (binding)。每個實體都有 CA 發(fā)來的證書 (certificate)，里面有公鑰及其擁有者的標(biāo)識信息。任何用戶都可從可信的地方獲得認證中心 CA 的公鑰，此公鑰用來驗證某個公鑰是否為某個實體所擁有。 57 58 數(shù)字簽名 鑒別 密鑰分配 因特網(wǎng)使用的安全協(xié)議 鏈路加密與端到端加密 防火墻 兩類密碼體制 因特網(wǎng)使用的安全協(xié)議 “ Inter 協(xié)議安全性 (IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的 安全服務(wù) 以確保在 Inter 協(xié)議 (IP) 網(wǎng)絡(luò)上進行保密而安全的通訊。 IPSec定義了在 網(wǎng)際層 使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重放攻擊。 ? 封裝安全有效載荷 ESP (Encapsulation Security Payload)： ESP 比 AH 復(fù)雜得多，它鑒別源點、檢查數(shù)據(jù)完整性和提供保密。 IPsec支持 IPv4和 IPv6 在 IPⅤ6 中， AH和 ESP都是擴展首部的一部分 安全關(guān)聯(lián) SA(Security Association) 使用 IP 協(xié)議的 IP數(shù)據(jù)報稱為 IPsec數(shù)據(jù)報，它可以在兩個主機之間、兩個路由器之間或在一個主機和一個路由器之間發(fā)送。 IPsec 就把傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。如要 進行雙向 的安全通信 ,則需要建立兩個方向的安全關(guān)聯(lián)。它由一個三元組唯一地確定，包括： (1) 安全協(xié)議（使用 AH 或 ESP）的標(biāo)識符 (2) 此單向連接的源 IP 地址 (3) 一個 32 位的連接標(biāo)識符，稱為 安全參數(shù)索引 對于一個給定的安全關(guān)聯(lián) SA，每一個 IPsec 數(shù)據(jù)報都有一個存放 SPI 的字段。 63 2. 鑒別首部協(xié)議 AH ? 在使用鑒別首部協(xié)議 AH 時，把 AH 首部插在原數(shù)據(jù)報數(shù)據(jù)部分的前面，同時把 IP 首部中的協(xié)議 字段置為 51。當(dāng)數(shù)據(jù)報到達終點時，目的主機才處理 AH 字段，以鑒別源點和檢查數(shù)據(jù)報的完整性。標(biāo)志緊接著本首部的下一個首部的類型（如 TCP 或 UDP）。 (3) 安全參數(shù)索引 SPI