2022/11/2訪問控制身份認證數(shù)字簽名消息認證第3章密碼學基礎密碼算法密鑰管理2022/11/2訪問控制身份認證數(shù)字簽名消息認證第3章密碼學基礎密碼算法密鑰管理2022/11/2密碼算法分類密碼算法基于密鑰保密性基于算法保密性基于保密的內容對稱密碼算法非對稱密碼算法分組密碼算法流密碼算法明文處理方法密碼算法對稱密碼學：DES－》AES非對稱密碼學：RSA－》ECC2022/11/2DES2022/11/2RSA算法概要：Bob選擇保密的素數(shù)p和q，并計算n=pq；Bob通過gcd(e,(p-1)(q-1))=1來選擇e；Bob通過de≡1(mod(p-1)(q-1))來計算d；Bob將n和e設為公開的，p、q、d設為秘密的；Alice將m加密為c≡me(modn)，并將c發(fā)送給Bob；Bob通過計算m≡cd(modn)解密。2022/11/2RSA:例1選擇兩個素數(shù):p=17&q=11計算

n=pq=17×11=187計算?(n)=(p–1)(q-1)=16×10=160選擇e:gcd(e,160)=1;其中e=7計算d:de=1mod160且d<160，則d=23（因為23×7=161=10×160+1）公布公鑰KU={7,187}保存私鑰KR={23,17,11}2022/11/2RSA:例1（續(xù)）如果待加密的消息M=88(注意：88<187)加密：C=887mod187=11解密:M=1123mod187=882022/11/2RSA:例2Bob選擇p=885320693，q=238855417，則可以計算

n=p*q=211463707796206571，設加密系數(shù)為e=9007，將n和e發(fā)送給Alice。假設Alice傳遞的信息是cat。令a=01c=03t=20，則cat=030120=30120。

Alice計算：c≡me≡301209007≡113535859035722866(modn)

她將c傳給Bob。2022/11/2RSA:例2（續(xù)）Bob已知p和q的值，他用擴展歐幾里德算法計算d：

de≡1(mod(p-1)(q-1))，得到

d=116402471153538991

然后Bob計算：

cd≡113535859035722866116402471153538991≡30120(modn)

由此他可以得到最初的信息。2022/11/2AES算法概要：明文Xir輪迭代密文Y子密鑰K0

（a）AES算法框圖Xi-1字節(jié)代替BS行移位SR列混合MCXiKi-1（b）一輪AES結構AES的設計原則：能夠抵御已知攻擊、硬件實現(xiàn)容易且速度快、設計簡單2022/11/2ECCECC:EllipticCurveCryptography1985年，N.Koblitz及V.S.Miller分別提出了橢圓曲線密碼體制（ECC）。已經(jīng)開發(fā)出的橢圓曲線標準的文檔有：IEEEP1363P1363a、ANSIX9.62X9.63、ISO/IEC14888等。近年來，ECC已走向工程實現(xiàn)和實際應用階段。目前，德國、日本、法國、美國、加拿大等許多西方國家的密碼學研究小組和公司已經(jīng)實現(xiàn)了橢圓曲線密碼體制。2022/11/2ECC（續(xù)）為什么要提出ECC？RSA主要問題之一：為了保證必要的安全強度，其密鑰必須很長ECC的優(yōu)勢：在同等安全強度下，ECC所需密鑰比RSA短2022/11/2ECC（續(xù)）橢圓曲線指的是由韋爾斯特拉斯（Weierstrass）方程所確定的平面曲線。其中，系數(shù)（i=1，2，…，6）定義在基域K上（K可以是有理數(shù)域、實數(shù)域、復數(shù)域，還可以是有限域，橢圓曲線密碼體制中用到的橢圓曲線都定義在有限域上）。橢圓曲線并非橢圓2022/11/2ECC（續(xù)）群：對于非空集合G，其上的一個二元運算（.）滿足：封閉性、結合率、單位元和可逆性環(huán)：對于R上的兩個二元運算（+，x）滿足：關于＋是一個交換群（群的條件＋交換率）對于乘法x滿足：封閉性＋結合率＋分配率域：對于F上的兩個運算（+，x）滿足F是一個整環(huán)：交換環(huán)＋乘法逆元＋無零因子乘法逆元存在2022/11/2ECC（續(xù)）2022/11/2ECC（續(xù)）橢圓曲線加法運算規(guī)則：O是加法的單位元，O＝－O；對于橢圓曲線上的任一點P，有P＋O＝P點P的負元是與P具有現(xiàn)同x坐標和相反y坐標的點，即若P＝（x，y），則-P＝（x，-y）；P＋（P)=O若P＝（x1，y），Q＝（x2，z），則P＋Q＝－R。其中R是直線PQ與橢圓曲線的第三個交點。若P和Q的x坐標相同，則為無窮遠點O若Q＝（x，y），則Q＋Q＝2Q＝－S，其中S為橢圓曲線在Q點的切線與橢圓曲線的另一交點。2022/11/2ECC（續(xù)）有限域上橢圓曲線 y2x3+ax+bmodpp是奇素數(shù),且4a3+27b20modp（構成Abel群的條件，證明過程略） y2+xyx3+ax2+bmod2m(Galois域的橢圓曲線）2022/11/2ECC（續(xù)）有限域上橢圓曲線 y2x3+ax+bmodp

（3）加法公式:P=(xp,yp),Q=(xQ,yQ)若xP=xQ且yP=-yQ則P+Q=O否則P+Q=(xR,yR)xR=2-xP-xQyR=(xP-xR)-yP其中=(yQ-yP)/(xQ-xP),如果PQ=(3xP2+a)/（2yP），如果P=Q（1）P+O=P（2）P=(x,y)P＋(x,y)=O其中（x,-y)是P的負元－P(4)重復相加：nP=P+…+P按照上述定義構成了一個橢圓曲線上的Abel群2022/11/2ECC（續(xù)）示例：有限域上橢圓曲線

y2x3+ax+bmodp條件：a=1,b=1,x=9,y=7,p=23y2

=72mod23=3x3+ax+b=(93+9+1)mod23=3y2x3+ax+bmodp2022/11/2ECC示例示例：有限域上橢圓曲線

y2x3+ax+bmodp條件：a=1,b=1,x=9,y=7,p=23問題：求滿足上述方程的所有整數(shù)對（x，y）以及無窮遠點O組成的集合Ep（a，b）＝E23（1，1）？2022/11/2ECC示例（續(xù)）(0,1)(6,4)(12,19)(0,22)(6,19)(13,7)(1,7)(7,11)(13,16)(1,16)(7,12)(17,3)(3,10)(9,7)(17,20)(3,13)(9,16)(18,3)(4,0)(11,3)(18,20)(5,4)(11,20)(19,5)(5,19)(12,4)(19,18)E23（1，1）2022/11/2ECC示例（續(xù)）(0,1)(6,4)(12,19)(0,22)(6,19)(13,7)(1,7)(7,11)(13,16)(1,16)(7,12)(17,3)(3,10)(9,7)(17,20)(3,13)(9,16)(18,3)(4,0)(11,3)(18,20)(5,4)(11,20)(19,5)(5,19)(12,4)(19,18)E23（1，1）1）P＝（0，1），P+O＝（0，1）2）P＝（13，7）

-P=（13，-7）=(13,16)3）P＝（3，10），Q＝（9，7）

P+Q=(17,20)4）P＝（3，10）

2P=(7,12)2022/11/2ECC示例（續(xù)）P＋Q計算過程：x3=2-x1-x2y3=(x1-x3)-y1其中=(y2-y1)/(x2-x1),如果PQ=(3x12+a)/2y1,如果P=Q2022/11/2ECC（續(xù)）有限域上橢圓曲線y2+xyx3+ax2+bmod2m(Galois域的橢圓曲線）（3）加法公式:P=(xP,yP),Q=(xQ,yQ),且P≠-Q,P≠Q則P+Q=(xR,yR)xR=2++xP+xQ+ayR=(xP+xR)+xR+yP其中=(yQ+yP)/(xQ+xP)（1）P+O=P（2）P=(x,y)P＋(x,-y)=O其中（x,-y)是P的負元－P(4)若P=(xP,yP),則R＝2P=(xr,yr)其中：xR=2++ayR=xP2+(+1)xR=xp+yp/xP按照上述定義構成了一個橢圓曲線上的Abel群2022/11/2ECC（續(xù)）橢圓曲線上的離散對數(shù)“難題”對于方程Q=kP,其中P，Q屬于Ep(a,b)。對于給定的k和P，計算Q比較容易，而對于給定的P和Q，計算k比較困難例如：方程y2=(x3+9x+17)mod23所定義的群E23(9,17)。求：P＝（16，5）和Q＝（4，5）的離散對數(shù)k？窮舉計算：P＝（16，5），2P＝(20,20),3P=(14,14)，4P＝（19，20），5P＝13，10）；6P＝（7，3），7P＝（8，7），8P＝（12，17），9P＝（4，5）因此k＝92022/11/2ECC加密/解密實現(xiàn)Alice->BobStep1：Bob選擇Ep(a，b)的元素G，使得G的階n是一個大素數(shù),秘密選擇整數(shù)k.計算P=kG,公開(p，a，b，G，P)，保密k。其中Kb＝kG為Bob公鑰，Kb‘＝k為Bob私鑰Step2：將消息m編碼為x-y形式的點PmStep3：Alice隨機選擇一個正整數(shù)r，對Pm產(chǎn)生密文Cm＝{rG，Pm＋rKb}Step4：Bob解密Cm-Kb’(rG)=Pm+rKb-krG=Pm+r(kG)-rkG=Pm2022/11/2ECC加密/解密實現(xiàn)（續(xù)）Alice->Bob(示例）Step1：Bob選擇E88331(3，45)，G＝(4,11),Bob私鑰Kb‘＝K=3,Bob公布公鑰Kb＝(413,1808)Step2：Pm=(5,1734)

Step3：Alice隨機選擇一個正整數(shù)r=8，對Pm產(chǎn)生密文:Cm＝{rG，Pm＋rKb}={(5415,6321),(6626,3576)}Step4：Bob解密Kb’(rG)=3(5415,6321)=(673,146)Cm-Kb’(rG)=(6626,3576)-(673,146)=(5,1734)2022/11/2序列密碼按位處理消息一般具有一個偽隨機密鑰流發(fā)生器對明文按位進行異或運算(XOR)以隨機的密鑰流來破壞消息的統(tǒng)計特征Ci=MiXORStreamKeyi

2022/11/2序列密碼（續(xù)）同步流密碼原理密鑰流生成器密鑰流生成器加密變換解密變換安全信道公開信道種子密鑰k種子密鑰k密鑰流Ki密鑰流Ki明文m密文c密文c明文m2022/11/2序列密碼（續(xù)）自同步流密碼原理密鑰流生成器密鑰流生成器加密變換解密變換安全信道公開信道種子密鑰k種子密鑰k密鑰流Ki密鑰流Ki明文m密文c密文c明文m2022/11/2序列密碼：RC4RC：“RC”isRon’sCodeorRivestCipher1987年RonRivest為RSA公司所設計的流密碼算法可變密鑰長度的、面向字節(jié)操作的流密碼：8～2048位可變1994年算法才公開在SSL/TLS和IEEE802.11無線網(wǎng)絡中有廣泛應用：WEP協(xié)議2022/11/2序列密碼：RC4（續(xù)）用從1到256個字節(jié)的可變長度密鑰初始化矢量S：0..255，S[0],S[1],…,S[255]S形成了算法的內部狀態(tài)密鑰流字節(jié)K由S中255個元素按照一定方式選出一個元素來生成每生成一個K，S中的元素就被重新置換一次RC4初始化2022/11/2序列密碼：RC4（續(xù)）初始化S初始條件：密鑰種子Key[],密鑰初始化向量S初始化S：S中元素被置為按升序從0到255：S[0]=0,S[1]=1,…,S[255]=255建立一個臨時矢量K如果密鑰種子Key的長度為256字節(jié)，則將Key賦值給K；否則將K的值賦給K的前N個元素（N為密鑰長度），循環(huán)重復用Key的值賦給K剩下的元素,直到K的所有元素都被賦值然后用K產(chǎn)生S的初始置換從S[0]到S[255]，對每個S[i]，根據(jù)由K[i]確定的方案，將S[i]置換為S中的另外一個字節(jié)由于對S的操作僅是交換（即置換），因此S仍然包含所有值為0到255的元素密鑰生成2022/11/2序列密碼：RC4（續(xù)）Input：Key[],N=len(key)Output:S[]/*密鑰流初始值*//*Array“key”containsNbytesofkey*//*Array“S”alwayshasapermutationof0,1,…,255*/ fori=0to255 S[i]=i K[i]=key[i(modN)] nexti j=0 fori=0to255 j=(j+S[i]+K[i])mod256 swap(S[i],S[j]) nexti2022/11/2序列密碼：RC4（續(xù)）密鑰流KeyStramByte的生成是從S[0]到S[255]，對每個S[i]，根據(jù)當前S的值，將S[i]與S中另外一個字節(jié)置換當S[255]完成置換后，操作繼續(xù)重復加密：將KeyStreamByte值與下一個明文字節(jié)異或解密：將KeyStreamByte值與下一個密文字節(jié)異或加密與解密2022/11/2序列密碼：RC4（續(xù)）Input：M,S[]Output:Ci＝j＝0foreachmessagebyteMii=(i+1)mod256j=(j+S[i])mod256swap(S[i],S[j])t=(S[i]+S[j])mod256KeyStreamByte=S[t]Ci=MiXORKeyStreamByteNextC=C1|C2|…|Cn

2022/11/2序列密碼：RC4（續(xù)）對已知的密碼分析很安全有很多攻擊分析，但不是很實際結果非線性絕對不能重復使用密鑰在無線保密協(xié)議（WEP）中使用，但是有潛在的安全問題RC4安全性2022/11/2訪問控制身份認證數(shù)字簽名消息認證第3章密碼學基礎密碼學算法密鑰管理2022/11/2MessageAuthenticationMessageAuthentication：報文鑒別（消息認證，消息鑒別）Message：消息、報文。Authentication：鑒別、認證。認證：消息的接收者對消息進行的驗證真實性：消息確實來自于其真正的發(fā)送者，而非假冒；完整性：消息的內容沒有被篡改。是一個證實收到的消息來自可信的源點且未被篡改的過程。它也可以驗證消息的順序和及時性2022/11/2消息認證概念三元組（K,T,V)密鑰生成算法K標簽算法T驗證算法V攻擊者信宿信源認證編碼器認證譯碼器信道安全信道密鑰源TVK2022/11/2認證函數(shù)鑒別編碼器和鑒別譯碼器可抽象為認證函數(shù)認證函數(shù)產(chǎn)生一個鑒別標識（AuthenticationIdentification）給出合理的認證協(xié)議(AuthenticationProtocol)接收者完成消息的鑒別（Authentication）2022/11/2認證函數(shù)分類認證的函數(shù)分為三類：消息加密函數(shù)(Messageencryption)用完整信息的密文作為對信息的認證。消息認證碼MAC(MessageAuthenticationCode)是對信源消息的一個編碼函數(shù)。散列函數(shù)(HashFunction)是一個公開的函數(shù)，它將任意長的信息映射成一個固定長度的信息。2022/11/2認證函數(shù)：加密函數(shù)MEKEK(M)DMK提供保密提供認證不提供簽名BobAlice對稱加密：保密性與認證2022/11/2認證函數(shù)：加密函數(shù)（續(xù)）公鑰加密：保密性MEKaEKa(M)DMK’a提供保密不提供認證BobAlice2022/11/2認證函數(shù)：加密函數(shù)（續(xù)）公鑰加密：認證與簽名MDK’bEK’b(M)EMKb提供認證BobAlice2022/11/2認證函數(shù)：加密函數(shù)（續(xù)）公鑰加密：保密、認證與簽名MDKaEKa(Dk’b(M))DK’a提供認證提供保密性EK’bDk’b(M)Dk’b(M)EKbMBobAlice2022/11/2認證函數(shù)：加密函數(shù)（續(xù)）公鑰加密：保密、認證與簽名??MEK’bEK’b(Eka(M))EKb提供認證提供保密性DKaEa(M)Eka(M)DK’aMBobAlice2022/11/2認證函數(shù)：消息認證碼消息認證碼：使用一個密鑰生成一個固定大小的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊加載到消息后面，稱MAC（或密碼校驗和）

MAC＝Ck（M）MAC函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學上比加密算法被攻擊的弱點要少2022/11/2認證函數(shù)：消息認證碼（續(xù)）MAC的基本用法：消息認證AliceBobM||KCK(M)CKCM比較提供認證2022/11/2認證函數(shù)：消息認證碼（續(xù)）MAC的基本用法：與明文有關的認證M||K1CK(M)CK2CM比較EK2MDK1MAliceBob提供認證提供保密2022/11/2認證函數(shù)：消息認證碼（續(xù)）MAC的基本用法：與密文有關的認證M||K1CK1(Ek2(M))CCM比較EK2K1提供認證提供保密MMDK2BobAliceEk2(M)2022/11/2認證函數(shù)：Hash函數(shù)HashFunction哈希函數(shù)、摘要函數(shù)輸入：任意長度的消息報文M輸出：一個固定長度的散列碼值H(M)是報文中所有比特的函數(shù)值單向函數(shù)2022/11/2認證函數(shù)：Hash函數(shù)（續(xù)）根據(jù)是否使用密鑰帶秘密密鑰的Hash函數(shù):消息的散列值由只有通信雙方知道的秘密密鑰K來控制。此時，散列值稱作MAC。不帶秘密密鑰的Hash函數(shù)：消息的散列值的產(chǎn)生無需使用密鑰。此時，散列值稱作MDC。Hash函數(shù)需滿足以下條件：輸入x可以為任意長度，輸出為固定長度正向計算容易，反向計算困難抗沖突性(無沖突性）2022/11/2認證函數(shù)：Hash函數(shù)（續(xù)）哈希函數(shù)的基本用法（a）M||H(M)HKHM比較EKMDMBobAlice提供認證提供保密EK(M|H(M))2022/11/2認證函數(shù)：Hash函數(shù)（續(xù)）哈希函數(shù)的基本用法（b）M||KEK(H(M))HHM比較EDBobAlice提供認證K2022/11/2認證函數(shù)：Hash函數(shù)（續(xù)）哈希函數(shù)的基本用法（c）M||K’bDK’b(H(M))HHM比較DEBobAlice提供認證Kb2022/11/2認證函數(shù)：Hash函數(shù)（續(xù)）哈希函數(shù)的基本用法(d)M||KDK’b(H(M))HHM比較EDBobAlice提供認證提供保密KMMDK’bEKbEk(M|DK’b(H(M))2022/11/2認證函數(shù)：Hash函數(shù)（續(xù)）哈希函數(shù)的基本用法（e）M||H(M||S)||HM比較BobAlice提供認證SS||H2022/11/2認證函數(shù)：Hash函數(shù)（續(xù)）哈希函數(shù)的基本用法（f）M||H(M||S)||KHM比較EKMDMBobAlice提供認證提供保密EK(M||H(M||S)SS||H2022/11/2訪問控制身份認證數(shù)字簽名消息認證第3章密碼學基礎密碼學算法密鑰管理2022/11/2數(shù)字簽名數(shù)字簽名：DigitalSignature傳統(tǒng)簽名的基本特點簽名是可信的：能與被簽的文件在物理上不可分割簽名是不可抵賴的：簽名者不能否認自己的簽名簽名不能被偽造：除了合法者外，其他任何人不能偽造其簽名簽名是不可復制的：對一個消息的簽名不能通過復制的方式變?yōu)榱硗庖粋€消息的簽名簽名是不可改變的：經(jīng)簽名的消息不能被篡改容易被驗證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化能與所簽文件“綁定”簽名者不能否認自己的簽名容易被自動驗證簽名不能被偽造2022/11/2數(shù)字簽名（續(xù)）五元組(P,A,K,S,V)P是所有消息組成的有限集A是所有可能的簽名組成的有限集K是所有可能的密鑰組成的有限集S簽名算法D驗證算法2022/11/2數(shù)字簽名（續(xù)）可分為兩類：直接數(shù)字簽名方案（directdigitalsignature）；基于仲裁的數(shù)字簽名方案（arbitrateddigitalsignature）。2022/11/2直接數(shù)字簽名Sa（M）Eb(Sa(M))M，Sa(H(M))Eb(M，Sa(H(M)))MMSH（M）Ek（H）MDk（H）HHH比較Alice(A)Bob(B)直接簽名Alice(A)Bob(B)加密＋簽名Alice(A)Bob(B)Hash＋簽名Alice(A)Bob(B)加密＋簽名＋HashHash＋簽名2022/11/2仲裁數(shù)字簽名Alice(A)Bob(B)Trent(T)M,Eat(IDa,H（M))Ebt(IDa,M,Eat(Ida,H(M)),T))Alice(A)Bob(B)Trent(T)Eab(M),Eat(IDa,Eab(H(M)))Ebt(IDa,Eab(M),Eat(Ida,Eab(H(M),T)Alice(A)Bob(B)Trent(T)Ida，Sa(Ida，Eb（Sa（M）））St（IDa，Eb（Sa（M）），T）對稱密碼＋明文傳送對稱密碼＋密文傳送公鑰密碼＋密文傳送2022/11/2數(shù)字簽名體制普通數(shù)字簽名體制

RSAEIGamal

DSS/DSA不可否認的數(shù)字簽名算法群簽名算法盲簽名算法DSS簽名算法我們在后續(xù)課程中講述2022/11/2數(shù)字簽名體制（續(xù)）盲簽名算法Alice(A)Bob(B)t=mkemodntd=(mke)dmodn2022/11/2訪問控制身份認證數(shù)字簽名消息認證第3章密碼學基礎密碼學算法密鑰管理2022/11/2身份認證身份認證的定義：聲稱者向驗證者出示自己的身份的證明過程證實客戶的真實身份與其所聲稱的身份是否相符的過程身份認證又叫身份鑒別、實體認證、身份識別認證目的：

使別的成員（驗證者）獲得對聲稱者所聲稱的事實的信任。身份認證是獲得系統(tǒng)服務所必須的第一道關卡。2022/11/2身份認證（續(xù)）身份認證可以分為本地和遠程兩類。本地：實體在本地環(huán)境的初始化鑒別（就是說，作為實體個人，和設備物理接觸，不和網(wǎng)絡中的其他設備通信）。遠程：連接遠程設備、實體和環(huán)境的實體鑒別。實體鑒別可以是單向的也可以是雙向的。

單向認證是指通信雙方中只有一方向另一方進行鑒別。雙向認證是指通信雙方相互進行鑒別。2022/11/2身份認證（續(xù)）身份認證系統(tǒng)的組成：認證服務器認證系統(tǒng)用戶端軟件認證設備認證協(xié)議示證者可信第三方驗證者APAPAP攻擊者2022/11/2身份認證協(xié)議常見的協(xié)議PAPCHAPKerberosX.5092022/11/2身份認證依據(jù)主要依據(jù)包括三個方面：Somethingtheuserknow(所知）密碼、口令等Somethingtheuserpossesses（擁有）身份證、護照、密鑰盤等Somethingtheuseris(orHowhebehaves)指紋、筆跡、聲音、虹膜、DNA等2022/11/2身份認證機制認證機制非密碼的鑒別機制基于密碼算法的鑒別采用對稱密碼算法的機制采用公開密碼算法的機制采用密碼校驗函數(shù)的機制零知識證明協(xié)議2022/11/2非密碼身份認證非密碼的鑒別機制口令機制一次性口令機制基于地址的認證機制基于生物特征的認證機制個人令牌認證機制2022/11/2口令機制：明文IDOK？用戶輸入ID拒絕查找與該ID對應的PW身份標識注冊口令ID1PW1ID2PW2ID3PW3........IDnPWn相同？接受拒絕NNYY用戶輸入PW明文形式存放的口令表PW‘PWID明文口令表2022/11/2口令機制：Hash保存IDOK？用戶輸入ID拒絕查找與該ID對應的H(PW)身份標識注冊口令ID1H(PW1)ID2H(PW2)ID3H(PW3)........IDnH(PWn)相同？接受拒絕NNYY用戶輸入PWHash值形式存放的口令表用預定的Hash函數(shù)計算H(PW‘)H(PW)ID基于單向hash函數(shù)的口令表2022/11/2口令機制：加鹽機制IDOK？用戶輸入ID拒絕查找與該ID對應的H(PW)身份標識注冊口令鹽ID1····H(PW1+R1)R1ID2H(PW2+R2)R2ID3H(PW3+R3)R3...........IDnH(PWn+Rn)Rn相同？接受拒絕NNYY用戶輸入PW“加鹽”Hash值形式存放的口令表用預定的Hash函數(shù)計算H(PW‘+R)H(PW+R)IDR加鹽Hash口令表2022/11/2一次性口令認證機制客戶端S/KEY服務器口令計算器1.用戶登錄2.登錄請求3.S/KEY質詢4.輸入私鑰5.私鑰與質詢輸入計算器6.產(chǎn)生本次口令7.傳送口令請依據(jù)上述過程描述，設計該一次性口令協(xié)議2022/11/2基于地址的認證機制基于地址的機制假定聲稱者的可鑒別性是以呼叫的源地址為基礎的。在大多數(shù)的數(shù)據(jù)網(wǎng)絡中，呼叫地址的辨別都是可行的。在不能可靠地辨別地址時，可以用一個呼叫—回應設備來獲得呼叫的源地址。一個驗證者對每一個主體都保持一份合法呼叫地址的文件。這種機制最大的困難是在一個臨時的環(huán)境里維持一個連續(xù)的主機和網(wǎng)絡地址的聯(lián)系。地址的轉換頻繁、呼叫—轉發(fā)或重定向引起了一些主要問題?；诘刂返臋C制自身不能被作為鑒別機制，但可作為其它機制的有用補充。2022/11/2基于生物特征的認證機制生物特征識別技術主要有：

1）指紋識別；

2）聲音識別；

3）手跡識別；

4）視網(wǎng)膜掃描；

5）手形。2022/11/2個人令牌認證機制物理特性用于支持認證“某人擁有某東西”，但通常要與一個口令或PIN結合使用。這種器件應具有存儲功能，通常有鍵盤、顯示器等界面部件，更復雜的能支持一次性口令，甚至可嵌入處理器和自己的網(wǎng)絡通信設備（如智能卡）。這種器件通常還利用其它密碼鑒別方法。2022/11/2訪問控制身份認證數(shù)字簽名消息認證第3章密碼學基礎密碼學算法密鑰管理2022/11/2訪問控制訪問控制：AccessControl依據(jù)一定的授權規(guī)則，對提出的資源訪問加以控制。訪問控制是網(wǎng)絡安全防護技術的主要安全策略之一，它可以通過關鍵資源的限制訪問，達到防止非法用戶使用和合法用戶濫用權限所造成的資源破壞。2022/11/2訪問控制的組成訪問控制三要素主體、客體、安全訪問策略主體訪問控制實施功能訪問控制決策功能客體提交訪問請求提出訪問請求請求決策決策2022/11/2訪問控制模型典型的訪問控制模型自主訪問控制模型強制訪問控制模型基于角色的訪問控制模型基于任務的訪問控制模型2022/11/2強制訪問控制模型強制訪問控制模型主體和客體均被賦予一定的安全級別，主體不能改變自身和客體的安全級別，只有系統(tǒng)管理員才能夠確定主體的權限系統(tǒng)對訪問主體和受控對象實行強制訪問控制依據(jù)主體和客體的安全級別決定是否允許訪問2022/11/2強制訪問控制模型（續(xù)）依據(jù)主體和客體的安全級別，MAC中主體對客體的訪問有四種方式：向下讀（ReadDown，rd）主體安全級別高于客體的安全級別時允許的讀操作向上讀（ReadUp，ru）主體安全級別低于客體的安全級別時允許的讀操作向下寫（WriteDown，wd）主體安全級別高于客體的安全級別時允許的寫操作向上寫（WriteUp，wr）主體安全級別低于客體的安全級別時允許的寫操作2022/11/2強制訪問控制模型（續(xù)）絕密機密未分類主體絕密機密未分類客體禁止讀禁止讀允許讀絕密機密未分類主體絕密機密未分類客體禁止讀允許讀允許讀絕密機密未分類絕密機密未分類禁止寫允許寫禁止寫Lattice模型絕密機密未分類絕密機密未分類允許寫禁止寫允許寫B(tài)ell－LaPadula模型常見的強制訪問控制模型2022/11/2基于角色的訪問控制模型基于角色的訪問控制模型（RBAC）角色操作客體..。用戶1用戶2用戶3角色1角色2客體1客體2客體3權限1權限2權限3權限4屬于屬于屬于2022/11/2基于任務的訪問控制模型基于任務的訪問控制模型從應用的角度來考慮安全問題依據(jù)工作流來劃分訪問控制任務：是工作流中的一個邏輯單元，是一個可區(qū)分的動作基于任務的訪問控制模型：五元組（S，O，P，L，AS）S：主體O：客體P：許可L：生命周期AS：授權步（表示一個原始的授權處理步驟，是指在一個工作流中對處理對象的一次處理過程）2022/11/2訪問控制的實現(xiàn)技術一般實現(xiàn)機制:基于訪問控制屬性-訪問控制表/矩陣基于用戶和資源分級（“安全標簽”）-多級訪問控制常見實現(xiàn)方法:訪問控制表ACLs（AccessControlLists)訪問能力表（Capabilities)訪問控制矩陣授權關系表訪問控制安全標簽2022/11/2訪問控制的實現(xiàn)技術（續(xù)）userAOwnRWOuserBR

OuserCRWOOBJ1OBJ1OwnRWOOBJ2R

OOBJ3RWOUserA訪問控制表訪問能力表2022/11/2訪問控制的實現(xiàn)技術（續(xù)）目標xR、W、OwnR、W、Own目標y目標z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W

目標用戶

訪問控制矩陣2022/11/2訪問控制的實現(xiàn)技術（續(xù)）授權關系表UserAOwnObj1UserARObj1UserAWObj1UserBWObj2UserBRObj22022/11/2訪問控制的實現(xiàn)技術（續(xù)）用戶安全級別用戶1絕密用戶2機密............用戶n未分類客體安全級別客體1絕密客體2機密............客體n未分類訪問控制安全標簽2022/11/2訪問控制身份認證數(shù)字簽名消息認證第3章密碼學基礎密碼學算法密鑰管理2022/11/2密鑰管理密鑰管理：KeyManagement在一種安全策略指導下密鑰的產(chǎn)生、存儲、分配、刪除、歸檔及應用包括：系統(tǒng)初始化、密鑰產(chǎn)生、存儲、備份/恢復、分配、保護、更新、控制、丟失、吊銷和銷毀等。其中密鑰分配和存儲是最大的問題2022/11/2密鑰管理（續(xù)）依據(jù)使用的密碼體制，密鑰管理可分為：對稱密鑰的管理存在困難性（？？？）非對稱密鑰的管理PKIAlice加密機解密機Bob安全信道密鑰源Oscarxyxk如何建立安全信道？2022/11/2密鑰管理（續(xù)）根據(jù)不同的場合，密鑰可分為：初始密鑰用戶專用安全且易更換會話密鑰加密數(shù)據(jù)密鑰加密密鑰加密密鑰主密鑰加密密鑰加密密鑰2022/11/2密鑰管理的主要內容密鑰管理的主要內容密鑰產(chǎn)生密鑰登記密鑰注入密鑰存儲密鑰分配2022/11/2密鑰產(chǎn)生密鑰產(chǎn)生方式：手工/自動不同密鑰的產(chǎn)生方法：主密鑰安全性至關重要，故要保證其完全隨機性、不可重復性和不可預測性?？捎猛队矌拧Ⅶ蛔?，噪聲發(fā)生器等方法產(chǎn)生密鑰加密密鑰數(shù)量大(N(N-1)/2),可由機器自動產(chǎn)生,安全算法、偽隨機數(shù)發(fā)生器等產(chǎn)生會話密鑰可利用密鑰加密密鑰及某種算法(加密算法,單向函數(shù)等)產(chǎn)生。初始密鑰類似于主密鑰或密鑰加密密鑰的方法產(chǎn)生2022/11/2密鑰產(chǎn)生（續(xù)）密鑰產(chǎn)生方式：必須在安全環(huán)境中產(chǎn)生密鑰以防止對密鑰的非授權訪問。密鑰生產(chǎn)形式現(xiàn)有兩種一種是由中心(或分中心)集中生產(chǎn)，也稱有邊界生產(chǎn)；另一種是由個人分散生產(chǎn)，也稱無邊界生產(chǎn)。兩種方法各有優(yōu)缺點2022/11/2密鑰產(chǎn)生（續(xù)）密鑰產(chǎn)生技術：硬件技術偽隨機序列物理隨機序列準隨機序列物理噪聲源基于力學噪聲源的密鑰產(chǎn)生基于電子學噪聲源的密鑰產(chǎn)生基于混沌理論的密鑰產(chǎn)生2022/11/2密鑰產(chǎn)生（續(xù)）線性同余算法基于密碼算法的隨機數(shù)生成器

循環(huán)加密；DES的輸出反饋（OFB）模式；ANSIX9.17密鑰生成器。

BBS(Blum-Blum-Shub)生成器。2022/11/2密鑰產(chǎn)生：線性同余算法有四個參數(shù)模數(shù)m(m>0)；乘數(shù)a(0≤a<m)；增量c(0≤c<m)；種子X0(0≤X0<m)；由迭代公式得到隨機數(shù)數(shù)列{Xn}。線性同余算法產(chǎn)生密鑰2022/11/2密鑰產(chǎn)生：循環(huán)加密循環(huán)加密方式生成偽隨機數(shù)

周期為N的計數(shù)器CC+1加密算法主密鑰KmXt=Ekm[c+1]2022/11/2密鑰產(chǎn)生（續(xù)）

DES的輸出反饋（OFB）模式

可以用系統(tǒng)中斷向量、系統(tǒng)狀態(tài)寄存器和系統(tǒng)計數(shù)器生成DES密鑰；用系統(tǒng)時鐘、系統(tǒng)ID號、日期、時間生成初始化向量；用外部生成的64位數(shù)據(jù)作為明文輸入（V0），如系統(tǒng)管理員鍵入的8個字符。這樣，最后的輸出就是生成的密鑰（隨機數(shù)）。

2022/11/2密鑰產(chǎn)生（續(xù)）密鑰產(chǎn)生技術：X9.17加密加密加密2022/11/2密鑰產(chǎn)生（續(xù)）BBS(Blum-Blum-Shub)生成器

已經(jīng)被證明的密碼強度最高的偽隨機數(shù)生成器。