密码协议详解课件

现代密码学21世纪高等学校计算机规划教材Modern

Cryptography彭代渊信息科学与技术学院dypeng@2009.9-2010.1作者：何大可彭代渊唐小虎何明星梅其祥出版社：人民邮电出版社1现代密码学21世纪高等学校计算机规划教材ModernCr现代密码学

Modern

Cryptography彭代渊信息科学与技术学院dypeng@2009年12月第7章密码协议2现代密码学

ModernCryptography彭代渊第7章密码协议7.1密码协议概述7.2实体认证协议

7.3密钥认证协议

7.4比特承诺协议

7.5零知识证明与身份识别协议3第7章密码协议7.1密码协议概述37.1密码协议概述协议(Protocol)基本概念两个或两个以上的参与者为完成某项特定任务而采取的一系列步骤。三层含义协议是有序的过程，每一步必须依次执行协议至少需要两个参与者通过执行协议必须能够完成某项任务47.1密码协议概述协议(Protocol)47.1密码协议概述协议(Protocol)特点协议的参与方必须了解协议，明确协议执行的所有步骤协议的参与方都承诺按协议步骤执行协议协议必须清楚、完整，对每种可能的情况必须规定明确、具体的动作基本要求有效性公平性完整性57.1密码协议概述协议(Protocol)57.1密码协议概述密码协议（安全协议）具有安全功能的协议——安全协议安全协议的设计必须采用密码技术——密码协议具体意义：密码协议是建立在密码体制基础上的一种交互通信的协议，它运行在计算机通信网或分布式系统中，借助于密码算法来达到安全功能密码技术：随机数生成、加密/解密算法、Hash运算、数字签名等

安全功能：密钥建立、密钥分配、消息鉴别、身份认证应用系统：电子选举、电子拍卖、公平电子交易等。67.1密码协议概述密码协议（安全协议）密码技术：随机数生7.1密码协议概述密码协议分类—按协议执行的轮数分2轮协议3轮协议，……，n轮协议密码协议分类—按协议功能分身份认证协议密钥分配协议密钥协商协议秘密共享协议不经意传输协议，……77.1密码协议概述密码协议分类—按协议执行的轮数分77.1密码协议概述密码协议分类—按协议应用目标分选举协议拍卖协议支付协议，……密码协议分类—按协议的交互性分交互协议非交互协议密码协议分类—按协议第三方性质分仲裁协议裁决协议自动执行协议87.1密码协议概述密码协议分类—按协议应用目标分8第7章密码协议7.1密码协议概述7.2实体认证协议

7.3密钥认证协议

7.4比特承诺协议

7.5零知识证明与身份识别协议9第7章密码协议7.1密码协议概述97.2实体认证协议认证：一个实体向另一个实体证明某种声称的过程认证协议：主要目标是确认某个主体的真实性，确保信息的安全性认证协议分类消息认证协议：验证消息与其主体的一致性实体认证协议：验证消息发送者所声称的身份密钥认证协议（认证的密钥建立协议）：生成、获得加（解）密密钥107.2实体认证协议认证：一个实体向另一个实体证明某种声称7.2实体认证协议身份认证协议：验证用户知道什么（如口令等）、验证用户拥有什么（如IC卡等）或验证用户具有什么特征（如指纹、掌纹、虹膜、DNA等）身口令认证协议（PAP，PasswordAuthenticationProtocol）：通过验证用户口令来进行身份认证单向口令身份认证协议协议7.1简单口令身份认证协议协议7.2动态口令身份认证协议

协议7.3基于口令的智能卡认证协议

双向口令身份认证协议协议7.4基于Hash函数的双向口令身份认证协议协议7.5基于对称密码的双向认证协议

协议7.6基于非对称密码的双向认证协议

117.2实体认证协议身份认证协议：验证用户知道什么（如口令第7章密码协议7.1密码协议概述7.2实体认证协议

7.3密钥认证协议

7.4比特承诺协议

7.5零知识证明与身份识别协议12第7章密码协议7.1密码协议概述127.3密钥认证协议密钥认证协议：对通信主体A和B及建立的密钥K进行认证

只有A、B（或可信第三方TTP）能够知道KA和B确认对方知道KA和B确认K是最新建立的137.3密钥认证协议密钥认证协议：对通信主体A和B及建立的7.3密钥认证协议KK主密钥KA主密钥KB会话密钥K147.3密钥认证协议KK主密钥KA主密钥KB会话密钥K147.3密钥认证协议基于对称密码技术的密钥认证协议

Needham-Schroeder协议密钥分配中心KDC(keydistributioncenter)安全地分发一个会话密钥Ks给用户A和B。协议步骤157.3密钥认证协议基于对称密码技术的密钥认证协议157.3密钥认证协议基于对称密码技术的密钥认证协议

Needham-Schroeder协议重放攻击假定攻击方C已经掌握A和B之间一个旧的会话密钥，且可以中途阻止第(4)步的执行

167.3密钥认证协议基于对称密码技术的密钥认证协议167.3密钥认证协议基于对称密码技术的密钥认证协议

Denning改进协议：运用时间戳T协议步骤177.3密钥认证协议基于对称密码技术的密钥认证协议177.3密钥认证协议基于对称密码技术的密钥认证协议

Denning改进协议：运用时间戳T协议步骤抑制重放攻击

如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。克服抑制重放攻击的方法强制各方定期检查自己的时钟是否与KDC的时钟同步。采用临时随机数(nonce)技术187.3密钥认证协议基于对称密码技术的密钥认证协议抑制重7.3密钥认证协议基于对称密码技术的密钥认证协议

KEHN改进协议协议步骤该协议可抵抗前两个协议可能遭受的攻击197.3密钥认证协议基于对称密码技术的密钥认证协议该协议7.3密钥认证协议基于非对称密码技术的密钥认证协议

Diffie-Hellman密钥交换协议(DH-KEP)协议步骤公开参数：大素数p,p的本原根a共享密钥：K207.3密钥认证协议基于非对称密码技术的密钥认证协议207.3密钥认证协议基于非对称密码技术的密钥认证协议

Diffie-Hellman密钥交换协议(DH-KEP)协议步骤公开参数：大素数p,p的本原根a共享密钥：K合理性证明安全性基础

攻击者只能得到a,p,YA

,YB，要想求出K,必须先求出XA或XB，这是离散对数问题217.3密钥认证协议基于非对称密码技术的密钥认证协议安全7.3密钥认证协议基于非对称密码技术的密钥认证协议

Diffie-Hellman密钥交换协议(DH-KEP)例子：设p=97，a=5(1)A选择XA=36，计算YA=aXA=536=50mod97，将YA发送给B.(2)B选择XB=58，计算YB=aXB=558=44mod97，将YB发送给B.(3)A计算共享密钥K=(YB)XA=4436=75mod97.(4)B计算共享密钥K=(YA)XB=5058=75mod97.227.3密钥认证协议基于非对称密码技术的密钥认证协议227.3密钥认证协议基于非对称密码技术的密钥认证协议

Diffie-Hellman密钥交换协议(DH-KEP)中间人攻击YAYZYZYB237.3密钥认证协议基于非对称密码技术的密钥认证协议YA7.3密钥认证协议基于非对称密码技术的密钥认证协议

加密的密钥交换协议(EKE)(协议7.11)Kerberos协议(协议7.12)主要目的是解决分布式网络环境下，客户访问网络资源的安全认证问题。实现用户与服务器之间的相互认证；向每个实体证实另一个实体的身份；产生会话密钥，供客户和服务器(或两个客户之间)使用。V5于1994年作为RFC1510公布247.3密钥认证协议基于非对称密码技术的密钥认证协议247.3密钥认证协议基于非对称密码技术的密钥认证协议

Kerberos协议(协议7.12)四个主体：客户C，应用服务器V，认证服务器AS，票证授予服务器TGS。认证服务器与票证授予服务器又统称为密钥分配中心（KDC）。详细步骤见教材257.3密钥认证协议基于非对称密码技术的密钥认证协议257.3密钥认证协议对协议的攻击类型重放攻击(ReplayAttacks)重放攻击是指入侵者捕获以前协议运行或当前协议运行中的消息用于对当前协议运行的攻击已知密钥攻击（Known-keyattack)对手从用户以前用过的密钥确定新的密钥的攻击伪装攻击（Impersonationattack）

对手扮演合法实体进行的攻击字典攻击(Dictionaryattack)主要针对口令的一种按某种顺序进行搜索的攻击267.3密钥认证协议对协议的攻击类型267.3密钥认证协议对协议的攻击类型交错攻击(Interleavingattack)

把前面一次或多次（或者并行）执行协议的信息有选择地组合在一起所实施的攻击。选择挑战攻击（Chosen-textattack）在挑战应答协议中对手巧妙地选择挑战消息，试图得到所需的信息。反射攻击（Reflectionattack）

正在执行的协议中，一方把对方发送过来的消息再发回给对方277.3密钥认证协议对协议的攻击类型27第7章密码协议7.1密码协议概述7.2实体认证协议7.3密钥认证协议

7.4比特承诺协议

7.5零知识证明与身份识别协议28第7章密码协议7.1密码协议概述287.4比特承诺协议股票预测大师问题股票预测大师经常在讲座中给股民推荐股票，可股民按照大师推荐买股票却常常赚不了钱，然而预测大师却生意红火。为什么？因为预测大师没有对股民给出一个明确的承诺，尤其在股民选择股票买进时间和卖出时间上。往往在股民亏本后与预测大师论理时，预测大师总可以用偷换预测的前提和条件（时间）来“说服”股民相信大师预测的正确性297.4比特承诺协议股票预测大师问题297.4比特承诺协议安全比特承诺协议的直观描述

A把比特b放入一个箱子，用一把只有用A自己的钥匙才能开启的锁锁上这个箱子，然后把这个箱子交给B；当时机成熟时，A把比特b和打开箱子的钥匙交给B，B通过打开箱子可以验证比特b的内容没有改动，因为箱子在B的控制之下。307.4比特承诺协议安全比特承诺协议的直观描述307.4比特承诺协议7.1(比特承诺)给定随机数r和待提交的整数b，关于整数b的比特承诺就是一个有效算法F使得满足如下条件：从F(r,b)计算出b的难度相当于攻破某计算困难性问题的难度；比特承诺F(r,b)的提交者A在以后把比特承诺F(r,b)以不同的方式打开成为F(r,b)的概率是可以忽略的，即提交者不能把比特承诺打开成为不同的方式；在多项式时间内，无法区分对于两个不同数b和b的F(r,b)和F(r,b)。317.4比特承诺协议7.1(比特承诺)给定随机数r和7.4比特承诺协议比特承诺的两个安全性要求：屏蔽性（Concealing）：A可用一个概率多项式时间算法F(r,b)将二进位b屏蔽起来，只有A本人才能打开。即二进位b一旦被屏蔽起来便不能被对方B预测。约束性(Binding)：A根据二进位b及其屏蔽算法，可从屏蔽体中用概率多项式时间算法打开屏蔽，显露出惟一的二进位b,并让B进行验证。即二进位b一旦被屏蔽起来便不能再被屏蔽者修改。327.4比特承诺协议比特承诺的两个安全性要求：327.4比特承诺协议例：由Goldwasser-Micali公钥概率加密系统构造一种比特承诺协议令n=pq,p，q是长度相同的大素数，选择模n非二次剩余m。（1）A随机选择rZn*,b{0,1},计算y=F(r,b)=mbr2modn.

并发送给B。（2）其后A通过揭示b,r来打开y。B只需验证y=mbr2modn.

只要求解模n二次剩余问题是困难的，则从y=F(r,b)计算出b也是困难的。即由y不能泄露b的任何信息，所以该方案具有屏蔽性。该方案具有约束性。337.4比特承诺协议例：由Goldwasser-Mical7.4比特承诺协议抛币落井协议（Flippingcoinsintowell）设想有一口清澈见底的深水井，A站在水井的旁边，而B远离这口水井，A将硬币抛进水井里去，硬币停留在水井中，现在A能够看到水井里的结果，但A不能到水井里去改变硬币的状态（如正反面情况）。当A将硬币抛进水井时，B不能看见水井里的硬币，只有当B猜完硬币的状态后，A才让B走近井边，看到井底的硬币。这个协议满足上面的两条性质。因此称这样的比特承诺协议为抛币落井协议（Flippingcoinsintowell）。347.4比特承诺协议抛币落井协议（Flippingcoi7.4比特承诺协议采用单向函数的抛币协议

设A和B使用一个安全Hash函数F。(1)A选择一个随机数r，并计算y=F(r)；(2)A将y发送给B；(3)B猜测r是偶数（b=0）或奇数(b=1)，并将猜测结果发送给A；(4)如果B的猜测正确，抛币结果为正面；如果B的猜测错误，则抛币的结果为反面。A公布此次抛币的结果，并将r发送给B；(5)B确信。357.4比特承诺协议采用单向函数的抛币协议357.4比特承诺协议采用单向函数的抛币协议抛币协议的安全性取决于F的安全性抛币协议，具有如下的性质：A必须在B猜测之前抛币；在听到B猜测之后A不能再抛币；B猜测之前不能知道硬币是怎么落地的。367.4比特承诺协议采用单向函数的抛币协议36第7章密码协议7.1密码协议概述7.2实体认证协议7.3密钥认证协议7.4比特承诺协议

7.5零知识证明与身份识别协议37第7章密码协议7.1密码协议概述377.5零知识证明与身份识别协议7.5.1零知识证明例子P要向V证明“P拥有某个房间的钥匙”，有两个方法：(1)P把钥匙出示给V，V用这把钥匙打开该房间的锁(2)V确定该房间内有某一物体，P用自己拥有的钥匙打开该房间的门，然后把物体拿出来出示给V方法(2)属于零知识证明零知识证明的基本思想设P是示证者，V是验证者。P需要向V证明他知道某个秘密信息，但示证者P在向验证者V证明他知道某个秘密信息时不泄露秘密的任何信息。

387.5零知识证明与身份识别协议7.5.1零知识证明387.5零知识证明与身份识别协议Jean-Jacques等打开洞穴之门的故事C、D之间有一道秘密之门，要打开这道门，需要知道开门的咒语。对任何不知道咒语的人，两边的通道都是死胡同。今有一示证者P，知道开门的咒语，他不想让其他任何人知道这个咒语，但是又想让V相信他确实能通过这道门这个事实。即：示证者P向验证者V证明他知道开门的咒语，而在这个过程中P不向验证者V泄漏咒语的任何信息。397.5零知识证明与身份识别协议Jean-Jacques等7.5零知识证明与身份识别协议零知识证明概念假设P，V是两个概率图灵机，P有无限的计算能力，V的计算能力是多项式的，若一个交互式证明满足以下三点，就称此证明为一个零知识交互式证明。(1)完备性(Completeness)：如果P的声明是真的，则V以绝对优势的概率接受P的结论；(2)有效性(Soundness)：如果P的声明是假的，则V以绝对优势的概率拒绝P的结论；(3)零知识性(Zero-knowledge)：无论V采取任何手段，当P的声明是真的，P不违背协议时，V除了接受P的结论以外，得不到其他额外的信息。407.5零知识证明与身份识别协议零知识证明概念407.5零知识证明与身份识别协议基于离散对数的零知识证明协议P欲向V证明他知道满足x=modp的x，即知道离散对数x=log，其中p是一个大素数，x是与p互素的随机数。,和p是公开的，x是保密的。P在不泄露x的信息的情况下向V证明他知道x的过程如下：(1)P选择随机数r(0<r<p1)，计算h=rmodp，将h发送给V；(2)V随机选择一整数或b=0或b=1，发送给P。(3)P计算s=(r+bx)mod(p1)，并发送给V；(4)V验证s=hbmodp；(5)重复步骤(1)~(4)t次。P欺骗成功的概率为2t。417.5零知识证明与身份识别协议基于离散对数的零知识证明协7.5零知识证明与身份识别协议7.5.2身份识别协议用零知识证明设计身份识别协议示证者P在证明自己身份时不泄露任何信息，验证者V得不到示证者的任何私有信息，但又能有效证明对方身份的协议。一个好的身份识别协议应具有以下性质。(1)完备性（Completeness）：在P与V都诚实的情况下，P一定可以让V识别自己，接受P的身份；(2)有效性（Soundness）：如果P的身份是假的，则V以绝对优势的概率拒绝接受P的身份；(3)不可传递性（Non-transferability）：验证者V不能重新使用识别过程中使用过的消息，向第三者证明自己是P，即证据不可传递。427.5零知识证明与身份识别协议7.5.2身份识别协议47.5零知识证明与身份识别协议Fiat-Shamir识别方案(Fiat,Shamir,1986)1.参数选取选定一个随机模n=pq,p,q是不同的大素数.产生随机数s，且使s2=vmodn.n和v是公开的，p,q,s作为示证者P的秘密。2.一次证明过程(1)P取随机数r(<n)，计算x=r2modn,将x发送给验证者V;(2)V将一随机比特b发送给P；(3)若b=0,则P将r发送给V；若b=1，则P将y=rs发送给V；(4)若b=0,则V证实x=r2modn,从而证明P知道s;若b=1，则V证实xv=y2modn,从而证明P知道s。3．P和V重复执行t次过程2，直到V相信P知道s为止。437.5零知识证明与身份识别协议Fiat-Shamir识别7.5零知识证明与身份识别协议Fiat-Shamir识别方案(Fiat,Shamir,1986)Fiat-Shamir协议性质完备性：如果P和V遵守协议，且P知道s，则应答rs应是模m下xv的平方根，V接收P的证明，所以协议是完备的。有效性：P不知道s，他也可取r，发送给V，V发送b给P。P可将r送出，当b=0时则V可通过检验而受骗，当b=1时，则V可发现P不知s，B受骗概率为1/2，但连续t次受骗的概率将仅为2t。V无法知道P的秘密447.5零知识证明与身份识别协议Fiat-Shamir识别7.5零知识证明与身份识别协议Feige-Fiat-Shamir身份识别协议(自学）Schnorr身份识别协议(自学）457.5零知识证明与身份识别协议Feige-Fiat-Sh第6章习题

PP.176-177,1-1146第6章习题PP.176-177,1-1146现代密码学21世纪高等学校计算机规划教材Modern

Cryptography彭代渊信息科学与技术学院dypeng@2009.9-2010.1作者：何大可彭代渊唐小虎何明星梅其祥出版社：人民邮电出版社47现代密码学21世纪高等学校计算机规划教材ModernCr现代密码学

Modern

Cryptography彭代渊信息科学与技术学院dypeng@2009年12月第7章密码协议48现代密码学

ModernCryptography彭代渊第7章密码协议7.1密码协议概述7.2实体认证协议

7.3密钥认证协议

7.4比特承诺协议

7.5零知识证明与身份识别协议49第7章密码协议7.1密码协议概述37.1密码协议概述协议(Protocol)基本概念两个或两个以上的参与者为完成某项特定任务而采取的一系列步骤。三层含义协议是有序的过程，每一步必须依次执行协议至少需要两个参与者通过执行协议必须能够完成某项任务507.1密码协议概述协议(Protocol)47.1密码协议概述协议(Protocol)特点协议的参与方必须了解协议，明确协议执行的所有步骤协议的参与方都承诺按协议步骤执行协议协议必须清楚、完整，对每种可能的情况必须规定明确、具体的动作基本要求有效性公平性完整性517.1密码协议概述协议(Protocol)57.1密码协议概述密码协议（安全协议）具有安全功能的协议——安全协议安全协议的设计必须采用密码技术——密码协议具体意义：密码协议是建立在密码体制基础上的一种交互通信的协议，它运行在计算机通信网或分布式系统中，借助于密码算法来达到安全功能密码技术：随机数生成、加密/解密算法、Hash运算、数字签名等

安全功能：密钥建立、密钥分配、消息鉴别、身份认证应用系统：电子选举、电子拍卖、公平电子交易等。527.1密码协议概述密码协议（安全协议）密码技术：随机数生7.1密码协议概述密码协议分类—按协议执行的轮数分2轮协议3轮协议，……，n轮协议密码协议分类—按协议功能分身份认证协议密钥分配协议密钥协商协议秘密共享协议不经意传输协议，……537.1密码协议概述密码协议分类—按协议执行的轮数分77.1密码协议概述密码协议分类—按协议应用目标分选举协议拍卖协议支付协议，……密码协议分类—按协议的交互性分交互协议非交互协议密码协议分类—按协议第三方性质分仲裁协议裁决协议自动执行协议547.1密码协议概述密码协议分类—按协议应用目标分8第7章密码协议7.1密码协议概述7.2实体认证协议

7.3密钥认证协议

7.4比特承诺协议

7.5零知识证明与身份识别协议55第7章密码协议7.1密码协议概述97.2实体认证协议认证：一个实体向另一个实体证明某种声称的过程认证协议：主要目标是确认某个主体的真实性，确保信息的安全性认证协议分类消息认证协议：验证消息与其主体的一致性实体认证协议：验证消息发送者所声称的身份密钥认证协议（认证的密钥建立协议）：生成、获得加（解）密密钥567.2实体认证协议认证：一个实体向另一个实体证明某种声称7.2实体认证协议身份认证协议：验证用户知道什么（如口令等）、验证用户拥有什么（如IC卡等）或验证用户具有什么特征（如指纹、掌纹、虹膜、DNA等）身口令认证协议（PAP，PasswordAuthenticationProtocol）：通过验证用户口令来进行身份认证单向口令身份认证协议协议7.1简单口令身份认证协议协议7.2动态口令身份认证协议

协议7.3基于口令的智能卡认证协议

双向口令身份认证协议协议7.4基于Hash函数的双向口令身份认证协议协议7.5基于对称密码的双向认证协议

协议7.6基于非对称密码的双向认证协议

577.2实体认证协议身份认证协议：验证用户知道什么（如口令第7章密码协议7.1密码协议概述7.2实体认证协议

7.3密钥认证协议

7.4比特承诺协议

7.5零知识证明与身份识别协议58第7章密码协议7.1密码协议概述127.3密钥认证协议密钥认证协议：对通信主体A和B及建立的密钥K进行认证

只有A、B（或可信第三方TTP）能够知道KA和B确认对方知道KA和B确认K是最新建立的597.3密钥认证协议密钥认证协议：对通信主体A和B及建立的7.3密钥认证协议KK主密钥KA主密钥KB会话密钥K607.3密钥认证协议KK主密钥KA主密钥KB会话密钥K147.3密钥认证协议基于对称密码技术的密钥认证协议

Needham-Schroeder协议密钥分配中心KDC(keydistributioncenter)安全地分发一个会话密钥Ks给用户A和B。协议步骤617.3密钥认证协议基于对称密码技术的密钥认证协议157.3密钥认证协议基于对称密码技术的密钥认证协议

Needham-Schroeder协议重放攻击假定攻击方C已经掌握A和B之间一个旧的会话密钥，且可以中途阻止第(4)步的执行

627.3密钥认证协议基于对称密码技术的密钥认证协议167.3密钥认证协议基于对称密码技术的密钥认证协议

Denning改进协议：运用时间戳T协议步骤637.3密钥认证协议基于对称密码技术的密钥认证协议177.3密钥认证协议基于对称密码技术的密钥认证协议

Denning改进协议：运用时间戳T协议步骤抑制重放攻击

如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。克服抑制重放攻击的方法强制各方定期检查自己的时钟是否与KDC的时钟同步。采用临时随机数(nonce)技术647.3密钥认证协议基于对称密码技术的密钥认证协议抑制重7.3密钥认证协议基于对称密码技术的密钥认证协议

KEHN改进协议协议步骤该协议可抵抗前两个协议可能遭受的攻击657.3密钥认证协议基于对称密码技术的密钥认证协议该协议7.3密钥认证协议基于非对称密码技术的密钥认证协议

Diffie-Hellman密钥交换协议(DH-KEP)协议步骤公开参数：大素数p,p的本原根a共享密钥：K667.3密钥认证协议基于非对称密码技术的密钥认证协议207.3密钥认证协议基于非对称密码技术的密钥认证协议

Diffie-Hellman密钥交换协议(DH-KEP)协议步骤公开参数：大素数p,p的本原根a共享密钥：K合理性证明安全性基础

攻击者只能得到a,p,YA

,YB，要想求出K,必须先求出XA或XB，这是离散对数问题677.3密钥认证协议基于非对称密码技术的密钥认证协议安全7.3密钥认证协议基于非对称密码技术的密钥认证协议

Diffie-Hellman密钥交换协议(DH-KEP)例子：设p=97，a=5(1)A选择XA=36，计算YA=aXA=536=50mod97，将YA发送给B.(2)B选择XB=58，计算YB=aXB=558=44mod97，将YB发送给B.(3)A计算共享密钥K=(YB)XA=4436=75mod97.(4)B计算共享密钥K=(YA)XB=5058=75mod97.687.3密钥认证协议基于非对称密码技术的密钥认证协议227.3密钥认证协议基于非对称密码技术的密钥认证协议

Diffie-Hellman密钥交换协议(DH-KEP)中间人攻击YAYZYZYB697.3密钥认证协议基于非对称密码技术的密钥认证协议YA7.3密钥认证协议基于非对称密码技术的密钥认证协议

加密的密钥交换协议(EKE)(协议7.11)Kerberos协议(协议7.12)主要目的是解决分布式网络环境下，客户访问网络资源的安全认证问题。实现用户与服务器之间的相互认证；向每个实体证实另一个实体的身份；产生会话密钥，供客户和服务器(或两个客户之间)使用。V5于1994年作为RFC1510公布707.3密钥认证协议基于非对称密码技术的密钥认证协议247.3密钥认证协议基于非对称密码技术的密钥认证协议

Kerberos协议(协议7.12)四个主体：客户C，应用服务器V，认证服务器AS，票证授予服务器TGS。认证服务器与票证授予服务器又统称为密钥分配中心（KDC）。详细步骤见教材717.3密钥认证协议基于非对称密码技术的密钥认证协议257.3密钥认证协议对协议的攻击类型重放攻击(ReplayAttacks)重放攻击是指入侵者捕获以前协议运行或当前协议运行中的消息用于对当前协议运行的攻击已知密钥攻击（Known-keyattack)对手从用户以前用过的密钥确定新的密钥的攻击伪装攻击（Impersonationattack）

对手扮演合法实体进行的攻击字典攻击(Dictionaryattack)主要针对口令的一种按某种顺序进行搜索的攻击727.3密钥认证协议对协议的攻击类型267.3密钥认证协议对协议的攻击类型交错攻击(Interleavingattack)

把前面一次或多次（或者并行）执行协议的信息有选择地组合在一起所实施的攻击。选择挑战攻击（Chosen-textattack）在挑战应答协议中对手巧妙地选择挑战消息，试图得到所需的信息。反射攻击（Reflectionattack）

正在执行的协议中，一方把对方发送过来的消息再发回给对方737.3密钥认证协议对协议的攻击类型27第7章密码协议7.1密码协议概述7.2实体认证协议7.3密钥认证协议

7.4比特承诺协议

7.5零知识证明与身份识别协议74第7章密码协议7.1密码协议概述287.4比特承诺协议股票预测大师问题股票预测大师经常在讲座中给股民推荐股票，可股民按照大师推荐买股票却常常赚不了钱，然而预测大师却生意红火。为什么？因为预测大师没有对股民给出一个明确的承诺，尤其在股民选择股票买进时间和卖出时间上。往往在股民亏本后与预测大师论理时，预测大师总可以用偷换预测的前提和条件（时间）来“说服”股民相信大师预测的正确性757.4比特承诺协议股票预测大师问题297.4比特承诺协议安全比特承诺协议的直观描述

A把比特b放入一个箱子，用一把只有用A自己的钥匙才能开启的锁锁上这个箱子，然后把这个箱子交给B；当时机成熟时，A把比特b和打开箱子的钥匙交给B，B通过打开箱子可以验证比特b的内容没有改动，因为箱子在B的控制之下。767.4比特承诺协议安全比特承诺协议的直观描述307.4比特承诺协议7.1(比特承诺)给定随机数r和待提交的整数b，关于整数b的比特承诺就是一个有效算法F使得满足如下条件：从F(r,b)计算出b的难度相当于攻破某计算困难性问题的难度；比特承诺F(r,b)的提交者A在以后把比特承诺F(r,b)以不同的方式打开成为F(r,b)的概率是可以忽略的，即提交者不能把比特承诺打开成为不同的方式；在多项式时间内，无法区分对于两个不同数b和b的F(r,b)和F(r,b)。777.4比特承诺协议7.1(比特承诺)给定随机数r和7.4比特承诺协议比特承诺的两个安全性要求：屏蔽性（Concealing）：A可用一个概率多项式时间算法F(r,b)将二进位b屏蔽起来，只有A本人才能打开。即二进位b一旦被屏蔽起来便不能被对方B预测。约束性(Binding)：A根据二进位b及其屏蔽算法，可从屏蔽体中用概率多项式时间算法打开屏蔽，显露出惟一的二进位b,并让B进行验证。即二进位b一旦被屏蔽起来便不能再被屏蔽者修改。787.4比特承诺协议比特承诺的两个安全性要求：327.4比特承诺协议例：由Goldwasser-Micali公钥概率加密系统构造一种比特承诺协议令n=pq,p，q是长度相同的大素数，选择模n非二次剩余m。（1）A随机选择rZn*,b{0,1},计算y=F(r,b)=mbr2modn.

并发送给B。（2）其后A通过揭示b,r来打开y。B只需验证y=mbr2modn.

只要求解模n二次剩余问题是困难的，则从y=F(r,b)计算出b也是困难的。即由y不能泄露b的任何信息，所以该方案具有屏蔽性。该方案具有约束性。797.4比特承诺协议例：由Goldwasser-Mical7.4比特承诺协议抛币落井协议（Flippingcoinsintowell）设想有一口清澈见底的深水井，A站在水井的旁边，而B远离这口水井，A将硬币抛进水井里去，硬币停留在水井中，现在A能够看到水井里的结果，但A不能到水井里去改变硬币的状态（如正反面情况）。当A将硬币抛进水井时，B不能看见水井里的硬币，只有当B猜完硬币的状态后，A才让B走近井边，看到井底的硬币。这个协议满足上面的两条性质。因此称这样的比特承诺协议为抛币落井协议（Flippingcoinsintowell）。807.4比特承诺协议抛币落井协议（Flippingcoi7.4比特承诺协议采用单向函数的抛币协议

设A和B使用一个安全Hash函数F。(1)A选择一个随机数r，并计算y=F(r)；(2)A将y发送给B；(3)B猜测r是偶数（b=0）或奇数(b=1)，并将猜测结果发送给A；(4)如果B的猜测正确，抛币结果为正面；如果B的猜测错误，则抛币的结果为反面。A公布此次抛币的结果，并将r发送给B；(5)B确信。817.4比特承诺协议采用单向函数的抛币协议357.4比特承诺协议采用单向函数的抛币协议抛币协议的安全性取决于F的安全性抛币协议，具有如下的性质：A必须在B猜测之前抛币；在听到B猜测之后A不能再抛币；B猜测之前不能知道硬币是怎么落地的。827.4比特承诺协议采用单向函数的抛币协议36第7章密码协议7.1密码协议概述7.2实体认证协议7.3密钥认证协议7.4比特承诺协议

7.5零知识证明与身份识别协议83第7章密码协议7.1密码协议概述377.5零知识证明与身份识别协议7.5.1零知识证明例子P要向V证明“P拥有某个房间的钥匙”，有两个方法：(1)P把钥匙出示给V，V用这把钥匙打开该房间的锁(2)V确定该房间内有某一物体，P用自己拥有的钥匙打开该房间的门，然后把物体拿出来出示给V方法(2)属于零知识证明零知识证明的基本思想设P是示证者，V是验证者。P需要向V证明他知道某个秘密信息，但示证者P在向验证者V证明他知道某个秘密信息时不泄露秘密的任何信息。

847.5零知识证明与身份识别协议7.5.1零知识证明387.5零知识证明与身份识别协议Jean-Jacques等打开洞穴之门的故事C、D之间有一道秘密之门，要打开这道门，需要知道开门的咒语。对任何不知道咒语的人，两边的通道都是死胡同。今有一示证者P，知道开门的咒语，他不想让其他任何人知道这个咒语，但是又想让V相信他确实能通过这道门这个事实。即：示证者P向验证者V证明他知道开门的咒语，而在这个过程中P不向验证者V泄漏咒语的任何信息。857.5零知识证明与身份识别协议Jean-Jacques等7.5零知识证明与身份识别协议零知识证明概念假设P，V是两个概率图灵机，P有无限的计算能力，V的计算能力是多项式的，若一个交互式证明满足以下三点，就称此证明为一个零知识交互式证明。(1)完备性