网络安全教程 教学课件 ppt 田园 第10章 身份认证协议.ppt

*与数字签名方案的关系:Fiat-,协议双方可以是用户、机器、进程等实体。一方面,身份认证协议保证使合法的协议双方彼此确信对方确实是其所声称的那个实体,另一方面,任何非法的主体(即攻击者,他们缺少合法协议方所持有的某些秘密信息)不能成功地冒充任何合法的主体而不被协议的合法参与方发现。身份认证协议安全性含义的实质是抗身份欺诈。实际应用最广泛的身份认证协议多数都是Fiat-Shamir型身份认证协议,这类协议SI=(KG,P,V)、P和确定性算法V以及复杂性参数k定义。KG是密钥生成算法,以k为输入并输出公钥—私钥偶(pk,sk);P是身份证实算法,V是身份验证算法,P以私钥—公钥偶为输入参数,V则仅以公钥pk为输入参数。P、V都是有状态的过程,状态分别是P、V的私有信息,各自的初始状态分别为P、V的输入参数。P、V每接收一条消息Min后进行计算并发送一条新消息Mout,这一行为分别表达为(σP,Mout)←P(σP,Min)和(σV,Mout)←V(σV,Min)。总假设由P发起协议的第一条消息,V在最后的步骤中不发送消息而是输出一个判定元素d,d=1表示接受P的身份(协议成功)、d=0表示拒绝P的身份(协议失败)。所有算法都满足一致性关系。实际应用中的Fiat-Shamir型身份认证协议都具有三消息形式,。针对身份认证协议存在三类攻击:被动攻击、主动攻击和并发攻击。图10-1Fiat-Shamir型身份证认证协议的普遍结构图10-2对Fiat--Fiat-,G是q阶循环群,g是G的生成子(因此G的元素是g0=e,g,g2,g3,…,gq−1),并且所有这些对象都公开。在Zq={0,1,2,…,q−1}中随机选取一个数x,然后计算y←$g−x,以y和x分别作为合法的主体P的公钥和私钥。协议的会话过程如图10-3所示。图10-3Schnorr身份认证协议当P需要向V证实自身的身份,即向V证明自己确实持有公钥y所对应的私钥x,P生成随机数K,计算r←gK并向V发送r;V生成并向P发送随机数h;P在接收到h后计算出整数s←(K+hx)modq并向V发送s;V在接收到s后验证r=gsyh是否成立,若成立则接受对方确实是P,否则判定对方是冒充者。