第9章-密码协议(不经意传输和掷硬币协议)电子教案
chap10-2:密码协议基本理论
处理通信双方自身发生的攻击。
数字签名提供了这种能力:
验证签名者、签名的日期和时间 认证消息内容 可由第三方仲裁,以解决争执
因此,数字签名具有认证功能
数字签名应满足的条件
签名值必须依赖于所签的消息 产生签名比较容易 识别和验证签名比较容易
伪造数字签名在计算上是不可行的。包括
已知数字签名,伪造新的消息 已知消息,伪造数字签名
对用其公钥加密过的随机数进行解密;
对随机数进行签名。
为了保证安全性,认证协议的公私钥对不能在 其他应用中使用;同时,协议还应能够抵抗选 择密文攻击。
采用公钥密码技术的认证方案
简单的认证协议:
认证方 B 选择随机数 r ,计算 x=h(r) , e=PA(r ,
B),(其中:h 是哈希函数,PA是发起方A 的公
Alice用H将消息m进行处理,得h=H(m)。
Alice 用自己的私钥 k 对h“解密” s=D(h, k) , s 就是对消
息m的签名值,(m,s)就是一个签名消息。
Alice将(m,s)发送给Bob。 Bob 收到 (m , s) 后,用 Alice 的公钥 z ,将消息 m 与签名 s 做
,他有办法检验,该签名是否真的被 Alice 签名的消 息。
或许攻击者Eve截获了大量的被Alice签名的消息,但
他仍然不能伪造出一个新的,别人认可的“被 Alice 签名的消息”。
如果无论Eve截获多少被Alice签名的消息,他伪造新
的“被 Alice 签名的消息”的成功概率仍然没有丝毫 提高,则称该签名算法是零知识的。
息(m,s)进行验证。
是否只有Alice自己才能生成自己的签名消息
信息安全导论 第9章
图9-4 流密码示意图
n bit 密文分组
n bit 单个分组加密
n bit
明文分组 密钥K k bit
n bit
图9-5 分组密码示意图
9.2.2 典型算法介绍
1.维基尼亚密码 维基尼亚密码是古典密码的典型代表,这是一个 多表替换密码,其基本原理如图9-6所示。图中明文是 “MESSAGE FROM…”,密钥是“WHITE”,对应的 密码文是“ILALECL NKS...”。有关该算法的具体实现 可参见本章实验部分的有关内容,请同学们写出加解 密算法的具体数学表达式。
m
Bob
图9-2 保密通信示意图
在图9-2中,Alice要发送的消息m叫明文,明文被 变换E转化成的看似无意义的随机消息C称为密文,而 这个变换E就叫加密。Bob通过变换D把C转化为m的过 程称为解密。加密和解密都需要有Key的支持,这个 Key称为密钥。如果加密方和解密方使用的是同样的密 钥,相应的变换称为对称密钥加(解)密算法;否则称为 非对称密钥加(解)密算法或公开密钥加(解)密算法。所 谓破解,即是敌手在不知道密钥的情况下,把密文C还 原成m或推导出解密密钥。
D(k, E(k, m)) m
为了使用对称加密体制,通信双方应提前商定一 个会话密钥和使用的具体算法,而后进行秘密通信。
m
E(k, m)
c
Alice
D(k, c)
m
Bob
图9-3 对称密码体制
对称密码又分为流密码和分组密码两大类。流密 码是按比特进行加密,分组密码是若干比特(定长)同时 加密,其示意图分别如图9-4和图9-5所示。
攻击类型 唯密文攻击 已知明文攻击 选择明文攻击 自适应选择明文攻击 选择密文攻击 自适应选择密文攻击
概率型2选1不经意传输协议的方案设计
密码学报 I S S N 2095-7025 C N 10-1195/T NJournal of Cryptologic Research^ 2021, 8(2): 282-293◎《密码学报》编辑部版权所有.E-mail:jcr@ http://w w Tel/F a x:+86-10-82789618概率型2选1不经意传输协议的方案设计*张艳硕'赵瀚森\陈H1,杨亚涛31.北京电子科技学院密码科学与技术系,北京1000702.密码科学技术国家重点实验室,北京1008783.北京电子科技学院电子与通信工程系,北京100070通信作者:张艳硕,E~mail: zhang_***************摘要:目前的2选1不经意传输协议可以分为两类:一类是接收方有50%的概率可以获取自己想得到的消息,另一类是接收方有100%的概率可以获取自己想得到的消息.考虑到复杂网络情形,以固定概率获取所需信息的接收方受到限制.本文分别在E v e n、Bellare和N a o r的2选1不经意传输协议的基础上,对接收方成功恢复所需的秘密信息的概率进行了一般化处理,使得接收方可以以一般的概率来成功恢复自己想得到的秘密信息,并分析了协议的安全性及正确性.由于概率可以根据需求进行设置,因此可以在应用方面更加灵活.关键词:不经意传输;协议;2选1;概率型;安全中图分类号:T P309.7 文献标识码:A D O I: 10.13868/ki.jcr.000437中文引用格式:张艳硕,赵瀚森,陈辉焱,杨亚涛.概率型2选1不经意传输协议的方案设计1J1.密码学报,2021, 8(2): 282-293. [DOI:10.13868/ki.jcr.000437]英文引用格式:ZHANG Y S, ZHAO H S, CHEN H Y, YANG Y T. On scheme design of probabilistic 1out of 2 oblivious transfer protocol[J]. Journal of Cryptologic Research, 2021, 8(2): 282-293. [DOI: 10.13868/ki.jcr.000437]O n S ch em e D esig n o f P rob ab ilistic 1 ou t o f 2 O b liviou s TransferP ro to co lZ H A N G Y a n-S h u o1’2,Z H A O H a n-S e n1,C H E N Hui-Y a n1,Y A N G Y a-T a o31. Department of Cryptology Science and Technology, Beijing Electronic Science & Technology Institute, Beijing 100070, China2. State Key Laboratory of Cryptology, Beijing 100878, China3. Department of Electronic and Communication Engineering, Beijing Electronic Science Technology Institute, Beijing 100070, ChinaCorresponding author: ZHANG Yan-Shuo, E-mail: **********************基金项目:国家重点研发计划(2017Y FB0801803);国家自然科学基金面上项目(61772047);中央高校基本科研业务费 (3282〇19〇2);密码科学技术国家重点实验室开放课题(M M KFKT;201804); “十三五”国家密码发展基金(MMJJ20170110) Foundation: Key Research and Development Program of China (2017YFB0801803); General Program of National N atural Science Foundation of China (61772047); Fundamental Research Funds for the Central Universities (328201902); Open Fund of State Key Laboratory of Cryptology (MMKFKT201804); National Cryptography Development Fund of T hirteenth Five-Year Plan (MMJJ20170110)收稿日期:2020-05-21 定稿日期:2020-07-27张艳碩等:概率型2选1不经意传输协议的方案设计283A b stra ct:At present,l-out-of-2 oblivious transfer protocols can be divided into two categories:one is that the receiver has a50%probability of getting the message he wants,another is that the receiver has a 100% probability to get the message he wants.Considering complex networks,the receiver who can only obtain the required information with a fixed probability will be limited.In this paper,on the basis of Even,Bellare and Naor’s l-out-of-2oblivious transfer,we generalize the probability of the receiver's successful recovery of the secret information needed,so that the receiver can recover the secret information he wants with a general probability.The security and correctness of the protocols are analyzed.Because the probability of the protocols can be set according to the needs,the protocols have more flexible applications.Key w ords:oblivious transfer;protocol;l-out-of-2; probabilistic;securityi引言不经意传输协议(oblivious transfer,O T)是密码学的一个基本协议,是一种可保护隐私的双方通信协议,通信双方可以以一种模糊化的方式传送消息.他使得服务的接收方以不经意的方式得到服务发送方输入的某些消息,这样就可以在保证接收者在不知道发送者隐私的前提下,保护接受者的隐私不被发送者所知道.因此不经意传输协议也经常作为一种基本的密码模块来实现许多密码协议的构造,如安全多方计算、零知识证明和电子合同等.不经意传输协议最初是由R a b i n M在1981年提出的,在R a b i n的方案中实现了 1选1不经意传输协议,接收方有50%的概率可以成功获取秘密信息,从此不经意传输协议逐渐成为密码学的一个重要组成部分,随着学者们的不断深入研宄,不经意传输协议也在不断的发展和完善,逐渐应用到我们生活的各个领域,如安全多方计算、电子交易、公平拍卖协议等.目前,不经意传输协议主要分为以下四个研宄方向:经典1选1不经意传输协议M、2选1不经意传输协议W、…选i不经意传输协议W和…选不经意传输协议[51.其中,2选1不经意传输协议是由E v e n W在1985年最先提出的,并随之涌现出许多基于该协议的研宄设计,如Bellare W提出的非交互式2选1不经意传输协议、N a o r M基于Bellare的协议所提出的改进方案和H u a n g基于E D D H(extended decisional Diffe-H e l l m a n)假设而设计出的2选1不经意传输协议等等,均是对2选1不经意传输协议的很好的应用扩展.我们对经典的E v e n方案…U Bellare方案和N a o r方案间研究后发现,这三个典型的2选1不经意传输协议可以根据接收方成功获取所需秘密信息的概率分为两类:一类是接收方有50%的概率可以获取自己所需的秘密信息,如E v e n方案和Bellare方案;另一类是接收方有100%的概率可以获取自己所需的秘密信息,如N a o r方案.因此,本文分别对E v e n Bellare W和N a o r的2选1不经意传输协议进行了一般化推广,提出了三个接收方可以以一般概率接受信息的概率型2选1不经意传输协议,针对三个基本方案中接收方获取信息的概率进行了一般化改进,使得接收方可以以一定的概率获取信息,且经过分析,本文所提出的三个概率型2选1不经意传输协议方案是安全、可行的.原来的E v e n方案、Bellare方案和N a o r方案中接收方获取所需信息的概率是固定的,而在我们所提出的三个概率型2选1不经意传输协议方案中,概率可以根据实际需要灵活调整,可以说,我们用一种可变换概率的方式将三个—在复杂网经典方案在概率上实现了统一的P =f的形式,而这种形式也就可以实现我们统一的目的—络中根据实际需要进行概率的灵活变化和调整,更好得适应目前复杂网络环境中不经意传输协议的信息传输需求.2不经意传输协议不经意传输协议经过多年的研究发展,逐渐成为密码学的一个重要组件.目前不经意传输协议的研究主要分为四类:经典1选1不经意传输协议i21、2选1不经意传输协议M、n选1不经意传输协议W和n选fc不经意传输协议这四类不经意传输协议在后续的研究中均有很大的进展.284JowrnaZ 〇/CVyp<oZogic i?esearc/i 密码学报 Vol.8,No.2,A pr.2021经典1选1不经意传输协议在1981年由R abin121第一次提出,在R a b i n的方案中,接收方有50%的概率可以成功获取发送方所持有的唯一的秘密信息,且发送方并不知道接收方到底是否得到了秘密信息,此方案是基于二次剩余计算的.在2009年,郑天翔等人[31将R a b i n方案中的二次剩余替换成三次剩余,对R a b i n方案进行了改进.2选1不经意传输协议首先由E v e n W在1985年提出,是结合电子商务通信时代的背景所构建的一种通信协议,这种方案是由发送方向接收方秘密传送两个秘密消息,而接收方只能接收其中一个秘密消息,且发送方也不知道接收方所接收的是哪一个秘密消息,这样就保证了双方的隐私性.1987年,Goldreich等人用2选1不经意传输协议构造了一种安全多方计算方案;2008年,P a r a k h [111基于Diffie-Hellman 方案,为实现不经意传输的传统方法提供了一种有用的替代方案;1989年,C M p e a u等人1121用2选1不经意传输协议实现了对未察觉电路的评估和比特的公平交换;1995年,Stadler等人I13)基于2选1不经意传输协议构造了一种公平的盲签名方案;1999年,N a o r等人1141用2选1不经意传输协议构造了一个用于公平安全拍卖的体系结构;2000年,C a c h i n等人1151基于2选1不经意传输协议实现了一轮的安全多方计算;2010年,J a i n等人[161对P a r a k h的2选1不经意传输协议进行推广.在J a i n所提出的协议中,相关各方不经意地生成Diffie-H e l l m a n密钥,然后将它们用于秘密的不经意传输;2015年,K u m a r 等人1171提出了一种非自适应的,并且是完全可模拟的2选1不经意传输协议方案;2017年,P l e s c h等人[181提出了一种更为简化的2选1不经意传输协议.n选1不经意传输协议在1986年由Brassard141第一次提出,通过调用n次2选1的不经意传输协议来实现.接着,在1987年,Brassard141进一步改进了 n选1的方案,仅需调用log2n次2选1不经意传输协议,大大提高了协议的效率.2000年,G e r t n e r等人提出了一种分布式ri选1不经意传输协议;2004年,Tzeng等人基于判定性Diffie Heilman困难性假设,设计出了一个新的不经意传输协议;接着在2005年,赵春明等人1211在Tzeng等人的方案的基础上加以改进,提出了增强的n选1不经意传输协议;2006年,叶君耀等人1221提出了一个基于门限思想并且可复用的n选1不经意传输协议,在效率方面优于以往的N ao r协议和Tzeng协议;2007年,朱健东等人f231在N ao r协议的基础上,基于现有公钥体制同态性设计出了一个在计算上更简单的不经意传输协议的构造方法;2007年,Camenisch等人1241基于一些基础的密码学原件设计出了不经意传输协议方案;2008年,张京良等人p5l对N aor协议进行改进并应用到群签名中;2019年,M i等人1261提出了一种基于N T R U密码原语的更适合在异构和分布式环境中部署的后量子轻量级n选1不经意传输协议.n选A:不经意传输协议首次提出是在1989年由Bellare所构建的一类提出非交互式n选A:不经意传输,第一次实现了接收方可以一次选择接收多个秘密信息.1999年,N a o r W在2选1不经意传输协议的基础上,提出了一个只针对某种特殊情况可以使用的n选fc不经意传输协议,到了 2001年,N a o r 又接着W提出了具有普适性的ri选A;不经意传输协议,成为以后不经意传输协议研究的基础之一;2009年,C h a n g等人提出一种基于C R T的鲁棒《选fc的不经意传输协议;2014年,L o u等人在椭圆曲线密码体制的基础上,提出了一种新的用于私人信息检索的n选fc不经意传输协议,该协议更适合于智能卡或移动设备;2018年,L a i等人1291提出了一个以最小通讯成本的n选fc不经意传输方案;2019年,D o t t l i n g等人I#提出了一种构造恶意安全的两轮不经意转移的新方法,在可计算Diffie-Hellman (computational Diffie-H e l l m a n,C D H)假设或学习等价噪声(Learning Parity with Noise,L P N)假设下给出了基本O T的简单构造,得到了恶意两轮O T的第一个构造;2020年,G o y a l等人[31】给出了三轮不经意传输协议的第一个构造-在普通模型中-基于多项式时间假设,实现接收者的统计隐私和发送者对抗恶意对手的计算隐私.3经典2选1不经意传输协议的对比研究3.1 2选1不经意传输协议2选1不经意传输协议是一种能保护通信双方隐私的通信协议,信息的持有者将自己所拥有的两个秘密信息加密后发送给接收方,接收方只能成功恢复其中一个消息,而信息持有者并不知道接收方恢复的是哪一个秘密消息.张艳硕等:概率型2选1不经意传输协议的方案设计285本节所列举了三个典型的2选1不经意传输协议,分别是1985年E v e n丨6丨首次提出的2选1不经 意传输协议、1990年Bellare [71提出的非交互式2选1不经意传输协议和2001年N a o r间针对Bellare 方案提出的改进2选1不经意传输协议方案,而这三个方案也是后续2选1不经意传输协议的基础,后 续各位学者所提出的各个新的方案及各个领域的应用,有相当一部分与这三个方案密切相关,是对这三个 方案中的某一个的改进扩展,因此我们也将基于这三个基础方案进行概率的一般化扩展,提出三个概率型 2选1不经意传输协议方案.3.2 E v e n的2选1不经意传输协议本节将对E v e n间的2选1不经意传输协议方案进行简单描述,方案如下:(1) 设和分别为A l i c e的公钥加解密函数.A l i c e从自己的公钥系统的消息空间中随机选择勿而.A l i c e将加密函数和z0,发送给B o b.(2) B o b随机选择r e {0,1},并从A l i c e的公钥系统的消息空间中随机选择f c.计算9 =私㈨®将g发送给Alice.(3) 对于 i =0,1,Alice 计算 f c; =ArQ—4).Alice 随机选择 s € {0,1}.将(M〇+fc:,Mi发送给Bob.⑷最终B o b可以成功得到3.3 B e lla r e的2选1不经意传输协议本节将对Bellare I7]的2选1不经意传输协议方案进行简单描述,方案如下:初始化:选择一个素数p,且定义g为■^的生成元,从Z纟中选择C1(其中C =汰x并公开.B o b随机选择i e {0,1},再随机选择灼€ {0,1, —,p-2},接着计算爲=0和魚-i =C x (广广1,得到B o b自己的公钥03,,/^和私钥(i,).传输阶段:(1) Alice随机选择如,e {0,1,…,p-2},计算a〇 =g110和如=分yi.A lice接着计算7〇 = /^。
义务教育版(2024)五年级全一册信息科技 第9课 互传密信有诀窍 教案
课题互传密信有诀窍单元第三单元学科信息科技年级五年级教材分析【学情分析】在上一单元的学习中,通过生活实例,认识了算法的三种基本控制结构及其描述的基本方法。
在本单元的学习中,进一步结合典型问题,运用算法的基本控制结构来解决实际问题。
用算法解决问题需要提取问题的关键因素,确定解决问题的相关因素,忽略非必要因素,清晰地认识问题、准确地描述问题。
可以结合数学学习中的问题分解方法,通过分析问题的已知信息、求解目标、条件关系来解决问题。
本单元的移位密码、用二分法猜数、判断闰年与平年等案例都涉及基本的数学知识和方法。
这些知识和方法可以作为学生设计、运用算法解决问题的基础,有利于学生借助原有知识经验用计算思维解决熟悉的问题,学习新的知识与技能。
本单元的学习强调实践和实际应用。
学生通过对所求解问题的算法描述与设计,观察执行步骤,讨论执行路径,判断算法是否解决了指定问题,了解算法与程序之间的关系,知道编写程序的目的是实现、验证算法。
【内容结构】学习目标1. 信息意识:了解移位密码及其算法,知道明文与密文的关系,了解加密算法在保护信息安全方面的意义。
2. 计算思维:进一步认识算法的分支结构,学会从问题情境中提取关键因素、确定判断条件,知道判断条件对算法执行结果的影响。
3. 数字化学习与创新:通过学习身边的算法,体会算法的特征,有意识地将其应用于数字化学习过程中,适应在线学习环境。
4. 信息社会责任:了解加密算法在保护信息安全方面的意义,增强信息安全意识。
重点信息加密传输的过程,明文与密文的关系。
难点加密算法在保护信息安全方面的意义。
教学过程教学环节教师活动学生活动设计意图激趣导入【激趣导入】思考、注意吸引学生的注意同学们,今天老师要给大家讲一个发生在很久很久以前的有趣故事。
【提问】同学们,你们想不想知道恺撒是怎么做到的呢?【建构】这背后其实隐藏着一门很有趣的知识——密码学。
今天,我们就一起来学习神秘又有趣的凯撒密码。
基于椭圆曲线公钥系统的不经意传输协议
c i e n t . Th e f i r s t s c h e me i s d i r e c t l y c o n s t r u c t e d f r o m t h e e n c r y p t i o n a n d d e c r y p t i o n p r o p e r t y o f e l l i p t i c c u r v e c r y p t o s y s —
曲线公钥 系统 的高效性使协议具 有很 高的执行 效率 。第一个方案直接 利用椭 圆曲线公钥 系统的加密方法和解密方 法
设计 ; 第二个方案是第一个方案 的改进 , 它保 留 了原方案的优 势, 同时降低 了执行 的开销 。椭 圆曲线公钥 系统的概 率
加 密性 可以大大扩展协 议的应用范围 。两个协议都能够保证发送者和接收者的 隐私性 , 同时能够抵 抗冒名攻击、 重放
t e ms , a n d t h e s e c o n d i mp r o v e s t h e f i r s t . I t k e e p s t h e a d v a n t a g e s o f t h e f i r s t a n d r e d u c e s t h e o v e r h e a d c o s t o f t h e f i r s t . E l l i p t i c c u r v e c r pt y o s y s t e m i s p r o b a b i l i s t i c , a n d o b l i v i o u s t r a n s f e r b a s e d o n i t c a n e x p a n d t h e a p p l i c a t i o n o f o b l i v i o u s
带有基于RSA签名的接入控制的不经意传输协议
第 2 卷第 8期 8 20年8 06 月
电
子
与
信
息
学
报
V 18 . 0 . No 8 2 Au .0 6 g2 0
J un l f e to is& I fr t nT c n lg o r a o crnc El n omai e h oo y o
带有基于 R A 签名的接入控制的不经意传输协议 S
赵春明 摘 要葛建华 李新国 西安 707) 10 1
( 电子科技大学 通信 工程 学院 西安
该文在 R A签名及关于数据 串的不经意传输 的基础上提 出了一种增强 的不经 意传输 协议 ,解决 了一种 不 S
经意传输 的接入控制 问题 。除 了具备一 般不经意传输协议 的特 征外 ,该方案具有如下特 点:只有 持有权威机构 发 放 的签字的接收者才能打开密文而且发送者不能确定接收者是否持有签字 ,即不 能确定 接受者的身份 。在 DDH假 设和随机预言模型下该方案具有可证 明的安全性 。该方案使用标准 R A签名及 Eg ma 加密 。 S l a l 关键词 Eg ma 加密 ,接入控制 ,不经 意传输 ,RS l a l A签名 ,决策性 Di e l n假设 f . l i f He ma
Di e l n( DH asmpin f - l l i He ma D ) su t o
1 引言
不经 意传输协议 首先 由 R bn1 出,随后 又 出现 多种 ai[提 j 不同的形 式,这类协议在 密码 学和 电子 商务协议 设计巾有着 广泛 的应用 。简单地 说,不经 意传输协议 能够使 参与协议 的
文献标识码 :A 文章编号 :l0 -8 62 0 )81 0 -3 0 95 9 (0 60 .5 l0 中图分类号 : P 0 T 39
第23讲密码协议2
x2 2 xt 2
x2 t 1 xt t1
a1
at 1
y2
yt
秘密分享
方案描述 方程组的系数矩阵A是一个Vandermonde矩阵。 由于x1,x2,…xw的选取非零且各不相同,所以
det(A) (xi xj ) mod p 0 1i jt
密码协议概述
密码协议的构成?
密码算法是密码协议的最基本单元。 主要包括:
公钥密码算法 在分布式环境中实现高效密钥分发和认证
对称密码算法 使用高效手段实现信息的保密性
散列函数 实现协议中消息的完整性
随机数生成器 为每位参与者提供随机数
密码协议概述
密码协议的安全特性
机密性 验证性 认证性 完整性
x xj xi x j
用此种方法,可以不用解方程组,更容易地恢复秘密k。
身份识别
身份识别问题
假设A和B是通信的双方,当A和B进行通信时,A首 先要向B证明自己的身份。
传统的方法:一般是通过检验“物”的有效性来确 认持该物的人身份。徽章、工作证、信用卡、驾驶 执照、身份证、护照等,卡上含有个人照片(易于换 成指纹、视网膜图样、牙齿等)。
零知识证明
例:设p和q是两个大素数,n=pq.假设P知道n的因子.如果P 想让V相信他知道n的因子,并且P不想让V知道n的因子,则 P和V可以执行怎样的协议?
零知识证明
1. V随机选取一个大整数x,计算 y x4mod,n , 并将
结果y告诉P。
2. P计算 z ymodn 并将结果告诉。
况下,P每次都能正确地计算 ymodn 的概率是非常
第8讲-密码协议(新)课件
第8讲-密码协议(新)
15
2.1 密钥建立协议
密钥建立协议可在实体之间建立共享秘密
该共享秘密通常用作通信双方一次性通信的会话密钥;它也可 以扩展到多方共享密钥建立,如会议密钥建立。 协议可以采用单钥、双钥体制实现,有时要借助于可信赖的第 三方; 密钥建立协议可分为密钥传输协议和密钥协商协议;前者是将 密钥从一个实体传给另一个实体,而后者则是由双方或多方共 同提供信息建立起共享密钥。
第8讲-密码协议(新)
21
(5)采用数字签名的密钥交换
KA
Alice
Trent (CA)
Bob
① Alice从Trent中得到Bob的公钥证书(对Bob公钥的签名); ② Bob从Trent中得到Alice的公钥证书(对Alice公钥的签名) ; ③ Alice和Bob采用CA的公钥验证CA签名的正确性,并获得对方的可
第8讲-密码协议(新)
9
裁决协议的特点
裁决协议建立在通信双方均是诚实的基础上。 当有人怀疑发生欺骗时,可信赖的第三方就可以根据所存 在的证据判定是否存在欺骗。 一个好的裁决协议应当能够确定欺骗者的身份; 裁决协议只能检测欺骗是否存在,但是不能防止欺骗的发 生。
第8讲-密码协议(新)
10
1.3 自动执行协议
注意:Diffie-Hellman攻击不能抵抗中间人攻击!要学会证明!
第8讲-密码协议(新)
25
2.2 认证建立协议
认证包含消息认证、数据源认证和实体认证,用以防止 欺骗、伪装等攻击。 传统的认证方法是采用口令来解决这个问题。 但是,口令容易被窃取。所以,采用口令认证的方式, 其安全性比较脆弱。 要解决这个问题,必须设计安全的认证协议,以防止假 冒和欺骗等攻击。 认证分为单向认证和双向认证。
计算机网络讲义第九章传输层(上)
网络层 数据链路层 物理层
网络层 数据链路层 物理层 应用层 传输层 网络层 数据链路层 物理层
不提供:
– –
OSI 中传输层的位置
传输实体(transport entity):定义:完成传输层功能的硬软件;收/发两端 的传输层实现对等实体通信的硬件或软件 主机 A 传输服务用户 (应用层实体) 传输层服务访问点 TSAP 传输实体 应用层 主机 B 传输服务用户 (应用层实体) 层接口 运输协议 传输实体 传输层 层接口
调用0
rdt_rcv(rcvpkt) && notcorrupt(rcvpkt) && isACK(rcvpkt) Λ
等待 ACK 或 NAK 1 等待来自 上层的 调用1
rdt_rcv(rcvpkt) && notcorrupt(rcvpkt) && isACK(rcvpkt) Λ
rdt_rcv(rcvpkt) && ( corrupt(rcvpkt) || isNAK(rcvpkt) ) udt_send(sndpkt )
网络层服务访问点 NSAP
网络层 (或网际层)
传输实体(transport entity)
应用进程 传输实体 网络层 TSAP(传输地址) 接口 传输协议 TPDU 接口 NSAP(网络地址)
传输实体的实现
应用进程 传输实体 网络层 用户进程 网络应用程序 OS内核
软件 系统
应 用 软 件
文字处理 高级 语言 设备 驱动
rdt_rcv(rcvpkt) && isACK(rcvpkt) L
发送方
rdt2.0 有一个致命的缺陷!
关于密码技术和安全协议课件
iyvaedoulo
一次一密
每次采用一个随机的新的密码
– 例如:随机比特流对数据进行异或运算
一次一密是近乎完美的加密方案,因为 它是不可攻破并且每个密钥仅仅使用一 次。但密码无法记忆,要双方“随身携 带”。
例:古代军事消息传递
Hale Waihona Puke 现代加密技术的发展1949年,Claude Shannon发表了《保 密系统的通信理论》,奠定了对称加密 系统的理论基础
信息的保密性(Privacy)
– 信息加密
信息的完整性(Integrity)
– 数字摘要
信息源的认证(Authentication):真实性
– 数字签名、时间戳
密码技术如何实现机密性
如何实现数据的加密?
– 直接使用某种算法加密数据,使明文变成密文 – 应用层加密,使用某种加密算法 – 网络层加密,使用某种加密算法 – 链路层加密,使用某种加密算法
Otway Rees密钥交换与鉴别协议
对称算法体系中如何实现完整性
完整性:摘要算法 如何实现(思考)
非对称密码算法体系
非对称密码算法基本概念
算法公开 加密密钥和解密密钥不同,但成对 一般为分组算法
如何实现双方通信的机密性?举例
– 算法+安全协议
如何实现多用户大范围的信息机密性?举例
– 算法+安全协议+PKI体系
密码技术如何实现信息完整性
数字摘要算法 如何利用摘要算法验证完整性?
– 协议
大规模大范围的应用还需要什么?
– 安全基础设施,比如PKI
密码技术如何实现认证
数字签名算法 如何确认信息源并防止抵赖?
1976年,W.Diffie和M.E.Hellman发表 了《密码学的新方向》,提出了公钥密 码理论,是革命性的变革
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
南京航空航天大学网络研究室
密码协议
9.6 掷硬币பைடு நூலகம்议
④ A猜测u=x’或u=y’,或者A找出最小的i使得x’ 的第i个比特与y’的第i个比特不同,A猜测u的第 i个比特是0还是1。A将猜测发送给B。
密码协议
9.5 不经意传输协议
2. “多传一”的不经意传输协议
设A有多个秘密,想将其中一个传递给B,使得只有B 知道A传递的是哪个秘密。设A的秘密是s1,s2,…,sk, 每一秘密是一比特序列。协议如下:
① A告诉B一个单向函数f,但对f-1保密。
② 设B想得到秘密si,他在f的定义域内随机选取k个 值x1,x2,…,xk,将k元组(y1,y2,…,yk)发送给A, 其中
密码协议包含某种密码算法. 参与该协议的伙伴可能是朋友和完全信任的人,或
者也可能是敌人和互相完全不信任的人。 在协议中使用密码的目的是防止或发现偷听者和欺
骗.
Copyright Yuan Email:hello@
3
南京航空航天大学网络研究室
密码协议
协议的目的
计算一个数值想共享它们的秘密部分 共同产生随机序列 确定互相的身份 同时签署合同
由于B没有zj(j≠i)的信息,因此无法得到sj(j≠i),而A 不知k元组(y1,y2,…,yk)中哪个是f(xi),因此无法确 定B得到的是哪个秘密。
Copyright Yuan Email:hello@
10
南京航空航天大学网络研究室
密码协议
9.6 掷硬币协议
在某些密码协议中要求通信双方在无第三方 协助的情况下,产生一个随机序列,因为A、B之 间可能存在不信任关系,因此随机序列不能由一 方产生再通过电话或网络告诉另一方。这一问题 可通过掷硬币协议来实现,掷硬币协议有多种实 现方式,下面介绍其中的3种。
Copyright Yuan Email:hello@
4
南京航空航天大学网络研究室
密码协议
对协议的攻击
被动攻击 主动攻击 被动骗子 主动骗子 协议对被动欺骗来说应该是安全的 合法用户可以发觉是否有主动欺骗
Copyright Yuan Email:hello@
③ B检查第②步收到的数是否与±x在模n下同余, 如果是,则B没有得到任何新信息;否则B就掌握 了x2 mod n的两个不同的平方根,从而能够分解n。 而A却不知究竟是哪种情况。
显然,B得到n的分解的概率是1/2。
Copyright Yuan Email:hello@
8
南京航空航天大学网络研究室
Copyright Yuan Email:hello@
11
南京航空航天大学网络研究室
密码协议
9.6 掷硬币协议
1. 采用平方根掷硬币
协议如下:
① A选择两个大素数p、q,将乘积n=pq发送给B。
② B在1和n/2之间,随机选择一个整数u,计算z≡u2 mod n,并将z发送给A。
5
南京航空航天大学网络研究室
密码协议
9.5 不经意传输协议
设A有一个秘密,想以1/2的概率传递给B,即 B有50%的机会收到这个秘密,另外50%的机会 什么也没有收到,协议执行完后,B知道自己是 否收到了这个秘密,但A却不知B是否收到了这个 秘密。这种协议就称为不经意传输协议。
例如A是机密的出售者,A列举了很多问题, 意欲出售各个问题的答案,B想买其中一个问题 的答案,但又不想让A知道自己买的是哪个问题 的答案。
协议必须是完整的,对每种可能的情况必 须规定具体的动作。
Copyright Yuan Email:hello@
2
南京航空航天大学网络研究室
密码协议
密码协议
密码协议,有时也称作安全协议,是以密码学为基 础的消息交换协议,其目的是在网络环境中提供各 种安全服务。密码学是网络安全的基础,但网络安 全不能单纯依靠安全的密码算法。安全协议是网络 安全的一个重要组成部分,我们需要通过安全协议 进行实体之间的认证、在实体之间安全地分配密钥 或其它各种秘密、确认发送和接收的消息的非否认 性等。
密码协议
第9章-密码协议(不经意传输和 掷硬币协议)
Copyright Yuan Email:hello@
南京航空航天大学网络研究室
密码协议
协议特点
协议中的每人都必须了解协议,并且预先 知道所要完成的所有步骤。
协议中的每人都必须同意遵循它。
协议必须是不模糊的,每一步必须明确定 义,并且不会引起误解。
Copyright Yuan Email:hello@
6
南京航空航天大学网络研究室
密码协议
9.5 不经意传输协议
1. 基于大数分解问题的不经意传输协议
设A想通过不经意传输协议传递给B的秘密是 整数n(为两个大素数之积)的因数分解。这个问 题具有普遍意义,因为任何秘密都可通过RSA加 密,得到n的因数分解就可得到这个秘密。
协议基于如下事实: 已知某数在模n下两个不 同的平方根,就可分解n。
Copyright Yuan Email:hello@
7
南京航空航天大学网络研究室
密码协议
9.5 不经意传输协议
协议如下:
① B随机选一数x,将x2 mod n发送给A。
② A(掌握n=pq的分解)计算x2 mod n的4个平方根 ±x和±y,并将其中之一发送给B。由于A只知道 x2 mod n,并不知道4个平方根中哪一个是B选的x。
y j
x j
f
j i
xj
j i
Copyright Yuan Email:hello@
9
南京航空航天大学网络研究室
密码协议
9.5 不经意传输协议
③ A计算zj=f-1(yj)(j=1,2,…,k),并将zj sj(j=1,2,…,k) 发送给B。
④ 由于zi=f-1(yi)=f-1(f(xi))=xi,所以B知道zi,因此可 从zi si获得si。
③ A计算模n下z的4个平方根±x和±y(因A知道n 的分解,所以可做到),设x’是x mod n和-x mod n中较小者,y’是y mod n和-y mod n中较小者, 则由于1<u<n/2,所以u为x’和y’之一。
Copyright Yuan Email:hello@
12