密码学身份认证

1、补充：补充： 身份认证身份认证信息安全技术信息安全技术 7以密码理论为基础以密码理论为基础7是访问控制和审计的前提是访问控制和审计的前提7 通过特定的协议和算法实通过特定的协议和算法实现现“身份认证身份认证”也称也称“身份鉴别身份鉴别”证实主体的真实身份与其声称证实主体的真实身份与其声称的身份是否相符的身份是否相符补补.1 身份认证基础身份认证基础补补.1.1 物理基础物理基础1. 用户知道什么用户知道什么(What you know)密密码、口令、序列号、特定知识等码、口令、序列号、特定知识等2. 用户拥有什么用户拥有什么(What you have) 身身份证、护照、通行证、门禁卡等份证、

2、护照、通行证、门禁卡等3. 用户是谁用户是谁 (Who are you) 指纹、指纹、脸型、虹膜、声纹、脸型、虹膜、声纹、DNA、笔迹等笔迹等生物特征生物特征补补.1.2 数学基础数学基础1. 基于知识的证明基于知识的证明P为了向为了向V证明自己知道什么证明自己知道什么信息，说出或无意透露出得到该信息的某些知识信息，说出或无意透露出得到该信息的某些知识2. 零知识证明零知识证明P使使V确信自己知道什么信息，但确信自己知道什么信息，但却不泄露任何与得到该信息相关的知识却不泄露任何与得到该信息相关的知识例例1：钱琪向雷蕾声称他知道程嘉的偶像是谁，：钱琪向雷蕾声称他知道程嘉的偶像是谁，雷蕾表示不信，

3、钱琪有两种证明方式：雷蕾表示不信，钱琪有两种证明方式：钱琪不得已说出是章子怡，于是在让雷蕾相钱琪不得已说出是章子怡，于是在让雷蕾相信的同时也让她知道了这一信息信的同时也让她知道了这一信息基于知识基于知识的证明的证明钱琪让程嘉作证，于是雷蕾相信了，但雷蕾钱琪让程嘉作证，于是雷蕾相信了，但雷蕾仍不知程嘉的偶像是谁仍不知程嘉的偶像是谁零知识证明零知识证明例例2：钱琪要向王雪梅证明自己拥有某个房间：钱琪要向王雪梅证明自己拥有某个房间的钥匙，假设该房间只能用该钥匙打开，而其的钥匙，假设该房间只能用该钥匙打开，而其他任何方法都打不开。钱琪有两种证明方式：他任何方法都打不开。钱琪有两种证明方式：钱琪把钥匙交

4、给王雪梅，王雪梅用这把钥匙钱琪把钥匙交给王雪梅，王雪梅用这把钥匙打开该房间，从而证明钱琪拥有该房间的钥匙。打开该房间，从而证明钱琪拥有该房间的钥匙。基于知识的证明基于知识的证明王雪梅确定该房间内有某一物体，钱琪用自王雪梅确定该房间内有某一物体，钱琪用自己拥有的钥匙打开该房间的门，然后把物体拿己拥有的钥匙打开该房间的门，然后把物体拿出来出示给王雪梅，从而证明自己确实拥有该出来出示给王雪梅，从而证明自己确实拥有该房间的钥匙，但王雪梅始终不能看到钥匙的样房间的钥匙，但王雪梅始终不能看到钥匙的样子，从而避免了钥匙的泄露。子，从而避免了钥匙的泄露。零知识证明零知识证明例例3：王雪梅拥有钱琪的公钥，但没有

5、见过钱：王雪梅拥有钱琪的公钥，但没有见过钱琪，而钱琪见过王雪梅的照片，偶然一天两人琪，而钱琪见过王雪梅的照片，偶然一天两人见面了，钱琪认出了王雪梅，但王雪梅不能确见面了，钱琪认出了王雪梅，但王雪梅不能确定面前的人是否是钱琪，这时钱琪要向王雪梅定面前的人是否是钱琪，这时钱琪要向王雪梅证明自己是钱琪，也有两种证明方法：证明自己是钱琪，也有两种证明方法：钱琪把自己的私钥给王雪梅，王雪梅用这个钱琪把自己的私钥给王雪梅，王雪梅用这个私钥对某个数据加密，然后用钱琪的公钥解密，私钥对某个数据加密，然后用钱琪的公钥解密，如果正确，则王雪梅证实对方是钱琪，但钱琪如果正确，则王雪梅证实对方是钱琪，但钱琪不情愿地泄

6、漏了自己的私钥。不情愿地泄漏了自己的私钥。 基于知识的基于知识的证明证明王雪梅给出一个随机值，钱琪用自己的私钥王雪梅给出一个随机值，钱琪用自己的私钥对其加密，然后把加密后的数据交给王雪梅，对其加密，然后把加密后的数据交给王雪梅，王雪梅用钱琪的公钥解密，如果能够得到原来王雪梅用钱琪的公钥解密，如果能够得到原来的随机值，则证明对方是钱琪，但王雪梅并未的随机值，则证明对方是钱琪，但王雪梅并未得到钱琪的私钥。得到钱琪的私钥。 零知识证明零知识证明补补.1.3 协议基础协议基础1. 身份认证协议的类型身份认证协议的类型双向认证协议单向认证协议基于对称密码的认证协议基于公钥密码的认证协议双方直接认证协议基

7、于第三方的认证协议2. 通过会话密钥（用于下次认证通信的对称通过会话密钥（用于下次认证通信的对称密钥）提供认证协议的安全性密钥）提供认证协议的安全性3. 重放攻击重放攻击C用截获得的用截获得的A已用过的认证已用过的认证信息假冒信息假冒A与与B建立通信建立通信典型例子：典型例子：A与与B建立认证会话时，建立认证会话时，C通过窃听获得通过窃听获得A发给发给B的认证信息的认证信息M；在在A、B结束通信后，结束通信后，C用用M冒充冒充A与与B建立认证会话，使建立认证会话，使B信以为真，然后与信以为真，然后与C进行通信。进行通信。4. 防重放的方法之一防重放的方法之一时间戳时间戳(Time Stamp)

8、1) “时戳时戳”代表当前时刻的数代表当前时刻的数2) 基本思想基本思想A接收一个消息当且仅当其包含接收一个消息当且仅当其包含一个对一个对A而言足够接近当前时刻的时戳而言足够接近当前时刻的时戳3) 原理原理重放的时戳将相对远离当前时刻重放的时戳将相对远离当前时刻4) 时钟要求时钟要求通信各方的计算机时钟保持同步通信各方的计算机时钟保持同步5) 处理方式处理方式设置大小适当的时间窗（间隔），设置大小适当的时间窗（间隔），越大越能包容网络传输延时，越小越能防重越大越能包容网络传输延时，越小越能防重放攻击放攻击6) 适用性适用性用于非连接性的对话用于非连接性的对话 （在连接情（在连接情形下双方时钟若

9、偶然出现不同步，则正确的形下双方时钟若偶然出现不同步，则正确的信息可能会被误判为重放信息而丢弃，而错信息可能会被误判为重放信息而丢弃，而错误的重放信息可能会当作最新信息而接收）误的重放信息可能会当作最新信息而接收）5. 防止重放的方法之二防止重放的方法之二提问提问-应答应答1) “现时现时”与当前事件有关的一与当前事件有关的一次性随机数次性随机数N（互不重复即可）（互不重复即可）2) 基本做法基本做法期望从期望从B获得消息的获得消息的A 事先发给事先发给B一个现时一个现时N，并要求并要求B应答的消息中包含应答的消息中包含N或或f(N)，f是是A、B预先约定的简单函数预先约定的简单函数3) 原理

10、原理A通过通过B回复的回复的N或或f(N)与与自己发出是否一致来判定本次消自己发出是否一致来判定本次消息是不是重放的息是不是重放的4) 时钟要求时钟要求无无5) 适用性适用性用于连接性的对话用于连接性的对话补补.2 身份认证协议身份认证协议补补.2.1 双向认证协议双向认证协议1. 基于对称密码和可信第三方的双向认证协议基于对称密码和可信第三方的双向认证协议N-S协议（由协议（由Roger Needham和和Michael Schroeder发明）：发明）：1) AKDC : IDA | IDB | N12) KDCA : EKaKs | IDB | N1 | EKbKs | IDA 3) A

11、B : EKbKs | IDA 4) BA : EKs N25) AB : EKsf(N2 )其中：其中：Ka、Kb分别是分别是KDC与与A、B的共享密钥；的共享密钥； Ks是是A、B之间的会话密钥。之间的会话密钥。N1用于防用于防C冒充冒充KDC对对A的重防攻击；的重防攻击；N2用于防用于防C冒充冒充A对对B的重的重防攻击。防攻击。漏洞：假设攻击者漏洞：假设攻击者C已经知道已经知道A、B之间以前用过之间以前用过的会话密钥的会话密钥K，则，则C可在第可在第3)步用以前所截获步用以前所截获的的EKbK | IDA 冒充冒充A，实施重放攻击：实施重放攻击：CB : EKbK | IDA 只要只要B

12、不记得不记得K是先前用过的会话密钥，便会以是先前用过的会话密钥，便会以为是一次新的认证过程，从而做第为是一次新的认证过程，从而做第4)步：步：BA : EK N2C若能成功地阻止若能成功地阻止A收到此握手信息，则就可以用收到此握手信息，则就可以用K解密出解密出N2，并用，并用K加密得加密得EKf(N2 )冒充冒充A做第做第5)步：步： CB : EKf(N2 )从而假冒从而假冒A与与B建立通信建立通信 Denning协议（使用时戳协议（使用时戳T）：）：1) AKDC : IDA | IDB 2) KDCA : EKaKs | IDB | T | EKbKs | IDA | T3) AB :

13、EKbKs | IDA | T4) BA : EKs N15) AB : EKsf(N1 )若若|Clock-T|t1+t2 ，则不是重放。其中则不是重放。其中Clock是当前时刻、是当前时刻、 t1是是KDC与与A或或B时钟之差估计值、时钟之差估计值、 t2是网络延迟估计值是网络延迟估计值注：此法要求注：此法要求A、B的时钟同步的时钟同步2. 基于公钥密码和可信第三方的双向认证协议基于公钥密码和可信第三方的双向认证协议WOO92b协议：协议：1) AKDC : IDA | IDB2) KDCA : EKRKUb | IDB 3) AB : EKUbIDA | Na 4) BKDC : IDB

14、 | IDA | EKUNa5) KDCB : EKRKUa | IDA | EKUbEKRKs | IDA | IDB | Na6) BA : EKUaEKRKs | IDA | IDB | Na | Nb7) AB : EKsNb其中其中KU、KR分别是分别是KDC的公钥、私钥的公钥、私钥; KUa和和KRa 、KUb和和KRb 分别是分别是A、B的公钥和私钥的公钥和私钥A、B都向都向KDC索要对方的公钥，并用对方能否索要对方的公钥，并用对方能否解密用其公钥加密的消息来证明对方的身份解密用其公钥加密的消息来证明对方的身份补补.2.2 单向认证协议单向认证协议1. 基于对称密码的单向（基于对

15、称密码的单向（A向向B证明）认证协议证明）认证协议1) AB : IDA | N12) BA : EKabKs | IDB | f(N1) | N23) AB : EKsf(N2 )缺点：双方都必须同时在线并等待对方的回答缺点：双方都必须同时在线并等待对方的回答其中其中Kab是是A、B的共享密钥的共享密钥2. 基于对称密码和第三方的单向认证协议基于对称密码和第三方的单向认证协议1) AKDC : IDA | IDB | N12) KDCA : EKaKs | IDB | N1 | EKbKs | IDA3) AB : EKbKs | IDA | EKs M优点：无需双方同时在线，消息传递与认证

16、同时进行优点：无需双方同时在线，消息传递与认证同时进行缺点：缺点：B在第在第3)步易受重放攻击步易受重放攻击其中其中Ka、Kb分别是分别是KDC与与A、B的共享密钥，的共享密钥，M是是A给给B的消息本身的消息本身3. 基于公钥密码的单向认证协议基于公钥密码的单向认证协议AB : EKUbKs | EKsM | EKRaH(M)B收到后用私钥解密出会话密钥，收到后用私钥解密出会话密钥，然后用会话密钥解密出消息和然后用会话密钥解密出消息和A用用其私钥对消息的签名并进行验证，其私钥对消息的签名并进行验证，从而确认从而确认A的身份。的身份。补补.3 身份认证的实现身份认证的实现 Kerberos认证协

17、议认证协议7 为为TCP/IP设计的第三方认证协议设计的第三方认证协议7 由可信第三方提供开放式系统中客户由可信第三方提供开放式系统中客户(Client)与与服务器服务器(Server)之间的认证服务之间的认证服务7 由麻省理工学院由麻省理工学院MIT的的Athena（雅典娜）计划（雅典娜）计划课题组开发，系整个计划的一部分课题组开发，系整个计划的一部分7 Greek Kerberos: 希腊神话故事中一种三头蛇尾希腊神话故事中一种三头蛇尾狗，是地狱之门的守卫狗，是地狱之门的守卫7 采用采用DES等对称密码等对称密码7 最常用的是第最常用的是第4、5版（版（V4、V5）7 2004年年9月月3

18、日日MIT已承认已承认Kerberos认证系统存认证系统存在潜在的拒绝服务缺陷。目前已经发布了矫正在潜在的拒绝服务缺陷。目前已经发布了矫正缺陷的补丁程序；而随后发布的缺陷的补丁程序；而随后发布的Kerberos5-1.35已包括修复程序已包括修复程序1. 设计动机设计动机对开放式系统认证机制的要求对开放式系统认证机制的要求1) 安全性：足够安全，不致成为攻击安全性：足够安全，不致成为攻击的薄弱环节的薄弱环节2) 可靠性：认证服务的可靠性决定整可靠性：认证服务的可靠性决定整个系统的可靠性个系统的可靠性3) 透明性：除了输入口令之外，用户透明性：除了输入口令之外，用户应该感受不到认证服务的存在应该

19、感受不到认证服务的存在4) 可伸缩：系统应能支持更多的客户可伸缩：系统应能支持更多的客户和服务器和服务器2. 模型模型1) 共涉及共涉及4种角色：种角色： 一个鉴别服务器一个鉴别服务器AS(Authentication Server) 多个票据许可服务器多个票据许可服务器TGS(Ticket Granting Server)每个每个TGS对应一类服务器对应一类服务器 多个客户多个客户C 多个服务器多个服务器S2) AS用于鉴别用于鉴别C的身份，的身份，TGS用于对用于对C针对某个针对某个服务器服务器S的服务请求进行授权，同属整个的服务请求进行授权，同属整个Kerberos系统，但两者相互独立系

20、统，但两者相互独立3) AS中拥有所有中拥有所有TGS和所有和所有C的密钥的密钥4) 每个每个TGS拥有所有下属服务器拥有所有下属服务器S的密钥的密钥5) AS可向某个可向某个TGS、 TGS可向其所属某个可向其所属某个S证证实某个实某个C的身份，并产生会话密钥供双方通信的身份，并产生会话密钥供双方通信使用，认证会话在认证结束后自动销毁使用，认证会话在认证结束后自动销毁3. 实例：实例：钱琪钱琪( (C)C)要在某宾馆的餐厅就餐，向大堂经理王雪要在某宾馆的餐厅就餐，向大堂经理王雪梅梅( (AS)AS)提出就餐申请，王雪梅认证其身份后给他一提出就餐申请，王雪梅认证其身份后给他一张介绍信张介绍信(

21、 (TGT)TGT)，让他去找餐厅经理程嘉让他去找餐厅经理程嘉( (TGS)TGS)。钱琪凭介绍信向程嘉请求餐厅服务员雷蕾钱琪凭介绍信向程嘉请求餐厅服务员雷蕾( (S)S)为他为他提供就餐服务，程嘉验证其介绍信后给他一张对应提供就餐服务，程嘉验证其介绍信后给他一张对应雷蕾的就餐证雷蕾的就餐证( (SGT)SGT)，让他直接找雷蕾；让他直接找雷蕾；钱琪凭就餐证向雷蕾提出就餐服务，雷蕾验证其就钱琪凭就餐证向雷蕾提出就餐服务，雷蕾验证其就餐证后给他回应，让他准备就餐。餐证后给他回应，让他准备就餐。注：钱琪若再次请求雷蕾为其服务，直接用原有就注：钱琪若再次请求雷蕾为其服务，直接用原有就餐证餐证( (S

22、GT)SGT)即可，不必再找程嘉；钱琪若改变请求即可，不必再找程嘉；钱琪若改变请求要黄素娟为其服务，则需向程嘉请求一张对应黄素要黄素娟为其服务，则需向程嘉请求一张对应黄素娟的就餐证娟的就餐证( (SGT)SGT)；而钱琪若改变请求要住宿，则；而钱琪若改变请求要住宿，则必需重新向王雪梅提出申请，王雪梅重新认证后让必需重新向王雪梅提出申请，王雪梅重新认证后让他去找客房经理他去找客房经理徐成城徐成城1) 票据票据(Ticket) 发送方向接收方证明自己身份或发送方向接收方证明自己身份或拥有某种授权的凭证拥有某种授权的凭证 票据许可票据票据许可票据TGT(Ticket Granting Ticket)

23、 C向向TGS证明身份并请求授权的凭证（也证明身份并请求授权的凭证（也称称“用户票证用户票证”），记作：），记作： Tc,tgs =EKtgsIDc,IDtgs ,Kc,tgs,a,v,t其中：其中：n Kc,tgs是系统为是系统为C、TGS产生的会话密产生的会话密钥钥n Ktgs是是TGS的密钥的密钥n a是是C的地址的地址n v是会话密钥的生存周期（时间窗）是会话密钥的生存周期（时间窗）n t是时戳是时戳4. 票据与鉴别码票据与鉴别码 服务许可票据服务许可票据SGT(Service Granting Ticket)C向向S证明身份并请求服务的凭证明身份并请求服务的凭证（也称证（也称“服务票

24、证服务票证”） ，记作：，记作：Tc,s =EKsIDc,IDs ,Kc,s ,a,v,t其中：其中：nKc,s是系统为是系统为C、S产生的会话密钥产生的会话密钥nKs是是S的密钥其余同上的密钥其余同上2) 鉴别码鉴别码(Authenticator)用于证明票据用于证明票据发送方就是票据拥有者的凭证发送方就是票据拥有者的凭证 接受方通过与相应票据中的信息进行接受方通过与相应票据中的信息进行比较来证实发送方知道会话密钥比较来证实发送方知道会话密钥 由客户由客户C通过会话密钥随时产生，但通过会话密钥随时产生，但与票据不同的是它只能使用一次与票据不同的是它只能使用一次客户客户C发到发到TGS的鉴别码

25、：的鉴别码： Ac,tgs=EKc,tgsIDc, a, t, key ，其中：其中： Kc,tgs是系统为是系统为C、TGS产生的会话密钥产生的会话密钥 t是时戳是时戳 a是是C的地址的地址 key是可选的附加会话密钥是可选的附加会话密钥客户客户C发到服务器发到服务器S的鉴别码的鉴别码Ac,s=EKc,sIDc, a, t, key ，其中：其中： Kc,s是系统为是系统为C、S产生的会话密钥产生的会话密钥 其余同上其余同上5. 认证三步曲认证三步曲 身份认证（针对某类服务的一次登录）身份认证（针对某类服务的一次登录）客户客户C向向AS提出身份认证请求，并表示需提出身份认证请求，并表示需要某

26、类服务，要某类服务，AS证实其身份后给予一张用证实其身份后给予一张用于向相应的于向相应的TGS请求服务授权的请求服务授权的TGT 服务授权（针对该类服务中某个服务器的服务授权（针对该类服务中某个服务器的一次授权）一次授权） 客户客户C凭凭TGT向该向该TGS提出提出需要服务器需要服务器S服务，服务，TGS通过通过TGT得知得知C身身份已经认证并有权享受该类服务，于是发份已经认证并有权享受该类服务，于是发给给C一张用于向服务器一张用于向服务器S请求服务的请求服务的SGT以以表明授权表明授权 服务请求服务请求（针对该服务器的一次服务）针对该服务器的一次服务） 客户客户C凭凭SGT向向S提请服务提请

27、服务注：一次身份认证（一张注：一次身份认证（一张TGT）可以对应某类服）可以对应某类服务范围内的多次服务授权（多张务范围内的多次服务授权（多张SGT），一），一次服务授权（一张次服务授权（一张SGT）可以对应向某服务）可以对应向某服务器的多次服务请求器的多次服务请求客户客户C C服服务务器器S S客户客户C C鉴别服鉴别服务器务器ASAS票据许可服票据许可服务器务器TGSTGS票据许可服票据许可服务器务器TGSTGS票据许可服票据许可服务器务器TGSTGS服服务务器器S S服服务务器器S S服服务务器器S S请求认证请求认证给予给予TGT请求授权请求授权给予给予SGT请求服务请求服务给予许可给

28、予许可Kerberos认证系统客户客户C C客户客户C C客户客户C C6. 认证过程认证过程 第第1阶段：票据许可票据阶段：票据许可票据TGT的获取的获取1) CAS : IDc | IDtgs客户客户C向鉴别服务器向鉴别服务器AS发送自己和票据许可发送自己和票据许可服务器服务器TGS的标识的标识2) ASC : EKc Kc,tgs | Tc,tgs若若AS在数据库中查到在数据库中查到C，则为则为C和和TGS生成会生成会话密钥话密钥Kc,tgs ，同时为，同时为C产生一个用于产生一个用于C向向TGS请求授权的票据许可票据请求授权的票据许可票据Tc,tgs = EKtgsIDc,IDtgs

29、,Kc,tgs,a,v1,t1 ，然后然后AS将将这两部分用这两部分用C的密钥的密钥Kc加密并给加密并给C3) C用密钥用密钥Kc解密得与解密得与TGS的会话密钥的会话密钥Kc,tgs，用，用来在认证期间与来在认证期间与TGS进行通信；同时得到票进行通信；同时得到票据许可票据据许可票据Tc,tgs，用来在以，用来在以t1开始的有效期开始的有效期v1内向内向TGS证明自己的身份并请求服务授权（证明自己的身份并请求服务授权（C若能正确解密，则向若能正确解密，则向AS证实了自己的身份）证实了自己的身份） 第第2阶段：请求服务许可票据阶段：请求服务许可票据SGT的获取的获取1) CTGS : IDs

30、| Tc,tgs | Ac,tgs 每当每当C需要向需要向S请求一个尚未授权的新服务，请求一个尚未授权的新服务，就用上述票据许可票据就用上述票据许可票据Tc,tgs=EKtgsIDc,IDtgs ,Kc,tgs,a,v1 ,t1连同一个连同一个鉴别码鉴别码Ac,tgs=EKc,tgsIDc, a, t2, key 以及以及S的的标识一起向标识一起向TGS发出授权请求发出授权请求2) TGS收到后用自己的密钥收到后用自己的密钥Ktgs解密解密Tc,tgs得得到与到与C的会话密钥的会话密钥Kc,tgs 以及以及IDc, a,v1,t1等等 ；再用再用Kc,tgs解密解密Ac,tgs得到得到IDc, a,t2等，然后比等，然后比较这两部分的较这两部分的IDc, a等信息，若一致则