第6章身份认证与数字签名

1、第6章 身份认证与数字签名支付宝快捷支付的支付宝快捷支付的 身份漏洞身份漏洞(原文原文)l快捷支付（含卡通）是最安全、轻松的付款方式。用户通快捷支付（含卡通）是最安全、轻松的付款方式。用户通过电话或者网站等方式订购商品时，不需开通网银，直接过电话或者网站等方式订购商品时，不需开通网银，直接通过输入卡面信息，即可便捷、快速地完成支付。只需将通过输入卡面信息，即可便捷、快速地完成支付。只需将您的支付宝账户关联您的储蓄卡或者信用卡，每次付款时您的支付宝账户关联您的储蓄卡或者信用卡，每次付款时只需输入支付宝的支付密码即可完成付款。只需输入支付宝的支付密码即可完成付款。l快捷支付的特点：省力、安全快捷支

2、付的特点：省力、安全 、省钱应用场景广泛、省钱应用场景广泛( (页面页面) )l 密码技术弊端显现密码技术弊端显现 生物识别渐受追捧生物识别渐受追捧l美国美国华尔街日报华尔街日报网络版上周日刊登题为网络版上周日刊登题为跟密码说再跟密码说再见见(Say Goodbye to the Password)的评论文章称，由的评论文章称，由于密码技术在便利性和安全性方面的弊端逐渐显现，相关于密码技术在便利性和安全性方面的弊端逐渐显现，相关企业纷纷开始寻找替代方案，而以指纹为代表的生物识别企业纷纷开始寻找替代方案，而以指纹为代表的生物识别技术则成为最受追捧的领域，思维密码成真。技术则成为最受追捧的领域，思

3、维密码成真。(原文原文)l谷歌或已掌握全球多数谷歌或已掌握全球多数WiFi密码密码(原文原文)l基于位置的隐私保护基于位置的隐私保护主要内容主要内容 l 身份认证l 数字签名6.1 身份认证6.1 身份认证身份认证 l身份认证是验证主体的真实身份与其所声称的身份是否符合的过程。l认证的结果只有两个：符合和不符合。l适用于用户、进程、系统、信息等。身份认证的例子身份认证的例子l邮件登录lClient与Server之间的鉴别lTelnet远程登录lFtp服务l登录到某台电脑上身份认证系统的组成身份认证系统的组成 l出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。l验证者

4、V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。l第三方是可信赖者TP（Trusted third party)，参与调解纠纷。在许多应用场合下没有第三方。身份认证的物理基础身份认证的物理基础 lSomething the user know (例如口令) 简单，但不安全l设计依据安全水平、系统通过率、用户可接受性、成本等采用复杂密码，并且做定期更换，密码长度不低于采用复杂密码，并且做定期更换，密码长度不低于8位，采用大小写配合数字及特殊符号；位，采用大小写配合数字及特殊符号；密码策略操作：密码策略操作：Windows操作指南：控制面板操作指南：控制面板管理工具

5、管理工具本地安全策略本地安全策略账户策略账户策略密码策略，密码策略，设置设置“强制密码历史强制密码历史”修改修改24个记住的密码，个记住的密码，“密码最长使用期限密码最长使用期限70天天”，“密码最短使用期限密码最短使用期限2天天”，“启用密码可逆加密（用可还原的加密来储存密启用密码可逆加密（用可还原的加密来储存密码）码）”操作系统、数据库管理系统等口令未到达复杂度要求操作系统、数据库管理系统等口令未到达复杂度要求 。后台登陆用户口令简单，且未启用登录失败处理。后台登陆用户口令简单，且未启用登录失败处理。(补补充充)处置建议：启用操作系统的安全处理功能，设置允处置建议：启用操作系统的安全处理功

6、能，设置允许账户错误登录失败次数，超过则可采取结束会许账户错误登录失败次数，超过则可采取结束会话、自动退出等措施。话、自动退出等措施。建议值：账户建议值：账户3-5次后锁定，账户锁定时间不少次后锁定，账户锁定时间不少30分钟。分钟。Windows操作指南：控制面板操作指南：控制面板管理工具管理工具本地安全策略本地安全策略账户策略账户策略账户锁定策略，账户锁定策略，“帐户锁定时间帐户锁定时间”设置为设置为0，“帐户锁定阈值帐户锁定阈值”设置为设置为3或或5次。次。 操作系统未启用登录失败处理功能操作系统未启用登录失败处理功能 (补充补充)身份认证的物理基础身份认证的物理基础 lSomething

7、 the user possesses(例如证件)认证系统相对复杂身份认证的物理基础身份认证的物理基础lSomething the user is(例如指纹识别)更复杂,而且有时会牵涉到本人意愿身份认证方式身份认证方式 l单向认证（One-way Authentication）l双向认证（Two-way Authentication）l信 任 的 第 三 方 认 证 （ T r u s t e d T h i r d - p a r t y Authentication） 单向认证单向认证 l通信的一方认证另一方的身份 用对称密码体制来实现单向认证用对称密码体制来实现单向认证 l某函数变换fl

8、双方共享的密钥KSl随机数RA用非对称密码体制来实现单向认证用非对称密码体制来实现单向认证 l随机数RAlB的私钥KSB双向认证 l双方都要提供用户名和密码给对方，才能通过认证。双方都要提供用户名和密码给对方，才能通过认证。 用对称密码体制来实现双向认证用对称密码体制来实现双向认证 lA产生一个随机数RAl双方共享的密钥KSlB产生一个随机数RB用非对称密码体制来实现双向认证用非对称密码体制来实现双向认证 lA产生一个随机数RAlB产生一个随机数RBlB的私钥KSBlA的私钥KSA信任的第三方认证 l当两端欲进行连线时，彼此必须先通过信任第三方的认证，然后才能互相交换密钥，而后进行通信。一种第

9、三方认证机制一种第三方认证机制 lSKAU：管理员的私钥 lPKB：B的公钥lPKA：A的公钥lN1： A的临时交互号lN2： B产生的新临时交互号双向认证双向认证(补充补充)l目的：用于通信各方之间的相互进行身份认证，同时交换目的：用于通信各方之间的相互进行身份认证，同时交换会话密钥，其重点是密钥分配会话密钥，其重点是密钥分配 。 l需要解决的核心问题：需要解决的核心问题：密钥交换的机密性和时效性。密钥交换的机密性和时效性。l机密性机密性防止会话密钥被篡改或和泄露；防止会话密钥被篡改或和泄露；用户身份信息和会话密钥都必须以密文形式交换；用户身份信息和会话密钥都必须以密文形式交换；前提：通信各

10、方与事先保存一个密钥（共享或公开密钥）前提：通信各方与事先保存一个密钥（共享或公开密钥）l时效性时效性为了防止消息的重放攻击。为了防止消息的重放攻击。报文重放（报文重放（replayreplay） 攻击攻击(补充补充)攻击过程攻击过程(1)(1)窃听。窃听。(2)(2)复制或部分复制一个报文。复制或部分复制一个报文。(3)(3)在以后的某个时间重放在以后的某个时间重放 可以拦截原信息，用重放消息取代；可以拦截原信息，用重放消息取代；可以在一个合法有效的时间窗内重放一个带时间戳的可以在一个合法有效的时间窗内重放一个带时间戳的消息。消息。后后 果果(1)(1)扰乱接收者正常的工作。扰乱接收者正常的

11、工作。 (2)(2)窃取会话密钥，假扮成一个通信方欺骗其他人。窃取会话密钥，假扮成一个通信方欺骗其他人。最坏情况下可能导致对手获取会话密钥，或成功地冒充最坏情况下可能导致对手获取会话密钥，或成功地冒充其他人；至少也可以干扰系统的正常运行，处理不好其他人；至少也可以干扰系统的正常运行，处理不好将导致系统瘫痪。将导致系统瘫痪。常见的消息重放攻击形式常见的消息重放攻击形式(补充补充)(1)(1)简单重放简单重放: :攻击者简单复制一个报文攻击者简单复制一个报文, ,以后再重新发送它以后再重新发送它; ;(2)(2)可被日志记录的重放可被日志记录的重放: :攻击者可以在一个有效的时间窗内攻击者可以在一

12、个有效的时间窗内重放一个带时间戳的报文重放一个带时间戳的报文; ;(3)(3)不能被检测到的重放不能被检测到的重放: :原始报文已经被拦截原始报文已经被拦截( (丢失丢失),),无法无法到达目的地到达目的地, ,而只有重放的报文到达目的地。而只有重放的报文到达目的地。(4)(4)不做修改的反向重放不做修改的反向重放: :向消息发送者重放。当采用传统对向消息发送者重放。当采用传统对称加密方式时，这种攻击是可能的。因为消息发送者不能简称加密方式时，这种攻击是可能的。因为消息发送者不能简单地识别发送的消息和收到的消息在内容上的区别。单地识别发送的消息和收到的消息在内容上的区别。重放攻击预防方式重放攻

13、击预防方式(补充补充)l报文序号方式报文序号方式: :在认证交换中使用一个序数来给每一个消在认证交换中使用一个序数来给每一个消息报文编号。仅当收到的消息序数顺序合法时才接受之。息报文编号。仅当收到的消息序数顺序合法时才接受之。但这种方法的困难是要求双方必须保持上次消息的序号但这种方法的困难是要求双方必须保持上次消息的序号（事实上不可行事实上不可行）。两种更为一般的方法是：）。两种更为一般的方法是：l时间戳方式时间戳方式: :(1)(1)在报文中附加发送的时间戳；接收时只有报文时间戳与在报文中附加发送的时间戳；接收时只有报文时间戳与本地时间足够接近时，才认为是一个合法的新报文。本地时间足够接近时

14、，才认为是一个合法的新报文。(2)(2)需要考虑的问题：需要考虑的问题：通信各方的时钟同步比较困难；通信各方的时钟同步比较困难；时间窗口的大小如何确定。时间窗口的大小如何确定。时间戳方法的问题时间戳方法的问题(补充补充)(1)(1)协议需要在各种处理器的时钟中维持同步。该协议必须既协议需要在各种处理器的时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击。要容错以对付网络出错，又要安全以对付重放攻击。(2)(2)由于某一方的时钟机制故障可能导致临时失去同步，这将由于某一方的时钟机制故障可能导致临时失去同步，这将增大攻击成功的机会。增大攻击成功的机会。(3)(3)由于变化的和

15、不可预见的网络延迟的本性，不能期望分布由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步。因此，任何基于时间戳的认证必式时钟保持精确的同步。因此，任何基于时间戳的认证必须采用须采用的方式来处理：一方面时间窗应足够大以包的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方面时间窗应足够小以最大限度地减小容网络延迟，另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。遭受攻击的机会。由于时间戳技术固有的困难由于时间戳技术固有的困难,很难用于面向连接的应用很难用于面向连接的应用实际中，安全的时间服务器用以实现时钟同步可能是实际中，安全的时间服务器用以实现时钟同步可能是最好的

16、方法。最好的方法。盘问盘问/ /应答方式应答方式(补充补充)（Challenge/ResponseChallenge/Response）A A期望从期望从B B获得一个新消息，首先获得一个新消息，首先发给发给B B一个一个现时现时nonce(challenge)nonce(challenge)，并要求后续从，并要求后续从B B收到收到的消息（的消息（responseresponse）包含这个正确的现时。）包含这个正确的现时。l盘问盘问/ /应答方法不适应非连接性的应用，因为它要求在应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销。传输开始之前先有握手的额外开销。可能攻击

17、形式多样性,导致要设计一个完美的鉴别协议非常困难。采用加密方式怎样实现相互鉴别？基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别 初始方案初始方案(补充补充)1 1、须具备的条件、须具备的条件l可信的密钥分配中心（可信的密钥分配中心（KDCKDC）；）；l通信各方都与通信各方都与KDCKDC共享一个主密钥共享一个主密钥, ,主密钥主密钥K Ka a和和K Kb b是安全。是安全。2 2、目的、目的:KDC:KDC为通信双方为通信双方A A、B B产生短期的会话密钥产生短期的会话密钥K Ks s。3 3、工作过程：、工作过程：(1)A (1)A KDC KDC：IDIDA A | ID| I

18、DB B | N| N1 1(2)KDC (2)KDC A A：E EKaKa K Ks s | ID | IDB B | N| N1 1 | E| EKb Kb (K(Ks s | | IDIDA A) ) (3)(3)A A B B：E EKb Kb K Ks s | ID| IDA A (4)(4)B B A A：E EKs Ks NN2 2 (5)(5)A A B B：E EKs Ks f f (N(N2 2)现时现时基于对称密钥加密的相互鉴别过程基于对称密钥加密的相互鉴别过程初始方案初始方案(补充补充)(1)A(1)A在会话开始时首先向在会话开始时首先向KDCKDC发送报文，包含发送

19、报文，包含A A和和B B的标识和一个与时间相关的的标识和一个与时间相关的现时标识符现时标识符N N1 1 。(2)A(2)A就可安全地从就可安全地从KDCKDC获得一个新的会话密钥获得一个新的会话密钥K Ks s 。(3)A(3)A将用将用K Kb b加密的会话密钥加密的会话密钥K Ks s发送给发送给B B，这个会话密钥只有，这个会话密钥只有B B能够通过解密获得。能够通过解密获得。(4)B(4)B向向A A发送用会话密钥加密的现时值发送用会话密钥加密的现时值N N2 2，向，向A A证实证实B B已经正确获得了会话密钥已经正确获得了会话密钥 K Ks s(5)A(5)A使用新建立的会话密

20、钥使用新建立的会话密钥K Ks s对对f(Nf(N2 2) )加密后返回给加密后返回给B B 基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别初始方案初始方案(补充补充)改改 进进 方方 案案(1)(1)增加时间戳机制增加时间戳机制 ：需要通信各方周期性地与：需要通信各方周期性地与KDCKDC通信进行时通信进行时钟校准。钟校准。 (2)(2)通信时使用现时握手。通信时使用现时握手。 (3)1(3)1，2 2两种方案的结合。两种方案的结合。这种鉴别方案中存在什么漏洞？这种鉴别方案中存在什么漏洞？容易遭到重放攻击容易遭到重放攻击如：使用过期的会话密钥，如：使用过期的会话密钥，X X可冒充可冒充

21、A A，使用过期密钥，并重放，使用过期密钥，并重放第第3 3步的报文，就可以欺骗步的报文，就可以欺骗B B。除非。除非B B存储所有的使用过的会话存储所有的使用过的会话密钥。密钥。基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别带时间戳方案带时间戳方案(补充补充) 假定主密钥假定主密钥Ka,KbKa,Kb是安全的。是安全的。(1)A(1)AKDC:IDKDC:IDA A|ID|IDB B(2)KDC(2)KDCA:EA:EKaKaKKs s|ID|IDB B|T|E|T|EKbKb(K(Ks s|ID|IDA A|T)|T)(3)A(3)AB:EB:EKbKbKKs s|ID|IDA A|

22、T|T(4)B(4)BA:EA:EKsKsNN1 1 (5)A(5)AB:EB:EKsKs f f(N(N1 1) C C本地时钟的时间值本地时钟的时间值, , t t1 1是是KDCKDC时钟与本地时钟的正常偏差时钟与本地时钟的正常偏差, , t t2 2是网络的正常时延值。各个节点的本地时钟参照某个标准时钟是网络的正常时延值。各个节点的本地时钟参照某个标准时钟来设定。来设定。21ttTCT T是时间戳是时间戳解决方案解决方案(1)(1)通信各方周期性的与通信各方周期性的与KDCKDC通信进行时钟校准；通信进行时钟校准；(2)(2)通信时使用现时握手通信时使用现时握手, ,免除时钟同步负担。

23、免除时钟同步负担。基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别带时间戳方案带时间戳方案(补充补充) 如何安全可信的通过网络进行时钟同步如何安全可信的通过网络进行时钟同步? ?危险危险: :若各节点分布式时钟不同步，协议将受重放攻击。节点若各节点分布式时钟不同步，协议将受重放攻击。节点之间的时钟不同步通常是由于时钟或同步部件的故障造成的之间的时钟不同步通常是由于时钟或同步部件的故障造成的, ,也可能也可能是人为破坏。也可能也可能是人为破坏。抑制抑制- -重放攻击重放攻击: :如果发送方的时钟快于接收方的时钟如果发送方的时钟快于接收方的时钟, ,攻击者攻击者可以窃听到发送端的报文可以窃听到

24、发送端的报文, ,由于报文中的时间戳比接收方的本由于报文中的时间戳比接收方的本地时钟提前地时钟提前, ,攻击者可以等到接收方时钟等于报文时间戳时重攻击者可以等到接收方时钟等于报文时间戳时重放该报文。放该报文。基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别有效时限和现时方案有效时限和现时方案 (补充补充)(1)AB:ID(1)AB:IDA ANNa a(2)BKDC:ID(2)BKDC:IDB BNNb bEEKbKb(ID(IDA ANNa aTTb b) )(3)KDCA:(3)KDCA:E EKaKa(ID(IDB BNNa aKKs sTTb b)E)EKbKb(ID(IDA AK

25、Ks sTTb b)N)Nb b(4)AB:E(4)AB:EKbKb(ID(IDA AKKs sTTb b)E)EKsKs(N(Nb b) )A A产生现时产生现时NaNa发给发给B,B,会话密钥由会话密钥由KDCKDC分发给分发给A A时时,A,A验证返回的验证返回的NaNa实实现时效性现时效性通知通知KDCKDC向向A A发布一个信任的发布一个信任的票据票据票据接收者票据接收者IDIDA A, ,过期时过期时间间T Tb b,N,Na aK Ks s会话密钥会话密钥,T,Tb b使用时限使用时限,ID,IDB B用用于证实于证实B B收到初始报文收到初始报文,N,Na a检测检测重放攻击。

26、重放攻击。鉴别票据鉴别票据B B利用利用K Ks s解密解密N Nb b鉴鉴别别A A增加时间戳和现时握手后的协议过程：增加时间戳和现时握手后的协议过程：(1)A(1)A发起鉴别交换，首先产生一个现时值发起鉴别交换，首先产生一个现时值NaNa，并加上，并加上A A的标识的标识IDAIDA已明文的形式发给已明文的形式发给B B。在会话密钥分发给。在会话密钥分发给A A的时候，的时候，NaNa将同将同时被返回给时被返回给A A，A A通过验证通过验证NaNa的值来实现时效性。的值来实现时效性。(2)B(2)B向向KDCKDC申请会话密钥。申请会话密钥。B B向发往向发往KDCKDC的报文包括其标识

27、的报文包括其标识IDBIDB和和另一个现时值另一个现时值Nb,NbNb,Nb的作用也是为了保证报文的时效性。的作用也是为了保证报文的时效性。B B发往发往K D CK D C 的 报 文 中 还 包 括 一 个 用的 报 文 中 还 包 括 一 个 用 K bK b 密 钥 加 密 的 数 据 段密 钥 加 密 的 数 据 段E EKbKb(ID(IDA A|N|Na a|T|Tb b),),其作用是通知其作用是通知KDCKDC向向A A发布一个信任的票据。发布一个信任的票据。B B向向KDCKDC说明票据的接收者说明票据的接收者IDAIDA和过期时间和过期时间TbTb及及A A发来的发来的N

28、aNa等信息。等信息。基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别有效时限和现时方案有效时限和现时方案(补充补充) (3)KDC(3)KDC将一个用于鉴别的票据将一个用于鉴别的票据E EKbKb(ID(IDA A|N|Na a|T|Tb b) )发给发给A A。这个票。这个票据是用据是用KbKb加密的。同时，加密的。同时，KDCKDC还向还向A A传送了用传送了用KaKa加密的分组，加密的分组，其中其中KsKs是会话密钥，是会话密钥，TbTb给出了会话密钥的使用时限，给出了会话密钥的使用时限，IDBIDB用于用于证明证明B B已经收到初始报文，已经收到初始报文，NaNa能够检测重放攻击

29、。能够检测重放攻击。(4)A(4)A将票据和加密后的将票据和加密后的NbNb传送给传送给B B。B B使用票据中恢复出来的密使用票据中恢复出来的密钥来解密钥来解密NbNb，通过解密，通过解密NbNb就能鉴别报文是不是来自就能鉴别报文是不是来自A A，或是一，或是一次重放攻击。次重放攻击。基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别有效时限和现时方案有效时限和现时方案(补充补充) 方方 案案 优优 点点(1)(1)为为ABAB双方建立会话提供了一种安全有效的会话密钥交换双方建立会话提供了一种安全有效的会话密钥交换方式。协议中过期时间方式。协议中过期时间TbTb的参考时钟是节点的参考时钟是

30、节点B B的本地时间，的本地时间，也仅有也仅有B B对其进行检验。对其进行检验。(2)A(2)A可保存能够可保存能够 用于鉴别用于鉴别B B的票据，可以鉴别与鉴别服务器的票据，可以鉴别与鉴别服务器的多次交互。如的多次交互。如:A:A、B B已建立的会话终止了。已建立的会话终止了。A A要与要与B B建立新建立新会话，会话，A A保存了原有票据，在密钥有效期内，建立安全会话保存了原有票据，在密钥有效期内，建立安全会话: :1AB:E1AB:EKbKb(ID(IDA AKKs sTTb b)N)Na a2BA:N2BA:Nb bEEKsKs(N(Na a) )3BA:E3BA:EKsKs(N(Nb

31、 b) ) 基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别有效时限和现时方案有效时限和现时方案(补充补充) B B检验收到票据是检验收到票据是否过期。否过期。 NaNa和和NbNb预防预防重放攻击重放攻击基于公开密钥加密的相互鉴别基于公开密钥加密的相互鉴别 时间戳鉴别方案时间戳鉴别方案(补充补充)在公钥鉴别方案中在公钥鉴别方案中, ,认证中心认证中心(AS)(AS)用作通信双方公钥保存与分发。用作通信双方公钥保存与分发。(1)AAS:ID(1)AAS:IDA AIDIDB B(2)ASA:C(2)ASA:CA ACCB B(3)AB:C(3)AB:CA ACCB BEEKUbKUb(E(

32、EKRaKRa(KsT)(KsT)A A的公钥和私钥分别为的公钥和私钥分别为K KUaUa和和K Krara; ;B B的公钥和私钥分别为的公钥和私钥分别为K KUbUb和和K KRbRb; ;AS(AS(鉴别中心鉴别中心) )的公钥和私钥分别为的公钥和私钥分别为K KUasUas和和K KRasRas; ;C CA A=E=EKRasKRas(ID(IDA AKKUaUaT),AT),A的公开密钥证书的公开密钥证书; ;C CB B=E=EKRasKRas(ID(IDB BKKUbUbT),BT),B的公开密钥证书。的公开密钥证书。ASAS只提供公钥证书只提供公钥证书KsKs由由A A选择和

33、加密，无泄露危险选择和加密，无泄露危险防止重放攻击防止重放攻击不足？时钟同步基于公开密钥加密的相互鉴别基于公开密钥加密的相互鉴别现时方案现时方案 (补充补充)(1)AKDC:ID(1)AKDC:IDA AIDIDB B(2)KDCA:E(2)KDCA:EKRkKRk(ID(IDB BKKUbUb) )(3)AB:E(3)AB:EKUbKUb(N(Na aIDIDA A) )(4)BKDC:ID(4)BKDC:IDB BIDIDA AEEKUkKUk(N(Na a) )(5)KDCB:E(5)KDCB:EKRkKRk(ID(IDA AKKUaUa)E)EKUbKUb(E(EKRkKRk(N(Na

34、 aKKs sIDIDB B ) )(6)BA:E(6)BA:EKUaKUa(E(EKRkKRk(N(Na aKKs sIDIDB B)N)Nb b) )(7)AB:E(7)AB:EKsKs(N(Nb b) )以便以便KDCKDC对对KsKs进行标识进行标识保证保证KsKs是最新的是最新的E EKUbKUb的目的是保证的目的是保证EEKRkKRkNa|Ks|IDBNa|Ks|IDB不被对手截获并不被对手截获并试图建立与试图建立与A A的欺的欺骗性连接骗性连接(5)KDCB:(5)KDCB:E EKRkKRk(ID(IDA AKKUaUa)E)EKUbKUb(E(EKRkKRk (N (Na a

35、KKs sIDIDA AIDIDB B)(6)BA:E(6)BA:EKUaKUa(E(EKRkKRk(N(Na aKKs sIDIDA AIDIDB B)N)Nb b) )上述协议是一个比较安全的协议。可上述协议是一个比较安全的协议。可能存在不同用户产生重复能存在不同用户产生重复NaNa的可能性的可能性绑定绑定IDIDA A ，可将，可将N Na a看着看着是所有由是所有由A A产生的现时产生的现时中唯一的现时中唯一的现时身份认证协议身份认证协议 Kerberos Kerberosl是美国麻省理工学院（是美国麻省理工学院（MITMIT）开发的一种身份鉴别服务。）开发的一种身份鉴别服务。 lKe

36、rberosKerberos提供了一个提供了一个集中式的认证服务器结构集中式的认证服务器结构，认证服务，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。器的功能是实现用户与其访问的服务器间的相互鉴别。 lKerberosKerberos建立的是一个实现身份认证的框架结构。其实现建立的是一个实现身份认证的框架结构。其实现采用的是采用的是对称密钥对称密钥加密技术，而未采用公开密钥加密。加密技术，而未采用公开密钥加密。 l公开发布的公开发布的KerberosKerberos版本包括版本版本包括版本4 4和版本和版本5 5。 Kerberos 的设计目标的设计目标 (1)(1)安全性安全性:

37、:能够有效防止攻击者假扮成另一个合法的授权能够有效防止攻击者假扮成另一个合法的授权用户。用户。(2)(2)可靠性可靠性: :分布式服务器体系结构，提供相互备份。分布式服务器体系结构，提供相互备份。(3)(3)对用户透明性对用户透明性(4)(4)可伸缩可伸缩: : 能够支持大数量的客户和服务器。能够支持大数量的客户和服务器。总的来说，总的来说，KerberosKerberos协议设计目标是提供一种可信协议设计目标是提供一种可信的第三方的身份认证服务。的第三方的身份认证服务。Kerberos设计的基本思路设计的基本思路 ( 1 )( 1 ) 使 用 一 个使 用 一 个 ( ( 或 一 组或 一

38、组 ) ) 独 立 的 认 证 服 务 器独 立 的 认 证 服 务 器 ( A S -( A S -Authentication Server)Authentication Server)为网络中的客户提供身份认证服为网络中的客户提供身份认证服务；务； (2)(2)认证服务器认证服务器(AS),(AS),用户口令由用户口令由ASAS保存在数据库中；保存在数据库中；(3)AS(3)AS与每个服务器共享一个惟一保密密钥（已被安全分与每个服务器共享一个惟一保密密钥（已被安全分发）。发）。C:C:客户客户AS:AS:认证服务器认证服务器V:V:应用服务器应用服务器IDIDC C: :用户标识符用户标

39、识符 IDIDV V: :服务器标识符服务器标识符P PC C: :用户口令用户口令ADADC C:C:C网络地址网络地址K KV V:AS:AS与与V V共有的保密密钥共有的保密密钥一个简单的认证对话一个简单的认证对话(1)C(1)CAS:IDAS:IDC C|P|PC C|ID|IDV V(2)(2)ASASC:TicketC:Ticket(3)(3)C CV:IDV:IDC C|Ticket|TicketTicket=ETicket=EK KV VIDIDC C|AD|ADC C|ID|IDV V 保证对手无法切断保证对手无法切断(2),(2),冒充冒充C C发送发送(3)(3)服务器能

40、证实票服务器能证实票据解密的正确性据解密的正确性假定有一个用户登录到了一个工作站上假定有一个用户登录到了一个工作站上, ,它需要访问应用服务器它需要访问应用服务器V V上提供的服务上提供的服务, ,可采用以下认证过程：可采用以下认证过程：解决办法解决办法:(1):(1)票据重用票据重用(2)(2)引入票据许可服务器引入票据许可服务器(TGS)(TGS)a a、用于向用户分发服务器的访问票据；、用于向用户分发服务器的访问票据；b b、认证服务器、认证服务器ASAS并不直接向客户发放访问应用服务器的票据，并不直接向客户发放访问应用服务器的票据，而是由而是由 TGS TGS 服务器来向客户发放服务器

41、来向客户发放存在的主要问题存在的主要问题(1)(1)希望用户输入口令次数最少希望用户输入口令次数最少, ,尽量减少用户不便。若允许票据的多次使尽量减少用户不便。若允许票据的多次使用将导致安全性下降用将导致安全性下降; ;用户访问不同服务器时仍需要多次申请票据的过程。用户访问不同服务器时仍需要多次申请票据的过程。(2)(2)口令口令P Pc c以明文传送会被窃听。以明文传送会被窃听。KerberosKerberos中的票据中的票据1 1、服务许可票据（、服务许可票据（Service granting ticketService granting ticket） (1)(1)是客户访问服务器时需要

42、提供的票据；是客户访问服务器时需要提供的票据； (2)(2)用用TicketTicketV V表示访问应用服务器表示访问应用服务器V V的票据。的票据。 (3)Ticket(3)TicketV V定义为定义为EKEKv vIDIDC CADADC CIDIDV VTSTS2 2LTLT2 2 。2 2、票据许可票据、票据许可票据Ticket granting ticketTicket granting ticket）(1)(1)客户访问客户访问TGSTGS服务器需要提供的票据服务器需要提供的票据, ,目的是为了申请某一目的是为了申请某一个应用服务器的个应用服务器的“服务许可票据服务许可票据”；

43、(2)(2)票据许可票据由票据许可票据由ASAS发放；发放；(3)(3)用用TicketTickettgstgs表示访问表示访问TGSTGS服务器的票据；服务器的票据；(4)Ticket(4)Tickettgstgs在用户登录时向在用户登录时向ASAS申请一次，可多次重复使用；申请一次，可多次重复使用；(5)Ticket(5)Tickettgstgs定义为定义为E EKtgsKtgsIDIDC CADADC CIDIDtgstgsTSTS1 1LTLT1 1 。 票据生存时间票据生存时间客户客户C C与认证服务器与认证服务器ASAS认证服务阶段认证服务阶段(1)C(1)CAS:IDAS:IDC

44、 C|ID|IDtgstgs(2)AS(2)ASC:EC:EK KC CTicketTickettgstgs TicketTickettgstgs=E=EK KtgstgsIDIDC C|AD|ADC C|ID|IDtgstgs|TS|TS1 1|Lifetime|Lifetime1 1 利用票据许可票据申请服务许可票据利用票据许可票据申请服务许可票据(3)C(3)CTGS:IDTGS:IDC C|ID|IDv v|Ticket|Tickettgstgs(4)TGS(4)TGSC:TicketC:TicketV VTicketV=EKTicketV=EKV VIDIDC C|AD|ADC C|

45、ID|IDV V|TS|TS2 2|Lifetime|Lifetime2 2 特定服务许可票据访问相应的服务特定服务许可票据访问相应的服务(5)C(5)CV:IDV:IDC C|Ticket|TicketV V更安全的认证对话更安全的认证对话口令口令密钥密钥KC解密解密获取获取TicketTickettgstgs 防止对手在获取防止对手在获取TicketTickettgstgs后，后，等待等待C C退出登录再冒充退出登录再冒充C C登录登录仅仅ASAS和和TGSTGS知道知道K Ktgstgs存在问题存在问题1)1)票据许可票据有效期的确定。票据许可票据有效期的确定。2)2)用户对服务器身份的

46、认证。用户对服务器身份的认证。Kerberos V4Kerberos V4进一步研究。进一步研究。票据重用票据重用, ,避免用户避免用户口令重复输入口令重复输入用口令避免用口令避免P Pc c明文传输明文传输仅仅V V和和TGSTGS知道知道K KV VKerberos V4Kerberos V4认证过程示意图认证过程示意图 Kerberos V4Kerberos V4认证过程认证过程第第1 1阶段阶段: :认证服务器的交互认证服务器的交互, ,用于获取票据许可票据用于获取票据许可票据(1)CAS:ID(1)CAS:IDC CIDIDtgstgsTSTS1 1(2)ASC:E(2)ASC:EK

47、cKcKKC,tgsC,tgsIDIDtgstgsTSTS2 2LTLT2 2TicketTickettgstgs TicketTickettgstgs=E=EKtgsKtgsKKC,tgsC,tgsIDIDC CADADC CIDIDtgstgsTSTS2 2LTLT2 2 采用会话密钥保证使用票据的人就是申请票据采用会话密钥保证使用票据的人就是申请票据的人的人, ,避免票据重放攻击。即避免票据重放攻击。即: :由由ASAS产生产生C C和和TGSTGS之间的会话密钥之间的会话密钥, ,并安全地传送给并安全地传送给C C和和TGS;TGS;由由TGSTGS产生产生C C和和V V之间的会话密

48、钥之间的会话密钥, ,并安全地传送给并安全地传送给C C和和V V。供客户。供客户C C加密传输鉴别符加密传输鉴别符AuthenticatorAuthenticatorc c口令口令密钥密钥KCKC解密解密获取获取TicketTickettgstgsAS产生，产生，C和和TGS之间拥有之间拥有了会话密钥了会话密钥TGSTGS通过通过TicketTickettgstgs获获取取K Kc,tgsc,tgs 使使ASAS验证报文的及时性验证报文的及时性, ,验验证客户时钟是否与证客户时钟是否与ASAS同步同步仅仅ASAS和和TGSTGS知知道道KtgsKtgsKerberos V4Kerberos

49、V4认证过程认证过程第第2 2阶段阶段, ,票据许可服务器的交互票据许可服务器的交互, ,用于获取服务许可票据用于获取服务许可票据 (3)CTGS:ID(3)CTGS:IDV VTicketTickettgstgsAUAUC C(4)TGSC:E(4)TGSC:EKc,tgsKc,tgsKKC,VC,VIDIDV VTSTS4 4TicketTicketV V TicketTickettgstgs=E=EKtgsKtgsKKC,tgsC,tgsIDIDC CADADC CIDIDtgstgsTSTS2 2LTLT2 2 TicketTicketV V=E=EKvKvKKC,VC,VIDIDC

50、CADADC CIDIDV VTSTS4 4LTLT4 4 AUAUC C=E=EKc,tgsKc,tgsIDIDC CADADC CTSTS3 3 TGSTGS产生，产生，C C和和V V共同拥有共同拥有V通过通过TicketV获取获取Kc,v 生存期很短且仅使用生存期很短且仅使用一次一次,证明客户的身份证明客户的身份仅仅V V和和TGSTGS知道知道K KV V鉴别符鉴别符使得ADCADC是不可是不可重用的重用的, ,每个鉴每个鉴别符只有很短别符只有很短的生存期的生存期Kerberos V4认证过程认证过程(3)第第3 3阶段阶段, ,客户与应用服务器的交互客户与应用服务器的交互, ,用于

51、获得服务用于获得服务5)CV:Ticket5)CV:TicketV VAUAUC C(6)VC:E(6)VC:EKc,vKc,vTSTS5 5 + 1 + 1TicketTicketV V=E=EKvKvKKC,VC,VIDIDC CADADC CIDIDV VTSTS4 4LTLT4 4 AUAUC C=E=EKc,vKc,vIDIDC CADADC CTSTS5 5 生存期很短且仅使用一次生存期很短且仅使用一次证明拥有者证明拥有者TicketTicketv v的身份的身份可重用票据可重用票据向用户鉴别他们自己向用户鉴别他们自己Kerberos V4Kerberos V4认证过程示意图认证过

52、程示意图Kerberos Kerberos 领域领域(realm)(realm)构成构成: :一个完整的一个完整的 Kerberos Kerberos 环境包括一个环境包括一个KerberosKerberos服务服务器器, ,一组工作站和一组应用服务器。一组工作站和一组应用服务器。具有如下特征具有如下特征(1)Kerberos(1)Kerberos服务器数据库中拥有所有的用户服务器数据库中拥有所有的用户IDID和口令散和口令散列码列码; ;所有用户需要向所有用户需要向KerberosKerberos服务器注册。服务器注册。(2)(2)每个应用服务器都与每个应用服务器都与KerberosKerb

53、eros服务器共享一个密钥服务器共享一个密钥(3)(3)所有用户均在所有用户均在 Kerberos Kerberos 服务器上注册。服务器上注册。(4)(4)所有服务器均在所有服务器均在 Kerberos Kerberos 服务器上注册。服务器上注册。(5)(5)领域的划分是根据网络的管理边界来划定的。领域的划分是根据网络的管理边界来划定的。Kerberos Kerberos 领域间的互通领域间的互通1 1、跨领域的服务访问、跨领域的服务访问(1)(1)一个用户可能需要访问另一个一个用户可能需要访问另一个Kerberos Kerberos 领域中应用服务领域中应用服务器；器；(2)(2)一个应

54、用服务器也可以向其他领域中的客户提供网络服一个应用服务器也可以向其他领域中的客户提供网络服务。务。2 2、领域间互通的前提、领域间互通的前提(1)(1)支持不同领域之间进行用户身份鉴别的机制；支持不同领域之间进行用户身份鉴别的机制；(2)(2)互通领域中的互通领域中的 Kerberos Kerberos 服务器之间必须共享一个密钥；服务器之间必须共享一个密钥；(3)(3)两个两个 Kerberos Kerberos 服务器也必须进行相互注册。服务器也必须进行相互注册。 远程服务访问的认证过程远程服务访问的认证过程 (1)CAS:ID(1)CAS:IDC CIDIDtgstgsTSTS1 1(2

55、)ASC:E(2)ASC:EKcKcKKC,tgsC,tgsIDIDtgstgsTSTS2 2LTLT2 2TicketTickettgstgs (3)CTGS:ID(3)CTGS:IDtgsremtgsremTicketTickettgstgsAUAUC C(4)TGSC:E(4)TGSC:EKc,tgsKc,tgsKKC,tgsremC,tgsremIDIDtesremtesremTSTS4 4TicketTickettgsremtgsrem (5)CTGS(5)CTGSremrem:ID:IDVremVremTicketTickettgsremtgsremAUAUC C(6)TGS(6)

56、TGSremremC:EC:EKc,tgsrem Kc,tgsrem KKC,VremC,VremIDIDVremVremTSTS6 6TicketTicketVremVrem (7)CV(7)CVremrem:Ticket:TicketVremVremAUAUC CV Vremrem远程应用服务器远程应用服务器,TGS,TGSremrem远程远程TGSTGS服务器。服务器。KerberosKerberos跨领域认证交互跨领域认证交互向远程服务器向远程服务器VremVrem出示出示票据的用户已经在其本票据的用户已经在其本领域内经过了身份认证领域内经过了身份认证服务器可服务器可以根据自以根据自身

57、安全策身安全策略决定是略决定是否允许该否允许该用户的远用户的远程服务请程服务请求求Kerberos v4Kerberos v4的缺陷的缺陷(1)(1)依赖性依赖性: :加密系统的依赖性加密系统的依赖性, ,对对IPIP协议的依赖性和对时间依协议的依赖性和对时间依赖性。赖性。(2)(2)字节顺序字节顺序: :用户自定义。用户自定义。(3)(3)票据有效期票据有效期:8:8位字段来表示位字段来表示, ,有效期最小为有效期最小为5 5分钟分钟, ,最大约最大约为为2121小时。小时。(4)(4)认证转发能力认证转发能力: :不允许签发给一个用户的鉴别证书转发给不允许签发给一个用户的鉴别证书转发给其他

58、工作站或其他客户使用。其他工作站或其他客户使用。(5)(5)领域间的鉴别领域间的鉴别: :管理起来困难。管理起来困难。(6)(6)加密操作缺陷加密操作缺陷: :非标准形式的非标准形式的DESDES加密加密( (传播密码分组链接传播密码分组链接PCBC)PCBC)方式，易受攻击。方式，易受攻击。(7)(7)会话密钥会话密钥: :存在着攻击者重放会话报文进行攻击的可能。存在着攻击者重放会话报文进行攻击的可能。(8)(8)口令攻击口令攻击: :未对口令提供额外的保护，攻击者有机会进行未对口令提供额外的保护，攻击者有机会进行口令攻击。口令攻击。Kerberos v5Kerberos v5的改进的改进(

59、1)(1)加密系统加密系统: :支持使用任何加密技术。支持使用任何加密技术。(2)(2)通信协议通信协议:IP:IP协议外协议外, ,还提供了对其他协议的支持。还提供了对其他协议的支持。(3)(3)报文字节顺序报文字节顺序: :采用抽象语法表示（采用抽象语法表示（ASN.1ASN.1）和基本编码）和基本编码规则（规则（BERBER）来进行规范。）来进行规范。(4)(4)票据的有效期票据的有效期: :允许任意大小的有效期，有效期定义为一允许任意大小的有效期，有效期定义为一个开始时间和结束时间。个开始时间和结束时间。(5)(5)提供了鉴别转发能力提供了鉴别转发能力(6)(6)更有效的方法来解决领域

60、间的认证问题更有效的方法来解决领域间的认证问题(7)(7)口令攻击口令攻击: :提供了一种预鉴别提供了一种预鉴别(preauthentication)(preauthentication)机制机制, ,使口令攻击更加困难使口令攻击更加困难, ,但不能完全避免口令攻击。但不能完全避免口令攻击。零知识证明零知识证明lAlice: “我知道联邦储备系统计算的口令”lBob: “不，你不知道”lAlice：我知道lBob：你不知道lAlice：我确实知道lBob：请你的证实这一点lAlice：好吧，我告诉你。（她悄悄说出了口令）lBob：太有趣了！现在我也知道了。我要告诉华盛顿邮报lAlice：啊呀！