计算机网络安全导论--6数据鉴别课件

1、第五章 数据鉴别技术及其应用15.1 概论2通信活动中的数据威胁窃听了解通信的内容了解在后续的通信活动中冒充某一方所需的信息了解在后续的通信活动中向第三方冒充所需的信息了解进行脱机的口令分析所需的信息冒充：端系统冒充/中继系统冒充（拦截）使对方相信他的冒充身份，并获得利益偷换通信内容（如修改报文内容、改变报文次序、重复报文内容、或改变报文方向等）而不让双方察觉3鉴别的作用证实传输信息的真实性证实存储数据的真实性证实通信对方的真实性证实通信动作的真实性证实信息的时效性为通信行为的审计与仲裁提出依据4报文鉴别保证所收到信息的真实性的过程要求报文是由确认的发送方产生的报文内容没有被修改过报文是按与发

2、送时的相同顺序收到的5报文内容的鉴别鉴别码MAC通过加密算法产生Ek(M)需要使用密钥，因此与MIC不同发送与接收双方需要使用同样的过程相同的对称密钥对方的公钥6Data Authentication CodeANSI标准的MAC（X9.17）CBC方式的关联方法O1 = Ek(X1)， O2 = Ek(X2O1)， O3 = Ek(X3O2)， ON = Ek(XNON-1)取ON或ON的前M比特作为M的DACDAC可有效地防止冒充攻击7HMAC（RFC 2104）一种利用对称密钥K和单向函数H生成信息鉴别码的方法可直接使用现有的单向函数定义两个固定的填充串ipad = 0 x36重复B次o

3、pad = 0 x5C重复B次B为信息的字节长度，K是HMAC使用的密钥，而K是经填充之后的密钥。HMAC的计算公式为H(K opad | H(K ipad | M)8报文源的鉴别密钥共享的对称密钥对方的公钥存在密钥管理问题通行字事先预定要考虑时效性和顺序性管理简单但安全性差网络地址信任地址信任地址和用户名存在欺骗问题9报文时间性的鉴别将时间值作为加密的IV对报文进行编号使用预先约定的一次性通行字表先向接收方要一个标识，然后用这个标识发一个报文利用底层协议的顺序控制能力10身份认证识别明确并区分访问者的身份验证对访问者声称的身份进行确认认证的基本方法验证他知道什么，如口令验证他拥有什么，如通行

4、证或智能卡验证他的生物特征，如指纹或声音验证他的下意识动作的结果，如签名11口令管理根据用户的知识来进行身份鉴别口令攻击联机尝试脱机的字典攻击口令的保存分散存放集中存放变形存放：加密、加盐、散列125.2 基本鉴别方法13单向鉴别鉴别对方的真实性A向B表明身份（通常B是server，A是client）如果系统A是安全的，则攻击者不能冒充A最简单的方式是A向B出示口令重点防范“ 回放”攻击（replay）14使用对称加密方法的单向鉴别A和B双方共享密钥，通过加/解密来确认随机数据R每次不同，因此不能回放A和B双方安全性相关，一方被攻破，另一方也不安全安全改进B发送Ek(R)，由A解密，具有双向鉴

5、别的效果B发送Ek(时标)，由A判断是否接受，15基于公钥的单向鉴别 Im A B R方 选择一个随机数R 用A的隐蔽密钥加密 用A的公开密钥解密A方 A和B的安全无关 可以哄骗A解密，选择EA(X)作为R送给A16口令鉴别Lamport散列函数方法A在B处预先存放A的用户名，整数n，和hashn(password)当A需要向B作身份认证时，B返回n的当前值A计算 x = hashn-1(password)并送给BB将x再散列一次，并与当前存储的散列值比较若鉴别成功，则将x当作当前的散列值，且n的值减1若n递减为1，则重新设置口令S/keyOTP（RFC 2289、2243、2444）17On

6、e-Time Password方法的问题小数攻击若攻击者能拦截B的信息，则他可向A返回一个很小的m值，这样就获得了从hashm(P)到 hashn(P)的值，从而在一段时间内可冒充A。竞争条件攻击者发出认证请求后，等待并观察下一个合法的认证请求，利用A的返回值构造自己的返回值。18双向鉴别对称密钥A和B相互提出一个challenge存在桥接攻击非对称密钥相互使用对方的公钥公钥的真实性问题时标数据的时效性问题19Key Distribution Center承担一个Site的密钥集中管理工作减轻端系统的密钥保管负担有利于用户的移动容易构成安全的瓶颈Single Sign-On的概念 请求与B通信

7、A Ka(Kab,B),Kb(Kab,A) KDC B Kb(Kab,A)20Needham-Schroeder方法（1978年）AB KDC请求与B通信，N1Ka(N1,B,Kab),Kb(Kab,A)Kb(Kab,A),Kab(N2)Kab(N2-1,N3)Kab(N3-1)M1M2M3M4M5M3至M5存在回放攻击的可能21扩展的Needham-Schroeder方法（1987年）AB KDC请求与B通信Ka(N1,B,Kab),Kb(Kab,A,Nb)Kb(Kab,A,Nb),Kab(N2)Kab(N2-1,N3)Kab(N3-1)M1M2M3M4M5Kb(Nb)请求与B通信,N1,K

8、b(Nb)M6M722Secure Remote PasswordRFC2945 - Tomas Wu, Stanford Univ.一种独立于应用系统的双向鉴别与会话密钥建立机制基于用户标识和用户口令、离散对数系统和Diffie-Hellman交换机制不需使用可信的KDC或PKI主机端保存用户口令的密文，客户端不需要保存用户口令。23Secure Remote PasswordSRP是面向比特计算的，而TCP/IP协议套是面向字节的，因此需要定义n字节长的字符串S与整型数i之间的映射。 i = Sn-1 + 256 * Sn-2 + 2562 * Sn-3 + . + 256(n-1) *

9、S0Sx是S的第x个字节，且最高位在左边当进行逆转换时，S0必须是非0，所以填充是一个另外的独立过程，在转换时不考虑。24Secure Remote Password主机以三元组的形式存放用户的口令 , , = random()x = SHA( | SHA( | : | ) = v = gx mod N25SRP的密钥准备过程客户端主机端U = s = a = random()A = ga mod Nv = b = random()B = (v + gb) mod N如果B mod N0，客户端要立即终止认证过程；同样如果主机发现A mod N0，也要立即终止认证过程。26SRP的密钥建立过程

10、对于p = x = SHA(s | SHA(U | : | p)v = gx mod N客户端计算S = (B - gx) (a + u * x) mod N；主机端计算S = (A * vu) b mod N。双方建立会话密钥 K = SHA_Interleave(S)27SHA_Interleave函数首先去掉输入值的所有先导零，如果剩余的串长是奇数，则再去掉第一个字节，得到字符串T。将T的奇数字节并置成E串，将T的偶数字节并置成F串E = T0 | T2 | T4 | F = T1 | T3 | T5 | 对E和F作正常的SHA1散列操作G = SHA(E)H = SHA(F)将G和H交

11、错起来，便得到40字节（320比特）长的最终结果result = G0 | H0 | G1 | H1 | . | G19 | H1928SRP的鉴别过程客户端主机端 M = H(H(N) H(g) | H(U) | s | A | B | K)H(A | M | K)主机方在作出响应之前要使用自己的 K来计算 M，如果与客户端发来的不匹配，则要终止认证过程，并向对方报错；如果匹配正确，则按要求返回应答。客户端也要自己的 K来验证主机方发来的 M的正确性，出现错误则要向主机报告。29SRP的快捷模式客户端主机端 M = H(H(N) H(g) | H(U) | s | A | B | K)H(A

12、 | M | K)U，As，B30群鉴别对源点的鉴别非对称密钥方法效率低基于公钥的逆向CBC方法发送者将后一个报文的散列值用私钥加密作为前一个报文的摘录，依此类推形成逆向的摘录链非流式方法，效率高，但对网络可靠性要求也高基于对源点的共享密钥验证方法源点发送的每个报文带n个不同密钥的摘录，接收者拥有其中k个密钥（kn），并根据自己所掌握的密钥验证报文的真实性如果部分接收者能够拥有全部密钥，则他们可能联合作弊5.3 KERBEROS系统32概述面向会话的分布式鉴别与安全服务平台可以在不安全的网络环境中为用户对远程服务器的访问提供自动的鉴别、数据安全性和完整性服务，以及密钥管理服务基于KDC和Nee

13、dham-Schroeder方法支持用户的漫游静态的主密钥与动态的会话密钥V4和V533基本概念主体 principal系统的用户/应用进程客体 client网络中的主机，主体的宿主系统鉴别服务器 AS提供KDC服务的系统会话 session用户登录进网络（login，开始使用KERBEROS服务）到退出网络（logout）的这段时间TGT ticket-granting ticket会话密钥的申请依据34获得TGT用户为了访问网络资源，必须首先从KDC处获得TGT和会话密钥Sa口令的传送通常用散列函数保护 (Ka) 用户名，口令 AS_REQ A 请求TGT 客户 KDC AS_REP Ka

14、(Sa,TGT)令TGT=KKDC(A,Sa)35用户与KDC之间的鉴别每当用户要发起远程访问时，他必须首先向KDC申请远程访问所用的会话密钥使用时标作为NONCErlogin B TGS_REQ A 客户 KDCTGS_REP A要与B通信TGT，Sa(时标)Sa(B,Kab,Kb(A,Kab)36用户之间的鉴别用户在开始正式的数据交换之前要进行相互的鉴别，同时发起方要将KDC产生的通知单转发给响应方ABAP_REQ Kb(A,Kab),Kab(时标)AP_REP Kab(时标+1)37跨域的鉴别方式TGS_REQ(AX,yY)KDC XATGS_REQ(AX, BY)BKDC YAP_RE

15、QAP_REPKay(Y,Kab,Kb(A,Kab)Sa(Y,Kay,Ky(A,Kay)38加密机制使用CBC加密方式的一个变形PCBC（Plaintext Cipher Block Chaining）来实现数据的加密和完整性维护Cn+1 = E(mn+1 cn mn)Mn = D(Cn) Cn-1 Mn-1当ci被修改后，从mi到最后的所有报文均受到影响检查明文之后并置的常量即可不能发现错序问题39V5系统的代理机制有限的代理 Proxy ticketA将所有远程访问所需的通知书申请好，并送给B，由B去具体代替A执行远程访问；这时A必须拥有一种可代理的TGT，指明谁可以使用它授权的委托 Fo

16、rwardable ticketA申请一个特殊的TGT给B，B可用它来代表A向KDC申请访问资源所需的通知书。这种TGT称为可转让的，它允许改变其中的网络地址可更新的通知书 renewable ticket要求用户定期向KDC更新此通知书事前的通知书 postdated ticket设置的起始时间不是现在40多域的控制V4采用直接信任法用户必须与被访问对象所在域的KDC进行鉴别交互V5采用可靠路径法KDC之间允许存在信任关系，但必须记住在鉴别过程中所涉及的KDC，以检查是否满足信任关系双TGT问题415.5 公平数据服务42信息承诺 bit commitment一种基于鉴别的信息服务用户A希望

17、别人能够承认他的一段信息的内容（的真实性），但又不想立即就将内容公开出来进行证实，要直到未来的某个时刻。基本形式A提出一个B未知的信息B希望A提出的这个信息到它被公布之前不能再被改变A和B都不希望最后的判定要借助于第三方43Coin FlippingA产生一个随机数X，计算 Y = H(X)并送给BB猜测X的奇偶性，并将结果告诉AA将X送给B，双方可以确认结果A改变B的猜测怎么办？基于RSA的方法双方约定猜奇数还是偶数A产生一个奇数m1和一个偶数m2，计算EA(m1)，EA(m2)并送给BB选择M=EA(m1)，或M=EA(m2)，计算EB(EA(M)并送给AA计算DA(EB(EA(M) =

18、EB(M)，并送给BB计算DB(EB(M) = M，并送给A44时标服务用于区分两个通信活动的先后次序，和确定某个通信活动的发生时间基于中立的时标服务器T，保存用户A的数据加时标的散列值时标记录的保存应与产生者分离链接协议防止A与T联合作弊来欺骗用户BTn = Sk(n,A,Hn,tn,In-1,Hn-1,Tn-1,Ln)Ln = H(In-1, Hn-1, Tn-1, Ln-1)45略 电子货币网络选举PEM46第六章 数据安全服务的应用6.2 Pretty Good Privacy47What is PGPInternet上一个著名的共享加密软件，可独立提供数据加密、数字签名、密钥管理等功

19、能PGP是在九十年代初，由美国软件工程师Philip R. Zimmermann开发的，并通过USENET逐渐流传开来IETF在安全领域有一个专门的工作组负责进行PGP的标准化工作它的传播和使用完全由使用者自行控制掌握，它通过数字签名所形成的信任链将彼此信任的用户关联起来48PGP所使用的主要机制数字签名：DSS/SHA或RSA/SHA数据加密：CAST/IDEA/3key-DES/RSA数据压缩：ZIP数据编码：Radix 64-convension将三个ASCII字符用4个6比特来表示，从而用4个7比特字符传输。49基本工作方式(1) A使用MD5对信息M产生信息摘录D(2) A使用自己的隐蔽密钥SKA对D进行加密，得到签名C(3) A对信息M进行压缩得到ZM(4) A获得B的公开密钥PKB(5) A随机产生一个IDEA的密钥K(6) A按IDEA算法对ZM使用K进行加密(7) A使用PKB对K进行加密，并把结果放在信息的开头(8) A对结果作7比特的编码处理(9) A把信息发送给B50基本工作方式(10) B把7比特编码信息还原成8比特编码(11 )B使用自己的隐蔽密钥SKB解出K(12) B使用K对加密信息进行解密，得到ZM(13) B对ZM解