第三章电子商务之认证技术

1、第三章 认证(rnzhng)技术共八十三页目录(ml)3.1 消息认证3.2 身份认证3.3 口令(kulng)机制3.4 零知识证明3.5 其他身份认证机制3.6 单点登录技术共八十三页密码学的基本概念 认证（Authentication）又称鉴别(jinbi)是验证通信对象是原定者而不是冒名顶替者（身份认证），或者确认收到的消息是希望的而不是伪造的或被篡改过的（消息认证）。认证技术的实现通常要借助于加密和数字签名等密码学的技术。实际上，数字签名本身也是一种认证技术，它可用来鉴别消息的来源。 共八十三页3.1 消息(xio xi)认证消息认证是一个过程，用来验证接收消息的真实性（的确是由它所

2、声称的实体发来的）和完整性（未被篡改、插入、删除），同时还可用来验证消息的顺序性和时间性（未重排、重放、延迟）。 利用对称加密(ji m)体制实现消息认证利用公钥加密体制实现消息认证利用散列函数实现消息认证 利用MAC实现消息认证共八十三页利用(lyng)对称加密体制实现消息认证MEKEK(M)DMKBobAlice发送(f sn)方A和接收方B事先共享一个密钥提供保密、提供认证不能提供签名共八十三页利用对称加密体制(tzh)实现消息认证（1）它能提供鉴别：可确认消息只能发自A，传输途中未被更改；（2）提供保密性：因为只有A和B知道密钥k；（3）不能提供数字签名：接收方可以伪造消息，发送(f

3、sn)方可以抵赖消息的发送(f sn) 共八十三页利用公钥加密(ji m)体制实现消息认证 公钥加密(ji m)：保密性MEKaEKa(M)DMKaBobAlice提供保密不能提供认证共八十三页利用公钥加密体制实现(shxin)消息认证 私钥加密(ji m)：认证与签名MDKbEKb(M)EMKbBobAlice提供认证提供签名共八十三页利用公钥加密体制实现(shxin)消息认证私钥签名(qin mng)再公钥加密：保密、认证与签名(qin mng)MDKaEKa(Dkb(M)DKaEKbDkb(M)Dkb(M)EKbMBobAlice提供保密、提供认证提供签名共八十三页利用(lyng)公钥加

4、密体制实现消息认证先公钥加密(ji m)再私钥签名：保密、认证与签名MEKbEKb(Eka(M)EKbDKaEa(M)Eka(M)DKaMBobAlice提供保密、提供认证、提供签名较少使用，先对消息加密再签名不合常理共八十三页利用散列函数实现消息(xio xi)认证 回顾散列函数的特性哈希函数、摘要函数输入：任意长度的消息报文 M输出(shch)：一个固定长度的散列码值 H(M)是报文中所有比特的函数值单向函数共八十三页Hash函数(hnsh)的分类根据是否使用密钥带秘密密钥的Hash函数:消息(xio xi)的散列值由只有通信双方知道的秘密密钥K来控制。此时，散列值称作MAC。不带秘密密钥

5、的Hash函数：消息的散列值的产生无需使用密钥。此时，散列值称作MDC。Hash函数需满足以下条件：输入x可以为任意长度，输出为固定长度正向计算容易，反向计算困难抗冲突性(无冲突性）共八十三页利用散列函数实现(shxin)消息认证散列函数(hnsh)的基本用法（a）M|H(M)HKHM比较EKMDMBobAliceEK(M|H(M)提供保密、提供认证共八十三页利用(lyng)散列函数实现消息认证散列函数(hnsh)的基本用法（b）M|KEK(H(M)HHM比较EDBobAliceK提供认证共八十三页利用散列函数实现消息(xio xi)认证散列函数的基本(jbn)用法（c）M|KbDKb(H(M

6、)HHM比较DEBobAliceKb提供认证共八十三页利用散列函数(hnsh)实现消息认证散列函数的基本(jbn)用法(d)M|KDKb(H(M)HHM比较EDBobAliceKMMDKbEKbEk(M|DKb(H(M)提供保密提供认证共八十三页利用散列函数(hnsh)实现消息认证散列函数(hnsh)的基本用法（e）M|H(M|S)|HM比较BobAliceSS|H提供认证共八十三页利用散列函数实现消息(xio xi)认证散列函数的基本(jbn)用法（f）M|H(M|S)|KHM比较EKMDMBobAliceEK(M|H(M|S)SS|H提供保密提供认证共八十三页利用(lyng)MAC实现消息

7、认证消息认证码：使用一个密钥生成一个固定大小的短数据块，并将该数据块加载到消息后面，称MAC（或密码校验和）MACCk（M）MAC函数类似于加密(ji m)函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少共八十三页利用MAC实现消息(xio xi)认证MAC的基本用法(yn f)：消息认证AliceBobM|KCK(M)CKCM比较提供认证不能提供保密、签名共八十三页利用MAC实现消息(xio xi)认证MAC的基本用法：与明文(mngwn)有关的认证M|K1CK(M)CK2CM比较EK2MDK1MAliceBob提供保密、提供认证共八十三页利用MAC实现(shxin)消息认证MA

8、C的基本用法：与密文有关(yugun)的认证M|K1CK1(Ek2(M)CCM比较EK2K1MMDK2BobAliceEk2(M)提供保密、提供认证共八十三页目录(ml)3.1 消息认证3.2 身份认证3.3 口令机制3.4 零知识证明3.5 其他(qt)身份认证机制3.6 单点登录技术共八十三页身份(shn fen)认证身份认证的定义：声称者向验证者出示自己的身份的证明过程(guchng)证实客户的真实身份与其所声称的身份是否相符的过程身份认证又叫身份鉴别、实体认证、身份识别认证目的： 使别的成员（验证者）获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关卡。共八十三页身

9、份(shn fen)认证的依据 用户所知道(zh do)的某种信息（Something the user knows），如口令或某个秘密。用户拥有的某种物品（Something the user possesses），如身份证、银行卡、密钥盘、IP地址等。用户具有的某种特征（Something the user is or how he/she behaves），如指纹、虹膜、DNA、脸型等。同时使用两种依据的认证叫做双因素（Two-factor）认证方式共八十三页身份认证系统(xtng)的组成 一方是出示证件的人，称为示证者P(Prover)，又称声称者(Claimant)。另一方验证者V(

10、Verifier)，检验声称者提出的身份(shn fen)的正确性和合法性，决定是否满足其要求。第三方是可信赖者TP(Trusted third party)， 可信赖者TP声称者P验证者V鉴别信息共八十三页身份(shn fen)认证的分类 身份认证(rnzhng)可分为单向认证和双向认证。单向身份认证是指通信双方中只有一方向另一方进行认证双向身份认证是指通信双方相互进行认证 身份认证还可分为非密码的认证机制和基于密码算法的认证机制。共八十三页目录(ml)3.1 消息认证3.2 身份(shn fen)认证3.3 口令机制3.4 零知识证明3.5 其他身份认证机制3.6 单点登录技术共八十三页口

11、令(kulng)机制 口令是目前使用最广泛的的身份认证机制。从形式上看，口令是字母、数字或特殊字符构成的字符串，只有被认证者知道。提示：银行卡密码、邮箱(yuxing)登录密码、保险柜密码等，准确地说应该叫口令，因为密码（密钥）是用来加密信息的，而口令是用来作为某种鉴别的秘密 共八十三页口令的基本(jbn)工作过程 第一步：系统(xtng)提示用户输入用户名和口令 第二步：用户输入用户名和口令，使用户名和口令以明文形式传递到服务器上， 客户机确 定取 消登录屏幕用户名： 密 码： 客户机登录请求服务器ID=adminPassword=tang4共八十三页口令(kulng)的基本工作过程第三步：

12、服务器验证用户名和口令(kulng)第四步：服务器通知用户 ID Passwordtade df324rest hr45admin tang4 服务器用户鉴别程序ID=adminPassword=tang4用户数据库客户机登录成功服务器欢迎admin，您可以1. 查看账户2. 转账汇款共八十三页口令机制的身份认证(rnzhng)模型该口令认证模型(mxng)包括声称者和验证者，上图中的客户机是声称者，而保存有用户数据库的服务器是验证者 ID口令ID口令比较声称者验证者共八十三页口令机制(jzh)面临的威胁ID口令ID口令比较声称者验证者危及(wij)验证者的攻击线路窃听重放攻击共八十三页对付线

13、路(xinl)窃听的措施必须在客户端对口令进行加密，可以使用单向(dn xin)散列函数在客户端对口令进行加密，而服务器端也只保存口令的散列值 IDpIDp比较声称者验证者f口令pID共八十三页数据库中存放(cnfng)的是加密的口令口令经MD5算法(sun f)加密后的密文共八十三页对付(du fu)字典攻击存在的缺陷是：由于散列函数的算法是公开的，攻击者可以设计一张p和p的对应表（称为口令字典），其中p是攻击者猜测的所有可能的口令，然后计算每个p的散列值p。接下来，攻击者通过截获鉴别信息p，在口令字典中查找p对应的口令p，就能以很高的概率获得声称者的口令，这种方式称为字典攻击。对付这种攻击

14、的方法可以将单向散列函数对ID和口令p的连接串求散列值，即p=f(p, id) 。这样(zhyng)攻击者截获鉴别信息p后，必须针对每个ID单独设计一张(p,id)和p的对应表，大大增加了攻击的难度 共八十三页对付线路(xinl)窃听和字典攻击IDpIDp比较声称者验证者f口令pID共八十三页对付危及(wij)验证者的攻击对口令系统的另一个潜在威胁是，通过内部攻击危及验证者的口令文件或数据库，如不怀好意的系统管理员可能会窃取用户数据库中的口令从事非法用途。这种攻击会危及到系统中所有用户的口令。 对付危及验证者的攻击的措施：首先应保证用户口令不能以明文(mngwn)形式存放在验证端数据库中。前面

15、介绍的对付线路窃听的措施为对抗这种攻击提供了好处 将单向散列函数应用于验证系统，而不是声称系统 共八十三页对付(du fu)危及验证者的措施 IDpIDp比较声称者验证者口令pIDf共八十三页 同样，由于未保护的口令(kulng)在网络上传输，上述方案容易受到线路窃听的攻击。所以，我们应该综合前两个方案的优点。对付窃听(qi tn)和危及验证者的措施 IDpIDq比较声称者验证者口令pIDhf共八十三页 把口令加密传输可以让攻击者无法知道真实的口令，可是，这对聪明的攻击者并不造成麻烦。他只需把监听的消息录制下来，再用其它的软件把口令的散列值原封不动(yun fng b dng)的重放给验证者进

16、行认证，而验证者看到正确的口令散列值就认为是登录成功的用户，这样攻击者就可以冒名顶替受害者，从认证者处获取服务了，我们称这种形式的攻击为重放攻击。重放攻击(gngj)共八十三页声称(shngchng)者验证(ynzhng)者 f密码pnr ID nID f ID p比较对付重放攻击的一种方法掺入一个随机数n，使线路上传输的认证信息每次都不相同共八十三页 上述方案中的n是一个非重复值，认证方负责检查n是否以前曾被用过。若用过，则请求被拒绝。非重复值可用的实现方法有时戳，随机数等。 若用时戳方法的话，则两边要维护时钟的同步(tngb)。很明显，时戳的精度越高，抵抗攻击的强度也越好。 若用随机数的话

17、，认证方必须保存以往用过的所有随机数，避免重复，随着服务次数的增加，这张表会越来越大。对付重放攻击的方法(fngf)比较共八十三页声称(shngchng)者验证(ynzhng)者 ID p fnn f密码p r IDID比较对付重放攻击的另一种方法该案称为挑战-应答机制，较好的抵抗了重放攻击。但付出的代价是增加了一次通信共八十三页对付(du fu)重放攻击-要求输入验证码共八十三页对付(du fu)重放攻击的三种方法 加随机数。双方记住使用过的随机数，如发现报文中有以前使用过的随机数，就认为是重放攻击。缺点是需要额外( wi)保存使用过的随机数， 加时间戳。该方法优点是不用额外保存其他信息；缺

18、点是认证双方需要准确的时间同步，同步越好，受攻击的可能性就越小。 加流水号。就是双方在报文中添加一个逐步递增的整数，只要接收到一个不连续的流水号报文（太大或太小），就认定有重放威胁 在实际中，常将方法和组合使用 共八十三页基于挑战-应答(yngd)的口令机制 用户服务器认证请求（用户名、IP）挑战（随机数R）应答（EH(P)(R)）认证结果共八十三页通过共享秘密进行身份认证方式(fngsh)的总结 出示口令方式。申请者直接将口令提交给验证者，验证者检查口令。该方式的缺点是口令存在被线路窃听(qi tn)、被重放且不能双向认证（申请者无法判断验证者是否确实知道口令）的缺点。不具有认证的不可传递性

19、ID口令ID口令比较声称者验证者共八十三页通过共享秘密(mm)进行身份认证方式的总结 不出示口令方式。申请者用口令加密一个消息，将加密的消息发给验证者，验证者用口令解密，如果得到消息明文则验证通过。该方式解决了口令被窃听和不能双向认证的缺陷(quxin)，但仍存在被重放的缺点。 挑战应答方式。验证者发一个随机数给申请者，申请者用口令加密该随机数给验证者。该方式解决了以上所有三个问题，但增加了一次通信 共八十三页口令的维护(wih)和管理措施 1. 对付口令外部泄露(xilu)的措施 （1）对用户或者系统管理员进行教育、培训，增强他们的安全意识；（2）建立严格的组织管理和执行手续；（3）确保每个

20、口令只与一个人有关；（4）确保输入的口令不显示在屏幕上；（5）使用易记的口令，不要写在纸上；（6）定期改变口令，不要让所有系统都使用相同的口令 共八十三页口令的维护和管理(gunl)措施对付口令猜测(cic)的措施 （1）严格限制非法登录的次数；（2）口令验证中插入实时延时（3）规定口令的最小长度，如至少68位；（4）防止使用与用户特征相关的口令（5）确保口令定期改变；（6）更改或取消系统安装时的默认口令（7）使用随机数产生器产生的口令会比用户自己选择的口令更难猜测 共八十三页目录(ml)3.1 消息认证3.2 身份认证3.3 口令机制3.4 零知识(zh shi)证明3.5 其他身份认证机制

21、3.6 单点登录技术共八十三页零知识(zh shi)证明零知识证明（Zero knowledge proof）技术(jsh)可使信息的拥有者无须泄露任何信息就能向验证者或者任何第三方证明它拥有该信息。即当示证者P掌握某些秘密信息，P以某种有效的数学方法，使验证者V确信P知道该秘密，但P又不需要泄露该秘密给V 共八十三页零知识(zh shi)证明DCBA共八十三页零知识证明(zhngmng)的实现此洞穴问题可转换成数学(shxu)问题,设p和q是两个大素数，n=pq。假设用户A知道n的因子，如果用户A想向用户B证明他知道n的因子，但却不想向B泄露n的因子，则用户A和用户B可以执行下面的零知识证明

22、协议。1）用户B随机选取一个大整数x，计算yx4 mod n。用户B将计算结果y告诉用户A。2）用户A计算zy1/2 mod n，并将结果z告诉用户B。3）用户B验证zx2 mod n是否成立。4）上述协议重复多次，若用户A每次都能正确地计算y1/2 mod n，则用户B就可以相信用户A知道n的因子p和q。 共八十三页目录(ml)3.1 消息认证(rnzhng)3.2 身份认证3.3 口令机制3.4 零知识证明3.5 其他身份认证机制3.6 单点登录技术共八十三页其他身份认证(rnzhng)的机制 一次性口令OTP（One Time Password）是变动的口令，其变动来源于产出口令的运算因

23、子是变化的 如Lamport提出(t ch)的基于散列链的一次性口令基于地址的机制 基于设备的机制 基于个人特征的机制 共八十三页目录(ml)3.1 消息认证(rnzhng)3.2 身份认证3.3 口令机制3.4 零知识证明3.5 其他身份认证机制3.6 单点登录技术共八十三页单点登录(dn l)单点登录（Single Sign On），简称SSO，是指用户(yngh)只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资源 单点登录的好处 （1）方便用户的使用 （2）更合理有效的管理用户 （3）提高了系统的整体安全性 共八十三页单点登录系统(xtng)的分类 经纪人模

24、型(mxng)（Broker-Based SSO） 代理模型（Agent-Based SSO） 网关模型（Gateway-Based SSO） 共八十三页单点登录系统(xtng)的一般实现技术 单点登录的技术实现机制(jzh)：当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭证Ticket；用户再访问别的应用的时候，就会将这个Ticket带上，作为自己认证的凭据 所有应用系统共享一个身份认证系统；所有应用系统能够识别和提取Ticket信息；应用系统能够识别已经登录过的用户，能自

25、动判断当前用户是否登录过，从而完成单点登录的功能。 共八十三页单点登录(dn l)的实例微软的Passport技术MIT的Kerberos认证(rnzhng)协议OASIS的SAML标准共八十三页Kerberos认证(rnzhng)协议 Kerberos协议的主要特点1）采用对称密码体制，而未采用公钥密码体制，Kerberos与网络上的每个实体（用户和应用服务器）共享一个不同的密钥，是否知道该密钥便是身份的证明；2）为客户机/服务器应用程序提供(tgng)身份认证服务，而不能被浏览器/服务器程序采用；3）具有可伸缩性，能够支持大数量的用户和服务器进行双向认证。 共八十三页Kerberos数据库

26、Kerberos用户(C)认证服务器(AS)票据许可服务器(TGS)应用服务器(V)Kerberos认证(rnzhng)模型共八十三页Kerberos共享密钥和认证(rnzhng)初步方案 共享用户口令KC共享对称密钥KV用户(C)应用服务器(V)认证服务器(AS)IDC, IDVEKc(Ticket)用户(C)应用服务器(V)认证服务器(AS)IDC, Ticket。 图3.24 Kerberos共享密钥初步(chb)方案图3.25 Kerberos认证初步(chb)方案共八十三页引入TGS这样就完全解决了应用服务器V认证用户的问题，但不能实现单点登录。 引入票据许可服务器TGS（Ticke

27、t-Granting Server），让认证服务器AS 并不直接(zhji)向用户发放访问应用服务器的票据（服务许可票据），而是由 TGS向用户发放。用户在AS处认证成功后，AS发放一张票据许可票据Tickettgs给用户，票据许可票据相当于购票许可证。 共八十三页引入TGS后Kerberos共享密钥方案(fng n) 共享用户口令KC共享对称密钥KV用户(C)应用服务器(V)票据许可服务器(TGS)认证服务器(AS)共享对称密钥Ktgs共八十三页引入TGS后Kerberos的认证(rnzhng)方案IDC,IDtgs用户(C)应用服务器(V)票据许可服务器(TGS)认证服务器(AS)Tick

28、ettgsEKc(Tickettgs)TicketvIDC |Ticketv共八十三页引入会话(huhu)密钥但图中TGS与用户之间没有共享任何密钥，因此(ync)TGS无法对发送给用户的TicketV加密，这导致攻击者可以截获票据，然后将票据重放给V以冒充用户骗取服务。为此，Kerberos引入了会话密钥，由AS为用户与TGS之间生成一会话密钥Kc,tgs，将这个密钥与Tickettgs一起用Kc加密后分发给用户，同时将这个密钥放在Tickettgs里分发给TGS，（Tickettgs就是包含Kc,tgs的Tickettgs，Tickettgs= EKtgsKc,tgs, IDC, ADC,

29、 IDtgs）。这里，AS起到了为用户和TGS分发对称密钥的作用。 共八十三页引入会话密钥后Kerberos认证(rnzhng)方案IDC, IDtgs用户(C)应用服务器(V)票据许可服务器(TGS)认证服务器(AS)EKc(Kc,tgs,Tickettgs)EKc,tgs(Ticketv)Ticketv共八十三页Kerberos认证(rnzhng)模型的最终方案 IDC, IDtgs用户(C)应用服务器(V)票据许可服务器(TGS)认证服务器(AS)EKc(Kc,tgs,Tickettgs)EKc,tgs(KC,V,Ticketv)Ticketv(含Kc,v) | EKc,vIDC|ADC

30、|TS5EKc,v(TS5+1)共八十三页Kerberos认证(rnzhng)过程总结在认证过程中，总共使用了5个对称密钥，分别是Kc、Ktgs、Kv、Kc,tgs、Kc,v，其中2个会话密钥每次都是由AS或TGS临时生成的，这样每次使用的密钥都不同，防止了对票据的重放。实际上，Kerberos为防止票据重放，还在传输的消息中和票据中每次都加入了时间戳。用户登录后的整个过程仅使用一张票据许可票据，而每请求(qngqi)一次服务需使用一张服务许可票据 共八十三页 SAML标准(biozhn) SAML即安全断言标记语言，英文全称是Security Assertion Markup Languag

31、e。它是一种基于XML语言的，用于在不同的安全域（Security domain）之间传输认证(rnzhng)和授权信息的框架。SAML的出现大大简化了SSO，并被OASIS（Organization for the Advancement of Structured Information Standards，结构化信息标准推进组织）批准为SSO的执行标准 共八十三页提示(tsh)SAML所能做的只是在服务器之间传递诸如“某个用户已经登录了”这样的信息（断言），因此SAML并不是一个完整(wnzhng)的身份认证方案（这有别于Kerberos），SAML也不是一个认证权威机构，它根本不能对用

32、户进行认证，只是能传输认证信息。 为了在这些不同类的网站之间交换认证信息，就必须使认证信息有一套标准的格式，这样不同的网站才都能识别，而且这些认证信息的传输和交换必须要考虑安全性 共八十三页SAML中的基本概念 SAML认为认证信息是关于主体（Subject）的一组断言（Assertions）。其中的主体是在某一认证域中有唯一标识的实体，如用户 SAML框架的核心是断言，断言是由SAML权威发出的一组数据，该数据可以看作SAML权威对某个主体进行认证的动作(dngzu)，或者是关于某个主体的属性信息，还可以是主体为了访问某个服务而向权威发出申请后得到的授权决定。 共八十三页SAML规范中的三种

33、(sn zhn)断言 属性断言（Attribute Assertions）：负责装载主体属性信息的断言，如主体的ID、地址等信息。 认证断言（Authentication Assertions）：负责装载主体被成功认证信息的断言，如用户A已通过认证。 授权决定断言（Authorization Decision Assertions）：用来装载授权决定信息的断言，如授权用户A访问除邮件服务以外(ywi)的所有资源 共八十三页SAML的各部分(b fen)及其关系配置（SAML协议、绑定和断言如何支持一个特定的应用）绑定（定义SAML请求如何映射到具体的消息交换之类的传输协议协议（处理断言的请求/

34、应答方式）断言（认证、属性和授权信息）共八十三页SAML认证(rnzhng)过程Subject(主体)服务提供方（信任方）服务提供方2（信任方2）认证提供方（断言方）1 请求凭证2 返回凭证3 服务请求+凭证6 响应请求共八十三页SAML认证(rnzhng)过程 主体（Subject）向 IDP 请求凭证（方式是提交用户名/密码）； IDP（认证提供(tgng)方）通过验证主体提供(tgng)的信息，来确定是否提供(tgng)凭证给主体； 假如主体的验证信息正确，他将获取由IDP提供的凭证，然后将凭证和服务请求一起提交给信任方SP； SP接收到主体的凭证，它在提供服务之前必须验证次凭证。于是，它产生了一个 SAML