数字鉴别与认证系统-身份认证

第六章身份认证数字签名及认证基本内容6.1概述6.2基本的身份认证方案6.3单向认证协议6.4相互认证协议6.5认证协议标准6.6认证协议的典型攻击6.1概述1.身份认证的必要性2.身份认证的概念3.身份认证的目标4.身份认证的基础5.身份认证协议的特性6.消息新鲜性机制6.1概述2.身份认证（实体认证）的定义：

参与协议的一方（通过获得证实的证据）确信参与协议的第二方的身份，并确信第二方真正参与了该协议的一个过程（即在证据获得之时或之前是活动的）。

1.身份认证的必要性：资源的存取控制：根据用户的身份来限制对不同资源的访问。认证的密钥建立：身份认证可用于会话密钥的建立，从而建立通信双方或多方的保密通信。计费：在移动应用中（如蜂窝电话）中，通过用户的身份和使用资源的时间进行计费。6.1概述身份认证：A可成功地向B认证他自己，即B完成协议接收A的身份。不可传递性：B不能重新使用和A交换的身份识别来成功的向第三方C假冒A。防止假冒：任何不同于A的实体C执行协议并担当A的角色，使得B完成协议接收A的身份的概率可以忽略不计。

前提条件：协议参与方A、B及敌手C。A和B之间的大量信息可以被C观察到；敌手C可参于与A和B一方或双方协议的执行；由C发起的协议的多个实例可能同时运行。3.身份认证的目标：6.1概述4.身份认证的基础已知事物：标准口令，PIN码，在挑战－响应协议中已被证实的秘密或私钥。已拥有的事物：磁卡、认证令牌、密码智能卡等。固有事务：指纹、声音、视网膜模式、手的几何特征等。5.身份认证协议的特性机密性：基本的认证及会话密钥等信息应该保密，要求预先存在保密的对称密钥或公开密钥。6.1概述消息新鲜性：保证认证消息的新鲜性，防止重放攻击。会话密钥的建立：一般的身份认证协议要传输或协商一会话密钥。6.1概述6.消息新鲜性和主体活现性(1)询问-应答机制

①基于对称密码技术

这种消息新鲜性的直观基础是确信A的密码操作肯定是在接收到B的一次性随机数后进行的。

6.1概述②基于篡改检测码MDC

适用于M本身不需要机密性保护的应用。

6.1概述③基于非对称密码技术

6.1概述(2)时戳机制

A将当前时间TA加入到消息M中，B收到消息后，根据得到的TA和本地时间进行比较，如果比较结果所显示的时差足够小，那么就认为M是新鲜的。①基于对称密码技术

6.1概述②基于篡改检测码MDC

③基于非对称密码技术

6.1概述(3)序列号机制

序列号的用法与时戳的用法相似，使用序列号时，A和B维护某个同步的序列号，序列号应该以一种B知道的方式增加，从而确定消息的新鲜性。缺点：每一个可能的通信方都必须维护一系列的状态信息，而认证协议一般是无状态的，有状态的协议在恶劣的环境中不能很好的工作。管理序列号在通信出错时会很难处理。一般不主张使用序列号。6.2基本的身份认证方案1.基于口令的身份认证方案(1)基于散列口令的身份认证方案

认证系统输入终端明文口令缺点：不能防止重放攻击。

6.2基本的身份认证方案(2)基于质询/响应的口令方案（一）

输入终端认证系统RNG质询明文口令质询’质询响应响应使用摘要加密质询6.2基本的身份认证方案（3）基于质询/响应的口令方案（二）认证系统输入终端RNG响应质询明文口令响应质询响应’6.2基本的身份认证方案（4）口令更新方案认证系统输入终端h1管理员口令用户口令h2h2h16.2基本的身份认证方案

优点：口令及口令摘要都没有在两个系统之间传输，攻击者监听时只能看到随机数，可有效的防止重放攻击。

缺点：若攻击者能成功攻击摘要数据库，可以尝试猜测用户的弱口令（因为用户选用的口令并不是均匀分布的）。

6.2基本的身份认证方案（5）一次性口令机制基本思想：基于散列函数的特性使用户A与主机B之间的口令每次都不相同，从而抵御在线口令窃听的攻击。UserAServerB6.2基本的身份认证方案协议描述(S/KEY协议)：前提：用户A和主机B已设定初始记录（IDA,hn(PA)).假设主机B中当前的用户记录是（IDA,hi(PA))，其中1≤i≤n协议执行：6.2基本的身份认证方案对S/KEY协议的中间人攻击结果：Mallice获得了，在下一次会话时就可以以用户A的身份登录了。6.2基本的身份认证方案（6）加密的密钥交换前提：用户A和主机B共享口令PA目标：双方完成身份认证，并生成一个共享密钥6.2基本的身份认证方案分析：

A得到消息④可以认证B的身份，因为：得到这条消息说明对方知道密钥K，另外只有知道PA,才能解密

PKA,从而生成密钥K，得到消息②。B得到消息⑤可以确定A的身份，因为只有知道PA的人才能解密消息②得到密钥K。此协议不仅具有身份认证的功能，还具有密钥分发及密钥确认功能。6.2基本的身份认证方案1.基于认证令牌的身份认证方案（1）基于加密/解密的令牌认证方案（一）质询质询响应seed认证系统RNG质询/响应令牌质询’通过令牌的小键盘输入质询6.2基本的身份认证方案（2）基于加密/解密的令牌认证方案（二）质询质询响应认证系统seedRNG质询/响应令牌通过令牌的小键盘输入质询响应响应’6.2基本的身份认证方案（3）基于散列的质询/响应令牌认证方案质询认证系统seedRNG质询/响应令牌质询通过令牌的小键盘输入质询6.2基本的身份认证方案

特点：认证令牌引入了双因素认证的概念：你拥有某物（令牌）和你知道某物（PIN），两者缺一不可。本质上，质询/响应令牌对种子数、质询和PIN一起进行散列运算，然后截取该数的部分内容作为响应。质询/响应令牌与基于口令的质询/响应方案的不同在于它需要对产生的为随机数进行截取。6.3单向验证协议1.基于秘密密钥的单向验证协议6.3单向验证协议2.基于公开密钥的单向验证协议6.4相互验证协议(1)Needham-Schroeder协议

1.基于秘密密钥加密的相互验证协议6.4相互验证协议说明：消息②③提供密钥分发功能。B接收到消息⑤，使用票据，通过验证A使用Ks对f(N2)的加密来验证A的身份。如果A在解密消息④时能对N2进行冗余检测，则A可验证B的身份，或通过改进消息③④实现A对B的身份验证（如下页图）。如果攻击者得到旧的会话密钥，可重放消息③，B不能识别假冒者的身份。6.4相互验证协议6.4相互验证协议(2)带有时间戳的N-S协议

6.4相互验证协议(3)减少鉴别次数的N-S协议

6.4相互验证协议保留票据，A、B重新认证：6.4相互验证协议(1)ISO公钥三次传输双方认证协议

前提：A拥有公钥证书CertA,B拥有公钥证书CertB目标：A和B完成双向认证2.基于公开密钥加密的相互验证协议6.4相互验证协议Wiener（加拿大人）攻击：

前提：攻击者Malice(M)拥有证书CertM6.4相互验证协议

结果：Malice(M)成功的假冒了B，A认为是B发起了这次通信，并接受了B的身份。(2)具有密钥协商功能的相互验证协议（STS协议）

前提：A、B分别拥有对方公钥的可信副本目标：A和B完成密钥协商、相互身份认证和密钥确认。6.4相互验证协议(3)具有密钥分发功能的相互验证协议

6.4相互验证协议6.5验证标准1.Kerberos概述(1)分布式网络环境的认证需求分布式网络环境要求:服务器能向网络用户提供各种网络应用服务。用户要访问分布在网络不同位置上的服务。服务器的安全需求：服务器要通过授权来限制用户对资源的访问。授权和访问控制是建立在身份认证的基础上的。6.5验证标准（Kerberos）(2)Kerberos认证服务能够实现服务器与用户之间的相互认证集中式的认证服务在一个网络中，通过集中式的认证服务器AS（AuthenticationServer）提供认证功能。不需要在一个服务器上提供完整的认证功能。基于对称加密算法实现使用DES（KerberosV4）没有使用公开密钥算法6.5验证标准(Kerberos）发展KerberosV4KerberosV5(RFC1510)(3)Kerberos特征提供一种基于可信第三方的身份认证服务

Kerberos认证服务器AS作为第三方，若用户与服务器均信任AS，则Kerberos就可实现用户与服务器之间的相互鉴别。安全性：能够有效防止攻击者假冒合法的授权用户。6.5验证标准(Kerberos）可靠性：Kerberos服务本身可采用分布式结构，AS之间可相互备份。透明性：用户在身份认证过程中，只需提供口令，其他操作均对用户透明。可伸缩性：能具有支持大量用户和服务器的能力。6.5验证标准(Kerberos）(1)简单的验证协议基本前提：客户C：其标识符为IDC

，网络地址为ADC

；服务器V：其标识符为IDV

认证服务器AS.用户口令PC:由用户和AS共享，AS将PC保存在数据库中。AS与每个服务器V共享一个唯一的保密密钥KV，且已被安全的分发到每一个服务器中。2.Kerberos协议6.5验证标准(Kerberos）网络环境：不受保护的网络环境，存在窃听，重放，假冒受权用户等威胁。6.5验证标准(Kerberos）AS客户C应用服务器V6.5验证标准(Kerberos）(2)完整的Kerberos验证协议问题：口令次数问题，每次访问服务器均需输入口令。传输的信息中包含明文口令。可能的解决办法：票据重用：引入票据许可服务器TGS

（ticket-grantingserver6.5验证标准(Kerberos）票据服务器的引入用于向用户分发应用服务器的访问票据TicketV认证服务器AS并不直接向客户发放应用服务器的访问票据TicketV，而是由TGS来向客户发放TicketVAS只负责向用户发放访问TGS服务器的票据。（用户访问TGS服务器的目的是为了获取应用服务器的访问票据TicketV

）两种票据服务许可票据:是客户访问某一服务器V时需要提供的票据，用TicketV表示。6.5验证标准(Kerberos）票据许可票据客户在访问TGS服务器时，也需要提供一个访问TGS的票据，即票据许可票据。票据许可票据由AS发放，用TicketTGS表示TicketTGS在用户登录时申请一次，可多次重复使用。KerberosASTGS客户C应用服务器V6.5验证标准(X.509)3.X.509认证业务(1)X.509证书X.509是CCITT标准中X.500目录服务中的给出的验证服务。根据用户的公开密钥证书，定义了相互验证协议。

X.509的证书结构和验证协议可被广泛的应用S/MIME、IPSec、SSL/TLS和SET协议中。证书（Certificate）是由可信证书权威机构CA创建的。①证书的基本特性：6.5验证标准(X.509)CA用其私钥对证书做了签名。用户可用CA的公开密钥验证证书的有效性。任何拥有CA的公开密钥的用户都可以从证书中提取被该证书认证的用户的公开密钥。除了CA之外，任何用户都无法伪造证书或篡改证书的内容。由于证书是不可伪造的，可将证书存放在数据库（即目录服务）中，而无需特殊的保护。只要签发证书的CA是可信的，就可以相信证书中的内容（如公开密钥）和证书持有者的身份。6.5验证标准(X.509)版本号证书序列号算法、参数发放者名称起始时间终止时间主体名称算法参数公钥发放者唯一识别符主体唯一识别符扩充域算法参数签字签字V2V1V3②证书的结构：6.5验证标准(X.509)6.6验证标准(X.509)③证书的表示法：证书机构Y签发给用户X的证书表示为Y《X》。如CA《A》表示CA颁发给用户A的证书。6.5验证标准(X.509)(2)证书的获取

通信双方A和B要进行相互通信时，必须了解对方的公开密钥以进行身份认证和安全的数据通信。①小型网络中双方共同信任同一个CA。由该CA签发的证书CA《A》，CA《B》都是可信的。A、B通过访问公共目录服务获取对方的证书，或通过直接传递就可获得对方的证书。获取证书后，用户可利用CA的公开密钥对证书进行验证。6.5验证标准(X.509)验证后，A、B利用证书中的公开密钥信息进行相互认证和保密通信。②大型网络证书的层次化管理,需要多个CA协调工作。交换证书：CA之间交换公开密钥。X1X2AB主体：B颁发者：X2公钥：******X2的私钥签名主体：A颁发者：X1公钥：******X1的私钥签名6.5验证标准(X.509)A得到B的证书后，能看到B的公钥信息，但由于没有X2的公开密钥，因此无法验证签名信息，因此无法使用PKB如何安全的获得X2的公开密钥？X1<<X2>>主体：X2颁发者：X1公钥：******X1的私钥签名6.5验证标准(X.509)6.5验证标准(X.509)UWZXCABYV6.5验证标准(X.509)(3)证书的吊销在一个证书未过期时，由于特殊原因需要撤销原先曾经颁发的证书。证书吊销的原因：用户的秘密密钥被偷窃。证书拥有者不再需要CA颁发的证书（如离开公司）。CA的私钥被泄漏证书吊销的方法：CA公布一个证书撤销列表CRL，CRL包括已被撤销6.5验证标准(X.509)的证书的序列号、撤销日期，还有标识撤销原因的状态信息。CRL用颁发者的私钥进行数字签名。CRL颁发者本次更新下次更新用户证书序列号撤销日期撤销原因用户证书序列号撤销日期撤销原因CRL扩展CRL颁发者数字签名CRL散列签名产生CA私钥6.5验证标准(X.509)(4)验证过程单向验证（鉴别）单向验证，是指信息是从一个用户传送到另一个用户的验证方法。识别者产生验证信息.。产生的信息为了和B验证。信息是完整的和一次使用的。特点：6.5验证标准(X.509)双向验证（鉴别）双向验证，除了具有单向验证的特点之外，还包含了一条应答信息，用于实现对B的验证。6.5验证标准(X.509)三向验证（鉴别）三向验证是指鉴别者，通过三次会话实现相互鉴别。6.6认证协议的典型攻击1.消息重放攻击在这种攻击方案中，攻击者预先记录某个协议先前的某次运行的某条消息，然后在该协议新的运行中重放记录的消息。如基本的基于秘密密钥的Needham-Schroeder协议。重放攻击一般可以通过质询/应答方式，时间戳或序列号来抵御。6.6认证协议的典型攻击2.中间人攻击在这种攻击方案中，攻击者能够把协议的某参与者所提出的困难问题提交给另外的参与者来回答，然后把答案交给提问的主体。如基于一次口令的中间人攻击方案。它适用于缺少双方认证的通信协议。如基本的DH协议。对付中间人攻击的常用方法是在消息交换的两个方向上都提供身份认证或数据源认证服务。6.6认证协议的典型攻击3.平行会话攻击在这种攻击方案中，在攻击者的特意安排下，一个协议的两个或更多的运行并发执行。并发的多个运行使得攻击者能够从一个运行中得到另外某个运行中困难问题的答案。如果协议的参与者愿意几乎同时和多个用户对话，那么攻击就是可行的。在平行会话攻击中，两个平行的会话顺序一般并不重要。6.6认证协议的典型攻击Woo-Lam协议前提：Alice和Trent共享对称密钥KATBob