消息认证与身份认证的方法

4认证技术华师汉口分校信息科学与技术学院第一页，共五十六页。目录1.消息认证2.身份认证的方法3.身份认证协议2023/5/172华师汉口分校信息科学与技术学院第二页，共五十六页。4.1消息认证4.1.1消息认证的概念消息认证是指使意定的接收者能够检验收到的消息是否真实的方法。验证的内容包括消息的源和宿消息的完整性消息的序号和时间2023/5/173华师汉口分校信息科学与技术学院第三页，共五十六页。4.1.2消息认证的方法信息的来源信息源和宿的认证可使用数字签名技术和身份识别技术信息的完整性消息认证码（MAC）篡改检测码（MDC）信息的序号和时间:目的是阻止消息的重放攻击流水作业号链接认证符随机数认证法数字时戳2023/5/174华师汉口分校信息科学与技术学院第四页，共五十六页。4.1.3消息认证的模式1单向认证2双向认证2023/5/175华师汉口分校信息科学与技术学院第五页，共五十六页。4.1.4认证函数（1）信息加密函数：用完整信息的密文作为对信息的认证。(公钥算法和对称加密算法均可用于验证)（2）信息认证码MAC：对信源消息的一个编码。（3）散列函数：一个公开的函数，它将任意长的信息映射成一个固定长度的信息。2023/5/176华师汉口分校信息科学与技术学院第六页，共五十六页。消息认证码MACABMAC=H(M)MMAC=H(M)ABMAC=H(M)MAC’=H(M’)CM=M’MAC’=H(M’)MACMMACM’MAC’2023/5/177华师汉口分校信息科学与技术学院第七页，共五十六页。消息验证码MAC(con.)方法一:A和B共享一个密钥K(其它人均不知)A计算散列值MAC=H(M,K),附在M之后发送给B.MAC=MD5(M+K)B收到M和H(M,K)之后计算H(M,K)并与收到的MAC比较ABMAC=H(M,K)MMAC’=H(M,K)MAC2023/5/178华师汉口分校信息科学与技术学院第八页，共五十六页。消息验证码MAC(con.)方法二:(对称加密用于验证信息完整性)A和B共享一个密钥KA计算散列值Hash=H(M),用密钥K和对称加密算法DES加密该散列值MAC=DESK(MD5(M))B收到M和MAC之后用K和DES算法解密出散列值，并与由M算得的散列值作比较MHMAChEKMMAC2023/5/179华师汉口分校信息科学与技术学院第九页，共五十六页。4.2身份认证的方法4.2.1身份认证的概念身份认证又称身份识别，是通信和数据系统正确识别通信用户或终端的个人身份的重要途径当前用于身份识别的技术方法主要有：所知、所有、生物特征以及多种方法技术的交互使用等。2023/5/1710华师汉口分校信息科学与技术学院第十页，共五十六页。身份认证的方法(con.)对用户来看，身份认证是用户获得对计算机系统或网络的访问权限的第一步。对计算机系统来看，身份认证是安全防御的第一道防线，是防止非授权用户或进程进入计算机系统的有效安全保障措施。身份认证即身份识别与验证(I&A)，是大多数访问控制的基础，也是建立用户审计能力的基础。访问控制通常要求计算机系统能够识别和区分用户，而且通常是基于最小特权原理(LeastPrivilegeTheorem)。2023/5/1711华师汉口分校信息科学与技术学院第十一页，共五十六页。身份认证的方法(con.)识别是用户向系统提供声明身份的方法,验证则是建立这种声明有效性的手段。计算机系统识别用户依赖的是系统接收到的验证数据：收集验证数据问题安全传输数据问题怎样知道使用计算机系统的用户就是当初验证通过的用户问题2023/5/1712华师汉口分校信息科学与技术学院第十二页，共五十六页。身份认证的方法(con.)目前用来验证用户身份的方法有：用户知道什么秘密，如口令、个人身份号码(PIN)、密钥等用户拥有什么令牌，如ATM卡或智能卡等个人特征生物特征，如声音识别、手写识别或指纹识别等2023/5/1713华师汉口分校信息科学与技术学院第十三页，共五十六页。4.2.2口令认证最普通的身份认证形式是用户标识(ID)和口令(Password)的组合口令认证是基于知识的传统口令技术，仅仅依赖于用户知道什么的事实口令系统的运作:需要用户输入用户标识和口令(或PIN码)系统对输入的口令与此前为该用户标识存储的口令进行比较如果匹配，该用户就可得到授权并获得访问权。2023/5/1714华师汉口分校信息科学与技术学院第十四页，共五十六页。2023/5/1715华师汉口分校信息科学与技术学院第十五页，共五十六页。1.口令认证的过程：（1）为用户分配唯一的ID标识（2）计算机系统将用户的身份标识和相应的口令存入口令列表，其中口令保密，身份标识可以公开2.口令选择的原则易记、不易猜中、不易分析2023/5/1716华师汉口分校信息科学与技术学院第十六页，共五十六页。3.口令的管理：系统中用户与口令的存储如下:将用户的口令用单向散列函数计算出摘要值去除口令代码,仅将摘要和与之相对应的用户ID存入系统检验时用户输入用户名与口令系统随即计算口令的哈希值,如果与存储在系统内的摘要值相匹配,用户则可以通过2023/5/1717华师汉口分校信息科学与技术学院第十七页，共五十六页。4.一次性口令：一次性口令系统允许用户每次登录时使用不同的口令。系统在用户登录时给用户提供一个随机数，用户将这个随机数送入口令发生器，口令发生器以用户的密钥对随机数加密，然后用户再将口令发生器输出的加密口令送入系统。系统再进行同样方法计算出一个结果，比较两个结果决定是否该身份有效。在登录过程中加入不确定因素，使每次登陆过程中传送的信息都不同，以提高登录过程安全性。(如现在的网络系统登陆时需要输入验证码)2023/5/1718华师汉口分校信息科学与技术学院第十八页，共五十六页。口令的优点：

在很长时间内已经成功地为计算机系统提供了安全保护。已经集成到很多操作系统中，用户和管理员较熟悉。在可控环境下、管理适当，可提供有效的安全保护。存在的问题：

口令系统的安全依赖于口令的保密性。只要用户访问一个新的服务器，都必须提供新口令。口令面对的威胁有：外部泄漏、猜测、通信窃取、重放等2023/5/1719华师汉口分校信息科学与技术学院第十九页，共五十六页。4.2.3持证认证（令牌认证）基于用户拥有什么的身份认证技术,使用的是令牌技术。记忆令牌和智能卡2023/5/1720华师汉口分校信息科学与技术学院第二十页，共五十六页。令牌认证(con.)基于个人令牌的验证：个人令牌使用了用户必须出示自己所拥有的某些东西这一因素，即要出示由个人正式拥有的某种小型的硬件设备。令牌通常与口令结合起来使用，对攻击者来说，要想伪装成合法的用户，仅知道口令或者偷取令牌是不够，他必须二者兼而有之，这称为“双因素验证”。要谋划一个针对双因素的成功攻击是非常困难的。2023/5/1721华师汉口分校信息科学与技术学院第二十一页，共五十六页。令牌认证(con.)基于个人令牌的运作方式有：（1）储存式令牌。将某个秘密的数据值如数字签名用的私有密钥储存在令牌中，在用户给出了正确的口令解开令牌锁后由验证协议来使用。（2）同步一次性口令生成器。令牌定期生成一个新的口令，如每隔一分钟生成一次，令牌持有者使用该口令对支持该验证方式的主机进行验证。一次性口令可以通过使用正确的日期时间的单向函数和储存在令牌中的某个永久的秘密值来进行计算机主机与令牌必须保持时间的同步。2023/5/1722华师汉口分校信息科学与技术学院第二十二页，共五十六页。令牌认证(con.)（3）提问-答复。令牌运行在提问-答复协议的客户端，通过对目标主机送来的提问值和储存在令牌中的永久秘密值运用单向函数进行运算，生成答复信息。（4）数字签名令牌。令牌持有数字签名所需要的私有密钥，和运用该私有密钥对给定的数据值计算数字签名所需要的逻辑条件。可以将数字签名用在某个难协议中。在生成数字签名之前，通常需要先给出正确的口令来对令牌解锁。2023/5/1723华师汉口分校信息科学与技术学院第二十三页，共五十六页。个人令牌存在的物理形式人机界面令牌：一种带有数字显示的手持式设备，显示屏上显示出持有者随后进入某个网络系统终端如台式电脑的数字。如果验证方法中需要持有者向令牌输入数据，如口令或提问值勤，则信牌还可能带有一个小型的健盘。智能卡：访问不但需要口令，也需要物理智能卡。在允许进入系统之前需要检查其智能卡。智能卡内有微处理器和存储器，可已加密的形式保存卡的ID及其他身份认证数据。2023/5/1724华师汉口分校信息科学与技术学院第二十四页，共五十六页。个人令牌存在的物理形式(con.)PCMCIA卡：这是一种可以插在标准的多眼插座上的袖珍型令牌，常用于手提电脑与调制解调器或与其它接入设备的接口。与智能卡相比，PCMICA令牌有更强大的处理功能和存储逻辑，还具有更高的接口带宽。USB令牌：这是一种可以连接到通用串行总线端口的令牌，这种令牌有很强的处理功能和存储逻辑。2023/5/1725华师汉口分校信息科学与技术学院第二十五页，共五十六页。个人令牌存在的物理形式(con.)NB:记忆令牌只存储信息，不对信息进行处理，令牌上信息的读取和写入是用专门的读/写设备来完成的。记忆令牌的最通用形式是磁卡。通常用于计算机认证的记忆令牌是ATM卡，它是采用用户拥有什么(卡)和用户知道什么(身份识别码)的组合。2023/5/1726华师汉口分校信息科学与技术学院第二十六页，共五十六页。令牌认证(con.)令牌的优点：和身份识别码一起使用时比单独使用口令的机制更安全。面临的问题：需要专门的读取器。令牌的丢失问题。智能卡通过在令牌中采用集成电路以增加其功能,还需要用户提供身份识别码或口令等基于用户知道的知识的认证手段。2023/5/1727华师汉口分校信息科学与技术学院第二十七页，共五十六页。4.2.4生物识别采用的是生物特征识别技术，采用的是用户独特的生理特征来认证用户的身份:生理属性(如指纹、视网膜识别等)行为属性(如声音识别、手写签名识别等)。2023/5/1728华师汉口分校信息科学与技术学院第二十八页，共五十六页。优点：比前两种认证技术有着更好的安全性缺点：技术还不是很成熟实际使用过程中的稳定性不是很好费用很高2023/5/1729华师汉口分校信息科学与技术学院第二十九页，共五十六页。课堂讨论(一)：

个人特征的身份证明技术华师汉口分校信息科学与技术学院第三十页，共五十六页。4.3身份认证协议一次一密机制X.509认证协议Kerberos认证协议零知识身份识别2023/5/1731华师汉口分校信息科学与技术学院第三十一页，共五十六页。一次一密机制主要有两种实现方式:请求-应答方式第一种方法,用户登录时系统随机提示一条信息,用户根据这一信息连同其个人化数据共同产生一个口令字,用户输入该口令字,完成一次登录过程,或者用户对这一条信息实施数字签名,发送给出验证者进行鉴别另一种方法采用时钟同步机制,即根据这个同步时钟信息连同其个人化数据共同产生一个口令字2023/5/1732华师汉口分校信息科学与技术学院第三十二页，共五十六页。质询-回应协议（1）A向B发送一个消息TA，表示想和B通话。（2）B无法判断这个消息是来自A还是其他人，因此B回应一个质询RB。RB是一个随机数。（3）A用与B共享的密钥KAB加密RB，得到密文KAB(RB)，再发送给B；B收到密文KAB(RB)，用自己同样拥有的KAB加密RB，对比结果，如果相同就确认了A的身份。此时B已完成了对A的单向认证。2023/5/1733华师汉口分校信息科学与技术学院第三十三页，共五十六页。质询-回应协议（4）A同样需要确定B的身份，于是发送一个质询RA给B。RA也是一个随机数。（5）B用与A共享的密钥KAB加密RA，得到密文KAB(RA)，再发送给A；A收到密文KAB(RA)，用自己同样拥有的KAB加密RA，对比结果，如果相同就确认了B的身份，完成了双向认证。（6）A确认B的身份之后，选取一个会话密钥KS，并且用KAB加密之后发送给B。2023/5/1734华师汉口分校信息科学与技术学院第三十四页，共五十六页。Kerberos——第三方认证所谓第三方认证就是在相互不认识的实体之间提供安全通信Kerberos认证系统原是MIT(美国麻省理工学院)的Athena计划的一部分,原义为希腊神话中守护地狱之门的一只凶猛的三头狗,意喻该协议具有极其强大的安全性能。近年来,较新的版本的扩充也支持了X.509认证。基于X.509数字证书是由国际标准化组织开发的众多标准中的一部分。认证是基于公开密钥，或者非对称密码系统的。2023/5/1735华师汉口分校信息科学与技术学院第三十五页，共五十六页。Kerberos概述网络上的Kerberos服务器起着可信仲裁者的作用，可提供安全的网络鉴别，允许个人访问网络中不同的机器。基于对称密码学，与网络上的每个实体分别共享一个不同的秘密密钥，是否知道该秘密密钥便是身份的证明。主要包括以下几个部分：客户机（Client）服务器（Server）认证服务器（AS）票据授予服务器（TGS）2023/5/1736华师汉口分校信息科学与技术学院第三十六页，共五十六页。

Kerberos组成2023/5/1737华师汉口分校信息科学与技术学院第三十七页，共五十六页。Kerberos概述(con.)Kerberos有一个所有客户和自己安全通信所需的秘密密钥数据库(KDC)，知道每个人的秘密密钥，能产生消息向每个实体证实另一个实体的身份。Kerberos还能产生会话密钥，只供一个客户机和一个服务器使用，会话密钥用来加密双方的通信消息，通信完毕，会话密钥即被销毁。Kerberos使用DES加密Kerberos第4版提供非标准的鉴别模型，该模型的弱点是它无法检测密文的某些改变。Kerberos第5版使用CBC模式。2023/5/1738华师汉口分校信息科学与技术学院第三十八页，共五十六页。KerberosV4认证消息对话2023/5/1739华师汉口分校信息科学与技术学院第三十九页，共五十六页。(1)客户登录到本地，向认证服务器(AS)发送一个服务请求，请求获得指定应用服务器的“凭证”①，所获凭证可直接用于应用服务器或票据授予服务器(TGS)。

CAS:IDc||IDtgs||TS1

该消息包含客户ID以及票据授予服务器的ID和时间戳。(2)认证服务器(AS)以凭证作为响应，并用客户的密钥加密凭证消息②。 凭证＝票据授予服务器“票据”(Ticket)＋临时加密密钥Kc,tgs(会话密钥)。ASC:EKc[Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs]Tickettgs＝EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]2023/5/1740华师汉口分校信息科学与技术学院第四十页，共五十六页。2023/5/1741华师汉口分校信息科学与技术学院第四十一页，共五十六页。(3)拥有了票据和会话密钥，客户C向TGS服务器发送消息请求获得访问某个特定应用服务器的票据Ticketv消息③。

CTGS:IDv||Tickettgs||Authenticatorc

Authenticatorc＝EKc,tgs[IDc||ADc||TS3]

Tickettgs＝EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]消息包含了身份验证器(Authenticatorc)、C用户的ID和地址以及时间戳对比：票据可以重复使用，身份验证器只能使用一次且生命周期很短。2023/5/1742华师汉口分校信息科学与技术学院第四十二页，共五十六页。(4) TGS服务器返回应用服务器票据以应答消息④，客户请求。

TGSC:EKc,tgs[Kc,v||IDv||TS4||Ticketv]

Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4]

消息已经用TGS和C共享的会话密钥进行了加密，它包含了C和服务器V共享的会话密钥Kc,v，V的ID和票据的时间戳，也包含了会话密钥。现在C就拥有了V可重用的票据，当C出具此票据时就发出了身份验证码，应用服务器可以解密票据，恢复会话密钥并解密身份验证码。2023/5/1743华师汉口分校信息科学与技术学院第四十三页，共五十六页。2023/5/1744华师汉口分校信息科学与技术学院第四十四页，共五十六页。(5)客户将该Ticket传送给应用服务器消息⑤。

CV:Ticketv||Authenticatorc

Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4] Authenticatorc＝EKc,v[IDc||ADc||TS5]2023/5/1745华师汉口分校信息科学与技术学院第四十五页，共五十六页。

(6)现在客户和应用服务器已经共享会话密钥，如果需要互相验证身份，服务器可以发送消息⑥进行响应。服务器返回身份验证码中的时间戳值加1，再用会话密钥进行加密，C可以将消息解密，恢复增加1后的时间戳。消息是由会话密钥加密的，只有V才能创建，时间戳保证不是以前的应答。

VC:EKc,v[TS5+1]

共享的会话密钥还可用于加密以后的通信或交换加密的单独子会话密钥2023/5/1746华师汉口分校信息科学与技术学院第四十六页，共五十六页。消息①和②只在用户首次登录系统时使用；消息③和④在用户每次申请某个特定应用服务器的服务时使用；消息⑤则用于每个服务的认证。消息⑥可选，只用于互相认证。2023/5/1747华师汉口分校信息科学与技术学院第四十七页，共五十六页。Kerberos基础结构和交叉领域认证当一个系统跨越多个组织时，需要多个认证服务器各自负责系统中部分用户和服务器的认证，称某个特定认证服务器所注册的用户和服务器的全体为一个领域(Realm)。交叉域认证允许一个委托人(Principle)向注册在另外一个域的服务器验明自己的身份。2023/5/1748华师汉口分校信息科学与技术学院第四十八页，共五十六页。2023/5/1749华师汉口分校信息科学与技术学院第四十九页，共五十六页。Kerberos客户(委托人)向远程领域验证自己的身份：首先需要从本地认证服务器(AS)获得一张远程领域的票据授予票(TicketGrantingTicket)。这就要求委托人所在的本地认证服务器同验证人所在的远程领域认证服务器共享一个保密密钥(条件(3))。然后委托人使用该票据授予票据从远程认证服务器交换票据信息。远程认证服务器利用共享的交叉域保密密钥来验证来自外来领域的票据授予票据的有效性。如果有效，向委托人发放新票据和会话密钥。2023/5/1750华师汉口分校信息科学与技术学院第五十页，共五十六页。要支持交叉领域认证，Kerberos必须满足：(1)Kerberos服务器在数据库中必须拥有所有用户ID和所有参与用户口