身份认证与密钥协商课件

身份认证－引言

从对计算机系统或网络的一般访问过程来看，身份认证是用户获得访问权限的第一步。如果用户身份得不到系统的认可，即授权，他就无法进入该系统并进而访问系统资源。从这个意义来讲，身份认证是安全防御的第一道防线，它是防止非授权用户或进程进入计算机系统的有效安全保障措施。例子•263的邮件登录•sina的邮件登录•Telnet远程登录•Ftp服务身份认证的方法用来验证用户身份的方法有：●用户知道什么(SomethingtheUserKnows)(秘密，如口令、个人身份号码(PIN)、密钥等)●用户拥有什么(SomethingtheUserPossesses)(令牌，如ATM卡或智能卡等)●用户是谁(SomethingtheUseris)(生物特征，如声音识别、手写识别或指纹识别等)

基于用户知道什么的身份认证最普通的身份认证形式是用户标识(ID)和口令(Password)的组合。这种技术仅仅依赖于用户知道什么的事实。通常采用的是基于知识的传统口令技术，但也有其它技术，如密钥。基于用户拥有什么的身份认证基于用户拥有什么的身份认证技术使用的是令牌，这里介绍两种令牌：记忆令牌和智能卡。

记忆令牌只存储信息，不对信息进行处理，令牌上信息的读取和写入是用专门的读/写设备来完成的。记忆令牌的最通用形式是磁卡(就像信用卡背面一样有一条磁条)。通常，用于计算机认证的记忆令牌是ATM卡，它是采用用户拥有什么(卡)和用户知道什么(身份识别码)的组合。

智能卡通过在令牌中采用集成电路以增加其功能。智能卡分为信用卡型智能卡(内嵌微处理器)和类似计算器、钥匙、便携式物体的智能卡。基于用户是谁的身份认证这种机制采用的是生物特征识别技术，它采用的是用户独特的生理特征来认证用户的身份。这些生理特征包括生理属性(如指纹、视网膜识别等)和行为属性(如声音识别、手写签名识别等)。这些技术已经应用到了计算机的登录程序中。口令机制口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为5~8的字符串。选择原则：易记、难猜、抗分析能力强口令系统有许多脆弱点：外部泄露口令猜测线路窃听重放对付线路窃听的措施对付重放攻击的措施一次性口令机制一次性口令机制确保在每次鉴别中所使用的口令不同，以对付重放攻击。询问—应答机制询问—应答机制口令认证采用单向函数实现，在验证者的计算机存储识别对象的单向函数值，这种技术在某种程序上避免了他人假冒，但或多或少还存在一些安全问题，只能通过密码技术设计出更安全的识别协议。安全身份识别协议一个安全的识别协议至少满足以下两个条件1)证明者P能向验证者V证实他的确是P2)当证明者P向验证者B出示证明自己的身份后，验证者V无法获取有关P的任何有用信息Schnorr身份识别方案Schnorr识别方案是1988年提出的一种比较实用的方案，它具有的计算量和通信量比较少，特别适用于智能卡上的用户认证方法。Schnorr方案需要一个密钥认证中心KAC，负责管理一切用户，KAC预先选定下面参数：1)P是一个大素数，p>25122)q是一个大素数，p>2140,q|(p-1)3)a是Zp*中阶为q的元素4)KAC选择一安全的签名方案，签名算法：SigKAC，验证算法VerKACKAC给申请用户颁发证书用户申请证书过程：1)用户到KAC注册其公开密钥，KAC验明用户身份后，对每位用户指定ID(U)2)每位用户随机选定一个密钥w，且计算公开密钥v=a-wmodp，并将v发送给KAC3)KAC对(ID(U),v)签名,s=SigKAC(ID(U),v)C(U)=(ID(U),v,s)假设证明者为A，验证者为B，Schnorr用户身份认证过程：1)A随机选择一个数k，0<k<q-1，计算x=akmodp;2)A把自己证书C(A)=(ID(A),v,s)和x发送给B3)B通过VerKAC检查证书4)B随机选择一整数r，1<r<2t，并将r发送给A5)A计算y=(k+wr)modq，并将y发送给B6)B验证x=ayvrmodp是否成立来识别A，例P=88667,q=1031,a=70322,a的阶等于q,A向KAC申请证书,A的秘密密钥w=755,v=a-w=70322-755mod88667=131361)A选择k=543,x=akmodp=70322543=841092)B选择r=1000,3)A计算y=(k+wr)modq=543+755×1000mod1031=8514)B验证

x=ayvrmodp84109=70322851131361000mod88667t是一个安全参数，目的是预防冒充者OSCAR通过猜测B的询问r来伪装A，如果OSCAR猜测了正确的r值，他能选择任意一个y值并计算x=ayvrmodp，在第1步中他将给B发送x，然后他接到B的询问r时，他将提供已选择好的y值，而第6步B证实OSCAR是A协议中基本上做两件事：1)验证A的证书的有效性2)验证A知道其秘密密钥w，在身份识别协议中，值w不会暴露，这个技术称为知识证明考虑OSCAR如何冒充A1)伪造证书2)使用A的证书安全性基于解离散对数问题的困难性Kerberos概述Kerberos是为TCP/IP网络设计的可信第三方认证协议。Kerberos可提供安全的网络鉴别，允许个人访问网络中不同的机器。Kerberos基于对称密码学(采用的是DES，但也可用其它算法替代)，它与网络上的每个实体分别共享一个不同的秘密密钥，是否知道该秘密密钥便是身份的证明。Kerberos最初是在麻省理工学院(MIT)开发的。Kerberos的设计目标就是提供一种安全、可靠、透明、可伸缩的认证服务。在Kerberos模型中，主要包括以下几个部分：客户机、服务器、认证服务器(AuthenticationServer)和票据授予服务器(Ticket-GrantingServer)。Kerberos有一个所有客户和自己安全通信所需的秘密密钥数据库(KDC)，也就是说，Kerberos知道每个人的秘密密钥，故而它能产生消息，向每个实体证实另一个实体的身份。Kerberos还能产生会话密钥，只供一个客户机和一个服务器(或两个客户机之间)使用，会话密钥用来加密双方的通信消息，通信完毕，会话密钥即被销毁。密钥协商－引言公钥密码体制与秘密密钥密码体制相比，优点是它不需要一个安全信道来交换秘密密钥，但公钥密码体制比秘密密钥体制运行速度慢，在实际中还有很多情况要使用秘密密钥密码体制。在使用秘密密钥密码体制时，通信双方建立秘密密钥的方法：密钥分配和密钥协商密钥分配和密钥协商区别密钥分配定义为一种机制，利用这个机制，一方选择秘密密钥，然后把它发送给另一方或许多方密钥协商是两方或多方通过公开信道的通信来共同形成秘密密钥。密钥预分配网络中每一对用户{U,V}预先设定一个密钥。可信中心TA选择一个密钥Ku,v通过一个安全信道传送给U,V，这样需要TA和网络中每个用户之间有一个安全信道，假定网络中有n个用户，每个用户必须储存n－1个密钥，TA要传送n(n-1)/2个密钥。TA负责验证用户的身份，选择和传送用户间的秘密密钥给用户，每个用户与TA之间有个秘密密钥用于加密用户间的秘密密钥。Blom密钥预分配Blom密钥预分配可以使用网络中的用户储存的秘密信息总数减少，TA传送的信息量减少。Blom密钥预分配1、一个素数P是公开的，且对每个用户U，元素rU属于Zp是公开的，元素rU各不相同。2、TA选择三个随机元素a,b,c属于Zp，构造多项式

f(x,y)=a+b(x+y)+cxymodp3、对每个用户U，TA计算多项式

gU(x)=f(x,rU)modpgU(x)=au+bux,au=a+bru

modpbu=b+crumodp在安全信道上传送gU(x)给UBlom密钥预分配4、如果U和V想通信，计算通信会话密钥

U计算KU,V＝gU(rV)V计算KV,U＝gV(rU)KU,V＝

KV,U是双方通信会话密钥U、V、W三个用户，p＝17，rU=12,rV=7,rW=1TA选择a=8,b=7,c=2f(x,y)=8+7(x+y)+2xymod17gU(x)=f(x,rU)=7+14xmod17gV(x)=f(x,rV)=6+4xmod17gW(x)=f(x,rW)=15+9xmod17U、V通信会话秘密密钥

U计算KU,V＝gU(rV)=7+14×7mod17=3V计算KV,U＝gV(rU)=6+4×12mod17=3考虑这个方案的关键点在哪里？可以证明任何用户利用自己的已知信息都不可能确定另外两个用户的会话密钥。任何两个用户联合，可以确定TA的a,b,c，从而可以计算出其他用户间的密钥。例如：U知道gU(x)=7+14xmod17V知道gV(x)=6+4xmod177=a+12bmod1714=b+12cmod176=a+7bmod174=b+7cmod17可以对f(x,y)改进，防止k个人联合攻击密钥协商如果不打算使用在线TA，那可用密钥共识协议来得到一个通信秘密密钥。在密钥共识协议中，U和V通过一个公开信道上的通信来共同选择一个密钥，这个著名的想法归功于Diffie-HellmanDiffie-Hellman密钥共识协议密钥交换安全性分析安全性基于求离散对数问题的困难性存在着中间人攻击法中间人攻击STS协议安全性分析秘密共享秘密共享也是密钥管理中一个重要课题例：在一个大型计算机系统中有许多档案，依据不同的类别等级，系统使用不同的密钥来加以保护，而所有的密钥以一个主密钥来加以保护，若将这个主密钥交给一个管理员，在操作上可能有以下弊端：(1)每次操作都要管理员才能得到主密钥(2)若管理员发生意外，主密钥失落，影响系统操作(3)管理员将主密钥出卖给别人，将危害到整个系统。一种变通的方法是将此主密钥复制多份，