计算机安全保密-身份认证课件

信息安全

身份认证罗敏武汉大学计算机学院jsjgfzx@1主要内容身份认证原理单机状态下的身份认证网络环境下的身份认证2一、认证的概念认证（Authentication）又称鉴别，确认，它是证实某人某事是否名符其实或是否有效的一个过程。认证和加密的区别在于：加密用以确保数据的保密性，而认证用以确保报文发送者和接收者的真实性以及报文的完整性。认证往往是许多应用系统中安全保护的第一道设防，因而极为重要。3一、认证的概念认证模型要认证的人或事为真吗？参数YesNo人或事为假人或事为真4一、认证的概念认证参数有口令、标识符、密钥、信物、智能卡、指纹、视网纹等。一般说来，利用人的生理特征参数进行认证的安全性高，但技术要求也高。目前广泛应用的还是基于密码的认证技术。5一、认证的概念认证和数字签名的区别：①认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性，而数字签名中用于验证签名的数据是公开的。②认证允许收发双方互相验证其真实性，不准许第三者验证，而数字签名允许收发双方和第三者都能验证。③数字签名具有发送方不能抵赖、接收方不能伪造和能够公开验证解决纠纷，而认证则不一定具备。6二、站点认证为了确保通信安全，在正式传送报文之前，应首先认证通信是否在意定的站点之间进行，这一过程称为站点认证。站点认证是通过验证加密的数据能否成功地在两个站点间进行传送来实现的。7二、站点认证设A、B是意定的两个站点，A是发送方，B是接收方。利用传统密码体制，则A和B相互认证的过程如下(假定A、B共享保密的会话密钥KS):1.A产生随机数RA1.B产生随机数RB

2.A→B：E(RA，KS)2.B接受E(RA，KS)3.A接受E(RA||RB，KS)3.B→A：E(RA||RB，KS)

并解密判断RA=

RA?

4.B接受E(RB，KS)4.A→B：E(RB，KS)5.B判断RB=

RB?

8二、站点认证若利用公钥密码，A和B相互认证的过程如下：

1.A→B：RA 2.B→A：D(RA||RB，KdB) 3.A→B：D(RB,

KdA)注意：基于公钥密码的站点认证本质上是利用数字签名来确保A，B的真实性。9三、报文认证报文认证必须使通信方能够验证每份报文的发送方、接收方、内容和时间性的真实性和完整性。能够确定：（1）报文是由意定的发送方发出的；（2）报文传送给意定的接收方；（3）报文内容有无篡改或发生错误；（4）报文按确定的次序接收。10三、报文认证1、报文源的认证采用传统密码设A为发送方，B为接收方。A和B共享保密的密钥KS。A的标识为IDA，报文为M，在报文中增加标识IDA,那么B认证A的过程如下：

A→B：E(IDA||M，KS)B收到报文后用KS解密，若解密所得的发送方标识与IDA相同，则B认为报文是A发来的。11三、报文认证1、报文源的认证采用公开密钥密码报文源的认证十分简单。只要发送方对每一报文进行数字签名，接收方验证签名即可：

A→B：SIG(IDA||M，KdA)B：VER（SIG(IDA||M,KdA),KdA

）12三、报文认证3、报文内容的认证报文内容认证使接收方能够确认报文内容的真实性，这可通过验证认证码

的正确性来实现。消息认证码MAC（MessageAuthenticationCode）是消息内容和密钥的公开函数，其输出是固定长度的短数据块：

MAC＝f(M，K)。

13三、报文认证3、报文内容的认证通信双方共享秘密钥K。A计算MAC并将报文M和MAC发送给接收方：

AB：M||MAC接收方收到报文M后用相同的秘密钥K重新计算得出新的MAC，并将其与接收到的MAC进行比较，若二者相等，则认为报文正确真实。14三、报文认证3、报文内容的认证MMACMMACMAC=C(M)=?网络信道NYM真实正确不真实不正确15三、报文认证3、报文内容的认证在上述方法中，报文是以明文形式传送的,所以该方法可以提供认证，但不能提供保密性。若要获得保密可在MAC算法之后对报文加密：

AB：E（M||f(M，K1)，K2）

因为只有A和B共享K1，所以可提供认证；因为只有A和B共享K2，所以可提供保密。16三、报文认证3、报文内容的认证注意：

MAC算法不要求可逆性而加密算法必须是可逆的；与加密相比，认证函数更不易被攻破；由于收发双方共享密钥，因此MAC不能提供数字签名功能。17三、报文认证3、报文内容的认证注意：理论上，对不同的M，应不同产生MAC。因为若M1M2，而MAC1=MAC2，则攻击者可将M1篡改为M2，而接收方不能发现。但是要使函数f具备上述性质，将要求报文认证码MAC至少和报文M一样长，这是不方便的。18三、报文认证实际应用时要求函数C具有以下性质：

对已知M1和MAC1构造满足MAC2＝MAC1的M2在计算上是不可行的；MAC函数应是均匀分布的，即对任何随机的报文M1和M2,MAC1=MAC2的概率是2-n,其中n是MAC的位数；

设M2是M1的某个已知的变换，即M2=g(M1)，如g逆转M1的一位或多位，那么MAC1=MAC2的概率2-n。19四、利用分组密码产生MAC利用强的分组密码可以产生MAC：需认证的数据被分成64位的分组D1||D2||…||DN，若最后分组不足64位，则在其后填0直至成为64位的分组。用DES按CBC方式加密，产生MAC。D1D2Dn-1DnDESDESDESDESO2On-1MACO1KIVKKK20四、利用分组密码产生MAC其中，O1=DES(D1IV

，K)

Oi=DES(DiOi-1，K)(2iN)MAC=On

IV为初始向量，此处取0；K为密钥。很容易用其它强的分组密码（如AES）来计算产生MAC。目前AES的分组长度多为128位。21五、利用HASH函数产生MAC1、Hash函数将任意长的报文M变换为定长的码h，记为：

h=HASH(M)或h=H(M)。hash码也称报文摘要。它具有错误检测能力。用hash码作MAC，可认证报文;用hash码辅助数字签名;hash函数可用于保密。22五、利用HASH函数产生MAC2、安全Hash函数还应满足下列性质：

单向性：对给定的Hash函数值h，找到满足H(x)＝h的x在计算上是不可行的。

抗弱碰撞性：对任何给定的x，找到满足y≠x且H(x)=H(y)的y在计算上是不可行的。

抗强碰撞性：找到任何满足H(x)=H(y)的偶对(x,y)在计算上是不可行的。

23五、利用HASH函数产生MAC3、安全Hash函数的应用：报文认证

AB：<M||E（H（M）,K）>发方生成报文M的hash码H(M)并使用传统密码对其加密，将加密后的结果附于消M之后发送给接收方。由于H(M)受密码保护，所以B通过比较H(M)可认证报文的真实性和完整性。24五、利用HASH函数产生MAC3、安全Hash函数的应用：保密与认证AB：<E（M||H（M）,K）>由于只有A和B共享秘密钥，所以B通过比较H(M)可认证报文源和报文的真实性。由于该方法是对整个报文M和Hash码加密，所以也提供了保密性。

25五、利用HASH函数产生MAC3、安全Hash函数的应用：数字签名与认证

AB：<

M||D（H（M）,KdA）>发方使用公钥密码用其私钥KdA对消息M的hash码签名，并将其附于报文M之后发送给收方。B可以验证Hash值来认证报文的真实性，因此该方法可提供认证；由于只有发方可以进行签名，所以该方法也提供了数字签名。26五、利用HASH函数产生MAC4、安全Hash函数SHA-1是由美国标准与技术研究所(NIST)设计并于1993年公布(FIPSPUB180)，1995年又公布了FIPSPUB180-1，通常称之为SHA-1。其输入为长度小于264位的报文，输出为160位的报文摘要，该算法对输入按512位进行分组，并以分组为单位进行处理。27身份认证验证客户的真实身份和其所声称的身份是否相符的过程根据用户的身份进行授权根据审计设置记录用户的请求和行为入侵检测系统实时或非实时地检测是否有入侵行为28身份认证授权数据库资源安全管理员身份认证用户访问监视器控制访问控制审计员管理审计记录（实时入侵检测）记录（非实时入侵检测）29主要内容身份认证原理单机状态下的身份认证网络环境下的身份认证30身份认证单机状态下的身份认证基于口令的认证方式基于智能卡的认证方式基于生物特征的认证方式31口令认证机制若口令方案中的口令是不随时间变化的口令，则该机制提供弱鉴别(weakauthentication)。口令系统有许多脆弱点口令猜测外部泄露线路窃听重放32基于口令的认证方式直接明文存储口令Hash值存储口令对于每个用户，系统将帐户和散列值对存储在一个口令文件中，当用户输入口令x，系统计算其散列值H(x)，然后将该值与口令文件中相应的散列值比较，若相同则允许登录。安全性仅依赖于口令33密码（口令）安全强壮密码的组成大写字母小写字母数字非字母、数字的字符密码长度：不小于8字节长34强壮密码应符合的规则个人名字或呢称电话号码、生日等敏感信息输入8字符以上密码记录于纸上或放置于办公处使用重复的字符XXXX++++=强壮的密码35口令认证口令验证是目前应用最为广泛的身份认证方法之一。现行口令认证存在下列一些问题：

用户的口令以明文形式存储在系统中，系统管理员可以获得所有口令，攻击者也可利用系统的漏洞来获得他人的口令。攻击者可能在传输线路上截获用户口令。因为用户的口令在用户终端到系统的线路上以明文形式传输。用户和系统的地位不平等。只有系统认证用户，没有用户认证系统。36口令认证现行口令认证的改进：利用单向函数加密口令在这种验证机制中，用户的口令在系统中以密文的形式存储，并且对用户口令的加密应使得从口令的密文恢复出口令的明文在计算上是不可行的。利用数字签名方法验证口令在这种验证机制中，用户i将其公钥提交给系统，作为验证口令的数据，提供给系统的认证数据是对口令的签名。37Unix系统中的口令机制使用crypt()保证系统密码的完整性，完成单向加密功能。该函数基于DES算法。使用salt防止口令文件中出现相同口令；增加口令长度38装入一个新的口令39验证口令40六、口令认证现行口令认证的改进：口令的双向认证设A和B是一对平等的实体。他们共享对方的口令。设A的口令为PA，B的令为PB。当A要求与B通信时，B必须验证A的身份，因此A应当首先向B出示表示自己身份的数据。但此时A尚未对B的身份进行验证，所以A不能直接将自己的口令发给B。如果B要求与A通信也存在同样的问题。41六、口令认证现行口令认证的改进：为了实现口令的双向对等验证，可选择一个单向函数f。假定A要求与B通信，则A和B可如下相互认证对方的身份：1.AB： RA2.BA：f(PB||RA)||RBA计算判断3.AB： f(PA||RB)B计算判断42六、口令认证现行口令认证的改进：A首先选择随机数RA并发送给B。B收到RA后，产生随机数RB，利用单向函数f对其口令PB和随机数RA进行加密f(PB||RA)，并连同RB一起发送给A。A利用单向函数f对自己保存的PB和RA

进行加密，并与接收到的f(PB||RA)进行比较。若两者相等，则A确认B的身份是真实的，否则认为B的身份是不真实的。43基于智能卡的认证方式优点基于智能卡的认证方式是一种双因素的认证方式（PIN+智能卡）智能卡提供硬件保护措施和加密算法缺点智能卡和接口设备之间的信息流可能被截获智能卡可能被伪造职员的作弊行为44基于智能卡的认证方式安全措施对持卡人、卡和接口设备的合法性的相互验证重要数据加密后传输卡和接口设备中设置安全区，安全区中保护逻辑电路或外部不可读的存储区明确有关人员的责任，并严格遵守设置止付名单45基于生物特征的认证方式以人体唯一的、可靠的、稳定的生物特征为依据视网膜识别虹膜识别手形识别指纹识别签名识别声纹识别46主要内容身份认证原理单机状态下的身份认证网络环境下的身份认证47协议协议指的是双方或多方通过一系列规定的步骤来完成某项任务。协议的含义：协议自开始至终是有序的过程，每一步骤必须依次执行。协议至少需要两个参与者通过执行协议必须完成某项任务。48协议协议的特点协议的每一方必须事先知道此协议及要执行的步骤协议涉及的每一方必须同意遵守协议协议必须是非模糊的协议必须是完整的每一步的操作要么是由一方或多方进行计算，要么是在各方之间进行消息传递49密码协议使用密码算法的提供安全服务的协议称为密码协议或安全协议.根据协议的功能（常用的）认证协议(authenticationprotocol):一个实体向他所希望通信的另一个实体的提供身份的确认.密钥建立协议(keyestablishmentprotocol):建立共享秘密认证的密钥建立协议(authenticatedkeyestablishmentprotocol):与另一个身份已被或可被认证的实体之间建立共享秘密.50认证协议认证协议提供的安全服务认证（Authenticity）实体认证就是确认实体是它所声明的。实体认证是其它安全服务的基础实体认证适用于用户、进程、系统、信息等，特别是远程登录。51认证协议实体认证与消息认证的区别实体鉴别一般都是实时的，消息鉴别一般不提供实时性。实体鉴别只证实实体的身份，消息鉴别除了消息的合法和完整外，还需要知道消息的含义。52认证协议实体鉴别可以是单向的也可以是双向的。

单向认证是指通信双方中只有一方向另一方进行鉴别。双向认证是指通信双方相互进行鉴别。53认证与密钥交换协议使得通信各方互相认证各自的身份，然后交换会话密钥。认证和密钥交换协议的核心问题有两个：保密性时效性为了防止伪装和防止暴露会话密钥，基本认证与会话密码信息必须以保密形式通信。要求使用预先保密或公开密钥实现加密以提供保密性。时效性防止消息重放攻击。54认证与密钥交换协议常见的消息重放攻击形式简单重放：攻击者简单复制一条消息，以后在重新发送它；可被日志记录的复制品：攻击者可以在一个合法有效的时间窗内重放一个带时间戳的消息；不能被检测到的复制品：原始信息已经被拦截，无法到达目的地，而只有重放的信息到达目的地；反向重放，不做修改。向消息发送者重放。当采用传统对称加密方式时，这种攻击是可能的。因为消息发送者不能简单地识别发送的消息和收到的消息在内容上的区别。对策针对同一验证者的重放：非重复值针对不同验证者的重放：验证者的标识符55网络环境下的身份认证一次性口令认证动态口令认证机制认证协议56一次性口令认证一次性口令只使用一次使用一个口令令牌(passwordtoken)使用挑战/应答(Challenge/Response)方式57一次性口令认证一次性口令机制确保在每次鉴别中所使用的口令不同，以对付重放攻击。确定口令的方法：两端共同拥有一串随机口令，在该串的某一位置保持同步；两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；使用时戳，两端维持同步的时钟。58一次性口令认证双因素动态口令卡基于密钥/时间双因素的身份鉴别机制；用户登录口令随时间变化，口令一次性使用，无法预测，可以有效抵御密码窃取和重放攻击行为59一次性口令认证相关产品如SecurityDynamics公司的SecureID设备基于时间同步的动态密码认证系统RSASecureID美国Axend(现被Symantec公司兼并)是较早推出双因素身份认证系统的公司。我国一些信息技术公司也相继推出了动态口令认证系统。如网泰金安信息技术公司、北京亿青创新信息技术有限公司、四川安盟电子信息安全有限公司等。60挑战/应答——S/KEY协议把(秘密口令＋seed)进行seq次Hash计算产生一次性口令连接请求，初始化应答请求(seed,seq)进行身份确认首次基于一次性口令思想开发的身份认证系统S/KEY，现已称为标准(RFC1760)61挑战/应答——S/KEY协议S/KEY的优点用户通过网络传送给服务器的口令是利用秘密口令和seed使用散列函数计算的结果，用户本身的秘密口令没有在网上传播实现原理简单，可以使用硬件实现提速S/KEY的缺点协议安全性依赖于算法的不可逆性系统不使用任何会话加密，没有保密性维护一个很大的一次性密钥列表很麻烦62网络环境下的身份认证一次性口令认证动态密码认证系统认证协议63身份认证——KerberosKerberos支持在分布式系统中实现认证中心服务器提供一种称为票据的已认证的令牌，向应用软件提出请求。票据是不能伪造、不能重放、已认证的对象票据是一种用户可以获得的用于命名一个用户或一种服务的加密数据结构，其中保护时间值和一些控制信息64身份认证——Kerberos用户Kerberos服务器票据授权服务器2.使用口令加密的会话密钥SG和票据G1.用户的身份3.使用KS-TGS密钥加密的会话密钥SG启动一个Kerberos会话65身份认证——Kerberos用户票据授权服务器1.使用SG口令加密的访问文件F的请求用户已获得认证，希望访问文件F，获取访问文件F的票据2.发送给文件服务器要求访问文件F的票据和会话密钥SF（使用TGS-F密钥加密的）票据包括：U的已认证的身份、文件F的说明、访问权限、会话密钥SF以及票据有效期。66身份认证——Kerberos认证服务器（AS）数据库票据授权服务器（TGS）用户应用服务器5.请求服务6.服务器验证3.申请服务器票据4.票据+会话密钥1.请求许可票据2.许可票据+会话密钥67身份认证——Kerberos两类凭证票据(ticket)

Tc,s=s,{c,a,v,Kc,s}Ks

用户的网络地址

包括用户名、服务器名、网址、时间标记和会话密钥，用服务器的秘密钥加密。认证码(authenticator)

Ac,s={c,t,key}Kc,s

包括用户名、时间标记和一个可选的附加会话密钥，用服务器和客户共享的密钥加密票据的起止时间68身份认证——Kerberos优点网络中无口令信息的通信使用加密提供保密性，防止欺骗有效的有效期时间戳防止重放攻击相互鉴别69身份认证——Kerberos缺点要求一个可信任的票据授权服务器连续可用服务器的真实性要求在票据授权服务器与每个服务器之间保持一种信任关系要求实时传输一个被安装破坏的工作站可存储用户口令，并在稍后重放该口令口令猜测攻击不可伸缩性70身份认证——KerberosKerberos5——协议的改进模型消除认证协议对安全时间服务的依赖性更好地防止重放攻击提高口令猜测的复杂度简化域间认证使用混合加密算法使用nonce71X.509认证交互协议单向认证用户A用户BA{tA,rA,B,sgnData,EKUb[Kab]}72X.509认证交互协议双向认证用户A用户BA{tA,rA,B,sgnData,EKUb[Kab]}B{tB,rB,A,sgnData,EKUa[Kba]}73X.509认证交互协议优点与Kerberos协议相比，X.509不需要物理上安全的在线服务器，公钥证书可通过使用一个不可信的目录服务被离线地分配。74其他协议PPP（PointtoPointProtocol）中的认证协议密码验证协议（PasswordAuthenticationProtocol）挑战-握手验证协议（Challenge-HandshakeAuthenticationProtocol）RADIUS(RemoteAuthenticationDial-inUserService)协议RFC2138、2139和2200SingleSignon协议75密码学应用76密码学的数学基础传统密码学算法对称钥算法公开钥算法序列密码程序安全操作系统安全数据库安全网络安全灾难恢复计划信息隐藏与数字水印

目录

777.1保密通信链路加密端-端加密787.2密码模式电码本（ECB）密文分组链接（CBC）密文反馈（CFB）输出反馈（OFB）

79ECBKP1C1DES加密TIME=1(a)加密···KP2C2DES加密TIME=2KPNCNDES加密TIME=NKP1C1DES解密TIME=1···KP2C2DES解密TIME=2KPNCNDES解密TIME=N(b)解密80CBCP1IVDES加密C1······KP2DES加密C2KPN

DES加密CNK(a)加密Time=1Time=2Time=N+++CN－1C1IVDES解密P1······KC2DES解密P2KCN

DES解密PNK(b)解密+++CN－181CFB移位寄存器64－j位|j位64DES加密64K选择|丢弃j位|64－j位j+jP1C1j移位寄存器64－j位|j位64DES加密64K选择|丢弃j位|64－j位j+jP2C2j·

·

·移位