1、1,第3讲 身份认证协议与机制,华中科技大学计算机学院 信息安全研究室,2,1密码协议 2身份认证协议 3 基于非密码的认证 4 基于密码算法的认证 5 零知识证明协议,第3讲 身份认证协议与机制,3,1密码协议 2身份认证协议 3 基于非密码的认证 4 基于密码算法的认证 5 零知识证明协议,第3讲 身份认证协议与机制,4,1.1 网络安全模型与任务 1.2 信息安全支撑框架 1.3 密码协议的概念 1.4 协议的分类,1 密码协议,5,1.1网络安全模型,6,1.1 网络安全的基本任务, 设计一个算法,执行安全相关的转换 生成该算法的秘密信息 研制秘密信息的分布与共享的方法 设定两个责任者
2、使用的协议,利用算法和秘密信息取得安全服务。,7,1.1 网络安全模型与任务 1.2 信息安全支撑框架 1.3 密码协议的概念 1.4 协议的分类,1 密码协议,8,1.2信息安全保障的技术支柱,9,1.2安全技术的层次,* 密码算法 encryption algorithms, digital signatures, etc. * 安全协议 key agreement protocols, authentication protocols, etc. * 安全的结构 Security architecture design of a security system * 安全的基础设施 Sec
3、urity infrastructure Serves backbone of various systems and provides security services to these systems,10,1.1 网络安全模型与任务 1.2 信息安全支撑框架 1.3 密码协议的概念 1.4 协议的分类,1 密码协议,11,1.3 协议的概念,协议指的是双方或多方通过一系列规定的步骤来 完成某项任务。 协议的含义: 第一,协议自开始至终是有序的过程,每一步 骤必须依次执行。 第二,协议至少需要两个参与者 第三,通过执行协议必须完成某项任务。,12,1.3协议的其它特点,协议的每一方必须事
4、先知道此协议及要执行的步骤 协议涉及的每一方必须同意遵守协议 协议必须是非模糊的 协议必须是完整的 每一步的操作要么是由一方或多方进行计算,要么是在各方之间进行消息传递,13,1.3 算法、协议和密码协议,算法、协议、密码协议 * 算法(Algorithm):一系列步骤,完成一项任务。 * 协议(Protocol):一系列步骤,它包括两方或多方,设计它的目的是 要完成一项任务。 协议中的每个人都必须了解协议,并且预先知道所要完成的步骤; 协议中的每个人都必须同意并遵循它; 协议必须是清楚的,每一步必须明确定义,并且不会引起误解; 协议必须是完整的,对每种可能的情况必须规定具体的动作; * 密码
5、协议(Cryptographic Protocol):是使用密码学的协议 参与该协议的伙伴可能是朋友和完全信任的人,或者也可能是敌人和互 相完全不信任的人。 包含某种密码算法,但通常协议的目的不仅仅是为了简单的秘密性; 参与协议的各方可能为了计算一个数值想共享他们的秘密部分、共同产 生随机系列,确定互相的身份或者同时签署合同。 使用密码的目的是防止或发现窃听者和欺骗。,14,1.1 网络安全模型与任务 1.2 信息安全支撑框架 1.3 密码协议的概念 1.4 协议的分类,1 密码协议,15,1.4协议类型,* 仲裁协议 * 裁决协议 * 自动执行协议,16,1.4仲裁协议,仲裁者是在完成协议的
6、过程中,值得信任的公正 的第三方 “公正”意味着仲裁者在协议中没有既得利益,与参与 协议的任何人也没有特别的利害关系。 “值得信任”表示协议中的所有人都接受这一事实,即 仲裁者所说的都是真实的,所做的都是正确的。仲裁 者能帮助互不信任的双方完成协议; 律师、银行、公正人,17,1.4 仲裁协议 例子,Alice 要卖车给不认识的Bob,Bob想用支票付帐,但 Alice不知道支票的真假。同样,Bob也不相信Alice,在没有获得所有权前,不愿意将支票交与Alice. Alice将车的所有权交给律师Bob将支票交给AliceAlice在银行兑现支票 在支票兑现无误后,律师将车的所有权交给Bob,
7、若在规定的时间内支票不能兑现,Alice将出示证据给律师,律师将车的所有权和钥匙交还给Alice,18,1.4 裁决协议,裁决协议 协议包括两个低级的子协议:一个是非仲裁子协议,执行协议的各方每次想要完成的, 另一个是裁决子协议,仅在例外的情况下,即有争议的时候才执行,这种特殊的仲裁者叫裁决人。 法官,19,1.4 裁决协议 例子,非仲裁子协议 A和B谈判合同的条款 A签署合同 B签署合同 裁决子协议(仅在有争议时执行): A和B出现在法官面前 A提出她的证据 B也提出她的证据 法官根据证据裁决,20,1.4 自动执行协议,协议本身就保证了公平性,不需要仲裁者 来完成协议,也不需要裁决者来解决
8、争端。,21,1.4对协议的攻击,攻击目标 攻击协议使用的密码算法和密码技术 攻击协议本身 攻击方式 被动攻击:与协议无关的人能窃听协议的一部分或全部。 主动攻击:改变协议以便对自己有利。假冒、删除、 代替、重放 研究目标:假设密码算法和密码技术都是安全 的,只关注协议本身的攻击,22,1.4密码协议,使用密码的具有安全性功能的协议称为安全协议或密码协议. 根据协议的功能: 密钥建立协议(key establishment protocol):建立共享秘密 鉴别协议(authentication protocol):向一个实体提供对他想要进行通信的另一个实体的身份的某种程度的确认. 鉴别的密钥
9、建立协议(authenticated key establishment protocol):与另一个身份已被或可被证实的实体之间建立共享秘密. ,23,1密码协议 2身份认证协议 3 基于非密码的认证 4 基于密码算法的认证 5 零知识证明协议,第3讲 身份认证协议与机制,24,2.1 身份认证概念 2.2 身份认证的目标 2.3 身份认证的分类 2.4 身份认证的途径,2 身份认证协议,25,2.1安全的信息交换应满足的性质,* 保密性( Confidentiality) * 完整性(Integrity) 数据完整性,未被未授权篡改或者损坏 系统完整性,系统未被非授权操纵,按既定的功能 运
10、行 * 可用性(Availability) * 鉴别鉴别 (AuthenticityAuthenticity) 实体身份的鉴别,适用于用户、进程、系统、信息 等 * 不可否认性(Non-repudiation) 防止源点或终点的抵赖,26,2.1 身份认证概述,为了保护网络资源及落实安全政策。需要提供可追究责任的机制,这里涉及到三个概念:认证、授权及审计。 用户对资源的访问过程,27,2.1身份认证概述(续),认证与以下环境有关:某一成员(声称者)提交一个主体的身份并声称他是那个主体,认证能使别的成员(验证者)获得对声称者所声称的事实的信任。 身份认证的作用 对抗假冒攻击 确保身份,明确责任
11、鉴别是最重要的安全服务之一。鉴别服务提供了关于某个实体身份的保证。(所有其它的安全服务都依赖于该服务),28,2.1 实体鉴别的例子,* 263的邮件登录 * sina的邮件登录 * Client与Proxy-Server之间的鉴别 * Telnet远程登录 * POP3邮件登录 * Ftp服务,29,2.1 身份认证概述,对身份认证过程中攻击: 数据流窃听(Sniffer):由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。 拷贝/重传:非法用户截获信息,然后再传送给接收者。 修改或伪造:非
12、法用户截获信息,替换或修改信息后再传送给接收者,或者非法用户冒充合法用户发送信息。,30,2.1 身份认证概念 2.2 身份认证的目标 2.3 身份认证的分类 2.4 身份认证的途径,2 身份认证协议,31,2.2 实体鉴别的需求和目的,某一成员(声称者)提交一个主体的身份并声称它是那个主体。 * 实体鉴别目的: 使别的成员(验证者)获得对声称者所声称的事实的信任。,32,2.2实体鉴别的目的和过程,* 实体鉴别(身份鉴别):某一实体确信与之打交 道的实体正是所需要的实体。只是简单地鉴别实 体本身的身份,不会和实体想要进行何种活动相 联系。 * 在实体鉴别中,身份由参与某次通信连接或会话 的远
13、程参与者提交。这种服务在连接建立或在数 据传送阶段的某些时刻提供,使用这种服务可以 确信(仅仅在使用时间内): 一个实体此时没有试图 冒充别的实体,或没有试图将先前的连接作非授 权地重放。,33,2.2实体鉴别与消息鉴别的差别,* 实体鉴别一般都是实时的,消息鉴别一般不提供时间性。 * 实体鉴别只证实实体的身份,消息鉴别除了消息的合法和完整外,还需要知道消息的含义。 * 数字签名主要用于证实消息的真实来源。但在身份鉴别中消息的语义是基本固定的,一般不是“终生”的,签名是长期有效的。,34,2.2实体鉴别实现安全目标的方式, 作为访问控制服务的一种必要支持,访问控 制服务的执行依赖于确知的身份(
14、访问控制 服务直接对达到机密性、完整性、可用性及 合法使用目标提供支持); 作为提供数据起源认证的一种可能方法(当 它与数据完整性机制结合起来使用时); 作为对责任原则的一种直接支持,例如,在 审计追踪过程中做记录时,提供与某一活动 相联系的确知身份。,35,2.1 身份认证概念 2.2 身份认证的目标 2.3 身份认证的分类 2.4 身份认证的途径,2 身份认证协议,36,2.3实体鉴别分类-i,* 实体鉴别可以分为本地和远程两类。 * 本地多用户鉴别:实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)。 需要用户进行明确的操作 * 远程用户鉴别:连
15、接远程设备、实体和环境的实体鉴别。 通常将本地鉴别结果传送到远程。 (1)安全 (2)易用,37,2.3实体鉴别分类-i i,实体鉴别分类-ii 实体鉴别可以是单向的也可以是双向的。 单向鉴别是指通信双方中只有一方向另一方进行鉴别。 双向鉴别是指通信双方相互进行鉴别。 ,38,2.1 身份认证概念 2.2 身份认证的目标 2.3 身份认证的分类 2.4 身份认证的途径,2 身份认证协议,39,2.4实体鉴别系统的组成,* 一方是出示证件的人,称作示证者P(Prover),又 称声称者(Claimant)。 * 另一方为验证者V(Verifier),检验声称者提出的 证件的正确性和合法性,决定是
16、否满足要求。 * 第三方是可信赖者TP (Trusted third party) , 参与调解纠纷。 * 第四方是攻击者,可以窃听或伪装声称者骗取验 证者的信任。,40,2.4实体鉴别系统的鉴别模型,41,2.4对身份鉴别系统的要求,(1)验证者正确识别合法申请者的概率极大化。 (2)不具有可传递性(Transferability) (3)攻击者伪装成申请者欺骗验证者成功的概率 要小到可以忽略的程度 (4)计算有效性 (5)通信有效性 (6)秘密参数能安全存储 (7)交互识别 (8)第三方的实时参与 (9)第三方的可信赖性 (10)可证明的安全性,42,2.4实现身份鉴别的途径,* 三种途径
17、之一或他们的组合 (1)所知(Knowledge):密码、口令 (2)所有(Possesses):身份证、护照、信用卡、钥匙 (3)个人特征:指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征 设计依据: 安全水平、系统通过率、用户可接受性、成本等,43,1 密码协议 2 身份认证协议 3 基于非密码的认证 4 基于密钥的认证 5 零知识证明协议,第3讲 身份认证协议与机制,44,3.1 基于口令的机制 3.2 一次性口令 3.3 询问-应答机制 3.4 基于地址的认证 3.5 基于个人特征的认证机制 3.6 个人鉴别令牌,3 非密码的身份认证机制,45,3.1.1
18、常见口令机制 3.1.2 基于口令机制的攻击 3.1.3 口令机制的改进方案,3.1 基于口令的认证机制,46,3.1.1 常见口令机制,口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为58的字符串。选择原则:易记、难猜、抗分析能力强。口令系统有许多脆弱点: 外部泄露 口令猜测 线路窃听 危及验证者 重放,47,3.1.1对付外部泄露的措施,教育、培训; 严格组织管理办法和执行手续; 口令定期改变; 每个口令只与一个人有关; 输入的口令不再现在终端上; 使用易记的口令,不要写在纸上。,48,3.1.1对付口令猜测的措施,教育、培训; 严格限制非法登录的次数; 口令验证中插入实时延迟
19、; 限制最小长度,至少68字节以上 防止用户特征相关口令, 口令定期改变; 及时更改预设口令; 使用机器产生的口令。,49,3.1.1对付线路窃听的措施,使用保护口令机制:如单向函数。,q ,f,id,id,q,比较,是或不是,p ,id,声称者,验证者,消息,50,3.1.2 主要缺陷及对策,攻击者很容易构造一张q与p对应的表,表中的p尽最大可能包含所期望的值。随机串(Salt)是使这种攻击变得困难的一种办法。 在口令后使用随机数。 只能保护在多台计算机上使用相同口令或在同一计算机上使用同一口令的不同用户。 防止口令文件中出现相同口令 无须用户额外记住两个字符,就能增加口令长度 阻止了用硬件
20、实现DES,51,3.1.3 UNIX系统中的口令存储(1),Unix系统使用一个单向函数crypt()来加密用户的口令。Crypt()是基于DES的加密算法,它将用户输入的口令作为密钥,加密一个64bit的0/1串,加密的结果又使用用户的口令再次加密;重复该过程,一共进行25次。最后的输出为一个13byte的字符串,存放在/etc/passwd的PASSWORD域。单向函数crypt()从数学原理上保证了从加密的密文得到加密前的明文是不可能的或是非常困难的。当用户登录时,系统并不是去解密已加密的口令,而是将输入的口令明文字符串传给加密函数,将加密函数的输出与/etc/passwd文件中该用户
21、条目的PASSWORD域进行比较,若匹配成功,则允许用户登录系统。,52,UNIX系统中的口令存储(2),UNIX系统使用crypt()保证系统密码的完整性。 这一函数完成被称作单向加密的功能,它可以加密一些明码,但不能够将密码转换为原来的明码。,53,3.1.3 添加一个新用户,54,3.1.3 验证用户,55,对付窃听的改进方案,q ,id,q,id,比较,f,是或不是,声称者,验证者,p,id,消息,salt,56,基本的对付危及验证者的措施,使用单向函数,p,id,id,q,比较,是或不是,声称者,验证者,p,id,消息,f,q ,salt,57,对付窃听及危及验证者的措施,声称者,f
22、,q,id,g,id,r,比较,是或不是,p,id,r,验证者,消息,salt,salt,58,对付重放攻击的措施,抵抗对通信线路的主动攻击重放攻击。,r ,id,t,g,f,id,q,g,比较,是或不是,p,声称者,验证者,消息,q ,id,t,salt,59,3.1 基于口令的机制 3.2 一次性口令 3.3 询问-应答机制 3.4 基于地址的认证 3.5 基于个人特征的认证机制 3.6 个人鉴别令牌,3 非密码的身份认证机制,60,3.2 一次性口令机制,一次性口令机制确保在每次认证中所使用的口令不同,以对付重放攻击。 确定口令的方法: (1)两端共同使用一个随机序列生成器,在该序列生成
23、器的初态保持同步; (2)使用时戳,两端维持同步的时钟。,61,3.2 SKEY验证程序,Alice输入随机数R,计算机计算x1=f(R)、x2=f(x1)、xn+1=f(xn)。Alice保管x1 ,x2 ,x3 ,。,xn这些数的列表,计算机在登录数据库中Alice的名字后面存储xn+1的值。当Alice第一次登录时,输入名字和xn,计算机计算f(xn),并把它和xn+1比较,如果匹配,就证明Alice身份是真的。然后,计算机用xn代替xn+1。Alice将从自己的列表中取消xn。 Alice每次登录时,都输入她的列表中未取消的最后的数xI,计算机计算f(xI),并和存储在它的数据库中的x
24、I+1比较。当Alice用完了列表上面的数后,需要重新初始化。,62,3.2 双因素动态口令卡,* 基于密钥/时间双因素的身份鉴别机制; * 用户登录口令随时间变化,口令一次性使 用,无法预测,可以有效抵御密码窃取和 重放攻击行为 * RSA等多家安全公司,63,3.2 双因素动态口令卡,相关产品 * 美国RSA SecurID 公司推出的RSA SecurID系统是当前世 界领的双因素身份鉴别系统。形成了硬件令牌、虚拟令 牌(软件令牌)、与智能卡相结合的令牌等系列产品。 鉴别服务器可运行于Windows/95/98/2000、Windows/NT、 UNIX等环境。 * 美国另一家公司Axe
25、nd(现被Symantec公司兼并)是较早推 出双因素身份认证系统的公司。Axend的产品不仅可运 行于Windows/95/98/2000、Windows/NT、UNIX等环 境,还能运行于Netwarex系统,适应我国证券行业的需 要。 * 我国一些信息技术公司也相继推出了动态口令认证系统。 如网泰金安信息技术公司、北京亿青创新信息技术有限 公司等。,64,3.2 双因素动态口令卡例子,65,3.2 双因素动态口令卡原理分析,66,3.2 安全性分析,(1)没有器件而知道口令p,不能导致一个简单的攻击; (2)拥有器件而不知道口令p,不能导致一个简单的攻击; (3)除非攻击者也能进行时间同
26、步,否则重放不是一个简单的攻击; (4)知道q(例如通过浏览验证者系统文件)而不知道设备安全值dsv,不能导致一个简单的攻击。,67,3.3询问应答机制,询问应答原理可以扩张基于口令的方案,能大大地提高抵抗重放攻击的能力,但通常通信代价很高。 * 前面所示的对付重放攻击的机制存在两个重要的问题。一个是为了两端都知道nrv值需要维持同步。另一个是验证者要知道nrv值是否被重复使用过是比较困难的。 * 询问应答方法克服了这些问题。,68,3.3询问应答机制,69,3.4 基于地址的机制,基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。 在大多数的数据网络中,呼叫地址的辨别都是可行的。
27、在不能可靠地辨别地址时,可以用一个呼叫回应设备来获得呼叫的源地址。一个验证者对每一个主体都保持一份合法呼叫地址的文件。这种机制最大的困难是在一个临时的环境里维持一个连续的主机和网络地址的联系。地址的转换频繁、呼叫转发或重定向引起了一些主要问题。基于地址的机制自身不能被作为鉴别机制,但可作为其它机制的有用补充。,70,3.5 基于个人特征的机制,生物特征识别技术主要有: 1)指纹识别; 2)声音识别; 3)手迹识别; 4)视网膜扫描; 5)手形。 这些技术的使用对网络安全协议不会有重要的影响。,71,3.6 个人鉴别令牌,物理特性用于支持认证“某人拥有某东西” ,但通常要与一个口令或PIN结合使
28、用。 这种器件应具有存储功能,通常有键盘、显示器等界面部件,更复杂的能支持一次性口令,甚至可嵌入处理器和自己的网络通信设备(如智能卡)。 这种器件通常还利用其它密码鉴别方法。,72,1 身份认证概述 2 身份认证协议与结构 3 基于非密码的认证 4 基于密码算法的认证 5 零知识证明协议,第3讲 身份认证协议与机制,73,4 基于密码算法的 强鉴别协议,* 强鉴别(strong authentication):通过密码学的询 问-应答(challenge-response)协议实现的身份鉴 别,询问-应答协议的思想是一个实体向另一个实 体证明他知道有关的秘密知识,但不向验证者提 供秘密本身。这
29、通过对一个时变的询问提供应答 来实现,应答通常依赖于实体的秘密和询问。询 问通常是一个实体选择的一个数(随机和秘密 地)。,74,4 基于密码算法的 强鉴别协议,75,1 身份认证概述 2 身份认证协议与结构 3 基于非密码的认证 4 基于密码算法的认证 5 零知识证明协议,第3讲 身份认证协议与机制,76,5 零知识证明协议,* 下面是一个故事: * Alice: “我知道联邦储备系统计算的口令” * Bob: “不,你不知道” * Alice:我知道 * Bob:你不知道 * Alice:我确实知道 * Bob:请你的证实这一点 * Alice:好吧,我告诉你。(她悄悄说出了口令) * B
30、ob:太有趣了!现在我也知道了。我要告诉华盛顿邮 报 * Alice:啊呀!,77,5 零知识证明协议,* P为示证者(Prover),V为验证者,P试图向V 证明自己知道某信息。 P告诉V这一信息使得V相信,这样V也知道了 这一信息,这是基于知识的证明; 通过某种有效的数学方法,使得V相信P掌握 这一信息,却不泄漏任何有用的信息,这种方 法称为零知识证明问题。 * 最小泄漏证明(Minimum Disclosure Proof) * 零知识证明(Zero Knowledge Proof),78,5 零知识证明协议,* P几乎不可能欺骗V:如果P知道证明,他 可以使V以极大的概率相信他知道证明;如 果P不知道证明,则他使得V相信他知道证 明的概率几乎为零。 * V几乎不可能知道证明的知识,特别是他不 可能向别人重复证明过程。 * V无法从P那里得到任何有关证明的知识。 (零知识证明满足全部三个条件),79,5 零知识证明协议,(1)V站在A点; (2)P进入山洞,走到C点或D点; (3)当P消失后,V进入到B点; (4)V指定P从左边或右边出来; (5)P按照要求出洞(如果需要通过门,则使用咒语) (6)P和V重复步骤(1)至(5)n次。,