第05章 數(shù)字簽名與身份認證

第5章數(shù)字簽名與身份認證

回顧：消息鑒別的概念報文鑒別MessageAuthentication鑒別：消息的接收者對消息進行的驗證。真實性：消息確實來自于其真正的發(fā)送者，而非假冒；完整性：消息的內(nèi)容沒有被篡改。鑒別對防止主動攻擊、保護開放網(wǎng)絡中信息系統(tǒng)的安全性有重要作用Message消息報文Authentication鑒別認證沈陽航空航天大學不可否認性的應用需求網(wǎng)絡通信中，希望有效防止通信雙方的欺騙和抵賴行為。1簡單的報文鑒別技術只能使通信免受來自第三方的攻擊,無法防止通信雙方之間的互相攻擊。2數(shù)字簽名技術為此提供了一種解決方案。3B偽造一個不同的消息，但聲稱是從A收到的；AA可以否認發(fā)過該消息，B無法證明

A確實發(fā)了該消息;B原因：鑒別技術基于秘密共享。C沈陽航空航天大學數(shù)字簽名數(shù)字簽名（DigitalSignature）是公開密鑰體系加密技術發(fā)展的一個重要的成果。數(shù)字簽名的功能是對現(xiàn)實生活中筆跡簽名的功能模擬。

(1)必須能夠用來證實簽名的作者和簽名的時間。

對消息進行簽名時，必須能夠對消息的內(nèi)容進行鑒別。簽名應具有法律效力，必須能被第三方證實用以解決爭端。必須包含對簽名進行鑒別的功能。數(shù)字簽名的設計目標

簽名的比特模式是依賴于消息報文的，也就是說，數(shù)據(jù)簽名是以消息報文作為輸入計算出來的，簽名能夠對消息的內(nèi)容進行鑒別；數(shù)據(jù)簽名對發(fā)送者來說必須是惟一的，能夠防止偽造和抵賴；產(chǎn)生數(shù)字簽名的算法必須相對簡單易于實現(xiàn)，且能夠在存儲介質上保存?zhèn)浞?；對?shù)字簽名的識別、證實和鑒別也必須相對簡單，易于實現(xiàn)；偽造數(shù)字簽名在計算上是不可行的，無論攻擊者采用何種方法（利用數(shù)字簽名偽造報文，或者對報文偽造數(shù)字簽名）。沈陽航空航天大學數(shù)字簽名的分類直接數(shù)字簽名仲裁數(shù)字簽名無條件安全的數(shù)字簽名計算上安全的數(shù)字簽名一次性的數(shù)字簽名多次性的數(shù)字簽名分類沈陽航空航天大學直接數(shù)字簽名實現(xiàn)比較簡單，在技術上僅涉及到通信的源點A和終點B雙方。1前提條件:(1)采用公開密鑰算法(2)接收者B需要了解發(fā)送者A的公開密鑰KUA2發(fā)送方A可以使用其私有密鑰KRA對整個消息報文進行加密來生成數(shù)字簽名。3更好的方法是使用KRA對消息報文的散列碼進行加密來形成數(shù)字簽名。4沈陽航空航天大學直接數(shù)字簽名(對整個明文加密)A->B:提供認證和簽名、無保密性。SourceADestinationBMMEKRaCEKRa(M)DKUa沈陽航空航天大學直接數(shù)字簽名(整個明文加密)A-B:提供認證和簽名、保密性。SourceADestinationBMEKRaCEKUb(EKRa(M))DKUaMC’CEKUbDKRbEKRa(M)EKRa(M)簽名保密認證沈陽航空航天大學直接數(shù)字簽名（對散列碼加密）A→B:M||EKRA[H(M)]提供了認證與簽名A→B:EK[M||EKRA[H(M)]]

提供了保密（K）、認證與簽名（KRa

）沈陽航空航天大學直接數(shù)字簽名的安全性方案的安全性依賴于發(fā)送方A私有密鑰的安全性。發(fā)送方可以聲稱自己的私有密鑰丟失或被盜用，而否認其發(fā)送過某個報文。改進：每個簽名報文中包含一個時間戳。問題：A的私有密鑰確實在時間T被竊?。还粽吒`取A的密鑰后，則可能發(fā)送帶有A的簽名報文，附上一個等于T的時間戳，接收者無法判別。沈陽航空航天大學基于仲裁的數(shù)字簽名通過引入仲裁來解決直接簽名方案中的問題1仲裁者必須是一個所有通信方都能充分信任的仲裁機構。2基本工作方式（假定用戶A和B之間進行通信）：3AB每個從A發(fā)往B的簽名報文首先被送給仲裁者T；T檢驗該報文及其簽名的出處和內(nèi)容，然后對報文注明日期，并附加上一個“仲裁證實”的標記發(fā)給B。沈陽航空航天大學基于仲裁的數(shù)字簽名實現(xiàn)的方案基于對稱密鑰的方案基于公開密鑰的方案TAB1:消息＋簽名2：消息、簽名＋仲裁的驗證沈陽航空航天大學基于仲裁的數(shù)字簽名--對稱密鑰加密方式發(fā)送方A和仲裁T共享一個密鑰KTA。

數(shù)字簽名由A的標識符IDA和報文的散列碼H(M)構成，用密鑰KTA進行加密。過程：(1)A→T：M‖EKTA(IDA‖H(M))。(2)T→B：EKTB(IDA‖M‖EKTA(IDA‖H(M))‖T)。(3)B存儲報文M及簽名。

爭端解決方式（A否認發(fā)送了報文M的時候）B→T：EKTB(IDA‖M‖EKTA(IDA‖H(M)))。仲裁T可用KTB恢復出IDA

、M及簽名，然后再用KTA對簽名解密并驗證其散列碼。特點：B不能直接驗證A的簽名。雙方都需要高度相信T:(1)B相信T已對消息認證，A

不能否認其簽名；(2)A信任

T沒有暴露

KTA，無人可偽造EKTA(IDA‖H(M))；(3)雙方都信任T處理爭議是公正。問題：(1)報文M明文傳送，有可能被竊聽。(2)若仲裁T不可信，則T可能偽造數(shù)字簽名。改進－－明文加密的方案A→T：IDA‖EKAB(M)‖EKTA(IDA‖H(EKAB(M)))。T→B：EKTB(IDA‖EKAB(M)‖EKTA(IDA‖H(EKAB(M))‖T)。特征：A與B之間共享密鑰KAB

。DS的構成：IDA和消息密文的散列碼用KTA

加密。DS的驗證：T解密簽名，用散列碼驗證消息。--T只能驗證消息的密文，而不能讀取其內(nèi)容。T將來自A的所有信息加上時間戳并用KTB

加密后發(fā)送給B。問題：T和發(fā)送方A聯(lián)手可以否認簽名的信息。T和接收方B聯(lián)手可以偽造發(fā)送方A的簽名。因為簽名所使用的密鑰是T與用戶共享的。沈陽航空航天大學基于仲裁的數(shù)字簽名—公開密鑰加密方式特點：仲裁者看不見消息的內(nèi)容。過程：A對報文M進行兩次加密。經(jīng)過雙重加密后，報文M只有B能夠閱讀，T不能讀取AT：IDA||EKRA[IDA||EKUB[EKRA(M)]]T能進行外層的解密，從而證實報文確實是來自A的因為只有A擁有KRA。驗證后T向B發(fā)送用KUB

加密的報文，其中包括時間戳TTB：EKRT[IDA||EKUB[EKRA(M)]||T]優(yōu)點：通信各方之間無須共享任何信息，從而避免了聯(lián)手作弊；T能進行外層的解密，從而證實報文確實是來自A的；只要KRT

安全，則不會出現(xiàn)偽造T發(fā)送的消息；消息的內(nèi)容是保密的，包括對T在內(nèi)。沈陽航空航天大學數(shù)字簽名算法普通數(shù)字簽名算法RSADSS/DSA不可否認的數(shù)字簽名算法群簽名算法盲簽名算法公布于1994年5月19日的聯(lián)邦記錄上，并于1994年12月1日采納為標準DSS。DSS最早發(fā)表于1991年，并于1993年和1996年進行了修改。DSS基于安全散列算法（SHA）并設計了一種新的數(shù)字簽名技術，即DSA（數(shù)字簽名算法）。特點

--DSS的簽名比驗證快得多--DSS不能用于加密或者密鑰分配群中各個成員以群的名義匿名地簽發(fā)消。具備下列三個特性

(1)只有群成員能代表所在的群簽名

(2)接收者能驗證簽名所在的群,但不知道簽名者

(3)需要時,可借助于群成員或者可信機構找到簽名者應用:投標盲簽名要求:

(1)消息內(nèi)容對簽名者不可見

(2)簽名被接收者泄漏后,簽名者無法追蹤簽名應用:電子貨幣,電子選舉盲簽名過程:

消息→盲變換→簽名→接收者→逆盲變換沈陽航空航天大學RSA簽名方案網(wǎng)絡報文MH()密鑰KRa加密E()MEKRa[H(M)]解密D()密鑰KUaH()比較MEKRa[H(M)]問題:速度慢信息量大第三方仲裁時必須暴露明文信息沈陽航空航天大學身份認證技術身份認證一個最主要的應用領域數(shù)字簽名鑒別技術沈陽航空航天大學身份認證系統(tǒng)的需求1身份認證2身份認證系統(tǒng)中的角色：示證者、驗證者、仲裁、攻擊者3認證的基本思想是通過驗證稱謂者的一個或多個參數(shù)的真實性和有效性，以驗證其是否名副其實4身份認證是系統(tǒng)對網(wǎng)絡主體進行驗證的過程，用戶必須證明他是誰(1)對用戶身份的證實(2)用以識別合法或非法的用戶，阻止非授權用戶訪問網(wǎng)絡資源沈陽航空航天大學認證使用的數(shù)字化證件只有該主體了解的秘密，如口令、密鑰1主體隨身攜帶的物品，如智能卡和令牌卡2主體具有的獨一無二的特征或能力，如指紋、聲音或簽名3非時變證件和時變證件4非時變證件：非時變參數(shù)構成可采用在保密條件下預先產(chǎn)生比特模式并存儲作為認證證件證時變證件：隨時間變化的參數(shù)構成在使用時適時的產(chǎn)生比特模式作為認證證件沈陽航空航天大學身份認證系統(tǒng)的特征驗證者正確識別合法客戶的概率極大1攻擊者偽裝示證者騙取驗證者信任的成功率極小化2通過重放認證信息進行欺騙和偽裝的成功率極小3計算有效性，實現(xiàn)身份認證的算法計算量足夠小4通信有效性，實現(xiàn)身份認證所需的通信量足夠小5秘密參數(shù)能夠安全存儲6第三方的可信賴性7可證明安全性8沈陽航空航天大學身份認證技術和數(shù)字簽名的區(qū)別兩者都是確保數(shù)據(jù)真實性的安全措施1認證一般是基于收發(fā)雙方共享的保密數(shù)據(jù)，以證實被鑒別對象的真實性；而用于驗證簽名的數(shù)據(jù)是公開的2認證允許收發(fā)雙方互相驗證其真實性，數(shù)字簽名則允許第三者驗證3對于數(shù)字簽名來說，發(fā)送方不能抵賴、接收方不能偽造，并且可由仲裁進行調解，而認證卻不一定具備這些特點4認證技術的實現(xiàn)可能需要使用數(shù)字簽名技術5沈陽航空航天大學基本的身份認證方法主體特征認證口令機制TitleAB一次性口令D智能卡C口令是約定的代碼，假設只有用戶和系統(tǒng)知道用戶每次使用不同的口令，需要口令發(fā)生器設備視網(wǎng)膜掃描、聲音驗證、指紋識別器訪問不但需要口令，也需要使用物理智能卡沈陽航空航天大學身份認證方式Certification兩個基本的方式相互認證單向認證沈陽航空航天大學相互認證目的：用于通信各方之間的相互進行身份認證，同時交換會話密鑰。需要解決的核心問題：密鑰交換的機密性和時效性。機密性防止會話密鑰被篡改或和泄露；用戶身份信息和會話密鑰都必須以密文形式交換；前提：通信各方事先保存一個密鑰（共享或公開密鑰）。時效性為了防止消息的重放攻擊。報文重放（replay）攻擊攻擊過程：竊聽。復制或部分復制一個報文。在以后的某個時間重放

(1)可以攔截原信息，用重放消息取代；

(2)可以在一個合法有效的時間窗內(nèi)重放一個帶時間戳的消息。后果擾亂接收者正常的工作。竊取會話密鑰，假扮成一個通信方欺騙其他人。重放攻擊問題的解決方式報文序號方式

(1)在認證交換中對消息報文編排序號，消息序號合法時才接受。

(2)問題：通信各方必須保持序號同步。時間戳方式

(1)在報文中附加發(fā)送的時間戳；接收時只有報文時間戳與本地時間足夠接近時，才認為是一個合法的新報文。

(2)問題：

(a)通信各方的時鐘同步比較困難；

(b)時間窗口的大小如何確定。沈陽航空航天大學基于對稱密鑰加密的相互認證須具備的條件可信的密鑰分配中心（KDC）；通信各方都與KDC共享一個主密鑰；主密鑰Ka

和Kb

是安全。目的：KDC為通信雙方A、B產(chǎn)生短期的會話密鑰Ks。工作過程：(1) AKDC： IDA||IDB||N1(2) KDCA： EKa[Ks||IDB||N1||EKb

(Ks||IDA)](3)AB： EKb

[Ks||IDA](4) BA： EKs

[N2](5) AB： EKs

[f(N2)]沈陽航空航天大學基于對稱密鑰加密的相互認證過程1A在會話開始時首先向KDC發(fā)送報文，包含A和B的標識和一個與時間相關的現(xiàn)時標識符N1。2A就可安全地從KDC獲得一個新的會話密鑰Ks。3A將用Kb加密的會話密鑰Ks發(fā)送給B，這個會話密鑰只有B能夠通過解密獲得。4B向A發(fā)送用會話密鑰加密的現(xiàn)時值N2，向A證實B已經(jīng)正確獲得了會話密鑰Ks。5A使用新建立的會話密鑰Ks對f(N2)加密后返回給B。沈陽航空航天大學基于對稱密鑰加密的相互認證問題：過期的會話密鑰

A可冒充T，使用過期密鑰，并重放第3步的報文，就可以欺騙B。對稱密鑰加密相互認證改進：增加時間戳機制：需要通信各方周期性地與KDC通信進行時鐘校準。通信時使用現(xiàn)時握手。1，2結合。沈陽航空航天大學基于公開密鑰加密的相互認證過程(1) A→AS： IDA‖IDB(2) AS→A： CA‖CB(3) A→B： CA‖CB‖EKUb(EKRa(Ks‖T))其中：A的公鑰和私鑰分別為KUa

和Kra

；B的公鑰和私鑰分別為KUb

和KRb

；AS（鑒別中心）的公鑰和私鑰分別為KUas

和KRas

；CA=EKRas(IDA‖KUa‖T)，A的公開密鑰證書；CB=EKRas(IDB‖KUb‖T)，B的公開密鑰證書。沈陽航空航天大學基于公開密鑰加密的相互鑒別改進（使用現(xiàn)時值N代替時間戳）(1)A→KDC：IDA‖IDB(2)KDC→A：EKRk(IDB‖KUb)(3)A→B：EKUb(Na‖IDA)(4)B→KDC：IDB‖IDA‖EKUk(Na)(5)KDC→B：EKRk(IDA‖KUa)‖EKUb(EKRk(Na‖Ks‖IDB))(6)B→A：EKUa(EKRk

(Na‖Ks‖IDB)‖Nb)(7)A→B：EKs(Nb

)沈陽航空航天大學單向認證One-WayAuthentication。主要用于電子郵件認證等應用。特點：發(fā)方和收方無需同時在線。鑒別時收發(fā)方不能在線交互。沈陽航空航天大學基于對稱密鑰加密的單向認證以KDC策略為基礎。具體過程：(1)A→KDC：IDA‖IDB‖N1(2)KDC→A：EKa(Ks‖IDB‖N1‖EKb(Ks‖IDA))(3)A→B ：EKb

(Ks‖IDA)‖EKs(M)其中，Ka、Kb分別為A和B與KDC間的共享主密鑰，N1為一個現(xiàn)時值。沈陽航空航天大學基于公開密鑰加密的單向認證保密性為主：A→B：EKUb(Ks)‖EKs(M)。簽名和鑒別：A→B：M‖EKRa

(H(M))。保密和鑒別：A→B：EKUb(M‖EKRa(H(M)))。沈陽航空航天大學分布式環(huán)境中的身份認證分布式網(wǎng)絡環(huán)境由大量的客戶工作站和分布在網(wǎng)絡中的公共服務器組成；服務器向網(wǎng)絡用戶提供各種網(wǎng)絡應用的服務，是關鍵；用戶需要訪問分布在網(wǎng)絡不同位置上的服務。服務器的安全服務器需要通過授權來限制用戶對資源的訪問；授權和訪問限制建立在用戶身份認證基礎上的。網(wǎng)絡系統(tǒng)的安全性可采用不同身份認證策略實現(xiàn)：基于客戶工作站的用戶身份認證；基于客戶系統(tǒng)的身份認證；基于服務的用戶身份認證。沈陽航空航天大學認證協(xié)議Kerberos沈陽航空航天大學身份認證協(xié)議——Kerberos是美國麻省理工學院（MIT）開發(fā)的一種身份鑒別服務?！癒erberos”的本意是希臘神話中守護地獄之門的守護者。

沈陽航空航天大學試圖解決的問題是：在公開的分布式網(wǎng)絡環(huán)境，用戶通過某工作站訪問網(wǎng)絡服務這些服務是由一些分布于網(wǎng)絡中的服務器來提供的服務器能夠對用戶提出的每一項服務訪問請求進行認證僅僅依賴工作站對用戶的身份進行認證是不夠的用戶訪問每一種網(wǎng)絡服務時，都需要向服務器證實其身份存在的威脅：工作站無法保證其中用戶的身份的真實性

非法用戶訪問一個工作站，并假冒另一個合法用戶操作工作站非法用戶更改工作站的網(wǎng)絡地址，假冒一個合法授權的工作站非法用戶竊聽報文交換的過程，利用重放攻擊獲得服務器的訪問權目標：在各種情況下，都能防止用戶對服務的非授權訪問Kerberos沈陽航空航天大學Kerberos認證服務Kerberos認證服務身份認證作為網(wǎng)絡中的一種標準的安全服務來提供能夠實現(xiàn)服務器與用戶之間的相互認證集中式的認證服務在一個網(wǎng)絡中，通過集中式的認證服務器(AS-AuthenticationServer)提供認證功能而不需要在每一個應用服務器上提供一套完整的認證機制基于常規(guī)（對稱）密鑰加密算法實現(xiàn)使用DES(KerberosV4)而沒有使用公開密鑰算法發(fā)展Kerberos版本4Kerboros

版本5（RFC1510）沈陽航空航天大學Kerberos的設計目標提供一種可信的第三方的身份認證服務Kerberos認證服務器AS作為第三方，若用戶與服務器均信任AS的仲裁，則Kerberos就可實現(xiàn)用戶與服務器間的相互鑒別。假定協(xié)議不存在漏洞，且AS是安全的，則認證服務就是安全的。安全性能夠有效防止攻擊者假扮成另一個合法的授權用戶。可靠性分布式服務器體系結構，提供相互備份。對用戶透明性對用戶來說，身份鑒別過程除了需要用戶輸入一個口令以外，其他操作均須對用戶透明不可見。可伸縮能夠支持大數(shù)量的客戶和服務器。沈陽航空航天大學Kerberos的設計思路基本前提客戶C，其標識符為IDC服務器V，其標識符為IDV認證服務器AS用戶口令（password）PC由用戶C和AS共享，AS將PC

保存在數(shù)據(jù)庫中AS與每個服務器V共享一個唯一保密密鑰KV對稱密鑰算法假定該密鑰已通過某種方式被安全分發(fā)到每一個服務器V網(wǎng)絡環(huán)境不受保護的網(wǎng)絡環(huán)境，存在竊聽、重放、假冒授權用戶的威脅沈陽航空航天大學Kerberos的設計思路簡單的認證會話假定客戶C需要訪問服務器V會話過程CASV(1)CAS:IDC||PC||IDV(2)ASC:Ticket(3)CV:IDC||TicketTicket=EKV[IDC||ADC||IDV]是客戶C訪問服務V

的憑據(jù)ADC

是客戶C所在的工作站的網(wǎng)絡地址沈陽航空航天大學Kerberos的設計思路（2）問題：用戶希望輸入口令的次數(shù)最少?？诹钜悦魑膫魉蜁桓`聽。解決辦法票據(jù)重用（ticketreusable）。引入票據(jù)許可服務器（TGS-ticket-grantingserver）用于向用戶分發(fā)服務器的訪問票據(jù)；認證服務器AS并不直接向客戶發(fā)放訪問應用服務器的票據(jù)，而是由TGS服務器來向客戶發(fā)放。沈陽航空航天大學Kerberos中的票據(jù)兩種票據(jù)服務許可票據(jù)（Servicegrantingticket）是客戶訪問某一服務器v時需要提供的票據(jù)；用TicketV

表示;TicketV

定義為EKv[IDC‖ADC‖IDV‖TS2‖LT2]。票據(jù)許可票據(jù)（Ticketgrantingticket）客戶訪問TGS服務器需要提供的票據(jù)，目的是為了申請某一個應用服務器的“服務許可票據(jù)”；票據(jù)許可票據(jù)由AS發(fā)放；用Tickettgs

表示訪問TGS服務器的票據(jù)；Tickettgs

在用戶登錄時向AS申請一次，可多次重復使用；Tickettgs

定義為EKtgs[IDC‖ADC‖IDtgs‖TS1‖LT1]。沈陽航空航天大學KerberosV4認證過程示意圖Kerberos數(shù)據(jù)庫票據(jù)許可服務器TGS認證服務器AS客戶工作站應用服務器123請求TickettgsKC,tgs＋Tickettgs請求TicketVKC,V＋TicketV請求服務V服務器鑒別符每個會話服務執(zhí)行一次第三階段，客戶與應用服務器的交互，用于獲得服務：(5)C→V：TicketV‖AUC(6)V→C：EKc,v[TS5+1]其中：

TicketV=EKv[KC,V‖IDC‖ADC‖IDV‖TS4‖LT4]AUC=EKc,v[IDC‖ADC‖TS5]每次服務執(zhí)行一次第二階段，票據(jù)許可服務器的交互，用于獲取服務許可票據(jù)：

(3)C→TGS：IDV‖Tickettgs‖AUC(4)TGS→C：EKc,tgs[KC,V‖IDV‖TS4‖TicketV]其中：Tickettgs=EKtgs[KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2]TicketV=EKv[KC,V‖IDC‖ADC‖IDV‖TS4‖LT4]AUC=EKc,tgs[IDC‖ADC‖TS3]每次用戶登錄一次第一階段，認證服務器的交互，用于獲取票據(jù)許可票據(jù)：(1)C→AS：IDC‖IDtgs‖TS1(2)AS→C：EKc[KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs]其中：Tickettgs=