網(wǎng)絡(luò)安全導(dǎo)論 課件 第七章 身份認(rèn)證

第7章身份認(rèn)證7網(wǎng)上和你通信的人到底是誰？有無假冒？討論的議題認(rèn)證的基本概念認(rèn)證機(jī)制典型身份認(rèn)證協(xié)議NTLMKerberosFiat-ShamirCryptographicalBuildingBlocksBlock

CiphersStream

CiphersSymmetricKey

CryptographyAuthenticationPrivacyEncryptionHash

FunctionsChallenge

ResponseIVsMACs

MICsMessage

DigestsNoncesPseudo

RandomRandom

SourcesSecretKeysSmart

CardsDH

RSAPublicKey

CryptographyElliptic

CurvesDigitalSignaturesData

IntegritySecureNetworkProtocolsNon-Repudiation掌握認(rèn)證的基本概念,基本方法。熟悉windows的認(rèn)證機(jī)制NTLM和Kerberos了解Fiat-Shamir身份識別方案

本講要求*currentlywithCreditSuisse一、認(rèn)證的基本概念WhatisAuthentication?認(rèn)證就是確認(rèn)實(shí)體是它所聲明的。Thepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.Authenticationappliestoentitiessuchasusers,processes,systemsandinformation.認(rèn)證分兩大類實(shí)體認(rèn)證（身份認(rèn)證）：某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體。實(shí)體認(rèn)證又可分為本地和遠(yuǎn)程認(rèn)證數(shù)據(jù)原發(fā)認(rèn)證（消息認(rèn)證）：鑒定某個(gè)指定的數(shù)據(jù)是否來源于某個(gè)特定的實(shí)體。（被認(rèn)證的實(shí)體與一些特定數(shù)據(jù)項(xiàng)有著靜態(tài)的不可分割的聯(lián)系。）

實(shí)體認(rèn)證與消息認(rèn)證的差別實(shí)體認(rèn)證一般都是實(shí)時(shí)的，消息認(rèn)證一般不提供時(shí)間性。實(shí)體認(rèn)證只證實(shí)實(shí)體的身份，消息認(rèn)證除了消息的合法和完整外，還需要知道消息的含義。數(shù)字簽字是實(shí)現(xiàn)身份識別的有效途徑。但在身份識別中消息的語義是基本固定的，一般不是“終生”的，簽字是長期有效的。聲稱者未必涉及在當(dāng)前的通信活動(dòng)中。數(shù)據(jù)項(xiàng)可能已經(jīng)通過許多系統(tǒng)被重放，這些系統(tǒng)可能或沒有被認(rèn)證。數(shù)據(jù)項(xiàng)可能在途中被存儲(chǔ)相當(dāng)?shù)闹芷凇?/p>

數(shù)據(jù)原發(fā)認(rèn)證未必能免遭數(shù)據(jù)項(xiàng)的復(fù)制、重排序或丟失。消息認(rèn)證不同于實(shí)體認(rèn)證：

實(shí)體認(rèn)證實(shí)現(xiàn)安全目標(biāo)的方式認(rèn)證是最重要的安全服務(wù)之一。所有其它的安全服務(wù)都依賴于該服務(wù)。認(rèn)證可以對抗假冒攻擊的危險(xiǎn)1）作為訪問控制服務(wù)的一種必要支持訪問控制服務(wù)的執(zhí)行依賴于確知的身份（訪問控制服務(wù)直接對達(dá)到機(jī)密性、完整性、可用性及合法使用目標(biāo)提供支持）；2）作為提供數(shù)據(jù)起源認(rèn)證的一種可能方法3）作為對責(zé)任原則的一種直接支持。

例如，在審計(jì)追蹤過程中做記錄時(shí)，提供與某一活動(dòng)相聯(lián)系的確知身份。

身份認(rèn)證系統(tǒng)的組成示證者P(Prover)驗(yàn)證者V（Verifier)

ATPB可信賴者TP（Trustedthirdparty)：參與調(diào)解糾紛。攻擊者：可以竊聽或偽裝聲稱者騙取驗(yàn)證者的信任。對身份認(rèn)證系統(tǒng)的要求（1）驗(yàn)證者正確識別合法申請者的概率極大化。（2）不具有可傳遞性（Transferability)（3）攻擊者偽裝成申請者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度（4）計(jì)算有效性（5）通信有效性（6）秘密參數(shù)能安全存儲(chǔ)*（7）交互識別*（8）第三方的實(shí)時(shí)參與*（9）第三方的可信賴性*（10）可證明的安全性身份認(rèn)證的分類分類一：單向認(rèn)證(one-wayauthentication)雙向認(rèn)證(mutualauthentication)分類二：直接認(rèn)證（directauthentication）間接認(rèn)證（indirectauthentication）相互認(rèn)證協(xié)議在理論上，相互認(rèn)證可通過組合兩個(gè)單向認(rèn)證交換協(xié)議來實(shí)現(xiàn)。然而，這種組合需要被仔細(xì)地考察，因?yàn)橛锌赡苓@樣的組合易受竊聽重放攻擊。另外，設(shè)計(jì)協(xié)議消息數(shù)比相應(yīng)的單向交換協(xié)議的消息數(shù)的兩倍少得多的相互認(rèn)證交換協(xié)議是可能的。因此，由于安全性和性能的原因，相互認(rèn)證交換協(xié)議必須為此目的而特別地進(jìn)行設(shè)計(jì)。PhysicalSecurityPerimeterDirectAuthenticationPasswordsmightbesniffedOkifsiteissmallenoughAuthenticationMechanismAccessControlMechanismSysAdminIndirectAuthenticationusingRADIUSOftenusedwithone-timepasswords,e.g.RSA‘sSecureID?.RADIUSAgentRADIUSServeruser:jdoepw:asdfClientwantstoAccessserviceorressources.logonat...oraccessdeniedAccessRequestAccess-AcceptorAccess-RejectSecuredRadiusProtocol2.Authorization(Access)3.AccountingUsername:Password:Authentication,Authorization,Accounting(AAA)User0.Identification Iam:"Username"asteffenAuthenticationProve,thatIam"Username"********Authentication

Identification:Noknowledgeabouttherealidentityoftheuser.Theusernamecanbeanalias.Authentication

Authorization:Noknowledgeabouttheaccesscontrolrightsoftheuser.AlthoughmanysystemscombineAuthenticationwithAuthorization

byassigningaccesscontrolrightsaspartoftheloginprocess.Whatis"Authentication"?*currentlywithCreditSuisse二、認(rèn)證機(jī)制認(rèn)證機(jī)制非密碼的認(rèn)證機(jī)制A.口令機(jī)制B．一次性口令機(jī)制C．基于地址的機(jī)制D．基于個(gè)人特征的機(jī)制E．個(gè)人認(rèn)證令牌基于密碼算法的認(rèn)證采用對稱密碼算法的機(jī)制采用公開密碼算法的機(jī)制采用密碼校驗(yàn)函數(shù)的機(jī)制零知識證明協(xié)議Authenticationisbasedon...Whatyouknow

(password,PIN,sharedsecret)askforsomethingonlytheauthorizeduserknows

Username:aznHu4UmPassword:asteffenFaceIris/RetinaScanningFingerprintVoiceWhatyouhave(Certificate,Token,ScratchList)testforthepresenceofsomethingonlytheauthorizeduserhasWhatyouare

(biologicalpattern,e.g.fingerprint)non-forgeablebiologicalorbehavioralcharacteristicsoftheuser01Z4GH06IKDX

0267TS079PL7

03UR2A08NFLB

04TIQV09K91D

053Z5P10HA85口令機(jī)制

口令或通行字機(jī)制是最廣泛研究和使用的身份認(rèn)證法。通常為長度為5~8的字符串。選擇原則：易記、難猜、抗分析能力強(qiáng)?？诹钕到y(tǒng)有許多脆弱點(diǎn)：

外部泄露

口令猜測

線路竊聽

重放對付外部泄露和口令猜測的措施教育、培訓(xùn)；嚴(yán)格組織管理辦法和執(zhí)行手續(xù)；口令定期改變；每個(gè)口令只與一個(gè)人有關(guān)；輸入的口令不再現(xiàn)在終端上；使用易記的口令，不要寫在紙上。嚴(yán)格限制非法登錄的次數(shù)；口令驗(yàn)證中插入實(shí)時(shí)延遲；限制最小長度，至少6~8字節(jié)以上防止用戶特征相關(guān)口令，及時(shí)更改預(yù)設(shè)口令；使用機(jī)器產(chǎn)生的口令。Server

PasswordFileIDPasswordInsecureAuthenticationbasedonPasswordsPasswordSaltHashFunctionHashHashHashFunctionSecretpassword

transmitted

overinsecure

channelIDPasswordRemoteUserIDPasswordSalthelpsagainstdictionaryattacks.

UNIXuses12bitsofsalt,resultingin4096hashedpasswordvariantsSaltSaltCommonPasswordProblemPhishingattackorbreak-inatsiteBrevealspwdatAServer-sidesolutionswillnotkeeppwdsafeSolution:Strengthenwithclient-sidesupportBankA

lowsecuritysitehighsecuritysitepwdApwdB=pwdASiteBPasswordHashingGenerateauniquepasswordpersiteHMACfido:123()Q7a+0ekEXbHMACfido:123()OzX2+ICiqcHashedpasswordisnotusableatanyothersiteProtectsagainstpasswordphishingProtectsagainstcommonpasswordproblemBankAhash(pwdB,SiteB)hash(pwdA,BankA)SiteBpwdApwdB=設(shè)計(jì)實(shí)體認(rèn)證協(xié)議的問題認(rèn)證和密鑰交換協(xié)議的核心問題有兩個(gè)：保密性時(shí)效性為了防止偽裝和防止暴露會(huì)話密鑰，基本認(rèn)證與會(huì)話密碼信息必須以保密形式通信。這就要求預(yù)先存在保密或公開密鑰供實(shí)現(xiàn)加密使用。第二個(gè)問題也很重要，因?yàn)樯婕胺乐瓜⒅胤殴簟Ｖ胤偶跋嚓P(guān)設(shè)計(jì)策略常見的消息重放攻擊形式：1、簡單重放：攻擊者簡單復(fù)制一條消息，以后在重新發(fā)送它；2、可被日志記錄的復(fù)制品：攻擊者可以在一個(gè)合法有效的時(shí)間窗內(nèi)重放一個(gè)帶時(shí)間戳的消息；3、不能被檢測到的復(fù)制品：這種情況可能出現(xiàn)，原因是原始信息已經(jīng)被攔截，無法到達(dá)目的地，而只有重放的信息到達(dá)目的地。4、反向重放，不做修改。向消息發(fā)送者重放。當(dāng)采用傳統(tǒng)對稱加密方式時(shí)，這種攻擊是可能的。因?yàn)橄l(fā)送者不能簡單地識別發(fā)送的消息和收到的消息在內(nèi)容上的區(qū)別。相關(guān)設(shè)計(jì)策略：1）針對同一驗(yàn)證者的重放：非重復(fù)值2）針對不同驗(yàn)證者的重放：驗(yàn)證者的標(biāo)識符使用非重復(fù)值使用非重復(fù)值：

1）序列號：計(jì)數(shù)的策略：對付重放攻擊的一種方法是在認(rèn)證交換中使用一個(gè)序數(shù)來給每一個(gè)消息報(bào)文編號。僅當(dāng)收到的消息序數(shù)順序合法時(shí)才接受之。但這種方法的困難是要求雙方必須保持上次消息的序號。

2）時(shí)間戳：A接受一個(gè)新消息僅當(dāng)該消息包含一個(gè)時(shí)間戳，該時(shí)間戳在A看來，是足夠接近A所知道的當(dāng)前時(shí)間；這種方法要求不同參與者之間的時(shí)鐘需要同步

3）驗(yàn)證者發(fā)送隨機(jī)值（如詢問）：不可預(yù)測、不重復(fù)詢問/應(yīng)答方式(Challenge/Response)A期望從B獲得一個(gè)消息首先發(fā)給B一個(gè)隨機(jī)值(challenge)B收到這個(gè)值之后，對它作某種變換，并送回去A收到B的response，希望包含這個(gè)隨機(jī)值在有的協(xié)議中，這個(gè)challenge也稱為nonce可能明文傳輸，也可能密文傳輸這個(gè)條件可以是知道某個(gè)口令，也可能是其他的事情變換例子：用密鑰加密，說明B知道這個(gè)密鑰;

簡單運(yùn)算，比如增一，說明B知道這個(gè)隨機(jī)值詢問/應(yīng)答方法不適應(yīng)非連接性的應(yīng)用，因?yàn)樗笤趥鬏旈_始之前先有握手的額外開銷，這就抵消了無連接通信的主要特點(diǎn)。SecureAuthenticationbasedon

Challenge/ResponseProtocolsInsecureChannelUserServerKeyedHash

FunctionMACIDURUKeyRUIDUIDURUResponseMACNosecretsareopenlytransmittedTherandomvalues

RSandRUshould

neverberepeated!RSKeyKeyedHash

FunctionMACRSRSChallengerandomvalue

(Nonce)Challenge/ResponseProtocolbasedon

DigitalSignaturesInsecureChannelUserServerRSRSChallengerandomvalue

(Nonce)IDURUHashSigEncryptionwith

PrivateKeyRSHashIDURUResponseSigIDURUDecryptionwith

PublicKeyHash三、典型身份認(rèn)證協(xié)議PAPCHAPKerberosX.509NTLMFiat-shamirWindowsNTLANManagerNTLM

WindowsDomainAuthenticationADomainisacollectionofServices(Email,File-Shares,Printers,...)administeredbyaDomainController(DC).CentralizedAdministration:EachuserhasonlyoneaccountperDomainmanagedbytheDomainController.ThusthereisnoneedforindividualServeraccounts.Flexibility:AssignmentofUserstoGroupsMultipleDomainspossible(Master-Domains,TrustRelationships)AllusersandserversmusttrusttheDomainController.UserAPrinterServer1Server3Server2UserBDomainController(DC)DomainNTLM–ProtocolWindowsNT

LANManagerisaproprietaryMicrosoftscheme.TypicalexampleofaChallenge-Responseprotocol.UserAliceServerDomainController(DC)Domain:WonderlandUsername:AlicePassword:2Uh7&Alice51ff1d83f68ba0537OKH:Hashfunction

E(x,k):EncryptionofxwithkeykH(2Uh7&)=KeyA

E(f68ba0537,KeyA)=51ff1d83UserAlice:KeyAAlice,f68ba0537,51ff1d83Challenge:f68ba0537E(f68ba0537,KeyA)=51ff1d83

Comparisonwith51ff1d83–ok?NTLMSecurityAnalysisUserkeyisknowntotheuserandDConlyTheuserkeyisderivedfromtheuser'sloginpassword.Onlytheentitledusercancorrectlyencryptthechallenge.Non-recurringchallengevalues(nonces)preventreplay-attacks.Pros:Passwordisnevertransmittedintheclear.Simpleandsecureprotocolifstronguserpasswordsareused.Cons:Theauthenticationprocessmustberepeatedforeveryuseof

aserver

DCcanbecomeabottleneck.WeakorshortNTLMpasswordscanbecrackedofflinewithadictionaryorbruteforceattack.Kerberos

KeyDistributionSystemHistoricalBackgroundDevelopedin1983aspartofMIT'sAthenaproject.Motivation:ManyMITstudents?sniffed“thenetworkandthusgotholdof

rootpasswordswhichtheyusedtoreboottheservers.Requirements:AuthenticationinUNIX-basedTCP/IPnetworksUseofsymmetricalcryptography(DES)Characteristics:Reliesonthemediationservicesofatrustedrefereeornotary.BasedontheworkbyNeedhamandSchroederontrustedthird-partyprotocolsaswellasDenningandSacco'smodificationsofthese.KerberosReleasesCurrentreleaseisKerberosv5(RFC1510,September1993).V5supportsadditionalencryptionciphersbesidesDES.AliceBobJackJipMaryPaulPeterHarryDickTomKbobKaliceKDCMediatedAuthenticationbymeansofa

KeyDistributionCenter(KDC)KerberosTicketsEachKerberosparticipant(Alice,Bob,etc.)–calledaPrincipal

–sharesacommonsecretwiththeKeyDistributionCenter(KDC)–thePrincipal’sMasterKey.Eachsecuredcommunicationorsecuredaccessis"mediated"

bymeansofaKerberosTicket.HowisAlicegoingtotalktoBob?UserAliceKDCServerBobH(2Uh7&)=MKeyA

E(time,MKeyA)=a5F113deSimplifiedKerberosProtocolH:Hashfunction

E(x,k):Encryptionofxwithkeyk

D(x,k):DecryptionofxwithkeykRealm:Wonderland

Username:Alice

Password:2Uh7&Alice,Bob,a5F113deUserAlice:MKeyA

ServerBob:MKeyB9abc571a,

TicketD(a5F113de,MKeyA)=time,valid?

SessionkeyAlice-Bob:SAB

E(SAB,MKeyA)=9abc571a

E({Alice,SAB

},MKeyB)=TicketD(9abc571a,MKeyA)=SAB

E({Alice,time},SAB)=5cc109815cc10981,

TicketMKeyBD(Ticket,MKeyB)={Alice,SAB

}

D(5cc10981,SAB)={Alice,time}correct?UserAliceKDCH(2Uh7&)=MKeyA

E(time,MKeyA)=a5F113de1.客戶向KDC進(jìn)行身份認(rèn)證，獲取訪問票據(jù)許可服務(wù)器的訪問票據(jù)

Realm:Wonderland

Username:Alice

Password:2Uh7&AS_REQ[Alice,a5F113de]UserAlice:MKeyA

ServerBob:MKeyBAS_REP[27LnZ8vU]D(a5F113de,MKeyA)=time,valid?

SessionkeyforAlice:SA

E({Alice,SA},MKeyKDC)=TGTA

E({SA,TGTA},MKeyA)=27LnZ8vUD(27LnZ8vU,MKeyA)={SA,TGTA}H:Hashfunction

E(x,k):Encryptionofxwithkeyk

D(x,k):DecryptionofxwithkeykUserAliceTGSE({Alice,time},SA)=qR71htp92.客戶訪問票據(jù)許可服務(wù)器獲取訪問應(yīng)用服務(wù)器的票據(jù)

TGS_REQ[Bob,TGTA,qR71htp9]ServerBob:MKeyBTGS_REP[b22sYG1k]D(TGTA,

MKeyKDC)={Alice,SA}

D(qR71htp9,SA)={Alice,time},valid?

SessionkeyforAlice-Bob:SAB

E({Alice,SAB

},MKeyB)=TAB

E({SAB,TAB},SA)=b22sYG1kD(b22sYG1k,SA)={SAB,TAB}H:Hashfunction

E(x,k):Encryptionofxwithkeyk

D(x,k):DecryptionofxwithkeykSessionKey:SA

Ticket:TGTAUserAliceServerBob3.客戶向應(yīng)用服務(wù)器出示訪問票據(jù)，服務(wù)器根據(jù)票據(jù)決定是否提供服務(wù)。

H:Hashfunction

E(x,k):Encryptionofxwithkeyk

D(x,k):DecryptionofxwithkeykE({Alice,timeA},SAB)=w86EQa55MKeyBSessionKey:SAB

Ticket:TABAP_REQ[TAB,w86EQa55]AP_REP[4tMJs73c]D(TAB,

MKeyB)={Alice,SAB}

D(w86EQa55,SAB)={Alice,time},valid?

E({Bob,timeB},SAB)=4tMJx73cD(4tMJx73c,SAB)={Bob,timeB},valid?{db;MKeyKDC}RealmKDCReplicationMaster

KDCSlave

KDCHostSlave

KDCSlave

KDCSlave

KDCSlave

KDCHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostInter-RealmAuthenticationAliceWonderlandKDCLionsKDC2.TGS_REP

[credentialsfor

LionsKDC]Carol4.TGS_REP

[credentialsfor

Carol@Lions]1.TGS_REQ

[Alice@Wonderland,

Carol@Lions]3.TGS_REQ

[Alice@Wonderland,

Carol@Lions]5.AP_REQ

[Alice,KA{KBA,“Alice”,...}]Realm

WonderlandRealm

LionsSummaryKerberos

AuthenticationTicket

Granting

ServiceClientServer1.authenticateuser2.accesscontrolforserver3.communication

summary特點(diǎn)基于口令的認(rèn)證協(xié)議利用對稱密碼技術(shù)建立起來的認(rèn)證協(xié)議可伸縮性——可適用于分布式網(wǎng)絡(luò)環(huán)境環(huán)境特點(diǎn)User-to-serverauthentication局限性分析時(shí)間依賴性實(shí)現(xiàn)較好的時(shí)鐘同步往往是很困難的攻擊者誤導(dǎo)系統(tǒng)時(shí)間并進(jìn)行重放攻擊有可乘之機(jī)猜測口令攻擊脆弱口令容易受到攻擊協(xié)議模型未對口令提供額外的保護(hù)，局限性分析域間認(rèn)證多跳域間認(rèn)證涉及很多因素，實(shí)現(xiàn)過程復(fù)雜不明確存在“信任瀑布”問題篡改登錄程序認(rèn)證系統(tǒng)本身的程序完整性很難保證密鑰存儲(chǔ)問題口令及會(huì)話密鑰無法安全存放于典型的計(jì)算機(jī)系統(tǒng)中零知識證明技術(shù)傳統(tǒng)的使用口令或個(gè)人身份識別號PIN(personalidentificationnumber)來證明自己的身份的方法的缺點(diǎn)是：容易受到字典攻擊。檢驗(yàn)用戶口令或PIN的人或系統(tǒng)可使用用戶的口令或PIN冒充用戶。0.問題的提出“零知識證明”是由Goldwasser等人在20世紀(jì)80年代初提出的。它指的是證明者能夠在不向驗(yàn)證者提供任何有用的信息的情況下，使驗(yàn)證者相信某個(gè)論斷是正確的。零知識證明實(shí)質(zhì)上是一種涉及兩方或更多方的協(xié)議，即兩方或更多方完成一項(xiàng)任務(wù)所需采取的一系列步驟。證明者向驗(yàn)證者證明并使其相信自己知道或擁有某一消息，但證明過程不能向驗(yàn)證者泄漏任何關(guān)于被證明消息的信息。在Goldwasser等人提出的零知識證明中，證明者和驗(yàn)證者之間必須進(jìn)行交互，這樣的零知識證明被稱為“交互零知識證明”。80年代末，Blum等人進(jìn)一步提出了“非交互零知識證明”的概念，用一個(gè)短隨機(jī)串代替交互過程并實(shí)現(xiàn)了零知識證明。非交互零知識證明的一個(gè)重要應(yīng)用場合是需要執(zhí)行大量密碼協(xié)議的大型網(wǎng)絡(luò)。大量事實(shí)證明，零知識證明在密碼學(xué)中非常有用。

零知識證明技術(shù)例.如圖表示一個(gè)簡單的迷宮，C與D之間有一道門，需要知道秘密口令才能將其打開。P向V證明自己能打開這道門，但又不愿向V泄露秘密口令?？刹捎萌缦聟f(xié)議：①V在協(xié)議開始時(shí)停留在位置A。②P一直走到迷宮深處，隨機(jī)選擇位置C或位置D。③P消失后，V走到位置B，然后命令P從某個(gè)出口返回位置B。④P服從V的命令，必要時(shí)利用秘密口令打開C與D之間的門。⑤P和V重復(fù)以上過程n次。圖7.4零知識證明協(xié)議示例簡化的Fiat-Shamir身份識別方案設(shè)n=pq，其中p和q是兩個(gè)不同的大素?cái)?shù)，x是模n的平方剩余，y是x的平方根。又設(shè)n和x是公開的，而p、q和y是保密的。證明者P以y作為自己的秘密。求解方程y2≡amodn與分解n是等價(jià)的。因此他人不知n的兩個(gè)素因子p、q而計(jì)算y是困難的。P和驗(yàn)證者V通過交互證明協(xié)議，P向V證明自己掌握秘密y，從而證明了自己的身份。1.協(xié)議及原理①P隨機(jī)選r(0<r<n)，計(jì)算a≡r2modn，將a發(fā)送給V。②V隨機(jī)選e∈{0,1}，將e發(fā)送給P。③P計(jì)算b≡ryemodn，即e=0時(shí)，b=r；e=1時(shí)，