信息安全導(dǎo)論（以問題為導(dǎo)向） 課件 07 身份認(rèn)證

身份認(rèn)證

Authentication1教學(xué)視頻、國(guó)家級(jí)一流在線課程鏈接：/course/FUDAN-1206357811內(nèi)容提要身份認(rèn)證的基本概念基于口令的身份認(rèn)證Unix口令動(dòng)態(tài)口令質(zhì)詢與應(yīng)答認(rèn)證技術(shù)Needham-Schroeder協(xié)議KERBEROS協(xié)議2基于密碼的身份認(rèn)證內(nèi)容提要1、身份認(rèn)證的基本概念3定義身份認(rèn)證（Authentication）的定義：宣稱者向驗(yàn)證方出示證據(jù)，證明其身份的交互過程至少涉及兩個(gè)參與者，是一種協(xié)議分為：雙向認(rèn)證單向認(rèn)證4定義身份認(rèn)證（Authentication）：注意與報(bào)文鑒別（MessageAuthentication）的區(qū)別1、報(bào)文鑒別是靜態(tài)附加在報(bào)文之上，報(bào)文鑒別可以作為基本方法，用于設(shè)計(jì)身份認(rèn)證協(xié)議2、一般和時(shí)間相關(guān)，具有實(shí)時(shí)性MessageauthenticationhasnotimelinessEntityauthenticationhappensinrealtime要保證用于身份認(rèn)證的報(bào)文的”鮮活性”對(duì)身份認(rèn)證最大的威脅是“重放攻擊”（Replay

Attack）5身份認(rèn)證基本方法宣稱者所知道的-passwords,PINs,keys…宣稱者擁有的-cards,handhelds…宣稱者繼承的生物特征–biometricsPINS與Keys的關(guān)系用短的PIN碼鎖住長(zhǎng)的密鑰Key，提供兩級(jí)安全保護(hù)62、基于口令的身份認(rèn)證2.1基于口令身份認(rèn)證的一般模式7基于口令認(rèn)證的一般過程初始化階段UserchoosespasswordHashofpasswordstoredinpasswordfile身份認(rèn)證階段Userlogsintosystem,suppliespasswordSystemcomputeshash,comparestofile8基于口令的認(rèn)證－弱的認(rèn)證方法口令在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)固定明文存放，或哈希之后存放通過設(shè)置規(guī)則（如要求字母、數(shù)字，長(zhǎng)度等），避免設(shè)置弱口令Salt（鹽值）提高字典攻擊的窮舉空間有大量的應(yīng)用實(shí)例910PasswordfileUserexrygbzyfkgnosfixggjoklbsz……mypasswdhashfunction示例:UNIXpasswords/etc/passwd/etc/shadow

Username:password:

UID

:

GID:

USERINFO:

HOME:

SHELL對(duì)基于口令認(rèn)證的攻擊重放攻擊（因口令一般一段時(shí)間內(nèi)固定）窮舉攻擊8個(gè)字符相當(dāng)于40-50bits的窮舉空間字典攻擊在線字典攻擊離線字典攻擊112、基于口令的身份認(rèn)證2.2字典攻擊與UNIX口令12字典攻擊–

數(shù)量化討論Typicalpassworddictionary1,000,000entriesofcommonpasswordspeople'snames,commonpetnames,andordinarywords.在線字典攻擊：Supposeyougenerateandanalyze10guessespersecThismaybereasonableforawebsite;offlineismuchfasterDictionaryattackinatmost100,000seconds=28hours,or14hoursonaverageIfpasswordswererandomAssumesix-characterpasswordUpper-andlowercaseletters,digits,32punctuationcharacters689,869,781,056passwordcombinations.Exhaustivesearchrequires1,093yearsonaverage13離線字典攻擊原理建立離線字典文件口令列表與攻擊目標(biāo)系統(tǒng)采用同樣Hash算法，計(jì)算生成的口令Hash值獲取password文件password文件里的Hash值與字典文件中Hash進(jìn)行比對(duì)14Password1H(Password1)Password2H(Password2)Password3H(Password3)……UNIX口令UNIX標(biāo)準(zhǔn)口令Hash函數(shù)(使用改造的DES算法)將DES改造成Hash函數(shù)，用key對(duì)一個(gè)常量明文進(jìn)行加密，獲得一個(gè)13個(gè)ASCII字符的密文編碼輸出，其中包括salt的兩個(gè)字符[fromRedHatLinux6.2]key包括兩個(gè)部分：口令明文＋saltSalt值從系統(tǒng)的時(shí)鐘提取，取值范圍[a-z,A-Z,0-9,./]明文使用固定的64比特0(64bitzeroes)對(duì)DES做了修改iterated25timesAltersexpansionfunctionofDESchar*crypt(constchar*key,constchar*salt)15Salt(使用加密技術(shù)生成的隨機(jī)數(shù))Unixpasswordlineljt:fURfuu4.4hY0U:129:129:Fudan_U:/home/ljt:/bin/csh1625xDESInputSaltKeyConstantPlaintextCiphertextCompareWhenpasswordisset,saltischosenrandomlySalt增加字典攻擊的窮舉空間沒有Salt值所有UNIX主機(jī)使用相同的hash函數(shù)攻擊者對(duì)字典文件里的口令字符串算一次hash離線字典文件可以共用有Salt值同樣的口令產(chǎn)生不同的hash值

一個(gè)口令字符串的hash值有212

種不同的輸出攻擊者沒有辦法事先算好離線字典或離線字典的詞條規(guī)模增加約212

倍建議使用更強(qiáng)的散列函數(shù)，如SHA117口令–一種弱的認(rèn)證方法竊取A的password，將在很長(zhǎng)一段時(shí)間擁有A的權(quán)限，直到A發(fā)現(xiàn)特別的，網(wǎng)絡(luò)環(huán)境下遠(yuǎn)程認(rèn)證遠(yuǎn)程登錄，password傳遞形式？可以通過設(shè)置一些規(guī)則避免簡(jiǎn)單的口令一種普遍的身份認(rèn)證方法因?yàn)槿菀撞渴?、易使用如何管理passwords18基于口令的認(rèn)證+明文傳輸?。?！Telnet遠(yuǎn)程登錄逐個(gè)字母發(fā)送，明文方式Http協(xié)議Web應(yīng)用Ftp服務(wù)……嗅探（Sniffer）相當(dāng)容易可以對(duì)口令加密傳輸，但密鑰分發(fā)是個(gè)問題192、基于口令的身份認(rèn)證2.3動(dòng)態(tài)口令20動(dòng)態(tài)口令,Onetimepasswords(OTP)解決的問題：基于口令的身份認(rèn)證易受重放攻擊，如何避免口令被重放需要事先共享口令序列，每次認(rèn)證之后更新，當(dāng)前期待的口令與前一個(gè)的口令不一樣如何共享？Lamport的動(dòng)態(tài)口令方案21Lamport’sOneTimePasswords1981,byLamport初始化階段

用戶A基于一個(gè)秘密

w使用HASH函數(shù)h,計(jì)算出一組password序列:w,h(w),h(h(w)),…,ht(w)驗(yàn)證方Bob

Sever僅知道

ht(w)認(rèn)證階段：Password，第ith

次認(rèn)證:

wi=ht-i(w)22動(dòng)態(tài)口令安全性分析預(yù)先播放（Pre-playattack

）攻擊在口令更新的時(shí)間窗口（常見1分鐘、30秒）還是可以遭受重放攻擊缺點(diǎn)：使用500-1000次需要Reinitialization開銷不小不支持雙向認(rèn)證，無法確定口令提交給了合法的Bob

Sever23動(dòng)態(tài)口令牌24身份認(rèn)證協(xié)議的分類弱的身份認(rèn)證基于口令,PIN碼,等動(dòng)態(tài)口令One-timepasswords(半強(qiáng)的)強(qiáng)的(基于密碼技術(shù)的)身份認(rèn)證質(zhì)詢與應(yīng)答技術(shù)基于可信第三方的身份認(rèn)證（不但實(shí)現(xiàn)身份認(rèn)證，還解決密鑰分發(fā)問題）Needham-Schroeder協(xié)議Kerberos協(xié)議253、質(zhì)詢與應(yīng)答認(rèn)證技術(shù)3.1對(duì)稱密鑰實(shí)現(xiàn)質(zhì)詢與應(yīng)答26質(zhì)詢與應(yīng)答(Challenge-Response)的基本邏輯設(shè)B要完成對(duì)A的身份認(rèn)證身份認(rèn)證基于A所知道的某個(gè)秘密（例如密鑰）首先B發(fā)給A一個(gè)隨機(jī)數(shù)(challenge)A收到這個(gè)隨機(jī)數(shù)之后，對(duì)它作某種變換，得到response報(bào)文，并發(fā)送回去Response同時(shí)依賴于隨機(jī)數(shù)(challenge)和A所知道的這個(gè)秘密B收到response，可以驗(yàn)證A是知道這個(gè)秘密的27質(zhì)詢與應(yīng)答的基本邏輯在有的協(xié)議中，這個(gè)challenge也稱為Nonce(NumberusedONCE)可能明文傳輸，也可能密文傳輸A生成Response報(bào)文的典型變換有：A用密鑰加密，說明A知道這個(gè)密鑰;有時(shí)會(huì)對(duì)challenge簡(jiǎn)單運(yùn)算，比如增一，再做加密處理質(zhì)詢與應(yīng)答是構(gòu)造更復(fù)雜的交互式認(rèn)證協(xié)議的基本組件28質(zhì)詢與應(yīng)答的實(shí)現(xiàn)方式使用對(duì)稱密鑰對(duì)稱密鑰加密Symmetricencryption報(bào)文鑒別碼Onewayfunctions使用公開密鑰密碼數(shù)字簽名Digitalsignatures29基于對(duì)稱密鑰－基本思想Alice與BobServer共享密鑰

KAlice

30AliceKAliceBobServerKAlice,

Kc,Kd,

……Alice,E(KAlice,Challenge)OkayChallengeChallenge是隨機(jī)數(shù)單向(Unilateral)身份認(rèn)證-對(duì)稱加密BobAlice:rbAliceBob:EK(rb,B)Bob收到后檢驗(yàn)

rb

是否是它剛發(fā)送給A的Challenge隨機(jī)數(shù)同時(shí)檢驗(yàn)B的標(biāo)識(shí)

“B”-是為了防止反射攻擊(reflectionattack)，報(bào)文中的“B”

標(biāo)記了報(bào)文的方向rb

要求必須不能重復(fù),并且是隨機(jī)的防止重放攻擊

replayattack31K是Alice與Bob共享的密鑰

反射攻擊Reflectionattack反射攻擊是對(duì)質(zhì)詢–應(yīng)答身份認(rèn)證協(xié)議的一種攻擊方法。攻擊者I(A)在兩個(gè)方向上使用相同的協(xié)議。也就是說，I(A)用Bob

server對(duì)自己這個(gè)方向的Challenge，去質(zhì)詢Bob

server。B→I(A):rb

I(A)→B:rb

B

→I(A):EK{rb}

I(A)→B:EK{rb}

32單向認(rèn)證:使用時(shí)間戳(timestamps)基于時(shí)間戳的隱性(Implicit)ChallengeAlice

Bob:EK(T,B)

T：Alice本地時(shí)鐘當(dāng)前的時(shí)間戳Bob解密后檢驗(yàn)時(shí)間戳T是否可接受Δt1：網(wǎng)絡(luò)延時(shí)；Δt2：時(shí)鐘誤差參數(shù)

B：防止反射B

A方向同樣的協(xié)議報(bào)文33BobAlice:rbAliceBob:EK(ra,rb,B)AliceChallengeBobBobAlice:EK(ra,rb)34雙向(Mutual)認(rèn)證-對(duì)稱密鑰加密35對(duì)稱密鑰的要求要求參與方事先完成對(duì)稱密鑰交換，可擴(kuò)展性（Scalability）是個(gè)問題假設(shè)：C/S模型任意通信兩方需要共享不同的密鑰隨著Server/Client數(shù)量的增加…密鑰如何分發(fā)，如何管理？ClientServerChallengeResponse對(duì)稱密鑰的要求任意通信兩方需要共享不同的密鑰在小的、封閉式的系統(tǒng)里，可以事先完成密鑰共享大規(guī)模、分布式的環(huán)境中，實(shí)現(xiàn)密鑰共享想對(duì)困難因此用對(duì)稱密鑰加密實(shí)現(xiàn)身份認(rèn)證，往往伴隨著密鑰交換(e.g.Needham-Schroeder協(xié)議,Kerberos協(xié)議)36質(zhì)詢與應(yīng)答的實(shí)現(xiàn)方式使用對(duì)稱密鑰對(duì)稱密鑰加密Symmetricencryption報(bào)文鑒別碼Onewayfunctions使用公開密鑰密碼數(shù)字簽名Digitalsignatures37基于報(bào)文鑒別碼的身份認(rèn)證協(xié)議不使用加密,用基于對(duì)稱密鑰的報(bào)文鑒別碼（MAC）算法MAC值=hK(M),M是報(bào)文接收方檢驗(yàn):同樣方向計(jì)算收到報(bào)文的MAC值,與收到的MAC值比對(duì)SKID2(unilateral),andSKID3(mutual)38雙向認(rèn)證-基于對(duì)稱密鑰的MAC–SKID3BobAlice:rbAliceBob:ra,hK(ra,rb,B)BobAlice:hK(ra,rb,A)39單向認(rèn)證-基于對(duì)稱密鑰的MAC–SKID2BobAlice:rbAliceBob:ra,hK(ra,rb,B)403、質(zhì)詢與應(yīng)答認(rèn)證技術(shù)3.2公開密鑰實(shí)現(xiàn)質(zhì)詢與應(yīng)答41質(zhì)詢與應(yīng)答的實(shí)現(xiàn)方式使用對(duì)稱密鑰對(duì)稱密鑰加密Symmetricencryption報(bào)文鑒別碼Onewayfunctions使用公開密鑰密碼數(shù)字簽名Digitalsignatures42單向認(rèn)證協(xié)議-基于數(shù)字簽名Bob

Alice:rB（隨機(jī)數(shù)）Alice

Bob:certA,rA,B,SA(rA,rB,B)Bob驗(yàn)證:用公鑰證書里公鑰驗(yàn)證A的簽名參數(shù)“B”用來標(biāo)記報(bào)文的方向隨機(jī)數(shù)

rA

放在簽名塊里，用于防止選擇文本攻擊chosen-textattacks43雙向認(rèn)證-基于數(shù)字簽名Bob

Alice:rBAlice

Bob:certA,rA,B,SA(rA,rB,B)Bob

Alice:certB,A,SB(rA,rB,A)44單向認(rèn)證-基于對(duì)時(shí)間戳簽名基于時(shí)間戳的隱性(Implicit)ChallengeAlice

Bob:certA,tA,B,PRA(tA,B)45質(zhì)詢-應(yīng)答協(xié)議的標(biāo)準(zhǔn)化國(guó)際標(biāo)準(zhǔn)化組織ISO和IEC(theInternationalElectrotechnicalCommission)已經(jīng)標(biāo)準(zhǔn)化了若干質(zhì)詢-應(yīng)答認(rèn)證協(xié)議，被建議用做構(gòu)造復(fù)雜認(rèn)證協(xié)議的基本組件。例如："ISOSymmetricKeyTwo-PassUnilateralAuthenticationProtocol": B

A:RB

||Text1 A

B:TokenABTokenAB

=Text3||KAB(RB

||B||Text2).464、Needham-Schroeder協(xié)議

基于可信第三方的身份認(rèn)證

AuthenticationInvolvingTTP4.1Needham-Schroeder協(xié)議解決的問題4748對(duì)稱密鑰的密鑰分發(fā)問題要求通信參與者事先完成對(duì)稱密鑰交換，可擴(kuò)展性（Scalability）是個(gè)問題任意通信兩方需要共享不同的密鑰隨著通信的參與者數(shù)量的增加…密鑰如何分發(fā)，如何管理？

解決思路：基于可信第三方身份認(rèn)證選定某個(gè)參與者作為可信第三方，為其他參與者協(xié)商對(duì)稱密鑰。設(shè)有n個(gè)通信參與者沒有可信第三方，需要事先共享n(n-1)/2個(gè)對(duì)稱密鑰有可信第三方，只要每個(gè)參與者事先與可信第三方共享一個(gè)對(duì)稱密鑰即可，只需要n-1個(gè)對(duì)稱密鑰其余對(duì)稱密鑰(稱為會(huì)話密鑰，session

key)，在需要的時(shí)候，由可信第三方為他們協(xié)商49Needham-Schroeder協(xié)議基于可信第三方實(shí)現(xiàn)密鑰分發(fā)與身份認(rèn)證的協(xié)議協(xié)議中，可信第三方記作TrentTrent又被稱作是密鑰分發(fā)中心(KDC,keydistributioncenter)Trent可以服務(wù)大量用戶,他與這些用戶事先共享對(duì)稱密鑰，這些密鑰是相對(duì)長(zhǎng)期的密鑰。例如,

Trent與A的對(duì)稱密鑰KAT,Trent與B的對(duì)稱密鑰KBT，等等用戶有通信需求時(shí)，Trent為他們生成隨機(jī)的會(huì)話密鑰,例如,KAB會(huì)話密鑰：短期密鑰（一次一密），僅對(duì)當(dāng)前會(huì)話有效50Needham-Schroeder協(xié)議使用Trent的服務(wù)，可以實(shí)現(xiàn)任何兩個(gè)最終用戶之間的安全通信，而無需他們進(jìn)行物理會(huì)面;他們可以運(yùn)行身份認(rèn)證協(xié)議來建立共享的會(huì)話密鑰會(huì)話結(jié)束后，最終用戶甚至可以互相忘記對(duì)方，會(huì)話密鑰扔掉51Needham-Schroeder歷史最著名的安全協(xié)議之一1978首次公開發(fā)表,1981被發(fā)現(xiàn)有一定缺陷幾經(jīng)改進(jìn)，最終成為Kerberos協(xié)議的基礎(chǔ)52Needham-Schroeder提供的安全服務(wù)前提:Alice和Trent有共享的對(duì)稱密鑰

KAT;Bob和Trent有共享的對(duì)稱密鑰KBT.安全服務(wù)（協(xié)議運(yùn)行后）:完成參與者Alice，Bob，Trent相互之間的身份認(rèn)證

Alice和Bob建立新的他們共享的會(huì)話密鑰K.534、Needham-Schroeder協(xié)議

基于可信第三方的身份認(rèn)證

AuthenticationInvolvingTTP4.2Needham-Schroeder協(xié)議精講54Needham-Schroeder提供的安全服務(wù)前提:Alice和Trent有共享的對(duì)稱密鑰

KAT;Bob和Trent有共享的對(duì)稱密鑰KBT.安全服務(wù)（協(xié)議運(yùn)行后）:完成參與者Alice，Bob，Trent相互之間的身份認(rèn)證

Alice和Bob建立新的他們共享的會(huì)話密鑰K.555657

58對(duì)Needham-Schroeder協(xié)議的攻擊對(duì)Needham-Schroeder協(xié)議的攻擊

59對(duì)Needham-Schroeder攻擊的分析RESULTOFATTACK

Bobthinksheissharinganewsessionkey

withAlicewhileactuallythekeyisanoldoneandmaybeknown

toMalice.改進(jìn)措施:UsingTimestamp1,4,5SameasintheNeedham-Schroeder.A,B均檢驗(yàn)：605、KERBEROS協(xié)議

基于可信第三方的身份認(rèn)證

AuthenticationInvolvingTTP615、KERBEROS協(xié)議

基于可信第三方的身份認(rèn)證

AuthenticationInvolvingTTP5.1KERBEROS協(xié)議解決的問題62Kerberos認(rèn)證協(xié)議的歷史Kerberos是一個(gè)經(jīng)過長(zhǎng)期考驗(yàn)的認(rèn)證協(xié)議80年代中期是MIT的Athena工程的產(chǎn)物版本前三個(gè)版本僅用于內(nèi)部第四版得到了廣泛的應(yīng)用第五版于1989年開始設(shè)計(jì)RFC1510,1993年確定標(biāo)準(zhǔn)Kerberos解決的問題認(rèn)證、數(shù)據(jù)完整性、保密性63分布式環(huán)境，C/S模型，實(shí)現(xiàn)應(yīng)用服務(wù)器（記作V）與用戶(記作C)間的雙向認(rèn)證KERBEROS-認(rèn)證功能的抽象ASC1V1V1V3C2……基于一個(gè)集中的認(rèn)證服務(wù)器AS(可信第三方)分布式環(huán)境，C/S模型，實(shí)現(xiàn)應(yīng)用服務(wù)器（記作V）與用戶(記作C)間的雙向認(rèn)證基于一個(gè)集中的認(rèn)證服務(wù)器AS(可信第三方)，

記作AS(AuthenticationServer)把各個(gè)應(yīng)用服務(wù)器V上共有的認(rèn)證功能抽象剝離，集中到AS服務(wù)器上基于對(duì)稱加密實(shí)現(xiàn)，沒有采用公開密鑰體制KERBEROS-認(rèn)證功能的抽象解決的問題是：在一個(gè)分布式環(huán)境中，用戶希望獲取服務(wù)器上提供的服務(wù)。服務(wù)器能限制授權(quán)用戶的訪問，并能對(duì)服務(wù)請(qǐng)求進(jìn)行認(rèn)證處理三種威脅：用戶偽裝成另一個(gè)用戶訪問服務(wù)器用戶更改工作站的網(wǎng)絡(luò)地址用戶竊聽報(bào)文交換過程，利用重放攻擊進(jìn)入服務(wù)器KERBEROS解決的問題協(xié)議用到的符號(hào)定義術(shù)語(yǔ)：C＝客戶AS＝認(rèn)證服務(wù)器（存放著所有用戶及用戶口令信息）V＝服務(wù)器IDc＝在C上的用戶標(biāo)識(shí)符IDv＝V的標(biāo)識(shí)符Pc＝在C上的用戶口令A(yù)Dc＝C的網(wǎng)絡(luò)地址Kv＝AS和V共享的加密密鑰5、KERBEROS協(xié)議

基于可信第三方的身份認(rèn)證

AuthenticationInvolvingTTP5.2

KERBEROS的引入?yún)f(xié)議68一個(gè)簡(jiǎn)單的基于可信第三方的認(rèn)證對(duì)話（1）C

AS: IDc||Pc||IDv（2）AS

C: Ticket（3）C

V: IDc||TicketTicket=EKv[IDc||ADc||IDv]存在的問題要求用戶頻繁地輸入口令申請(qǐng)不同的服務(wù)，用戶需要新的票據(jù)口令是明文傳送的，敵對(duì)方可能竊聽到口令敵對(duì)方竊聽到Ticket，摹仿C進(jìn)行重放攻擊簡(jiǎn)單協(xié)議的改進(jìn)用戶登錄時(shí)獲取票據(jù)許可票：（1）C

AS: IDc||IDtgs（2）AS

C: EKc

[Tickettgs]請(qǐng)求某種服務(wù)類型時(shí)獲取服務(wù)許可票：C

TGS:IDc

||IDv||Tickettgs(4)TGS

C:Ticketv獲取服務(wù)：(5)C

V:IDc||TicketvTickettgs＝EKtgs[IDc||ADc||IDtgs||TS1||Lifetime1]Ticketv＝Ekv[IDc||ADc||IDv||TS2||Lifetime2]增加票據(jù)許可服務(wù)器TGS（進(jìn)一步剝離應(yīng)用服務(wù)器上的授權(quán)功能，并集中到TGS）EKc(user’ssecretkey)iscomputedbyaone-wayfunctionfromtheuser’spassword存在的問題每一張ticket的有效期限設(shè)置如果太短，要