第3章-第2講 認(rèn)證與認(rèn)證協(xié)議.ppt

1、第三章 安全業(yè)務(wù)及其實(shí)現(xiàn)方法,第二講 認(rèn)證與認(rèn)證的密鑰交換協(xié)議,一、基本概念,（一）認(rèn)證,認(rèn)證活動(dòng)又稱為鑒別，是證明某人或?qū)ο笊矸莸倪^(guò)程，是認(rèn)證者對(duì)被認(rèn)證者的確定的過(guò)程。,認(rèn)證包括數(shù)據(jù)源認(rèn)證（data-origin authentication）、實(shí)體認(rèn)證（entity authentication）和認(rèn)證的密鑰的建立（authenticated key establishment）。,（1）數(shù)據(jù)源認(rèn)證 數(shù)據(jù)源認(rèn)證也稱消息認(rèn)證（message authentication），主要涉及驗(yàn)證消息的某個(gè)聲稱屬性，其目的是為了能夠驗(yàn)證消息來(lái)自特定的實(shí)體，并且事后不能改變。這一服務(wù)由接受方在接收時(shí)進(jìn)行驗(yàn)

2、證的，其目的是確認(rèn)消息發(fā)送者的身份及其數(shù)據(jù)的完整性。,（2）實(shí)體認(rèn)證 實(shí)體認(rèn)證則更多地涉及驗(yàn)證消息發(fā)送者所聲稱的身份，是一種安全服務(wù)，使通信雙方能夠驗(yàn)證對(duì)方的身份。目前常用的認(rèn)證技術(shù)主要有兩大類：一類是基于密鑰技術(shù)的認(rèn)證技術(shù)；另一類是基于生物特征識(shí)別的認(rèn)證技術(shù)。,（3）認(rèn)證的密鑰建立 通信雙方運(yùn)行實(shí)體認(rèn)證協(xié)議的目的在于能夠在高層或者應(yīng)用層上進(jìn)行安全通信，密鑰是建立安全通信信道的基礎(chǔ)。因此，為了進(jìn)行安全通信而運(yùn)行的實(shí)體認(rèn)證協(xié)議通常都有一個(gè)子任務(wù)，就密鑰建立、或者密鑰交換和密鑰協(xié)商。,（二）協(xié)議,協(xié)議是一系列步驟，它包括兩方或多方，設(shè)計(jì)它的目的是要完成一項(xiàng)任務(wù) 。,理解：,“一系列步驟”：意味著協(xié)

3、議是從開(kāi)始到結(jié)束的一個(gè)序列，每一步必須依次執(zhí)行，在前一步完成前，后面的步驟都不能執(zhí)行,“包括兩方或多方”：意味著完成這個(gè)協(xié)議至少需要兩個(gè)人，單獨(dú)的一個(gè)人不能構(gòu)成協(xié)議,“設(shè)計(jì)它的目的是要完成一項(xiàng)任務(wù)”：意味著協(xié)議必須做一些事,協(xié)議還有其他特點(diǎn)： （1）協(xié)議中的每人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。 （2）協(xié)議中的每人都必須同意遵循它。 （3）協(xié)議必須是不模糊的，每一步必須明確定義，并且不會(huì)引起誤解。 （4）協(xié)議必須是完整的，對(duì)每種可能的情況必須規(guī)定具體的動(dòng)作。,密碼協(xié)議是使用密碼學(xué)的協(xié)議,參與該協(xié)議的伙伴可能是朋友和完全信任的人，或者也可能是敵人和互相完全不信任的人,參與協(xié)議的各方

4、可能為了計(jì)算一個(gè)數(shù)值想共享它們的秘密部分、共同產(chǎn)生隨機(jī)系列、確定互相的身份、或者同時(shí)簽署合同 。,密碼協(xié)議包含某種密碼算法，但通常，協(xié)議的目的不僅僅是為了簡(jiǎn)單的秘密性 ，在協(xié)議中使用密碼的目的是防止或發(fā)現(xiàn)偷聽(tīng)者和欺騙 。,（一） 消息認(rèn)證,二、基本認(rèn)證技術(shù),當(dāng)Bob從Alice那里接收信息，他怎么知道信息是可信的呢？,實(shí)現(xiàn)技術(shù)：,（1）基于公鑰體制：數(shù)字簽名,(2) 對(duì)稱密鑰加密,（3）消息認(rèn)證碼：基于對(duì)稱算法（RIPE-MAC），基于單向函數(shù)（RFC，HMAC）,（1）認(rèn)證碼,認(rèn)證碼（MAC，Messages Authentication Codes），是與密鑰相關(guān)的的單向散列函數(shù)，也稱為消

5、息鑒別碼或是消息校驗(yàn)和。 MAC與單向散列函數(shù)一樣，但是還包括一個(gè)密鑰。不同的密鑰會(huì)產(chǎn)生不同的散列函數(shù)，這樣就能在驗(yàn)證發(fā)送者的消息沒(méi)有經(jīng)過(guò)篡改的同時(shí)，驗(yàn)證是由哪一個(gè)發(fā)送者發(fā)送的。,MAC=CK(M) 其中：M為可變長(zhǎng)的消息；K為通信雙方共享的密鑰；C為單向函數(shù)。用途：為擁有共享密鑰的雙方在通信中驗(yàn)證消息的完整性；被單個(gè)用戶用來(lái)驗(yàn)證他的文件是否被改動(dòng)。,認(rèn)證碼的三種使用模式,IP安全協(xié)議強(qiáng)制實(shí)現(xiàn)的MAC，由RFC2104定義的HMAC，全稱為Keyed-Hash Message Authentication Code， 用一個(gè)秘密密鑰來(lái)產(chǎn)生和驗(yàn)證MAC。,（2）HMAC,1、HMAC要求 可不經(jīng)

6、修改使用現(xiàn)有hash函數(shù) 其中鑲嵌的hash函數(shù)可易于替換為更快和更安全的hash函數(shù) 保持鑲嵌的hash函數(shù)的最初性能，不因適用于HAMC而使其性能降低 以簡(jiǎn)單方式使用和處理密鑰 在對(duì)鑲嵌的hash函數(shù)合理假設(shè)的基礎(chǔ)上，易于分析HMAC用于認(rèn) 證時(shí)的密碼強(qiáng)度,B：計(jì)算消息摘要時(shí)輸入塊的字節(jié)長(zhǎng)度(如對(duì)于SHA-1, B = 64)。 H：散列函數(shù)，如SHA-1，MD5等。 ipad：將數(shù)值0 x36重復(fù)B次。 opad：將數(shù)值0 x5c重復(fù)B次。 K：共享密鑰。 K+ ：在密鑰K的左邊附加0使其長(zhǎng)為B字節(jié)的密鑰。 L：消息的分組數(shù) n：消息摘要的字節(jié)數(shù)。 M：要計(jì)算HMAC的數(shù)據(jù)。 X |Y：

7、將字串連接起來(lái)，即把字串Y附加在字串X后面。 ：異或。,2、算法描述,MAC(M)= HMAC(K, M)= H(H(K+ ipad) | M) |(K+opad ),(1) 如果K的長(zhǎng)度等于B，設(shè)置K+ = K并跳轉(zhuǎn)到第(4)步。 (2) 如果K的長(zhǎng)度大于B，對(duì)K求散列值： K= H(K)。 (3) 如果K的長(zhǎng)度小于B，在K的左邊附加0得到B字節(jié)的K+ 。 (4) 執(zhí)行K+ ipad。 (5) 將數(shù)據(jù)M附加在第(4)步結(jié)果的后面：(K+ ipad) | M (6) 將H應(yīng)用于第(5)步的結(jié)果：H(K+ ipad) | M) (7) 執(zhí)行K+ opad。 (8) 把第(6)步的結(jié)果附加在第(7

8、)步的結(jié)果后面： (K+ opad) | H(K+ ipad) | M) (9) 將H應(yīng)用于第(8)步的結(jié)果： H(K+ opad )| H(K+ ipad) | M) (10) 選擇第(9)步結(jié)果的最左邊t字節(jié)作為MAC。,（二）實(shí)體認(rèn)證,1、基于單向函數(shù)的認(rèn)證協(xié)議,（1）Alice將她的通行字傳送給計(jì)算機(jī)。 （2）計(jì)算機(jī)完成通行字的單向函數(shù)計(jì)算。 （3）計(jì)算機(jī)把單向函數(shù)的運(yùn)算結(jié)果和它以前存儲(chǔ)的值進(jìn)行比較。,計(jì)算機(jī)存儲(chǔ)通行字的單向函數(shù)及其對(duì)應(yīng)的用戶名,字典攻擊,Mallory在他的業(yè)余時(shí)間編制1，000，000個(gè)最常用的通行字表，他用單向函數(shù)對(duì)所有1，000，000個(gè)通行字進(jìn)行運(yùn)算，并將結(jié)果

9、存儲(chǔ)起來(lái)。如果每個(gè)通行字大約是8個(gè)字節(jié)，運(yùn)算結(jié)果的文件不會(huì)超過(guò)8M字節(jié)，幾張軟盤就能存下。現(xiàn)在Mallory偷出加密的通行字文件。把加密的通行字和已加密的可能通行字文件進(jìn)行比較，再觀察哪個(gè)能匹配。,Salt是一隨機(jī)字符串，它與通行字連接在一起，再用單向函數(shù)對(duì)其運(yùn)算。然后將Salt值和單向函數(shù)運(yùn)算的結(jié)果存入主機(jī)數(shù)據(jù)庫(kù)中。如果可能的Salt值的數(shù)目足夠大的話，它實(shí)際上就消除了對(duì)常用通行字采用的字典式攻擊，因?yàn)镸allory不得不產(chǎn)生每個(gè)可能的Salt值的單向hash值。這是初始化矢量的簡(jiǎn)單嘗試。,2、SKEY程序,為了設(shè)置系統(tǒng)，Alice輸入隨機(jī)數(shù)R，計(jì)算機(jī)計(jì)算f（R）、f（f（R）、f（f（f（

10、R）等等大約100次。調(diào)用x1 ，x2 ，x3 ，。，x100這些數(shù)。計(jì)算機(jī)打印出這些數(shù)的列表，Alice把這些數(shù)放入口袋妥善保管，計(jì)算機(jī)也順利地在登錄數(shù)據(jù)庫(kù)中Alice的名字后面存儲(chǔ)x101的值。,當(dāng)Alice第一次登錄時(shí)，她輸入她的名字和x100，計(jì)算機(jī)計(jì)算f（x100），并把它和x101比較，如果它們匹配，那么證明Alice身份是真的。然后，計(jì)算機(jī)用x101代替數(shù)據(jù)庫(kù)中的x100。Alice將從她的列表中取消x100。,3、基于公鑰體制的認(rèn)證,（1）主機(jī)發(fā)送一個(gè)隨機(jī)字符串給Alice。 （2）Alice用她的私鑰對(duì)此隨機(jī)字符串加密，并將此字符串他和她的名字一起傳送回主機(jī)。 （3）主機(jī)在它

11、的數(shù)據(jù)庫(kù)中查找Alice的公開(kāi)密鑰，并用公開(kāi)密鑰解密。 （4）如果解密后的字符串與主機(jī)在第一步中發(fā)送給Alice的字符串匹配，則允許Alice訪問(wèn)系統(tǒng)。,4、用聯(lián)鎖協(xié)議互相鑒別,Alice和Bob是想要互相鑒別的兩個(gè)用戶。他們每人都有一個(gè)另一人知道的通行字：Alice通行字是PA，Bob的是PB。下面的協(xié)議是行不通的： （1）Alice和Bob的交換公開(kāi)密鑰。 （2）Alice用Bob的公開(kāi)密鑰加密PA，并將它傳送給Bob。 （3）Bob用Alice的公開(kāi)密鑰加密PB，并發(fā)送給Alice。 （4）Alice解密她在第（2）步中接受到的信息并驗(yàn)證它是正確的。 （5）Bob解密他在第（3）步中接受

12、到的信息并驗(yàn)證它是正確的。,5、SKID3,1、Alice選用隨機(jī)數(shù)RA（RIPE文件規(guī)定64比特的數(shù)），并將它發(fā)送給Bob。 2、Bob選用隨機(jī)數(shù)RB（RIPE文件規(guī)定64比特的數(shù)），將下面的數(shù)發(fā)送給Alice：RB，HK（RA，RB，B） HK是MAC（RIPE建議的RIPE-MAC函數(shù)）。B是Bob的名字。 3、Alice計(jì)算HK（RA，RB，B），并和她從Bob那里接收到的信息比較，如果結(jié)果一致，那么Alice知道她正與Bob通信。 4、Alice向Bob發(fā)送：HK（RB，A），A是Alice的名字。 5、Bob計(jì)算HK（RB，A），并將它與從Alice那里收到的比較，如果相同，那么B

13、ob知道他正與Alice通信。,三、認(rèn)證的密鑰交換協(xié)議,很多情況下通信雙方運(yùn)行實(shí)體認(rèn)證協(xié)議的目的在于能夠在高層或者應(yīng)用層上進(jìn)行安全通信，密鑰是建立安全通信信道的基礎(chǔ)。因此，為了進(jìn)行安全通信而運(yùn)行的實(shí)體認(rèn)證協(xié)議通常都有一個(gè)子任務(wù)，就密鑰建立、或者密鑰交換和密鑰協(xié)商。我們稱二者結(jié)合的協(xié)議為認(rèn)證的密鑰交換協(xié)議。,Alice和Bob是網(wǎng)絡(luò)的兩個(gè)用戶，他們將通過(guò)網(wǎng)絡(luò)進(jìn)行安全通信。那么Alice和Bob如何才能做到在進(jìn)行密鑰交換的同時(shí)，確認(rèn)在和自己通信的另一個(gè)方不是Mallory，而且最后能確認(rèn)雙方確實(shí)擁有了某個(gè)特定的共同密鑰。,（一）基于單密鑰體制的密鑰交換,Kerberos是為TCP、IP網(wǎng)絡(luò)設(shè)計(jì)的可

14、信第三方鑒別協(xié)議，kerberos起著可信第三方的作用。Kerberos基于對(duì)稱密碼學(xué)（采用的是DES），它與網(wǎng)絡(luò)上的每個(gè)實(shí)體分別共享著一個(gè)不同秘密密鑰，是否知道該秘密密鑰便是身份的證明。,Kerberos協(xié)議是Needham-Schroeder協(xié)議的變型，目前通用版本為k5，是1994年公布的；Kerberos采用的是客戶機(jī)/服務(wù)器模型（以下簡(jiǎn)稱C/S）。,（1）基本協(xié)議,假設(shè)，Trent和Alice、Bob中的每人各共享一密鑰。Alice想向Bob證明自己的身份。 1、Alice將她的身份A和Bob的身份B發(fā)送給Trent：A，B 2、Trent產(chǎn)生一報(bào)文，該報(bào)文由時(shí)間標(biāo)記T、使用壽命L、

15、隨機(jī)臨時(shí)會(huì)話密鑰K和Alice的身份構(gòu)成。他用與Bob共享的密鑰加密報(bào)文。然后，他取時(shí)間標(biāo)記、使用壽命、會(huì)話密鑰和Bob的身份，并且用他與Alice共享的密鑰加密，并把這兩個(gè)加密報(bào)文發(fā)給Alice： EA（T，L，K，B），EB（T，L，K，A）,3 、Alice用她的身分和時(shí)間標(biāo)記產(chǎn)生報(bào)文，并用K對(duì)它進(jìn)行加密，將它發(fā)送給Bob。Alice也將從Trent那里來(lái)的用Bob的密鑰加密的報(bào)文發(fā)送給Bob： EK（A，T），EB（T，L，K，A） 4、Bob用K對(duì)時(shí)間標(biāo)記加1的報(bào)文進(jìn)行加密，并將它發(fā)送給Alice：EK（T+1）.,這個(gè)協(xié)議是可行的，但它假設(shè)每個(gè)人的時(shí)鐘都與Trent的時(shí)鐘同步。實(shí)際上，這個(gè)結(jié)果是通過(guò)把時(shí)鐘同步到一個(gè)安全的定時(shí)服務(wù)器的幾分鐘之內(nèi)，并在這個(gè)時(shí)間間隔內(nèi)檢測(cè)重放而獲得的。,（2）通用的第五版協(xié)議,協(xié)議5個(gè)步驟具體發(fā)送的消息：,（二）基于雙鑰體制的密鑰交換協(xié)議,（3）基于混合密鑰體制的密鑰交換協(xié)議,協(xié)議假設(shè)A和B共享一個(gè)口令P，則基本協(xié)議描述如下 1、A產(chǎn)生一隨機(jī)公/私鑰對(duì)，并用對(duì)稱算法和P作為密鑰，對(duì)公鑰K加密，并向B發(fā)送如下消息：A，Ep（K）。 2、B知道P