身份鑒別協議培訓資料

1、身份鑒別協議身份鑒別協議?現代密碼學現代密碼學?第十章第十章1上章內容回憶上章內容回憶n密鑰管理簡介密鑰管理簡介n密鑰分配密鑰分配n密鑰協商密鑰協商nPKIPKI及數字證書簡介及數字證書簡介n秘密共享秘密共享2本章主要內容本章主要內容n身份鑒別的定義n口令認證協議n挑戰(zhàn)應答協議n對身份識別協議的攻擊和對策3身份鑒別的定義身份鑒別的定義n身份鑒別：又稱為身份識別、實體認證。它是這樣一個過程，即其中一方確信參與協議的第二方的身份，并確信第二方真正參與了該過程。n用戶的身份識別是許多應用系統的第一道防線，其目的在于識別用戶的合法性，從而阻止非法用戶訪問系統。身份識別認證對確保系統和數據的平安保密是極

2、其重要的。4身份鑒別的定義身份鑒別的定義Alice?BobEve?5身份鑒別的定義身份鑒別的定義n事物：口令、個人識別碼(PIN)、挑戰(zhàn)-響應協議中已被證實的秘密或私鑰。n已擁有的事物：通常是物理配件。如，磁卡、智能卡(或IC卡)、口令生成器n固有事物(對某個人)：利用人類物理特征和無意行為。如，手寫簽名、指紋、聲音、視網膜模式、手的幾何形狀等。非密碼學的6身份鑒別的定義身份鑒別的定義身份鑒別的定義：身份鑒別的定義：1、在老實的情況下，聲稱者、在老實的情況下，聲稱者A能向驗證者能向驗證者B證明他確實是證明他確實是A；2、在聲稱者、在聲稱者A向驗證者向驗證者B聲稱他的身份后，聲稱他的身份后，驗證

3、者驗證者B不能獲得任何有用的信息，不能獲得任何有用的信息，B也不也不能模仿能模仿A向其他第三方證明他就是向其他第三方證明他就是A。3、任何不同于、任何不同于A的實體的實體C以以A的身份，讓的身份，讓B相相信信C是是A的概率可忽略不計的概率可忽略不計7身份鑒別的定義身份鑒別的定義n用于實現身份識別的協議。n協議：是一系列步驟，它包括兩方和多方，設計它的目的是要完成一項任務。n協議是從開始到結束的一個協議是從開始到結束的一個序列，每步必須依，每步必須依次執(zhí)行次執(zhí)行n完成協議完成協議至少需要兩個人n協議的協議的目的是為了做一些事情是為了做一些事情8身份鑒別的定義身份鑒別的定義分析和評價身份認證協議應

4、考慮如下幾個方面：1交互性：是單方還是雙方的身份認證；2計算的有效性；3通信的有效性；4是否需要第三方的實時參與；5對第三方的可信度的要求；6平安保證可證明平安、零知識證明；7用來存儲共享秘密數據的地方和方法。9身份鑒別的定義身份鑒別的定義Passwordsweak authentication：系統檢查口令是否與系統擁有的相應用戶數據相匹配，批準聲明的身份訪問資源用戶ID是聲稱的身份口令是支持聲稱的證據：固定口令、PIN和通行密鑰Challenge-response identificationstrong authentication：通過向驗證者展示與證明者實體有關的秘密知識來證明自己的

5、身份，但在協議中并沒有向驗證者泄露秘密本身。身份鑒別技術分類身份鑒別技術分類10口令認證協議口令認證協議固定口令1存儲的口令文件以明文形式將用戶口令存儲在系統口令文件中口令文件需讀保護和寫保護2“加密的口令文件存儲口令的單向函數值口令文件需寫保護IDA,PWPassWordPWAB檢查口令和身份竊聽？存儲平安？11口令認證協議口令認證協議n效勞器端的字典攻擊：在這種攻擊中，Eve只對找到口令有興趣，并不關心用戶的ID。例如，如果口令是六位數， Eve可以創(chuàng)立一個六位數(000000999999)的列表，然后對每一個數使用散列函數，結果就是一個一百萬個散列的列表。她就可以得到口令檔案并搜索條目中

6、的第二列，找出一個與之相匹配的。這可以被編程并且在Eve的個人計算機上脫機運行。找到匹配以后，伊夫就可以再上線，用口令來訪問系統。 12口令認證協議口令認證協議3口令加鹽(Salting Passwords)第一環(huán)節(jié)：口令字段字符串的生成：s = Agen(Dsalt, Dpw) 給口令Dpw撒鹽：Dpw = Asalt (Dsalt，Dpw)； 用撒鹽結果做密鑰：K = Dpw； 用一個64位的全0位串構造一個數據塊Dp； 設循環(huán)次數：i = 0； 對數據塊加密：Dc = Acrypt(K, Dp)； Dp = Dc，i = i + 1； 如果i B: rB A - B: hK(rB, A)

7、n雙向認證29挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n使用手持通行碼生成器的實現A是用戶的私鑰是用戶的私鑰;f是單向函數是單向函數;302使用公鑰技術的挑戰(zhàn)-應答聲稱者證明他知道私鑰的方式有兩種：聲稱者解密用它的公鑰加密的挑戰(zhàn)聲稱者數字簽署一個挑戰(zhàn)挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議31挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n單向認證：n雙向認證：r為隨機數為隨機數r1, r2為隨機數為隨機數基于公鑰加密的挑戰(zhàn)基于公鑰加密的挑戰(zhàn)-響應響應32挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n帶時戳的單向認證：n帶隨機數的單向認證：n帶隨機數的雙向認證：certA,certB為公鑰證書為

8、公鑰證書;SA,SB為私鑰為私鑰;基于數字簽名的挑戰(zhàn)基于數字簽名的挑戰(zhàn)-響應響應33挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議3基于零知識證明的挑戰(zhàn)-應答零知識(Zero-knowledge)(ZK)證明的起源Alice：我知道肯德基的土豆泥的配方以及做法。Bob：不，你不知道。Alice：我知道。Bob：你不知道。Alice：我確實知道！Bob：請你證實這一點！Alice：好吧，我告訴你！她悄悄地說出了土豆泥的秘方Bob：太有趣了！現在我也知道了。我要告訴?華盛頓郵報?Alice：啊呀！34挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n不幸的是，不幸的是，Alice用常用的方法給用常用的方法給

9、Bob證明她知道證明她知道的秘密。這樣一來，的秘密。這樣一來，Bob也知道了這些秘密了，也知道了這些秘密了，現在現在Bob要告訴其他人，要告訴其他人，Alice對此毫無方法。對此毫無方法。n問題：有沒有一種有效的方法，讓問題：有沒有一種有效的方法，讓Alice能向能向Bob證明她知道這些秘密，使得證明她知道這些秘密，使得Bob可以確信可以確信Alice確確實知道這些，但實知道這些，但Bob根本不能獲得這些秘密的任根本不能獲得這些秘密的任何信息呢？何信息呢？35挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n零知識證明的思想零知識證明的思想nAlice要向要向Bob證明她知道某些秘密：證明她知道某些

10、秘密：nBob：問：問Alice一系列問題一系列問題nAlice：假設知道那個秘密，她就能正確答復所有：假設知道那個秘密，她就能正確答復所有問題。如果她不知道，她仍有問題。如果她不知道，她仍有50的時機答復每的時機答復每一個問題。但要猜對每個問題的時機實在太小了一個問題。但要猜對每個問題的時機實在太小了幾乎不可能。幾乎不可能。n大約大約10個問題之后個問題之后nBob確信確信Alice是否知道那個秘密。然而所有答復是否知道那個秘密。然而所有答復都沒有給都沒有給Bob提供提供Alice所知道的秘密的任何信息。所知道的秘密的任何信息。36挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議ABC D37挑戰(zhàn)

11、挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議(1)Bob站在 A 點；(2)Alice進入洞中任一點 C 或 D；(3)當Alice進洞之后，Bob走到 B 點；(4)Bob叫Alice：(a)從左邊出來，或(b)從右邊出來；(5)Alice按要求實現(以咒語，即解數學難題幫助)；(6)Alice和Bob重復執(zhí)行 (1)(5)共n次。38挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n假設 Alice 不知咒語，那么在 B 點，只有50 %的時機猜中 Bob的要求，協議執(zhí)行 n 次，那么只有 2-n 的時機完全猜中，假設 n=16，那么假設每次均通過 Bob 的檢驗，B受騙時機僅為1/65536。n如果

12、Bob用攝像機記錄下他所看到的一切，他把錄像給Carol看，Carol會相信這是真的嗎？Carol是不會相信這是真的。n這說明了兩件事情：其一，Bob不可能使第三方相信這個證明；其二，它證明了這個協議是零知識的。Bob在不知道咒語的情況下，顯然不能從錄像中得悉任何信息。39挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n零知識(Zero-knowledge)(ZK)證明:是一種交互式證明系統n聲稱者證明者和驗證者交換多個信息，這些信息的生成依賴于保密的隨機數n證明者P(Prover)：知道某一秘密s，使V相信自己掌握這一秘密；n驗證者V(Verifier)：驗證P掌握秘密sn每輪V向P發(fā)出一詢問，

13、P向V作應答需要有s的知識才能正確應答。nV檢查P是否每一輪都能正確應答。40挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n交互證明與數學證明的區(qū)別n數學證明：證明者可自己獨立完成證明(絕對)n交互證明：由P產生證明(響應)，V驗證證明(響應的有效性概率上來實現，雙方之間要有通信n交互系統應滿足n完備性：如果P知道某一秘密，V將接收P的證明n正確性：如果P能以一定的概率使V相信P的證明，那么P知道相應的秘密冒充者偽造成功的概率可忽略不計41挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議nNeedham-Schroeder協議：是基于對稱密鑰加密的挑戰(zhàn)-響應n計算模n平方根的困難性nFiat-Sham

14、ir身份識別協議nFiege-Fiat-Shamir身份識別協議n離散對數的困難性：Schnorr協議42挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議2. 4. )|(|1AsKBsKIDKERIDKEBAKDCAB1. IDA| IDB |R13. |AsKIDKEB2RESK5. )(2RfESK如果敵手獲得了舊會話如果敵手獲得了舊會話密鑰，那么可以冒充密鑰，那么可以冒充A A重放重放3 3，并且可答復，并且可答復5 5，成功的欺騙成功的欺騙B BKs為隨時機話密鑰為隨時機話密鑰1 NeedhamSchroeder協議協議43挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議2. 4. )|(|TI

15、DKETIDKEAsKBsKBAKDCAB1. IDA| IDB3. |TIDKEAsKB1NESK5. )(1NfESK以時戳替代隨機數，用以向A，B保證Ks的新鮮性|ClockT|t1+t2 Clock:本地時鐘t1：本地時鐘與KDC時鐘誤差估計值t2 ：網絡延遲時間要求各方時鐘同步要求各方時鐘同步如果發(fā)方時鐘超前如果發(fā)方時鐘超前B B方時鐘，可能方時鐘，可能導致等待重放攻擊導致等待重放攻擊NeedhamSchroeder改進協議改進協議144挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議KDCAB3. 1. AANID |4. |BKBSAKNETKIDESB2. |BAAKBBTNIDEN

16、IDBBBSAKBSABKNTKIDETKNIDEBA|會話密鑰的截止時間NeedhamSchroeder改進協議改進協議245挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n如果 A 保存由協議得到的票據，就可以在有效期內可不通過KDC直接認證AB,|1ABSAKNTKIDEB、,2AKBNENS、3BKNES、B B在第一步收到票據后，可以通過在第一步收到票據后，可以通過BT檢驗票據是否過時檢驗票據是否過時，而新產生的一次隨機數新產生的一次隨機數則向雙方保證了沒有重放攻擊則向雙方保證了沒有重放攻擊。BANN ,46挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議參數的選擇：n可信中心可信中心T選擇兩

17、個素數選擇兩個素數p和和q(保密，最好保密，最好用完丟棄用完丟棄)，計算類似，計算類似RSA的模數的模數m=pq、并公開并公開m。n證明者選擇與證明者選擇與m互素的互素的私鑰私鑰s(1sm)，計，計算算v=s2 mod mn證明者在可信中心證明者在可信中心T中注冊中注冊公鑰公鑰v2 Fiat-Shamir身份識別協議身份識別協議47挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議協議執(zhí)行：迭代t輪(連續(xù)地、獨立地)(1) Alice 取隨機數 r(m)，計算x= r2 mod m，并發(fā)送給Bob；(2) Bob將一隨機比特e=0或1作為挑戰(zhàn)發(fā)給 Alice；(3) Alice計算響應值y并發(fā)給Bob

18、假設e=0，那么Alice 將y=r送給Bob；假設e=1，那么Alice將y=rs mod m送給Bob；(4) 假設y=0，那么Bob拒絕證明；反之，驗證y2xve mod m？假設e=0，那么Bob 證實y2 =x mod m假設e=1，那么 Bob 證實 y2 =xv mod m 假設t輪都成功，那么Bob就接收Alice的身份Fiat-Shamir身份識別協議身份識別協議48挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n完備性n如果Alice和Bob遵守協議，且Alice知道s，那么響應值 y2=(rse)2 mod m xve mod m，Bob接收Alice的證明，所以協議是完備的

19、。n正確性nAlice不知道s，他也可取r，送y2 =r2 mod m給Bob；Bob送e 給Alice；Alice將r作為響應值；當b=0時那么Alice可通過檢驗使得Bob受騙，當b=1時，那么Bob可發(fā)現Alice不知s。Bob受騙概率為1/2，但連續(xù)t輪受騙的概率將僅為2-tnBob無法知道Alice的秘密(s)，因為s沒有被傳送過，且Bob只能隨機選取一個比特位作為挑戰(zhàn)。49挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議參數的選擇：n可信中心可信中心T選擇兩個素數選擇兩個素數p和和q(保密，最好用完丟保密，最好用完丟棄棄)，計算類似，計算類似RSA的模數的模數n=pq、并公開、并公開n。

20、n證明者選擇證明者選擇k個與個與n互素的隨機整數作為互素的隨機整數作為私鑰私鑰s1, s2, ,sk(1sin)n證明者選擇證明者選擇k個隨機比特個隨機比特b1, b2, , bk(1ik)，計算計算vi=(-1)bi (si2)-1 mod n (1ik)n證明者在可信中心證明者在可信中心T中注冊中注冊公鑰公鑰 (v1, v2 , vk; n)3 Fiege-Fiat-Shamir身份識別協議身份識別協議50挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議協議執(zhí)行：迭代t輪(連續(xù)地、獨立地)(1) Alice 取隨機數 r(n)和一個隨機比特b，計算x=(-1)br2 mod n，并發(fā)送給Bob；

21、(2) Bob將一隨機比特序列(e1,ek),ei0,1 作為挑戰(zhàn)發(fā)給 Alice；(3) Alice計算響應值y并發(fā)給Bob:(4) Bob計算 ，并驗證z=x和z0 假設t輪都成功，那么Bob就接收Alice的身份Fiege-Fiat-Shamir身份識別協議身份識別協議51挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議nShnorr 身份認證協議融合了ELGamal協議、Fiat-Shamir協議、和Chaum-Evertse-Van de Graff交互協議等協議的思想，是一種計算量、通信量均少，特別適合智能卡上用戶身份識別的方案。n其平安性建立在計算離散對數問題的困難性上。4 Shnor

22、r 身份認證協議身份認證協議52挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議nShnorr 身份認證協議需要一個可信中心 TA。n TA為協議選擇以下參數： (1)p 及及 q 是兩個大素數，且是兩個大素數，且 q|(p-1);的生成元。）為，階元（如可取為pqppggqZZ)2(/ )1(* (3)選擇安全參數選擇安全參數t53挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n每個用戶自己選定個人秘鑰s，并計算公鑰v。其中n每位用戶必須到TA 注冊其公開密鑰v。 TA 驗明用戶身份后，對每位用戶指定一識別名I。I中包括用戶的姓名、性別、生日、職業(yè)、 號碼、指紋信息等識別信息。 TA 對(I,v)的簽

23、名為ST(I,v)。n在身份認證過程中，不需要 TA 介入。pvqssmod,1, 1 54挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議n證明者A向驗證者B證明他身份Schnorr 認證協議),(,(1ATAvISvI、AB用用 TA 的數字簽名來的數字簽名來驗證驗證 A 的公開密鑰的公開密鑰pZr*任選pXrmod2、2, 1 te任選整數3、eqserymod4、pvXeymod. 5驗證55挑戰(zhàn)挑戰(zhàn)-應答身份鑒別協議應答身份鑒別協議nSchnorr 協議的平安的根底是離散對數計算困難性。n從v求s就是求離散對數，在計算上是不可行的。nr 和s都是用戶的秘密，假冒者 Eve 是無法從 y 中

24、得到用戶的秘密，當然也就無法假冒證明者A。pvqssmod,1, 1 56身份鑒別與數字簽名身份鑒別與數字簽名n身份識別方案可轉換為數字簽名方案n數字簽名：n包含可變的消息摘要n通常提供不可抵賴性，以允許事后法官來解決爭端n簽署的消息通常是可公開驗證的n身份識別：n消息的語義根本固定在當前時刻及時地聲稱身份n聲稱可以立即確證或拒絕，從而實時保證或解除相關的特權或訪問n僅通信雙方可以驗證對方身份57轉換為簽名方案轉換為簽名方案n利用H(x|m)代替驗證者的隨機挑戰(zhàn)enx：證據nm：要簽署的消息nH：hash函數n挑戰(zhàn)e的比特大小要足夠大，以排除對雜湊函數的離線攻擊58對身份識別協議的攻擊和對策對身份識別協議的攻擊和對策n假冒impers