第五章 身 份 認(rèn) 證

第５章身份認(rèn)證1

身份認(rèn)證的基本概念1雙向身份認(rèn)證協(xié)議２單向身份認(rèn)證協(xié)議３

零知識身份認(rèn)證４

身份認(rèn)證的實(shí)現(xiàn)與運(yùn)用５23

目前，計(jì)算機(jī)系統(tǒng)采取的身份認(rèn)證方法有很多，比如口令認(rèn)證、智能卡認(rèn)證、基于生物特征的認(rèn)證、基于源地址的認(rèn)證、數(shù)字證書和安全協(xié)議等。一個成熟的身份認(rèn)證系統(tǒng)應(yīng)該具有以下特征：

驗(yàn)證者正確識別對方的概率極大。攻擊者偽裝以騙取信任的成功率極小。能夠抵抗重放攻擊、高效、可證明安全性、沒有密鑰托管問題41．口令的認(rèn)證

基于口令的認(rèn)證是指系統(tǒng)通過用戶輸入的用戶名和密碼來確立用戶身份的一種機(jī)制?；诳诹畹纳矸菡J(rèn)證是最常見的也是最簡單的一種身份認(rèn)證機(jī)制2．智能卡認(rèn)證

比口令認(rèn)證方式稍微安全的認(rèn)證方式是智能卡認(rèn)證。智能卡（SmartCard）是當(dāng)今信用卡領(lǐng)域的新產(chǎn)品。所謂智能卡，實(shí)際上就是在信用卡上安裝一個微型電腦芯片，這個芯片包含了持卡人的各種信息53．基于生物特征的認(rèn)證近年來，基于生物特征的認(rèn)證發(fā)展非常迅速。在很多企業(yè)、學(xué)校已經(jīng)在使用基于生物特征的設(shè)備來負(fù)責(zé)考勤和安全。4．雙因素認(rèn)證

因素認(rèn)證是對傳統(tǒng)的靜態(tài)口令機(jī)制的改進(jìn)，并得到了專家和用戶的認(rèn)可，而且已有許多成功案例。什么是雙因素認(rèn)證呢？初期管理員會給每個密碼使用者分派一個動態(tài)口令卡，只有你在同時擁有這個動態(tài)口令卡與解開這個動態(tài)口令卡的密碼才能生成一個一次性的動態(tài)密碼讓用戶登陸各種應(yīng)用系統(tǒng)。

65．源地址認(rèn)證

基于源地址的認(rèn)證實(shí)現(xiàn)最簡單，但安全性也最差。6．基于PAP協(xié)議(PasswordAuthenticationProtocol)

用于點(diǎn)對點(diǎn)（Point-PointProtocol，PPP）協(xié)議的身份認(rèn)證協(xié)議，例如通過ADSL撥號上網(wǎng)時進(jìn)行的身份認(rèn)證就是基于PAP協(xié)議的。7．基于CHAP協(xié)議(ChallengeHandshakeAuthenticationProtocol)

大多數(shù)身份認(rèn)證協(xié)議都屬于CHAP協(xié)議。這種協(xié)議不在網(wǎng)絡(luò)上傳送任何口令信息。7消息認(rèn)證、數(shù)字簽名和身份認(rèn)證一同構(gòu)成了整個鑒別系統(tǒng)。消息認(rèn)證是對消息本身的鑒別，數(shù)字簽名和身份認(rèn)證是對發(fā)送消息的實(shí)體的鑒別。數(shù)字簽名也具有身份認(rèn)證的功能，但是，身份認(rèn)證同數(shù)字簽名也有一些區(qū)別：891.Needham－Schroeder協(xié)議Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})可信第三方在認(rèn)證協(xié)議中也叫做認(rèn)證服務(wù)器10消息重放攻擊消息重放攻擊是指攻擊者利用其消息再生能力生成誠實(shí)用戶所期望的消息格式，并重新發(fā)送，從而達(dá)到破壞協(xié)議安全性的目的。消息重放的實(shí)質(zhì)是消息的新鮮性（Freshness）不能得到保證。消息重放攻擊是安全協(xié)議中最容易出現(xiàn)的問題之一。11消息重放攻擊Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder協(xié)議攻擊者如果獲知以前的一個工作密鑰，可以重放消息EB（K，A）問題：如何攻擊該協(xié)議？12中間人攻擊攻擊者M(jìn)alice將自己偽裝于用戶Alice和Bob之間進(jìn)行通信。許銀川胡榮華Littlegirl我可以戰(zhàn)勝胡榮華?。∨诙轿迮诙轿羼R八進(jìn)七馬八進(jìn)七13中間人攻擊Example2:Diffie－Hellman密鑰協(xié)商協(xié)議協(xié)議目的：Alice和Bob利用公鑰體制建立一個新的共享密鑰Kab協(xié)議組成：2條消息組成A：計(jì)算Kab=gxyB：計(jì)算Kab=gxyDiffie-Hellman密鑰協(xié)商協(xié)議的理論依據(jù)的離散對數(shù)困難性問題。14中間人攻擊許銀川（A）胡榮華(M)Littlegirl（B）攻擊結(jié)果：M擁有A和B的密鑰，而A和B并不知道。15中間人攻擊Example3:一次性口令協(xié)議（S/Key）協(xié)議目的：用戶通過口令向服務(wù)器認(rèn)證，但口令不會重復(fù)。（口令認(rèn)證協(xié)議）熟悉口令認(rèn)證協(xié)議嗎?16口令認(rèn)證協(xié)議

－明文形式存放的口令表IDOK？用戶輸入ID查找與該ID對應(yīng)的PW身份標(biāo)識注冊口令I(lǐng)D1PW1ID2PW2ID3PW3........IDnPWn相同？拒絕N拒絕NY接受Y明文形式存放的口令表用戶輸入PWPW‘IDPW17口令認(rèn)證協(xié)議

－基于單向hash函數(shù)的口令表IDOK？用戶輸入ID拒絕查找與該ID對應(yīng)的H(PW)身份標(biāo)識注冊口令I(lǐng)D1H(PW1)ID2H(PW2)ID3H(PW3)........IDnH(PWn)相同？接受拒絕NNYY用戶輸入PWHash值形式存放的口令表用預(yù)定的Hash函數(shù)計(jì)算H(PW‘)H(PW)ID18口令認(rèn)證協(xié)議

－基于單向hash函數(shù)和“鹽”的口令表IDOK？用戶輸入ID拒絕查找與該ID對應(yīng)的H(PW)身份標(biāo)識注冊口令鹽ID1····H(PW1+R1)R1ID2H(PW2+R2)R2ID3H(PW3+R3)R3...........IDnH(PWn+Rn)Rn相同？接受拒絕NNYY用戶輸入PW“加鹽”Hash值形式存放的口令表用預(yù)定的Hash函數(shù)計(jì)算H(PW‘+R)H(PW+R)IDR19中間人攻擊一次性口令機(jī)制確保在每次認(rèn)證中所使用的口令不同，以對付重放攻擊。確定口令的方法：（1）兩端共同擁有一串隨機(jī)口令，在該串的某一位置保持同步；（2）兩端共同使用一個隨機(jī)序列生成器，在該序列生成器的初態(tài)保持同步；（3）使用時戳，兩端維持同步的時鐘。S/Key（Simplekey):一次性口令系統(tǒng)20中間人攻擊其安全性依賴于一個單向函數(shù)。為建立這樣的系統(tǒng)A輸入一隨機(jī)數(shù)Pu，計(jì)算機(jī)計(jì)算f（Pu）,f（f（Pu）），f（f（f（Pu））），…,共計(jì)算n次，計(jì)算得到的數(shù)為x1,x2,x3,…xn，A打印出這樣的表，隨身攜帶，計(jì)算機(jī)將xn存在A的名字旁邊。第一次登錄，鍵入xn-1，通過hash函數(shù)計(jì)算xn，并與存儲的xn比較，相同則認(rèn)證通過；否則認(rèn)真失敗。以后依次鍵入xi，計(jì)算機(jī)計(jì)算f(xi)，并將它與xi+1比較。S/Key（Simplekey):一次性口令系統(tǒng)21中間人攻擊Example3:一次性口令協(xié)議（S/Key）身份標(biāo)識fc(Pu)c值ID1····f(P1)R1ID2f(P2)R2ID3f(P3)R3...........IDnf(Pn)Rn協(xié)議目的：用戶通過口令向服務(wù)器認(rèn)證，但口令不會重復(fù),從而有效防御口令在線猜測攻擊。（口令認(rèn)證協(xié)議）協(xié)議組成：口令存儲表＋3條消息組成口令存儲表22中間人攻擊許銀川（A）Littlegirl（B）Example3:一次性口令協(xié)議（S/Key）討論：（1）盡管S/Key中口令明文傳送，但是可以抵抗口令的在線竊聽攻擊（2）S/Key協(xié)議是否安全？問題：口令明文傳送是否有問題？考慮：協(xié)議是雙向認(rèn)證還是單向認(rèn)證？單向認(rèn)證中，Alice為什么要相信計(jì)數(shù)器值c是Bob發(fā)送的？23中間人攻擊許銀川（A）Littlegirl（B）Example3:一次性口令協(xié)議（S/Key）的中間人攻擊攻擊結(jié)果：攻擊者M(jìn)alice獲得了fc-2,下一次他就可以用用戶的ID登錄了。胡榮華(M)24中間人攻擊Example4:Needham－Schroeder公鑰認(rèn)證協(xié)議協(xié)議目的：Alice和Bob利用公鑰體制建立一個新的共享秘密Na，Nb，并實(shí)現(xiàn)認(rèn)證協(xié)議組成：7條消息組成討論：消息1，2，4，5是獲得公鑰，3，6，7是A和B相互認(rèn)證。如果假設(shè)公鑰已知，協(xié)議可以簡化：25中間人攻擊許銀川（A）胡榮華(M)Littlegirl（B）攻擊結(jié)果：B認(rèn)為她和A建立了共享秘密，而實(shí)際上她和M建立了共享秘密。上述攻擊可以成功的原因之一：在消息（3）中，A無意之間為M解了B的Nonce（Nb）。主體無意地為攻擊者執(zhí)行了一個密碼運(yùn)算時，該主體被認(rèn)為用作了預(yù)言機(jī)。26預(yù)言機(jī)（Oracle）攻擊主體無意地為攻擊者執(zhí)行了一個密碼運(yùn)算時，該主體被認(rèn)為用作了預(yù)言機(jī)（或稱該主體提供了預(yù)言服務(wù)）。如果存在主體可以提供預(yù)言服務(wù)，該主體可能被誘導(dǎo)執(zhí)行某個協(xié)議的一些步驟，從而幫助攻擊者得到一些他原本無法得到的信息。27交錯攻擊許銀川（A）胡榮華(M)Littlegirl（B）成功的原因之二：M利用了該協(xié)議的多個運(yùn)行實(shí)例，從而將不同協(xié)議的消息交織在一起（如（1‘）、（2’）和消息（2））。攻擊者將某個協(xié)議的兩個或者多個運(yùn)行實(shí)例安排為以交織的方法執(zhí)行，從而使得攻擊這獲得不應(yīng)當(dāng)獲得的信息，這種攻擊叫做交錯攻擊。協(xié)議1協(xié)議228交錯攻擊攻擊者將某個協(xié)議的兩個或者多個運(yùn)行實(shí)例安排為以交織的方法執(zhí)行。結(jié)果是：（1）攻擊者可以合成某條消息，并發(fā)送給某個運(yùn)行中的主體，期望收到該主體的一個應(yīng)答；（2）而該應(yīng)答可能對于另外某個運(yùn)行中的另外一個主體是有用的；（3）在接下來的運(yùn)行中，從前面運(yùn)行中得到的應(yīng)答可能促使后面的主體對某個問題作出應(yīng)答，而該應(yīng)答又恰好能運(yùn)用于第一個運(yùn)行。29交錯攻擊Example5:ISO三次傳輸雙向認(rèn)證協(xié)議協(xié)議目的：Alice和Bob利用公鑰體制實(shí)現(xiàn)雙向認(rèn)證協(xié)議組成：3條消息組成Alice(A)Bob(B)30交錯攻擊Example5:ISO三次傳輸雙向認(rèn)證協(xié)議的Wiener攻擊（加拿大人攻擊）攻擊協(xié)議的關(guān)鍵：第三條消息在上述消息中，A信任B的條件是：A能用B的公鑰解密消息得到Na，并與自己發(fā)送的Na相比較。如果相同則信任；否則不信任。對于Nb，只要求明文和解密結(jié)果中所得到的值相同即可。攻擊者M(jìn)無法回答第三條消息（沒有B的私鑰）攻擊者M(jìn)向B發(fā)起一次通信（得到B用私鑰簽名的消息）31交錯攻擊Alice(A)Bob(B)Example5:ISO三次傳輸雙向認(rèn)證協(xié)議的Wiener攻擊（加拿大人攻擊）Mallory通過與B通信，得到所期望的應(yīng)答消息攻擊結(jié)果：A認(rèn)為B發(fā)起了一次協(xié)議通信，并接受了該B的身份；而B實(shí)際上沒有發(fā)起協(xié)議，而且在等待由M（A）發(fā)起的運(yùn)行。32交錯攻擊Example6:工作站－工作站協(xié)議（STS）協(xié)議目的：Alice和Bob利用公鑰體制實(shí)現(xiàn)密鑰協(xié)商（同時，該協(xié)議還實(shí)現(xiàn)了雙向?qū)嶓w認(rèn)證、雙向密鑰確認(rèn)、完善前向保密性和不可否認(rèn)性）協(xié)議組成：3條消息組成Alice(A)Bob(B)33交錯攻擊Example6:工作站－工作站協(xié)議（STS）存在一個小小的瑕疵Alice(A)Malice(M)Bob(B)攻擊結(jié)果：Alice被完全欺騙，她認(rèn)為和Bob進(jìn)行了一次會話，并共享了某個會話密鑰，而Bob認(rèn)為和Malice運(yùn)行了一次不完全的協(xié)議。隨后，Alice試圖與Bob進(jìn)行安全通信，但是不會得到任何回應(yīng)。攻擊者M(jìn)alice沒有得到會話密鑰，因此這種攻擊只是很小的一個瑕疵。34交錯攻擊Example6:工作站－工作站協(xié)議（STS）存在一個小小的瑕疵Alice(A)Malice(M)Bob(B)不安全運(yùn)行協(xié)議：如果協(xié)議實(shí)體的某一方（A）接受了對方的身份，但是對方運(yùn)行協(xié)議的記錄與A的記錄不匹配。問題：該攻擊是否屬于協(xié)議攻擊？問題：什么是安全認(rèn)證？上述攻擊屬于攻擊的理由：（1）是不安全運(yùn)行協(xié)議；（2）協(xié)議執(zhí)行后Alice資源被浪費(fèi)（拒絕服務(wù)攻擊）上述攻擊成立的原因：消息缺乏消息主體身份信息！35交錯攻擊Example7:簡化的ISO三次傳輸雙向認(rèn)證協(xié)議協(xié)議目的：實(shí)現(xiàn)站間協(xié)議中的雙向認(rèn)證功能（唯認(rèn)證協(xié)議）。協(xié)議組成：3條消息組成Alice(A)Bob(B)簡化的ISO三次傳輸雙向認(rèn)證協(xié)議與ISO三次傳輸雙向協(xié)議的區(qū)別：前者沒有包括通信實(shí)體的身份。36交錯攻擊Alice(A)Malice(M)Bob(B)攻擊結(jié)果：Bob認(rèn)為他和Alice進(jìn)行了一次對話（實(shí)際上和與Malice進(jìn)行了一次對話）；而Alice認(rèn)為她只是與Malice進(jìn)行了一次對話；B被Malice欺騙。Example7:唯認(rèn)證協(xié)議的“替換證書簽名攻擊”該攻擊對未簡化的站間協(xié)議并不適用，因?yàn)榧用苁沟米C書替換不可能。37平行會話攻擊定義：在攻擊者M(jìn)alice的安排下，一個協(xié)議的兩個或者多個的運(yùn)行并發(fā)執(zhí)行。目的：平行會話使得從一個運(yùn)行可以得到另外一個運(yùn)行中困難性問題的答案。38平行會話攻擊Example8:Woo－Lam單向認(rèn)證協(xié)議協(xié)議目的：在存在可信第三方的條件下，即使Alice和Bob開始互相不相識，但是Alice仍然能夠向Bob證明自己(單向認(rèn)證）。協(xié)議組成：5條消息如果Bob解密所得到的正確的nonce，則信任AliceT.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.39平行會話攻擊Example8:Woo－Lam單向認(rèn)證協(xié)議Alice(A)Trent(T)Bob(B)該協(xié)議在許多方面存在致命缺陷。隨后的許多修改版本也存在不同程度的缺陷。分析該協(xié)議可以從中學(xué)到很多協(xié)議設(shè)計(jì)的經(jīng)驗(yàn)和教訓(xùn)。40平行會話攻擊Example8:Woo－Lam協(xié)議的平行會話攻擊Alice(A)Trent(T)Bob(B)Malice(M)結(jié)果：Bob拒絕和Malice的通信，而接受和Alice（實(shí)際上也是Malice）的通信。拒絕認(rèn)可41平行會話攻擊Woo－Lam單向認(rèn)證協(xié)議的平行會話攻擊Alice(A)Trent(T)Bob(B)Malice(M)平行會話攻擊成功原因：消息參與者身份不明確。42反射攻擊定義：當(dāng)一個誠實(shí)的主體給某個意定的通信方發(fā)送消息時，攻擊者M(jìn)alice截獲該消息，并將該消息返回給消息的發(fā)送者。注：攻擊者返回消息時，不一定是“原封不動”返回，他可能會對消息修改（比如通過修改底層通信協(xié)議中的地址和身份信息），使得消息發(fā)送者意識不到該消息是反射回來的。反射消息的目的是，使得該消息是對發(fā)送者的應(yīng)答或者詢問，從而欺騙消息發(fā)送者提供“預(yù)言服務(wù)”43反射攻擊反射攻擊實(shí)現(xiàn)方式實(shí)例IP頭其他域IP源地址IP目的地址其他域IP頭其他域202.115.2.1211.2.1.1其他域IP頭其他域211.2.1.1202.115.2.1其他域44反射攻擊Example9:Woo－Lam單向認(rèn)證協(xié)議的一個修正協(xié)議目的：在存在可信第三方的條件下，即使Alice和Bob開始互相不相識，但是Alice仍然能夠向Bob證明自己。協(xié)議組成：5條消息在消息中加入了Alice的身份標(biāo)識。45反射攻擊Alice(A)Trent(T)Bob(B)Example9:Woo－Lam單向認(rèn)證協(xié)議的一個修正修正協(xié)議可以防范平行會話攻擊。因?yàn)镸alice發(fā)送的第五條消息是：而Bob期望的消息是：但是，該修正版本存在反射攻擊46反射攻擊Alice(A)Trent(T)Bob(B)Malice(M)Bob收到消息5后，解密后的Nb確實(shí)是他在消息2中所發(fā)送的，因此只能相信是來自于Alice的會話。Example9:Woo－Lam協(xié)議的一個修正版本的反射攻擊消息3是消息2的反射。Bob收到后只能視作密文而不能作其他操作。消息5是消息4的反射。47Woo－Lam協(xié)議有關(guān)Woo－Lam協(xié)議、修正及攻擊的有關(guān)信息參見文獻(xiàn)T.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.ClarkJ,JacobJ.Asurveyofauthenticationprotocolliterature:Version1.0.199748Woo－Lam協(xié)議有關(guān)Woo－Lam協(xié)議、修正及攻擊的有關(guān)信息參見文獻(xiàn)T.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.ClarkJ,JacobJ.Asurveyofauthenticationprotocolliterature:Version1.0.199749505152補(bǔ)充Kerberos協(xié)議53簡介Kerberos:partofProjectAthenaatMITGreekKerberos:希臘神話故事中一種三個頭的狗，還有一個蛇形尾巴。是地獄之門的守衛(wèi)。ModernKerberos:意指有三個組成部分的網(wǎng)絡(luò)之門的保衛(wèi)者?！叭^”包括：鑒別(authentication)簿記(accounting)審計(jì)(audit)54

80年代中期是MIT的Athena工程的產(chǎn)物版本前三個版本僅用于內(nèi)部第四版得到了廣泛的應(yīng)用第五版于1989年開始設(shè)計(jì)RFC1510,1993年確定標(biāo)準(zhǔn)KerberosKerberos歷史55

Kerberos協(xié)議中一些概念Principal(主體)被鑒別的個體，有一個名字(name)和口令(password)KDC(Keydistributioncenter)是一個網(wǎng)絡(luò)服務(wù)，提供ticket和臨時的會話密鑰Ticket（票據(jù)）一個記錄，客戶可以用它來向服務(wù)器證明自己的身份，其中包括客戶的標(biāo)識、會話密鑰、時間戳，以及其他一些信息。Ticket中的大多數(shù)信息都被加密，密鑰為服務(wù)器的密鑰Authenticator（認(rèn)證令牌）一個記錄，其中包含一些最近產(chǎn)生的信息，產(chǎn)生這些信息需要用到客戶和服務(wù)器之間共享的會話密鑰Credentials一個ticket加上一個秘密的會話密鑰56一個簡單的鑒別對話引入鑒別服務(wù)器(AS)，它知道所有用戶的口令并將它們存儲在一個中央數(shù)據(jù)庫中。AS與每一個服務(wù)器共有一個唯一的保密密鑰。這些密鑰已經(jīng)物理上或以更安全的手段分發(fā)?？紤]以下假定的對話：(1)CAS:IDC||PC||IDV(2)ASC:Ticket(3)CV:IDC||Ticket其中：C :client AS:AuthenticationServerV:server IDC :identifierofuseronCIDV :identifierofVPC :passwordofuseronCADC :networkaddressofCKV :AS與V共有的保密密鑰CVAS(1)(2)(3)Ticket=EKV[IDC||ADC||IDV]57更安全的鑒別對話兩個主要問題希望用戶輸入口令的次數(shù)最少?？诹钜悦魑膫魉蜁桓`聽。解決辦法ticketreusableticket-grantingserver58改進(jìn)后的假想的對話：Oncep