第四章 身份认证

可信第三方
AP AP
示证者
AP
验证 者
攻击者
身份认证的依据

身份认证是指证实用户的真实身份与其所声称的 身份是否相符的过程。
– – – –
用户所知道的某种信息 Something the user know （口令，密码等） 用户拥有的某种物品 Something the user possesses （身份证，护照，门钥匙，磁卡钥匙） 用户具有的某种特征 Something the user is (or How he behaves) （指纹，声音，视网膜，签名，DNA等）

3.生物识别认证


依据人类自身所固有的生理或行为特征进行识别。 生理特征（characteristics）:人的指纹、声音、笔 迹、手型、脸型、血型、视网膜、虹膜、DNA，以 及个人动作方面的特征； 目前人们研Baidu Nhomakorabea的个人特征主要包括：容貌、肤色、发 质、身材、姿势、手印、指纹、脚印、唇印等。
第四章 身份认证
认证的分类

认证可分为消息认证（也称数据源认证） 和身份认证.
•消息认证：这消息真的是他发出来的吗？是不是 假冒的？有没有被篡改过？ •身份的认证：和我通话/信的这个人真的是他吗？ 是不是假冒的？是不是录音重放？
身份认证

身份认证的定义：
– –
声称者向验证者出示自己的身份的证明过程 证实客户的真实身份与其所声称的身份是否 相符的过程
S/KEY 服务器
7. 传送口令 6. 产生本次口令 口令计算器
总结
设计认证协议时应注意的问题
1.有可能线路被窃听
2.有可能受到重放攻击
3.可能有口令文件被盗的危险
4.可能有恶意的管理员企图假冒
5.可能遭受中间人攻击
身份的零知识证明


通常的身份认证都要求传输口令或身份信息 (尽管是加密传输)。如果不传输这些信息，身 份也能得到证明就好了，这就需要零知识证明 技术(The proof of zero knowledge) 。 零知识证明是这样一种技术，被认证方P掌握 某些秘密信息，P想设法让认证方V相信他确 实掌握那些信息，但又不想让V也知道那些信 息

身份认证又叫身份鉴别、实体认证、身份识别 认证目的：
使别的成员（验证者）获得对声称者所声称 的事实的信任。身份认证是获得系统服务所必 须的第一道关卡。
身份认证的过程



认证的一般过程是，通信的一方声明他的身份， 而另一方对他的声明进行验证。确认身份后， 进行相应的服务。 认证可以是单向的，也可以是双向的。 所谓单向，即通信中只有一方向另一方进行认 证。 所谓双向，即通信中双方互相进行认证。
(4)提问/应答技术



用户登录系统时系统随机提示一条信息，用户 根据这一信息连同其个人化数据(种子密钥)共 同产生一个口令字。 它的基本特点是认证过程不传递任何秘密，而 是代以交换具有随机特征的数据来实现问答， 使攻击者无从下手。 避免静态密码潜在的不安全因素
2．持证认证
持证认证是利用授权用户所持有物进行访问控制的认 证技术.如,身份证、信用卡等。 IC卡可简单地分为三种类型： 集成电路的类别,存储卡、逻辑加密卡、CPU卡。 通信的方式，可以分为接触型、 非接触型和混合型三类。
服务器端存储加密的口令
示证者 验证者
ID
口令p ID
q
比较
p’ ID
f
数据库中存放的是加密的口令
口令经MD5算 法加密后的密文
同样，由于未保护的口令在网络上传输，上 述方案容易受到线路窃听的攻击。所以，我们 应该综合前两个方案的优点。
同时对抗线路窃听和危及验证者攻击
示证者 验证者
口令p
f
p’ ID
身份认证的常见方法
– –
–
– – –
口令机制、 一次性口令机制、 质询—应答机制、 基于地址的机制、 基于个人特征的机制 个人鉴别令牌。
认证技术的发展
基于地址的信任机制
基于口令的信任机制
口令结合物理或生物 特征的信任机制
基于地址的认证机制



基于地址的机制假定声称者的可鉴别性是以呼 叫的源地址为基础的。 在大多数的数据网络中，呼叫地址的辨别都是 可行的 这种机制最大的困难是在一个临时的环境里维 持一个连续的主机和网络地址的联系。地址的 转换频繁、呼叫—转发或重定向引起了一些主 要问题。 基于地址的机制自身不能被作为鉴别机制，但 可作为其它机制的有用补充。
(1) A将G进行随机置换，对其顶点进行移动，并改变其 标号得到一个新的有限图 H 。因 G H ，故 G 上的 Hamilton回路与 H上的Hamilton回路一一对应。已知 G上的Hamilton回路易于找出H上的相应回路； (2)A将H的复本给B； (3) B向A提出下述问题之一：(a) 出示证明G和H同构， (b) 出示H上的Hamilton回路； (4) A执行下述任务之一：(a) 证明G和H同构，但不出 示H上的Hamilton回路，(b) 出示H上的Hamilton回路 但不证明G和H同构； (5) A和B重复执行 (1)～(4)共n次。
(5) P按要求实现(以咒语，即解数学难题帮助)； (6) P和V重复执行 (1)～(5)共n次。
若P不知咒语，则在B点，只有50 %的机会猜中V的要求， 协议执行n次，则只有2-n的机会完全猜中，若n=16，则若每 次均通过B的检验，V受骗机会仅为1/65536。
零知识证明的基本协议
哈米尔顿回路
ID
q
比较
h
ID
把口令加密传输可以让攻击者无法知道真 实的口令，可是，这对聪明的攻击者并不造 成麻烦。他只需把监听的消息录制下来，再 重放出去，他就可以冒名顶替受害者，从认 证者处获取服务了，我们称这种形式的攻击 为重放攻击。 上述介绍的所有方案虽然可以应对窃听攻 击，却都不能对付这样的重放攻击。
在前面的基础上增加对抗重放攻击
示证者
n 口令p ID
验证者
ID
p
f
r’
ID n
f
比较
上述方案中的n是一个非重复值，认证方负责 检查n是否以前曾被用过。若用过，则请求被拒 绝。非重复值可用的实现方法有时戳，随机数等。 若用时戳方法的话，则两边要维护时钟的同步。 很明显，时戳的精度越高，抵抗攻击的强度也越 好。若是在局域网上，精确同步还比较容易实现。 但若是延时较长的广域网，要时钟精确的同步就 比较困难了。 若用随机数的话，认证方必须保存以往用过 的所有随机数，避免重复，随着服务次数的增加， 这张表会越来越大。

一次性口令(OTP,One Time Password): 用来对付重放攻击 主要思路：在登录过程中加入不确定因素，使 每次登录过程中传送的口令都不相同，以提高 登录系统的安全性
一次性口令认证机制
4. 输入私钥
1. 用户登录
客户端 5. 私钥与质询 输入计算器
2. 登录请求
3. S/KEY质询

认证是判明和确认交易双方真实身份的重要环 节，是开展电子商务的重要条件。 只有确保双方身份的真实性、数据的完整性和 可靠性及交易的不可抵赖性，才能确保电子商 务安全有序地进行。
身份认证系统模型

一个身份认证系统一般由三方组成，一方是出示证件 的人（示证者），另一方为验证者,第三方是攻击者， 认证系统在必要时也会有第四方，即可信赖者参与， 经常调解纠纷。
（3）零知识证明技术
1. 示证者：Petor； 验证者：Vetor； 被认证方P掌握某些秘密信息，P想设法让 认证方V相信他确实掌握那些信息，但又不想 让V也知道那些信息（如果连V都不知道那些秘 密信息，第三者想盗取那些信息当然就更难 了）。
2. 零知识证明的基本协议
例[Quisquater等1989] 。
最基本的口令认证模型
示证者 验证者 ID 口令 ID 口令 比较
网页上的用户登录－ 基于最基本的口令机制
口令机制：明文口令表
用户输入PW 用户输入ID ID OK？ Y 查找与该ID对应的PW PW‘ 相同？ PW N 拒绝 N 拒绝 ID 身份标识 ID1 ID2 ID3 .... IDn 注册口令 PW1 PW2 PW3 .... PWn
示证者 口令p
验证者 ID
f
p’ ID
p
比较
ID
危及验证者的攻击
对口令系统的另一个潜在威胁是来自内部的 攻击。因为口令通常是存在口令文件或数据库 中。万一口令文件被攻击者打开看到，或是系 统管理员有意冒名用户。这些恶劣的攻击者就 可以为所欲为了。
前面的方案对此威胁都无能为力。因为认 证方都存着用户的密码。所以要设计一种机制， 使得认证方不直接保存用户的密码，又能验证 用户的身分。
身份认证技术

从身份认证过程中与系统的通信次数分:一次认 证、两次认证或多次认证。 从身份认证所应用的系统来分:单机系统身份认 证和网络系统身份认证。 从身份认证的基本原理上来说:静态身份认证和 动态身份认证。 •1．口令认证 •2．持证认证 •3．生物识别认证
认证在电子商务中的重要性

质询－应答机制
客 户
中 间 人
服 务 器
所谓“中间人”的攻击方式，就是“中间人” 冒充真正的服务器接收客户传给服务器的数据， 然后再冒充客户把数据传给真正的服务器。服务 器和客户之间的数据传送被“中间人”一转手做 了手脚之后，就会出现很严重的问题。为了解决 这些问题，人们提出不对称加密的思想。
一次性口令
口令



口令验证简单易行，是目前应用最为广泛的身 份认证方法之一。 口令是双方预先约定的秘密数据，它用来验证 用户知道什么。 一些简单的系统中，用户的口令以口令表的形 式存储。
1.口令认证


（1）口令加密技术: 用单向散列函数对口令进行处理; 再采用加密技术对该散列码进行加密。 认证中心数据库中存储口令的的散列码 口令以散列码的密文传输到认证中心后解密 生成散列码 ，以此来核对身份 . 困难在于加密密钥的交换,涉及密钥分发管理问题. 攻击者仍可以采用离线方式对口令密文实施字典 攻击。
A
B
设Petor知道咒语，可打开C和 D之间的秘密门，不知道者 都将走向死胡同中。
C D 图8-4-1 零知识证明概念图解
协议： (1) Vetor站在A点； (2) Petor进入洞中任一点C或D； (3) 当Petor进洞之后，Vetor走到B点；
(4) V随机叫P：(a)从左边出来，或(b)从右边出来；
Y 接受
明文方式传输口令的缺陷


攻击者可能在传输线路上截获用户口令 利用网络嗅探软件（Sniffer pro）
用单向散列函数对口令进行处理后再传送;
示证者
验证者
口令p
f
p’ ID
ID
p’
比较
ID
其中，f(x) 是单向函数。即计算f(x) 是较为容易 的。而计算其反函数是不可能的。
上述方案的主要缺陷是：p仅是口令的单向函 数，如果把口令和id的连接串一起用单向函数加 密将使口令的密文更难破解
防止重放攻击的实例－要求输验 证码
质询－应答（challenge-response)机制 －防止重放攻击
示证者 验证者 ID 口令p
p
f
ID
n
n
f
r’ ID
比较
上述方案称为询问-应答机制，较好的抵制了 重放攻击。但付出的代价是通信量的提高。若 是简单的应用还不成问题。但不适于用在一些 需要频繁认证的场合，如RPC服务。 另外，它还存在与以前类似的问题，防外 不防内。系统管理员可以很轻松地获得用户的 口令。而且，如果经过中间结点的话，还可能 遭受中间人（MAN-IN-THE-MIDDLE)攻击。
图论中有一个著名问题，对有n个顶点的全连 通图G，若有一条通路可通过且仅通过各顶点 一次，则称其为哈米尔顿回路。Blum[1986] 最早将其用于零知识证明。当 n 大时，要想找 到一条Hamilton回路，用计算机做也要好多 年，它是一种单向函数问题。若A知道一条回 路，如何使B相信他知道，且不告诉他具体回 路？