现代密码学第十讲身份鉴别协议(精)

用户ID是声称的身份 口令是支持声称的证据：固定口令、PIN和通行密钥
②
Challenge-response identification（strong authentication）：通过向验证者展示与证明者 实体有关的秘密知识来证明自己的身份，但在协 议中并没有向验证者泄露秘密本身。
10
口令认证协议
16
口令认证协议
4）PIN (Personal Identification Numbers)：


属于固定(时不变)口令类，作为身份验证的证 据，通常和磁卡(或芯片卡、门卡)等一起使用。 通常很短，如4-8位数字 限制PIN的输入尝试次数 也可与通行码生成器一起使用：映射为通行密 钥（如56 bits的DES密钥），以保证用户和知 道用户口令的系统间的安全通信
12
口令认证协议
3）口令加盐(Salting Passwords) 第一环节：口令字段字符串的生成：s = Agen(Dsalt, Dpw) ① 给口令Dpw撒盐：Dpw = Asalt (Dsalt，Dpw)； ② 用撒盐结果做密钥：K = Dpw； ③ 用一个64位的全0位串构造一个数据块Dp； ④ 设循环次数：i = 0； ⑤ 对数据块加密：Dc = Acrypt(K, Dp)； ⑥ Dp = Dc，i = i + 1； ⑦ 如果i < 25，则回到第⑤步； ⑧ 把数据块变换成字符串：s = Atrans(Dc)； ⑨ 返回s。
13
口令认证协议

第二环节：口令字段信息维护： ① 接收用户提供的口令Dpw； ② 生成一个盐值：Dsalt = Arandom( )； ③ 生成口令信息：s = Agen(Dsalt, Dpw)； ④ 把口令信息s和Dsalt存入数据库的口令 字段中。
14
口令认证协议

第三环节：身份认证过程： ① 接收用户提供的帐户名Dname和口令 Dpw； ② 在帐户信息数据库中检查Dname的合法 性，如果合法，则找出其对应的s和Dsalt； ③ 生成临时口令信息：sr = Agen(Dsalt, Dpw)； ④ 如果sr与s相等，则认证成功，否则，认 证失败。
固定口令 A
PassWord


窃听？
B
IDA,PW
PW
检查口令 和身份
1）存储的口令文件
以明文形式将用户口令存储在系统口令文件中 存储安全？ 口令文件需读保护和写保护 存储口令的单向函数值 口令文件需写保护
11

2）“加密的”口令文件

口令认证协议

服务器端的字典攻击：在这种攻击中，Eve 只对找到口令有兴趣，并不关心用户的ID。 例如，如果口令是六位数， Eve可以创建一 个六位数(000000~999999)的列表，然后对 每一个数使用散列函数，结果就是一个一百 万个散列的列表。她就可以得到口令档案并 搜索条目中的第二列，找出一个与之相匹配 的。这可以被编程并且在Eve的个人计算机 上脱机运行。找到匹配以后，伊夫就可以再 上线，用口令来访问系统。
4

身份鉴别的定义
Bob? or Eve?
Aliຫໍສະໝຸດ Baidue? or Eve?
?
Alice Eve
?
Bob
5
身份鉴别的定义



已知事物：口令、个人识别码(PIN)、挑战 -响应协议中已被证实的秘密或私钥。 已拥有的事物：通常是物理配件。如，磁卡、 智能卡(或IC卡)、口令生成器 固有事物(对某个人)：利用人类物理特征和 无意行为。如，手写签名、指纹、声音、视 网膜模式、手的几何形状等。（非密码学的）
《现代密码学》第十章
身份鉴别协议
1
上章内容回顾



密钥管理简介 密钥分配 密钥协商 PKI及数字证书简介 秘密共享
2
本章主要内容


身份鉴别的定义 口令认证协议 挑战应答协议 对身份识别协议的攻击和对策
3
身份鉴别的定义

身份鉴别：又称为身份识别、实体认证。
它是这样一个过程，即其中一方确信参与协 议的第二方的身份，并确信第二方真正参与 了该过程。 用户的身份识别是许多应用系统的第一道防 线，其目的在于识别用户的合法性，从而阻 止非法用户访问系统。身份识别（认证）对 确保系统和数据的安全保密是极其重要的。

用于实现身份识别的协议。 协议：是一系列步骤，它包括两方和多方， 设计它的目的是要完成一项任务。



协议是从开始到结束的一个序列，每步必须依 次执行 完成协议至少需要两个人 协议的目的是为了做一些事情
8
身份鉴别的定义
分析和评价身份认证协议应考虑如下几个方面： （1）交互性：是单方还是双方的身份认证； （2）计算的有效性；
15
口令认证协议

盐处理使字典攻击更为困难。如果原口令是 六位数，盐是四位数，那么散列处理的结果 就超过十位数。这就意味着伊夫现在要制作 一个有10，000，000个条目的列表，并为 每一个条目创建一个散列。这个散列列表也 有10，000，000个条目，比较这些条目要 花费很长时间。如果盐是一个很长的随机数 字，盐处理是非常有效的。UNIX操作系统 运用的就是这种方法的变种。
（3）通信的有效性；
（4）是否需要第三方的实时参与； （5）对第三方的可信度的要求； （6）安全保证（可证明安全、零知识证明）； （7）用来存储共享秘密数据的地方和方法。
9
身份鉴别的定义
身份鉴别技术分类
①
Passwords（weak authentication）：系统检查 口令是否与系统拥有的相应用户数据相匹配，批 准声明的身份访问资源
6
身份鉴别的定义
身份鉴别的定义： 1、在诚实的情况下，声称者A能向验证者B 证明他确实是A； 2、在声称者A向验证者B声称他的身份后， 验证者B不能获得任何有用的信息，B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份，让B相 信C是A的概率可忽略不计
7
身份鉴别的定义
防止用户 使用弱口令造成危害
17
口令认证协议

在第四种方法中，两种身份验证的技术是结 合在一起的。该类验证的一个很好的例子就 是带有PIN(个人身份号码)的自动取款机卡。 这种卡属于"拥有某事"这一类，PIN属于"知 道某事"这一类。PIN就是一个可以提高卡的 安全性的口令。如果卡丢失了，不知道PIN 的话，也不能使用。然而，PIN的数字通常 是非常短的，这样持卡人才便于记忆。这就 使得它容易受到猜测攻击。