第8章 身份鉴别技术

B等待T返回 Ek(rB，rA )
用户B
保证消息的实时性的基本方法
1、时间戳：A接受一个新消息仅当该消息包含一个时 间戳，该时间戳在A看来，是足够接近A所知道的当前 时间；这种方法要求不同参与者之间的时钟需要同步。 2、质询/响应方式（Challenge/Response）：A期望从B 获得一个新消息，首先发给B一个随机质询值 (Challenge)，并要求后续从B收到的消息（Response） 包含正确的这个质询值（或其函数）。
MD5在线破解：http://www.cmd5.com http://www.md5.com.cn/
MD5加密
MD5破解
引入加扰机制
用户A
IDA，PWA 服务器
IDA IDB h(PWA||saltA) h(PWB||saltB)
…
IDA IDB
…
saltA saltB
…
…
攻击者在事先进行计算各种长度的字符组 成的口令的消息摘要时，由于每个用户的salt不 同，攻击者必须把各种口令和salt进行组合进行 散列运算，使得攻击者得到字典的难度增加。
典型身份鉴别协议的基本过程： （1） 注册
（2）登录
（3）鉴别
（4）口令修改
（5）注销（选）
3. 常用身份鉴别技术 • 静态口令鉴别 (PAP; Password Authentication Protocol) • 一次性口令鉴别 (OTP: One time Password ) • 双因子身份鉴别（如基于智能卡） • 生物特征鉴别
时间戳方法局限： 由于变化的和不可预见的网络延迟的本性，不能 期望分布式时钟保持精确的同步。 因此，任何基于时间戳的过程必须采用时间窗的方 式来处理：一方面时间窗应足够大以包容网络延迟， 另一方面时间窗应足够小以最大限度地减小遭受攻击 的机会。安全的时间服务器用以实现时钟同步可能是 最好的方法。 质询/响应方式局限 不适应非连接性的应用，因为它要求在传输开始 之前先有握手的额外开销，这就抵消了无连接通信的 主要特点。
Baidu Nhomakorabea
4) 基于质询/应答机制的动态口令
IDA f(PWA||x) IDB f(PWB||x)
IDA, PWA 智能卡
客户端
… …
服务器
用户注册阶段(x为服务器秘密信息)
基于质询/应答机制的动态口令
智能卡
IDA f (PWA||x)
PWA
f g x 随机数r
PWA’ IDA r
g
PWA’
比较
接受 拒绝
弱 身 份 鉴 别 机 制
3.1 口令鉴别机制
（1）静态口令鉴别 (PAP; Password Authentication Protocol)

目前常用的身份鉴别机制大都是基于静态口令的，属于最简 单、传统的鉴别方法。 该类系统为每个用户维护一个二元组信息(用户ID、口令)， 登录系统时用户输入自己的ID和口令，鉴别服务器根据用户 输入的信息和自己维护的信息进行匹配来判断用户身份的合 法性。 用户A IDA, PWA 服务器 IDA IDB … PWA PWB …
PWA’
比较
接受 拒绝
IDA 客户端 PWA’=g( f (PWA||x)||T)
服务器
1) 攻击者只知道用户的口令而没有用户的 智能卡，则不能通过服务器的鉴别； 2）攻击者只拥有用户的智能卡而不知道用 户的口令，则不能通过服务器的鉴别； 3）如果攻击者不能服务器进行时间同步， 则攻击者不能通过服务器的鉴别。
鉴别就是可信地确认实体是它所声明的。
1. 身份鉴别的概念
为了保护网络资源及落实安全政策。需要提供可追究责任的 机制，这里涉及到三个概念：认证、授权及审计。 （1）鉴别Authentication：在做任何动作之前必须要有方法 来识别动作执行者的真实身份。鉴别又称为认证。身份认证主 要是通过标识和鉴别用户的身份，防止攻击者假冒合法用户获 取访问权限。 （2）授权Authorization：授权是指当用户身份被确认合法 后，赋予该用户进行文件和数据等操作的权限。这种权限包括 读、写、执行及从属权等。 （3）审计Auditing：每一个人都应该为自己所做的操作负责， 所以在做完事情之后都要留下记录，以便核查责任。 身份认证往往是许多应用系统中安全保护的第一道设防， 它的失败可能导致整个系统的失败。
课程主要内容




第 1章 第2章 第 3章 第 4章 第 5章 第 6章 第7章 第 8章 第 9章 第10章
密码学概述 古典密码技术 分组密码 公钥密码体制 散列函数与消息鉴别 数字签名技术 密钥管理技术 身份鉴别技术 序列密码基础 密码技术应用
1/43
• 问题的提出 身份欺诈问题 • 鉴别需求 某一成员（声称者）提交一 个主体的身份并声 称它是那个主体。 • 鉴别目的 使别的成员（验证者）获得对声称者所声称的 事实的信任。
对身份鉴别系统的主要要求
（1）验证者正确鉴别合法申请者的概率极大化。 （2）不具可传递性（Transferability），验证者B不可能重用申 请者A提供给他的信息来伪装申请者A，而成功地骗取其他人的验 证，从而得到信任。 （3）攻击者伪装申请者欺骗验证者成功的概率要小到可以忽略的 程度，能抗击已知密文攻击，即能对抗攻击者截获到申请者和验 证者的多次通信密文，然后伪装申请者欺骗验证者。 （4）计算有效性，为实现身份鉴别所需的计算量要小。 （5）通信有效性，为实现身份鉴别所需通信次数和数据量要小。 （6）秘密参数能安全存储。 （7）相互鉴别，有些应用中要求双方能互相进行身份鉴别。 （8）第三方的实时参与，如在线公钥检索服务。 （9）第三方的可信赖性。 （10）可证明安全性。
引入单向加密机制
用户A
IDA，PWA
服务器·
IDA h(PWA) IDB h(PWB)
…
….
安全性分析： 攻击者可事先计算好各种长度的字符串的消息摘要， 并将其存放再文件（称为字典）中，一但攻击者的得到 了存在服务器中的口令文件，直接和字典中的值相匹配， 即可知道用户的口令(字典攻击）。
基于单向函数的口令鉴别 13字节口令
3.2 基于智能卡鉴别机制： — 智能卡（Smart card）：是一个带CPU的安全芯片卡 具有自己的操作系统COS，安全加解密算法； —— 一般为接触式的，用户需要读卡器； —— 内置加密口令或数字证书、私钥等，实现身份认证 —— 缺点：费用高，需要读卡器。
工行U盾使用USB卡物理介质的证书认证方式。它内置微型智 能卡处理器，采用1024位非对称密钥算法对网上数据进行数字签 名。银行用数字证书验证客户的身份，确保客户为银行真正的客 户，防止其他客户非法使用。 U盾具有不可复制性，仅由客户自己保管和使用，因此用了客 户U盾以后，即便是有假网站、病毒感染、黑客入侵，不慎泄露 银行卡和其他资料，只要物理U盾不丢失，PIN码不泄漏，仍然能 确保资金从网上银行不会盗取。
方案示意1
假定用户A、B已安全共享对称密钥k
①{ IDA， IDB， rA } 用户A 用户B
② { rB，Ek(rA) }
T怎么构造 出Ek(rB) ？
③ {Ek(rB )}
B等待D返回 Ek(rB)
对手T ① { IDA，IDB， rT } 用户B ② {rB， Ek(rT) } ① { IDA，IDB， rB } ② {rB2， Ek(rB) }
20世纪70年代UNIX操作系统采取的UNIX crypt口令算法是一种口令加盐的方法。
循环25次
I=0(64bit)
DES
交换 i与24+i
13byte的字符串
存放在 /etc/passwd文件 的PASSWORD域。
K=用户口令的 前8个ASCII字符
随机选取12bit为salt（作扰乱因子）
一次性口令有许多形式：
1) 共享一次性口令表 (口令序列)
IDA PW1
IDA IDA
IDA,PW1
…
PW1 PW2
…
IDA PW2
… …
客户端
服务器
口令卡
2）基于令牌的鉴别机制
给授权用户分配一个认证设备。通常称为“令牌”， 它产生一登录时必须使用的代码。其原理是时间同步的动 态口令。 实现方法： — 通过种子值和当前时间，采用伪随机算法产生令牌码； — 安全(令牌服务器）通过基于其记录中的种子值，产生 它自己的一个当前有效代码。然后与用户提交的代码 相比较，达到对用户认证的目的； — 缺点是算法不被信息系统使用者所知，存在安全风险， 维护成本高。
3) 基于时间同步的动态口令 以用户登录时间作为随机因素；这种方式 对双方的时间准确度要求较高。
IDA IDB f (PWA, x) f (PWB, x)
用户A IDA,PWA 智能卡
服务器
…
…
用户注册阶段 (x为服务器秘密信息，可存储在智能卡中)
基于时间同步的动态口令
智能卡 PWA
T’ －T≤△T IDA f (PWA||x) f g T x PWA’ IDA T T g
U
服务器计算并验证等式，h(OTP)?=hN(PWA) 若通过验证，则服务器用OTP替换用户鉴别信息, N=N－1 直到N=1，显然用户注册一次可以登录N－1次。 问题：此方法如何体现OTP？它是如何保证鉴别的安全性的？
安全性分析： 1) 重放攻击：由于用户每次登录的口令不 同， 因此攻击者把上一次的口令传送给 服务器将通不过服务器的认证。 2）口令以密文传输：口令散列后在通信信 道中传输，因此攻击者截获口令的散列值 后要计算用户的口令是困难的。
2.身份鉴别的基本方法
所知 （Knowledge）
(按照证据特点)
所有 （Possesses）
唯一特征 （charecteristics）
• 验证实体所知什么，如一个秘密的口令或通行字。 • 验证实体拥有什么，如信物、通行证、智能I C卡。 • 验证实体不可改变的特性，如指纹、声音等生物学 测定得来的标识特征。 其它，如： Something you know • 相信可靠的第三方建立的鉴别（递推）。 Something you have • 基于环境（如主机 Something you are IP地址）。
IDA
客户端
服务器
PWA’ = g( f (PWA||x)||r)
一个基于OTP的用户鉴别方案（S-key方案）
用户鉴别过程三阶段：注册、登录、鉴别。
用户鉴别信息表
IDA （请求登录）
IDA
hN(PWA) N hN(PWB) N
N（ ≠ 1 ）
IDA, OTP=hN－1(PWA)
IDB
…… 服务器
（基于当前时间）
（2）一次性口令鉴别机制 （One Time Password）
一次性口令的主要思路是: 在登录过程中加入不确定因素，使每次登录传送的鉴别 信息都不相同，以提高登录过程安全性。 • 一次性口令机制确保在每次认证中所使用的口令不同，以 对付重放攻击。 • 确定口令的方法 （1）两端共同拥有一串随机口令，在该串的某一位置保 持同步； （2）两端共同使用一个随机序列生成器，在该序列生成 器的初态保持同步； （3）使用时戳，两端维持同步的时钟。
③ {Ek(rB )}
方案示意2
用户A
假定用户A、B已安全共享对称密钥k
① { IDA，IDB， rA } ② { Ek(rA，rB) } ③ { rB’ } 用户B
特点：B的质问信息是密文！ T怎么构造出 Ek(rB，rA ) ？
对手T ① { IDB，IDA， rB } ①{ IDA ，IDB ，rB } ②{ Ek(rB，rB2 ) } ② { Ek(rB，rB2 ) } ③ { rB2’ }
身份鉴别的相关实体 （1）申请者（Claimant），出示身份信息的实体，又 称作示证者（Prover），提出某种认证请求；
（2）验证者（Verifier），检验申请者提供的认证信 息的正确性和合法性，决定是否满足其认证要求；
（3）攻击者，可以窃听和伪装申请者，骗取验证者 的信任。 （4）鉴别系统在必要时会有第三方，即可信赖者（ 可信第三方）参与仲裁。
针对身份鉴别的主要威胁和攻击手段
主要威胁：假冒、伪造等。 典型攻击手段 信道截获：由于认证信息要通过网络传递，并且很多认证 系统的口令是未经加密的明文，攻击者通过窃听网络数据， 就很容易分辨出某种特定系统的认证数据，并提取出用户 名和口令，或者其它有关的鉴别信息。 口令猜测： 重放：非授权用户截获信息，然后再传送给接收者。 修改或伪造：非授权用户截获信息，替换或修改信息后再 传送给接收者，或者非授权用户冒充合法用户发送信息。 其它：如反送攻击、交错攻击和选择性攻击等。