（计算机软件与理论专业论文）基于口令认证的私钥保护研究.pdf

3 ) 4 ) 5 ) 关健字： 能够抵抗拒绝服务攻击和假冒攻击。在协议中引入双向认证和同步机 制，双向认证机制，使本方案可以抵抗假冒攻击。同步机制使本方案 可以抵抗拒绝服务攻击。 提高计算效率，能够适应可移动设备对算法计算效率的要求。本方案 使用轻量级的哈希算法，对用户设备的计算能力要求较低。所以能够 适应计算能力较低的可移动设备的要求。 可证明安全。目前很多私钥保护协议都没有给出安全证明，本论文对 提出的方案的四个安全目标，给出了其中比较重要的两个的安全证 明。 口令认证、私钥保护、可证明安全。 i i r e s e r c h o np r i v a l t ek e yp r o t e c t i o nb a s edo n a b s t r a c t p a s s w o r da u t h e n t i c a t i o n m a j o r ：c o m p u t e rs o f t w a r ea n dt h e o r y n a m e ：y a o m i nw a n g s u p e r v is o r ：l i b i nw a n g w i t ht h ed e v e l o p m e n to fm o b i l ed e v i c et e c h n o l o g i e s ，m o r ea n d m o r ep e o p l eu s e m o b i l ed e v i c e st ot r a n s m i t sa n dp r o c e s si n f o r m a t i o ni nw o r ka n dl e a r n i n g t h e r ea r e m a n ys e c u r ep r o b l e m sh a db e e nd e t e c t e di nt h em o b i l ee n v i r o n m e n t ? t r a d i t i o n a l s e c u r i t ym e c h a n i s m sf o r t h ed e s k t o pc a nn o tg u a r a n t e et h eu s e rs e c u r i t yo ft h em o b i l e e q u i p m e n t ，e s p e c i a l l yt h eu s e r p r i v a t e k e ys e c u r i t y k e yp r o t e c t i o nb a s e do nt h e p a s s w o r da u t h e n t i c a t i o nh a sb e c o m ear e s e a r c hh o t s p o t w ef o c u so na n a l y z ea n d r e s e a r c ht h ep r i v a t ek e yp r o t e c t i o nb a s e do np a s s w o r da u t h e n t i c a t i o n t h em a i nc o n t e n t so ft h i sp a p e ri n c l u d e ：s t u d ya n da n a l y z et h ee x i s t i n gp r i v a t e k e yp r o t e c t i o np r o t o c o l sa n dp a s s w o r da u t h e n t i c a t i o np r o t o c o l s ，a n dp o i n t so u tt h e i r s e c u r i t yp r o b l e m ；p r o p o s eap r i v a t ek e yp r o t e c t i o np r o t o c o lb a s e do np a s s w o r d a u t h e n t i c a t i o nw h i c hi sa p p l i e di nt h ei n n e rn e t ；p r e s e n tt h es e c u r ea n a l y s i sa n ds e c u r e p r o o fo fo u rp r o t o c 0 1 t h em a i nc o n t r i b u t i o n so fo u rp r i v a t ek e yp r o t e c t i o np r o t o c o lo ft h i sp a p e ra r e 1 ) t h i sp r o t o c o lc a nr e s i s tt h es t o l e na t t a c kt ot h eu s e re q u i p m e n t t h eu s e r s p r i v a t ek e yi sd i v i d e di n t ot w op a r t s ，o n ep a r ti ss t o r e di nt h eu s e r se q u i p m e n ta n dt h e i i i o t h e ri ss t o r e di ns e r v e r t h ea t t a c k e rc a nn o tg e tt h ep r i v a t ek e ye v e nh es t o l et h e u s e r sd e v i c e 2 ) t h i sp r o t o c o lc a nr e s i s to f f - l i n ed i c t i o n a r ya t t a c kt ot h eu s e rp a s s w o r d u s e r p a s s w o r di se n c a p s u l a t e di nt h eu s e rt i c k e ta f t e ro p e r a t e db yao n e - w a yh a s hf u n c t i o n t h ea t t a c k e rc a no n l ye n q u i r i e st h eu s e rp a s s w o r do n l i n ea f t e rs t o l et h eu s e r e q u i p m e n t 3 ) t h i sp r o t o c o lc a nr e s i s td o sa t t a c ka n di m p e r s o n a t i o na t t a c k w eu s em u t u a l a u t h e n t i c a t i o na n ds y n c h r o n i z a t i o nm e c h a n i s mt or e s i s ti m p e r s o n a t i o na t t a c ka n d d o sa t t a c k 4 ) t h i sp r o t o c o lh a sm o r ee f f i c i e n c yo ft h ec o m p u t a t i o na n dc a nb ea p p l i e di n m o b i l ed e v i c e s t h i sp r o t o c o lu s eh a s hf u n c t i o nt od e a lw i t ht h eu s e rp a s s w o r da n d f i l e s t h u st h en e e do fu s e re q u i p m e n t sc o m p u t a t i o na b i l i t yi sn o th i g h 5 ) t h i sp r o t o c o li sp r o v a b l es e c u r e t h e r ef i r em a n yp r i v a t ek e yp r o t e c t i o n p r o t o c o l sh a v en o to f f e r e ds e c u r ep r o o f i nt h i sp a p e r , w eh a v eo f f e r e dt h es e c u r e p r o o fo fo u rp r o t o c 0 1 k e yw o r d ：p a s s w o r da u t h e n t i c a t i o n ，k e yp r o t e c t i o n ，p r o v a b l es e c u r i t y i v 基于口令认证的私钥保护研究 目录 摘要晕i a b s t r a c t i i i 目勇专v 第一章绪论：1 1 1 研究背景：1 1 2 国内外相关研究工作2 1 3 主要工作及论文结构3 第二章私钥保护与口令认证基础5 2 1 密钥交换协议5 2 1 1 对称密码学中的密钥交换5 2 1 2 经典密钥交换d i f f i e h e l l m a n 6 2 2 非对称加密体制6 2 2 1 r s a 算法6 2 2 2 e l g a m a l 算法8 2 2 口令认证技术9 2 2 1 认证的基本概念一9 2 2 2 身份认证的实现方式1 2 2 2 3 口令认证的分类1 4 2 2 3 1 静态口令认证1 4 2 2 3 2 动态口令认证l7 2 3 本章小结1 9 第三章现有私钥保护及口令认证协议分析2 0 3 1s _ - r s a 协议分析2 0 3 1 1s r s a 协议的执行2 l 3 1 2s _ r s a 安全分析2 4 3 2l e k i m 口令认证方案分析2 6 3 2 1l e “i m 的执行2 6 3 2 2l e h a m 安全分析2 7 3 3 本章小结2 8 第四章私钥保护协议的设计和分析2 9 4 1 协议的安全目标2 9 4 2 一个基于口令认证的r s a 签名私钥保护方案3 0 4 2 1 密钥产生部分3 0 4 2 2 用户初始化部分o 3 0 4 2 3 签名部分3l 4 2 4 用户证书撤消部分3 2 4 3 一个基于口令认证的e l g a m a l 解密私钥的方案3 2 4 3 1 密钥产生部分3 3 v 4 4 2 用户设备初始化部分3 3 4 4 3 加密部分3 3 4 4 协议的安全性分析3 5 4 4 1 用户设备失窃3 6 4 4 2 用户设备与用户口令同时失窃3 6 4 4 3 服务器被攻击3 6 4 4 4 口令泄露3 7 4 4 5 拒绝服务攻击。3 7 4 4 6 计数器n 的同步问题3 7 4 5 本章小结。3 8 第五章私钥保护协议的安全证明3 9 5 1 可证明安全方法3 9 5 2 本文安全证明方法简介4 l 5 3s s - r s a 协议证明。4 1 5 4 本章小结4 4 第六章总结与展望4 6 参考文献4 7 攻读研究生期间发表的论文5 0 j l 丈谢5l v i 基于口令认证的私钥保护研究 第一章绪论 1 1 研究背景 当前各类机构、单位越来越离不开网络，不仅包括访问外部的国际互联网 i n t e m e t ，也包括其内部网络的相互访问通信。内网概念，是针对公网而言的，是 指政府或企业等的部门与部门之间，或部门的内部所建立的有限范围的内部通信 网络，通过内网实现内部信息共享、协同工作。个别的内网还从物理上与外部网 络隔离，以此达到保证内部数据安全的目的。 然而随着越来越多的人在企业内部使用可移动设备进行信息的处理，有的时 候为了工作的方便还将数据存储在可移动设备上带出企业进行处理。在方便了人 们工作了和学习的同时，也带来了许多新的信息安全问题。企业内部信息可能被 竞争对手、间谍、不满的雇员、甚至合法的用户使用可移动设备带出企业，而又 被攻击者得到用户设备从而得到企业内部的数据。给企业带来无法弥补的损失。 尽管大多机构己重视提高网络的边界安全，但是企业网络的内网还是非常脆弱 的。虽然他们也对内部网络实施了相应保护措施，如：安装动辄数万甚至数十万 的网络防火墙、入侵检测软件等，并希望以此实现内网与i n t e m e t 的安全隔离， 从而保证企业内部信息的安全。然而，情况并非如此! 企业内部信息的泄露绝大 部分是由于企业内部的原因造成的。因此为了达到保证企业内部信息安全的目 的，现在的内网安全产品大多对企业的信息进行加密处理。在没有用户密钥的情 况下，攻击者很难获取到正确的信息。因为现在的加密算法一般都可以做到计算 上安全。因此，为了得到用户的数据，现在大多数攻击者都集中在获取用户密钥 上。传统的加密机制一般把用户私钥明文存储在用户机上，攻击者想要得到用户 的密钥的手段一般是在用户分发的过程，或者通过其他的手段冒充合法用户以得 到用户的密钥。这种安全机制能够安全前提是攻击者无法获得用户设备，针对传 统的台式机，这种前提一般是成立的。但是针对体积小，重量轻的可移动设备而 言，这种假设显然并不成立。攻击者很可能通过某种非法的手段获取到用户设备， 从而得到存储在上面的用户密钥。 因此，针对可移动设备使用越来越多的情况，为了加强用户密钥的保护，比 较好的办法是对用户的密钥进行加密。目前比较流行做法的是将用户密钥经用户 密码加密后存储在硬盘或者其他设备上。但是受限于人类记忆力的限制，用户选 择的密码不可能是很复杂的密码。因而其信息熵一般也比较低。当攻击者通过一 些某些手段获得用户的设备后，很容易通过离线字典攻击的方法得到用户的密 钥，从而使得攻击者可以像合法用户一样读取企业内部的信息，即使用户及时的 改变密钥，但是最好的结果也是，攻击者至少可以读取到存储在用户设备上的信 息。从而导致泄密事件的发生。 虽然可以通过使用智能卡等硬件来加强私钥的保护，因此在现今可移动设备 大量使用的情况下，研究一种可以防窃取的私钥保护方案，对于加强内网安全和 其他情况下用户的信息安全具有重要的意义。 1 2 国内外相关研究工作 由于基于口令的认证具有操作简单、方便记忆等优点。目前在国内外有大量 的研究机构和个人研究可移动设备的基于口令认证的密钥保护。 目前针对可移动设备的基于口令的认证的密钥保护的协议的思路主要有以 下几种： 1 ) 使用用户口令将用户私钥加密后存储在用户设备上【1 】【4 1 。这种方法操 作简单，是在现实世界中应用最为广泛的一种方法但是在现实情况 下，人们总是倾向于记忆或使用那些安全程度较低的密钥，比如说自 己的生日、门牌号、电话号码等等。这种被广泛应用的低安全的密钥 就是我们常说的口令，它们通常长度较短，随机性较差，却便于记忆 和使用。由于口令的熵值都比较的低，所以这种方式很难抵抗离线字 典攻击。 2 )使用智能卡、u s b k e y 等硬件设备来加强用户私钥的保护【l 】。但是有 以下几个原因阻碍了智能卡的广泛使用，首先，在一些操作系统中 ( 如一u n i x ) 还缺乏对智能卡的支持。阻碍了智能卡的进一步推广使 用。其次智能卡的使用需要额外的硬件投资。对于预算较少的用户显 然不是一个最佳的选择另外。另外，最近关于对智能卡的成功攻击结 果显示。可以有多种手段获取保存在智能卡内的秘密信息。智能卡的 2 基于口令认证的私钥保护研究 存储也同样面临失窃后信息被盗取的威胁。 3 )同时使用采用对称和非对称密码学进行密码受保护的认证协议【4 】【5 1 ， 协议过后双方将建立s e s s i o nk e y ，同时保证用户密码能够抵御离线 字典攻击。基于口令认证的协议设计过程中，最原始的，最简单的口 令和安全机制是客户方直接把口令以明文形式传给服务器，服务器保 存口令明文或相应的哈希值1 6 j 以进行验证。这也是大多数u n i x 系 统和f t p ，t e l e n t 等协议的做法。这种机制存在着潜在的危险，窃听 者可以通过某种方式从服务器方直接得到口令明文，这是很危险的。 4 )按照某种算法将用户密钥分成几部分，由不同的持有者分别持有。用 户在需要使用密钥时需要通过验证，再由所有持有密钥方联合操作能 完成对文件的加密或签名操作，文献【_ 7 】中所采取的就是这种方式。文 献【1 2 j 所采取的方式也可以看成这种方式。 综上所述，目前基于口令的认证的私钥保护所面临的主要问题有以下几种： 口令信息熵过低，不能够抵抗离线字典攻击。 成本过高，不适合预算有限的用户。 计算效率过低，不适合可移动设备的私钥保护。 1 3 主要工作及论文结构 本文的主要工作是通过对现存的口令认证协议和密钥保护协议的分析提出一 个基于口令认证的密钥保护协议。采取的技术路线是由一个可信的第三方的服务 器产生用户的公私钥对，并由第三方的服务器将用户的私钥分割成两部分，通过 安全信道传送给用户设备和服务器，用户设备的半私钥使用用户的口令加密后存 储在用户设备上。用户设备如果想要使用私钥进行签名或解密操作，必须通过服 务器的验证后，由服务器与用户设备联合操作才能够完成签名或解密操作。服务 器对用户设备的验证是基于口令的。 文章的第二部分介绍本文涉及的密码学和口令认证的基础知识，包括本文中 要使用的r s a 和e l g a m a l 算法的详细执行过程，口令认证的分类，以及各种 口令认证的优缺点。第三部分包括第三、第四章，主要是在第二章介绍的理论基 础上，对现存的密钥保护协议和口令认证协议进行了安全分析，总结了他们的优 点，并指出了其中存在的安全问题。并在此基础提出了本文的协议设计，给出了 本文提出协议的两个具体的实现实例。第四部分在本文的第五章，是安全证明部 分，主要给出了在第四章提出的s s r s a 协议的安全证明。最后，在文章的第 六章给出了本文的总结，对本文的主要工作和创新点给出了大体的说明。并指出 了本文的继续研究方向。 4 基于口令认证的私钥保护研究 第二章私钥保护与口令认证基础 2 1 密钥交换协议 通常的密码技术是用单独的密钥对每一次单独的会话加密，这个密钥称为会 话密钥，因此它只在一次特殊的通信中使用。会话密钥只用于通信期间。这个会 话密钥怎么到达会话者的手中是一个很复杂的事情。 2 1 1 对称密码学中的密钥交换 对称密码学中的密钥交换中一种比较可靠的做法是使用第三方服务器。由第 三方服务器负责密钥的分发8 】【10 1 。 假设有a l i c e 和b o b 两个用户想要通过不安全的信道进行通信。每人与第三 方服务器t r e n t 共享一个秘密密钥，在协议开前，这些密钥必须存储在安全的存 储器上。a l i c e 与b o b 通信前必须进行如下操作【1 1 】： ( 1 )a l i c e 呼叫t r e n t ，并请求一个与b o b 通信的会话密钥。 ( 2 ) t r e n t 产生一个随机的会话密钥，并对它的两个副本加密：一个用 a l i c e 的密钥，另一个用b o b 的密钥加密。t r e n t 发送这两个副本给a l i c e 。 ( 3 ) a l i c e 对她的会话密钥的副本解密。 ( 4 )a l i c e 将b o b 的会话密钥的副本发送给b o b 。 ( 5 )b o b 对他的会话密钥的副本解密。 ( 6 )a l i c e 和b o b 用这个会话密钥安全的通信。 这种方法依赖于t r e n t 的绝对安全性。如果攻击者攻陷了t r e n t ，那么整个网 络的安全全性都将遭到破坏。因为t r e n t 与每个用户共享的所有秘密密钥；他可 以读所有过去和将来的的通信业务。他所做的事情就是对通信线路进行搭线窃 听，并监视加密的消息业务。 另外一个问题是t r e n t 可能会成为瓶颈。他必须参与每一次密钥交换。如果 t r e n t 失败了，这个系统就会被破坏。 2 1 2 经典密钥交换d i f f i e h e l l m a n d i f f i e h e l l m a n 算法是第一个公开密钥算法，其安全性源于在有限域上计算机 离散对数比计算机指数更为困难。d i f f i e h e l l m a n 算法能够用作密钥分配，但是 它不能用作加密或解密信息。其具体的执行过程如下【1 0 】【1 2 】： 首先a l i c e 和b o b 协商一个大的素数n 和g ，g 是模n 的生成原。这两个数不 需要保密，a l i c e 和b o b 可以通过不安全的信道协商它们。它们可在一个组用户 中公用。然后执行下列操作： ( 1 ) a l i c e 选取一个大的随机整数x 并且发送给b o bx - - g x m o d n 。 ( 2 ) b o b 选取一个大的随机整数y 并且发送给出a l i c ey = g ym o d n 。 ( 3 ) a l i c e 计算k = y x m o dn 。 ( 4 ) b o b 计算机k = x ym o d n 。 k 和k 都等于g x ym o dn 。被动攻击者不可能计算机出这个值；他们只知道n 、 g 、x 和y 。除非他们能计算离散对数，恢复x 、y ，否则无法等到密钥。但 是以上协议无法抵抗中间人攻击。因此在现实的应用中一般要加上双向认证 或者对交换的信息加上数字签名才能安全的完成密钥交换。 2 2 非对称加密体制 非对称密钥加密体制( n o n - s y m m e t r i ca l g o r i t h m s ) ，也称公开密钥加密体制。 它不同于传统的对称密钥加密体制。非对称加密算法是这样设计的：用作加密的 密钥不同于用途解密的密钥，而且解密密钥不能根据加密密钥计算出来( 至少在 合理假定的长时间内) 。之所以叫做公开密钥算法。是因为加密密钥能够公开， 即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。在 这些系统中，加密密钥叫做公开密钥( p u b l i c k e y ，简称公钥) ，解密密钥叫做私 人密钥( p r i v a t ek e y , 简称私钥) 。私人密钥有时也叫秘密密钥。 非对称密钥加密体制给通信安全带来了革命性的变化，它的最大应用在于： 加密解密，数字签名，密钥交换。 2 2 1 r s a 算法 r s a 算法是以它的三个发明者r o nr i v e s t ，a d is h a m i r 和l e o n a r d a d l e m a n 的 6 基于口令认证的私钥保护研究 名字命名的。r s a 是被研究得最广泛的公钥算法，从提出到现在已近二十年， 经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之 一。r s a 的安全性依赖于大数的因子分解，但并没有从理论上证明破译r s a 的 难度与大数分解难度等价。即r s a 的重大缺陷是无法从理论上把握它的保密性 能如何，而且密码学界多数人士倾向于因子分解不是n p c 问题。 r s a 的算法涉及三个参数，n 、e 、d 。 其中，n 是两个大质数p 、q 的积，n 的二进制表示时所占用的位数，就 是所谓的密钥长度。 e 和d 是一对相关的值，e 可以任意取，但要求e 与( p 1 ) 木( q 1 ) - 0 素；再 选择d ，要求( e 木d ) m o d ( ( p 1 ) 水( q 1 ) ) = l 。 ( n 及e ) ，( n 及d ) 就是密钥对。 r s a 加解密的算法完全相同，设a 为明文，b 为密文，则：c = m em o dn ； m = c d m o d n ： e 和d 可以互换使用。 ( 1 ) r s a 的安全性 r s a 的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上 的证明，因为没有证明破解r s a 就一定需要作大数分解。假设存在一种无须分 解大数的算法，那它肯定可以修改成为大数分解算法。目前，r s a 的一些变种 算法己被证明等价于大数分解。不管怎样，分解n 是最显然的攻击方法。现在， 人们已能分解多个十进制位的大素数。因此，模数n 必须选大一些，因具体适 用情况而定【1 0 】【l l 】。 ( 2 ) r s a 的缺点 产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。 安全性，r s a 的安全性依赖于大数的因子分解，但并没有从理论上证明 破译r s a 的难度与大数分解难度等价，而且密码学界多数人士倾向于因 子分解不是n p c 问题。目前，人们已能分解1 4 0 多个十进制位的大素数， 这就要求使用更长的密钥，速度更慢；另外，目前人们正在积极寻找攻 击r s a 的方法，如选择密文攻击，一般攻击者是将某一信息作一下伪装 ( b l i n d ) ，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的 7 信息。实际上，攻击利用的都是同一个弱点，即存在这样一个事实：乘 幂保留了输入的乘法结构： ( x m ) d = x d 木m dr o o dn 前面已经提到，这个固有的问题来自于公钥密码系统的最有用的特征一每个 人都能使用公钥。但从算法上无法解决这一问题，主要措施有两条：一条是采用 好的公钥协议，保证工作过程中实体不对其他实体任意产生的信息解密，不对自 己一无所知的信息签名；另一条是决不对陌生人送来的随机文档签名，签名时首 先使用o n e w a yh a s hf u n c t i o n 对文档作h a s h 处理，或同时使用不同的签名算 法。除了利用公共模数，人们还尝试一些利用解密指数或( p ( n ) 等等攻击。 速度太慢，由于r s a 的分组长度太大，为保证安全性，n 至少也要6 0 0 b i t x 以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个 数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据 格式的标准化。目前，s e t ( s e c u r ee l e c t r o n i ct r a n s a c t i o n ) 协议中要求c a 采用2 0 4 8 比特长的密钥，其他实体使用1 0 2 4 比特的密钥。为了速度问 题，目前人们广泛使用单，公钥密码结合使用的方法，优缺点互补：单钥密 码加密速度快，人们用它来加密较长的文件，然后用r s a 来给文件密钥加 密，极好的解决了单钥密码的密钥分发问题。 2 2 2 e l g a m a l 算法 e i g a m a l 算法既能用于数据加密也能用于数字签名，其安全性依赖于计算有 限域上离散对数这一难题。其具体的过程如下【8 】【l o 】： 基于u 令认证的私钥保护研究 图2 1e l g a m a l 算法执行过程 e i g a m a l 算法的安全性依赖于乘法群z p 幸上的离散对数计算。素数p 必须足够 大，且p 1 至少包含一个大素数因子以抵抗p o h l i g & h e l l m a n 算法的攻击。m 一 般都应采用信息的h a s h 值( 如s h a 算法) 。e i g a m a l 的安全性主要依赖于p 和g ， 若选取不当则签名容易伪造，应保证g 对于p 1 的大素数因子不可约。e i g a m a l 的一个不足之处是它的密文成倍扩张。 2 2 口令认证技术 由于口令简单易记，口令认证广泛应用于远程访问主机系统的方案中。在 这些方案中，口令是业务终端用户和远程主机之间共享的秘密信息，业务终端用 户通过向远程主机证明其知道口令这个秘密信息来证实自己的身份，同时口令也 可以作为业务终端用户和远程主机之间协商用于加密每次会话信息的会话密钥 的种子密钥。 2 2 1 认证的基本概念 在计算机网络中，加密是为了保证信息传输的安全，即防止被动威胁。而对 于主动攻击光有加密是无法保证用户信息的安全的。所以为了保证用户信息的安 全，必须对用户的身份进行认证。认证就是一个主体向另一个主体证明了某种声 称的属性。认证的概念可以分为三个子概念：数据源认证、身份认证和认证的密 钥建立【l o 】。 9 数据源认证 数据源认证也称为消息认证，主要是验证消息是否来源于其声称的消息源。 总体来说，数据源认证有以下特征： ( 1 ) 包含从某个声称的源( 发送者) 到接收者的消息传输过程，该接收者在 接收时会验证消息。 ( 2 ) 接收方执行消息验证的目的在于确认消息发送者的身份。 ( 3 ) 接收方执行消息验证的目的还在于确认在原消息离开消息发送者之后的 数据完整性。 ( 4 ) 验证的进一步目的在于确认消息传输的“活现性9 9 。 身份认证 在网络环境下，网络中通信双方的信任问题是双方开展各种活动的基础，也 是网络应用系统安全的主要问题也是关键问题之一。网络中的各种应用和计算机 系统都需要通过身份认证来确认一个用户的合法性，然后再确定这个用户的个人 数据和特定权限。身份认证是最基本的安全服务，其他的安全服务都依赖它。一 旦身份认证系统被攻破，那么系统的其他安全措施都将形同虚设。 身份认证又称为实体认证或者身份识别，身份认证是其中一方能够确信参与 协议的另一方的身份，并且确信另一方真正参与了该协议过程。在开放的网络环 境中，对通信实体的身份认证是通过对通信实体间的交互消息进行消息认证来实 现的。消息认证是一种确保所收到的数据与发送时的一样且与发送方声称的身份 是一致的安全服务。身份认证与消息认证主要有两方面的区别，一方面是身份认 证是实时的，即进行身份认证的实体正参与通信，而消息认证不能提供时间性； 另一方面身份认证通常证实身份本身，而消息认证则注重消息的合法性和完整 性。 认证协议的一个重要目标就是确认某个主体的真实通信。在认证的过程中， 被认证方向认证方提供用于证明自己身份的信息，而且这些信息不能由其他用户 生成。身份认证最重要的技术指标就是合法用户的身份是否易于被恶意用户冒 充。身份认证方案的设计必须根据各种系统的不同平台和不同安全性要求来进行 设计，同时，身份认证要尽可能方便、可靠，并且能够充分考虑系统的可扩展性 和系统的构建成本。 1 0 基于口令认证的私钥保护研究 根据协议主体的不同分类方法，在分布式系统中，身份认证可以分为若干类 型。觉的类型有以下几种【8 】： 客户服务器类型认证的参与者具有不对等的地位，其中一个认证实体( 客 户) 向另一个认证实体( 服务器) 请求某种服务。两个认证实体可以通过非密码 方法预先共享某些秘密。 客户客户类型认证实体具有对等的地位，希望通过认证建立某种联系。 成员俱乐部类型成员向俱乐部证明其身份的有效性，俱乐部只需要考虑成 员证件的 有效性，而不必知道成员的进一步信息。 认证密钥的建立 通信运行实体认证协议目的在于能够在高层或者应用层上进行安全通信。在 现代密码学中，密钥是安全通信信道建立的基础。因此，为了进行高层或应用层 的安全通信而运行的实体认证协议通常都有一个子任务，即认证密钥的建立。认 证的密钥建立是认证协议和密钥建立协议的结合，用于确认协议参与实体身份， 并在实体之间建立共享秘密以保证上层的安全通信嘲。 信息安全系统依靠密钥的安全来确保其安全性。密钥根据其不同用途可以分 为会话密钥和主密钥两种类型，其中会话密钥又称为数据加密密钥，主密钥又称 为密钥加密密钥。两个用户在使用对称密码体制进行保密通信时，首先必须有一 个共享的秘密的会话密钥，而且为了防止攻击者得到密钥，还必须及时更新会话 密钥。因此密码系统的强度也依赖于密钥建立技术。 密钥建立是一个过程或一个协议，能够为两个或多个参与方生成共享密钥， 供随后的密码方案使用。 密钥建立可以分为密钥传输和密钥协商两类。密钥传输协议或机制是一个参 与方可以建立或获得一个秘密值并将它安全地传输给其它参与方的密钥建立技 术。密钥协商也称密钥交换，是两个或多个参与方共同提供信息并推导出一个共 享密钥，并且任何一方不能预先确定协商出的共享密钥的密钥建立技术。 在基于口令认证的密钥交换协议中，用户与主机系统之间通常事先共享一个 口令，用来在通信中进行彼此的身份认证，并协商一个短期的会话密钥。 为了确保信息系统的安全性，基于口令的认证密钥交换协议需要满足一定的 安全准则【8 】【1 3 】： ( 1 ) 整个协议成功执行过程中，没有泄漏关于口令p w i 的任何信息，攻击者直 接窃听通信的交互报文，或者通过获取交互信息进行离线的字典攻击猜测口令是 不可行的。 ( 2 ) 协议执行过程中，不泄漏关于会话密钥k i 的任何信息。 ( 3 ) 获取己经分配的会话密钥，不能帮助攻击者获得1 2 令p w i 。 ( 4 ) 即使攻击者成功获取了用户的口令p w i ，仍然不能推断出以前通信的会话 密钥。使整个系统做到前向安全。 ( 5 ) 提供验证机制，确认用户真的知道口令，防止攻击者获取了主机对用户的 验证口令，通过重放来冒充合法用户。 ( 6 ) 用户端不需要存储一些永久性数据，如公开密钥、私钥，仅需要一个能记 忆的口令作为独立的元素即可。 2 2 2 身份认证的实现方式 大致上来讲；身份认证可分为用户与主机间的认证和主机与主机之间的认 证。主要有五种方式n 3 1 一n5 1 ： l 、i c 卡认证 智能卡的英文名称有“s m a r tc a r d 与“i n t e g r a t e dc i r c u i tc a r d ”，后者经常译 作集成电路卡，简称i c 卡。i c 卡是由专门的厂商通过专门的设备生产，不可复 制的硬件。它把集成电路芯片封装入塑料基片中，厚度为0 7 6 0 8 m m 。i c 卡芯 片可以写入数据与存贮数据，根据芯片功能的差别，可以将其分为三类： ( 1 ) 存储型：卡内集成电路为电可擦的可编程只读存储器( e e p r o m ) 。 ( 2 ) 逻辑加密型：卡内集成电路具有加密逻辑和e e p r o m 。 ( 3 ) c p u 型卡：集成电路包括c p u 、e p r o m 、随机存储器( r a m ) 以及固化在 只读存储器( r o m ) q b 的卡内操作系统c o s ( c h i po p e r a t i n gs y s t e m ) 从对i c 卡上进行信息存储和处理的方式来看可以分为接触卡和感应卡。前 者由读写设备的接触片上的触点相接触接通电路进行信息读写，后者通过非接触 式的技术进行信息读写。i c 卡通过在芯片中存有与用户身份相关的数据，由合 法用户随身携带，登录时必须将i c 卡插入专用的读卡器读取其中的信息，以验 1 2 基于口令认证的私钥保护研究 证用户的身份。i c 卡认证是基于“w h a ty o uh a v e ”的手段，通过i c 卡硬件不可 复制来保证用户身份不会被仿冒。然而由于每次从i c 卡中读取的数据是静态的， 通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。 2 、生物特征认证 传统的身份认证技术是一般基于身份标识知识物品，容易遗忘、丢失或被盗。 而且这些“标识与用户的关系是分离的。一旦拥有了这些“标识 就可拥有完 整的权限。生物特征识别是一种根据人体自身所固有的生理特征和行为特征来识 别身份的技术，即通过计算机与光学、声学、生物传感器和生物统计学原理等高 科技手段密切结合，人体有一些唯一的特征：生理特征( 如指纹、虹膜、d n a 等) 、 行为特征( 签名、声音、步态等) 。它们都可以用于标识个体身份。这种利征的生 理或行为特征来进行身份识别的技术被称为生物特征识别技术，它具有不易遗 忘、防伪性能好、不易仿造或被盗、随身“携带 和随时随地可用等优点。 3 、u s b k e y 认证 基于u s b k e y 的身份认证方式结合了现代密码学技术、智能卡技术和u s b 技术，采用一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的 矛盾。是近几年发展起来的一种方便、安全的身份认证技术。u s b k e y 是一种 u s b 接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数 字证书，利u s b k e y 内置的密码算法实现身份认证。 基于u s b k e y 的身份认证具有以下特点： ( 1 ) u s b k e y 可以采用双因子认证方式，即由p i n 码和硬件构成了用户使用 u s b k e y 的两个必要因素。只有同时取得u s b k e y 和用户p i n 码，才可以登录系 统。 ( 2 ) u s b k e y 具有安全可行的数据存储空间，可以存储数字证书、用户等秘 密数据，用户无法直接读写操作，也不可导出私钥，防止对私密信息进行复制。 ( 3 ) u s b k e y 内置硬件运算单元，可以实现各种数据摘要、数据加解密和签 名算法，加解密运算在u s b k e y 内进行，用户密钥不会出现在计算机内存中被 黑客截取。 。 目前u s b k e y 身份认证通常采用的认证方式有：一是基于冲击响应的认证模 式，二是基于p k i 体系的认证模式。随着p k i 技术日趋成熟，许多应用中开始 使用数字证书进行身份认证与数字加密。数字证书是由权威公正的第三方机构即 以中心签发的，以数字证书为核心的加密技术，可以对网络上传输的信息进行加 密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交 易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。 u s b k e y 作为数字证书的存储介质，可以保证数字证书不被复制，并可以实 现所有数字证书的功能。 4 、口令认证 使用口令进行认证是最常见也是最简单的一种身份认证方法。系统为每一个 合法用户建立一个用户名和口令的相关记录，当用户登录系统时，提示用户输入 自己的用户名和口令，系统通过核对用户所输入的用户名和口令记录对与系统中 保持的用户名和口令对是否匹配来验证用户身份的合法性。使用口令作为用户身 份的信息的方案存在明显的缺陷，由于许多用户为了防止忘记口令，经常采用诸 如生日、电话号码、姓名等容易被猜测的字符串作为口令，或者把口令记在纸上 放在自己认为安全的地方，这样很容易造成密码泄漏。即使能保证口令不被泄露， 由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每 次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或 网络中的监听设备截获。即使能够保证用户的口令不被攻击者截获，由于人类记 忆力的限制，用户所选择的口令也很难抵抗离线字典攻击。因此，从安全的角度 上讲，口令的方式是一种极不安全的身份认证方式。因此为了保证用户口令的安 全性，在大多数的认证协议中用户输入口令时，都要对用户的口令进行一些增加 其复杂性的操作。以增加用户口令的熵值，从而保证用户口令的安全性。 2 2 3 口令认证的分类 根据验证口令的产生方式的不同，口令认证可以分为静态口令认证、一次性 1 3 令认证和双因素动态1 3 令认证【1 0 】【1 3 】。 2 2 3 1 静态口令认证 静态口令认证是指用户登录系统进行身份验证的过程中，提交给系统的验证 数据是固定不变的，符合这个特征的身份认证方案称为静态口令认证。 1 4 基于口令认证的私钥保护研究 静态口令认证主要用于