信息安全导论密码基础认证.ppt

1 密码基础 认证 信息安全导论 模块4 密码基础 2 对信息安全的攻击 被动攻击 获取消息的内容 业务流分析主动攻击 假冒 重放 消息的篡改 业务拒绝参与方抵赖 通信双方中的某一方对所传输消息的否认 3 被动攻击与主动攻击 发送方 接收方 攻击者 发送方 接收方 攻击者 4 攻击 主动攻击 被动攻击 获取消息的内容 业务流分析 假冒重放篡改 攻击的类型 否认 抗被动攻击 加密 抗主动攻击 认证 5 抗被动攻击 加密抗主动攻击 认证 6 验证消息的真实性 的确是由它所声称的实体发来的验证消息的完整性 未被篡改 插入 删除验证消息的顺序性和时间性 未重排 重放 延迟验证消息的不可否认性 防止通信双方中的某一方对所传输消息的否认 可通过数字签名 认证的功能 7 信息认证技术 1Hash函数和消息完整性2数字签名技术3身份认证技术4认证的具体实现 8 1Hash函数和消息完整性 本节提示 1 1基本概念1 2Hash函数的构造1 3消息认证码 9 1 1基本概念 Hash函数也称为杂凑函数或散列函数其输入为一可变长度序列x 返回一固定长度串 该串被称为输入x的Hash值 消息摘要 Hash函数是多对一的函数 一定将某些不同的输入变换成相同的输出Hash函数要求 给定输入计算Hash值是很容易的 给定Hash值求原始输入是困难的又称为单向Hash函数 10 基本概念 续 Hash函数一般满足以下几个基本需求 1 输入x可以为任意长度 2 输出长度固定 3 易计算 给定任何x 容易计算出x的Hash值H x 4 单向性 给一个Hash值 很难反向计算出原始输入 5 唯一性 找到两个不同的输入得到相同的Hash输出值是困难的 在计算上是不可行的 11 Hash函数的其他性质 Hash值的长度由算法的类型决定 与输入的消息大小无关 一般为128或者160位 Hash函数的一个主要功能就是为了保证数据完整性 Hash函数可以按照其是否有密钥控制分为两类 一类有密钥控制 以hk x 表示 为密码Hash函数 另一类无密钥控制 为一般Hash函数 12 1 2Hash函数的构造 用分组加密函数构造hash函数专门设计的Hash函数 13 用分组加密函数构造hash函数 分组密码 给出明文和对应的密文 要找出所用的密钥是困难的 单向函数 加密函数y E x k 输入明文x 长度m 密钥k 长度n 输出密文y 长度m 输入数据总长度m n 输出m 单向压缩函数 14 用分组加密函数构造hash函数 先将N长消息分组 分组长为m 或n 设初始向量IV 可公开 长度m消息x的分组为x1 x2 xt 15 用分组加密函数构造hash函数 方案1消息的分组长为nh0 IVh1 E h0 x1 h2 E h1 x2 h3 E h2 x3 h x ht输出为m长 x1 x2 xt n长 n长 n长 16 用分组加密函数构造hash函数 方案2消息的分组长为m 选择密钥k n长 h0 IVh1 E x1 h0 k h2 E x2 h1 k h3 E x3 h2 k h x ht输出为m长 x1 x2 xt m长 m长 m长 17 用加密函数可以构造Hash函数 但速度较慢专门设计的Hash函数 MD4 MD5 SHA 18 MD4算法 MR4是RonRivest设计的单向散列函数MD表示消息摘要 MessageDigest 对输入消息 算法产生128位散列值 19 MD4算法设计目标 安全性 找到两个具有相同散列值的消息在计算上不可行 不存在比穷举攻击更有效的攻击 直接安全性 MD4的安全性不基于任何假设 如因子分解的难度 速度 MD4适用于软件实现 基于32位操作数的一些简单位操作 简单性和紧凑性 MD4尽可能简单 没有大的数据结构和复杂的程序 有利的Little Endian结构 MD4最适合微处理器结构 更大型 速度更快的计算机要作必要的转化 20 其他算法 MD5是MD4的改进SHA SecurityHashAlgorithm 算法是美国NIST设计的一种标准Hash算法SHA用于数字签名的标准算法DSS中 也是安全性很高的一个Hash算法该算法的输入消息长度小于bit 输出值为160bit SHA与MD4相比较而言 主要是增加了扩展变换 将前一轮的输出加到下一轮的 这样增加了雪崩效应 而且由于其160bit的输出 对穷举攻击更有抵抗力 21 1 3消息认证码 消息认证码 MAC MessagesAuthenticationCodes 是与密钥相关的单向Hash函数 也称为消息鉴别码或是消息校验和MAC与单向Hash函数一样 但是还包括一个密钥 将单向Hash函数变成MAC的一个简单的办法是用对称算法加密Hash值 相反将MAC变成单向Hash函数则只需将密钥公开 22 消息认证码的实现示意图 23 消息认证码的定义及使用方式 消息认证码 指消息被一密钥控制的公开函数作用后产生的 用作认证符的 固定长度的数值 也称为密码校验和需要通信双方A和B共享一密钥K设A欲发送给B的消息是M A首先计算MAC CK M 其中CK 是密钥控制的公开函数 然后向B发送M MAC B收到后做与A相同的计算 求得一新MAC 并与收到的MAC做比较 24 消息认证码的定义及使用方式 如果仅收发双方知道K 且B计算得到的MAC与接收到的MAC一致 则这一系统就实现了以下功能 图a 接收方相信发送方发来的消息未被篡改 因为攻击者不知道密钥 所以不能够在篡改消息后相应地篡改MAC 而如果仅篡改消息 则接收方计算的新MAC将与收到的MAC不同 接收方相信发送方不是冒充的 因为除收发双方外再无其他人知道密钥 因此其他人不可能对自己发送的消息计算出正确的MAC 25 消息认证码的定义及使用方式 消息本身在发送过程中是明文形式 因此上述过程只提供认证性而未提供保密性为提供保密性 可 M与MAC链接后再被整体加密 图bM先被加密再与MAC链接后发送 图c 26 MAC的基本使用方式 27 2数字签名技术 本节提示 2 1数字签名的基本概念2 2常用的数字签名体制 28 2 1数字签名技术 数字签名在信息安全 包括身份认证 数据完整性 不可否认性以及匿名性等方面有重要应用数字签名是实现认证的重要工具 29 什么是数字签名 数字签名是一种以电子形式给一个消息签名的方法 是只有信息发送方才能够进行的签名 是任何其他人都无法伪造的一段数字串 这段特殊的数字串同时也是对签名真实性的一种证明 30 数字签名应达到与传统手写签名相同的效果手写签名的特点可识别签名者难以伪造对应所签署内容签名者不可否认 31 数字签名的特性 1 2 签名是可信的 任何人都可以方便地验证签名的有效性 签名是不可伪造的 除了合法的签名者之外 任何其他人伪造其签名是困难的 计算上不可行 签名是不可复制的 对一个消息的签名不能通过复制变为对另一个消息的签名 如果一个消息的签名是从别处复制的 则任何人都可以发现消息与签名之间的不一致性 32 数字签名的特性 2 2 签名的消息是不可改变的 经签名的消息不能被篡改 一旦签名的消息被篡改 则任何人都可以发现消息与签名之间的不一致性 签名是不可抵赖的 签名者不能否认自己的签名 33 数字签名技术的功能 数字签名可以解决否认 伪造 篡改及冒充等问题 具体要求为 发送者事后不能否认发送的报文签名接收者能够核实发送者发送的报文签名 接收者不能伪造发送者的报文签名 接收者不能对发送者的报文进行部分篡改网络中的某一用户不能冒充另一用户作为发送者或接收者 34 数字签名的实现方法 用非对称加密算法进行数字签名 35 数字签名示意图 消息 Hash函数 消息摘要 发方A 相等 收方B 加密算法 A的私钥 签名 消息 加密的消息摘要 签名 消息 Hash函数 消息摘要 解密算法 A的公钥 签名有效 y 签名无效 n 36 用非对称加密算法进行数字签名和验证 发送方首先用公开的单向函数对报文进行计算 得到消息摘要 然后利用私有密钥对消息摘要进行加密后附在报文之后一同发出 接收方用发送方的公开密钥对数字签名进行解密变换 得到消息摘要的明文 接收方将得到的报文通过单向函数进行计算 同样得到一个消息摘要 再将两个摘要进行对比 如果相同 则证明签名有效 否则无效 37 公钥签名 使用公钥算法进行数字签名的最大方便是没有密钥分配问题 38 2 2常用的数字签名体制 用非对称加密算法实现的数字签名技术最常用的是RSA和DSS签名RSA签名DSS签名 39 RSA签名 1 参数 选两个互异的大素数p和q 计算n p q n p 1 q 1 选一整数e 满足1 e n 且gcd n e 1 计算d 满足d e 1mod n 以 e n 为公开钥 d p q 为秘密钥 40 2 签名过程对消息 定义为对的签名 3 验证过程对给定的可按下式验证 RSA签名 41 4 安全性分析由于只有签名者知道d 其他人不能伪造签名 其他人可利用签名者的公钥验证该签名是否签名者对消息M的合法签名 RSA签名 42 DSS签名标准 DigitalSignatureAlgorithm DSA 是Schnorr和ElGamal签名算法的变种 被美国NIST作为DSS DigitalSignatureStandard 数字签名标准 DSS是由美国国家标准化研究院和国家安全局共同开发的DSS是标准 DSA是算法 43 生成320bit签名安全性基于求离散对数的困难问题被广泛接受 数字签名算法DSA 44 DSA安全性分析 DSA算法是一个 非确定性的 数字签名算法 对于一个报文M 它的签名依赖于一个随机数 这样相同的报文就可能会具有不同的签名鉴于有限域上计算离散对数问题的进展 一般认为512比特的DSA算法无法提供长期的安全性 而1024比特的安全性则值得依赖 45 3身份认证技术 本节提示 3 1基本概念3 2常见的身份认证技术 46 3 1基本概念 身份认证是指定用户向系统出示自己身份的证明过程通常是获得系统服务所必需的第一道关卡 47 三种方式判定 一是根据你所知道的信息来证明你的身份 whatyouknow 二是根据你所拥有的东西来证明你的身份 whatyouhave 三是直接根据你独一无二的身体特征来证明你的身份 whoyouare 48 常用身份识别技术 一类是基于密码技术的各种电子ID身份识别技术 基于这种技术的数字证书和密码都存在被人盗窃 拷贝 监听获取的可能性解决办法 数字证书的载体可以采用特殊的 不易获取或复制的物理载体 如指纹 虹膜等 另一类是基于生物特征识别的识别技术 49 电子ID身份识别技术的常用方式 一种是使用通行字 password 的方式通行字是使时最广泛的一种身份识别方式另一种是使用持证的方式持证 token 是一种个人持有物 它的作用类似于钥匙 用于启动电子设备 50 通行字技术 通行字是广泛的一种身份识别方式 通行字一般由数字 字母 特殊字符 控制字符等组成的长为5 8的字符串 其选择规则为 易记 难于被别人猜中或发现 抗分析能力强 还需要考虑它的选择方法 使用期 长度 分配 存储和管理等 在网络环境下通行字方式识别的办法是 识别者A先输入他的通行字 然后计算机确认它的正确性 51 持证 token 一种嵌有磁条的塑料卡 磁条上记录有用于机器识别的个人信息 这类卡易于制造 而且磁条上记录的数据也易于转录 因此要防止仿制 智能卡 与普通磁卡的主要区别在于智能卡带有智能化的微处理器和存储器 52 安全的身份识别协议要求 一个安全的身份识别协议至少应满足以下两个条件 识别者A能向验证者B证明他的确是A在识别者A向验证者B证明他的身份后 验证者B没有获得任何有用的信息 B不能模仿A向第三方证明他是A 53 缺点 基于密码技术的各种电子ID身份识别技术如数字证书和密码都存在被人盗窃 拷贝 监听获取的可能性一种有效的解决办法是 采用特殊的 不易获取或复制的物理载体 用指纹 虹膜等安全性很高的生物特征取代安全性较差的口令 54 3 2常见的身份认证技术 基于口令的认证技术 双因子身份认证技术 生物特征认证技术 基于零知识证明的认证技术 55 基于口令的认证技术 较早的认证技术主要采用基于口令的认证方法认证方要求被认证对象提交口令信息 认证方将其与系统中存储的用户口令进行比较 以确认被认证对象是否为合法访问者这种认证方式叫做PAP认证 PasswordAuthenticationProtocol PAP协议仅在连接建立阶段进行 在数据传输阶段不进行PAP认证这种认证方法的优点在于 一般的系统如Unix WindowsNT NetWare等都提供了对口令认证的支持 56 基于口令的认证方法的不足 以明文方式输入口令 很容易被内存中运行的黑客软件记录下来而泄密 口令在传输过程中可能被截获 窃取口令者可以使用字典穷举口令或者直接猜测口令 攻击者可以利用服务系统中存在的漏洞获取用户口令 口令的发放和修改过程都涉及到很多安全性问题 低安全级别系统口令很容易被攻击者获得 从而用来对高安全级别系统进行攻击 只能进行单向认证 即系统可以认证用户 而用户无法对系统进行认证 57 双因子身份认证技术 双因子认证 two factorauthentication 一个因子是只有用户本身知道的密码另一个因子是只有该用户拥有的外部物理实体 智能安全存储介质 58 双因子身份认证技术优点 存储的信息无法复制 具有双重口令保护机制和完备的文件系统管理功能 某些智能安全存储介质还允许设置PIN猜测的最大值 以防止口令攻击 双因子认证比基于口令的认证方法增加了一个认证要素 攻击者仅仅获取了用户口令或者仅仅拿到了用户的令牌访问设备 都无法通过系统的认证 这种方法比基于口令的认证方法具有更好的安全性 59 生物特征认证技术 以人体惟一的 可靠的 稳定的生物特征为依据 采用计算机的强大功能和网络技术进行图像处理和模式识别 具有更好的安全性 可靠性和有效性 60 用于身份认证的生物识别技术 1 手写签名识别技术 2 指纹识别技术 3 语音识别技术 4 视网膜图样识别技术 5 虹膜图样识别技术 6 脸型识别 61 1 手写签名识别技术 签名动作和字迹具有强烈的个性 可作为身份验证的可靠依据 62 2 指纹识别技术 指纹作为身份验证的准确而可靠的手段指纹相同的概率不到形状不随时间变化提取方便将指纹作为接入控制的手段大大提高了其安全性和可靠性 63 3 语音识别技术 每个人说话的声音都有自己的特点 人对语音的识别能力是特别强的 在商业和军事等安全性要求较高的系统中 常常靠人的语音来实现个人身份的验证 64 4 视网膜图样识别技术 人的视网膜血管的图样具有良好的个人特征 基本方法用光学和电子仪器将视网膜血管图样纪录下来 一个视网膜血管的图样可压缩为小于35字节的数字信息 可根据对图样的节点和分支的检测结果进行分类识别 需要被识别人的合作 允许进行视网膜特征的采样 65 5 虹膜图样识别技术 虹膜是巩膜的延长部分 是眼球角膜和晶体之间的环形薄膜 其图样具有个人特征 可以提供比指纹更为细致的信息可以在35到40厘米的距离采样 比采集视网膜图样要方便 易为人所接受 66 6 脸型识别 此方面有相关研究研究了从照片识别人脸轮廓的验证系统有良好的正确率 67 现行技术 已广泛应用的是指纹识别基于生物特征的身份认证技术与传统方法相比 其优点 不易遗忘或丢失 防伪性能好 不易伪造或被盗 随身携带 随时随地可用 68 生物特征认证系统结构图 69 基于零知识证明的识别技术 零知识证明的基本思想你向别人证明你知道某种事物或具有某种东西 而且别人并不能通过你的证明知道这个事物或这个东西 也就是不泄露你掌握的这些信息 零知识证明问题 70 零知识证明的基本协议 解释零知识证明的一个通俗例子 即零知识洞穴 71 零知识证明的基本协议 设P知道咒语 可打开C和D之间的密门 不知道者都将走向死胡同 下面的协议就是P向V证明他知道这个秘密 但又不让V知道这个秘密 72 协议 V站在A点 P进入洞中任一点C或D P进入洞之后 V走到B点 V叫P a 从左边出来或 b 从右边出来 P按照V的要求实现 因为P知道该咒语 P和V重复执行上面的过程n次 73 协议分析 P的确可以使V确信他知道该咒语 但V在这个证明过程中的确没有获得任何关于咒语的信息 该协议是一个完全的零知识证明 74 4认证的具体实现 本节提示 4 1认证的具体实现原理4 2认证方式的实际应用 75 4 1认证的具体实现原理 1 使用与验证者共同知道的信息方式2 利用认证者所具有的物品进行认证 76 1 使用与验证者共同知道的信息方式 用户名与口令方式 用户名与口令是最简单的认证方式明文口令是最简洁的数据传输 保护口令不被泄密可以在用户和认证系统之间进行加密 认证数据库通常不会直接存放用户的口令 一般存放口令的hash值或是加密值 77 口令数据库的Hash存储 hash 78 口令数据库的加密存储 79 挑战 应答式 质询 响应式 口令 1 2 挑战 应答式 质询 响应式 口令是目前口令认证机制的基础 其原理适用于令牌与智能卡的认证 认证一个用户可以等同地证明这个用户拥有某个私钥 由于认证系统知道用户的公钥 因此可以选取一个随机数字发送给用户 用户收到后使用自己的私钥进行加密 然后传递给认证系统 认证者使用用户的公钥进行解密 然后比较解密结果是否等于随机数字 80 挑战 应答式 质询 响应式 口令 2 2 81 口令认证机制存在的弊端 1 口令的更新 2 口令的记忆 3 口令的概率分布人们使用的口令并非均匀随机地分布在可能的密钥空间 通常都是弱口令 例如 身份证号 生日 车牌号码 其他有意义的单词或数字等 82 口令认证机制存在的弊端 假设攻击者能够通过其他途径获得口令数据库 尽管口令数据库是口令的hash值 不能够逆向计算求得 但是 攻击者完全可以利用现有的口令字典计算口令的hash值 然后对二者进行比较 从而找到合适的匹配值 83 对口令的攻击 1 网络数据流窃听 攻击者通过窃听网络数据 如果口令使用明文传输 则可被非法截获 2 认证信息截取 重放 有的系统会将认证信息进行简单加密后进行传输 如果攻击者无法用第一种方式推算出密码 可以使用截取 重放方式 需要的是重新编写客户端软件以使用加密口令实现系统登录 84 对口令的攻击 3 字典攻击 攻击者可使用字典中的单词来尝试用户的密码 4 穷举攻击 BruteForce 也称蛮力攻击 这是一种特殊的字典攻击 它使用字符串的全集作为字典 如果用户的密码较短 很容易被穷举出来 85 对口令的攻击 5 窥探 攻击者利用与被攻击系统接近的机会 安装监视器或亲自窥探合法用户输入口令的过程 以得到口令 6 社交工程 指采用非隐蔽方法盗用口令等 比如冒充是处长或局长骗取管理员信任得到口令等等 冒充合法用户发送邮件或打电话给管理人员 以骗取用户口令等 比如 在终端上可能发现如下信息 Pleaseenteryourusernametologon Yourpassword 这很可能是一个模仿登录信息的特洛伊木马程序 他会记录口令 然后传给入侵者 86 对口令的攻击 7 垃圾搜索 攻击者通过搜索被攻击者的废弃物 得到与攻击系统有关的信息 如果用户将口令写在纸上又随便丢弃 则很容易成为垃圾搜索的攻击对象 87 安全口令具有以下特点 位数 6位 大小写字母混合 如果用一个大写字母 既不要放在开头 也不要放在结尾 可以把数字无序的加在字母中 系统用户一定用8位口令 而且包括 等特殊符号 安全口令的特点 88 不安全的口令有如下几种情况 使用用户名 帐号 作为口令 这种方法便于记忆 可是在安全上几乎是不堪一击用用户名 帐号 的变换形式作为口令 将用户名颠倒或者加前后缀作为口令使用自己或者亲友的生日作为口令使用常用的英文单词作为口令 这种方法比前几种方法要安全一些 如果选用的单词是十分偏僻的 那么黑客软件破解就需要费些力气 不安全口令的特点 89 2 利用认证者所具有的物品进行认证 利用硬件实现的认证方式安全令牌智能卡 90 安全令牌 安全性要求较高的场合使用硬件来实现认证 如安全令牌 安全令牌通常是每隔固定间隔产生一个脉冲序列的同步序列发生器 91 概念解释 令牌 令牌是一个可以为每一次认证产生不同的认证值的小型电子设备 其易于携带 认证令牌的实现有两种具体的方式时间令牌挑战 应答式令牌 92 概念解释 时间令牌 时间令牌令牌和认证服务器共同拥有一个相同的随机种子 认证时双方将当前时间和随机种子做加密或是hash运算 然后由认证服务器对这一结果进行校验比较 必须保证令牌与认证服务器的时间同步 93 概念解释 挑战应答令牌 挑战应答令牌由认证系统产生一个随机数 令牌和认证系统使用同样的密钥对这个数字进行加密或是hash变换 然后进行校验 94 智能卡 智能卡卡中存储有用户的私钥 登录信息和用于不同目的的公钥证书 如数字签名证书和数据加密证书等提供了抗修改能力 用于保护其中的用户证书和私钥 95 4 2认证方式的实际应用 目前实用的认证方式有S key防止窃听和重放KerberosRadius 96 S key认证方式 攻击者通过监听网络中的信息 可以获得用户的帐号和口令 可以利用重放等方式非法进入系统S key是一个一次性口令系统 可以用来对付上述攻击 97 S key认证方式的特点 使用S key系统时 网络中传送的帐户和口令只使用一次后就销毁 用户使用的源口令永远也不会在网络上传输 包括登录时或其它需要口令的情形 这样就可以保护用户的帐户和口令不会因此而被窃取 98 使用S key类系统两方面的操作 在用户方 必须有方法产生正确的一次性口令 在服务器方必须能够验证该一次性口令的有效性