身份认证PPT课件.ppt

第七章身份认证 身份认证是信息安全理论的重要组成部分 它以密码理论为基础 同时也是访问控制和审计的前提 因此对网络环境下的信息安全尤其重要 本章重点讲述身份认证的作用 原理 实现和发展 7 1身份认证基础正确识别主体 用户 节点或终端等 的身份十分重要 如 银行系统的自动取款机 ATM 用户可以直接 1 从取款机中提取现款 但ATM首先要确认用户的身份 否则恶意欺诈会给银行和用户造成损失 身份认证是指是证实主体的真实身份与其所声称的身份是否相符的过程 这一过程是通过特定的协议和算法来实现的 7 1 1物理基础身份认证的物理基础可以分为三种 1 用户所知道的 somethingtheuserknows 2 用户拥有的 somethingtheuserpossesses 3 用户的特征 somethingtheuserisorhowhe shebehaves 2 第一类的例子是最常用的密码和口令 第二类的例子有身份证 护照 密钥盘等 第三类包括用户的生物特征 如指纹 红膜 DNA 声纹 还包括用户的下意识行为 比如签名 这三类物理基础各有利弊 第一类方法最简单 系统开销最小 但是最不安全 第二类泄漏秘密的可能性比较小 因而安全性比第一类高 但是认证系统相对复杂 第三类的安全性最高 比如想窃取一个人的指纹是很困难的 但是涉及更复杂的算法和实现技术 针对前两类基础的技术起步较早 目前相对成熟 应用比较广泛 有关第三类的技术也由于它在安全性上的优 3 势正在迅速发展 7 1 2数学基础示证者P试图向验证者V证明自己知道某信息 一种方法是P说出这一信息使得V相信 这样V也知道了这一信息 这是基于知识的证明 另一种方法是使用某种有效的数学方法 使得V相信他掌握这一信息 却不泄露任何有用的信息 这种方法被称为零知识证明问题 零知识证明可以分为两大类 最小泄露证明 MinimumDisclosureProof 和零知识证明 ZeroKnowledgeProof 4 最小泄露证明需要满足 1 P几乎不可能欺骗V 如果P知道证明 他可以使V以极大的概率相信他知道证明 如果P不知道证明 则他使得V相信他知道证明的概率几乎为零 2 V几乎不可能知道证明的知识 特别是他不可能向别人重复证明过程 零知识证明除了要满足以上两个条件之外 还要满足第三个条件 3 V无法从P那里得到任何有关证明的知识 5 图7 1零知识问题 6 零知识证明最通俗的例子是图7 1中的山洞问题 图中的山洞里C D两点之间有一扇上锁的门 P知道打开门的咒语 按照下面的协议P就可以向V证明他知道咒语但是不需要告诉V咒语的内容 V站在A点 P进入山洞 走到C点或D点 当P消失后 V进入到B点 V指定P从左边或者右边出来 P按照要求出洞 如果需要通过门 则使用咒语 P和V重复 步骤n次 7 如果P知道咒语 他一定可以按照V的要求正确的走出山洞n次 如果P不知道咒语并想使V相信他知道咒语 就必须每次都事先猜对V会要求他从哪一边出来 猜对一次的概率是0 5 猜对n次的概率就是0 5n 当n足够大时 这个概率接近于零 因此山洞问题满足零知识证明的所有条件 7 1 3协议基础认证协议可以分为双向认证协议 mutualauthenticationprotocol 和单向认证协议 one wayauthenticationprotoCol 双向认证协议是最常用的协议 它使得通信双方互相认证对方的身份 单向认证协议是通信的一方认证另 8 一方的身份 比如服务器在提供客户申请的服务之前 先要认证客户是否是这项服务的合法用户 但是不需要向用户证明自己的身份 基于对称密钥的认证协议往往需要双方事先已经通过其他方式 比如电话 信函或传递等物理方法 拥有共同的密钥 而基于公钥的认证协议的双方一般需要知道对方的公钥 公钥的获得相对于对称密钥要简便 比如通过CA获得对方的数字证书 这是基于公钥的认证协议的优势 但是 公钥的缺点是加解密速度慢 代价大 所以认证协议的最后 双方要协商出一个对称密钥作为下一步通信的会话密钥 产生会话密钥还有安全性方面的考虑 一旦 9 会话密钥泄漏 则只会泄漏本次通信的内容 而不会带来更大的损失 而且通信者发现会话密钥泄漏后 就可以用原有的密钥协商出新的会话密钥 重新开始新的会话 所以 无论是基于公钥的还是基于对称密钥的认证协议 都经常要产生对称会话密钥 在针对协议的攻击手法中 消息重放攻击 replay攻击 是一种很常用的主动攻击 消息重放攻击最典型的情况是 A与B通信时 第三方C窃听获得了A过去发给B的报文M 然后冒充A的身份将M发给B 希望能够以A的身份与B建立通信 并从中获得有用信息 在最坏情况下 重放攻击可能导致被攻击者误认对方身份 暴露密钥和其 10 他重要信息 至少也可以干扰系统的正常运行 两种防止重放攻击的常用方式是时间戳方式和提问 应答方式 时间戳 TimeStamp 方式的基本思想是 A接受一个新消息仅当该消息包含一个时间戳 并且该时间戳在A看来是足够接近A所知道的当前时间 这种方法要求不同参与者之间的时钟同步 时间戳方法不能用于面向连接的应用 最大的困难是时钟同步问题 11 1 由于某一方的时钟机制故障可能导致临时失去同步 这将增大攻击成功的机会 2 由于变化的和不可预见的网络延迟 不能期望分布式时钟保持精确的同步 因此 任何基于时间戳的过程必须采用时间窗的方式来处理 一方面 时间窗应足够大 以包容网络延迟 另一方面 时间窗应足够小 以最大限度地减小遭受攻击的机会 另一种提问 应答 Challenge Response 方式不需要时钟同步 提问 应答方式的基本原理是 A期望从B获得一个新消息 首先发给B一个临时值 challenge 并要求后续 12 从B收到的消息 response 中包含正确的这个临时值或是由这个临时值进行某种事先约定的计算的正确结果 这个临时值往往是一个随机数 称为现时 nonce 提问 应答方式的缺点是不适应非连接性的应用 因为它要求在传输开始之前先有握手 要求实时性较高 7 2身份认证协议认证协议按照认证的方向可以分为双向认证协议和单向认证协议 按照使用的密码技术可以分为基于对称密码的认证协议和基于公钥密码的认证协议 本节基于这两种分类介绍并分析几种基本的认证协议 13 7 2 1双向认证协议双向认证就是使通信双方确认对方的身份 适用于通信双方同时在线的情况 7 2 1 1基于对称密码的双向认证协议Needham Schroeder是一个基于对称加密算法的协议 它要求有可信任的第三方KDC参与 采用Challenge Response的方式 使得A B互相认证对方的身份 协议过程是 14 1 2 3 4 5 其中 KDC是密钥分发中心 IDA表示A的身份唯一标识 密钥Ka和Kb分别是A和KDC B和KDC之间共享的密钥 N1和N2是两个nonce f N 是对N进行一个运算 比如f N N 1 本协议的目的是认证A和B的身份后 安全地分发一个会话密钥Ks给A和B 15 第 1 步 A向KDC申请要和B通信 A在第 2 步安全地得到了一个新的会话密钥 第 3 步 只能由B解密并理解 B也获得会话密钥 第 4 步 B告诉A已知道正确的Ks了 从而证明了B的身份 第 5 步表明B相信A也知道Ks 从而认证A的身份 第 4 5 步的目的是为了防止某种类型的重放攻击 特别是如果敌方能够在第 3 步捕获该消息并重放之 这将在某种程度上干扰破坏B方的运行操作 由于除了KDC之外只有A知道Ka 只有B知道Kb 所以双方都可以向对方证明自己的身份 16 但是 这个协议仍然有漏洞 假定攻击方C已经掌握A和B之间通信的一个老的会话密钥 C可以在第 3 步冒充A 利用老的会话密钥欺骗B 除非B记住所有以前使用的与A通信的会话密钥 否则B无法判断这是一个重放攻击 然后 如果C可以中途阻止第 4 步的握手信息则可以冒充A在第 5 步响应 从这一点起C就可以向B发送伪造的消息 而B认为是在与A进行正常通信 17 Denning结合了时间戳的方法 进行了改进 1 2 3 4 5 其中 T是时间戳 是KDC时钟与本地时钟 A或B 之间差异的估计值 是预期的网络延迟时间 18 Denning协议比Needham Schroeder协议在安全性方面增强了一步 然而又提出新的问题 即必须依靠时钟同步 可能发生针对时钟同步的攻击 如果发送者的时钟比接收者的时钟要快 攻击者就可以从发送者处窃听消息 并等待时间戳对接收者来说成为当前时重放给接收者 这种重放将会得到意想不到的后果 称为抑制重放攻击 7 2 1 2基于公钥密码的双向认证协议使用公钥密码算法 可以克服基于对称密码的认证协议中的问题 请看WOO92b协议 同样需要有可信的第三方参与 19 1 2 3 4 5 6 7 其中 KUa是A的公钥 KRa是A的私钥 KUauth是KDC的公钥 KRauth是KDC的私钥 20 第1步 A向KDC提出和B通信 第2步 A得到B的公钥 第3步 A向B提出通信要求 包含一个现时 第4步 B向KDC询问A的公钥 第5步 B得到A的公钥和一段KDC签名的报文 第6步 B将这段报文和现时Nb发给A A在KDC签名的保文中找到Na 知道这不是一个重放 第7步 A使用刚得到的会话密钥回答B 协议中 A和B都向KDC索取对方的公钥 如果对方能正确解密用其公钥加密的消息 就能够证明对方的身份 21 7 2 2单向认证协议许多单向认证的应用 比如email 不需要双方同时在线 一方在向对方证明自己身份的同时 即可发送数据 另一方收到后 首先验证发送方的身份 如果身份有效 就可以接受数据 单向认证协议中只有一方向另一方证明自己的身份 因此过程一般都相对简单 下面是一个不需要第三方的基于对称密码的单向认证协议 要求A和B事先拥有共享密钥 22 1 2 3 第1步 A将自己的身份和一个nonce发给B 希望和B通信 第2步 B生成一个会话密钥Ks 连同对A的nonce的应答和一个新的nonce一起用两人的共享密钥加密后发给A A收到后 用共享密钥解密得到nonce的正确应答 则相信B的身份 同时得到Ks 第3步 A计算出第2个nonce的应答 用Ks加密 发给B B收到后如果能正确解密出应答 则相信A的身份 因为只有A拥有两人的共享密钥 23 这种方案的缺点是双方都必须等待对方的回答 不适用于双方不同时在线的情况 基于第三方的方案可以避免这一问题 第三方一般长期在线 双方都可以及时和第三方进行通信 下述方案要求通信双方都事先与第三方有共享密钥 1 2 3 第1步 A向KDC要求和B通信 同时发给KDC一个noNce 第2步 KDC发给A一个用A的密钥加密的消息 包括一个会话密钥 A发的nonce 一段用B的密钥加密的消 24 息 A解密得到 第3步 A将以B的密钥加密的那段消息和用加密的数据一起发给B B收到后首先解密得到A的身份标识和 然后就可以解密A发来的数据了 以上方案中 A向B认证自己身份的同时将数据一同发给B 并不要求B当时在线 但是这种方案不能抵挡重防攻击 B收到第3条消息不能判定这是一个真实的消息还是一个重防 基于公钥密码的单向身份认证协议可以非常简单 如下方案 25 这种方案要求A B互相知道对方的公钥 首先 A用B的公钥加密一个会话密钥 然后A用会话密钥加密数据和用自己私钥签名的报文摘要 A将这些内容一起发送给B B收到后 首先用自己私钥解密出会话密钥 然后解密报文和A的签名 最后计算出报文摘要验证A的签名 从而确定A的身份 7 3身份认证的实现本节讲述实际应用中的几种身份认证协议 26 7 3 1拨号认证协议在拨号环境中 要进行两部分的认证 首先是用户的调制解调器和网络访问服务器 NAS 之间使用PPP认证协议认证 这类认证协议包括PAP CHAP等 然后NAS和认证服务器进行认证 这类协议包括TACACS RADIUS等 整个认证过程可以用图7 2表示 图7 2拨号网络认证 27 PPP PointtoPointProtocol 是点对点链路上的标准化InternetIP封装 在建立了链路之后 开始网络层协议之前 PPP提供了一个可选的认证阶段 图7 3是PPP的帧格式 其中各个字段的含义如下 1 标志 单字节 值为01111110 指示一帧的开始或结尾 2 地址 单字节 值为11111111 标准广播地址 28 3 控制 单字节 值为00000011 请求无序列帧中用户数据的传输 4 协议 双字节 标识封装在信息字段使用的协议 5 FCS FrameCheckSequence 即帧检查序列 7 3 1 1PPP口令认证协议口令认证协议 PasswordAuthenticationProtocol PAP 结构简单 使对等实体通过双向握手进行认证 图7 4是PPPPAP建立初始链路的帧格式 29 图7 4PPPPAP帧格式 30 将PPP帧中的协议字段设置为0 xC023 信息字段内为PAP协议内容 其中 各字段的解释是 1 类型 a 认证要求 2 认证确认 c 认证否认 2 标识符 单字节 帮助匹配请求和应答 3 长度 双字节 指出PAP包的长度 包括代码 标识符 长度和数据字段 4 数据 0或多个字节链路建立起来以后 使用包含对等实体名称和口令的认证请求包初始化PAP认证 认证请求包内的信息字段格式如图7 5 31 请求者不停发送认证请求包 直到收到一个回复包或者重试计数器过期 认证者收到请求者发来的一个对等ID 口令 Peer ID Password 对后对其进行比较 如果这个对等ID 口令对是可识别 可接受的 认证者回复Authenticate Ack AuthenticateAcknowledge 如果不可识别或者 图7 5PPPPAP认证请求帧格式 32 不可接受 认证者回复Authenticate Nak AuthenticateNegativeAcknowledge PAP不是强健的认证协议 缺点主要有以下几点 1 PAP只认证对等实体 2 口令在电路中以明文传输 3 没有防止重防攻击或者反复的攻击 7 3 1 2PPP质询 握手协议质询 握手协议 Challenge HandshakeAuthenticationProtocol CHAP 使用三次握手的方式 周期性地认证被认证者的身份 一旦连接建立起来 协议执行 并且可以在任意时刻重复执行 33 CHAP共有4种帧类型 图7 6是CHAP的帧格式 将PPP帧中的协议字段设置为0 xC223 信息字段内为CHAP协议内容 其中 各字段的解释是 1 类型 a 质询 b 响应 c 失败 d 成功 2 标识符 单字节 帮助匹配请求和应答 图7 6PPPCHAP帧格式 34 3 长度 双字节 指出CHAP包的长度 包括代码 标识符 长度和数据字段 4 数据 0或多个字节CHAP采用基于nonce的Challenge Response算法 要求两个相互认证的实体事先共享一个密钥 如果需要双向认证 可以将CHAP按两个相反的方向执行两次 两次执行可以使用同一个共享密钥 但是更好的做法是使用两个不同的共享密钥 CHAP的具体认证过程是 1 链路建立完成后 认证者发给被认证者一个 35 challenge 这个challenge具有唯一的标识符 2 被认证者以challenge作为一个单向Hash函数的输入 计算出response 发回给认证者 报文中还包括challenge的标识符 因为有可能认证者收不到response 所以response是可以重发的 为了说明这个response是哪个challenge的应答 所以要包含challenge的标识符 3 认证者比较收到的response和自己的计算结果是否相同 然后发送一个成功或者失败的消息给被认证者 被认证者发送response之后如果一定时间以后仍旧收不到成功或失败的结果 就会重发response 36 7 3 1 3TACACS 协议TACACS协议是一种基于UDP的协议 最初由BBN开发 之后被Cisco多次扩展 TACACS 是TACACS的最新版本 基于TCP协议 TACACS 是客户机 服务器型协议 TACACS 客户机通常是一个NAS 而TACACS 服务器是一个监控程序 监听49号端口 TACACS 的基本设计组件有认证 授权和记账 1 TACACS 认证TACACS 的认证是可选的 可以根据需要进行设 37 设置 TACACS 允许TACACS 客户端采用任意认证协议 PPPPAP PPPCHAP Kerberos等 在拨号网络环境中 通常使用PPPPAP或PPPCHAP 另外 TACACS 的认证交换包可以包括任意的长度和内容 TACACS 认证用到3种类型的包 START 由TACACS 客户机发送给TACACS 服务器CONTINUE 由TACACS 客户机发送给TACACS 服务器 REPLY 由TACACS 服务器发送给TACACS 客户机 38 TACACS 的认证过程有以下3步 客户机发送一个START包给服务器 START包的内容包括被执行的认证类型 明文口令 PPPPAP或PPPCHAP等 还可能包括用户名等其他认证数据 START包只在一个认证会话开始时使用一次 序列号永远是1 服务器收到START包以后 回送一个REPLY包 指示认证继续还是结束 如果认证继续 REPLY包还需要指出需要哪些新信息 如果客户机收到认证结束的REPLY包 则认证结束 如果收到认证继续的REPLY包 则向服务器发送CONTINUE包 其中包括服务器要求的信息 如此反复 直到认证结束 39 2 TACACS 授权认证结束后 TACACS 客户机可以启动授权过程 如果一个未被认证的用户请求授权 由授权代理决定是否为其提供服务 TACACS 授权过程分为以下两步 客户端向服务器发送一个REQUEST包 内容包括用户和过程的真实性 请求授权的服务和选项 服务器回复客户端一个RESPONSE包 40 3 TACACS 记账TACACS 在完成认证和授权之后通常要进行记账 TACACS 有3种类型的记账记录 开始记录 StartRecords 指示一个服务即将开始 停止记录 StopRecords 指示一个服务已经停止 更新记录 UpdateRecords 指示一个服务仍在进行 TACACS 记账记录包括了授权记录的全部信息 还包括了开始 结束时间等额外信息 41 7 3 1 4RADIUS协议RADIUS RemoteAddressDial InUserService 是基于UDP的访问服务器认证和记账的客户机 服务器型协议 由LivingstonEnterprises公司开发 RADIUS客户机通常是一个NAS 而服务器是一个监控程序 RADIUS服务器同时可以作为其他RADIUS服务器的代理客户机 也可以作为其他任意类型的认证服务器的客户机 RADIUS的基本设计组件有认证 授权和记账 1 RADIUS认证与授权RADIUS的认证与授权结合在一起 可以支持多种认证 42 方法 包括PPPPAP PPPCHAP UNIX登陆等 RADIUS的认证 授权过程有以下两步 RADIUS客户机向RADIUS服务器发送Access Request包 内容包括用户名 加密口令 客户机的IP地址和端口号 以及用户想要启动的会话类型 RADIUS服务器收到Access Request包后 在数据库中查询是否有此用户名的记录 如果没有 则加载一个默认的配置文件 或者返回一个Access Reject消息 内容为拒绝访问的原因 如果数据库中有此用户名并且口令正确 服务器返回一个Access Accept消息 内容包括用于该次会话的参数 包括服务类型 协议类型 分配给用户的IP地址 应用的访问列表或者NAS路由表中的静态路由 属性 43 2 RADIUS记账RADIUS的记账独立于RADIUS的认证和授权 RADIUS的记账功能使得在会话开始或结束时发送数据 指示会话期间所使用的资源量 时间 字节 包的数量等 7 3 2Kerberos认证协议Kerberos是由美国麻省理工学院 MIT 最初提出的 现在最常用的版本是第4版和第5版 第5版主要是修补了第4版中的一些安全漏洞 Kerberos是为TCP IP网络设计的第三方鉴别协议 本节主要介绍它的设计动机 模型和第5版的认证过程 44 7 3 2 1Kerberos设计动机Kerberos需要解决的问题是 在一个公开的分布式网络中 工作站上的用户需要访问分布在网络中的服务器 所以希望服务器能够限制授权用户的访问 并能鉴别服务请求 Kerberos的解决方案是调用每项服务时都需要用户证明自己的身份 同时也需要服务器向用户证明自己的身份 第一个有关Kerberos的公开发表的报告列举了如下的Kerberos需求 45 1 安全 网络窃听者不能获得必要信息以假冒其它用户 并且 Kerberos应足够强壮以至于潜在的敌人无法找到它的脆弱的连接 2 可靠 Kerberos应高度可靠 应该使用分布式服务器体系结构 并且能够使得一个系统备份另一个系统 3 透明 理想情况下 除了输入口令以外用户应感觉不到认证的发生 4 可伸缩 系统应能够支持大数量的客户和服务器 46 为了满足这些要求 Kerberos的总体方案是通过协议实现可信的第三方认证服务 这个协议是以Needham Schroeder协议为基础的 假设Kerberos的协议设计得足够好 而且Kerberos服务器是安全的 那么认证服务就应该是安全的 Kerberos采用对称加密 其中第4版要求使用DES算法 7 3 2 2Kerberos模型Kerberos模型中 实体包括客户机和服务器 客户机可以是用户 也可以是需要处理事物的独立的软件程序 例如下载文件 发送消息 访问数据库 访问打印机等 47 Kerberos系统中有一个数据库保存所有的客户的秘密密钥 需要鉴别的网络服务以及希望使用这些服务的客户机 需要向Kerberos注册秘密密钥 由于Kerberos系统知道每个客户的秘密密钥 所以它可以向一个实体证实另一个实体的身份 然后可以产生一个会话密钥供双方通信使用 当这次会话结束后 Kerberos会自动销毁会话密钥 在Kerberos的认证过程中 需要使用两种凭证 票据 ticket 和鉴别码 authenticator 票据用于客户秘密的向服务器发送自己的身份标识 48 同时 服务器还可以通过票据中的信息证实使用票据的和发送票据的是同一个客户 鉴别码是另外一个凭证 与票据一同发送 票据的格式是 其中 c是客户机的标识 s是服务器的标识 Tc s是客户机c使用服务器s的票据 Ks是s的秘密密钥 v是票据的有效起止时间 Kc s是c和s的会话密钥 客户一旦获得票据 就可以多次使用它来访问服务器 直到票据过期 49 鉴别码用来证明票据的发送方就是票据的拥有者 格式是 其中 Ac s是客户机c到服务器s的鉴别码 t是时间戳 key是可选附加会话密钥 每个鉴别码只能使用一次 但是客户可以根据需要产生鉴别码 鉴别码的作用是 它是以会话密钥加密的 表明发送者也知道密钥 加封的时间戳使得攻击者无法重放 在Kerberos系统中 有两种专门的服务器用于认证 鉴别服务器 AS 和票据许可服务器 TGS 鉴别服务 50 只有一个 票据许可服务器可以有多个 由于协议中使用了时间戳 所以系统中有一套同步机制 7 3 2 3Kerberos认证过程在第5版的整个认证过程中 消息有以下5个 1 2 3 4 5 51 c是客户 AS是鉴别服务器 TGS是票据许可服务器 s是c要使用的服务器 其余标记与前面相同 这一过程分为三个阶段 参见图7 7 1 票据许可票据的获取客户给Kerberos鉴别服务器发送一个消息 包含客户名和票据许可服务器名 在实际实现中 一般是客户将自己的客户名输入系统 然后由注册程序发送该请求 鉴别服务器在数据库中查找客户信息 如果客户在数据库中 鉴别服务器就为客户和TGS生成一个会 52 话密钥 并用客户的秘密密钥加密 另外 鉴别服务器为客户产生一个票据许可票据 TicketGrantingTicket TGT 并用TGS的秘密密钥加密 用来让客户向TGS证明自己的身份 鉴别服务器将这两部分一起发送给客户 客户收到后 解密第一部分 获得会话密钥 将TGT直接保存起来 这样 客户可以在TGT的有效期内向TGS证明自己的身份 2 请求许可票据的获取客户必须为他想使用的每一项服务申请请求许可票据 TGS就负责给每个服务器分配票据 53 客户需要使用一个自己没有票据的新服务时 就将TGT和一个用会话密钥加