第05章 数字签名与身份认证

1、第第5章章 数字签名与身份认证数字签名与身份认证 沈阳航空航天大学沈阳航空航天大学回顾：消息鉴别的概念回顾：消息鉴别的概念报文鉴别报文鉴别MessageAuthentication鉴别：消息的接收者对消息进行的验证。鉴别：消息的接收者对消息进行的验证。u真实性：消息确实来自于其真正的发送者，而非假冒；u完整性：消息的内容没有被篡改。鉴别对防止主动攻击、保护开放网络中信息鉴别对防止主动攻击、保护开放网络中信息系统的安全性有重要作用系统的安全性有重要作用Message消息消息报文报文Authentication鉴别鉴别认证认证沈阳航空航天大学沈阳航空航天大学不可否认性的应用需求不可否认性的应用需求

2、网络通信中，希望有效防止通信双方的欺骗和抵赖行为。1简单的报文鉴别技术只能使通信免受来自第三方的攻击,无法防止通信双方之间的互相攻击。2数字签名技术为此提供了一种解决方案。3B 伪造一个不同的消息，但声称是从 A 收到的；AA可以否认发过该消息，B无法证明 A确实发了该消息;B原因：鉴别技术基于秘密共享。C沈阳航空航天大学沈阳航空航天大学数字签名数字签名 数字签名（Digital Signature）是公开密钥体系加密技术发展的一个重要的成果。 数字签名的功能数字签名的功能是对现实生活中笔迹签名的功能模拟。是对现实生活中笔迹签名的功能模拟。 (1)必须能够用来证实签名的作者和签名的时间。必须能

3、够用来证实签名的作者和签名的时间。 对消息进行签名时，必须能够对消息的内容进行鉴别。对消息进行签名时，必须能够对消息的内容进行鉴别。 签名应具有法律效力，必须能被第三方证实用以解决争端。签名应具有法律效力，必须能被第三方证实用以解决争端。 必须包含对签名进行鉴别的功能。必须包含对签名进行鉴别的功能。数字签名的设计目标数字签名的设计目标 签名的比特模式是依赖于消息报文的，也就是说，数据签名是以消息签名的比特模式是依赖于消息报文的，也就是说，数据签名是以消息报文作为输入计算出来的，签名能够对消息的内容进行鉴别；报文作为输入计算出来的，签名能够对消息的内容进行鉴别；数据签名对发送者来说必须是惟一的，

4、能够防止伪造和抵赖；数据签名对发送者来说必须是惟一的，能够防止伪造和抵赖；产生数字签名的算法必须相对简单易于实现，且能够在存储介质上保产生数字签名的算法必须相对简单易于实现，且能够在存储介质上保存备份；存备份；对数字签名的识别、证实和鉴别也必须相对简单，易于实现；对数字签名的识别、证实和鉴别也必须相对简单，易于实现；伪造数字签名在计算上是不可行的，无论攻击者采用何种方法（利用伪造数字签名在计算上是不可行的，无论攻击者采用何种方法（利用数字签名伪造报文，或者对报文伪造数字签名）。数字签名伪造报文，或者对报文伪造数字签名）。沈阳航空航天大学沈阳航空航天大学数字签名的分类数字签名的分类直接数字签名直

5、接数字签名仲裁数字签名仲裁数字签名无条件安全的数字签名无条件安全的数字签名计算上安全的数字签名计算上安全的数字签名一次性的数字签名一次性的数字签名多次性的数字签名多次性的数字签名分类沈阳航空航天大学沈阳航空航天大学直接数字签名直接数字签名实现比较简单，在技术上仅涉及到通信的源点A和终点B双方。1前提条件:(1)采用公开密钥算法采用公开密钥算法 (2)接收者接收者B需要了解发送者需要了解发送者A 的公开密钥的公开密钥KUA2发送方A可以使用其私有密钥KRA对整个消息报文进行加密来生成数字签名。3更好的方法是使用KRA对消息报文的散列码进行加密来形成数字签名。4沈阳航空航天大学沈阳航空航天大学直接

6、数字签名直接数字签名(对整个明文加密对整个明文加密)A-B:提供认证和签名、无保密性。Source ADestination BMMEKRaCEKRa(M)DKUa沈阳航空航天大学沈阳航空航天大学直接数字签名直接数字签名(整个明文加密整个明文加密)A-B:提供认证和签名、保密性。Source ADestination BMEKRaCEKUb(EKRa(M)DKUaMCCEKUbDKRbEKRa(M)EKRa(M)签名签名保密保密认证认证沈阳航空航天大学沈阳航空航天大学直接数字签名（对散列码加密）直接数字签名（对散列码加密） AB: M | EKRA H(M) u提供了认证与签名提供了认证与签名

7、 AB: EK M | EKRA H(M) u 提供了保密（提供了保密（K）、认证与签名（）、认证与签名（KRa ）沈阳航空航天大学沈阳航空航天大学直接数字签名的安全性直接数字签名的安全性方案的安全性依赖于发送方A私有密钥的安全性。 u发送方可以声称自己的私有密钥丢失或被盗用，而否发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过某个报文。认其发送过某个报文。 改进：每个签名报文中包含一个时间戳。 问题：问题：A的私有密钥确实在时间的私有密钥确实在时间 T 被窃取；被窃取；攻击者窃取攻击者窃取 A的密钥后，则可能发送带有的密钥后，则可能发送带有 A的签名的签名报文，附上一个等于报文，附上

8、一个等于 T 的时间戳，接收者无法判别。的时间戳，接收者无法判别。沈阳航空航天大学沈阳航空航天大学基于仲裁的数字签名基于仲裁的数字签名通过引入仲裁来解决直接签名方案中的问题1仲裁者必须是一个所有通信方都能充分信任的仲裁机构。2基本工作方式（假定用户A和B之间进行通信）：3AB每个从每个从A发往发往B的签名报文首先被送给仲裁者的签名报文首先被送给仲裁者T；T检验该报文及其签名的出处和内容，然后对报文注明日检验该报文及其签名的出处和内容，然后对报文注明日期，并附加上一个期，并附加上一个“仲裁证实仲裁证实”的标记发给的标记发给B。沈阳航空航天大学沈阳航空航天大学基于仲裁的数字签名基于仲裁的数字签名实

9、现的方案u基于对称密钥的方案基于对称密钥的方案u基于公开密钥的方案基于公开密钥的方案TAB1:消息签名2：消息、签名仲裁的验证沈阳航空航天大学沈阳航空航天大学基于仲裁的数字签名基于仲裁的数字签名-对称密钥加密方式对称密钥加密方式发送方A和仲裁T共享一个密钥KTA 。 数字签名由A的标识符IDA和报文的散列码H(M)构成 ，用密钥KTA进行加密。过程：(1)A T ：MEKTA( IDAH(M) )。(2)T B ：EKTB( IDAMEKTA( IDAH(M) )T )。 (3) B存储报文M及签名。 争端解决方式（争端解决方式（A否认发送了报文否认发送了报文M的时候）的时候）B T ：EKT

10、B( IDAMEKTA( IDAH(M) ) )。仲裁仲裁T可用可用KTB恢复出恢复出IDA 、M及签名，然后再用及签名，然后再用KTA对签名解密并验证对签名解密并验证其散列码。其散列码。特点特点：B 不能直接验证不能直接验证 A 的签名。的签名。双方都需要高度相信双方都需要高度相信 T: (1)B 相信相信 T 已对消息认证，已对消息认证，A 不能否认其签名；不能否认其签名； (2)A 信任信任 T 没有暴露没有暴露 KTA，无人，无人可伪造可伪造EKTA( IDAH(M) )； (3)双方都信任双方都信任 T 处理争议是公正。处理争议是公正。问题：问题： (1)报文报文 M 明文传送，有可

11、能被窃听。明文传送，有可能被窃听。 (2)若仲裁若仲裁T不可信，则不可信，则T 可能伪造数字签名。可能伪造数字签名。改进明文加密的方案改进明文加密的方案A T ：IDAEKAB (M)EKTA( IDAH (EKAB(M) )。T B ：EKTB( IDAEKAB (M)EKTA( IDAH (EKAB(M)T )。特征：特征：A与与 B 之间共享密钥之间共享密钥 KAB 。DS 的构成：的构成：IDA和消息密文的散列码用和消息密文的散列码用 KTA 加密。加密。DS 的验证：的验证：T 解密签名，用散列码验证消息。解密签名，用散列码验证消息。 -T 只能验证消息的密文，而不能读取其内容。只能

12、验证消息的密文，而不能读取其内容。T将来自将来自 A 的所有信息加上时间戳并用的所有信息加上时间戳并用 KTB 加密后发送给加密后发送给B 。问题：问题：T 和发送方和发送方 A 联手可以否认签名的信息。联手可以否认签名的信息。T和接收方和接收方 B联手可以伪造发送方联手可以伪造发送方 A 的签名。的签名。因为签名所使用的密钥是因为签名所使用的密钥是T 与用户共享的。与用户共享的。沈阳航空航天大学沈阳航空航天大学基于仲裁的数字签名基于仲裁的数字签名公开密钥加密方式公开密钥加密方式特点：仲裁者看不见消息的内容。过程：uA 对报文对报文 M 进行两次加密进行两次加密。u经过双重加密后，报文经过双重

13、加密后，报文 M 只有只有 B 能够阅读，能够阅读，T 不不能读取能读取 AT： IDA | EKRA IDA | EKUB EKRA(M) uT 能进行外层的解密，从而证实报文确实是来自能进行外层的解密，从而证实报文确实是来自 A 的的因为只有 A 拥有KRA 。u验证后验证后 T 向向 B 发送用发送用 KUB 加密的报文，其中包括加密的报文，其中包括时间戳时间戳 T TB： EKRT IDA | EKUB EKRA(M) | T优点：优点：通信各方之间无须共享任何信息，从而避免了联手作弊；通信各方之间无须共享任何信息，从而避免了联手作弊；T 能进行外层的解密，从而证实报文确实是来自能进行

14、外层的解密，从而证实报文确实是来自A 的；的；只要只要KRT 安全，则不会出现伪造安全，则不会出现伪造T 发送的消息；发送的消息；消息的内容是保密的，包括对消息的内容是保密的，包括对T 在内。在内。沈阳航空航天大学沈阳航空航天大学数字签名算法数字签名算法普通数字签名算法uRSARSAuDSS/DSADSS/DSA不可否认的数字签名算法群签名算法盲签名算法公布于公布于1994 年年5月月19日的联邦记录上，并于日的联邦记录上，并于1994年年12月月1日采纳为标准日采纳为标准DSS。DSS最早发表于最早发表于1991年，并于年，并于1993年和年和1996年进年进行了修改。行了修改。 DSS基于

15、安全散列算法（基于安全散列算法（SHA）并设计了一种新）并设计了一种新的数字签名技术，即的数字签名技术，即DSA（数字签名算法）。（数字签名算法）。特点特点 -DSS的签名比验证快得多的签名比验证快得多 -DSS不能用于加密或者密钥分配不能用于加密或者密钥分配群中各个成员以群的名义匿名地签发消。具备下列群中各个成员以群的名义匿名地签发消。具备下列三个特性三个特性 (1)(1)只有群成员能代表所在的群签名只有群成员能代表所在的群签名 (2)(2)接收者能验证签名所在的群接收者能验证签名所在的群, ,但不知道签名者但不知道签名者 (3)(3)需要时需要时, ,可借助于群成员或者可信机构找到签可借助

16、于群成员或者可信机构找到签名者名者应用应用: : 投标投标盲签名要求盲签名要求: : (1)(1)消息内容对签名者不可见消息内容对签名者不可见 (2)(2)签名被接收者泄漏后签名被接收者泄漏后, ,签名者无法追踪签名签名者无法追踪签名应用应用: : 电子货币电子货币, ,电子选举电子选举盲签名过程盲签名过程: : 消息消息盲变换盲变换签名签名接收者接收者逆盲变换逆盲变换沈阳航空航天大学沈阳航空航天大学RSA签名方案签名方案网络报文报文MH()密钥密钥KRa加密加密E()MEKRaH(M)解密解密D()密钥密钥KUaH()比较比较MEKRaH(M)问题问题:速度慢速度慢信息量大信息量大第三方仲裁

17、时必须暴露明文信息第三方仲裁时必须暴露明文信息沈阳航空航天大学沈阳航空航天大学身份认证技术身份认证技术身份认证一个最主要的应用领域数字签名鉴别技术沈阳航空航天大学沈阳航空航天大学身份认证系统的需求身份认证系统的需求1身份认证2身份认证系统中的角色：示证者、验证者、仲裁、攻击者3认证的基本思想是通过验证称谓者的一个或多个参数的真实性和有效性，以验证其是否名副其实4身份认证是系统对网络主体进行验证的过程，用户必须证明他是谁(1)(1)对用户身份的证实对用户身份的证实(2)(2)用以识别合法或非法的用户，用以识别合法或非法的用户，阻止非授权用户访问网络资源阻止非授权用户访问网络资源沈阳航空航天大学沈

18、阳航空航天大学认证使用的数字化证件认证使用的数字化证件只有该主体了解的秘密，如口令、密钥1主体随身携带的物品，如智能卡和令牌卡2主体具有的独一无二的特征或能力，如指纹、声音或签名3非时变证件和时变证件4n非时变证件：非时变参数构成非时变证件：非时变参数构成 可采用在保密条件下预先产生比特模式并存储作为认证证件证n时变证件：随时间变化的参数构成时变证件：随时间变化的参数构成 在使用时适时的产生比特模式作为认证证件沈阳航空航天大学沈阳航空航天大学身份认证系统的特征身份认证系统的特征验证者正确识别合法客户的概率极大验证者正确识别合法客户的概率极大1攻击者伪装示证者骗取验证者信任的成功率极小化攻击者伪

19、装示证者骗取验证者信任的成功率极小化2通过重放认证信息进行欺骗和伪装的成功率极小通过重放认证信息进行欺骗和伪装的成功率极小3计算有效性，实现身份认证的算法计算量足够小计算有效性，实现身份认证的算法计算量足够小4通信有效性，实现身份认证所需的通信量足够小通信有效性，实现身份认证所需的通信量足够小5秘密参数能够安全存储秘密参数能够安全存储6第三方的可信赖性第三方的可信赖性7可证明安全性可证明安全性8沈阳航空航天大学沈阳航空航天大学身份认证技术和数字签名的区别身份认证技术和数字签名的区别两者都是确保数据真实性的安全措施1认证一般是基于收发双方共享的保密数据，以证实被鉴别对象的真实性；而用于验证签名的

20、数据是公开的2认证允许收发双方互相验证其真实性，数字签名则允许第三者验证3对于数字签名来说，发送方不能抵赖、接收方不能伪造，并且可由仲裁进行调解，而认证却不一定具备这些特点4认证技术的实现可能需要使用数字签名技术5沈阳航空航天大学沈阳航空航天大学基本的身份认证方法基本的身份认证方法主体特征认证主体特征认证口令机制口令机制TitleAB一次性口令一次性口令D智能卡智能卡C口令是约定的口令是约定的代码，假设只代码，假设只有用户和系统有用户和系统知道知道用户每次使用用户每次使用不同的口令，不同的口令，需要口令发生需要口令发生器设备器设备视网膜扫描、视网膜扫描、声音验证、指声音验证、指纹识别器纹识别器

21、访问不但需要访问不但需要口令，也需要口令，也需要使用物理智能使用物理智能卡卡沈阳航空航天大学沈阳航空航天大学身份认证方式身份认证方式 Certification两个基本的方式相互认证单向认证沈阳航空航天大学沈阳航空航天大学相互认证相互认证目的：用于通信各方之间的相互进行身份认证，同时交换会话密钥。 需要解决的核心问题：u密钥交换的机密性和时效性。密钥交换的机密性和时效性。机密性u防止会话密钥被篡改或和泄露；防止会话密钥被篡改或和泄露；u用户身份信息和会话密钥都必须以密文形式交换；用户身份信息和会话密钥都必须以密文形式交换；u前提：通信各方事先保存一个密钥（共享或公开密前提：通信各方事先保存一个

22、密钥（共享或公开密钥）。钥）。时效性u为了防止消息的为了防止消息的重放攻击重放攻击。报文重放（报文重放（replayreplay） 攻击攻击攻击过程：攻击过程：窃听。窃听。复制或部分复制一个报文。复制或部分复制一个报文。在以后的某个时间重放在以后的某个时间重放 (1)可以拦截原信息，用重放消息取代；可以拦截原信息，用重放消息取代； (2)可以在一个合法有效的时间窗内重放一个带时间戳的消息。可以在一个合法有效的时间窗内重放一个带时间戳的消息。后果后果扰乱接收者正常的工作。扰乱接收者正常的工作。 窃取会话密钥，假扮成一个通信方欺骗其他人。窃取会话密钥，假扮成一个通信方欺骗其他人。重放攻击问题的解决

23、方式重放攻击问题的解决方式报文序号方式报文序号方式 (1)在认证交换中对消息报文编排序号，消息序号合法在认证交换中对消息报文编排序号，消息序号合法时才接受。时才接受。 (2)问题：通信各方必须保持序号同步。问题：通信各方必须保持序号同步。时间戳方式时间戳方式 (1)在报文中附加发送的时间戳；接收时只有报文时间在报文中附加发送的时间戳；接收时只有报文时间戳与本地时间足够接近时，才认为是一个合法的新报文。戳与本地时间足够接近时，才认为是一个合法的新报文。 (2)问题：问题： (a) 通信各方的时钟同步比较困难；通信各方的时钟同步比较困难； (b) 时间窗口的大小如何确定。时间窗口的大小如何确定。沈

24、阳航空航天大学沈阳航空航天大学基于对称密钥加密的相互认证基于对称密钥加密的相互认证 须具备的条件u可信的密钥分配中心（可信的密钥分配中心（KDC）；）；u通信各方都与通信各方都与 KDC 共享一个主密钥；共享一个主密钥；u主密钥主密钥 Ka 和和 Kb 是安全。是安全。 目的： KDC 为通信双方A、B产生短期的会话密钥 Ks 。 工作过程：(1) A KDC：IDA | IDB | N1(2) KDC A：EKa Ks | IDB | N1 | EKb (Ks | IDA) (3) A B： EKb Ks | IDA (4) B A： EKs N2(5) A B： EKs f (N2)沈阳航

25、空航天大学沈阳航空航天大学基于对称密钥加密的相互认证过程基于对称密钥加密的相互认证过程1A在会话开始时首先向KDC发送报文，包含A和B的标识和一个与时间相关的现时标识符N1 。2A就可安全地从KDC获得一个新的会话密钥Ks 。3A将用Kb加密的会话密钥Ks发送给B，这个会话密钥只有B能够通过解密获得。4B向A发送用会话密钥加密的现时值N2，向A证实B已经正确获得了会话密钥 Ks 。5A使用新建立的会话密钥Ks对f(N2)加密后返回给B 。沈阳航空航天大学沈阳航空航天大学基于对称密钥加密的相互认证基于对称密钥加密的相互认证问题：过期的会话密钥 nA A可冒充可冒充T T，使用，使用过期密钥，并重

26、放过期密钥，并重放第第3 3步的报文，就可步的报文，就可以欺骗以欺骗B B。对称密钥加密对称密钥加密相互认证相互认证改进 ：n增加时间戳机制增加时间戳机制 ：需要通信各方周：需要通信各方周期性地与期性地与KDCKDC通信进通信进行时钟校准。行时钟校准。 n通信时使用现时握通信时使用现时握手。手。 n1 1，2 2结合。结合。沈阳航空航天大学沈阳航空航天大学基于公开密钥加密的相互认证基于公开密钥加密的相互认证 过程(1) A AS ：IDAIDB(2) AS A ：CACB(3) A B：CACB EKUb(EKRa(KsT)其中：其中：A 的公钥和私钥分别为 KUa 和 Kra ；B 的公钥和

27、私钥分别为 KUb 和 KRb ；AS（鉴别中心） 的公钥和私钥分别为 KUas 和 KRas ；CA = EKRas(IDAKUaT)，A 的公开密钥证书；CB = EKRas(IDBKUbT)，B 的公开密钥证书。沈阳航空航天大学沈阳航空航天大学基于公开密钥加密的相互鉴别基于公开密钥加密的相互鉴别 改进（使用现时值N代替时间戳）(1) A KDC ：IDAIDB(2) KDC A ：EKRk ( IDBKUb)(3) A B： EKUb ( NaIDA )(4) B KDC ：IDBIDAEKUk( Na )(5) KDC B： EKRk ( IDAKUa)EKUb ( EKRk (NaK

28、sIDB )(6) B A ： EKUa( EKRk (NaKsIDB )Nb )(7) A B ： EKs ( Nb )沈阳航空航天大学沈阳航空航天大学单向认证单向认证 One-Way Authentication。主要用于电子邮件认证等应用。特点：发方和收方无需同时在线。u鉴别时收发方不能在线交互。鉴别时收发方不能在线交互。沈阳航空航天大学沈阳航空航天大学基于对称密钥加密的单向认证基于对称密钥加密的单向认证 以KDC策略为基础。 具体过程：(1) A KDC ：IDAIDBN1(2) KDC A ：EKa ( KsIDBN1EKb ( KsIDA) )(3) A B ：EKb ( KsID

29、A)EKs(M)其中，其中，Ka、Kb分别为分别为A和和B与与KDC间的共享主密钥，间的共享主密钥，N1为一个现时值。为一个现时值。 沈阳航空航天大学沈阳航空航天大学基于公开密钥加密的单向认证基于公开密钥加密的单向认证保密性为主： A B ：EKUb (Ks)EKs(M)。 签名和鉴别： A B ：MEKRa (H(M)。保密和鉴别： A B ：EKUb( MEKRa (H(M) )。沈阳航空航天大学沈阳航空航天大学分布式环境中的身份认证分布式环境中的身份认证分布式网络环境u由大量的客户工作站和分布在网络中的公共服务器组成；由大量的客户工作站和分布在网络中的公共服务器组成；u服务器向网络用户提

30、供各种网络应用的服务，是关键；服务器向网络用户提供各种网络应用的服务，是关键；u用户需要访问分布在网络不同位置上的服务。用户需要访问分布在网络不同位置上的服务。服务器的安全u服务器需要通过授权来限制用户对资源的访问；服务器需要通过授权来限制用户对资源的访问；u授权和访问限制建立在用户身份认证基础上的。授权和访问限制建立在用户身份认证基础上的。网络系统的安全性可采用不同身份认证策略实现：u基于客户工作站的用户身份认证；基于客户工作站的用户身份认证；u基于客户系统的身份认证；基于客户系统的身份认证；u基于服务的用户身份认证。基于服务的用户身份认证。沈阳航空航天大学沈阳航空航天大学认证协议认证协议K

31、erberos沈阳航空航天大学沈阳航空航天大学身份认证协议 Kerberos是美国麻省理工学院（MIT）开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 沈阳航空航天大学沈阳航空航天大学 试图解决的问题是：u在公开的分布式网络环境，用户通过某工作站访问网络服务在公开的分布式网络环境，用户通过某工作站访问网络服务这些服务是由一些分布于网络中的服务器来提供的u服务器能够对用户提出的每一项服务器能够对用户提出的每一项服务访问请求服务访问请求进行认证进行认证仅仅依赖工作站对用户的身份进行认证是不够的用户访问每一种网络服务时，都需要向服务器证实其身份 存在的威胁：工

32、作站无法保证其中用户的身份的真实性u 非法用户访问一个工作站，并假冒另一个合法用户操作工作站非法用户访问一个工作站，并假冒另一个合法用户操作工作站u非法用户更改工作站的网络地址，假冒一个合法授权的工作站非法用户更改工作站的网络地址，假冒一个合法授权的工作站u非法用户窃听报文交换的过程，利用重放攻击获得服务器的访非法用户窃听报文交换的过程，利用重放攻击获得服务器的访问权问权 目标：在各种情况下，都能防止用户对服务的非授权访问Kerberos沈阳航空航天大学沈阳航空航天大学Kerberos 认证服务认证服务Kerberos 认证服务u身份认证作为网络中的一种标准的安全服务来提供身份认证作为网络中的

33、一种标准的安全服务来提供u能够实现服务器与用户之间的相互认证能够实现服务器与用户之间的相互认证u集中式的认证服务集中式的认证服务在一个网络中，通过集中式的认证服务器 (AS - Authentication Server ) 提供认证功能而不需要在每一个应用服务器上提供一套完整的认证机制u基于基于常规（对称）密钥加密算法常规（对称）密钥加密算法实现实现使用DES (Kerberos V4)而没有使用公开密钥算法u发展发展Kerberos 版本4Kerboros 版本5 （RFC1510）沈阳航空航天大学沈阳航空航天大学Kerberos 的设计目标的设计目标 提供一种可信的第三方的身份认证服务u

34、Kerberos Kerberos 认证服务器认证服务器AS AS 作为第三方，若用户与服务器均信任作为第三方，若用户与服务器均信任ASAS的仲裁，则的仲裁，则Kerberos Kerberos 就可实现用户与服务器间的相互鉴别。假定就可实现用户与服务器间的相互鉴别。假定协议不存在漏洞，且协议不存在漏洞，且AS AS 是安全的，则认证服务就是安全的。是安全的，则认证服务就是安全的。 安全性u能够有效防止攻击者假扮成另一个合法的授权用户。能够有效防止攻击者假扮成另一个合法的授权用户。 可靠性u分布式服务器体系结构，提供相互备份分布式服务器体系结构，提供相互备份。 对用户透明性u对用户来说，身份鉴

35、别过程除了需要用户输入一个口令以外，其对用户来说，身份鉴别过程除了需要用户输入一个口令以外，其他操作均须对用户透明不可见。他操作均须对用户透明不可见。 可伸缩u能够支持大数量的客户和服务器。能够支持大数量的客户和服务器。沈阳航空航天大学沈阳航空航天大学Kerberos的设计思路的设计思路 基本前提u客户客户C C，其标识符为，其标识符为IDIDC Cu服务器服务器V V，其标识符为，其标识符为IDIDV Vu认证服务器认证服务器ASASu用户口令（用户口令（password password ）P PC C由用户C 和AS 共享， AS 将PC 保存在数据库中uAS AS 与每个服务器与每个服

36、务器V V 共享一个唯一保密密钥共享一个唯一保密密钥K KV V对称密钥算法假定该密钥已通过某种方式被安全分发到每一个服务器Vu网络环境网络环境不受保护的网络环境，存在窃听、重放、假冒授权用户的威胁沈阳航空航天大学沈阳航空航天大学Kerberos的设计思路的设计思路简单的认证会话u假定客户假定客户C C 需要访问服务器需要访问服务器V Vu会话过程会话过程CASV(1) C AS: IDC | PC | IDV(2) AS C: Ticket(3) C V : IDC | Ticket Ticket = EKVIDC | ADC | IDV 是是客户客户C 访问服务访问服务V 的的凭据凭据 A

37、DC 是客户是客户C 所在的工作站的网络地址所在的工作站的网络地址沈阳航空航天大学沈阳航空航天大学Kerberos的设计思路的设计思路 （2）问题：u用户希望输入口令的次数最少。用户希望输入口令的次数最少。u口令以明文传送会被窃听。口令以明文传送会被窃听。解决办法u 票据重用（票据重用（ticket reusableticket reusable）。）。u 引入票据许可服务器（引入票据许可服务器（TGS - ticket-granting TGS - ticket-granting serverserver）用于向用户分发服务器的访问票据；认证服务器 AS 并不直接向客户发放访问应用服务器的票

38、据，而是由 TGS 服务器来向客户发放。沈阳航空航天大学沈阳航空航天大学Kerberos中的票据中的票据两种票据u服务许可票据（服务许可票据（Service granting ticketService granting ticket）是客户访问某一服务器v时需要提供的票据；用 TicketV 表示;TicketV 定义为 EKv IDCADCIDVTS2LT2 。 u票据许可票据（票据许可票据（Ticket granting ticketTicket granting ticket）客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”；票据许可票据由 A

39、S 发放；用 Tickettgs 表示访问 TGS 服务器的票据；Tickettgs 在用户登录时向 AS 申请一次，可多次重复使用；Tickettgs 定义为 EKtgs IDCADCIDtgsTS1LT1 。 沈阳航空航天大学沈阳航空航天大学Kerberos V4认证过程示意图认证过程示意图Kerberos数数据据库库票据许可服务器票据许可服务器TGS认证服务器认证服务器AS客户工作站客户工作站应用服务器应用服务器123请求TickettgsKC,tgsTickettgs请求TicketVKC,VTicketV请求服务服务V服务器鉴别符服务器鉴别符每个每个 会话服务执行一次会话服务执行一次

40、第三阶段，客户与应用服务器的交互，第三阶段，客户与应用服务器的交互，用于获得服务：用于获得服务：(5) C V ：TicketVAUC(6) V C ：EKc,v TS5 + 1其中：其中： TicketV = EKv KC,VIDCADCIDVTS4LT4 AUC = EKc,v IDCADCTS5每次服务执行一次每次服务执行一次第二阶段，票据许可服务器的交互，用于获取服务许可票据：第二阶段，票据许可服务器的交互，用于获取服务许可票据： (3) C TGS ：IDVTickettgsAUC(4) TGS C ：EKc,tgs KC,VIDVTS4TicketV 其中：其中：Tickettgs

41、 = EKtgs KC,tgsIDCADCIDtgsTS2LT2TicketV = EKv KC,VIDCADCIDVTS4LT4AUC = EKc,tgs IDCADCTS3每次用户登录一次每次用户登录一次第一阶段，认证服务器的交互，用于获取票据许可票据：第一阶段，认证服务器的交互，用于获取票据许可票据：(1) C AS ：IDCIDtgsTS1(2) AS C ：EKc KC,tgsIDtgsTS2LT2Tickettgs 其中：其中：Tickettgs = EKtgs KC,tgsIDCADCIDtgsTS2LT2沈阳航空航天大学沈阳航空航天大学Kerberos 领域(realm)构成：一个完整的 Kerberos 环境包括一个 Kerberos 服务器，一组工作站和一组应用服务器。Kerberos 服务器数据库中拥有所有参与用户的 UID 和口令散列表。Kerberos服务器必须与每一个服务器之