第五章 身 份 认 证

第５章身份认证1

身份认证的基本概念1双向身份认证协议２单向身份认证协议３

零知识身份认证４

身份认证的实现与运用５23

目前，计算机系统采取的身份认证方法有很多，比如口令认证、智能卡认证、基于生物特征的认证、基于源地址的认证、数字证书和安全协议等。一个成熟的身份认证系统应该具有以下特征：

验证者正确识别对方的概率极大。攻击者伪装以骗取信任的成功率极小。能够抵抗重放攻击、高效、可证明安全性、没有密钥托管问题41．口令的认证

基于口令的认证是指系统通过用户输入的用户名和密码来确立用户身份的一种机制。基于口令的身份认证是最常见的也是最简单的一种身份认证机制2．智能卡认证

比口令认证方式稍微安全的认证方式是智能卡认证。智能卡（SmartCard）是当今信用卡领域的新产品。所谓智能卡，实际上就是在信用卡上安装一个微型电脑芯片，这个芯片包含了持卡人的各种信息53．基于生物特征的认证近年来，基于生物特征的认证发展非常迅速。在很多企业、学校已经在使用基于生物特征的设备来负责考勤和安全。4．双因素认证

因素认证是对传统的静态口令机制的改进，并得到了专家和用户的认可，而且已有许多成功案例。什么是双因素认证呢？初期管理员会给每个密码使用者分派一个动态口令卡，只有你在同时拥有这个动态口令卡与解开这个动态口令卡的密码才能生成一个一次性的动态密码让用户登陆各种应用系统。

65．源地址认证

基于源地址的认证实现最简单，但安全性也最差。6．基于PAP协议(PasswordAuthenticationProtocol)

用于点对点（Point-PointProtocol，PPP）协议的身份认证协议，例如通过ADSL拨号上网时进行的身份认证就是基于PAP协议的。7．基于CHAP协议(ChallengeHandshakeAuthenticationProtocol)

大多数身份认证协议都属于CHAP协议。这种协议不在网络上传送任何口令信息。7消息认证、数字签名和身份认证一同构成了整个鉴别系统。消息认证是对消息本身的鉴别，数字签名和身份认证是对发送消息的实体的鉴别。数字签名也具有身份认证的功能，但是，身份认证同数字签名也有一些区别：891.Needham－Schroeder协议Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})可信第三方在认证协议中也叫做认证服务器10消息重放攻击消息重放攻击是指攻击者利用其消息再生能力生成诚实用户所期望的消息格式，并重新发送，从而达到破坏协议安全性的目的。消息重放的实质是消息的新鲜性（Freshness）不能得到保证。消息重放攻击是安全协议中最容易出现的问题之一。11消息重放攻击Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder协议攻击者如果获知以前的一个工作密钥，可以重放消息EB（K，A）问题：如何攻击该协议？12中间人攻击攻击者Malice将自己伪装于用户Alice和Bob之间进行通信。许银川胡荣华Littlegirl我可以战胜胡荣华！！炮二平五炮二平五马八进七马八进七13中间人攻击Example2:Diffie－Hellman密钥协商协议协议目的：Alice和Bob利用公钥体制建立一个新的共享密钥Kab协议组成：2条消息组成A：计算Kab=gxyB：计算Kab=gxyDiffie-Hellman密钥协商协议的理论依据的离散对数困难性问题。14中间人攻击许银川（A）胡荣华(M)Littlegirl（B）攻击结果：M拥有A和B的密钥，而A和B并不知道。15中间人攻击Example3:一次性口令协议（S/Key）协议目的：用户通过口令向服务器认证，但口令不会重复。（口令认证协议）熟悉口令认证协议吗?16口令认证协议

－明文形式存放的口令表IDOK？用户输入ID查找与该ID对应的PW身份标识注册口令ID1PW1ID2PW2ID3PW3........IDnPWn相同？拒绝N拒绝NY接受Y明文形式存放的口令表用户输入PWPW‘IDPW17口令认证协议

－基于单向hash函数的口令表IDOK？用户输入ID拒绝查找与该ID对应的H(PW)身份标识注册口令ID1H(PW1)ID2H(PW2)ID3H(PW3)........IDnH(PWn)相同？接受拒绝NNYY用户输入PWHash值形式存放的口令表用预定的Hash函数计算H(PW‘)H(PW)ID18口令认证协议

－基于单向hash函数和“盐”的口令表IDOK？用户输入ID拒绝查找与该ID对应的H(PW)身份标识注册口令盐ID1····H(PW1+R1)R1ID2H(PW2+R2)R2ID3H(PW3+R3)R3...........IDnH(PWn+Rn)Rn相同？接受拒绝NNYY用户输入PW“加盐”Hash值形式存放的口令表用预定的Hash函数计算H(PW‘+R)H(PW+R)IDR19中间人攻击一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。确定口令的方法：（1）两端共同拥有一串随机口令，在该串的某一位置保持同步；（2）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；（3）使用时戳，两端维持同步的时钟。S/Key（Simplekey):一次性口令系统20中间人攻击其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数Pu，计算机计算f（Pu）,f（f（Pu）），f（f（f（Pu））），…,共计算n次，计算得到的数为x1,x2,x3,…xn，A打印出这样的表，随身携带，计算机将xn存在A的名字旁边。第一次登录，键入xn-1，通过hash函数计算xn，并与存储的xn比较，相同则认证通过；否则认真失败。以后依次键入xi，计算机计算f(xi)，并将它与xi+1比较。S/Key（Simplekey):一次性口令系统21中间人攻击Example3:一次性口令协议（S/Key）身份标识fc(Pu)c值ID1····f(P1)R1ID2f(P2)R2ID3f(P3)R3...........IDnf(Pn)Rn协议目的：用户通过口令向服务器认证，但口令不会重复,从而有效防御口令在线猜测攻击。（口令认证协议）协议组成：口令存储表＋3条消息组成口令存储表22中间人攻击许银川（A）Littlegirl（B）Example3:一次性口令协议（S/Key）讨论：（1）尽管S/Key中口令明文传送，但是可以抵抗口令的在线窃听攻击（2）S/Key协议是否安全？问题：口令明文传送是否有问题？考虑：协议是双向认证还是单向认证？单向认证中，Alice为什么要相信计数器值c是Bob发送的？23中间人攻击许银川（A）Littlegirl（B）Example3:一次性口令协议（S/Key）的中间人攻击攻击结果：攻击者Malice获得了fc-2,下一次他就可以用用户的ID登录了。胡荣华(M)24中间人攻击Example4:Needham－Schroeder公钥认证协议协议目的：Alice和Bob利用公钥体制建立一个新的共享秘密Na，Nb，并实现认证协议组成：7条消息组成讨论：消息1，2，4，5是获得公钥，3，6，7是A和B相互认证。如果假设公钥已知，协议可以简化：25中间人攻击许银川（A）胡荣华(M)Littlegirl（B）攻击结果：B认为她和A建立了共享秘密，而实际上她和M建立了共享秘密。上述攻击可以成功的原因之一：在消息（3）中，A无意之间为M解了B的Nonce（Nb）。主体无意地为攻击者执行了一个密码运算时，该主体被认为用作了预言机。26预言机（Oracle）攻击主体无意地为攻击者执行了一个密码运算时，该主体被认为用作了预言机（或称该主体提供了预言服务）。如果存在主体可以提供预言服务，该主体可能被诱导执行某个协议的一些步骤，从而帮助攻击者得到一些他原本无法得到的信息。27交错攻击许银川（A）胡荣华(M)Littlegirl（B）成功的原因之二：M利用了该协议的多个运行实例，从而将不同协议的消息交织在一起（如（1‘）、（2’）和消息（2））。攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行，从而使得攻击这获得不应当获得的信息，这种攻击叫做交错攻击。协议1协议228交错攻击攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行。结果是：（1）攻击者可以合成某条消息，并发送给某个运行中的主体，期望收到该主体的一个应答；（2）而该应答可能对于另外某个运行中的另外一个主体是有用的；（3）在接下来的运行中，从前面运行中得到的应答可能促使后面的主体对某个问题作出应答，而该应答又恰好能运用于第一个运行。29交错攻击Example5:ISO三次传输双向认证协议协议目的：Alice和Bob利用公钥体制实现双向认证协议组成：3条消息组成Alice(A)Bob(B)30交错攻击Example5:ISO三次传输双向认证协议的Wiener攻击（加拿大人攻击）攻击协议的关键：第三条消息在上述消息中，A信任B的条件是：A能用B的公钥解密消息得到Na，并与自己发送的Na相比较。如果相同则信任；否则不信任。对于Nb，只要求明文和解密结果中所得到的值相同即可。攻击者M无法回答第三条消息（没有B的私钥）攻击者M向B发起一次通信（得到B用私钥签名的消息）31交错攻击Alice(A)Bob(B)Example5:ISO三次传输双向认证协议的Wiener攻击（加拿大人攻击）Mallory通过与B通信，得到所期望的应答消息攻击结果：A认为B发起了一次协议通信，并接受了该B的身份；而B实际上没有发起协议，而且在等待由M（A）发起的运行。32交错攻击Example6:工作站－工作站协议（STS）协议目的：Alice和Bob利用公钥体制实现密钥协商（同时，该协议还实现了双向实体认证、双向密钥确认、完善前向保密性和不可否认性）协议组成：3条消息组成Alice(A)Bob(B)33交错攻击Example6:工作站－工作站协议（STS）存在一个小小的瑕疵Alice(A)Malice(M)Bob(B)攻击结果：Alice被完全欺骗，她认为和Bob进行了一次会话，并共享了某个会话密钥，而Bob认为和Malice运行了一次不完全的协议。随后，Alice试图与Bob进行安全通信，但是不会得到任何回应。攻击者Malice没有得到会话密钥，因此这种攻击只是很小的一个瑕疵。34交错攻击Example6:工作站－工作站协议（STS）存在一个小小的瑕疵Alice(A)Malice(M)Bob(B)不安全运行协议：如果协议实体的某一方（A）接受了对方的身份，但是对方运行协议的记录与A的记录不匹配。问题：该攻击是否属于协议攻击？问题：什么是安全认证？上述攻击属于攻击的理由：（1）是不安全运行协议；（2）协议执行后Alice资源被浪费（拒绝服务攻击）上述攻击成立的原因：消息缺乏消息主体身份信息！35交错攻击Example7:简化的ISO三次传输双向认证协议协议目的：实现站间协议中的双向认证功能（唯认证协议）。协议组成：3条消息组成Alice(A)Bob(B)简化的ISO三次传输双向认证协议与ISO三次传输双向协议的区别：前者没有包括通信实体的身份。36交错攻击Alice(A)Malice(M)Bob(B)攻击结果：Bob认为他和Alice进行了一次对话（实际上和与Malice进行了一次对话）；而Alice认为她只是与Malice进行了一次对话；B被Malice欺骗。Example7:唯认证协议的“替换证书签名攻击”该攻击对未简化的站间协议并不适用，因为加密使得证书替换不可能。37平行会话攻击定义：在攻击者Malice的安排下，一个协议的两个或者多个的运行并发执行。目的：平行会话使得从一个运行可以得到另外一个运行中困难性问题的答案。38平行会话攻击Example8:Woo－Lam单向认证协议协议目的：在存在可信第三方的条件下，即使Alice和Bob开始互相不相识，但是Alice仍然能够向Bob证明自己(单向认证）。协议组成：5条消息如果Bob解密所得到的正确的nonce，则信任AliceT.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.39平行会话攻击Example8:Woo－Lam单向认证协议Alice(A)Trent(T)Bob(B)该协议在许多方面存在致命缺陷。随后的许多修改版本也存在不同程度的缺陷。分析该协议可以从中学到很多协议设计的经验和教训。40平行会话攻击Example8:Woo－Lam协议的平行会话攻击Alice(A)Trent(T)Bob(B)Malice(M)结果：Bob拒绝和Malice的通信，而接受和Alice（实际上也是Malice）的通信。拒绝认可41平行会话攻击Woo－Lam单向认证协议的平行会话攻击Alice(A)Trent(T)Bob(B)Malice(M)平行会话攻击成功原因：消息参与者身份不明确。42反射攻击定义：当一个诚实的主体给某个意定的通信方发送消息时，攻击者Malice截获该消息，并将该消息返回给消息的发送者。注：攻击者返回消息时，不一定是“原封不动”返回，他可能会对消息修改（比如通过修改底层通信协议中的地址和身份信息），使得消息发送者意识不到该消息是反射回来的。反射消息的目的是，使得该消息是对发送者的应答或者询问，从而欺骗消息发送者提供“预言服务”43反射攻击反射攻击实现方式实例IP头其他域IP源地址IP目的地址其他域IP头其他域202.115.2.1211.2.1.1其他域IP头其他域211.2.1.1202.115.2.1其他域44反射攻击Example9:Woo－Lam单向认证协议的一个修正协议目的：在存在可信第三方的条件下，即使Alice和Bob开始互相不相识，但是Alice仍然能够向Bob证明自己。协议组成：5条消息在消息中加入了Alice的身份标识。45反射攻击Alice(A)Trent(T)Bob(B)Example9:Woo－Lam单向认证协议的一个修正修正协议可以防范平行会话攻击。因为Malice发送的第五条消息是：而Bob期望的消息是：但是，该修正版本存在反射攻击46反射攻击Alice(A)Trent(T)Bob(B)Malice(M)Bob收到消息5后，解密后的Nb确实是他在消息2中所发送的，因此只能相信是来自于Alice的会话。Example9:Woo－Lam协议的一个修正版本的反射攻击消息3是消息2的反射。Bob收到后只能视作密文而不能作其他操作。消息5是消息4的反射。47Woo－Lam协议有关Woo－Lam协议、修正及攻击的有关信息参见文献T.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.ClarkJ,JacobJ.Asurveyofauthenticationprotocolliterature:Version1.0.199748Woo－Lam协议有关Woo－Lam协议、修正及攻击的有关信息参见文献T.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.ClarkJ,JacobJ.Asurveyofauthenticationprotocolliterature:Version1.0.199749505152补充Kerberos协议53简介Kerberos:partofProjectAthenaatMITGreekKerberos:希腊神话故事中一种三个头的狗，还有一个蛇形尾巴。是地狱之门的守卫。ModernKerberos:意指有三个组成部分的网络之门的保卫者。“三头”包括：鉴别(authentication)簿记(accounting)审计(audit)54

80年代中期是MIT的Athena工程的产物版本前三个版本仅用于内部第四版得到了广泛的应用第五版于1989年开始设计RFC1510,1993年确定标准KerberosKerberos历史55

Kerberos协议中一些概念Principal(主体)被鉴别的个体，有一个名字(name)和口令(password)KDC(Keydistributioncenter)是一个网络服务，提供ticket和临时的会话密钥Ticket（票据）一个记录，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket中的大多数信息都被加密，密钥为服务器的密钥Authenticator（认证令牌）一个记录，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥Credentials一个ticket加上一个秘密的会话密钥56一个简单的鉴别对话引入鉴别服务器(AS)，它知道所有用户的口令并将它们存储在一个中央数据库中。AS与每一个服务器共有一个唯一的保密密钥。这些密钥已经物理上或以更安全的手段分发。考虑以下假定的对话：(1)CAS:IDC||PC||IDV(2)ASC:Ticket(3)CV:IDC||Ticket其中：C :client AS:AuthenticationServerV:server IDC :identifierofuseronCIDV :identifierofVPC :passwordofuseronCADC :networkaddressofCKV :AS与V共有的保密密钥CVAS(1)(2)(3)Ticket=EKV[IDC||ADC||IDV]57更安全的鉴别对话两个主要问题希望用户输入口令的次数最少。口令以明文传送会被窃听。解决办法ticketreusableticket-grantingserver58改进后的假想的对话：Oncep