网络信息安全技术课件 第4章身份认证和数字签名

第4章身份认证和数字签名身份认证技术数字签名4.1身份认证技术

4.1身份认证技术身份认证的概述非密码的认证机制基于密码的认证机制零知识证明技术4.1.1概述身份认证是验证主体的真实身份与其所声称的身份是否符合的过程。认证是最重要的安全服务之一（所有其它的安全服务都依赖于该服务）；认证可以对抗假冒攻击的威协；认证可以用来确保身份，获得对声称者所声称的事实的信任。认证的结果只有两个：符合和不符合。适用于用户、进程、系统、信息等。4.1.1概述身份认证系统的组成：(1)出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。(2)验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。4.1.1概述身份认证的方法主要有：(1)声称者证明他知道某事或某物，例如口令；(2)声称者证明他拥有某事或某物，例如物理密钥或卡；(3)声称者展示某些必备的不变特性，例如指纹；(4)声称者在某一特定场所（也可能在某一特定时间）提供证据；(5)验证者认可某一已经通过认证的可信方。4.1.1概述身份认证有多种认证机制：非密码认证机制；基于密码的认证机制；基于认证协议的认证机制（该内容于第6章详细介绍）。4.1.2非密码的认证机制 1．口令认证机制

2．基于地址的认证机制

3．基于个人生理特征的认证机制

4．个人认证令牌4.1.2非密码的认证机制1.口令机制在某种程度上，口令或个人识别号（PIN）机制是最实用的一种机制。口令认证是最古老最简单的一种认证方法，经常作为系统的默认设置。口令认证包括：可重用口令认证；一次性口令认证；挑战应答口令认证；混合口令认证。1.口令机制(1)可重用口令认证可重用口令认证一般采用客户端认证的方式，通常由申请使用系统资源的用户发起。用户请求服务器的认证，然后被授权使用系统资源。常见的用户登录功能就是采用的可重用口令认证。该认证方式实现简单。1.口令机制可重用口令认证口令系统有很多弱点，如口令泄露、口令猜测、线路窃听、危及验证者攻击和重放攻击。口令泄露是指未授权的人借助系统外普通网络或系统操作获取口令，主要是因为用户的使用和存储不当造成的，如：为防忘掉口令,把它写到一不安全的地方；在一个未受保护的管理文件中存储口令；合法用户可通过打电话从系统管理者处获得别人的口令。1.口令机制口令猜测是攻击口令机制最常用的办法，如用户设置口令时倾向于用特定的字母串作口令、用短口令、在系统安装时为标准用户/账户名所设置的预设口令或者用户的生日名字等作口令如果口令在网络传输过程中没有做任何的机密性措施，线路窃听可以快速的获取到用户的认证口令。即使对口令做了简单的变换处理，仍然可能存在安全问题。1.口令机制1.口令机制(2)一次性口令机制一次性口令认证也被称为会话认证，认证中的口令只能被使用一次，然后被丢弃，从而减少了口令被破解的可能性。在一次性口令认证中，口令值通常是被加密的，避免明文形式的口令被攻击者截获。最常见的一次性口令认证方案是S/Key和Token方案。1.口令机制(2)一次性口令机制S/Key口令基于MD4和MD5加密算法产生，采用客户-服务器模式。客户端负责用hash函数产生每次登陆使用的口令，服务器端负责一次性口令的验证，并支持用户密钥的安全交换。在认证的预处理过程中，服务器将种子以明文形式发送给客户端，客户端将种子和密钥拼接在一起得到S。然后，客户端对S进行hash运算得到一系列一次性口令。S/Key保护认证系统不受外来的被动攻击，但是无法阻止窃听者对私有数据的访问，无法防范拦截并修改数据包的攻击，无法防范内部攻击。1.口令机制(2)一次性口令机制Token（令牌）口令要求在产生口令的时候使用认证令牌。根据令牌产生的不同，又分为两种方式：时间同步式和挑战/应答式。①时间同步式在这种方式中，服务器上存储有用户的种子密钥，用来产生口令。用户拥有的口令卡里同样存储有用户的种子密钥。进行认证时，用户向系统提供PIN值以及由口令卡根据当前时间计算的口令值。服务器将用户提供的口令和自己计算所得的口令进行对比，认证用户。1.口令机制时间同步式1.口令机制(2)一次性口令机制②挑战/应答式挑战/应答式也称为询问/应答，可以扩张基于口令的方案，能大大地提高抵抗重放攻击的能力，但通常通信代价很高。4.1.2非密码的认证机制2.基于地址的身份认证基于地址的身份认证机制是假定声称者的可鉴别性，是以呼叫的源地址为基础的。在大多数的数据网络中，呼叫地址的辨别都是可行的。在不能可靠的辨别地址时，可以用一个呼叫-回应设备来获取呼叫的源地址。一个验证者对每一个主体都保持一份合法呼叫地址的文件。这种机制最大的困难时在一个临时的环境里维持一个连续的主机和网络地址的联系。地址的转换频繁、呼叫-转发或者重定向引起了一些主要问题。基于地址的身份认证机制自身不能被作为鉴别机制，但可以作为其他机制的有用补充。4.1.2非密码的认证机制3.基于个人生理特征的身份认证机制基于生物特征的身份认证技术是利用人体的生理或行为特征进行身份认证的技术，即根据人体各器官或个人行为具有唯一性、人各不同的特性来认证身份。常见的生物特征识别技术主要有：指纹识别；声音识别；手迹识别；视网膜扫描；虹膜识别；掌型识别和掌纹识别等。人脸识别和指纹认证是发展比较早也比较成熟的身份认证手段。4.1.2非密码的认证机制4.个人认证令牌密码技术不适合在个人认证中直接应用，人类不易记住长的随机密钥向量。当有一个可相互信任的器件时，口令机制和基于密码技术的机制可以方便地结合起来使用。常用的方法是人首先使用口令向器件认证他自己，然后器件使用密码技术向最终的验证者认证它自己。有两种情况：一种是从口令推导密钥；另一种是使用智能卡。4.个人认证令牌(1)口令推导密钥口令推导密钥即从一个身份串和口令值产生一个56比特的DES密钥的过程。这类似于应用一个单向函数保护口令，产生的值用于密码系统的密钥。为防止保护的口令被泄漏，从身份-口令到密钥的变化必须被秘密完成，需要一可信终端。4.个人认证令牌(2)智能卡由一个或多个集成电路芯片组成，并封装成便于人们携带的卡片，在集成电路中具有微电脑CPU和存储器，智能卡具有暂时或永久的数据存储能力，其内容可供外部读取或供内部处理和判断之用，同时还具有逻辑处理功能，用于识别和响应外部提供的信息和芯片本身判定路线和指令执行的逻辑功能。用于认证目的的智能卡的使用与拥有者输入的PIN有关。即使卡被丢失或被盗，PIN也可保证智能卡的安全。4.个人认证令牌

(2)智能卡4.1.3基于密码的认证机制基于密码的认证机制的原理是使验证者信服声称者所声称的身份，因为声称者知道某一秘密密钥。鉴别方式又分为了单向认证、双向认证和有可信第三方参与的认证。4.1.3基于密码的认证机制1.采用对称密码的认证机制基于对称密码算法的鉴别依靠一定协议下的数据加密处理；通信双方共享一个密钥（通常存储在硬件中），该密钥在询问-应答协议中处理或加密信息交换。单向认证双向认证4.1.3基于密码的认证机制2.采用非对称密码的认证机制公钥认证要求每个用户首先产生一对由公钥和私钥组成的密钥对，并存储在文件中。每个密钥对由密钥产生装置产生，通常是1024到2048比特。用户把公钥公布出来，而私钥由本人保存。单向认证双向认证4.1.3基于密码的认证机制3．采用第三方认证机制信任的第三方认证也是一种通信双方相互认证的方式，但是认证过程必须借助一个双方都能信任的第三方，一般而言可以是政府机构或者其他可信赖的机构。当两端欲进行连线时，彼此必须先通过信任第三方的认证，然后才能互相交换密钥进行通信。采用第三方认证机制4.1.4零知识证明技术零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。在网络认证中，已经提出了零知识技术的一些变形，例如，FFS方案，FS方案和GQ方案。一般地，验证者颁布大量的询问给声称者，声称者对每个询问计算一个回答，而在计算中使用了秘密信息。通过检查这些回答消息（可能需要使用公钥），验证者可以充分高的信任水平相信生成者的确拥有秘密信息（虽然无信息泄露）。大部分技术要求传输的数据量较大，并且要求一个更复杂的协议，需要一些协议交换。4.1.4零知识证明技术零知识证明技术的原理如下例：有一个洞，设P若知道咒语，可打开C和D之间的秘密门，不知道者都将走向死胡同中。（1）V站在A点；（2）P进入洞中任一点C或D；（3）当P进洞之后，V走到B点；（4）V叫P：从左边出来或从右边出来（5）P按要求实现；（6）P和V重复执行n次。若P不知咒语，只有50%的机会猜中V的要求，协议执行n次，则只有2-n的机会完全猜中，若n=16，则若每次均通过V的检验，V受骗机会仅为1/65536。4.1.4零知识证明技术最简单的零知识证明：问题要求：假如P想说服V，使V相信他确实知道n的因数p和q，但不能告诉V最简单的步骤：①V随机选择一整数x，计算x4modn的值，并告诉P；②P求x2modn并将它告诉V；③V验证x4modn；V知道求x2modn等价于n的因数分解，若不掌握n的因数p和q，求解很困难。Fiat-Shamir协议就是采用的零知识证明。Fiat-Shamir协议4.2数字签名

4.2数字签名数字签名概述直接数字签名待仲裁的数字签名数字签名方案有特殊用途的数字签名4.2.1概述信息认证用以保护双方之间的数据交换不被第三方侵犯；但它并不能保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式：B伪造一个不同的信息，但声称是从A收到的；A可以否认发过该信息，B无法证明A确实发了该信息；B对接收到的信息进行了修改；C冒充A或者B发送或者接收保存。数字签名可以解决以上争端。数字签名就是利用一套规则对数据进行计算的结果，用此结果能确认签名者的身份和数据的完整性（美国DSS对数字签名的解释）。4.2.1概述数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名是非对称密钥加密技术与数字摘要技术的应用。数字签名应满足三个基本条件①签名者不能否认自己的签名；②接收者能够验证签名，而其他任何人都不能伪造签名；③当签名的真伪发生争执时，存在一个仲裁机构或第三方能够解决争执。4.2.1概述数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。数字签名根据签名方式可以分为：直接数字签名(directdigitalsignature)和仲裁数字签名(arbitrateddigitalsignature)。4.2.2直接数字签名（1）采用公开密钥的数字签名使用发送方的私钥K’a对消息M进行数字签名（此时并没有对消息进行加密，因为任何人都可以获得公钥对消息M进行查看）4.2.2直接数字签名（2）具有保密功能的公钥数字签名4.2.2直接数字签名（3）采用消息摘要的数字签名使用消息摘要的数字签名（不需要对整个消息进行签名，速度更快）直接数字签名的问题直接数字签名方案：仅涉及通信双方。签名方案的有效性依赖于发送方的私密密钥的安全性；发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，且他人伪造了他的签名。4.2.3带仲裁的数字签名带仲裁的数字签名是通过引入仲裁者来解决直接签名方案的问题。通常的做法是：所有从发送方A到接收方B的签名消息首先送到仲裁者Y，Y将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给B。思考：A还能否认他的签名吗？仲裁者在这一类签名模式中扮演敏感和关键的角色。所有的通信方必须充分信任仲裁机构。仲裁者是除通信双方之外，值得信任的公正的第三方；“公正”意味着仲裁者对参与通信的任何一方没有偏向；“值得信任”表示所有人都认为仲裁者所说的都是真实的，所做的都是正确的。例：律师、银行、公证人（现实生活）；在计算机网络中，由可信机构的某台计算机充当。4.2.3带仲裁的数字签名4.2.3带仲裁的数字签名（1）对称加密，仲裁能看到消息IDA：发送方A的标识符；签名：EKAY[IDA‖||H（M）]；KAY:A和Y共享的对称密钥解决纠纷的过程：B：向Y发送EKYB[IDA||M||EKAY[IDA||H(M)]]Y：用KYB恢复IDA，M，和签名EKAY[IDA||H(M)]，然后用KAY解密签名并验证哈希值，从而验证A的签名4.2.3带仲裁的数字签名（2）对称加密，仲裁不能看到消息AB之间共享的密钥KAB对消息进行加密，仲裁Y看不到消息的明文。双方仍然要高度信任Y。签名：EKAY[IDA‖H（EKAB[M]）]4.2.3带仲裁的数字签名（3）公开密钥加密，仲裁不能看到消息仲裁Y通过EKRA[IDA‖EKUB（EKRA[M]）]进行解密，可以确信消息一定来自于A（因为A才有KRA）。签名：EKRA[IDA‖EKUB（EKRA[M]）]本签名方案比上述两个方案具有以下优点：①在通信之前各方之间无须共享任何信息，从而避免了结盟欺骗的发生；②即使KRA暴露，只要KRY未暴露，不会有日期错误标定的消息被发送；③从A发送给B的消息的内容对Y和任何其他人是保密的。4.2.4数字签名方案用的数字签名方案主要有：利用公钥密码体制实现的数字签名；结合hash函数和公钥密码体制的数字签名方案。不管采用哪种数字签名方案，都需要用到公钥密码体制的数字签名，如：RSA数字签名方案、EIGamal签名方案等。4.2.4数字签名方案1.RSA签名方案（1）参数设置①秘密选取两个大参数，计算n=pq,φ(n)=(p-1)(q-1)；②随机选取正整数1<e<φ(n)，满足gcd(φ(n),e)=1，e为公开密钥；③计算d，满足d=e-1modφ(n)，d为私有密钥。（2）签名算法对于消息m∈Zn,签名为:S=Sig(m)=mdmodn。（3）验证算法验证者计算：m′=Semodn，并判断m′和m是否相等。4.2.4数字签名方案2.EIGamal签名方案ElGamal于1985年提出，很大程度上为Diffe-Hellman密钥交换算法的推广和变形。分为两种情形:p是大素数，q=p或者‚q是p-1的大素因子。DSS(数字签名标准)是后者的一种变形，该方案是特别为签名的目的而设计的。这个方案的改进已被美国NIST（国家标准和技术研究所）采纳作为数字签名标准。4.2.4数字签名方案2.EIGamal签名方案DSS使用SHA作为散列函数，安全性基于计算离散对数的困难性。（1）DSS算法说明--算法参数全局公开密钥分量:①p:素数,其中2L-1<p<2L,512≤L<1024,且L为64的倍数:即比特长度在512到1024之间,长度增量为64比特；②q:(p-1)的素因子,其中2159<q<2160；③g=h(p-1)/qmodp,其中h是一整数,1<h<(p-1)；用户私有密钥:x随机或伪随机整数,其中0<x<q用户公开密钥：（y,g,p）,其中y=gxmodp4.2.4数字签名方案2.EIGamal签名方案（2）DSS算法的签名过程用户每个报文的密钥：k随机或伪随机整数，其中0<k<q签名：r=(gkmodp)modqs=[k-1(H(M)+xr)]modq签名=(r,s)发送签名（r,s）和消息其中符号的含义分别为:M要签名的消息；H(M)使用SHA-1生成的M的散列码；M′,r′,s′接收到的M,r,s版本。4.2.4数字签名方案2.EIGamal签名方案（3）DSS算法的验证过程验证：w=(s′)-1modqu1=[H(M′)w]modq,u2=(r′)wmodqv=[(gu1yu2)modp]modqTEST:v=r′4.2.4数字签名方案2.EIGamal签名方案（4）实例假设取q=101,p=78*9+1=7879。3为7879的一个本原元，所以能取g=378(mod7879)=170为模p的q次单位根；假设x=75，那么y=gx(mod7879)=4567。现在，假设Bob想签名一个消息m=1234，且他选择了随机值k=50，可算得k-1(mod101)=99，签名算出:r=(17050(mod7879)(mod101)=2518(mod101)=94s=(1234+75*94)*99(mod101)=97签名后的信息为：12349497。验证：w=97-1(mod101)=25，U1=1234*25(mod101)=45，U2=94*25(mod101)=27，(17045*456727(mod7879))(mod101)=2518(mod101)=94因此该签名是有效的。4.2.4数字签名方案2.EIGamal签名方案（5）DSS的特点DSS的签名比验证快得多；DSS不能用于加密或者密钥分配；若p为512位，q为160位，而DSS只需要两个160位，即320位。4.2.4数字签名方案2.EIGamal签名方案（6）DSS使用中的问题：s≠0S-1modq要存在s≠0modq，如果发生，接收者可拒绝该签名，要求重修构造该签名。实际上，s≡0modq的概率非常小（2-160）。因为用户产生的签名s=0，会泄露私钥：S=0=k-1[H(m)+xr]modqX=-H(m)r-1modq不能将签名所使用的随机