鉴别协议-北京大学计算机系信息安全研究室.ppt

1、1,信息安全原理与应用 第八章 鉴别协议 本章由王昭主写,2,讨论议题,密码协议 鉴别协议 鉴别与密钥交换协议,3,协议(protocol),协议指的是双方或多方通过一系列规定的步骤来完成某项任务。 协议的含义： 第一，协议自开始至终是有序的过程，每一步骤必须依次执行。 第二，协议至少需要两个参与者 第三，通过执行协议必须完成某项任务。,4,对协议的攻击,攻击目标 攻击协议使用的密码算法和密码技术 攻击协议本身 攻击方式 被动攻击：与协议无关的人能窃听协议的一部分或全部。 主动攻击：改变协议以便对自己有利。假冒、删除、代替、重放,5,密码协议,使用密码的具有安全性功能的协议称为安全协议或密码协

2、议. 根据协议的功能: 密钥建立协议(key establishment protocol):建立共享秘密 鉴别协议(authentication protocol):向一个实体提供对他想要进行通信的另一个实体的身份的某种程度的确认. 鉴别的密钥建立协议(authenticated key establishment protocol):与另一个身份已被或可被证实的实体之间建立共享秘密. ,6,认证、鉴别和识别,认证(certification) 资质的证明 鉴别(authentication) 真伪的证明，结果只有两个 识别(identification) 区分不同的东西,7,讨论议题,密码

3、协议 鉴别协议 鉴别与密钥交换协议,8,讨论议题,鉴别协议 实体鉴别的基本概念 鉴别机制,9,实体鉴别(Entity Authentication),The property that ensures that the identity of a subject or resource is the one claimed. Authenticity applies to entities such as users, processes, systems and information. 实体鉴别就是确认实体是它所声明的。 实体鉴别是最重要的安全服务之一。鉴别服务提供了关于某个实体身份的保证

4、。（所有其它的安全服务都依赖于该服务） 实体鉴别可以对抗假冒攻击的危险,10,实体鉴别的需求和目的,实体鉴别需求： 某一成员（声称者）提交一 个主体的身份并声称它是那个主体。 实体鉴别目的： 使别的成员（验证者）获得对声称者所声称的事实的信任。,11,实体鉴别与消息鉴别的差别,实体鉴别一般都是实时的，消息鉴别一般不提供时间性。 实体鉴别只证实实体的身份，消息鉴别除了消息的合法和完整外，还需要知道消息的含义。 数字签字主要用于证实消息的真实来源。但在身份鉴别中消息的语义是基本固定的，一般不是“终生”的，签字是长期有效的。,12,实体鉴别系统的组成,一方是出示证件的人，称作示证者P(Prover)

5、，又称声称者(Claimant)。 另一方为验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。 第三方是可信赖者TP （Trusted third party) ，参与调解纠纷。 第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。,13,鉴别模型,14,对身份鉴别系统的要求,（1）验证者正确识别合法申请者的概率极大化。 （2）不具有可传递性（Transferability) （3）攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度 （4）计算有效性 （5）通信有效性 （6）秘密参数能安全存储 *（7）交互识别 *（8）第三方的实时参与 *（9）第

6、三方的可信赖性 *（10）可证明的安全性,15,实现身份鉴别的途径,三种途径之一或他们的组合 （1）所知（Knowledge）:密码、口令 （2）所有（Possesses):身份证、护照、信用卡、钥匙 （3）个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征 设计依据： 安全水平、系统通过率、用户可接受性、成本等,16,讨论议题,鉴别协议 实体鉴别的基本概念 鉴别机制,鉴别机制的基本类别,17,讨论议题,鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制 基于设备的鉴别,18,19,口令机制,常规的口令

7、方案涉及不随时间变化的口令，提供所谓的弱鉴别(weak authentication)。 口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为58的字符串。选择原则：易记、难猜、抗分析能力强。 口令系统有许多脆弱点： 外部泄露 口令猜测 线路窃听 危及验证者 重放,20,对付外部泄露的措施,教育、培训； 严格组织管理办法和执行手续； 口令定期改变； 每个口令只与一个人有关； 输入的口令不再现在终端上； 使用易记的口令，不要写在纸上。,21,对付口令猜测的措施,教育、培训； 严格限制非法登录的次数； 口令验证中插入实时延迟； 限制最小长度，至少68字节以上 防止用户特征相关口令， 口令定

8、期改变； 及时更改预设口令； 使用机器产生的口令。,22,对付线路窃听的措施,使用保护口令机制：如单向函数。,23,对付危及验证者的措施,24,主要缺陷及对策,攻击者很容易构造一张q与p对应的表，表中的p尽最大可能包含所期望的值。 随机串（Salt）是使这种攻击变得困难的一种办法。 在口令后使用随机数。 只能保护在多台计算机上使用相同口令或在同一计算机上使用同一口令的不同用户。,讨论议题,鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制 基于设备的鉴别,25,26,一次性口令机制,近似的强鉴别（towards strong authen

9、tication) 一次性口令机制确保在每次鉴别中所使用的口令不同，以对付重放攻击。 确定口令的方法： 两端秘密共享一串随机口令，在该串的某一位置保持同步，此方案有两端需要维护秘密随机串表的缺点； 顺序更新一次性口令，使用旧的口令把新的口令加密传输过去。,27,双因素动态口令卡,基于密钥/时间双因素的身份鉴别机制；,讨论议题,鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制 基于设备的鉴别,28,29,强鉴别,强鉴别（strong authentication)：通过密码学的询问-应答(challenge-response)协议实现的身

10、份鉴别，询问-应答协议的思想是一个实体向另一个实体证明他知道有关的秘密知识，但不向验证者提供秘密本身。这通过对一个时变的询问提供应答来实现，应答通常依赖于实体的秘密和询问。询问通常是一个实体选择的一个数（随机和秘密地）。,30,讨论议题,鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制 基于设备的鉴别,31,32,零知识证明技术,零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。,讨论议题,鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制

11、基于设备的鉴别,33,34,基于地址的机制,基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。 基于地址的机制自身不能被作为鉴别机制，但可作为其它机制的有用补充。,讨论议题,鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制 基于设备的鉴别,35,36,基于个人特征的机制,生物特征识别技术主要有： 1）指纹识别； 2）声音识别； 3）手迹识别； 4）视网膜扫描； 5）手形。这些技术的使用对网络安全协议不会有重要的影响。,讨论议题,鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征

12、的机制 基于设备的鉴别,37,38,个人鉴别令牌,物理特性用于支持鉴别“某人拥有某东西” ，但通常要与一个口令或PIN结合使用。,39,讨论议题,密码协议 鉴别协议 鉴别与密钥交换协议,40,设计鉴别交换协议,鉴别和密钥交换协议的核心问题有两个： 保密性 时效性 针对不同验证者的重放，使用发送验证者的标识符。 针对同一验证者的重放对策是使用非重复值： 序列号 时间戳 随机值 相互鉴别交换协议必须为此目的而特别地进行设计。,41,讨论议题,鉴别与交换协议实例 CHAP S/Key Kerberos X.509鉴别服务,42,CHAP (challenge-Handshake Authentica

13、tion Protocol),询问握手鉴别协议(CHAP)：RFC1994 拨号用户鉴别协议，采用提问/应答方式进行鉴别，通过在PPP链接的双方进行一次三次握手，完成对对方身份的鉴别,43,44,讨论议题,鉴别与交换协议实例 CHAP S/Key Kerberos X.509鉴别服务,45,S/Key 协议,S/KEY由贝尔实验室于1994年公开发布并在RF1760中定义，是基于MD4、MD5的一次性口令生成机制 S/key protocol主要用于防止重放攻击,46,S/KEY协议组成,三个组成部分 客户端程序：为端用户提供登录程序，并在得到服务器质询值时，获取用户私钥，并调用口令计算器形成

14、本次鉴别口令，然后发送给服务器程序 口令计算器：负责产生本次口令 服务器程序：验证用户口令 整个过程中，用户的私钥不会暴露在网络上,47,48,讨论议题,鉴别与交换协议实例 CHAP S/Key Kerberos X.509鉴别服务,49,80年代中期 是MIT的Athena工程的产物 版本 前三个版本仅用于内部 第四版得到了广泛的应用 第五版于1989年开始设计 RFC 1510, 1993年确定 标准Kerberos,Kerberos历史,50,Kerberos要解决的问题和方案,在一个开放的分布式网络环境中，防止一个非授权用户能够获得其无权访问的服务或数据。 不是为每一个服务器构造一个身

15、份鉴别协议，Kerberos提供一个中心鉴别服务器，提供用户到服务器和服务器到用户的鉴别服务。 Kerberos采用传统加密算法。 Kerberos Version4和Version5 (RFC1510)。 Kerberos系统应满足的要求：安全、可靠、透明、可伸缩。,51,Kerberos协议中一些概念,Principal(安全个体) 被鉴别的个体，有一个名字(name)和口令(password) KDC(Key distribution center) 是一个网络服务，提供ticket和临时的会话密钥 Ticket 一个记录，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密

16、钥、时间戳，以及其他一些信息。Ticket 中的大多数信息都被加密，密钥为服务器的密钥 Authenticator 一个记录，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥,Kerberos模型,52,Kerberos版本4,53,Kerberos版本5,54,55,Kerberos Version 5,改进version 4 的环境缺陷 加密系统依赖性 Internet协议依赖性 消息字节次序 Ticket的时效性 Authentication forwarding Inter-realm authentication,56,Kerberos Version

17、5,改进Version 4 的技术缺陷 Double encryption PCBC encryption Session key Password attacks,57,Kerberos鉴别协议小结,特点 基于口令的鉴别协议 利用对称密码技术建立起来的鉴别协议 可伸缩性可适用于分布式网络环境 环境特点 User-to-server authentication,58,讨论议题,鉴别与交换协议实例 CHAP S/Key Kerberos X.509鉴别服务,X.509鉴别交换协议,单向鉴别 双向鉴别 三向鉴别,59,60,总结,与Kerberos协议相比，X.509鉴别交换协议有一个很大的优点

18、：X.509不需要物理上安全的在线服务器，因为一个证书包含了一个认证授权机构的签名。公钥证书可离线分配。 X.509双向交换拥有Kerberos的缺陷，即依赖于时戳，而X.509三向交换克服了这一缺陷。,61,参考文献,王昭，袁春编著. 陈钟审校. 信息安全原理与应用. 北京:电子工业出版社，2010. MIT Kerberos Web Site: /kerberos/www USC/ISI Kerberos Page: Password-to-Key Transformation Propagating Cipher Block Chaining Mode William Stallings, Cryptography and network security: principles and practice, Second Edition Bruce Shneier, Applied cryptography: protocols, algorithms, and sourcecode in C, Second Edition.,62,参考文献,Alfred J. Menezes, Handbook of applied cryptograp