2010 密码学 第14周认证理论与技术--身份认证技术.ppt

1、应 用 密 码 学,张仕斌 万武南 张金全 孙宣东编著,西安电子科技大学出版社,二00九年十二月,主要内容,第1章 绪论 第2章 古典密码体制 第3章 分组密码体制 第4章 序列密码体制 第5章 非对称密码体制 第6章 认证理论与技术Hash函数 第7章 认证理论与技术数字签名 第8章 认证理论与技术身份认证技术 第9章 密钥管理技术 第10章 密码学的新方向 第11章 密码学的应用 附录：应用密码算法课程设计,第8章 认证理论与技术 身份认证技术, 认证模型及认证协议 口令认证技术 IC卡认证技术 个人特征识别技术 基于零知识证明的身份认证技术 Kerberos身份认证技术 X.509认证技

2、术,知识点：,认证模型,认证（Authentication）是指核实真实身份的过程，是防止主动攻击的重要技术之一，是一种用可靠的方法证实被认证对象（包括人和事）是否名副其实或是否有效的过程，因此也称为鉴别或验证。 认证不能自动地提供保密性，而保密性也不能自然地提供认证功能，一个纯认证系统的模型如下图所示。,安全可靠的通信除需进行消息的认证外，还需建立一些规范的协议对数据来源的可靠性、通信实体的真实性加以认证，以防止欺骗、伪装等攻击。 网络通信的一个基本问题: A和B是网络的两个用户，他们想通过网络先建立安全的共享密钥再进行保密通信。那么A(B)如何确信自己正在和B(A)通信而不是和C通信呢？这

3、种通信方式为双向通信，因此，此时的认证称为相互认证。类似地，对于单向通信来说，认证称为单向认证。,认证协议,A,KDC,B,共享密钥 Ka,共享密钥 Kb,2： EKaKsIDAIDBN1EKbKsIDA,3：EKb KsIDA/EKsM,1： IDAIDBN1,单向认证协议,KS：一次性会话密钥 N1：随机数 Ka,Kb：A与B和KDC的共享密钥,单钥单向认证, AKDC：IDaIDbN1 KDCA：EKaKSIDbN1EKbKSIDA AB：EKbKSIDaEKsM,双边认证协议,最常用的协议，该协议使得通信各方互相认证鉴别各自的身份，然后交换会话密钥。,A,KDC,B,共享密钥 Ka,共

4、享密钥 Kb,2： EKaKsIDAIDBN1EKbKsIDA,3：EKb KsIDA,1： IDAIDBN1,5： EKsf（N2）,4： EKs N2,双向认证协议,(1) Needham-Schroeder协议 采用KDC的密钥分配过程，可用以下协议来描述： AKDC：IDAIDBN1 KDCA： EKAKSIDBN1EKBKSIDA AB：EKBKSIDA BA：EKSN2 AB：EKSf(N2),双向认证协议,双边认证协议,基于认证的密钥交换核心问题有两个： 保密性 时效性 为了防止伪装和防止暴露会话密钥，基本认证与会话密码信息必须以保密形式通信。这就要求预先存在保密或公开密钥供实现

5、加密使用。第二个问题也很重要，因为涉及防止消息重放攻击。,消息重放：最坏情况下可能导致向敌人暴露会话密钥，或成功地冒充 其他人；至少也可以干扰系统的正常运行，处理不好将导致系统瘫 痪。,常见的消息重放 攻击形式有： 1、简单重放：攻击者简单复制一条消息，以后在重新发送它； 2、可被日志记录的重放：攻击者可以在一个合法有效的时间 窗内重放一个带时间戳的消息； 3、不能被检测到的重放：这种情况可能出现，原因是原始信 息已经被拦截，无法到达目的地，而只有重放的信息到达目 的地。 4、反向重放，不做修改。向消息发送者重放。当采用传统对称 加密方式时，这种攻击是可能的。因为消息发送者不能简单 地识别发送

6、的消息和收到的消息在内容上的区别。,对付重放攻击的一种方法是在认证交换中使用一个序列号来给每一 个消息报文编号。仅当收到的消息序数顺序合法时才接受之。但 这种方法的困难是要求双方必须保持上次消息的序号。,两种更为一般的方法是： 1、时间戳：A接受一个新消息仅当该消息包含一个时间戳，该时间戳在A看来，是足够接近A所知道的当前时间；这种方法要求不同参与者之间的时钟需要同步。 2、挑战/应答方式。（Challenge/Response）A期望从B获得一个新消息，首先发给B一个临时值(challenge)，并要求后续从B收到的消息（response）包含正确的这个临时值。,认证协议防止重放攻击的方法,

7、时间戳方法似乎不能用于面向连接的应用，因为该技术固有的困难： (1) 某些协议需要在各种处理器时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击。 (2) 由于某一方的时钟机制故障可能导致临时失去同步，这将增大攻击成功的机会。 (3) 由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步。因此，任何基于时间戳的过程必须采用时间窗的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。,认证协议防止重放攻击的方法,挑战问/应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无连

8、接通信的主要特点。,认证协议防止重放攻击的方法,A,KDC,B,共享密钥 Ka,共享密钥 Kb,2： EKaKsIDAIDBTEKbKsIDA T,3：EKb KsIDA T,1： IDAIDB,5： EKsf（N1）,4： EKs N1,双向认证改进,Needham-Schroeder协议的改进方案之一 在第步和第步加上一时戳，改进后的协议如下： AKDC：IDAIDB KDCA：EKAKSIDBTEKBKSIDAT AB：EKBKSIDAT BA：EKSN1 AB：EKSf(N1),双向认证改进,身份认证提纲,身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X50

9、9的身份认证 基于生物特征的身份认证,身份认证简介,1、身份认证的需求 2、身份认证的基本模型 3、身份认证的途径 4、常用的身份认证技术,网络环境下对身份认证的需求,唯一的身份标识（ID）: uid，uiddomain DN: C=CN/S=Beijing /O=Tsinghua University/U=CS/ CN=Duan Haixin/Email= 抗被动的威胁（窃听），口令不在网上明码传输,源,目的,sniffer,网络环境下对身份认证的需求,抵抗主动的威胁，比如阻断、伪造、重放,网络上传输的认证信息不可重用,加密,解密,passwd,$% 通过tA验证时效性，通过rA验证没有重发

10、,签名的过程,双向认证(Two-Way Authentication),A,B,1. A tA, rA, B, SgnData, EKUbKab ,tA: 时间戳 rA :Nonce， 用于监测报文重发 SgnData: 待发送的数据 EKUbKab :用B的公钥加密的会话密钥,2. B tB, rB, A, rA , SgnData, EKUbKba ,签名的过程,三向认证(Three-Way Authentication),A,B,1. A tA, rA, B, SgnData, EKUbKab ,tA: 时间戳 rA :Nonce， 用于监测报文重发 SgnData: 待发送的数据 EK

11、UbKab :用B的公钥加密的会话密钥,2. B tB, rB, A, rA , SgnData, EKUbKba ,3. A rB ,不同信任域的问题,如果A 无法安全获得X2的公钥，则无法验证B的证书 X2的有效性 CA之间的交叉证书 A验证B的证书路径: X2 , X1,X1,X2,X1,X2,A,B,X1,X1,X2,X2,提纲,1 身份认证技术概述 2 基于口令的身份认证 3 Kerberos 身份认证协议 4 基于X509的身份认证 5 基于生物特征的身份认证,生理特征介绍,每个人所具有的唯一生理特征 指纹，视网膜，声音，视网膜、虹膜、语音、面部、签名等 指纹 一些曲线和分叉以及一

12、些非常微小的特征； 提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询； 手掌、手型 手掌有折痕，起皱，还有凹槽； 还包括每个手指的指纹 ； 人手的形状（手的长度，宽度和手指）表示了手的几何特征,生理特征介绍（续）,视网膜扫描 扫描眼球后方的视网膜上面的血管的图案； 虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分； 虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶； 语音识别 记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词。 面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状。,生理特征介绍（续）,动态签名 通过签名产生的电信号来进行识别； 动态键盘输入,作业,简述身份认证