1第8章認(rèn)證理論與技術(shù)

----認(rèn)證協(xié)議2上講內(nèi)容回顧消息認(rèn)證數(shù)字簽名數(shù)字簽名應(yīng)用3本章主要內(nèi)容單向認(rèn)證協(xié)議雙向認(rèn)證協(xié)議安全可靠的通信除需進(jìn)行消息的認(rèn)證外，還需建立一些規(guī)范的協(xié)議對(duì)數(shù)據(jù)來源的可靠性、通信實(shí)體的真實(shí)性加以認(rèn)證，以防止欺騙、偽裝等攻擊。網(wǎng)絡(luò)通信的一個(gè)基本問題:A和B是網(wǎng)絡(luò)的兩個(gè)用戶，他們想通過網(wǎng)絡(luò)先建立安全的共享密鑰再進(jìn)行保密通信。那么A(B)如何確信自己正在和B(A)通信而不是和C通信呢？這種通信方式為雙向通信，因此，此時(shí)的認(rèn)證稱為相互認(rèn)證。類似地，對(duì)于單向通信來說，認(rèn)證稱為單向認(rèn)證。認(rèn)證協(xié)議AKDCB共享密鑰Ka共享密鑰Kb2：EKa[Ks∥IDA∥IDB∥N1∥EKb[Ks∥IDA]]3：EKb[Ks∥IDA]//EKs[M]1：IDA∥IDB∥N1單向認(rèn)證協(xié)議KS：一次性會(huì)話密鑰N1：隨機(jī)數(shù)Ka,Kb：A與B和KDC的共享密鑰單鑰單向認(rèn)證①A→KDC：IDa‖IDb‖N1②KDC→A：EKa[KS‖IDb‖N1‖EKb[KS‖IDA]]③A→B：EKb[KS‖IDa]‖EKs[M]雙邊認(rèn)證協(xié)議

最常用的協(xié)議，該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會(huì)話密鑰。張三李四KDC(S認(rèn)證服務(wù)器）Needham-Schroeder認(rèn)證協(xié)議我想和李四通信，我該怎么辦呢？直接聯(lián)系她吧。我是張三，我想和李四你通信！上次就是輕信別人，結(jié)果害我犯錯(cuò)，這次我不再相信任何人呢。我不能確定你是張三，禁止通信！神氣什么？我還不能確定你是不是李四呢？這份文件一定要傳給她！現(xiàn)在該怎么辦呢？有了！向KDC申請(qǐng)會(huì)話密鑰來鑒別我和李四的身份。寫好申請(qǐng)書了，準(zhǔn)備給KDC發(fā)過去吧??！不行，萬一有攻擊者知道上一此KDC發(fā)給我的信息，冒充KDC給我發(fā)上一次的密鑰，那就糟糕了我要加上一個(gè)隨機(jī)的大數(shù)字，讓KDC告訴我密鑰時(shí)，也要把這個(gè)數(shù)傳給我，^_^那就萬無一失了我(張三)和李四(Ra)要通信！請(qǐng)分配密鑰?。」ぷ鱽砹?，有人要申請(qǐng)密鑰，是張三和李四的會(huì)話密鑰！如果不是張三，那把密鑰給他，麻煩就大了，要負(fù)責(zé)任的啊！就算真是張三，明文傳輸密鑰，被別人攔截了，那……我一世英名毀于一旦，今后沒人相信我呢，我喝西北風(fēng)?。?？？？該怎么辦？對(duì)了！我可以用我和張三間約定好的密鑰Ka加密這些信息，然后傳給申請(qǐng)者，這樣如果是張三他就可以得到這些信息，如果不是，別人也不知道這些是什么意思，就算有人中途攔截，攔截者也不能了解這些信息的真實(shí)含義。^_^，我真聰明！^_^對(duì)了！我還要將誰想和李四通話和會(huì)話密鑰告訴李四。^_^，我自己都給自己能有這樣完美的設(shè)想而感到驕傲！^_^！EKa[李四||Ra||K||Ekb[K||張三]]等了這么久，終于KDC給我和李四分配了會(huì)話密鑰（解密得到K），趕快把K告訴李四！Ekb[K||A]這是KDC給我分配的與張三通信的密鑰K（只有KDC才能使用Kb加密）密鑰有了，但是我怎樣驗(yàn)證張三的身份呢？對(duì)了！我用KDC分配的密鑰K加密一個(gè)隨機(jī)數(shù)，如果對(duì)方真是張三，她一定可以知道這個(gè)隨機(jī)數(shù)是多少。但是我怎樣知道她知道這個(gè)隨機(jī)數(shù)？解密對(duì)方的密文得到Rb－1，比較自己發(fā)出的Rb－1，相同。如果你是張三，解密Ek[Rb]把解密后的結(jié)果－1加密傳給我這太簡單了，(使用K解密Ek[Rb]得Rb，使用K加密Rb－1)Ek[Rb－1]已經(jīng)驗(yàn)證你就是張三，我們可以通信了！AKDCB共享密鑰Ka共享密鑰Kb2：EKa[Ks∥IDA∥IDB∥N1∥EKb[Ks∥IDA]]3：EKb[Ks∥IDA]1：IDA∥IDB∥N15：EKs[f（N2）]4：EKs[N2]雙向認(rèn)證協(xié)議(1)Needham-Schroeder協(xié)議采用KDC的密鑰分配過程，可用以下協(xié)議來描述：①A→KDC：IDA‖IDB‖N1②KDC→A：EKA[KS‖IDB‖N1‖EKB[KS‖IDA]]③A→B：EKB[KS‖IDA]④B→A：EKS[N2]⑤A→B：EKS[f(N2)]雙向認(rèn)證協(xié)議雙邊認(rèn)證協(xié)議基于認(rèn)證的密鑰交換核心問題有兩個(gè)：保密性時(shí)效性為了防止偽裝和防止暴露會(huì)話密鑰，基本認(rèn)證與會(huì)話密碼信息必須以保密形式通信。這就要求預(yù)先存在保密或公開密鑰供實(shí)現(xiàn)加密使用。第二個(gè)問題也很重要，因?yàn)樯婕胺乐瓜⒅胤殴?。消息重放：最壞情況下可能導(dǎo)致向敵人暴露會(huì)話密鑰，或成功地冒充其他人；至少也可以干擾系統(tǒng)的正常運(yùn)行，處理不好將導(dǎo)致系統(tǒng)癱瘓。常見的消息重放攻擊形式有：1、簡單重放：攻擊者簡單復(fù)制一條消息，以后在重新發(fā)送它；2、可被日志記錄的重放：攻擊者可以在一個(gè)合法有效的時(shí)間窗內(nèi)重放一個(gè)帶時(shí)間戳的消息；3、不能被檢測(cè)到的重放：這種情況可能出現(xiàn)，原因是原始信息已經(jīng)被攔截，無法到達(dá)目的地，而只有重放的信息到達(dá)目的地。4、反向重放，不做修改。向消息發(fā)送者重放。當(dāng)采用傳統(tǒng)對(duì)稱加密方式時(shí)，這種攻擊是可能的。因?yàn)橄l(fā)送者不能簡單地識(shí)別發(fā)送的消息和收到的消息在內(nèi)容上的區(qū)別。對(duì)付重放攻擊的一種方法是在認(rèn)證交換中使用一個(gè)序列號(hào)來給每一個(gè)消息報(bào)文編號(hào)。僅當(dāng)收到的消息序數(shù)順序合法時(shí)才接受之。但這種方法的困難是要求雙方必須保持上次消息的序號(hào)。兩種更為一般的方法是：1、時(shí)間戳：A接受一個(gè)新消息僅當(dāng)該消息包含一個(gè)時(shí)間戳，該時(shí)間戳在A看來，是足夠接近A所知道的當(dāng)前時(shí)間；這種方法要求不同參與者之間的時(shí)鐘需要同步。2、挑戰(zhàn)/應(yīng)答方式。（Challenge/Response）A期望從B獲得一個(gè)新消息，首先發(fā)給B一個(gè)臨時(shí)值(challenge)，并要求后續(xù)從B收到的消息（response）包含正確的這個(gè)臨時(shí)值。認(rèn)證協(xié)議防止重放攻擊的方法時(shí)間戳方法似乎不能用于面向連接的應(yīng)用，因?yàn)樵摷夹g(shù)固有的困難：(1)某些協(xié)議需要在各種處理器時(shí)鐘中維持同步。該協(xié)議必須既要容錯(cuò)以對(duì)付網(wǎng)絡(luò)出錯(cuò)，又要安全以對(duì)付重放攻擊。(2)由于某一方的時(shí)鐘機(jī)制故障可能導(dǎo)致臨時(shí)失去同步，這將增大攻擊成功的機(jī)會(huì)。(3)由于變化的和不可預(yù)見的網(wǎng)絡(luò)延遲的本性，不能期望分布式時(shí)鐘保持精確的同步。因此，任何基于時(shí)間戳的過程必須采用時(shí)間窗的方式來處理：一方面時(shí)間窗應(yīng)足夠大以包容網(wǎng)絡(luò)延遲，另一方面時(shí)間窗應(yīng)足夠小以最大限度地減小遭受攻擊的機(jī)會(huì)。認(rèn)證協(xié)議防止重放攻擊的方法挑戰(zhàn)問/應(yīng)答方法不適應(yīng)非連接性的應(yīng)用，因?yàn)樗笤趥鬏旈_始之前先有握手的額外開銷，這就抵消了無連接通信的主要特點(diǎn)。認(rèn)證協(xié)議防止重放攻擊的方法AKDCB共享密鑰Ka共享密鑰Kb2：EKa[Ks∥IDA∥IDB∥T∥EKb[Ks∥IDA∥T]]3：EKb[Ks∥IDA∥T]1：IDA∥IDB5：EKs[f（N1）]4：EKs[N1]雙向認(rèn)證改進(jìn)Kerberos認(rèn)證技術(shù)1Kerberos簡介2KerberosV53Kerberos缺陷Kerberos簡介Kerberos麻省理工學(xué)院為Athena項(xiàng)目開發(fā)的一個(gè)認(rèn)證服務(wù)系統(tǒng)目標(biāo)是：把通過網(wǎng)絡(luò)通信的實(shí)體可以相互證明彼此的身份，可以抵抗旁聽和重放等方式攻擊，并且還可以保證通信數(shù)據(jù)的完整性和保密性認(rèn)證問題:KerberosVersion5改進(jìn)version4的環(huán)境缺陷加密系統(tǒng)依賴性：不僅限于DESInternet協(xié)議依賴性:不僅限于IP消息字節(jié)次序Ticket的時(shí)效性AuthenticationforwardingInter-realmauthentication彌補(bǔ)了KerberosV4的不足取消了雙重加密CBC-DES替換非標(biāo)準(zhǔn)的PCBC加密模式每次會(huì)話更新一次會(huì)話密鑰增強(qiáng)了抵抗口令攻擊的能力實(shí)用認(rèn)證協(xié)議協(xié)議的參與方:客戶(Client)認(rèn)證服務(wù)器(AuthenticationServer)票據(jù)授權(quán)服務(wù)器(TicketGrantingServer)提供具體服務(wù)的服務(wù)器通常AS和TGS都部署在同一臺(tái)服務(wù)器上ServerServerServerServerKerberosDatabaseTicketGrantingServer票據(jù)發(fā)放服務(wù)AuthenticationServer認(rèn)證服務(wù)WorkstationKerberosKeyDistributionService實(shí)用認(rèn)證協(xié)議術(shù)語TGT(TicketGrantingTicket):身份認(rèn)證票據(jù),即Tc,tgs,用于申請(qǐng)服務(wù)授權(quán)Credential(證書):通訊中用到的密鑰的統(tǒng)稱,保存在Cache中Authenticator(認(rèn)證符):用于驗(yàn)證身份,相當(dāng)于標(biāo)識(shí)符,但還包括時(shí)間戳實(shí)用認(rèn)證協(xié)議

ASTGSClientServer12345實(shí)用認(rèn)證協(xié)議1.Client->AS:c,tgs,n2.AS->Client:{Kc,tgs,n}Kc,{Tc,tgs}Ktgs

3.Client->TGS:{Ac}Kc,tgs,{Tc,tgs}Ktgs,s,n4.TGS->Client:{Kc,s,n}Kc,tgs,{Tc,s}Ks

5.Client->Server:{Ac}Kc,s,{Tc,s}KsKerberos的缺陷對(duì)時(shí)鐘同步的要求較高猜測(cè)口令攻擊基于對(duì)稱密鑰的設(shè)計(jì)，不適合于大規(guī)模的應(yīng)用環(huán)境實(shí)用認(rèn)證協(xié)議Kerberos協(xié)議的安全缺陷不能很好地防止口令猜測(cè)式攻擊時(shí)間同步代價(jià)高,且不穩(wěn)定用時(shí)間戳防止重放的代價(jià)很高但仍然不失為“安全／代價(jià)比”比較理想的方案多管理域環(huán)境下的認(rèn)證ClientASTGSKerberosASTGSKerberosServer1.請(qǐng)求本地Tickettgs2.本地Tickettgs3.請(qǐng)求遠(yuǎn)程tickettgs共享密鑰

相互注冊(cè)4.遠(yuǎn)程tickettgs5.請(qǐng)求遠(yuǎn)程服務(wù)ticket6.遠(yuǎn)程服務(wù)ticket7.請(qǐng)求遠(yuǎn)程服務(wù)多域環(huán)境下的認(rèn)證過程實(shí)用認(rèn)證協(xié)議Helsinki協(xié)議ISO/IECDIS11770-3中的認(rèn)證協(xié)議的草案IEC(InternationalElectroTechnicalCommission)DIS(DraftInternationalStandard)利用公鑰系統(tǒng)分配對(duì)稱密鑰實(shí)用認(rèn)證協(xié)議BA213實(shí)用認(rèn)證協(xié)議攻擊實(shí)用認(rèn)證協(xié)議Horng-Hsu攻擊A->P:{A,Ki,Na}KpP(A)->B:{A,Ks,Na}kbB->P(A):{Kr,Na,Nb}KaP->A:{Kr,Na,Nb}KaA->P:NbP(A)->B:Nb實(shí)用認(rèn)證協(xié)議Mitchell-Yeun對(duì)于上述攻擊的改進(jìn)在消息2中增加發(fā)送者標(biāo)識(shí)B->A:{B,Kr,Na,Nb}Ka可以通過形式化證明，經(jīng)過上述改進(jìn)后是安全的實(shí)用認(rèn)證協(xié)議Woo-Lam單向認(rèn)證協(xié)議Woo和Lam于1992年提出的雖然提出時(shí)間較晚，但仍然存在缺陷其目的是參與方之一向另一參與方認(rèn)證其存在性實(shí)用認(rèn)證協(xié)議SAB41523協(xié)議目的：A向B認(rèn)證它的存在性實(shí)用認(rèn)證協(xié)議實(shí)用認(rèn)證協(xié)議攻擊認(rèn)證協(xié)議分析與設(shè)