网络安全-身份鉴别课件.ppt

1、 建行网银工作原理建行网银工作原理 USB Key(硬件数字证书载体硬件数字证书载体) 这是大多数国内银行采用的客户端解决方案这是大多数国内银行采用的客户端解决方案，使用，使用USB Key存放代表用户唯一身份数字证书存放代表用户唯一身份数字证书和用户私钥。在这个基于和用户私钥。在这个基于PKI体系的整体解决方体系的整体解决方案中，用户的私钥是在高安全度的案中，用户的私钥是在高安全度的USB Key内产内产生，并且终身不可导出到生，并且终身不可导出到USB Key外部。在网上外部。在网上银行应用中，对交易数据的数字签名都是在银行应用中，对交易数据的数字签名都是在USB Key内部完成的，并受到

2、内部完成的，并受到USB Key的的PIN码保护码保护。 证书及私钥的保管证书及私钥的保管 你的私钥是有口令保护的，在导出证书及你的私钥是有口令保护的，在导出证书及私钥时，应提供该口令，因此，你应牢记这个私钥时，应提供该口令，因此，你应牢记这个口令，并定期更换口令。这个口令不应告诉别口令，并定期更换口令。这个口令不应告诉别人，否则他可以得到你的证书及私钥，完全冒人，否则他可以得到你的证书及私钥，完全冒充你的身份，在网上银行交易。充你的身份，在网上银行交易。中行网银工作原理中行网银工作原理 动态口令牌（动态口令牌（E-Token）是一种内置电源、密码生成芯片）是一种内置电源、密码生成芯片和显示屏

3、、根据专门的算法每隔一定时间自动更新动态口和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。令的专用硬件。 动态口令牌的使用十分简单，无需安装驱动，用户只要根动态口令牌的使用十分简单，无需安装驱动，用户只要根据网上银行系统的提示，输入动态口令牌当前显示的动态据网上银行系统的提示，输入动态口令牌当前显示的动态口令即可。口令即可。 中国银行在柜台发售这种装置时，与网银用户绑定建立一对一对应关系，使用唯一的128位种子将其初始化；其内部芯片每分钟都会使用一种算法，组合该种子与当前时间，生成一个随机的数字，称为动态口令或一次性密码，每60秒随机更新一次。 下次认证时则更换使用另一个口令，

4、使得不法分子难以仿冒合法用户的身份，用户也不需要去记忆密码。 而在我行网银认证服务器则采取和这个动态密码而在我行网银认证服务器则采取和这个动态密码器同一种算法产生该随机数字，保证动态密码器器同一种算法产生该随机数字，保证动态密码器和我行网银服务器的单一认证，就像每个客户都和我行网银服务器的单一认证，就像每个客户都有了世界上独一无二的身份认证，保证客户使用有了世界上独一无二的身份认证，保证客户使用网银的安全性。网银的安全性。 对于失去时间同步的令牌，目前可以通过增对于失去时间同步的令牌，目前可以通过增大偏移量的技术（前后大偏移量的技术（前后10分钟）来进行远程同步分钟）来进行远程同步，确保其能够

5、继续使用，降低对应用的影响，但，确保其能够继续使用，降低对应用的影响，但对于超出默认（共对于超出默认（共20分钟）的时间同步令牌，将分钟）的时间同步令牌，将无法继续使用或进行远程同步，必须返厂或送回无法继续使用或进行远程同步，必须返厂或送回服务器端另行处理。服务器端另行处理。讨论议题讨论议题 鉴别的基本概念鉴别的基本概念 鉴别机制鉴别机制 鉴别与交换协议鉴别与交换协议 典型鉴别实例典型鉴别实例鉴别的需求和目的鉴别的需求和目的 问题的提出问题的提出 身份欺诈身份欺诈 鉴别需求：鉴别需求： 某一成员（某一成员（声称者声称者）提交一）提交一 个主体的身份并个主体的身份并声称它是那个主体。声称它是那个

6、主体。 鉴别目的：鉴别目的： 使别的成员（使别的成员（验证者验证者）获得对声称者所声称）获得对声称者所声称的事实的信任。的事实的信任。身份鉴别身份鉴别 定义：证实客户的真实身份与其所声称定义：证实客户的真实身份与其所声称的身份是否相符的过程。的身份是否相符的过程。 依据：依据： Something the user know (所知）所知） 密码、口令等密码、口令等 Something the user possesses （拥有）（拥有） 身份证、护照、密钥盘等身份证、护照、密钥盘等 Something the user is (or How he behaves) 指纹、笔迹、声音、虹膜、

7、指纹、笔迹、声音、虹膜、DNA等等 协议协议 PAP CHAP Kerberos X.509鉴别的两种情形鉴别的两种情形 鉴别用于一个特定的通信过程，即在此过程中鉴别用于一个特定的通信过程，即在此过程中需要提交实体的身份。需要提交实体的身份。 实体鉴别（身份鉴别）：实体鉴别（身份鉴别）：某一实体确信与之打交道的某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的实体正是所需要的实体。只是简单地鉴别实体本身的身份，不会和实体想要进行何种活动相联系。身份，不会和实体想要进行何种活动相联系。 防止假冒防止假冒 数据源鉴别数据源鉴别：为了确定被鉴别的实体与一些特定数据：为了确定被鉴别

8、的实体与一些特定数据项有着静态的不可分割的联系。项有着静态的不可分割的联系。 对数据单元被篡改和重复不提供保护。对数据单元被篡改和重复不提供保护。 与与完整性完整性有关的数据原发鉴别必须确保自从数据项离有关的数据原发鉴别必须确保自从数据项离开它的信源没有被修改。开它的信源没有被修改。数据源鉴别方法数据源鉴别方法： 1 1）加密：给数据项附加一个鉴别项，然后加密该结果）加密：给数据项附加一个鉴别项，然后加密该结果 2 2）封装或数字签名）封装或数字签名 3 3）实体鉴别扩展：通过完整性机制将数据项和鉴别交换联系）实体鉴别扩展：通过完整性机制将数据项和鉴别交换联系起来起来实体鉴别与消息鉴别的差别实

9、体鉴别与消息鉴别的差别 实体鉴别实体鉴别一般都是实时的，一般都是实时的，消息鉴别消息鉴别一般不提一般不提供时间性。供时间性。 实体鉴别实体鉴别只证实实体的身份，只证实实体的身份，消息鉴别消息鉴别除了消除了消息的合法和完整外，还需要知道消息的含义。息的合法和完整外，还需要知道消息的含义。 数字签名是实现身份识别的有效途径。数字签名是实现身份识别的有效途径。实体鉴别分类（实体鉴别分类（1） 实体鉴别可以分为实体鉴别可以分为本地本地和和远程远程两类。两类。 实体在本地环境的初始化鉴别（就是说，作为实体实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通个人，和设备

10、物理接触，不和网络中的其他设备通信）。信）。 连接远程设备、实体和环境的实体鉴别。连接远程设备、实体和环境的实体鉴别。 本地鉴别：需要用户的进行明确的操作本地鉴别：需要用户的进行明确的操作 远程鉴别：通常将本地鉴别结果传送到远程。远程鉴别：通常将本地鉴别结果传送到远程。 实体鉴别分类（实体鉴别分类（2） 实体鉴别可以是实体鉴别可以是单向的单向的也可以是也可以是双向的双向的。 单向鉴别单向鉴别是指通信双方中只有一方向另一方进行鉴是指通信双方中只有一方向另一方进行鉴别。别。 双向鉴别双向鉴别是指通信双方相互进行鉴别。是指通信双方相互进行鉴别。双向鉴别协议双向鉴别协议 最常用的协议。该协议使得通信各

11、方互相认证鉴别最常用的协议。该协议使得通信各方互相认证鉴别各自的身份，然后交换会话密钥。各自的身份，然后交换会话密钥。 基于鉴别的密钥交换核心问题有两个：基于鉴别的密钥交换核心问题有两个： 保密性保密性 实效性实效性 （1） 为了防止伪装和防止暴露会话密钥，基本鉴别和会话为了防止伪装和防止暴露会话密钥，基本鉴别和会话密码信息必须以保密形式通信，这就要求预先存在保密密码信息必须以保密形式通信，这就要求预先存在保密或公开密钥供实现加密使用。或公开密钥供实现加密使用。（2）第二个问题也很重要，因为涉及防止消息重放攻击。）第二个问题也很重要，因为涉及防止消息重放攻击。实体鉴别系统的组成实体鉴别系统的组

12、成 一方是出示证件的人，称作示证者一方是出示证件的人，称作示证者P(Prover)，又称声称者又称声称者(Claimant)。 另一方为验证者另一方为验证者V（Verifier),检验声称者提出检验声称者提出的证件的正确性和合法性，决定是否满足要求。的证件的正确性和合法性，决定是否满足要求。 第三方是可信赖者第三方是可信赖者TP （Trusted third party) ，参与调解纠纷。参与调解纠纷。 第四方是攻击者，可以窃听或伪装声称者骗取第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。验证者的信任。鉴别模型鉴别模型 ATPB对身份鉴别系统的要求对身份鉴别系统的要求 （1）验证者正确

13、识别合法申请者的概率极大化。）验证者正确识别合法申请者的概率极大化。 （2）不具有可传递性（）不具有可传递性（Transferability) （3）攻击者伪装成申请者欺骗验证者成功的概率要小到）攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度可以忽略的程度 （4）计算有效性）计算有效性 （5）通信有效性）通信有效性 （6）秘密参数能安全存储）秘密参数能安全存储*（7）交互识别）交互识别*（8）第三方的实时参与）第三方的实时参与*（9）第三方的可信赖性）第三方的可信赖性*（10）可证明的安全性）可证明的安全性 讨论议题讨论议题 鉴别的基本概念鉴别的基本概念 鉴别机制鉴别机制 鉴别与交

14、换协议鉴别与交换协议 典型鉴别实例典型鉴别实例鉴别机制鉴别机制 非密码的鉴别机制非密码的鉴别机制 基于密码算法的鉴别基于密码算法的鉴别 采用对称密码算法的机制采用对称密码算法的机制 采用公开密码算法的机制采用公开密码算法的机制 采用密码校验函数的机制采用密码校验函数的机制 零知识证明协议零知识证明协议非密码的鉴别机制非密码的鉴别机制 A. 口令机制口令机制 B一次性口令机制一次性口令机制 C基于个人特征的机制基于个人特征的机制 D个人鉴别令牌个人鉴别令牌A口令机制口令机制 口令或通行字机制是最广泛研究和使用的身份口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为鉴别法。通常为长度为5

15、8的字符串。选择原的字符串。选择原则：易记、难猜、抗分析能力强。则：易记、难猜、抗分析能力强。 口令系统有许多脆弱点：口令系统有许多脆弱点： 外部泄露外部泄露 口令猜测口令猜测 线路窃听线路窃听 危及验证者危及验证者 重放重放对付外部泄露的措施对付外部泄露的措施 教育、培训；教育、培训； 严格组织管理办法和执行手续；严格组织管理办法和执行手续； 口令定期改变；口令定期改变； 每个口令只与一个人有关；每个口令只与一个人有关； 输入的口令不再现在终端上；输入的口令不再现在终端上； 使用易记的口令，不要写在纸上。使用易记的口令，不要写在纸上。对付口令猜测的措施对付口令猜测的措施 教育、培训；教育、培

16、训； 严格限制非法登录的次数；严格限制非法登录的次数； 限制最小长度，至少限制最小长度，至少68字节以上字节以上 防止用户特征相关口令，防止用户特征相关口令， 口令定期改变；口令定期改变； 及时更改预设口令；及时更改预设口令； 使用机器产生的口令。使用机器产生的口令。对付线路窃听的措施对付线路窃听的措施 使用保护口令机制：如单向函数。使用保护口令机制：如单向函数。 q fididq比较比较是或不是是或不是p id声称者声称者验证者验证者消息消息目的是保证即使攻击者截获了线路上传输的消息，也无法得知p，所以在传输之前对p进行了散列操作。主要缺陷及对策主要缺陷及对策 攻击者很容易构造一张攻击者很容

17、易构造一张q与与p对应的表，表中的对应的表，表中的p尽最大尽最大可能包含所期望的值。可能包含所期望的值。 随机串（随机串（Salt）是使这种攻击变得困难的一种办法。）是使这种攻击变得困难的一种办法。 在口令后使用随机数。在口令后使用随机数。 只能保护在多台计算机上使用相同口令或在同一计算只能保护在多台计算机上使用相同口令或在同一计算机上使用同一口令的不同用户。机上使用同一口令的不同用户。UNIX系统中的口令存储系统中的口令存储 UNIX系统使用系统使用crypt()保证系统密码的完整性。保证系统密码的完整性。 这一这一函数完成被称作单向加密的功能，它可以加密一些明函数完成被称作单向加密的功能，

18、它可以加密一些明码，但不能够将密码转换为原来的明码。码，但不能够将密码转换为原来的明码。改进方案改进方案 q id qid比较比较f是或不是是或不是声称者声称者验证者验证者p id消息消息salt如果单纯对p进行散列，攻击者用穷举攻击法，可能能够攻破，但是加个salt之后，就增加了提取出p的难度了。基本的对付危及验证者的措施基本的对付危及验证者的措施 使用单向函数使用单向函数 p ididq比较比较是或不是是或不是声称者声称者验证者验证者p id消息消息fq salt对付窃听及危及验证者的措施对付窃听及危及验证者的措施 声称者声称者fq idgidr比较比较是或不是是或不是p idr 验证者验

19、证者消息消息saltsalt对付重放攻击的措施对付重放攻击的措施 抵抗对通信线路的主动攻击抵抗对通信线路的主动攻击重放攻击。重放攻击。 r idnrvgfidqg比较比较是或不是是或不是p 声称者声称者验证者验证者消息消息q idnrvsaltB一次性口令机制一次性口令机制 一次性口令机制确保在每次认证中所使用的口一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。令不同，以对付重放攻击。 确定口令的方法：确定口令的方法：（1）两端共同拥有一串随机口令，在该串的）两端共同拥有一串随机口令，在该串的某一位置保持同步；某一位置保持同步； （2）两端共同使用一个随机序列生成器，在两端共同

20、使用一个随机序列生成器，在该序列生成器的初态保持同步；该序列生成器的初态保持同步； （3）使用时戳，两端维持同步的时钟。）使用时戳，两端维持同步的时钟。强度强度（ 1）没有器件而知道口令）没有器件而知道口令p，不能导致一个简，不能导致一个简单的攻击；单的攻击；（ 2）拥有器件而不知道口令）拥有器件而不知道口令p，不能导致一个，不能导致一个简单的攻击；简单的攻击；（ 3）除非攻击者也能进行时间同步，否则重放）除非攻击者也能进行时间同步，否则重放不是一个简单的攻击；不是一个简单的攻击；SKEY验证程序验证程序 其安全性依赖于一个单向函数。为建立这样的系统其安全性依赖于一个单向函数。为建立这样的系统

21、A输输入一随机数入一随机数R，计算机计算，计算机计算f（R）, f（ f（R），）， f（ f（ f（R） ），），,共计算共计算100次，计算得到的数为次，计算得到的数为x1, x2 , x3 , x100，A打印出这样的表，随身携带，计算机打印出这样的表，随身携带，计算机将将x101存在存在A的名字旁边。的名字旁边。 形成链状结构形成链状结构 以后依次键入以后依次键入xi，计算机计算，计算机计算f(xi)，并将它与，并将它与xi+1比较。比较。C基于个人特征的机制基于个人特征的机制 生物特征识别技术主要有：生物特征识别技术主要有： 1）指纹识别；）指纹识别； 2）声音识别；）声音识别； 3

22、）手迹识别；）手迹识别； 4）视网膜扫描；）视网膜扫描； 5）手形。）手形。这些技术的使用对网络安全协议不会有重要的这些技术的使用对网络安全协议不会有重要的影响。影响。D个人鉴别令牌个人鉴别令牌 物理特性用于支持认证物理特性用于支持认证“某人拥有某东西某人拥有某东西” ，但通常要与一个口令或但通常要与一个口令或PIN结合使用。结合使用。 这种器件应具有存储功能，通常有键盘、显示这种器件应具有存储功能，通常有键盘、显示器等界面部件，更复杂的能支持一次性口令，器等界面部件，更复杂的能支持一次性口令，甚至可嵌入处理器和自己的网络通信设备（如甚至可嵌入处理器和自己的网络通信设备（如智能卡）。智能卡）。

23、 这种器件通常还利用其它密码鉴别方法。这种器件通常还利用其它密码鉴别方法。 基于密码算法的鉴别基于密码算法的鉴别 采用对称密码算法的机制采用对称密码算法的机制 采用公开密码算法的机制采用公开密码算法的机制 采用密码校验函数的机制采用密码校验函数的机制 鉴别和密钥交换协议的核心问题有两个：鉴别和密钥交换协议的核心问题有两个： 保密性保密性: 时效性时效性 保密：保密： 为了防止伪装和防止暴露会话密钥。为了防止伪装和防止暴露会话密钥。 时效时效 涉及防止消息重放攻击。涉及防止消息重放攻击。A、重放、重放常见的消息重放常见的消息重放 攻击形式有：攻击形式有：1、简单重放简单重放：重新发送复制的一条消

24、息；：重新发送复制的一条消息；2、可被日志记录的复制品可被日志记录的复制品：攻击者可以在一个合法有效：攻击者可以在一个合法有效的时间窗内重放一个带时间戳的消息；的时间窗内重放一个带时间戳的消息；3、不能被检测到的复制品不能被检测到的复制品：这种情况可能出现，原因是：这种情况可能出现，原因是原始信息已经被拦截，无法到达目的地，而只有重放原始信息已经被拦截，无法到达目的地，而只有重放的信息到达目的地。的信息到达目的地。4、反向重放，不做修改反向重放，不做修改。向消息发送者重放。当采用传。向消息发送者重放。当采用传统对称加密方式时，这种攻击是可能的。因为消息发统对称加密方式时，这种攻击是可能的。因为

25、消息发送者不能简单地识别发送的消息和收到的消息在内容送者不能简单地识别发送的消息和收到的消息在内容上的区别。上的区别。 对付重放攻击的一种方法是在认证交换中使用一个对付重放攻击的一种方法是在认证交换中使用一个序数序数来给每来给每一个消息报文编号。仅当收到的消息序数顺序合法时才接受之一个消息报文编号。仅当收到的消息序数顺序合法时才接受之，但这种方法的困难是要求双方必须保持上次消息的序号。，但这种方法的困难是要求双方必须保持上次消息的序号。 两种更为一般的方法是两种更为一般的方法是1 ）时间戳）时间戳： A接受一个新消息仅当该消息包含一个时间戳接受一个新消息仅当该消息包含一个时间戳，该时间戳在，该

26、时间戳在A看来，是足够接近看来，是足够接近A所知道的当前时间；所知道的当前时间；这种方法要求不同参与者之间的时钟需要同步这种方法要求不同参与者之间的时钟需要同步2） 盘问盘问/应答方式应答方式Challenge/Response： A期望从期望从B获得一个获得一个新消息，首先发给新消息，首先发给B一个临时值一个临时值(challenge) ，并要求后续从，并要求后续从B收到的消息收到的消息response 包含正确的这个临时值。包含正确的这个临时值。防止重放：（防止重放：（1）时间戳）时间戳 在网络环境中，特别是在分布式网络环境中，时钟同在网络环境中，特别是在分布式网络环境中，时钟同步并不容易

27、做到步并不容易做到 一旦时钟同步失败一旦时钟同步失败 要么协议不能正常服务，影响可用性，造成拒绝服要么协议不能正常服务，影响可用性，造成拒绝服务务(DOS) 要么放大时钟窗口，造成攻击的机会要么放大时钟窗口，造成攻击的机会 时间窗大小的选择应根据消息的时效性来确定时间窗大小的选择应根据消息的时效性来确定（2）询问）询问/应答方式应答方式(Challenge/Response) A期望从期望从B获得一个消息获得一个消息 首先发给首先发给B一个随机值一个随机值(challenge) B收到这个值之后，对它作某种变换，并送回去收到这个值之后，对它作某种变换，并送回去 A收到收到B的的response

28、，希望包含这个随机值，希望包含这个随机值 在有的协议中，这个在有的协议中，这个challenge也称为也称为nonce 可能明文传输，也可能密文传输可能明文传输，也可能密文传输 这个条件可以是知道某个口令，也可能是其他的事情这个条件可以是知道某个口令，也可能是其他的事情 变换例子：用密钥加密，说明变换例子：用密钥加密，说明B知道这个密钥知道这个密钥;简单运算，比如增一，说明简单运算，比如增一，说明B知道这个随机值知道这个随机值 询问询问/应答方法不适应非连接性的应用，因为它要求在传输开应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要始之前先有

29、握手的额外开销，这就抵消了无连接通信的主要特点。特点。一，采用对称密码的鉴别机制一，采用对称密码的鉴别机制 无可信第三方参与的鉴别无可信第三方参与的鉴别 单向鉴别：使用该机制时，两实体中只有一单向鉴别：使用该机制时，两实体中只有一方被鉴别。方被鉴别。 双向鉴别：两通信实体使用此机制进行相互双向鉴别：两通信实体使用此机制进行相互鉴别。鉴别。 有可信第三方参与的鉴别有可信第三方参与的鉴别本部分使用以下记法本部分使用以下记法A，B:实体实体A，B的标识符的标识符TP:可信第三方的标识符可信第三方的标识符KXY:实体实体X和实体和实体Y之间共享的秘密密钥之间共享的秘密密钥,只用于对称密码技术只用于对称

30、密码技术SX:与实体与实体X有关的私有签名密钥有关的私有签名密钥,只用于非对称加密技术只用于非对称加密技术NX:由实体由实体X给出的顺序号给出的顺序号RX:由实体由实体X给出的随机数给出的随机数TX:由实体由实体X原发的时变参数原发的时变参数,它或者是时间标记它或者是时间标记TX,或者是顺序号或者是顺序号RX NX:Y|Z:数据项数据项Y和和Z以以Y在前在前Z在后顺序拼接的结果在后顺序拼接的结果eK(Z):用密钥用密钥K的对称加密算法对数据的对称加密算法对数据Z加密的结果加密的结果fK(Z):使用以密钥使用以密钥K和任意数据串和任意数据串Z作为输入的密码校验函数作为输入的密码校验函数f所产所产

31、生的密码校验值生的密码校验值CertX:由可信第三方签发给实体由可信第三方签发给实体X的证书的证书TokenXY:实体实体X发给发给Y的权标的权标,包含使用密码技术变换的信息包含使用密码技术变换的信息TVP:时变参数时变参数SSX(Z):用私有签名密钥用私有签名密钥SX对数据对数据Z进行私有签名变换所产生的签名进行私有签名变换所产生的签名.无可信第三方参与的机制无可信第三方参与的机制单向鉴别单向鉴别 一次传送鉴别一次传送鉴别AB（1）(2)（1）TokenAB=Text2|eKAB(TA|B|Text1) NA （2）B解密，验证解密，验证B、时间标记或顺序号的、时间标记或顺序号的正确性正确性

32、 无可信第三方参与的机制无可信第三方参与的机制单向鉴别单向鉴别 两次传送鉴别两次传送鉴别AB（1）RB|Text1(3)（2）TokenAB=Text3|eKAB(RB|B|Text2) （3）B解密，验证解密，验证B、 RB的正确性的正确性（2）TokenAB 无可信第三方参与的机制无可信第三方参与的机制双向鉴别双向鉴别 两次传送鉴别两次传送鉴别AB（1） TokenAB(2)（4）A解密，验证解密，验证B、 RB的正确性的正确性（3）TokenBA（1）TokenAB=Text2|eKAB(TA|B|Text1) NA （3）TokenBA=Text4|eKAB(TB|A|Text3) N

33、B (4) 无可信第三方参与的机制无可信第三方参与的机制双向鉴别双向鉴别 三次传送鉴别三次传送鉴别AB（1）RB|Text1(3)（2）TokenAB=Text3|eKAB(RA |RB|B|Text2) （3）B解密，验证解密，验证B、 RB的正确性的正确性（2）TokenAB（4）TokenBA（4）TokenBA=Text5|eKAB(RB |RA|Text4) (5)（5）A解密，验证解密，验证B、 RB、 RA的正确性的正确性涉及可信第三方的机制涉及可信第三方的机制-双向鉴双向鉴别别 四次传送鉴别四次传送鉴别AB（6）TokenBATP（4）TokenAB（2）TokenTA（1）T

34、VPA|B|Text1(3)(7)(5)（2）TokenTA=Text4|eKAT(TVPA |KAB|B|Text3) | eKBT(TTP |KAB|A|Text2) NTP （4）TokenAB=Text6| eKBT(TTP |KAB|A|Text2) eKAB(TA |B|Text5) NTP NA（6）TokenBA=Text8| eKAB(TB |A|Text7) NB 涉及可信第三方的机制涉及可信第三方的机制-双向鉴双向鉴别别 五次传送鉴别五次传送鉴别AB（7）TokenBATP（5）TokenAB（3）TokenTA（2）R A|RB|B|Text2(4)(8)(6)（3）T

35、okenTA=Text5|eKAT(R A |KAB|B|Text4) | eKBT(RB | KAB| A|Text3) （5）TokenAB=Text7| eKBT(RB | KAB| A|Text3) |eKAB(RA |RB|Text6) （7）TokenBA=Text9| eKAB(RB |RA|Text8)(1)RB|Text1二，采用公开密码算法的机制二，采用公开密码算法的机制 在声称者通过其私有签名密钥签署某一消息来在声称者通过其私有签名密钥签署某一消息来证实身份。消息可包含一个非重复值以抵抗重证实身份。消息可包含一个非重复值以抵抗重放攻击。放攻击。 要求验证者有对应的公钥。要

36、求验证者有对应的公钥。 单向鉴别：仅对实体中的一个进行鉴别。单向鉴别：仅对实体中的一个进行鉴别。 双向鉴别：两个通信实体相互进行鉴别。双向鉴别：两个通信实体相互进行鉴别。采用公开密码算法的机制采用公开密码算法的机制单向鉴别单向鉴别 一次传递机制一次传递机制AB（1）CertA|TokenAB（1）TokenAB=TA|B|Text2|SSA(TA|B|Text1) NA NA (2)(2)B验证验证A的公开密钥，验证的公开密钥，验证B的标识符号的标识符号采用公开密码算法的机制采用公开密码算法的机制单向鉴别单向鉴别 两次传递机制两次传递机制AB（1）RB|Text1(3)（3）B验证验证A的公开

37、密钥，验证的公开密钥，验证B的标识符号的标识符号（2）CertA|TokenAB（2）TokenAB=RA|RB|B|Text3|SSA(RA|RB|B|Text2) 采用公开密码算法的机制采用公开密码算法的机制双向鉴别（双向鉴别（1）AB(2)（2）B验证验证A的公开密钥，验证的公开密钥，验证B的标识符号的标识符号（3）CertB|TokenBA 两次传递机制两次传递机制（1）CertA|TokenAB（1）TokenAB=TA|B|Text2|SSA(TA|B|Text1) NA NA (4)（3）TokenBA=TB|A|Text4|SSB(TB|A|Text3) NB NB （4）A验

38、证验证B的公开密钥，验证的公开密钥，验证A的标识符号的标识符号采用公开密码算法的机制采用公开密码算法的机制双向鉴别（双向鉴别（2） 三次传递机制三次传递机制AB（1）RB|Text1(3)（3）B验证验证A的公开密钥，验证的公开密钥，验证B的标识符号的标识符号（2）CertA|TokenAB（2）TokenAB=RA|RB|B|Text3|SSA(RA|RB|B|Text2) （4）CertB|TokenBA（4）TokenBA=RB|RA|A|Text5|SSB(RB|RA|A|Text4) （5）A验证验证B的公开密钥，验证的公开密钥，验证A的标识符号的标识符号(5)采用公开密码算法的机制

39、采用公开密码算法的机制双向鉴别（双向鉴别（3） 两次传递并行机制两次传递并行机制AB（1）CertA|RA|Text1(2)(4)（4）A和和B验证各自的随机数验证各自的随机数（1 ）CertB|RB|Text2（1）TokenAB=RA|RB|B|Text4|SSA(RA|RB|B|Text3) （3）TokenBA（1 ）TokenBA=RB|RA|A|Text6|SSB(RB|RA|A|Text5) （2）A和和B确保他们拥有另一实体的公开密钥确保他们拥有另一实体的公开密钥(2)(4)（3 ）TokenAB三，采用密码校验函数的机制三，采用密码校验函数的机制 在该机制中，待鉴别的实体通过

40、表明它拥有某个在该机制中，待鉴别的实体通过表明它拥有某个秘密鉴别密钥来证实其身份。可由该实体以其秘秘密鉴别密钥来证实其身份。可由该实体以其秘密密钥和特定数据作输入，使用密码校验函数获密密钥和特定数据作输入，使用密码校验函数获得密码校验值来达到。得密码校验值来达到。 声称者和验证者共享秘密鉴别密钥，应仅为该两声称者和验证者共享秘密鉴别密钥，应仅为该两个实体所知，以及他们的信任方。个实体所知，以及他们的信任方。采用密码校验函数的机制采用密码校验函数的机制-单向鉴别单向鉴别 一次传递鉴别一次传递鉴别AB（1）TokenAB（1）TokenAB=TA|Text2|fKAB(TA|B|Text1) NA

41、 NA (2)(2)B验证验证A的标识符号和时间标记的标识符号和时间标记采用密码校验函数的机制采用密码校验函数的机制-单向鉴别单向鉴别AB（1）RB|Text1(3)（3）B验证验证B的标识符号和随机数的标识符号和随机数（2）TokenAB（2）TokenAB=Text3|fKAB(RB|B|Text2) 两次传递机制两次传递机制 采用密码校验函数的机制采用密码校验函数的机制-双向鉴别（双向鉴别（1）AB(2)（2）B验证验证A的标识符号和时间标记的标识符号和时间标记（3）TokenBA 两次传递机制两次传递机制（1）TokenAB（1）TokenAB=TA|B|Text2|fKAB(TA|B

42、|Text1) NA NA (4)（3）TokenBA=TB|A|Text4|fKAB (TB|A|Text3) NB NB （4）A验证验证B的标识符号和时间标记的标识符号和时间标记 采用密码校验函数的机制采用密码校验函数的机制-双向鉴别（双向鉴别（2） 三次传递机制三次传递机制AB（1）RB|Text1(3)（3）B验证验证B的标识符号和随机数的标识符号和随机数（2）TokenAB（2）TokenAB=RA|Text3|fKAB(RA|RB|B|Text2) （4）TokenBA（4）TokenBA=Text5| fKAB(RB|RA|Text2) （5）A验证验证A的标识符号和随机数的标

43、识符号和随机数(5) idid nrv声称者声称者验证者验证者密钥和密钥和id来自物理来自物理令牌或本令牌或本地存储器地存储器加密，封加密，封装或签名装或签名密钥密钥 id解密或验证解密或验证是或不是是或不是密钥密钥idnrv消息消息 加密，封装或签名加密，封装或签名简化的基于密码技术的鉴别机制简化的基于密码技术的鉴别机制零知识证明技术零知识证明技术 零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。 双方没有事先建立的任何安全架构，双方是一种动态的认证机制。 例如：例如： 1）A要向要向B证明自己拥有某个房间的钥匙，假设该房间只能证明自己拥有某个房间的

44、钥匙，假设该房间只能用钥匙打开锁，而其他任何方法都打不开。这时有用钥匙打开锁，而其他任何方法都打不开。这时有2个方法：个方法： 传统方法：（一）传统方法：（一）A把钥匙出示给把钥匙出示给B，B用这把钥匙打开该房用这把钥匙打开该房间的锁，从而证明间的锁，从而证明A拥有该房间的正确的钥匙。拥有该房间的正确的钥匙。 新的方法：（二）新的方法：（二）B确定该房间内有某一物体，确定该房间内有某一物体，A用自己拥有用自己拥有的钥匙打开该房间的门，然后把物体拿出来出示给的钥匙打开该房间的门，然后把物体拿出来出示给B，从而，从而证明自己确实拥有该房间的钥匙。后面这个方法属于零知识证明自己确实拥有该房间的钥匙。

45、后面这个方法属于零知识证明。好处在于在整个证明的过程中，证明。好处在于在整个证明的过程中，B始终不能看到钥匙始终不能看到钥匙的样子，从而避免了钥匙的泄露。的样子，从而避免了钥匙的泄露。 2）A拥有B的公钥，A没有见过B，而B见过A的照片，偶然一天2人见面了，B认出了A，但A不能确定面前的人是否是B，这时B要向A证明自己是B，也有2个方法。 方法一：B把自己的私钥给A，A用这个私钥对某个数据加密，然后用B的公钥解密，如果正确，则证明对方确实是B。 方法二：A给出一个随机值，B用自己的私钥对其加密，然后把加密后的数据交给A，A用B的公钥解密，如果能够得到原来的随机值，则证明对方是B。后面的方法属于

46、零知识证明。 讨论议题讨论议题 鉴别的基本概念鉴别的基本概念 鉴别机制鉴别机制 鉴别与交换协议鉴别与交换协议 典型鉴别实例典型鉴别实例双向鉴别双向鉴别 传统加密方法传统加密方法 Needham/Schroeder Protocol 1978 Denning Protocol 1982 KEHN92 公钥加密方法公钥加密方法 一个基于临时值握手协议：一个基于临时值握手协议：WOO92a 一个基于临时值握手协议：一个基于临时值握手协议：WOO92bNeedham/Schroeder Protocol 1978传统加密方法传统加密方法1、A KDC：IDA|IDB|N12、KDC A：EKaKs|I

47、DB|N1|EKbKs|IDA3、A B： EKbKs|IDA4、B A： EKsN25、A B： EKsf(N2)保密密钥保密密钥Ka和和Kb分别是分别是A和和KDC、B和和KDC之间共享的密钥。之间共享的密钥。本协议的目的就是要安全地分发一个会话密钥本协议的目的就是要安全地分发一个会话密钥Ks给给A和和B。A在第在第2步安全地得到了一个新的会话密钥，第步安全地得到了一个新的会话密钥，第3步只能由步只能由B解密、解密、并理解。第并理解。第4步表明步表明B已知道已知道Ks了。第了。第5步表明步表明B相信相信A知道知道Ks并且并且消息不是伪造的。消息不是伪造的。第第4，5步目的是为了防止某种类型

48、的重放攻击。特别是，如果敌方步目的是为了防止某种类型的重放攻击。特别是，如果敌方能够在第能够在第3步捕获该消息，并重放之，这将在某种程度上干扰破坏步捕获该消息，并重放之，这将在某种程度上干扰破坏B方的运行操作。方的运行操作。Needham/Schroeder Protocol 1978上述方法尽管有第上述方法尽管有第4,5步的握手，但仍然有漏洞。步的握手，但仍然有漏洞。假定攻击方假定攻击方C已经掌握已经掌握A和和B之间通信的一个老的会话密钥之间通信的一个老的会话密钥。C可以在第可以在第3步冒充步冒充A利用老的会话密钥欺骗利用老的会话密钥欺骗B。除非。除非B记记住所有以前使用的与住所有以前使用的

49、与A通信的会话密钥，否则通信的会话密钥，否则B无法判断这无法判断这是一个重放攻击。是一个重放攻击。如果如果C可以中途阻止第可以中途阻止第4步的握手信息，步的握手信息，则可以冒充则可以冒充A在第在第5步响应。从这一点起，步响应。从这一点起，C就可以向就可以向B发送发送伪造的消息而对伪造的消息而对B来说认为是用认证的会话密钥与来说认为是用认证的会话密钥与A进行的进行的正常通信。正常通信。Denning Protocol 1982 改进改进：1、A KDC：IDA|IDB2、KDC A：EKaKs|IDB|T|EKbKs|IDA|T3、A B： EKbKs|IDA|T4、B A： EKsN15、A

50、B： EKsf(N1)| Clock - T | t1 + t2 其中：其中： t1 是是KDC时钟与本地时钟（时钟与本地时钟（A或或B）之间差异的估计值；之间差异的估计值； t2 是预期的网络延迟时间。是预期的网络延迟时间。Denning Protocol 比比 Needham/Schroeder Protocol在安全性方在安全性方面增强了一步。然而，又提出新的问题：即必须依靠各时钟面增强了一步。然而，又提出新的问题：即必须依靠各时钟均可通过网络同步。均可通过网络同步。如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并