计算机网络安全技术第7章-身份鉴别技术课件.ppt

1、第7章 身份鉴别技术 本章要求p了解数据鉴别的服务类型p掌握数据鉴别的基本方法p了解Internet中常见的数据鉴别技术，包括KERBEROS系统、GSSAPIv2 本章主要内容7.1 鉴别概述鉴别概述 7.2 鉴别机制鉴别机制 7.3 KERBEROS系统系统7.4 GSSAPIv2 7.1 鉴别概述鉴别概述 p鉴别(Authentication)，也叫验证，是防止主动攻击的一种重要技术。p鉴别的目的是验明用户或信息的正身，就是验证用户身份的合法性和用户间传输信息的完整性与真实性。p鉴别服务提供了关于某个实体身份的保证，所有其它的安全服务都依赖于该服务。p鉴别是最重要的安全服务之一。p基于不

2、同的认证目的，鉴别还可分为实体鉴别和数据源发鉴别两种情形。7.1.1 实体鉴别和数据源发鉴别实体鉴别和数据源发鉴别7.1.2 单向散列函数单向散列函数7.1.1 实体鉴别和数据源发鉴别实体鉴别和数据源发鉴别p实体鉴别，也称身份鉴别，使某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份，不会和实体想要进行何种活动相联系。p身份验证就是验证申请进入网络系统者是否是合法用户，以防非法用户访问系统。p身份验证的方式一般有用户口令验证、摘要算法验证、基于PKI(公钥基础设施)的验证等。p验证、授权和访问控制都与网络实体安全有关。虽然用户身份只与验证有关，但很多情况下还要讨论授权和

3、访问控制。授权和访问控制都是在成功的验证之后进行的。p数据源发鉴别用于鉴定某个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体，也不是为了允许实体执行下一步的操作而鉴别它的身份，而是为了确定被鉴别的实体与一些特定数据项有着静态的不可分割的联系。p报文鉴别是为了确保数据的完整性和真实性，对报文的来源、时间性及目的地进行验证。报文鉴别过程通常涉及到加密和密钥交换。加密可使用对称密钥加密、非对称密钥加密或两种加密方式的混合。数据原发鉴别的方法数据原发鉴别的方法(1)加密：给数据项附加一个鉴别项，然后加密该结 果；(2)封装或数字签名；(3)实体鉴别扩展：通过完整性机制将数据项和鉴别 交换联

4、系起来。实体鉴别实现安全目标的方式实体鉴别实现安全目标的方式(1)作为访问控制服务的一种必要支持，访问控制服务的执行依赖于确知的身份，即访问控制服务直接对达到机密性、完整性、可用性及合法使用目标提供支持；(2)当它与数据完整性机制结合起来使用时，作为提供数据起源认证的一种可能方法；(3)作为对责任原则的一种直接支持，例如，在审计追踪过程中做记录时，提供与某一活动相联系的确知身份。实体鉴别分类实体鉴别分类p实体鉴别可以分为本地和远程两类。实体在本地环境的初始化鉴别，就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信。连接远程设备、实体和环境的实体鉴别。本地鉴别需要用户进行明确的操作，

5、而远程鉴别通常将本地鉴别结果传送到远程。p 实体鉴别可以是单向的也可以是双向的。单向鉴别是指通信双方中只有一方对另一方进行鉴别。双向鉴别是指通信双方相互进行鉴别。实体鉴别系统的组成实体鉴别系统的组成(1)一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。(2)另一方为验证者V（Verifier)，检验声称者提出的证件的正确性和合法性，决定是否满足要求。(3)第三方是可信赖者TP（Trusted third party)，参与调解纠纷。(4)第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。实体鉴别与消息鉴别的差别实体鉴别与消息鉴别的差别(1)实体鉴别一般都是

6、实时的，消息鉴别一般不提供时间性。(2)实体鉴别只证实实体的身份，消息鉴别除了消息的合法和完整外，还需要知道消息的含义。(3)数字签字是实现身份识别的有效途径。但在身份识别中消息的语义是基本固定的，一般不是“终生”的，签字是长期有效的。对身份鉴别系统的要求对身份鉴别系统的要求（1）不具有可传递性（Transferability)（2）攻击者伪装成申请者欺骗验证者成功的概率要小到可 以忽略的程度（3）计算有效性（4）通信有效性（5）秘密参数能安全存储（6）交互识别（7）第三方的实时参与（8）第三方的可信赖性（9）可证明的安全性7.1.2 单向散列函数单向散列函数p在现阶段，一般存在两个方向的加密

7、方式：双向加密和单向加密。p双向加密是加密算法中最常用的，它将我们可以理解的明文数据加密成不可理解的密文数据；然后，在需要的时候，可以使用一定的算法和工具（密钥）将这些密文解密为原来的明文。双向加密适合于保密通信，比如，我们在网上购物的时候，需要向网站提交信用卡密码。p单向加密刚好相反，只对数据进行加密而不进行解密，即在加密后，不能对加密后的数据进行解密，或也不用再加密。单向加密算法用于不需要对信息解密或读取的场合，比如，用来比较两个信息值是否一样而不需知道信息值是什么内容。pHash函数就是一类单向加密数据的函数，也叫单向散列函数。pHash函数提供了这样一种计算过程：输入一个长度不固定的字

8、符串，返回一串固定长度的字符串，又称Hash值。在开放式网络系统中使用的可靠的Hash函数基于分组密码算法的Hash函数；系列Hash函数MD2、MD4和MD5等。这些函数都产生128位的输出，MD5（信息摘要算法）就是一种优秀的单向加密的算法；美国政府的安全Hash标准（SHA-1）。SHA-1是MD4的一个变形，产生160位的输出，与DSA（数字签名算法）匹配使用。Hash函数的应用p在数字签名中用来提高数字签名的有效性和分离保密与签名p用于认证、数据完整性测试和加密p产生信息摘要 p Hash函数主要可以解决的两个问题 p在某一特定的时间内，无法查找经Hash操作后生成特定Hash值的原

9、报文；p也无法查找两个经Hash操作后生成相同Hash值的不同报文。这样，在数字签名中就可以解决签名验证、用户身份验证和不可抵赖性的问题。7.2 鉴别机制鉴别机制 p鉴别机制主要有：非密码的鉴别机制、基于密码算法的鉴别机制和零知识证明协议鉴别机制。p基于密码算法的鉴别机制主要有：采用对称密码算法的机制、采用公开密码算法的机制和采用密码校验函数的机制 7.2.1 非密码的鉴别机制非密码的鉴别机制7.2.2 采用对称密码的鉴别机制采用对称密码的鉴别机制7.2.3 采用公钥密码体制的鉴别机制采用公钥密码体制的鉴别机制7.2.1 非密码的鉴别机制非密码的鉴别机制（1）口令机制（2）所有物机制（3）一次

10、性口令机制（4）基于地址的机制（5）基于个人特征的机制（6）个人鉴别令牌（7）你做的事情（如手写签名）。口令机制口令机制p口令或通行字机制是最广泛研究和使用的身份鉴别法。p口令字的设置原理是：在信息系统中存放一张“用户信息表”，它记录所有的可以使用这个系统的用户的有关信息，如用户名和口令字等。用户名是可以公开的，不同用户使用不同的用户名，但口令字是秘密的。当一个用户要使用系统时，必须键入自己的用户名和相应的口令字，系统通过查询用户信息表，验证用户输入的用户名和口令字与用户信息表中的是否一致，如果一致，该用户即是系统的合法用户，可进入系统，否则被挡在系统之外。p根据国家保密规定，处理秘密级信息的

11、系统口令长度不得少于8位，且口令更换周期不得长于30天；处理机密级信息的系统，口令长度不得少于10位，且口令更换周期不得长于7天；处理绝密级信息的系统，应当采用一次性口令。口令的组成应当是大小写英文字母、数字、特殊字符中两者以上的组合，而且口令必须加密存储、加密传输，并且保证口令存放载体的物理安全。口令的选取原则要求易记、难猜、抗分析能力强。p采用口令字进行身份鉴别，最简单，系统开销小，成本低，实现容易，但使用管理很不方便，不宜记忆,其安全性也最差；p采用“智能卡+口令字”的方式进行身份鉴别，其特点是，口令字长度4位即可，便于用户使用，增加了身份鉴别的安全性和可靠性，成本较高，一般涉密信息系统

12、的身份鉴别多采用这种方式。p口令系统有许多脆弱,对付外部泄露的措施有：教育、培训；严格限制非法登录的次数；口令验证中插入实时延迟；限制点，如外部泄露、口令猜测、线路窃听、危及验证者、重放等。一次性口令机制一次性口令机制p一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。p确定一次性口令的方法：两端共同拥有一串随机口令，在该串的某一位置保持同步；两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；使用时戳，两端维持同步的时钟。p一次性口令机制的强度：没有器件而知道口令p，不能导致一个简单的攻击；拥有器件而不知道口令p，不能导致一个简单的攻击；除非攻击者也能进行时间同步，否

13、则重放不是一个简单的攻击；知道q（例如通过浏览验证者系统文件）而不知道设备安全值dsv，不能导致一个简单的攻击。所有（所有（Possesses):身份证、护照、信身份证、护照、信用卡、钥匙等用卡、钥匙等 p持证为个人持有物，如钥匙、磁卡、智能卡等。p它比口令法安全性好，但验证系统比较复杂。磁卡常和PIN一起使用。基于地址的机制基于地址的机制p基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。在大多数的数据网络中，呼叫地址的辨别都是可行的。在不能可靠地辨别地址时，可以用一个呼叫回应设备来获得呼叫的源地址。一个验证者对每一个主体都保持一份合法呼叫地址的文件。p这种机制最大的困难是在一个临

14、时的环境里维持一个连续的主机和网络地址的联系。地址的转换频繁、呼叫转发或重定向引起了一些主要问题。p基于地址的机制自身不能被作为鉴别机制，但可作为其它机制的有用补充。基于个人特征的机制基于个人特征的机制p个人特征可以是指纹、笔迹、声纹、手型、血型、视网膜、DNA以及个人动作方面的一些特征。p国家保密规定要求，绝密级信息系统的身份鉴别应采用这种强认证方式。p个人特征方法验证的成本高，安全性最好，但验证系统相应地也最复杂。个人鉴别令牌个人鉴别令牌p物理特性用于支持认证“某人拥有某东西”，但通常要与一个口令或PIN结合使用。这种器件应具有存储功能，通常有键盘、显示器等界面部件，更复杂的能支持一次性口

15、令，甚至可嵌入处理器和自己的网络通信设备（如智能卡）。p这种器件通常还利用其它密码鉴别方法。你做的事情（如手写签名）你做的事情（如手写签名）p设计依据可以是安全水平、系统通过率、用户可接受性、成本等。7.2.2 采用对称密码的鉴别机制采用对称密码的鉴别机制p基于对称密码算法的鉴别依靠一定协议下的数据加密处理。通信双方共享一个密钥（通常存储在硬件中），该密钥在询问应答协议中处理或加密信息交换。p鉴别和密钥交换协议的核心问题有两个：保密和时效性。为了防止伪装和防止暴露会话密钥，基本鉴别与会话密码信息必须以保密形式通信。这就要求预先存在保密或公开密钥供实现加密使用。第二个问题也很重要，因为涉及防止消

16、息重放攻击。重放 p常见的消息重放攻击形式有：简单重放：攻击者简单复制一条消息，以后在重新发送它；可被日志记录的复制品：攻击者可以在一个合法有效的时间窗内重放一个带时间戳的消息；不能被检测到的复制品：这种情况可能出现，原因是原始信息已经被拦截，无法到达目的地，而只有重放的信息到达目的地。反向重放，不做修改。向消息发送者重放。当采用传统对称加密方式时，这种攻击是可能的。因为消息发送者不能简单地识别发送的消息和收到的消息在内容上的区别。p对同一验证者的重放，可采用非重复值方法。p针对不同验证者的重放，可采用验证者的标识符方法。非重复值的使用 p非重复值的使用方法有：序列号，即计数的策略：对付重放攻

17、击的一种方法是在认证交换中使用一个序数来给每一个消息报文编号。仅当收到的消息序数顺序合法时才接受之。但这种方法的困难是要求双方必须保持上次消息的序号；时间戳：A接受一个新消息仅当该消息包含一个时间戳，该时间戳在A看来，是足够接近A所知道的当前时间。这种方法要求不同参与者之间的时钟需要同步验证者发送随机值（如询问）：不可预测、不重复。时间戳 p在网络环境中，特别是在分布式网络环境中，时钟同步并不容易做到；p一旦时钟同步失败 要么协议不能正常服务，影响可用性(availability)，造成拒绝服务(DOS)；要么放大时钟窗口，造成攻击的机会。p时间窗大小的选择应根据消息的时效性来确定。询问/应答

18、方式(Challenge/Response)pA期望从B获得一个消息：A首先发给B一个随机值(challenge)；B收到这个值之后，对它作某种变换，并送回去；A收到B的response，希望包含这个随机值。在有的协议中，这个challenge也称为nonce；可能明文传输，也可能密文传输；这个条件可以是知道某个口令，也可能是其他的事情；变换的例子：用密钥加密，说明B知道这个密钥；简单运算，比如增一，说明B知道这个随机值。p询问/应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要特点。相互鉴别协议 p在理论上，相互鉴别可通过组合两个单向鉴别交换

19、协议来实现。然而，这种组合需要被仔细地考察，因为有可能这样的组合易受窃听重放攻击。p另外，设计协议消息数比相应的单向交换协议的消息数的两倍少得多的相互鉴别交换协议是可能的。p由于安全性和性能的原因，相互鉴别交换协议必须为此目的而特别地进行设计。7.2.3 采用公钥密码体制的鉴别机制采用公钥密码体制的鉴别机制p在该机制中，声称者要通过证明他知道某秘密签名密钥来证实身份。由使用他的秘密签名密钥签署某一消息来完成。p消息可包含一个非重复值以抵抗重放攻击。p要求验证者有声称者的有效公钥，声称者有仅由自己知道和使用的秘密签名私钥。7.3 KERBEROS系统系统pKerberos系统是美国麻省理工学院为

20、Athena工程而设计的，为分布式计算环境提供一种对用户双方进行身份验证的方法。p它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户，如果是合法的用户，再审核该用户是否有权对他所请求的服务或主机进行访问。p从加密算法上来讲，其身份验证是建立在对称加密的基础上的。pKerberos 是基于KDC(Key Distribution Center)概念和Needham-schroeder方法的分布式鉴别服务系统，可在不安全网络环境中为用户远程访问提供自动鉴别、数据安全性、完整性及密钥管理服务。pKerberos 是一种适用于在公共网络上进行分布计算的工业标准的安全认证系统。7.

21、4.1 Kerberos的认证方案的认证方案7.4.2 Kerberos的局限性的局限性7.4.1 Kerberos的认证方案的认证方案pKerberos认证系统包括一系列的服务。除了客户工作站Alice以外，Kerberos还包括三个服务器：认证服务器（AS），用于在登录时验证用户的身份；授予许可证服务器（TGS），发放“身份证明许可证”；服务器（Bob），Alice请求工作的实际执行者。p其中，AS与KDC类似，它与每个用户共享一个秘密口令。TGS的工作是发放许可证，用来使真正的服务器相信TGS许可证的持有人确实是它们所自称的本人。Kerberos的工作模型 AAS:A，TGS，TEXP，

22、NASA:KAKS，TGS，TEXP，N，KTGSA，KSATGS:KSTS，KTGSA，KS，B，TEXP，NTGSA:KSKAB，B，TEXP，N，KB A，KAB AB:KABTS，KBA，KABBA:KABTS+1注：TEXP是验证的最后时间期限，N是一个随机数，KA，KB分别为A，B和AS所共享的密钥，KTGS是TGS的密钥，KAB是A和B的会话密钥，KS是A与TGS的共享密钥，TS是AS盖的时间印戳。AS签发的TGS许可证是KTGSA，KS；而TGS签发的服务许可证为KB A，KAB。7.4.2 Kerberos的局限性的局限性第一，原有的认证很可能被存储或被替换。第二，认证码的正

23、确性是基于网络中所有的时钟保持同步，如果主机的事件发生错误，原来的认证码就是可以被替换的，大多数网络的时间协议都是不安全的，而在分布式系统中这将导致极为严重的问题。第三，Kerberos防止口令猜测攻击的能力很弱，攻击者可以收集大量的许可证，通过计算和密钥分析进行口令猜测。当用户选择的口令不够强时，更不能有效的防止口令猜测攻击。第四，实际上，最严重的攻击是恶意软件攻击。Kerberos认证协议依赖于Kerberos软件的绝对可信，而攻击者可以用执行Kerberos协议和记录用户口令的软件来代替所有用户的Kerberos软件，达到攻击目的。一般而言，装在不安全计算机内的密码软件都会面临这一问题。

24、另外，在分布式系统中，认证中心星罗棋布，域间会话密钥的数量惊人，密钥的管理、分配、存储都是很严峻的问题。7.4 GSSAPIv2pGSSAPI是在分布式应用中提供安全服务的一种抽象界面，GSSAPI的操作过程如下：调用者本身是一个通讯协议(如SOCKS)，其接收由本地的GSSAPI实现所提供的Token，并传送给远地的通讯方。对方将接收到的Token送给本地的GSSAPI处理，在此过程中实现基于私有或公开密钥加密技术的安全服务。SOCKS中GSSAPI鉴别过程的主要步骤（1)建立GSSAPI安全上下文用户安全上下文的建立：用户调用gss-init-sec-context()获得送至服务器的Co

25、ntext2level tokens以建立和管理双方的安全上下文，并把本地GSSAPI产生的output-token发送给服务器。可请求双向鉴别、授权或保证通讯的有序性、防止重用等服务。服务器安全上下文的建立：服务器接收用户发送的Token，作为input2token参数送给gss-accept-sec-context()处理，并与用户交互完成鉴别过程。（2)选择GSSAPI 保护级别 用户GSSAPI实现发送其需要的安全上下文保护级别给服务器，服务器通过安全性考虑将允许的级别返回用户。其中，级别1为完整性服务；级别2为完整性和可信任性服务；级别3为根据用户和服务器的局部配置，对每个信息分别选

26、择完整性和可信任性服务。（3)GSSAPI封装用户数据 封装和解封装均由gss-seal()Pgss-wrap()和gss-unseal()Pgss-unwrap()完成。在SOCKS支持的GSSAPI鉴别方法中，实现的是基于私有密钥的Kerberos鉴别，双TGT和单TGT的kerberos被视为2种不同的实现机制，7.4.1 单单TGT的的Kerberos7.4.2 双双TGT的的Kerberos7.4.1 单单TGT的的Kerberosp用户登录时，系统产生至本地TGS的TGT，该TGT即作为用户方GSSAPI实现的证书。用户调gss-init-sec-context()，GSSAPI的

27、代码负责发出KRB-TGS-REQ请求及接收KRBTGS-REP应答。p成功后，gss-init-sec-ontext()建立一个Kerberos格式的KRB-AP-REQ请求报文返回给用户，用户再发送给服务器。若请求的服务不在同一域中，gss-init-sec-context()产生必要的TGTPKey对，并将其从本地传到服务所在的远地域中。p服务器把接收到的Token送给gss-accept-sec-context()，经确认后正常返回。p这样，双方拥有与服务相关的会话密钥，并用此密钥进行后续的gss-sign()，gss-verify()，gss-seal()，gss-unseal()操

28、作。7.4.2 双双TGT的的KerberospTGT的获得过程同上。gss-init-sec-context()返回GSS-CONTINUE-NEEDED 状态码及Token，该Token中包含有至特定服务的TGT请求。p服务器把接收到的Token传送给gss-accept-context()，确认为一个TGT请求，返回GSSCONTINUE-NEEDED状态码，并返回至特定服务的TGT。p用户接收到Token送给后继的gss-init-sec-context()，并将其存储在缓冲区中。然后，用户方GSSAPI将此Token作为请求的一部分向TGS发出KRB-TGS-REQ，并在安全上下文中

29、存储返回的至特定服务器的Ticket及会话密钥。gss-init-sec-context()建立Kerberos的鉴别符连同GSS-COMPLETE状态码返回，用户将产生的Token发给服务器。p服务器接收Token送给gss-accept-context()，经鉴别后返回GSS-COMPLETE。Gss-sign()，gss-verify()，gss-seal()，gss-unseal()的操作同上。实验题实验题 p实验实验7.1 Windows 2000/XP中密码（口令）中密码（口令）安全性的相关设置。安全性的相关设置。要求：掌握Windows 2000/XP中密码（口令）安全性的相关设置习题习题7.1 鉴别分哪两种情形？各有何用途？7.2 鉴别机制主要有哪些？7.3 何谓零知识证明技术？7.4 鉴别与交换协议有哪些？7.5 Kerberos认证方案的工作原理是什么？本章要求p了解数据鉴别的服务类型p掌握数据鉴别的基本方法p了解Internet中常见的数据鉴别技术，包括KERBEROS系统、GSSAPIv2