認(rèn)證和訪問(wèn)控制-認(rèn)證第三講身份認(rèn)證-PPT課件

1、1第3講 身份認(rèn)證協(xié)議與機(jī)制華中科技大學(xué)計(jì)算機(jī)學(xué)院信息安全研究室21密碼協(xié)議2身份認(rèn)證協(xié)議3 基于非密碼的認(rèn)證4 基于密碼算法的認(rèn)證5 零知識(shí)證明協(xié)議第3講 身份認(rèn)證協(xié)議與機(jī)制31密碼協(xié)議2身份認(rèn)證協(xié)議3 基于非密碼的認(rèn)證4 基于密碼算法的認(rèn)證5 零知識(shí)證明協(xié)議第3講 身份認(rèn)證協(xié)議與機(jī)制41密碼協(xié)議2身份認(rèn)證協(xié)議3 基于非密碼的認(rèn)證4 基于密碼算法的認(rèn)證5 零知識(shí)證明協(xié)議第3講 身份認(rèn)證協(xié)議與機(jī)制52.1 身份認(rèn)證概念2.2 身份認(rèn)證的目標(biāo)2.3 身份認(rèn)證的分類2.4 身份認(rèn)證的途徑2 身份認(rèn)證協(xié)議62.1安全的信息交換應(yīng)滿足的性質(zhì)* 保密性（ Confidentiality）* 完整性（In

2、tegrity）數(shù)據(jù)完整性，未被未授權(quán)篡改或者損壞 系統(tǒng)完整性，系統(tǒng)未被非授權(quán)操縱，按既定的功能運(yùn)行*可用性（Availability）*鑒別性 （Authenticity） 實(shí)體身份的鑒別，適用于用戶、進(jìn)程、系統(tǒng)、信息等* 不可否認(rèn)性（Non-repudiation） 防止源點(diǎn)或終點(diǎn)的抵賴72.1 身份認(rèn)證概述 為了保護(hù)網(wǎng)絡(luò)資源及落實(shí)安全政策。需要提供可追究責(zé)任的機(jī)制，這里涉及到三個(gè)概念：認(rèn)證、授權(quán)及審計(jì)。用戶對(duì)資源的訪問(wèn)過(guò)程 訪問(wèn)控制用戶身份認(rèn)證資源授權(quán)數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)82.1身份認(rèn)證概述（續(xù)）認(rèn)證與以下環(huán)境有關(guān)：某一成員（聲稱者）提交一個(gè)主體的身份并聲稱他是那個(gè)主體，認(rèn)證能使別的成員（驗(yàn)

3、證者）獲得對(duì)聲稱者所聲稱的事實(shí)的信任。身份認(rèn)證的作用對(duì)抗假冒攻擊確保身份，明確責(zé)任 鑒別是最重要的安全服務(wù)之一。鑒別服務(wù)提供了關(guān)于某個(gè)實(shí)體身份的保證。（所有其它的安全服務(wù)都依賴于該服務(wù)）92.1 實(shí)體鑒別的例子* 263的郵件登錄* sina的郵件登錄* Client與Proxy-Server之間的鑒別* Telnet遠(yuǎn)程登錄* POP3郵件登錄* Ftp服務(wù)102.1 身份認(rèn)證概述 對(duì)身份認(rèn)證過(guò)程中攻擊：數(shù)據(jù)流竊聽(Sniffer)：由于認(rèn)證信息要通過(guò)網(wǎng)絡(luò)傳遞，并且很多認(rèn)證系統(tǒng)的口令是未經(jīng)加密的明文，攻擊者通過(guò)竊聽網(wǎng)絡(luò)數(shù)據(jù)，就很容易分辨出某種特定系統(tǒng)的認(rèn)證數(shù)據(jù)，并提取出用戶名和口令?？截?重

4、傳：非法用戶截獲信息，然后再傳送給接收者。修改或偽造：非法用戶截獲信息，替換或修改信息后再傳送給接收者，或者非法用戶冒充合法用戶發(fā)送信息。 112.1 身份認(rèn)證概念2.2 身份認(rèn)證的目標(biāo)2.3 身份認(rèn)證的分類2.4 身份認(rèn)證的途徑2 身份認(rèn)證協(xié)議122.2 實(shí)體鑒別的需求和目的某一成員（聲稱者）提交一個(gè)主體的身份并聲稱它是那個(gè)主體。* 實(shí)體鑒別目的：使別的成員（驗(yàn)證者）獲得對(duì)聲稱者所聲稱的事實(shí)的信任。132.2實(shí)體鑒別的目的和過(guò)程* 實(shí)體鑒別（身份鑒別）：某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體。只是簡(jiǎn)單地鑒別實(shí)體本身的身份，不會(huì)和實(shí)體想要進(jìn)行何種活動(dòng)相聯(lián)系。* 在實(shí)體鑒別中，身份由參與某

5、次通信連接或會(huì)話的遠(yuǎn)程參與者提交。這種服務(wù)在連接建立或在數(shù)據(jù)傳送階段的某些時(shí)刻提供，使用這種服務(wù)可以確信(僅僅在使用時(shí)間內(nèi)): 一個(gè)實(shí)體此時(shí)沒(méi)有試圖冒充別的實(shí)體，或沒(méi)有試圖將先前的連接作非授權(quán)地重放。142.2實(shí)體鑒別與消息鑒別的差別* 實(shí)體鑒別一般都是實(shí)時(shí)的，消息鑒別一般不提供時(shí)間性。* 實(shí)體鑒別只證實(shí)實(shí)體的身份，消息鑒別除了消息的合法和完整外，還需要知道消息的含義。* 數(shù)字簽名主要用于證實(shí)消息的真實(shí)來(lái)源。但在身份鑒別中消息的語(yǔ)義是基本固定的，一般不是“終生”的，簽名是長(zhǎng)期有效的。152.2實(shí)體鑒別實(shí)現(xiàn)安全目標(biāo)的方式 作為訪問(wèn)控制服務(wù)的一種必要支持，訪問(wèn)控制服務(wù)的執(zhí)行依賴于確知的身份（訪問(wèn)控

6、制服務(wù)直接對(duì)達(dá)到機(jī)密性、完整性、可用性及合法使用目標(biāo)提供支持）； 作為提供數(shù)據(jù)起源認(rèn)證的一種可能方法（當(dāng)它與數(shù)據(jù)完整性機(jī)制結(jié)合起來(lái)使用時(shí)）； 作為對(duì)責(zé)任原則的一種直接支持，例如，在審計(jì)追蹤過(guò)程中做記錄時(shí)，提供與某一活動(dòng)相聯(lián)系的確知身份。162.1 身份認(rèn)證概念2.2 身份認(rèn)證的目標(biāo)2.3 身份認(rèn)證的分類2.4 身份認(rèn)證的途徑2 身份認(rèn)證協(xié)議172.3實(shí)體鑒別分類-i* 實(shí)體鑒別可以分為本地和遠(yuǎn)程兩類。* 本地多用戶鑒別：實(shí)體在本地環(huán)境的初始化鑒別（就是說(shuō)，作為實(shí)體個(gè)人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信）。 需要用戶進(jìn)行明確的操作* 遠(yuǎn)程用戶鑒別：連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。 通

7、常將本地鑒別結(jié)果傳送到遠(yuǎn)程。（1）安全（2）易用182.3實(shí)體鑒別分類-i i實(shí)體鑒別分類-ii 實(shí)體鑒別可以是單向的也可以是雙向的。 單向鑒別是指通信雙方中只有一方向另一方進(jìn)行鑒別。雙向鑒別是指通信雙方相互進(jìn)行鑒別。192.1 身份認(rèn)證概念2.2 身份認(rèn)證的目標(biāo)2.3 身份認(rèn)證的分類2.4 身份認(rèn)證的途徑2 身份認(rèn)證協(xié)議202.4實(shí)體鑒別系統(tǒng)的組成* 一方是出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。* 另一方為驗(yàn)證者V（Verifier),檢驗(yàn)聲稱者提出的證件的正確性和合法性，決定是否滿足要求。* 第三方是可信賴者TP （Trusted third part

8、y) ，參與調(diào)解糾紛。* 第四方是攻擊者，可以竊聽或偽裝聲稱者騙取驗(yàn)證者的信任。212.4實(shí)體鑒別系統(tǒng)的鑒別模型222.4對(duì)身份鑒別系統(tǒng)的要求（1）驗(yàn)證者正確識(shí)別合法申請(qǐng)者的概率極大化。（2）不具有可傳遞性（Transferability)（3）攻擊者偽裝成申請(qǐng)者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度（4）計(jì)算有效性（5）通信有效性（6）秘密參數(shù)能安全存儲(chǔ)（7）交互識(shí)別（8）第三方的實(shí)時(shí)參與（9）第三方的可信賴性（10）可證明的安全性232.4實(shí)現(xiàn)身份鑒別的途徑* 三種途徑之一或他們的組合（1）所知（Knowledge）:密碼、口令（2）所有（Possesses):身份證、護(hù)照、信用卡、鑰匙

9、（3）個(gè)人特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個(gè)人動(dòng)作方面的一些特征設(shè)計(jì)依據(jù)：安全水平、系統(tǒng)通過(guò)率、用戶可接受性、成本等241 密碼協(xié)議2 身份認(rèn)證協(xié)議3 基于非密碼的認(rèn)證4 基于密鑰的認(rèn)證5 零知識(shí)證明協(xié)議第3講 身份認(rèn)證協(xié)議與機(jī)制253.1 基于口令的機(jī)制3.2 一次性口令3.3 詢問(wèn)-應(yīng)答機(jī)制3.4 基于地址的認(rèn)證3.5 基于個(gè)人特征的認(rèn)證機(jī)制3.6 個(gè)人鑒別令牌3 非密碼的身份認(rèn)證機(jī)制263.1.1 常見(jiàn)口令機(jī)制3.1.2 基于口令機(jī)制的攻擊3.1.3 口令機(jī)制的改進(jìn)方案3.1 基于口令的認(rèn)證機(jī)制273.1.1 常見(jiàn)口令機(jī)制口令或通行字機(jī)制是最廣泛研究和使用的身

10、份鑒別法。通常為長(zhǎng)度為58的字符串。選擇原則：易記、難猜、抗分析能力強(qiáng)?？诹钕到y(tǒng)有許多脆弱點(diǎn)： 外部泄露 口令猜測(cè) 線路竊聽 危及驗(yàn)證者 重放283.1.1對(duì)付外部泄露的措施教育、培訓(xùn)；嚴(yán)格組織管理辦法和執(zhí)行手續(xù)；口令定期改變；每個(gè)口令只與一個(gè)人有關(guān)；輸入的口令不再現(xiàn)在終端上；使用易記的口令，不要寫在紙上。293.1.1對(duì)付口令猜測(cè)的措施教育、培訓(xùn)；嚴(yán)格限制非法登錄的次數(shù)；口令驗(yàn)證中插入實(shí)時(shí)延遲；限制最小長(zhǎng)度，至少68字節(jié)以上防止用戶特征相關(guān)口令，口令定期改變；及時(shí)更改預(yù)設(shè)口令；使用機(jī)器產(chǎn)生的口令。303.1.1對(duì)付線路竊聽的措施使用保護(hù)口令機(jī)制：如單向函數(shù)。 q fididq比較是或不是p

11、id聲稱者驗(yàn)證者消息31服務(wù)端的口令安全問(wèn)題固定口令1）存儲(chǔ)的口令文件以明文形式將用戶口令存儲(chǔ)在系統(tǒng)口令文件中口令文件需讀保護(hù)和寫保護(hù)2）“加密的”口令文件存儲(chǔ)口令的單向函數(shù)值口令文件需寫保護(hù)IDA,PWAB檢查口令和身份竊聽？存儲(chǔ)安全？323.1.2 主要缺陷及對(duì)策攻擊者很容易構(gòu)造一張q與p對(duì)應(yīng)的表，表中的p盡最大可能包含所期望的值。隨機(jī)串（Salt）是使這種攻擊變得困難的一種辦法。在口令后使用隨機(jī)數(shù)。只能保護(hù)在多臺(tái)計(jì)算機(jī)上使用相同口令或在同一計(jì)算機(jī)上使用同一口令的不同用戶。 防止口令文件中出現(xiàn)相同口令 無(wú)須用戶額外記住兩個(gè)字符，就能增加口令長(zhǎng)度 阻止了用硬件實(shí)現(xiàn)DES33服務(wù)端的口令安全問(wèn)

12、題服務(wù)器端的字典攻擊：在這種攻擊中，Eve只對(duì)找到口令有興趣，并不關(guān)心用戶的ID。例如，如果口令是六位數(shù)， Eve可以創(chuàng)建一個(gè)六位數(shù)(000000999999)的列表，然后對(duì)每一個(gè)數(shù)使用散列函數(shù)，結(jié)果就是一個(gè)一百萬(wàn)個(gè)散列的列表。她就可以得到口令檔案并搜索條目中的第二列，找出一個(gè)與之相匹配的。這可以被編程并且在Eve的個(gè)人計(jì)算機(jī)上脫機(jī)運(yùn)行。找到匹配以后，伊夫就可以再上線，用口令來(lái)訪問(wèn)系統(tǒng)。 343.1.3 UNIX系統(tǒng)中的口令存儲(chǔ)(1)Unix系統(tǒng)使用一個(gè)單向函數(shù)crypt()來(lái)加密用戶的口令。Crypt()是基于DES的加密算法，它將用戶輸入的口令作為密鑰，加密一個(gè)64bit的0/1串，加密的

13、結(jié)果又使用用戶的口令再次加密；重復(fù)該過(guò)程，一共進(jìn)行25次。最后的輸出為一個(gè)13byte的字符串，存放在/etc/passwd的PASSWORD域。單向函數(shù)crypt()從數(shù)學(xué)原理上保證了從加密的密文得到加密前的明文是不可能的或是非常困難的。當(dāng)用戶登錄時(shí)，系統(tǒng)并不是去解密已加密的口令，而是將輸入的口令明文字符串傳給加密函數(shù)，將加密函數(shù)的輸出與/etc/passwd文件中該用戶條目的PASSWORD域進(jìn)行比較，若匹配成功，則允許用戶登錄系統(tǒng)。35UNIX系統(tǒng)中的口令存儲(chǔ)(2)UNIX系統(tǒng)使用crypt()保證系統(tǒng)密碼的完整性。 這一函數(shù)完成被稱作單向加密的功能，它可以加密一些明碼，但不能夠?qū)⒚艽a轉(zhuǎn)

14、換為原來(lái)的明碼。363.1.3 添加一個(gè)新用戶37服務(wù)端的口令安全問(wèn)題：unix的crypt（）加密過(guò)程口令加鹽(Salting Passwords)第一環(huán)節(jié)：口令字段字符串的生成：s = Agen(Dsalt, Dpw) 給口令Dpw撒鹽：Dpw = Asalt (Dsalt，Dpw)； 用撒鹽結(jié)果做密鑰：K = Dpw； 用一個(gè)64位的全0位串構(gòu)造一個(gè)數(shù)據(jù)塊Dp； 設(shè)循環(huán)次數(shù)：i = 0； 對(duì)數(shù)據(jù)塊加密：Dc = Acrypt(K, Dp)； Dp = Dc，i = i + 1； 如果i 25，則回到第步； 把數(shù)據(jù)塊變換成字符串：s = Atrans(Dc)； 返回s。38服務(wù)端的口令安全

15、問(wèn)題：unix的crypt（）加密過(guò)程第二環(huán)節(jié)：口令字段信息維護(hù)： 接收用戶提供的口令Dpw； 生成一個(gè)鹽值：Dsalt = Arandom( )； 生成口令信息：s = Agen(Dsalt, Dpw)； 把口令信息s和Dsalt存入數(shù)據(jù)庫(kù)的口令字段中。393.1.3 驗(yàn)證用戶40服務(wù)端的口令安全問(wèn)題：unix的crypt（）驗(yàn)證過(guò)程第三環(huán)節(jié)：身份認(rèn)證過(guò)程： 接收用戶提供的帳戶名Dname和口令Dpw； 在帳戶信息數(shù)據(jù)庫(kù)中檢查Dname的合法性，如果合法，則找出其對(duì)應(yīng)的s和Dsalt； 生成臨時(shí)口令信息：sr = Agen(Dsalt, Dpw)； 如果sr與s相等，則認(rèn)證成功，否則，認(rèn)證失

16、敗。41服務(wù)端的口令安全問(wèn)題：改進(jìn)分析鹽處理使字典攻擊更為困難。如果原口令是六位數(shù)，鹽是四位數(shù)，那么散列處理的結(jié)果就超過(guò)十位數(shù)。這就意味著伊夫現(xiàn)在要制作一個(gè)有10，000，000個(gè)條目的列表，并為每一個(gè)條目創(chuàng)建一個(gè)散列。這個(gè)散列列表也有10，000，000個(gè)條目，比較這些條目要花費(fèi)很長(zhǎng)時(shí)間。如果鹽是一個(gè)很長(zhǎng)的隨機(jī)數(shù)字，鹽處理是非常有效的。UNIX操作系統(tǒng)運(yùn)用的就是這種方法的變種。42對(duì)付竊聽的改進(jìn)方案 q id qid比較f是或不是聲稱者驗(yàn)證者pid消息salt43基本的對(duì)付危及驗(yàn)證者的措施使用單向函數(shù) pididq比較是或不是聲稱者驗(yàn)證者pid消息fq salt44對(duì)付竊聽及危及驗(yàn)證者的措施

17、 聲稱者fqidgidr比較是或不是pidr驗(yàn)證者消息saltsalt45對(duì)付重放攻擊的措施抵抗對(duì)通信線路的主動(dòng)攻擊重放攻擊。 r idtgfidqg比較是或不是p聲稱者驗(yàn)證者消息q idtsalt463.1 基于口令的機(jī)制3.2 一次性口令3.3 詢問(wèn)-應(yīng)答機(jī)制3.4 基于地址的認(rèn)證3.5 基于個(gè)人特征的認(rèn)證機(jī)制3.6 個(gè)人鑒別令牌3 非密碼的身份認(rèn)證機(jī)制473.2 一次性口令機(jī)制一次性口令機(jī)制確保在每次認(rèn)證中所使用的口令不同，以對(duì)付重放攻擊。確定口令的方法： （1）兩端共同使用一個(gè)隨機(jī)序列生成器，在該序列生成器的初態(tài)保持同步； （2）使用時(shí)戳，兩端維持同步的時(shí)鐘。48一次口令一次口令的共享

18、列表用戶和系統(tǒng)都同意一個(gè)口令列表。一次使用一個(gè)。如果用戶不按次序使用口令，系統(tǒng)就要執(zhí)行一個(gè)長(zhǎng)的搜索才能找到匹配。這個(gè)方案就使竊聽和口令的重復(fù)使用毫無(wú)用處了。存儲(chǔ)保護(hù)不善，會(huì)導(dǎo)致所有口令泄露。順序更新一次口令初始口令P1，這個(gè)口令僅在第一次訪問(wèn)時(shí)有效。訪問(wèn)的過(guò)程中，用戶用P1作為密鑰對(duì)這個(gè)口令加密產(chǎn)生新口令P2，作為第二次訪問(wèn)口令。Pi用來(lái)創(chuàng)建Pi+1。如果Eve能夠猜測(cè)出第一個(gè)口令(P1)，她就可以找出所有這一系列的口令。493.2 SKEY驗(yàn)證程序Alice輸入隨機(jī)數(shù)R，計(jì)算機(jī)計(jì)算x1=f（R）、x2=f（x1）、xn+1=f（xn）。Alice保管x1 ，x2 ，x3 ，。，xn這些數(shù)的列

19、表，計(jì)算機(jī)在登錄數(shù)據(jù)庫(kù)中Alice的名字后面存儲(chǔ)xn+1的值。當(dāng)Alice第一次登錄時(shí)，輸入名字和xn，計(jì)算機(jī)計(jì)算f（xn），并把它和xn+1比較，如果匹配，就證明Alice身份是真的。然后，計(jì)算機(jī)用xn代替xn+1。Alice將從自己的列表中取消xn。Alice每次登錄時(shí)，都輸入她的列表中未取消的最后的數(shù)xI，計(jì)算機(jī)計(jì)算f（xI），并和存儲(chǔ)在它的數(shù)據(jù)庫(kù)中的xI+1比較。當(dāng)Alice用完了列表上面的數(shù)后，需要重新初始化。 503.2 雙因素動(dòng)態(tài)口令卡* 基于密鑰/時(shí)間雙因素的身份鑒別機(jī)制；* 用戶登錄口令隨時(shí)間變化，口令一次性使用，無(wú)法預(yù)測(cè)，可以有效抵御密碼竊取和重放攻擊行為* RSA等多家安

20、全公司513.2 雙因素動(dòng)態(tài)口令卡相關(guān)產(chǎn)品* 美國(guó)RSA SecurID 公司推出的RSA SecurID系統(tǒng)是當(dāng)前世界領(lǐng)的雙因素身份鑒別系統(tǒng)。形成了硬件令牌、虛擬令牌（軟件令牌）、與智能卡相結(jié)合的令牌等系列產(chǎn)品。鑒別服務(wù)器可運(yùn)行于Windows/95/98/2000、Windows/NT、UNIX等環(huán)境。* 美國(guó)另一家公司Axend(現(xiàn)被Symantec公司兼并)是較早推出雙因素身份認(rèn)證系統(tǒng)的公司。Axend的產(chǎn)品不僅可運(yùn)行于Windows/95/98/2000、Windows/NT、UNIX等環(huán)境，還能運(yùn)行于Netwarex系統(tǒng)，適應(yīng)我國(guó)證券行業(yè)的需要。* 我國(guó)一些信息技術(shù)公司也相繼推出了

21、動(dòng)態(tài)口令認(rèn)證系統(tǒng)。如網(wǎng)泰金安信息技術(shù)公司、北京億青創(chuàng)新信息技術(shù)有限公司等。523.2 雙因素動(dòng)態(tài)口令卡例子533.2 雙因素動(dòng)態(tài)口令卡原理分析543.2 安全性分析（1）沒(méi)有器件而知道口令p，不能導(dǎo)致一個(gè)簡(jiǎn)單的攻擊；（2）擁有器件而不知道口令p，不能導(dǎo)致一個(gè)簡(jiǎn)單的攻擊；（3）除非攻擊者也能進(jìn)行時(shí)間同步，否則重放不是一個(gè)簡(jiǎn)單的攻擊；（4）知道q（例如通過(guò)瀏覽驗(yàn)證者系統(tǒng)文件）而不知道設(shè)備安全值dsv，不能導(dǎo)致一個(gè)簡(jiǎn)單的攻擊。553.3詢問(wèn)應(yīng)答機(jī)制 詢問(wèn)應(yīng)答原理可以擴(kuò)張基于口令的方案，能大大地提高抵抗重放攻擊的能力，但通常通信代價(jià)很高。* 前面所示的對(duì)付重放攻擊的機(jī)制存在兩個(gè)重要的問(wèn)題。一個(gè)是為了兩

22、端都知道nrv值需要維持同步。另一個(gè)是驗(yàn)證者要知道nrv值是否被重復(fù)使用過(guò)是比較困難的。* 詢問(wèn)應(yīng)答方法克服了這些問(wèn)題。563.3詢問(wèn)應(yīng)答機(jī)制573.4 基于地址的機(jī)制基于地址的機(jī)制假定聲稱者的可鑒別性是以呼叫的源地址為基礎(chǔ)的。在大多數(shù)的數(shù)據(jù)網(wǎng)絡(luò)中，呼叫地址的辨別都是可行的。在不能可靠地辨別地址時(shí)，可以用一個(gè)呼叫回應(yīng)設(shè)備來(lái)獲得呼叫的源地址。 一個(gè)驗(yàn)證者對(duì)每一個(gè)主體都保持一份合法呼叫地址的文件。 這種機(jī)制最大的困難是在一個(gè)臨時(shí)的環(huán)境里維持一個(gè)連續(xù)的主機(jī)和網(wǎng)絡(luò)地址的聯(lián)系。地址的轉(zhuǎn)換頻繁、呼叫轉(zhuǎn)發(fā)或重定向引起了一些主要問(wèn)題。 基于地址的機(jī)制自身不能被作為鑒別機(jī)制，但可作為其它機(jī)制的有用補(bǔ)充。583.

23、5 基于個(gè)人特征的機(jī)制生物特征識(shí)別技術(shù)主要有： 1）指紋識(shí)別； 2）聲音識(shí)別； 3）手跡識(shí)別； 4）視網(wǎng)膜掃描； 5）手形。這些技術(shù)的使用對(duì)網(wǎng)絡(luò)安全協(xié)議不會(huì)有重要的影響。593.6 個(gè)人鑒別令牌物理特性用于支持認(rèn)證“某人擁有某東西” ，但通常要與一個(gè)口令或PIN結(jié)合使用。這種器件應(yīng)具有存儲(chǔ)功能，通常有鍵盤、顯示器等界面部件，更復(fù)雜的能支持一次性口令，甚至可嵌入處理器和自己的網(wǎng)絡(luò)通信設(shè)備（如智能卡）。這種器件通常還利用其它密碼鑒別方法。601 身份認(rèn)證概述2 身份認(rèn)證協(xié)議與結(jié)構(gòu)3 基于非密碼的認(rèn)證4 基于密碼算法的認(rèn)證5 零知識(shí)證明協(xié)議第3講 身份認(rèn)證協(xié)議與機(jī)制614 基于密碼算法的 強(qiáng)鑒別協(xié)議

24、* 強(qiáng)鑒別（strong authentication):通過(guò)密碼學(xué)的詢問(wèn)-應(yīng)答(challenge-response)協(xié)議實(shí)現(xiàn)的身份鑒別，詢問(wèn)-應(yīng)答協(xié)議的思想是一個(gè)實(shí)體向另一個(gè)實(shí)體證明他知道有關(guān)的秘密知識(shí)，但不向驗(yàn)證者提供秘密本身。這通過(guò)對(duì)一個(gè)時(shí)變的詢問(wèn)提供應(yīng)答來(lái)實(shí)現(xiàn)，應(yīng)答通常依賴于實(shí)體的秘密和詢問(wèn)。詢問(wèn)通常是一個(gè)實(shí)體選擇的一個(gè)數(shù)（隨機(jī)和秘密地）。624 基于密碼算法的 強(qiáng)鑒別協(xié)議631 身份認(rèn)證概述2 身份認(rèn)證協(xié)議與結(jié)構(gòu)3 基于非密碼的認(rèn)證4 基于密碼算法的認(rèn)證5 零知識(shí)證明協(xié)議第3講 身份認(rèn)證協(xié)議與機(jī)制645 零知識(shí)證明協(xié)議* 下面是一個(gè)故事：* Alice: “我知道聯(lián)邦儲(chǔ)備系統(tǒng)計(jì)算的

25、口令”* Bob: “不，你不知道”* Alice：我知道* Bob：你不知道* Alice：我確實(shí)知道* Bob：請(qǐng)你的證實(shí)這一點(diǎn)* Alice：好吧，我告訴你。（她悄悄說(shuō)出了口令）* Bob：太有趣了！現(xiàn)在我也知道了。我要告訴華盛頓郵報(bào)* Alice：啊呀！655 零知識(shí)證明協(xié)議* P為示證者(Prover),V為驗(yàn)證者，P試圖向V證明自己知道某信息。 P告訴V這一信息使得V相信，這樣V也知道了這一信息，這是基于知識(shí)的證明； 通過(guò)某種有效的數(shù)學(xué)方法，使得V相信P掌握這一信息，卻不泄漏任何有用的信息，這種方法稱為零知識(shí)證明問(wèn)題。* 最小泄漏證明（Minimum Disclosure Proo

26、f)* 零知識(shí)證明(Zero Knowledge Proof)665 零知識(shí)證明協(xié)議* P幾乎不可能欺騙V：如果P知道證明，他可以使V以極大的概率相信他知道證明；如果P不知道證明，則他使得V相信他知道證明的概率幾乎為零。* V幾乎不可能知道證明的知識(shí)，特別是他不可能向別人重復(fù)證明過(guò)程。* V無(wú)法從P那里得到任何有關(guān)證明的知識(shí)。（零知識(shí)證明滿足全部三個(gè)條件）675 零知識(shí)證明協(xié)議（1）V站在A點(diǎn)；（2）P進(jìn)入山洞，走到C點(diǎn)或D點(diǎn)；（3）當(dāng)P消失后，V進(jìn)入到B點(diǎn)；（4）V指定P從左邊或右邊出來(lái)；（5）P按照要求出洞（如果需要通過(guò)門，則使用咒語(yǔ)）（6）P和V重復(fù)步驟（1）至（5）n次。68挑戰(zhàn)-應(yīng)答

27、身份鑒別協(xié)議若P不知咒語(yǔ)，則在 B 點(diǎn)，只有50 %的機(jī)會(huì)猜中 V的要求，協(xié)議執(zhí)行 n 次，則只有 2-n 的機(jī)會(huì)完全猜中，若 n=16，則若每次均通過(guò) Bob 的檢驗(yàn)，V受騙機(jī)會(huì)僅為1/65536。如果V用攝像機(jī)記錄下他所看到的一切，他把錄像給Carol看，Carol會(huì)相信這是真的嗎？Carol是不會(huì)相信這是真的。這說(shuō)明了兩件事情：其一，V不可能使第三方相信這個(gè)證明；其二，它證明了這個(gè)協(xié)議是零知識(shí)的。V在不知道咒語(yǔ)的情況下，顯然不能從錄像中獲悉任何信息。69挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議零知識(shí)(Zero-knowledge)(ZK)證明:是一種交互式證明系統(tǒng)聲稱者（證明者）和驗(yàn)證者交換多個(gè)信息，這些

28、信息的生成依賴于保密的隨機(jī)數(shù)證明者P(Prover)：知道某一秘密s，使V相信自己掌握這一秘密；驗(yàn)證者V(Verifier)：驗(yàn)證P掌握秘密s每輪V向P發(fā)出一詢問(wèn)，P向V作應(yīng)答（需要有s的知識(shí)才能正確應(yīng)答）。V檢查P是否每一輪都能正確應(yīng)答。70挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議交互證明與數(shù)學(xué)證明的區(qū)別數(shù)學(xué)證明：證明者可自己獨(dú)立完成證明(絕對(duì))交互證明：由P產(chǎn)生證明(響應(yīng))，V驗(yàn)證證明(響應(yīng)）的有效性（概率上）來(lái)實(shí)現(xiàn)，雙方之間要有通信交互系統(tǒng)應(yīng)滿足完備性：如果P知道某一秘密，V將接收P的證明正確性：如果P能以一定的概率使V相信P的證明，則P知道相應(yīng)的秘密（冒充者偽造成功的概率可忽略不計(jì)）71挑戰(zhàn)-應(yīng)答身份鑒

29、別協(xié)議Needham-Schroeder協(xié)議：是基于對(duì)稱密鑰加密的挑戰(zhàn)-響應(yīng)計(jì)算模n平方根的困難性Fiat-Shamir身份識(shí)別協(xié)議Fiege-Fiat-Shamir身份識(shí)別協(xié)議離散對(duì)數(shù)的困難性：Schnorr協(xié)議72挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議參數(shù)的選擇：可信中心T選擇兩個(gè)素?cái)?shù)p和q(保密，最好用完丟棄)，計(jì)算類似RSA的模數(shù)m=pq、并公開m。證明者選擇與m互素的私鑰s(1sm)，計(jì)算v=s2 mod m證明者在可信中心T中注冊(cè)公鑰v2 Fiat-Shamir身份識(shí)別協(xié)議73挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議協(xié)議執(zhí)行：迭代t輪(連續(xù)地、獨(dú)立地)(1) Alice 取隨機(jī)數(shù) r(m)，計(jì)算x= r2 mod

30、m，并發(fā)送給Bob；(2) Bob將一隨機(jī)比特e=0或1作為挑戰(zhàn)發(fā)給 Alice；(3) Alice計(jì)算響應(yīng)值y并發(fā)給Bob若e=0，則Alice 將y=r送給Bob；若e=1，則Alice將y=rs mod m送給Bob；(4) 若y=0，則Bob拒絕證明；反之，驗(yàn)證y2xve mod m？若e=0，則Bob 證實(shí)y2 =x mod m若e=1，則 Bob 證實(shí) y2 =xv mod m 若t輪都成功，則Bob就接收Alice的身份Fiat-Shamir身份識(shí)別協(xié)議74挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議完備性如果Alice和Bob遵守協(xié)議，且Alice知道s，則響應(yīng)值 y2=(rse)2 mod m x

31、ve mod m，Bob接收Alice的證明，所以協(xié)議是完備的。正確性Alice不知道s，他也可取r，送y2 =r2 mod m給Bob；Bob送e 給Alice；Alice將r作為響應(yīng)值；當(dāng)b=0時(shí)則Alice可通過(guò)檢驗(yàn)使得Bob受騙，當(dāng)b=1時(shí)，則Bob可發(fā)現(xiàn)Alice不知s。Bob受騙概率為1/2，但連續(xù)t輪受騙的概率將僅為2-tBob無(wú)法知道Alice的秘密(s)，因?yàn)閟沒(méi)有被傳送過(guò)，且Bob只能隨機(jī)選取一個(gè)比特位作為挑戰(zhàn)。75挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議參數(shù)的選擇：可信中心T選擇兩個(gè)素?cái)?shù)p和q(保密，最好用完丟棄)，計(jì)算類似RSA的模數(shù)n=pq、并公開n。證明者選擇k個(gè)與n互素的隨機(jī)整數(shù)作為私鑰s1, s2, ,sk(1sin)證明者選擇k個(gè)隨機(jī)比特b1, b2, ,