網(wǎng)絡安全導論 課件 第七章 身份認證

第7章身份認證7網(wǎng)上和你通信的人到底是誰？有無假冒？討論的議題認證的基本概念認證機制典型身份認證協(xié)議NTLMKerberosFiat-ShamirCryptographicalBuildingBlocksBlock

CiphersStream

CiphersSymmetricKey

CryptographyAuthenticationPrivacyEncryptionHash

FunctionsChallenge

ResponseIVsMACs

MICsMessage

DigestsNoncesPseudo

RandomRandom

SourcesSecretKeysSmart

CardsDH

RSAPublicKey

CryptographyElliptic

CurvesDigitalSignaturesData

IntegritySecureNetworkProtocolsNon-Repudiation掌握認證的基本概念,基本方法。熟悉windows的認證機制NTLM和Kerberos了解Fiat-Shamir身份識別方案

本講要求*currentlywithCreditSuisse一、認證的基本概念WhatisAuthentication?認證就是確認實體是它所聲明的。Thepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.Authenticationappliestoentitiessuchasusers,processes,systemsandinformation.認證分兩大類實體認證（身份認證）：某一實體確信與之打交道的實體正是所需要的實體。實體認證又可分為本地和遠程認證數(shù)據(jù)原發(fā)認證（消息認證）：鑒定某個指定的數(shù)據(jù)是否來源于某個特定的實體。（被認證的實體與一些特定數(shù)據(jù)項有著靜態(tài)的不可分割的聯(lián)系。）

實體認證與消息認證的差別實體認證一般都是實時的，消息認證一般不提供時間性。實體認證只證實實體的身份，消息認證除了消息的合法和完整外，還需要知道消息的含義。數(shù)字簽字是實現(xiàn)身份識別的有效途徑。但在身份識別中消息的語義是基本固定的，一般不是“終生”的，簽字是長期有效的。聲稱者未必涉及在當前的通信活動中。數(shù)據(jù)項可能已經(jīng)通過許多系統(tǒng)被重放，這些系統(tǒng)可能或沒有被認證。數(shù)據(jù)項可能在途中被存儲相當?shù)闹芷凇?/p>

數(shù)據(jù)原發(fā)認證未必能免遭數(shù)據(jù)項的復制、重排序或丟失。消息認證不同于實體認證：

實體認證實現(xiàn)安全目標的方式認證是最重要的安全服務之一。所有其它的安全服務都依賴于該服務。認證可以對抗假冒攻擊的危險1）作為訪問控制服務的一種必要支持訪問控制服務的執(zhí)行依賴于確知的身份（訪問控制服務直接對達到機密性、完整性、可用性及合法使用目標提供支持）；2）作為提供數(shù)據(jù)起源認證的一種可能方法3）作為對責任原則的一種直接支持。

例如，在審計追蹤過程中做記錄時，提供與某一活動相聯(lián)系的確知身份。

身份認證系統(tǒng)的組成示證者P(Prover)驗證者V（Verifier)

ATPB可信賴者TP（Trustedthirdparty)：參與調(diào)解糾紛。攻擊者：可以竊聽或偽裝聲稱者騙取驗證者的信任。對身份認證系統(tǒng)的要求（1）驗證者正確識別合法申請者的概率極大化。（2）不具有可傳遞性（Transferability)（3）攻擊者偽裝成申請者欺騙驗證者成功的概率要小到可以忽略的程度（4）計算有效性（5）通信有效性（6）秘密參數(shù)能安全存儲*（7）交互識別*（8）第三方的實時參與*（9）第三方的可信賴性*（10）可證明的安全性身份認證的分類分類一：單向認證(one-wayauthentication)雙向認證(mutualauthentication)分類二：直接認證（directauthentication）間接認證（indirectauthentication）相互認證協(xié)議在理論上，相互認證可通過組合兩個單向認證交換協(xié)議來實現(xiàn)。然而，這種組合需要被仔細地考察，因為有可能這樣的組合易受竊聽重放攻擊。另外，設計協(xié)議消息數(shù)比相應的單向交換協(xié)議的消息數(shù)的兩倍少得多的相互認證交換協(xié)議是可能的。因此，由于安全性和性能的原因，相互認證交換協(xié)議必須為此目的而特別地進行設計。PhysicalSecurityPerimeterDirectAuthenticationPasswordsmightbesniffedOkifsiteissmallenoughAuthenticationMechanismAccessControlMechanismSysAdminIndirectAuthenticationusingRADIUSOftenusedwithone-timepasswords,e.g.RSA‘sSecureID?.RADIUSAgentRADIUSServeruser:jdoepw:asdfClientwantstoAccessserviceorressources.logonat...oraccessdeniedAccessRequestAccess-AcceptorAccess-RejectSecuredRadiusProtocol2.Authorization(Access)3.AccountingUsername:Password:Authentication,Authorization,Accounting(AAA)User0.Identification Iam:"Username"asteffenAuthenticationProve,thatIam"Username"********Authentication

Identification:Noknowledgeabouttherealidentityoftheuser.Theusernamecanbeanalias.Authentication

Authorization:Noknowledgeabouttheaccesscontrolrightsoftheuser.AlthoughmanysystemscombineAuthenticationwithAuthorization

byassigningaccesscontrolrightsaspartoftheloginprocess.Whatis"Authentication"?*currentlywithCreditSuisse二、認證機制認證機制非密碼的認證機制A.口令機制B．一次性口令機制C．基于地址的機制D．基于個人特征的機制E．個人認證令牌基于密碼算法的認證采用對稱密碼算法的機制采用公開密碼算法的機制采用密碼校驗函數(shù)的機制零知識證明協(xié)議Authenticationisbasedon...Whatyouknow

(password,PIN,sharedsecret)askforsomethingonlytheauthorizeduserknows

Username:aznHu4UmPassword:asteffenFaceIris/RetinaScanningFingerprintVoiceWhatyouhave(Certificate,Token,ScratchList)testforthepresenceofsomethingonlytheauthorizeduserhasWhatyouare

(biologicalpattern,e.g.fingerprint)non-forgeablebiologicalorbehavioralcharacteristicsoftheuser01Z4GH06IKDX

0267TS079PL7

03UR2A08NFLB

04TIQV09K91D

053Z5P10HA85口令機制

口令或通行字機制是最廣泛研究和使用的身份認證法。通常為長度為5~8的字符串。選擇原則：易記、難猜、抗分析能力強。口令系統(tǒng)有許多脆弱點：

外部泄露

口令猜測

線路竊聽

重放對付外部泄露和口令猜測的措施教育、培訓；嚴格組織管理辦法和執(zhí)行手續(xù)；口令定期改變；每個口令只與一個人有關(guān)；輸入的口令不再現(xiàn)在終端上；使用易記的口令，不要寫在紙上。嚴格限制非法登錄的次數(shù)；口令驗證中插入實時延遲；限制最小長度，至少6~8字節(jié)以上防止用戶特征相關(guān)口令，及時更改預設口令；使用機器產(chǎn)生的口令。Server

PasswordFileIDPasswordInsecureAuthenticationbasedonPasswordsPasswordSaltHashFunctionHashHashHashFunctionSecretpassword

transmitted

overinsecure

channelIDPasswordRemoteUserIDPasswordSalthelpsagainstdictionaryattacks.

UNIXuses12bitsofsalt,resultingin4096hashedpasswordvariantsSaltSaltCommonPasswordProblemPhishingattackorbreak-inatsiteBrevealspwdatAServer-sidesolutionswillnotkeeppwdsafeSolution:Strengthenwithclient-sidesupportBankA

lowsecuritysitehighsecuritysitepwdApwdB=pwdASiteBPasswordHashingGenerateauniquepasswordpersiteHMACfido:123()Q7a+0ekEXbHMACfido:123()OzX2+ICiqcHashedpasswordisnotusableatanyothersiteProtectsagainstpasswordphishingProtectsagainstcommonpasswordproblemBankAhash(pwdB,SiteB)hash(pwdA,BankA)SiteBpwdApwdB=設計實體認證協(xié)議的問題認證和密鑰交換協(xié)議的核心問題有兩個：保密性時效性為了防止偽裝和防止暴露會話密鑰，基本認證與會話密碼信息必須以保密形式通信。這就要求預先存在保密或公開密鑰供實現(xiàn)加密使用。第二個問題也很重要，因為涉及防止消息重放攻擊。重放及相關(guān)設計策略常見的消息重放攻擊形式：1、簡單重放：攻擊者簡單復制一條消息，以后在重新發(fā)送它；2、可被日志記錄的復制品：攻擊者可以在一個合法有效的時間窗內(nèi)重放一個帶時間戳的消息；3、不能被檢測到的復制品：這種情況可能出現(xiàn)，原因是原始信息已經(jīng)被攔截，無法到達目的地，而只有重放的信息到達目的地。4、反向重放，不做修改。向消息發(fā)送者重放。當采用傳統(tǒng)對稱加密方式時，這種攻擊是可能的。因為消息發(fā)送者不能簡單地識別發(fā)送的消息和收到的消息在內(nèi)容上的區(qū)別。相關(guān)設計策略：1）針對同一驗證者的重放：非重復值2）針對不同驗證者的重放：驗證者的標識符使用非重復值使用非重復值：

1）序列號：計數(shù)的策略：對付重放攻擊的一種方法是在認證交換中使用一個序數(shù)來給每一個消息報文編號。僅當收到的消息序數(shù)順序合法時才接受之。但這種方法的困難是要求雙方必須保持上次消息的序號。

2）時間戳：A接受一個新消息僅當該消息包含一個時間戳，該時間戳在A看來，是足夠接近A所知道的當前時間；這種方法要求不同參與者之間的時鐘需要同步

3）驗證者發(fā)送隨機值（如詢問）：不可預測、不重復詢問/應答方式(Challenge/Response)A期望從B獲得一個消息首先發(fā)給B一個隨機值(challenge)B收到這個值之后，對它作某種變換，并送回去A收到B的response，希望包含這個隨機值在有的協(xié)議中，這個challenge也稱為nonce可能明文傳輸，也可能密文傳輸這個條件可以是知道某個口令，也可能是其他的事情變換例子：用密鑰加密，說明B知道這個密鑰;

簡單運算，比如增一，說明B知道這個隨機值詢問/應答方法不適應非連接性的應用，因為它要求在傳輸開始之前先有握手的額外開銷，這就抵消了無連接通信的主要特點。SecureAuthenticationbasedon

Challenge/ResponseProtocolsInsecureChannelUserServerKeyedHash

FunctionMACIDURUKeyRUIDUIDURUResponseMACNosecretsareopenlytransmittedTherandomvalues

RSandRUshould

neverberepeated!RSKeyKeyedHash

FunctionMACRSRSChallengerandomvalue

(Nonce)Challenge/ResponseProtocolbasedon

DigitalSignaturesInsecureChannelUserServerRSRSChallengerandomvalue

(Nonce)IDURUHashSigEncryptionwith

PrivateKeyRSHashIDURUResponseSigIDURUDecryptionwith

PublicKeyHash三、典型身份認證協(xié)議PAPCHAPKerberosX.509NTLMFiat-shamirWindowsNTLANManagerNTLM

WindowsDomainAuthenticationADomainisacollectionofServices(Email,File-Shares,Printers,...)administeredbyaDomainController(DC).CentralizedAdministration:EachuserhasonlyoneaccountperDomainmanagedbytheDomainController.ThusthereisnoneedforindividualServeraccounts.Flexibility:AssignmentofUserstoGroupsMultipleDomainspossible(Master-Domains,TrustRelationships)AllusersandserversmusttrusttheDomainController.UserAPrinterServer1Server3Server2UserBDomainController(DC)DomainNTLM–ProtocolWindowsNT

LANManagerisaproprietaryMicrosoftscheme.TypicalexampleofaChallenge-Responseprotocol.UserAliceServerDomainController(DC)Domain:WonderlandUsername:AlicePassword:2Uh7&Alice51ff1d83f68ba0537OKH:Hashfunction

E(x,k):EncryptionofxwithkeykH(2Uh7&)=KeyA

E(f68ba0537,KeyA)=51ff1d83UserAlice:KeyAAlice,f68ba0537,51ff1d83Challenge:f68ba0537E(f68ba0537,KeyA)=51ff1d83

Comparisonwith51ff1d83–ok?NTLMSecurityAnalysisUserkeyisknowntotheuserandDConlyTheuserkeyisderivedfromtheuser'sloginpassword.Onlytheentitledusercancorrectlyencryptthechallenge.Non-recurringchallengevalues(nonces)preventreplay-attacks.Pros:Passwordisnevertransmittedintheclear.Simpleandsecureprotocolifstronguserpasswordsareused.Cons:Theauthenticationprocessmustberepeatedforeveryuseof

aserver

DCcanbecomeabottleneck.WeakorshortNTLMpasswordscanbecrackedofflinewithadictionaryorbruteforceattack.Kerberos

KeyDistributionSystemHistoricalBackgroundDevelopedin1983aspartofMIT'sAthenaproject.Motivation:ManyMITstudents?sniffed“thenetworkandthusgotholdof

rootpasswordswhichtheyusedtoreboottheservers.Requirements:AuthenticationinUNIX-basedTCP/IPnetworksUseofsymmetricalcryptography(DES)Characteristics:Reliesonthemediationservicesofatrustedrefereeornotary.BasedontheworkbyNeedhamandSchroederontrustedthird-partyprotocolsaswellasDenningandSacco'smodificationsofthese.KerberosReleasesCurrentreleaseisKerberosv5(RFC1510,September1993).V5supportsadditionalencryptionciphersbesidesDES.AliceBobJackJipMaryPaulPeterHarryDickTomKbobKaliceKDCMediatedAuthenticationbymeansofa

KeyDistributionCenter(KDC)KerberosTicketsEachKerberosparticipant(Alice,Bob,etc.)–calledaPrincipal

–sharesacommonsecretwiththeKeyDistributionCenter(KDC)–thePrincipal’sMasterKey.Eachsecuredcommunicationorsecuredaccessis"mediated"

bymeansofaKerberosTicket.HowisAlicegoingtotalktoBob?UserAliceKDCServerBobH(2Uh7&)=MKeyA

E(time,MKeyA)=a5F113deSimplifiedKerberosProtocolH:Hashfunction

E(x,k):Encryptionofxwithkeyk

D(x,k):DecryptionofxwithkeykRealm:Wonderland

Username:Alice

Password:2Uh7&Alice,Bob,a5F113deUserAlice:MKeyA

ServerBob:MKeyB9abc571a,

TicketD(a5F113de,MKeyA)=time,valid?

SessionkeyAlice-Bob:SAB

E(SAB,MKeyA)=9abc571a

E({Alice,SAB

},MKeyB)=TicketD(9abc571a,MKeyA)=SAB

E({Alice,time},SAB)=5cc109815cc10981,

TicketMKeyBD(Ticket,MKeyB)={Alice,SAB

}

D(5cc10981,SAB)={Alice,time}correct?UserAliceKDCH(2Uh7&)=MKeyA

E(time,MKeyA)=a5F113de1.客戶向KDC進行身份認證，獲取訪問票據(jù)許可服務器的訪問票據(jù)

Realm:Wonderland

Username:Alice

Password:2Uh7&AS_REQ[Alice,a5F113de]UserAlice:MKeyA

ServerBob:MKeyBAS_REP[27LnZ8vU]D(a5F113de,MKeyA)=time,valid?

SessionkeyforAlice:SA

E({Alice,SA},MKeyKDC)=TGTA

E({SA,TGTA},MKeyA)=27LnZ8vUD(27LnZ8vU,MKeyA)={SA,TGTA}H:Hashfunction

E(x,k):Encryptionofxwithkeyk

D(x,k):DecryptionofxwithkeykUserAliceTGSE({Alice,time},SA)=qR71htp92.客戶訪問票據(jù)許可服務器獲取訪問應用服務器的票據(jù)

TGS_REQ[Bob,TGTA,qR71htp9]ServerBob:MKeyBTGS_REP[b22sYG1k]D(TGTA,

MKeyKDC)={Alice,SA}

D(qR71htp9,SA)={Alice,time},valid?

SessionkeyforAlice-Bob:SAB

E({Alice,SAB

},MKeyB)=TAB

E({SAB,TAB},SA)=b22sYG1kD(b22sYG1k,SA)={SAB,TAB}H:Hashfunction

E(x,k):Encryptionofxwithkeyk

D(x,k):DecryptionofxwithkeykSessionKey:SA

Ticket:TGTAUserAliceServerBob3.客戶向應用服務器出示訪問票據(jù)，服務器根據(jù)票據(jù)決定是否提供服務。

H:Hashfunction

E(x,k):Encryptionofxwithkeyk

D(x,k):DecryptionofxwithkeykE({Alice,timeA},SAB)=w86EQa55MKeyBSessionKey:SAB

Ticket:TABAP_REQ[TAB,w86EQa55]AP_REP[4tMJs73c]D(TAB,

MKeyB)={Alice,SAB}

D(w86EQa55,SAB)={Alice,time},valid?

E({Bob,timeB},SAB)=4tMJx73cD(4tMJx73c,SAB)={Bob,timeB},valid?{db;MKeyKDC}RealmKDCReplicationMaster

KDCSlave

KDCHostSlave

KDCSlave

KDCSlave

KDCSlave

KDCHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostHostInter-RealmAuthenticationAliceWonderlandKDCLionsKDC2.TGS_REP

[credentialsfor

LionsKDC]Carol4.TGS_REP

[credentialsfor

Carol@Lions]1.TGS_REQ

[Alice@Wonderland,

Carol@Lions]3.TGS_REQ

[Alice@Wonderland,

Carol@Lions]5.AP_REQ

[Alice,KA{KBA,“Alice”,...}]Realm

WonderlandRealm

LionsSummaryKerberos

AuthenticationTicket

Granting

ServiceClientServer1.authenticateuser2.accesscontrolforserver3.communication

summary特點基于口令的認證協(xié)議利用對稱密碼技術(shù)建立起來的認證協(xié)議可伸縮性——可適用于分布式網(wǎng)絡環(huán)境環(huán)境特點User-to-serverauthentication局限性分析時間依賴性實現(xiàn)較好的時鐘同步往往是很困難的攻擊者誤導系統(tǒng)時間并進行重放攻擊有可乘之機猜測口令攻擊脆弱口令容易受到攻擊協(xié)議模型未對口令提供額外的保護，局限性分析域間認證多跳域間認證涉及很多因素，實現(xiàn)過程復雜不明確存在“信任瀑布”問題篡改登錄程序認證系統(tǒng)本身的程序完整性很難保證密鑰存儲問題口令及會話密鑰無法安全存放于典型的計算機系統(tǒng)中零知識證明技術(shù)傳統(tǒng)的使用口令或個人身份識別號PIN(personalidentificationnumber)來證明自己的身份的方法的缺點是：容易受到字典攻擊。檢驗用戶口令或PIN的人或系統(tǒng)可使用用戶的口令或PIN冒充用戶。0.問題的提出“零知識證明”是由Goldwasser等人在20世紀80年代初提出的。它指的是證明者能夠在不向驗證者提供任何有用的信息的情況下，使驗證者相信某個論斷是正確的。零知識證明實質(zhì)上是一種涉及兩方或更多方的協(xié)議，即兩方或更多方完成一項任務所需采取的一系列步驟。證明者向驗證者證明并使其相信自己知道或擁有某一消息，但證明過程不能向驗證者泄漏任何關(guān)于被證明消息的信息。在Goldwasser等人提出的零知識證明中，證明者和驗證者之間必須進行交互，這樣的零知識證明被稱為“交互零知識證明”。80年代末，Blum等人進一步提出了“非交互零知識證明”的概念，用一個短隨機串代替交互過程并實現(xiàn)了零知識證明。非交互零知識證明的一個重要應用場合是需要執(zhí)行大量密碼協(xié)議的大型網(wǎng)絡。大量事實證明，零知識證明在密碼學中非常有用。

零知識證明技術(shù)例.如圖表示一個簡單的迷宮，C與D之間有一道門，需要知道秘密口令才能將其打開。P向V證明自己能打開這道門，但又不愿向V泄露秘密口令?？刹捎萌缦聟f(xié)議：①V在協(xié)議開始時停留在位置A。②P一直走到迷宮深處，隨機選擇位置C或位置D。③P消失后，V走到位置B，然后命令P從某個出口返回位置B。④P服從V的命令，必要時利用秘密口令打開C與D之間的門。⑤P和V重復以上過程n次。圖7.4零知識證明協(xié)議示例簡化的Fiat-Shamir身份識別方案設n=pq，其中p和q是兩個不同的大素數(shù)，x是模n的平方剩余，y是x的平方根。又設n和x是公開的，而p、q和y是保密的。證明者P以y作為自己的秘密。求解方程y2≡amodn與分解n是等價的。因此他人不知n的兩個素因子p、q而計算y是困難的。P和驗證者V通過交互證明協(xié)議，P向V證明自己掌握秘密y，從而證明了自己的身份。1.協(xié)議及原理①P隨機選r(0<r<n)，計算a≡r2modn，將a發(fā)送給V。②V隨機選e∈{0,1}，將e發(fā)送給P。③P計算b≡ryemodn，即e=0時，b=r；e=1時，