第八章身份認證9/15/20231第八章身份認證8/3/20231本章重點：1、身份認證的理論基礎：物理基礎，數(shù)學基礎，協(xié)議基礎2、身份認證協(xié)議：雙向認證協(xié)議（基于對稱密鑰，基于公鑰體制），單向認證協(xié)議（基于第三方，基于公鑰體制）3、身份認證協(xié)議的實現(xiàn)：Kerberos協(xié)議9/15/20232本章重點：1、身份認證的理論基礎：物理基礎，數(shù)學基礎，協(xié)議基

8.1身份認證基礎身份認證是指證實主體的真實身份與其所聲稱的身份是否相符的過程。8.1.1物理基礎

身份認證的物理基礎可以分為三種：用戶所知道的（somethingtheuserknows）；如：密碼和口令等用戶擁有的（somethingtheuserpossesses）；如:身份證、護照、密鑰盤，數(shù)字證書等用戶的特征（somethingtheuserisorhowhe/shebehaves）。如：指紋、紅膜、DNA、聲紋9/15/202338.1身份認證基礎身份認證是指證

示證者P和驗證者V未曾見面，如何只能通過開放的網(wǎng)絡讓其證明自己的身份而不泄露所使用的知識？

最小泄露證明：P幾乎不可能欺騙V；V幾乎不可能知道證明的知識，特別是他不可能向別人重復證明過程；

零知識證明：除了要滿足以上兩個條件之外，還要滿足第三個條件：V無法從P那里得到任何有關證明的知識.8.1.2數(shù)學基礎（零知識證明）9/15/20234示證者P和驗證者V未曾見面，如何只能通過開放的圖8.1零知識問題

零知識證明最通俗的例子是圖8.1中的山洞問題。P知道打開門的咒語，按照下面的協(xié)議P就可以向V證明：他知道咒語但是不需要告訴V咒語的內容。9/15/20235圖8.1零知識問題零知識證明最通俗的例子是圖

①V站在A點；②P進入山洞，走到C點或D點；③當P消失后，V進入到B點；④V指定P從左邊或者右邊出來；⑤P按照要求出洞（如果需要通過門，則使用咒語）⑥P和V重復①-⑤步驟n次。如果P知道咒語，他一定可以按照V的要求正確地走出山洞n次；如果P不知道咒語，并想使V相信他直到咒語，就必須每次都事先猜對V會要求他從哪一邊出來。9/15/20236①V站在A點；8/3/202361、分類根據(jù)是否依賴第三方分為：基于可信第三方認證協(xié)議和雙方認證協(xié)議；根據(jù)認證使用密碼體制分為基于對稱密鑰的認證協(xié)議和基于公鑰密碼體制的認證協(xié)議；根據(jù)認證實體的個數(shù)分為：單向認證協(xié)議和雙向認證協(xié)議；8.1.3協(xié)議基礎9/15/202371、分類8.1.3協(xié)議基礎8/3/20237

協(xié)議的設計假設是攻擊者可以完全控制網(wǎng)絡上的通信，也可以作為合法用戶參與協(xié)議。攻擊方式多種多樣，最常用的兩種：消息重放攻擊：使用以前截獲的合法信息，在以后的協(xié)議執(zhí)行過程中使用，可以造成：①使雙方建立一個以前使用過的會話密鑰。②攻擊者可以冒充他人。中間人攻擊：攻擊者同時參與多個協(xié)議，利用從一個協(xié)議中得到的信息攻擊另一個協(xié)議。(國際象棋特級大師問題）2、攻擊9/15/20238協(xié)議的設計假設是攻擊者可以完全控制網(wǎng)絡上的通時間戳：A接收一個新消息當且僅當該消息包含一個時間戳，并且該時間戳在A看來是足夠接近A所知道的當前時間。提問/應答方式：A期望從B獲得一個新消息，首先發(fā)給B一個臨時值，并要求后續(xù)從B收到的消息中都包含這個臨時值或是由這個臨時值進行某種事先約定的計算后的正確結果。這個臨時值往往是一個隨機數(shù)，稱為現(xiàn)時。3、防止攻擊的方法

9/15/20239時間戳：A接收一個新消息當且僅當該消息包含一個時間戳，并且該8.2身份認證協(xié)議8.2.1雙向認證協(xié)議1、基于對稱密碼的雙向認證協(xié)議應用環(huán)境和目標：

擁有一個可信的第三方：密鑰分發(fā)中心KDC，攻擊者Malice，用戶Alice和Bob。KDC和所有用戶都擁有一個對稱密鑰（如和Alice的共享密鑰Ka），該協(xié)議使得通信各方互相認證鑒別各自的身份，然后交換會話密鑰。9/15/2023108.2身份認證協(xié)議8.2.1雙向認證協(xié)議8/第一次方案：Alice→KDC:IDa,IDbKDC→Alice:EKa[ks],EKb[ks]Alice→Bob:EKb[ks]Bob→Alice:Eks[M]說明：ks是KDC為Alice和Bob本次通話生成的一次性會話密鑰，EKa[ks]代表用Ka對數(shù)據(jù)ks進行加密。9/15/202311第一次方案：8/3/202311

缺陷：消息沒有和用戶身份綁定（缺少對實體認證的信息），如在第二步KDC→Alice:EKa[ks],EKb[ks]中，Alice收到消息后不能保證該消息就是KDC為她和Bob生成的。如下攻擊：在第一步，Malice截獲消息并修改為：Malice（Alice）→KDC:IDa,IDm即Malice冒充Alice向KDC發(fā)送請求。那么第二步Alice收到的消息KDC→Alice:EKa[ks],EKm[ks]這樣，Malice就可以冒充Bob和Alice會話了。9/15/202312缺陷：消息沒有和用戶身份綁定（缺少對實體認證8/3/第二次方案：Alice→KDC:IDa,IDbKDC→Alice:EKa[IDb，ks],EKb[IDa，ks]Alice→Bob:EKb[IDa，ks]Bob→Alice:Eks[M]Malice無法再冒充Bob來欺騙Alice，說明在示證信息中，一定要包含示證者身份標識信息來抵抗偽造攻擊！但是本方案還有重大缺陷?。?！9/15/202313第二次方案：8/3/202313

缺陷：消息的數(shù)據(jù)源認證中缺少了對消息新鮮性的認證，如在第二步KDC→Alice:EKa[IDb，ks],EKb[IDa，ks]中，Alice收到消息后不能保證該消息就是KDC為她和Bob本次通話生成的，如下攻擊： Malice(KDC)→Alice:EKa[IDb，ks’],EKb[IDa，ks’] Ks’是以前某次KDC為Alice和Bob創(chuàng)建的會話密鑰，這樣會話密鑰的新鮮性不能保證！

Malice這種行為是哪一種攻擊方式？9/15/202314缺陷：消息的數(shù)據(jù)源認證中缺少了對

改進：在與每一個實體進行的對話中，都要對對方實體的活現(xiàn)性進行測試，對返回的信息的新鮮性進行驗證，使用提問/應答機制來修改協(xié)議：第三次方案：Alice→KDC:IDa,IDb,NaKDC→Alice:EKa[IDb,ks,Na,EKb[IDa,ks]]Alice→Bob:EKb[IDa,ks]Bob→Alice:Eks[Nb]Alice→Bob:Eks[f(Nb)]9/15/202315改進：在與每一個實體進行的對話中，都要對對8/3/2

該協(xié)議是著名的Needham-Schroeder協(xié)議，該協(xié)議在1978年發(fā)表，在1981年被發(fā)現(xiàn)存在重大的缺陷。而對于Needham-Schroeder公鑰認證協(xié)議來說，自公布到被發(fā)現(xiàn)重大缺陷是在17年后。

請思考第三次方案中，Malice使用以前Alice和Bob建立的會話密鑰，冒充Alice和Bob建立會話的過程？對于這種缺陷，Denning結合了時間戳的方法進行了改進，請寫出改進后的協(xié)議。9/15/202316 該協(xié)議是著名的Needham-Schroeder協(xié)議，Denning方法Alice→KDC:IDa,IDbKDC→Alice:EKa[Ks,IDb,T,EKb[IDa,ks,T]]Alice→Bob:EKb[Ks,IDa,T]Bob→Alice:Eks[N1]Alice→Bob:Eks[f(N1)]|Clock-T|<Δt1+Δt2

其中，T是時間戳，Δt1是KDC時鐘與本地時鐘之間差異的估計值；Δt2是預期的網(wǎng)絡延遲時間。9/15/202317Denning方法8/3/202317Denning協(xié)議的缺陷：必須依靠時鐘同步。如果發(fā)送者的時鐘比接收者的時鐘要快，攻擊者可以從發(fā)送者處竊聽到消息，并等待對時間戳接收者來說成為當時時刻時重放給接收者，這種重放攻擊稱為抑制重放攻擊。9/15/202318Denning協(xié)議的缺陷：8/3/2023182、基于公鑰密碼的雙向認證協(xié)議WOO92b協(xié)議：基于公鑰算法和可靠第三方的認證協(xié)議

①A→KDC:IDa||IDb②KDC→A:EKRauth[IDb||KUb]③A→B:EKUb[Na||IDa]④B→KDC:IDb||IDa||EkUauth[Na]⑤KDC→B:EKRauth[IDa||KUa]||EKUb

[EKRauth[Na||

Ks||IDa||IDb]]⑥B→A:EKUa[EKRauth[Na||

Ks||

IDa||IDb]||Nb]⑦A→B:EKs[Nb]9/15/2023192、基于公鑰密碼的雙向認證協(xié)議WOO92b協(xié)議：基于公鑰算法8.2.2單向認證協(xié)議

單向認證的應用不需要雙方同時在線。一方在向對方證明自己身份的同時，即可發(fā)送數(shù)據(jù)，另一方收到后，首先驗證發(fā)送方的身份，如果身份有效，就可以接受數(shù)據(jù)。無第三方的基于對稱密碼的單向認證協(xié)議

（1）A→B:IDA||N1（2）B→A:EKab[Ks||IDB||f(N1)||N2]

（3）A→B:EKs[f(N2)],即f(x)=x+1雙方必須等待對方的回答，不適用于雙方不同時在線的情況。9/15/2023208.2.2單向認證協(xié)議單向認證的應用不需要雙方同時基于對稱密碼與第三方的單向認證協(xié)議（1）A→KDC:IDA||IDB||N1（2）KDC→A:EKa[Ks||IDB||N1||EKb[Ks||IDA]]

（3）A→B:EKb[Ks||IDA]||EKs[M]基于公鑰密碼的單項身份認證A→B:EKUb[Ks]||EKs[M||EKRa[H(M)]]9/15/202321基于對稱密碼與第三方的單向認證協(xié)議8/3/2023218.3身份認證的實現(xiàn)8.3.1Kerberos認證協(xié)議簡介麻省理工大學(MIT)開發(fā)的一種網(wǎng)絡安全解決方案應用背景：用戶在不同網(wǎng)絡域中使用各種信息服務時，可能需要維護多種不同的密碼證件。Kerberos作為網(wǎng)絡認證解決方案，基本思想是使用可信的第三方把某個用戶引見給某個服務器，方法是在用戶和服務器之間分發(fā)會話密鑰建立安全信道。9/15/2023228.3身份認證的實現(xiàn)8.3.1Kerbero主要介紹Kerberos的認證功能以Needham-Schroeder認證協(xié)議為基礎，增加了時間戳機制Kerberos的應用：Window2000使用Kerberos認證協(xié)議作為給系統(tǒng)網(wǎng)絡認證的基礎。優(yōu)點：安全，可靠，對用戶透明，良好擴展性9/15/202323主要介紹Kerberos的認證功能8/3/2023238.3.2Kerberos協(xié)議中的5個主體

U：用戶(人類)：通過客戶端（進程）來表達其行為，每個用戶都有某個口令作為單點登錄的密碼證件。C：客戶端（進程）：代理用戶實際使用網(wǎng)絡服務。S：應用服務器（進程）：根據(jù)用戶提供的請求許可票據(jù)，向客戶端C提供應用資源服務。4.AS：鑒別服務器，它知道所有用戶的口令并將它們存儲在一個中央數(shù)據(jù)庫中。AS與每一個票證許可服務器共有一個唯一的保密密鑰。用于鑒別用戶身份，頒發(fā)票據(jù)許可票據(jù)。5.TGS：票證許可服務器，與每一個域中的應用服務器共有一個唯一的保密密鑰。根據(jù)用戶提供的票據(jù)許可票據(jù)，向用戶頒發(fā)請求許可票據(jù)。9/15/2023248.3.2Kerberos協(xié)議中的5個主體

U：用戶(人類8.3.3Kerberos模型Kerberos的認證功能可以分為三個子服務來描述：客戶C和認證服務器AS之間的消息傳輸(認證服務） AS驗證客戶C的身份，向C頒發(fā)票據(jù)許可票據(jù)TGT客戶C和票據(jù)許可服務器TGS之間的消息傳輸（票據(jù)授權服務） 客戶C使用TGT向票據(jù)許可服務器TGS申請請求服務許可票據(jù)Tc,s

客戶C和應用服務器S之間的消息傳輸（應用服務） 客戶C使用Tc,s向服務器S申請相應的服務9/15/2023258.3.3Kerberos模型Kerberos的認證功能可KDC分為兩個子服務器AS和TGS的原因：

把KDC分為作用相同的兩部分，是考慮該系統(tǒng)可能會在一個相當大的網(wǎng)絡中運行，該領域中的應用服務器分屬不同的網(wǎng)絡域，應用服務器在不同的網(wǎng)絡域中由不同的TGS管理，因此，即使某個固定的用戶只有某個固定的單點登錄AS，他也可以得到多個TGS提供的服務，進而得到更多的應用服務器提供的服務。9/15/202326KDC分為兩個子服務器AS和TGS的原因：TGSASCS3.TGS_REQ1.AS_REQ5.AP_REQ2.TGT4.TKT6.AP_REP圖8.2Kerberos認證功能的三個子服務9/15/202327TGSASCS3.TGS_REQ1.AS_REQ5.A認證服務：客戶C向AS驗證身份并申請票據(jù)1.AS_REQC→AS:c,tgs2.TGTAS→C:其中：tgs是票據(jù)許可服務器名是客戶的秘密密鑰，是c和TGS的會話密鑰，是TGS的秘密密鑰。是鑒別服務器為客戶生成的一個票據(jù)許可票據(jù)。9/15/202328認證服務：客戶C向AS驗證身份并申請票據(jù)1.AS_REQ3.TGS_REQC→TGS:4.TKTTGS→C:其中：AC,S是客戶自己產生的鑒別碼，使用時間戳來防止重放攻擊。AC,S={C,Client_time,KC,TGS}；是c和s的會話密鑰。

TC,S是服務許可票據(jù)，用于用戶C在以后向應用服務器S證明其身份和得到的授權。TC,S=S||Eks{U,C,KC,S,Time_srart,Time_expire}

票據(jù)授予服務9/15/2023293.TGS_REQC→TGS:票據(jù)授予服務8/3/

應用服務

在應用服務中，客戶C使