第3章身份驗證技術及應用身份驗證協(xié)議1沈蘇彬南京郵電大學信息網(wǎng)絡技術研究所主要解決的問題2驗證報文是即時發(fā)送的報文？還是重播報文？用于防范重播報文攻擊！如何采用第三方公證的方式，可靠地驗證數(shù)據(jù)發(fā)送方身份的真?zhèn)?？–信息安全中的安全可以細化為保密性、完整性和可用性，另外還可以增加可鑒別性、不可抵賴性。如何協(xié)商傳統(tǒng)加密算法的密鑰？關鍵知識點3

身份驗證協(xié)議是一種通過報文交互驗證交互的某一方或者交互雙方身份的協(xié)議。

身份驗證協(xié)議通過交互被加密的報文，實現(xiàn)網(wǎng)絡環(huán)境下的身份驗證。

典型的身份驗證協(xié)議是Needham-Schroeder身份驗證協(xié)議。主要內容4身份驗證協(xié)議基本概念Needham-Schroeder身份驗證協(xié)議Needham-Schroeder協(xié)議的改進身份驗證協(xié)議基本概念5

身份驗證協(xié)議是一種通過報文交互驗證交互的某一方或者交互雙方身份的協(xié)議。

只能驗證報文交互某一方身份的協(xié)議稱為單向身份驗證協(xié)議，能夠驗證報文交互雙方身份的協(xié)議稱為雙向身份驗證協(xié)議。

作用：身份驗證協(xié)議不僅可以分發(fā)通過身份驗證的交互一方或者雙方使用的密鑰，還可以驗證接收方收到的報文是否是正常傳遞的、而不是被截獲后重發(fā)的報文，防范網(wǎng)絡攻擊者對身份驗證協(xié)議本身的攻擊。身份驗證協(xié)議基本概念(續(xù))

身份驗證協(xié)議最 是由Roger

M.

Needham和Michael

D.

Schroeder提出的，其基本思想是利用加密方法在大型網(wǎng)絡環(huán)境中進行身份驗證。

身份驗證協(xié)議基本上沿用了這種交互被加密報文的思路，實現(xiàn)網(wǎng)絡環(huán)境下的身份驗證。

身份驗證協(xié)議可以按照采用的密碼體系不同，分成基于傳統(tǒng)密碼體系的身份驗證協(xié)議和基于公鑰密碼體系的身份驗證協(xié)議。6身份驗證協(xié)議的表示方式7

網(wǎng)絡安全中通常設置兩個交互方為Alice（愛麗絲，簡稱為A）和Bob（鮑伯，簡稱為B），我們稱為A方和B方。

A方向B方發(fā)送第一個報文，其中包括A的標識，以及采用密鑰K加密的A的標識和一次性數(shù)N，具體表示如下：M1:

AB:

A,

K{A,

N}這里“K{A,

N}”表示采用密鑰K對A和N加密后的密文。當事方與驗證方8身份驗證協(xié)議至少有兩個參與方，根據(jù)在身份驗證協(xié)議中的扮演的角色，可以分成當事方與驗證方。被身份驗證的一方首先需要有身份標識，在網(wǎng)絡安全中，這種具有身份標識的、可以具有獨立行為的實體通常被稱為“當事方”；驗證當事方身份的實體通常被稱為“驗證方”。傳統(tǒng)密碼體系身份驗證協(xié)議9基于傳統(tǒng)密碼體系的身份驗證協(xié)議的原理是：如果一個當事方能夠正確地利用某個密鑰加密數(shù)據(jù)，并且驗證方相信只有身份標識對應的當事方才知道這個密鑰時，則驗證方就可以確信身份驗證協(xié)議的交互方是具有該身份標識的當事方。例如假定A試圖向B驗證身份，A的標識就表示為“A”，而且KA,B

是B和A公共擁有的密鑰，一個簡單的身份驗證協(xié)議如下：M1:

A

B:

A,

KA,B{A}傳統(tǒng)密碼體系身份驗證協(xié)議(續(xù)1)10在以上身份驗證協(xié)議中存在一個致命的弱點，就是無法防范網(wǎng)絡攻擊者的重播攻擊。即網(wǎng)絡攻擊者C可以在截獲報文M1，然后，等到A方離開網(wǎng)絡后，再重發(fā)報文M1，假冒A與B進行

交互，這樣，B就會誤認C就是A。為了防范重播攻擊，需要對以上身份驗證協(xié)議

進行改進，引入可以表示報文已經使用過的標

志，這種標志在身份驗證協(xié)議中稱為一次性數(shù)，表示為N。問題：如果A就是假冒的，是否會存在威脅？為什么？基于一次性數(shù)身份驗證協(xié)議111一次性數(shù)是一種在報文中僅僅使用一次的隨機數(shù)，為了方便對一次性數(shù)的驗證，通常由驗證方產生一次性數(shù)。引入一次性數(shù)的身份驗證協(xié)議如下：M1:

AM2:

BM3:

AB:

AA:

NB:

KA,B{N}以上基于對稱加密算法的采用一次性數(shù)的身份驗證協(xié)議是一個經典的身份驗證協(xié)議。三方參與的身份驗證協(xié)議12以上身份驗證協(xié)議并不是一個在大規(guī)模網(wǎng)絡環(huán)境下實用的身份驗證協(xié)議。作為驗證方不可能與所有可能的當事方都事先協(xié)商好密鑰。為了解決在大規(guī)模網(wǎng)絡中身份驗證協(xié)議的可縮放性問題，就需要在身份驗證協(xié)議中引入第三方：身份驗證服務器(AS)。身份驗證服務器中存放了它與所有當事方的對稱密鑰，例如KAS,A表示AS與A之間的密鑰，而

KAS,B表示AS與B之間的密鑰。如果A是假冒的，結果如何？如果AS是假冒的，結果如何？三方參與的身份驗證協(xié)議(續(xù)1)13引入身份驗證服務器和一次性數(shù)的身份驗證協(xié)議如下：A向B發(fā)送一個包含A的標識的報文M1M1:

A B:

AB向A返回具有一次性數(shù)的報文M2M2:

B A:

NA向B發(fā)送包含KAS,A加密的一次性數(shù)的M3M3:

AB:

KAS,A{N}三方參與的身份驗證協(xié)議(續(xù)2)14（4）B向AS發(fā)送包含KAS,A加密的一次性數(shù)的M4M4:

BAS:

A,

KAS,A{N}（5）AS解密采用KAS,A加密的一次性數(shù)，并返回包含采用KAS,B加密的一次性數(shù)報文M5M5:

ASB:

KAS,B{N}以上身份驗證協(xié)議可以部署的前提：需要當事方與驗證方有共同信任的身份驗證服務器。并且需要當事方、驗證方都必須在身份驗證服務器注冊。公鑰密碼體系實際上是一種依賴于第三方的密碼體系！公鑰密碼體系身份驗證協(xié)議-115基于公鑰密碼體系的身份驗證協(xié)議的原理是：如果一個當事方能夠正確地利用某個身份標識對應的私鑰進行數(shù)字簽名，則驗證方就可以確信身份驗證協(xié)議的交互方是具有該身份標識的當事方。這里的“數(shù)字簽名”表示采用公鑰密碼體系中的私鑰對某個特征數(shù)(例如一次性數(shù))進行的加密運算。公鑰密碼體系身份驗證協(xié)議-216假定當事方A需要向驗證方B驗證自己的身份，

A的私鑰為VKA，并且驗證方B已經獲得了與

VKA對應的公鑰PKA，則基于公鑰密碼體系的、采用一次性數(shù)的身份驗證協(xié)議如下：M1:M2:ABB:A:ANM3:AB:VKA{N}在以上身份驗證協(xié)議中，B可以從權威的證書授權中心(CA)獲得A的公鑰PKA。公鑰密碼體系身份驗證協(xié)議-317

B也可以在身份驗證協(xié)議中，通過與身份驗證服務器(AS)的交互，獲得A的公鑰。假定B已經知道AS的公鑰PKAS，該公鑰對應的私鑰是VKAS。這樣，基于公鑰密碼體系的、采用身份驗證服務器和一次性數(shù)的身份驗證協(xié)議表示如下：（1）A向B發(fā)送包含A標識的報文M1M1:

A B:

A公鑰密碼體系身份驗證協(xié)議-418（2）B向A返回包含一次性數(shù)的報文M2M2:

BA:

N（3）A向B發(fā)送對一次性數(shù)簽名的報文M3M3:

AB:

VKA{N}B向AS發(fā)送包含加密的A標識的報文M4M4:

B AS:

PKAS{A}AS向B返回對A標識及其公鑰簽名的報文M5M5:

AS B:

VKAS{A,

PKA}公鑰密碼體系身份驗證協(xié)議-519在以上協(xié)議中M5一定要采用AS的私鑰進行加密，否則，就無法保證A的公鑰的權威性，這樣，也就無法保證對A身份驗證的權威性。另外，在以上協(xié)議中，AS并不能假冒A與B進行交互，因為AS只有A的公鑰，而沒有A的私鑰，所以，AS無法假冒A對B發(fā)出的一次性數(shù)N進行簽名。Needham-Schroeder身份驗證協(xié)議20

Needham-Schroeder身份驗證協(xié)議假定是在一個不安全的網(wǎng)絡環(huán)境下，并且假定身份驗證的A和B之間存在一個雙方都信任的身份驗證服務

器AS，而且A和B分別與AS已經約定了密鑰KAS,A和KAS,B。

A和B試圖通過身份驗證協(xié)議，相互確認對方身份，并且建立雙方共有的密鑰KA,B，使得雙方可以利用該密鑰采用傳統(tǒng)密碼學算法加密傳遞數(shù)據(jù)。這里密鑰KA,B通常也稱為傳遞數(shù)據(jù)的會話密鑰。N-S身份驗證協(xié)議交互過程AS與設計傳統(tǒng)的計算機網(wǎng)絡協(xié)議的規(guī)則一樣，

Needham-Schroeder身份驗證協(xié)議也假定不依賴任何精確的全球時鐘系統(tǒng)，而是通過報文的異步交互實現(xiàn)雙方的身份驗證。該身份驗證協(xié)議的交互涉及5個報文，具體交互過程如下所示AS:身份驗證服務器M1ABM2M3M4M521圖3.9

Needham-Schroeder身份驗證協(xié)議M1:

A,

B,

NAM2:

K

AS,A

{NA,

B,

KA,B,

K

AS,

B{KA,B,

A}}M3:

K

AS,B{KA,B,

A}M4:

KA,B{NB}M5:

KA,B{NB

–

1}N-S身份驗證協(xié)議交互過程(續(xù)1)22M1:

AAS:

A,

B,

NA這里A和B分別表示A和B的標識符，NA表示A方生成的隨機一次性數(shù)的標識，即NA是A產生的標識，只用于這次身份驗證的交互。M2:

ASA:

K

AS,A{NA,

B,

KA,B,

K

AS,B{KA,B,

A}}該報文表示了從身份驗證服務器AS返回給A的報文是采用AS與A共有的密鑰加密的，加密報文中包括了A的一次性數(shù)標識、B標識、分配給A和B共有的密鑰KA,B，以及用AS與B共有的密鑰加密KA,B和A的標識。N-S身份驗證協(xié)議交互過程(續(xù)2)23

A接收到AS響應的報文，解密后通過識別B的標識和本次交互的一次性數(shù)標識NA確定這是對本次身份驗證的請求，則A存儲AS發(fā)送來的A和B之間的會話密鑰KA,B，并且將AS發(fā)送來的采用KAS,B加密的部分轉發(fā)給B。M3:

A B:

KAS,B{KA,B,

A}N-S身份驗證協(xié)議交互過程(續(xù)3)24只有B才能解密M3，獲得與A交互的最新會話密鑰KA,B。但是，這時B尚無法確定這是A發(fā)送的最新的密鑰，還是第三方攻擊者C重發(fā)的A的報文。所以，B必須采用自身的一次性數(shù)標識NB進一步驗證KA,B的真實性。M4:

BA:

KA,B{NB}并且期望從A收到還是采用相同密鑰加密的，對

B產生的一次性數(shù)標識減1的返回報文M5。M5:

AB:

KA,B{NB

–

1}如果B能夠收到報文M5，則身份驗證交互成功。N-S身份驗證協(xié)議的討論25

Needham-Schroeder身份驗證協(xié)議主要是基于加密算法的身份驗證協(xié)議。如果加密算法被攻破，或者公開的加密算法中采用的密鑰被破譯，則

該身份驗證協(xié)議自然也被攻破。

Denning和Sacco在1981年撰文論述了當KA,B被破譯后，第三方攻擊者C就可以利用截獲的M3報文不斷假冒A與B進行交互。這里的關鍵問題是：如何識別已經使用過的

M3報文，防范利用M3報文的重播攻擊。Needham-Schroeder協(xié)議的問題26Needham-Schroeder協(xié)議可以表示為如下形式：M1:

AM2:

ASM3:

AM4:

BM5:

AAS:

A,

B,

NAA:

KAS,A{NA,

B,

KA,B,

KAS,B{KA,B,

A}}B:

KAS,B{KA,B,

A}A:

KA,B{NB}B:

KA,B{NB

–

1}這里主要問題是出在報文M3，這里沒有任何有關M3報文一次性使用的特征。Needham-Schroeder協(xié)議的改進27

對Needham-Schroeder協(xié)議存在的問題有兩種改進方案：基于時間戳的改進方案基于一次性數(shù)的改進方案基于時間戳的改進方案28

Denning和Sacco提出了在Needham-Schroeder協(xié)議中增加時間戳的方案，主要修改了以上協(xié)議報文M1、M2和M3M1’:

AM2’:

ASM3’:

AAS:

A,

BA:

KAS,A{T,

B,

KA,B,

KAS,B{KA,B,

A,

T}}B:

KAS,B{KA,B,

A,

T}這里的T是時間戳，標記了AS在確定密鑰KA,B時的本地時間。利用這個時間戳，A和B都可以驗證AS返回A的報文以及A發(fā)送給B的報文是否是重播攻擊報文?；跁r間戳的改進方案(續(xù))29假定Clock表示A或者B接收到報文M2’或者

M3’的時間，A或者B可以利用以下公式驗證

M2’或者M3’是否是重播攻擊報文：|

Clock

–

T

|

<

t1

+

t2這里

t1表示服務器時鐘與A或者B時鐘的誤差， t2表示報文在網(wǎng)絡中傳播的最大延遲。對于B， t2還需要包括在A中處理報文M2’的延遲。這t1可以設里的時鐘可以采用計算機系統(tǒng)時鐘，置為1分鐘。基于一次性數(shù)的改進方案30身份驗證協(xié)議的最初提出者Needham和Schroeder對基于時間戳的改進方案不贊同基于時間戳的改進方案。他們認為，這種改進破壞了互聯(lián)網(wǎng)中絕大部分協(xié)議遵循的一個基本原則：不依賴全球統(tǒng)一時鐘進行交互。這種基于一次性數(shù)的改進方案新增加了A和B之間的2次交互，使得A首先從B中獲得一次性數(shù)。注意：完美方案帶來的成本！增加了A與B之間的交互！基于一次性數(shù)的改進方案(續(xù))31這種基于一次性數(shù)的改進協(xié)議如