数字鉴别与认证系统_身份认证

6.1 概述
3.身份认证的目标：
前提条件：协议参与方A、B及敌手C。A和B之间 的大量信息可以被C观察到；敌手C可参于与A和 B一方或双方协议的执行；由C发起的协议的多 个实例可能同时运行。 •身份认证：A可成功地向B认证他自己，即B完 成协议接收A的身份。 •不可传递性：B不能重新使用和A交换的身份 识别来成功的向第三方C假冒A。 •防止假冒：任何不同于A的实体C执行协议并 担当A的角色，使得B完成协议接收A的身份的 概率可以忽略不计。
' ③EKs ( N B )
' B
' A
说明：②实现对 B 身份的验证，③实现对 A 身份 的验证
6.4 相互验证协议
2.基于公开密钥加密的相互验证协议
(1)ISO公钥三次传输双方认证协议
前提：A拥有公钥证书CertA, B拥有公钥证书CertB 目标：A和B完成双向认证
6.2 基本的身份认证方案
1.基于认证令牌的身份认证方案
认证系统
（1）基于加密/解密的令牌认证方案（一）
质询/响应令牌 RNG 通过令牌的小 键盘输入质询
seed
E seed (Chal )
质询
质询
质询’
响应
Dseed ( E seed (Chal ))
6.2 基本的身份认证方案
（2）基于加密/解密的令牌认证方案（二）
③ E K B ( K s , ID A )
④ E Ks ( N 2 ) ⑤ E Ks ( f ( N 2 ))
6.4 相互验证协议
说明： 消息②③提供密钥分发功能。 B接收到消息⑤，使用票据，通过验证A使用Ks对 f(N2)的加密来验证A的身份。 如果A在解密消息④时能对N2进行冗余检测，则 A可验证B的身份，或通过改进消息③④实现A 对B的身份验证（如下页图）。 如果攻击者得到旧的会话密钥，可重放消息③， B不能识别假冒者的身份。
其中： E K B ( K s , ID A )提供 A 访问 B 的票据。③中，
B 使用票据，通过验证 A 使用的密钥 K s 验证 A 的身份。
6.3 单向验证协议
2.基于公开密钥的单向验证协议
A B : M , E SK A ( H ( M )), E SK AS (T , IDA , PK A ) Cert A
' A
⑤ E Ks ( f ( N 2 ))
6.4 相互验证协议
(2)带有时间戳的N-S协议
A
①ID A , ID B
B
KDC
B
E K ID A T ) ② E K A [ K s , ID B , T , E KKB ((K ss,,ID A ,,T )] ③ E K B ( K s , ID A , T )
A B : E K AB ( ID B , T A )
接受 B 解密密文分组并 拒绝
如果 T A认为是有效的。 其他情况
6.1 概述
②基于篡改检测码MDC
接受 B 重构 MDC （ K AB , ID B , T A） 拒绝
A B : ID B , TA , MDC ( K AB , ID B , TA )
h i 2 ( PA ) ，在下一次会话时就可 结果：Mallice获得了
以以用户A的身份登录了。
6.2 基本的身份认证方案
（6）加密的密钥交换
前提：用户A和主机B共享口令PA 目标：双方完成身份认证，并生成一个共享密钥
A
① ID A , E PA ( PK A ) ② E PA ( E PK A ( K ))
6.1 概述
4.身份认证的基础
•已知事物：标准口令，PIN码，在挑战－响应 协议中已被证实的秘密或私钥。 •已拥有的事物：磁卡、认证令牌、密码智能 卡等。 •固有事务：指纹、声音、视网膜模式、手的 几何特征等。
5.身份认证协议的特性
•机密性：基本的认证及会话密钥等信息应该 保密，要求预先存在保密的对称密钥或公开密 钥。
6.1 概述
•消息新鲜性：保证认证消息的新鲜性，防止 重放攻击。 •会话密钥的建立：一般的身份认证协议要传 输或协商一会话密钥。
6.1 概述
6.消息新鲜性和主体活现性
(1)询问-应答机制 ①基于对称密码技术
B A : NB
B 看到 N B 接受 B 解密接收到的密文分组 并 其他情况 拒绝 这种B的一次性随机数后进行的。
④ E Ks ( N 2 ) ⑤ E Ks ( f ( N 2 ))
6.4 相互验证协议
(3)减少鉴别次数的N-S协议
A
① ID A , N A
KDC
B
② ID B , N B , E K B ( ID A , N A , TB ) ③ E K A ( ID B , N A , K s , TB ),
6.2 基本的身份认证方案
• 协议描述(S/KEY协议)： 前提：用户A和主机B已设定初始记录 （IDA,hn(PA)).假设主机B中当前的用户记录 是（IDA,hi(PA))，其中1≤i ≤ n 协议执行：
① A B : ID A ②B A : i, " 输入口令 " ③ A B : Q h i 1 ( PA ) ④ B 计算 h (Q ) h ( h i 1 ( PA ))，判断 h (Q )与当前记录是
E K B ( ID A , K s , TB ), N B ④ E K B ( ID A , K s , TB ), N B , E K s ( N B )
6.4 相互验证协议
保留票据，A、B重新认证：
A
① E K B ( ID A , K s , TB ), N A , N
'
' A
B
②N , EK s ( N )
如果两个 MDC 相同 , 并且 T A 有效 其他情况
③基于非对称密码技术
A B : sig A ( ID B , TA )
接受 B 验证签名并 拒绝
通过签名验证 , 且 T A有效 其他情况
6.1 概述
(3)序列号机制
序列号的用法与时戳的用法相似，使用序 列号时，A和B维护某个同步的序列号，序列号 应该以一种B知道的方式增加，从而确定消息的 新鲜性。 缺点： • 每一个可能的通信方都必须维护一系列的状态 信息，而认证协议一般是无状态的，有状态的 协议在恶劣的环境中不能很好的工作。 • 管理序列号在通信出错时会很难处理。一般不 主张使用序列号。
6.3 单向验证协议
1.基于秘密密钥的单向验证协议
A
① ID A , ID B , N1
B
KDC
B
② E K A [ K s , ID B , N 1 , E K B ( K ss,, ID A ))] E K ( K ID A
③ E K B ( K s , ID A ) , E K S ( M )
否相同 , 若相同，允许访问，并 将口令记录更新为： （ ID A , Q , i 1）
6.2 基本的身份认证方案
• 对S/KEY协议的中间人攻击
A
ID A
Malice
ID A
B
i 1, " PassWord "
h i 2 ( PA )
i, " PassWord "
h i 1 ( PA )
6.1 概述
1.身份认证的必要性：
•资源的存取控制：根据用户的身份来限制对 不同资源的访问。 •认证的密钥建立：身份认证可用于会话密钥 的建立，从而建立通信双方或多方的保密通信。 •计费：在移动应用中（如蜂窝电话）中，通 过用户的身份和使用资源的时间进行计费。
2.身份认证（实体认证）的定义：
参与协议的一方（通过获得证实的证据）确 信参与协议的第二方的身份，并确信第二方真 正参与了该协议的一个过程（即在证据获得之 时或之前是活动的）。
质询
6.2 基本的身份认证方案
特点： • 认证令牌引入了双因素认证的概念：你拥有某 物（令牌）和你知道某物（PIN），两者缺一 不可。 • 本质上，质询/响应令牌对种子数、质询和PIN 一起进行散列运算，然后截取该数的部分内容 作为响应。 • 质询/响应令牌与基于口令的质询/响应方案的 不同在于它需要对产生的为随机数进行截取。
B
③ K ( N1 ) ④ K ( N1 , N 2 ) ⑤K ( N 2 )
6.2 基本的身份认证方案
分析： • A得到消息④可以认证B的身份，因为：得到这 条消息说明对方知道密钥K，另外只有知道PA, 才能解密 PKA ,从而生成密钥K，得到消息②。 • B得到消息⑤可以确定A的身份，因为只有知道 PA的人才能解密消息②得到密钥K。 • 此协议不仅具有身份认证的功能，还具有密钥 分发及密钥确认功能。
（3）基于质询/响应的口令方案（二）
输入 终端 明文口令
认证系统
RNG
质询
质询
响应’ 响应 响应
6.2 基本的身份认证方案
（4）口令更新方案
输入 终端
用户口令 管理员口令 认证系统
h1 h2
h2
h1
E h1 ( h2 )
Dh1 ( E h1 ( h2 ))
6.2 基本的身份认证方案
优点：口令及口令摘要都没有在两个系统之间 传输，攻击者监听时只能看到随机数，可有效 的防止重放攻击。 缺点：若攻击者能成功攻击摘要数据库，可以 尝试猜测用户的弱口令（因为用户选用的口 令并不是均匀分布的）。
数字签名及认证
第六章 身份认证
基本内容 6.1 6.2 6.3 6.4 6.5 6.6 概述 基本的身份认证方案 单向认证协议 相互认证协议 认证协议标准 认证协议的典型攻击
6.1 概述