当前位置:文档之家 › 现代密码学第十讲身份鉴别协议(精)

现代密码学第十讲身份鉴别协议(精)

  • 格式:ppt
  • 大小:679.00 KB
  • 文档页数:65

下载文档原格式

  / 65

合集下载

(现代密码学原理与实践)第5章签名与认证

(现代密码学原理与实践)第5章签名与认证

证算法为
(5-10)
其中:
e1=h(m)s-1 mod q, e2=rs-1 mod q
(5-11)
第5章签名与认证
实际上,由k={h(m)+xr}s-1 mod q知:
DSS的公布引起了学术界和商业界的激烈反应: 赞成的人 认为它长度小、速度快、成本低,对金融业特别有用;反对 的人则认为它不与国际标准(以RSA为标准的ISO、CCITT、 SWIFT等)兼容。从技术上讲,s不能等于零,要加以排除,否 则危及安全性。
则理论上可以推知
成立的概率为
它表明,如果B想用其他d值来否认y是他的签名,其结果就
很难使等式成立(立刻会被发现)。因此,B能愚弄A的概率只
有 。只要q充分大,B就没有理由否认自己的签名。
第5章签名与认证
5.1.5群签名
1991年,Chaum和VanHeyst基于以下问题提出群签名 (GroupSignature)方案:
第5章签名与认证
第5章 签名与认证
1. 数字签名 2. 单向散列(Hash)函数 3. 身份识别 4. 消息认证码(MAC) 习题 5 实践练习 5
第5章签名与认证
信息技术带来现代社会变革的一个重大方面是电子商务, 它极大地促进了传统商务模式的改变和结构的更新。而电子商 务的发展, 对信息安全技术又提出了多方位的新要求, 主要表 现在形形色色的签名与认证需求方面。密码技术近年来的巨大 发展, 也正集中体现在这些方面。
杂性要求;α∈ 是 域中q次单位元根, 1≤α≤q-1 。设G表示阶为q的 的乘法子群,且定义:
K={(p,α,β,a):β=αa mod p} 其中, 私有密钥为a;公开密钥为p、α、β

第5章签名与认证

现代密码学之密码协议.

现代密码学之密码协议.

比特承诺
利用基于单向函数的比特承诺方案如下:



Alice和 Bob共同选定一个单向函数,如Hash函数 Alice生成两个随机数和承诺比特串,计算单向函 数值并将结果(哈希值)和其中一个随机数发送 给Bob。 当Alice向Bob出示消息时,她把承诺比特串与另 一个随机数一起发送给Bob。 Bob计算hash值,并与第②步收到的值做比较以检 验消息的有效性。
国家级精品课程
现代密码学
灾备技术国家工程实验室 北京邮电大学信息安全中心
上一讲内容回顾
有特殊性质的签名方案
盲签名 群签名与环签名 多重签名 聚合签名 代理签名 不可否认签名 一次签名 失败即停签名 „„
《现代密码学章主要内容
密码协议概念 比特承诺 公平抛币协议 安全多方计算 电子货币 电子选举 匿名协议
4
本章主要内容
密码协议概念 比特承诺 公平抛币协议 安全多方计算 电子货币 电子选举 匿名协议
5
密码协议概念
协议是一系列步骤,它包括两方或多方, 设计它的目的是要完成一项任务。一般包含 了三个方面的含义:
⑴ 协议需要二个或二个以上的主体参与。 ⑵ 参与者按照一定的次序交替地执行一系列的步 骤,在前一步尚未完成之前,后面的步骤不能被执 行。 ⑶ 参与者必须能够协同地完成某项任务,或达成某 种意向。
a 勒让德符号 p 1和
a q 1 ,若满足则计算
x 2 a(mod n) 的四个根:x1 , n x1 , x2 , n x2 ,其中 n x1 x 2 x ,x 2 。然后Alice随机猜测Bob选取的是 1 2 中的哪一个,并把猜测结果0或1发送给Bob(事先规 定大的用1表示,小的用0表示).

现代密码学精讲

现代密码学精讲

2.1.4 现代密码学主要技术(续)
签名和认证函数必须满足的性质 1) 当且仅当Vk’ (m, s)=True时,s是消息m的合法签 名。 2) 对于任何签名者以外的实体在计算上不可能得 到任意的一组mf和sf满足Vk’ (mf , sf)=True。 数字签名的争议解决(不可否认) 如果签名者和验证者对签名发生争议,可由验证 者带着签名 (m, s) 提交给可信任第三方 (TTP) ,由 TTP验证该签名,最后进行仲裁。
2.1.4 现代密码学主要技术(续)
证书链和证书路径
图2.5 证书链
2.1.4 现代密码学主要技术(续)
(3) 认证与鉴别技术 鉴别或实体认证 定义 9 鉴别或实体认证是一个过程。在这个过程 中一方通过获得一些确定的证据来确认参加实体 认证的另一方的身份,而具有相应身份的实体也 确实就是正在参与这一认证过程的另一方。 例子1 实体A与B通电话,如果A与B认识就可以通 过声音来确定对方的真实性。 例子2 实体A通过信用卡在银行ATM机上取钱。 # 特点:时实性。
2.1.4 现代密码学主要技术(续)
公钥加密 定义 7 一个由加密函数集{Ee: eK}和解密函数集 {Dd: dK} 组成加密方案,每一个相关联的加 / 解 密密钥对(e, d),加密密钥e公开,称为公开密钥, 而解密密钥d保密,称为秘密密钥。 # 显然安全公钥密码系统要求从 e 计算 d 为不可能。
2.1.4 现代密码学主要技术(续)
加密方案 加密方案是由一个加密函数集 {Ee: eK} 和解密函 数集{Dd: dK}构成,并且满足任意一个加密密钥 eK存在唯一一个解密密钥dK使 Dd=Ee1,也就是 对于所有明文消息mM ,存在Dd(Ee(m)) = m,(e, d)称为密钥对。设计加密方案就是确定M、 C、 K、 {Ee: eK}、{Dd:dK}的过程。

现代密码学第十讲身份鉴别协议(精)

现代密码学第十讲身份鉴别协议(精)
声称者解密用它的公钥加密的挑战 声称者数字签署一个挑战
31
挑战-应答身份鉴别协议
基于公钥加密的挑战-响应
单向认证:
r为随机数
双向认证:
r1, r2为随机数
32
挑战-应答身份鉴别协议
基于数字签名的挑战-响应
带时戳的单向认证:
certA,certB为公钥证书; SA,SB为私钥;
20
口令认证协议
5)一次口令(向强口令的过渡) 防止窃听和随后的口令重放(无时变参数) 解决办法:每个口令只用一次 变体:
一次口令的共享列表 顺序更新一次口令 基于单向函数的一次口令序列:
21
口令认证协议
一次口令的共享列表 用户和系统都同意一个口令列表。列表中的每一个口令只能使用一次。 首先,系统和用户都要保存一个长的口令列表。其次,如果用户不按次序使用口
6
身份鉴别的定义
身份鉴别的定义: 1、在诚实的情况下,声称者A能向验证者B
证明他确实是A; 2、在声称者A向验证者B声称他的身份后,
验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
7
身份鉴别的定义
用于实现身份识别的协议。
带随机数的单向认证:
带随机数的双向认证:
33
挑战-应答身份鉴别协议
3)基于零知识证明的挑战-应答
零知识(Zero-knowledge)(ZK)证明的起源
Alice:我知道肯德基的土豆泥的配方以及做法。 Bob:不,你不知道。 Alice:我知道。 Bob:你不知道。 Alice:我确实知道! Bob:请你证实这一点! Alice:好吧,我告诉你!(她悄悄地说出了土豆泥的秘方) Bob:太有趣了!现在我也知道了。我要告诉《华盛顿邮报》 Alice:啊呀!

身份鉴别协议培训文件

身份鉴别协议培训文件

口令认证协议
在第四种方法中,两种身份验证的技术是结 合在一起的。该类验证的一个很好的例子就 是带有(个人身份号码)的自动取款机卡。这 种卡属于"拥有某事"这一类,属于"知道某 事"这一类。就是一个可以提高卡的安全性 的口令。如果卡丢失了,不知道的话,也不 能使用。然而,的数字通常是非常短的,这 样持卡人才便于记忆。这就使得它容易受到 猜测攻击。
验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
身份鉴别的定义
用于实现身份识别的协议。
协议:是一系列步骤,它包括两方和多方, 设计它的目的是要完成一项任务。
协议是从开始到结束的一个序列,每步必须 依次执行
身份鉴别的定义
身份鉴别技术分类
① ( ):系统检查口令是否与系统拥有的相应用 户数据相匹配,批准声明的身份访问资源
② 用户是声称的身份 ③ 口令是支持声称的证据:固定口令、和通行密钥 ④ ( ):通过向验证者展示与证明者实体有关的
秘密知识来证明自己的身份,但在协议中并没有 向验证者泄露秘密本身。
口令认证协议
口令认证协议
一次口令的共享列表 用户和系统都同意一个口令列表。列表中的每一个口令只能使用一次。 首先,系统和用户都要保存一个长的口令列表。其次,如果用户不按次序使用
口令认证协议
3)口令加盐( ) 第一环节:口令字段字符串的生成:s = (, )
① 给口令撒盐: = (,); ② 用撒盐结果做密钥:K = ; ③ 用一个64位的全0位串构造一个数据块; ④ 设循环次数:i = 0; ⑤ 对数据块加密: = (K, ); ⑥ = ,i = i + 1; ⑦ 如果i < 25,则回到第⑤步; ⑧ 把数据块变换成字符串:s = (); ⑨ 返回s。

密码学10 身份认证

密码学10 身份认证

例2:钱琪要向王雪梅证明自己拥有某个房间 的钥匙,假设该房间只能用该钥匙打开,而其 他任何方法都打不开。钱琪有两种证明方式:
①钱琪把钥匙交给王雪梅,王雪梅用这把钥匙 打开该房间,从而证明钱琪拥有该房间的钥匙。 ──基于知识的证明
②王雪梅确定该房间内有某一物体,钱琪用自 己拥有的钥匙打开该房间的门,然后把物体拿 出来出示给王雪梅,从而证明自己确实拥有该 房间的钥匙,但王雪梅始终不能看到钥匙的样 子,从而避免了钥匙的泄露。──零知识证明
采用DES等对称密码
最常用的是第4、5版(V4、V5)
2004年9月3日MIT已承认Kerberos认证系统存 在潜在的拒绝服务缺陷。目前已经发布了矫正 缺陷的补丁程序;而随后发布的Kerberos51.35已包括修复程序
1. 设计动机
──对开放式系统认证机制的要求
1) 安全性:足够安全,不致成为攻击 的薄弱环节
3) 原理──A通过B回复的N或f(N)与 自己发出是否一致来判定本次消 息是不是重放的
4) 时钟要求──无
5) 适用性──用于连接性的对话
补.2 身份认证协议
补.2.1 双向认证协议
1. 基于对称密码和可信第三方的双向认证协议 N-S协议(由Roger Needham和Mห้องสมุดไป่ตู้chael Schroeder 发明):
②王雪梅给出一个随机值,钱琪用自己的私钥 对其加密,然后把加密后的数据交给王雪梅, 王雪梅用钱琪的公钥解密,如果能够得到原来 的随机值,则证明对方是钱琪,但王雪梅并未 得到钱琪的私钥。 ──零知识证明
补.1.3 协议基础
1. 身份认证协议的类型 双向认证协议 单向认证协议
基于对称密码的认证协议 基于公钥密码的认证协议 双方直接认证协议 基于第三方的认证协议

银行密码和身份鉴别技术

银行密码和身份鉴别技术

银行密码和身份鉴别技术银行业是国民经济的重要领域,银行信息安全是国家安全的重要组成部分,保障银行业信息安全的方式有很多,密码和身份鉴别技术无疑是非常重要的一种。

本章对密码技术的基本概念、身份验证的技术及在银行中的应用进行了介绍。

18.1密码技术概述密码技术理论性较强,在全面介绍密码技术的使用前,先对密码技术的基础知识做一个简单的介绍。

密码的发展由来已久,大体分为以下4个阶段:第一个阶段是从古代到19世纪末——古典密码(Classical Cryptography)。

第二个阶段从20世纪初到1949年——近代密码。

第三个阶段从1949年 C.E.Shannon(香农)发表的划时代论文“The Communica-tion Theoryof SecretSystems”开始——现代密码。

第四个阶段从1976年W.Diffie和M.Hellman发表的论文“New Directions in Cryp-tography”开始——公钥密码。

1.古典密码古典密码是非常古老的密码体系,其大部分加密算法都是使用代替密码或置换密码,有时则是两者的混合。

古典密码的使用历史悠久,但现代已经很少使用,在银行业几乎不再使用。

古典密码体制的安全性在于保持算法本身的保密性,受到算法限制,不适合大规模生产,不适合较大的或者人员变动较大的组织。

著名的古典密码有恺撒密码和斯巴达人天书密码,分别如图18-1、图18-2所示。

2.近代密码近代密码从算法来说与古典密码并没有本质差别,其标志为机械密码/机电密码的产生,用机电代替手工,这可以让其算法变得非常繁复,增加破译的难度,但又不影响加密、解密的速度,在战争中被大量使用。

图18-2 斯巴达人天书密码图18-3是著名的转轮密码机ENIGMA,由Arthur Scherbius于1919年发明。

在二次世界大战期间,ENIGMA曾是德国陆、海、空三军的最高级密码机。

图18-3 转轮密码机ENIGMA近代密码主要用于以前的军事通讯,目前在银行业中也几乎不使用。

身份识别协议

身份识别协议

7.5.4 数字证书
证书存放方式 1)使用IC卡存放 即把用户的数字证书写到IC卡中,供用户随身 携带。这样用户在所有能够读IC卡证书的电子商 务终端上都可以享受电子商务服务。 2)直接存放在磁盘或自己的终端上 用户将从证书授权中心申请来的证书下载或复 制到磁盘或自己的PC机或智能终端上,当用户使 用自己的终端享受电子商务服务时,直接从终端 读入即可。
7.5.1身份识别
数字签名的一个最主要的应用领域就 是身份识别。
Bob? or Eve? Alice? or Eve?
?
Alice Eve
?
Bob
7.5.1身份识别
• 身份识别:又称为身份鉴别、实体认证、身份认 证等。 • 身份识别是在计算机网络中确认操作者身份的过 程。在这个过程中,其中一方确信参与协议的第 二方的身份,并确信第二方真正参与了该过程。 • 用户的身份识别是许多应用系统的第一道防线, 其目的在于识别用户的合法性,从而阻止非法用 户访问系统。身份识别(认证)对确保系统和数 据的安全保密是极其重要的。
7.5.1身份识别
• ID卡全称身份识别卡,信息储存在内置芯片,是一种不可 写入的感应卡,含固定的卡号,一般用于门禁。 • IC卡全称集成电路卡,信息储存在内置芯片里,可读写, 容量大,有加密功能,数据记录安全可靠,使用更方便, 如公交一卡通。 • 区别:1)ID卡无法写,只能读取ID号;而IC卡是能读能 写的,能加密,相对于ID卡使用安全很多。IC卡的安全性 远大于ID卡。2)ID卡内的卡号读取无任何权限,易于仿制。 IC卡内所记录数据的读取,写入均需相应的密码认证,甚至 卡片内每个区均有不同的密码保护,全面保护数据安全,IC 卡写数据的密码与读出数据的密码可设为不同,提供了良 好分级管理方式,确保系统安全。

鉴别协议北京大学计算机系信息安全研究室

鉴别协议北京大学计算机系信息安全研究室
鉴别协议北京大学计算机系信息安全 研究室
CHAP (challenge-Handshake Authentication Protocol)
• 询问握手鉴别协议(CHAP):RFC1994 – 拨号用户鉴别协议,采用提问/应答方式进 行鉴别,通过在PPP链接的双方进行一次三 次握手,完成对对方身份的鉴别
• S/key protocol主要用于防止重放攻击
鉴别协议北京大学计算机系信息安全 研究室
S/KEY协议组成
• 三个组成部分
客户端程序:为端用户提供登录程序,并在 得到服务器质询值时,获取用户私钥,并调 用口令计算器形成本次鉴别口令,然后发送 给服务器程序
口令计算器:负责产生本次口令 服务器程序:验证用户口令 • 整个过程中,用户的私钥不会暴露在网络上
鉴别协议北京大学计算机系信息安全 研究室
讨论议题
• 鉴别机制 • 口令机制 • 一次性口令机制 • 基于密码算法的鉴别 • 零知识证明协议 • 基于地址的机制 • 基于个人特征的机制 • 基于设备的鉴别
鉴别协议北京大学计算机系信息安全 研究室
强鉴别
• 强鉴别(strong authentication):通过密码学 的询问-应答(challenge-response)协议实现的身 份鉴别,询问-应答协议的思想是一个实体向 另一个实体证明他知道有关的秘密知识,但不 向验证者提供秘密本身。这通过对一个时变的 询问提供应答来实现,应答通常依赖于实体的 秘密和询问。询问通常是一个实体选择的一个 数(随机和秘密地)。
– 真伪的证明,结果只有两个
• 识别(identification)
– 区分不同的东西
鉴别协议北京大学计算机系信息安全 研究室
讨论议题

现代密码学 7.4身份识别技术

现代密码学 7.4身份识别技术
1 2 1 2
Guillou-Quisquater身份识别方案 Guillou-Quisquater身份识别方案
协议建立过程如下: 协议建立过程如下: TA选取两个大素数 和q,形成 选取两个大素数p和 ,形成n=pq。保密 和 选取两个大素数 。保密p和 q,公开 。TA选择一个大素数 (用作一个安全参 选择一个大素数b( ,公开n。 选择一个大素数 和一个公开的RSA加密指数。TA选择一个签名 加密指数。 选择一个签名 数)和一个公开的 加密指数 方案和一个Hash函数。 函数。 方案和一个 函数
交互证明与数学证明的区别
数学证明的证明者可自己独立的完成证明 交互证明由P产生证明, 交互证明由P产生证明,V验证证明的有效性来实 现,双方之间要有通信 交互系统应满足 完备性:如果P知道某一秘密, 将接收P 完备性:如果P知道某一秘密,V将接收P的证明 正确性:如果P能以一定的概率使V相信P的证明, 正确性:如果P能以一定的概率使V相信P的证明, 则P知道相应的秘密
Schnorr身份识别方案 Schnorr身份识别方案
针对一般的交互式用户身份证明协议, 针对一般的交互式用户身份证明协议,都必须 满足以下三种性质: 满足以下三种性质: (1)完全性 (2)健全性或合理性 (3)隐藏性
Okamoto身份识别方案 Okamoto身份识别方案
TA将为协议选择下列一些参数: TA将为协议选择下列一些参数: 将为协议选择下列一些参数 是两个大素数, 阶元, p及q是两个大素数,α1 ,α 2∈ZP为q阶元,对系统的 ∈Z 所有参加者包括A TA保密 保密c=log 所有参加者包括A,TA保密c=logα α2。假定任何人计 算c都是不可能的。TA选择一个签名方案和一个 都是不可能的。 选择一个签名方案和一个 都是不可能的 Hash函数。 函数。 函数

零知识证明与身份识别技术 changwei

零知识证明与身份识别技术 changwei

简化的Feige-Fiat-Shamir身份 鉴别方案


可信赖仲裁方选定一个随机模数n = p1 × p2, p1、p2为两个大素数。实际中n至少为512比特, 尽量长达1024比特。仲裁方可实施公钥和私钥 的分配。他产生随机数v(v为对模n的二次剩 余)。 换言之,选择v使得x2 = v mod n有一个解并且 v–1 mod n 存在。以v作为被验证方的公钥,而 后计算最小的整数s:s ≡ sqrt (v –1) mod n,将 它作为被验方P的私人密钥而分发给他。
零知识证明的概念
设P(Prover)表示掌握某些信息,并希望证实这一 事实的实体,设V(Verifier)是验证这一事实的实 体。


某个协议向V证明P的确掌握某些信息,但V无法推断出 这些信息是什么,我们称P实现了最小泄露证明 (Minimum Disclosure proof) 。 如果V除了知道P能够证明某一事实外,不能够得到其他 任何知识,我们称P实现了零知识证明(Zero Knowledge proof) ,相应的协议称作零知识协议。
Feige-Fiat-Shamir身份鉴别方案
协议如下: (1) P选随机数r(r < m),计算x = r2 mod n并发送 给验证方V; (2) V选k比特随机二进制串b1, b2, …, bk传送给P; (3) P计算y = r × (s1b1 × s2b2 × … × skbk ) mod n, 并送给V; (4) V验证x = y2 × (v1b1 × v2b2 × … × vkbk ) mod n。 此协议可执行t次,直到V相信P知道s1, s2, …, sk, P欺骗V的机会为2 –k t。
简化的Feige-Fiat-Shamir身份 鉴别方案

现代密码学第10讲:密码协议

现代密码学第10讲:密码协议

公平掷币协议
4) Bob收到后0或1后将第2)步中选择的 x 发送给 Alice. * x 是否属于 Z n ,是否属于 { x , x } ,现 5) Alice检验 在Alice根据第3)步和接收到x的可以知道她的猜 测是否正确,然后将p,q值传送给Bob. 6) Bob检验p,q是否是两个不同的素数,且验证 n=p*q是否成立。然后根据 x 2 a (mod p ) 和 2 x a (mod q ) 计算出 x , x ,现在Bob也知道他和 Alice的博弈最终是谁赢了.

比特承诺
实例 Alice把消息(承诺)放在一个箱子里并将它 (只有Alice有钥匙) 锁住送给Bob 等到Alice决定向Bob证实消息时,Alice把消 息及钥匙给Bob Bob能够打开箱子并验证箱子里的消息同 Alice出示的消息相同,且Bob确信箱子里的 消息在他保管期间没有被篡改。

p 11
q
19
二次剩余,同时也是模q的二次剩余,所以Alice 验证得出a是模n的二次剩余;求出 x 2 1 2 5 m o d 2 0 9 的四个根是x1 31, n x1 178, x 2 64, n x 2 145. 假 设Alice猜测Bob选取的是 x 2 ,则把1发送给Bob.

a 1,若满足则计算 q
,其中 n x x 。然后Alice随机猜测Bob选取的是 x 1 , x 2 中 2 的哪一个,并把猜测结果0或1发送给Bob(事先规定 大的用1表示,小的用0表示).
x
1 2
2
x a (mod n ) 的四个根:1 , n x 1 , x 2 , n x 2
零知识证明
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13
口令认证协议

第二环节:口令字段信息维护: ① 接收用户提供的口令Dpw; ② 生成一个盐值:Dsalt = Arandom( ); ③ 生成口令信息:s = Agen(Dsalt, Dpw); ④ 把口令信息s和Dsalt存入数据库的口令 字段中。
14
口令认证协议

第三环节:身份认证过程: ① 接收用户提供的帐户名Dname和口令 Dpw; ② 在帐户信息数据库中检查Dname的合法 性,如果合法,则找出其对应的s和Dsalt; ③ 生成临时口令信息:sr = Agen(Dsalt, Dpw); ④ 如果sr与s相等,则认证成功,否则,认 证失败。
《现代密码学》第十章
身份鉴别协议
1
上章内容回顾



密钥管理简介 密钥分配 密钥协商 PKI及数字证书简介 秘密共享
2
本章主要内容


身份鉴别的定义 口令认证协议 挑战应答协议 对身份识别协议的攻击和对策
3
身份鉴别的定义

身份鉴别:又称为身份识别、实体认证。
它是这样一个过程,即其中一方确信参与协 议的第二方的身份,并确信第二方真正参与 了该过程。 用户的身份识别是许多应用系统的第一道防 线,其目的在于识别用户的合法性,从而阻 止非法用户访问系统。身份识别(认证)对 确保系统和数据的安全保密是极其重要的。
固定口令 A
PassWord


窃听?
B
IDA,PW
PW
检查口令 和身份
1)存储的口令文件
以明文形式将用户口令存储在系统口令文件中 存储安全? 口令文件需读保护和写保护 存储口令的单向函数值 口令文件需写保护
11

2)“加密的”口令文件

口令认证协议

服务器端的字典攻击:在这种攻击中,Eve 只对找到口令有兴趣,并不关心用户的ID。 例如,如果口令是六位数, Eve可以创建一 个六位数(000000~999999)的列表,然后对 每一个数使用散列函数,结果就是一个一百 万个散列的列表。她就可以得到口令档案并 搜索条目中的第二列,找出一个与之相匹配 的。这可以被编程并且在Eve的个人计算机 上脱机运行。找到匹配以后,伊夫就可以再 上线,用口令来访问系统。
(3)通信的有效性;
(4)是否需要第三方的实时参与; (5)对第三方的可信度的要求; (6)安全保证(可证明安全、零知识证明); (7)用来存储共享秘密数据的地方和方法。
9
身份鉴别的定义
身份鉴别技术分类

Passwords(weak authentication):系统检查 口令是否与系统拥有的相应用户数据相匹配,批 准声明的身份访问资源

用于实现身份识别的协议。 协议:是一系列步骤,它包括两方和多方, 设计它的目的是要完成一项任务。



协议是从开始到结束的一个序列,每步必须依 次执行 完成协议至少需要两个人 协议的目的是为了做一些事情
8
身份鉴别的定义
分析和评价身份认证协议应考虑如下几个方面: (1)交互性:是单方还是双方的身份认证; (2)计算的有效性;

用户ID是声称的身份 口令是支持声称的证据:固定口令、PIN和通行密钥

Challenge-response identification(strong authentication):通过向验证者展示与证明者 实体有关的秘密知识来证明自己的身份,但在协 议中并没有向验证者泄露秘密本身。
10
口令认证协议
15
口令认证协议

盐处理使字典攻击更为困难。如果原口令是 六位数,盐是四位数,那么散列处理的结果 就超过十位数。这就意味着伊夫现在要制作 一个有10,000,000个条目的列表,并为 每一个条目创建一个散列。这个散列列表也 有10,000,000个条目,比较这些条目要 花费很长时间。如果盐是一个很长的随机数 字,盐处理是非常有效的。UNIX操作系统 运用的就是这种方法的变种。
防止用户 使用弱口令造成危害
17
口令认证协议

在第四种方法中,两种身份验证的技术是结 合在一起的。该类验证的一个很好的例子就 是带有PIN(个人身份号码)的自动取款机卡。 这种卡属于"拥有某事"这一类,PIN属于"知 道某事"这一类。PIN就是一个可以提高卡的 安全性的口令。如果卡丢失了,不知道PIN 的话,也不能使用。然而,PIN的数字通常 是非常短的,这样持卡人才便于记忆。这就 使得它容易受到猜测攻击。
4

身份鉴别的定义
Bob? or Eve?
Alice? or Eve?
?
Alice Eve
?
Bob
5
身份鉴别的定义

பைடு நூலகம்


已知事物:口令、个人识别码(PIN)、挑战 -响应协议中已被证实的秘密或私钥。 已拥有的事物:通常是物理配件。如,磁卡、 智能卡(或IC卡)、口令生成器 固有事物(对某个人):利用人类物理特征和 无意行为。如,手写签名、指纹、声音、视 网膜模式、手的几何形状等。(非密码学的)
6
身份鉴别的定义
身份鉴别的定义: 1、在诚实的情况下,声称者A能向验证者B 证明他确实是A; 2、在声称者A向验证者B声称他的身份后, 验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
7
身份鉴别的定义
16
口令认证协议
4)PIN (Personal Identification Numbers):


属于固定(时不变)口令类,作为身份验证的证 据,通常和磁卡(或芯片卡、门卡)等一起使用。 通常很短,如4-8位数字 限制PIN的输入尝试次数 也可与通行码生成器一起使用:映射为通行密 钥(如56 bits的DES密钥),以保证用户和知 道用户口令的系统间的安全通信
12
口令认证协议
3)口令加盐(Salting Passwords) 第一环节:口令字段字符串的生成:s = Agen(Dsalt, Dpw) ① 给口令Dpw撒盐:Dpw = Asalt (Dsalt,Dpw); ② 用撒盐结果做密钥:K = Dpw; ③ 用一个64位的全0位串构造一个数据块Dp; ④ 设循环次数:i = 0; ⑤ 对数据块加密:Dc = Acrypt(K, Dp); ⑥ Dp = Dc,i = i + 1; ⑦ 如果i < 25,则回到第⑤步; ⑧ 把数据块变换成字符串:s = Atrans(Dc); ⑨ 返回s。