網(wǎng)絡(luò)安全 -身份鑒別

1、 建行網(wǎng)銀工作原理建行網(wǎng)銀工作原理 USB Key(硬件數(shù)字證書載體硬件數(shù)字證書載體) 這是大多數(shù)國(guó)內(nèi)銀行采用的客戶端解決方案這是大多數(shù)國(guó)內(nèi)銀行采用的客戶端解決方案，使用，使用USB Key存放代表用戶唯一身份數(shù)字證書存放代表用戶唯一身份數(shù)字證書和用戶私鑰。在這個(gè)基于和用戶私鑰。在這個(gè)基于PKI體系的整體解決方體系的整體解決方案中，用戶的私鑰是在高安全度的案中，用戶的私鑰是在高安全度的USB Key內(nèi)產(chǎn)內(nèi)產(chǎn)生，并且終身不可導(dǎo)出到生，并且終身不可導(dǎo)出到USB Key外部。在網(wǎng)上外部。在網(wǎng)上銀行應(yīng)用中，對(duì)交易數(shù)據(jù)的數(shù)字簽名都是在銀行應(yīng)用中，對(duì)交易數(shù)據(jù)的數(shù)字簽名都是在USB Key內(nèi)部完成的，并受到

2、內(nèi)部完成的，并受到USB Key的的PIN碼保護(hù)碼保護(hù)。 證書及私鑰的保管證書及私鑰的保管 你的私鑰是有口令保護(hù)的，在導(dǎo)出證書及你的私鑰是有口令保護(hù)的，在導(dǎo)出證書及私鑰時(shí)，應(yīng)提供該口令，因此，你應(yīng)牢記這個(gè)私鑰時(shí)，應(yīng)提供該口令，因此，你應(yīng)牢記這個(gè)口令，并定期更換口令。這個(gè)口令不應(yīng)告訴別口令，并定期更換口令。這個(gè)口令不應(yīng)告訴別人，否則他可以得到你的證書及私鑰，完全冒人，否則他可以得到你的證書及私鑰，完全冒充你的身份，在網(wǎng)上銀行交易。充你的身份，在網(wǎng)上銀行交易。中行網(wǎng)銀工作原理中行網(wǎng)銀工作原理 動(dòng)態(tài)口令牌（動(dòng)態(tài)口令牌（E-Token）是一種內(nèi)置電源、密碼生成芯片）是一種內(nèi)置電源、密碼生成芯片和顯示屏

3、、根據(jù)專門的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口和顯示屏、根據(jù)專門的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口令的專用硬件。令的專用硬件。 動(dòng)態(tài)口令牌的使用十分簡(jiǎn)單，無(wú)需安裝驅(qū)動(dòng)，用戶只要根動(dòng)態(tài)口令牌的使用十分簡(jiǎn)單，無(wú)需安裝驅(qū)動(dòng)，用戶只要根據(jù)網(wǎng)上銀行系統(tǒng)的提示，輸入動(dòng)態(tài)口令牌當(dāng)前顯示的動(dòng)態(tài)據(jù)網(wǎng)上銀行系統(tǒng)的提示，輸入動(dòng)態(tài)口令牌當(dāng)前顯示的動(dòng)態(tài)口令即可。口令即可。 中國(guó)銀行在柜臺(tái)發(fā)售這種裝置時(shí)，與網(wǎng)銀用戶綁定建立一對(duì)一對(duì)應(yīng)關(guān)系，使用唯一的128位種子將其初始化；其內(nèi)部芯片每分鐘都會(huì)使用一種算法，組合該種子與當(dāng)前時(shí)間，生成一個(gè)隨機(jī)的數(shù)字，稱為動(dòng)態(tài)口令或一次性密碼，每60秒隨機(jī)更新一次。 下次認(rèn)證時(shí)則更換使用另一個(gè)口令，

4、使得不法分子難以仿冒合法用戶的身份，用戶也不需要去記憶密碼。 而在我行網(wǎng)銀認(rèn)證服務(wù)器則采取和這個(gè)動(dòng)態(tài)密碼而在我行網(wǎng)銀認(rèn)證服務(wù)器則采取和這個(gè)動(dòng)態(tài)密碼器同一種算法產(chǎn)生該隨機(jī)數(shù)字，保證動(dòng)態(tài)密碼器器同一種算法產(chǎn)生該隨機(jī)數(shù)字，保證動(dòng)態(tài)密碼器和我行網(wǎng)銀服務(wù)器的單一認(rèn)證，就像每個(gè)客戶都和我行網(wǎng)銀服務(wù)器的單一認(rèn)證，就像每個(gè)客戶都有了世界上獨(dú)一無(wú)二的身份認(rèn)證，保證客戶使用有了世界上獨(dú)一無(wú)二的身份認(rèn)證，保證客戶使用網(wǎng)銀的安全性。網(wǎng)銀的安全性。 對(duì)于失去時(shí)間同步的令牌，目前可以通過(guò)增對(duì)于失去時(shí)間同步的令牌，目前可以通過(guò)增大偏移量的技術(shù)（前后大偏移量的技術(shù)（前后10分鐘）來(lái)進(jìn)行遠(yuǎn)程同步分鐘）來(lái)進(jìn)行遠(yuǎn)程同步，確保其能夠

5、繼續(xù)使用，降低對(duì)應(yīng)用的影響，但，確保其能夠繼續(xù)使用，降低對(duì)應(yīng)用的影響，但對(duì)于超出默認(rèn)（共對(duì)于超出默認(rèn)（共20分鐘）的時(shí)間同步令牌，將分鐘）的時(shí)間同步令牌，將無(wú)法繼續(xù)使用或進(jìn)行遠(yuǎn)程同步，必須返廠或送回?zé)o法繼續(xù)使用或進(jìn)行遠(yuǎn)程同步，必須返廠或送回服務(wù)器端另行處理。服務(wù)器端另行處理。討論議題討論議題 鑒別的基本概念鑒別的基本概念 鑒別機(jī)制鑒別機(jī)制 鑒別與交換協(xié)議鑒別與交換協(xié)議 典型鑒別實(shí)例典型鑒別實(shí)例鑒別的需求和目的鑒別的需求和目的 問(wèn)題的提出問(wèn)題的提出 身份欺詐身份欺詐 鑒別需求：鑒別需求： 某一成員（某一成員（聲稱者聲稱者）提交一）提交一 個(gè)主體的身份并個(gè)主體的身份并聲稱它是那個(gè)主體。聲稱它是那個(gè)

6、主體。 鑒別目的：鑒別目的： 使別的成員（使別的成員（驗(yàn)證者驗(yàn)證者）獲得對(duì)聲稱者所聲稱）獲得對(duì)聲稱者所聲稱的事實(shí)的信任。的事實(shí)的信任。身份鑒別身份鑒別 定義：證實(shí)客戶的真實(shí)身份與其所聲稱定義：證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過(guò)程。的身份是否相符的過(guò)程。 依據(jù)：依據(jù)： Something the user know (所知）所知） 密碼、口令等密碼、口令等 Something the user possesses （擁有）（擁有） 身份證、護(hù)照、密鑰盤等身份證、護(hù)照、密鑰盤等 Something the user is (or How he behaves) 指紋、筆跡、聲音、虹膜、

7、指紋、筆跡、聲音、虹膜、DNA等等 協(xié)議協(xié)議 PAP CHAP Kerberos X.509鑒別的兩種情形鑒別的兩種情形 鑒別用于一個(gè)特定的通信過(guò)程，即在此過(guò)程中鑒別用于一個(gè)特定的通信過(guò)程，即在此過(guò)程中需要提交實(shí)體的身份。需要提交實(shí)體的身份。 實(shí)體鑒別（身份鑒別）：實(shí)體鑒別（身份鑒別）：某一實(shí)體確信與之打交道的某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體。只是簡(jiǎn)單地鑒別實(shí)體本身的實(shí)體正是所需要的實(shí)體。只是簡(jiǎn)單地鑒別實(shí)體本身的身份，不會(huì)和實(shí)體想要進(jìn)行何種活動(dòng)相聯(lián)系。身份，不會(huì)和實(shí)體想要進(jìn)行何種活動(dòng)相聯(lián)系。 防止假冒防止假冒 數(shù)據(jù)源鑒別數(shù)據(jù)源鑒別：為了確定被鑒別的實(shí)體與一些特定數(shù)據(jù)：為了確定被鑒別

8、的實(shí)體與一些特定數(shù)據(jù)項(xiàng)有著靜態(tài)的不可分割的聯(lián)系。項(xiàng)有著靜態(tài)的不可分割的聯(lián)系。 對(duì)數(shù)據(jù)單元被篡改和重復(fù)不提供保護(hù)。對(duì)數(shù)據(jù)單元被篡改和重復(fù)不提供保護(hù)。 與與完整性完整性有關(guān)的數(shù)據(jù)原發(fā)鑒別必須確保自從數(shù)據(jù)項(xiàng)離有關(guān)的數(shù)據(jù)原發(fā)鑒別必須確保自從數(shù)據(jù)項(xiàng)離開它的信源沒(méi)有被修改。開它的信源沒(méi)有被修改。數(shù)據(jù)源鑒別方法數(shù)據(jù)源鑒別方法： 1 1）加密：給數(shù)據(jù)項(xiàng)附加一個(gè)鑒別項(xiàng)，然后加密該結(jié)果）加密：給數(shù)據(jù)項(xiàng)附加一個(gè)鑒別項(xiàng)，然后加密該結(jié)果 2 2）封裝或數(shù)字簽名）封裝或數(shù)字簽名 3 3）實(shí)體鑒別擴(kuò)展：通過(guò)完整性機(jī)制將數(shù)據(jù)項(xiàng)和鑒別交換聯(lián)系）實(shí)體鑒別擴(kuò)展：通過(guò)完整性機(jī)制將數(shù)據(jù)項(xiàng)和鑒別交換聯(lián)系起來(lái)起來(lái)實(shí)體鑒別與消息鑒別的差別實(shí)

9、體鑒別與消息鑒別的差別 實(shí)體鑒別實(shí)體鑒別一般都是實(shí)時(shí)的，一般都是實(shí)時(shí)的，消息鑒別消息鑒別一般不提一般不提供時(shí)間性。供時(shí)間性。 實(shí)體鑒別實(shí)體鑒別只證實(shí)實(shí)體的身份，只證實(shí)實(shí)體的身份，消息鑒別消息鑒別除了消除了消息的合法和完整外，還需要知道消息的含義。息的合法和完整外，還需要知道消息的含義。 數(shù)字簽名是實(shí)現(xiàn)身份識(shí)別的有效途徑。數(shù)字簽名是實(shí)現(xiàn)身份識(shí)別的有效途徑。實(shí)體鑒別分類（實(shí)體鑒別分類（1） 實(shí)體鑒別可以分為實(shí)體鑒別可以分為本地本地和和遠(yuǎn)程遠(yuǎn)程兩類。兩類。 實(shí)體在本地環(huán)境的初始化鑒別（就是說(shuō)，作為實(shí)體實(shí)體在本地環(huán)境的初始化鑒別（就是說(shuō)，作為實(shí)體個(gè)人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通個(gè)人，和設(shè)備

10、物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信）。信）。 連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。 本地鑒別：需要用戶的進(jìn)行明確的操作本地鑒別：需要用戶的進(jìn)行明確的操作 遠(yuǎn)程鑒別：通常將本地鑒別結(jié)果傳送到遠(yuǎn)程。遠(yuǎn)程鑒別：通常將本地鑒別結(jié)果傳送到遠(yuǎn)程。 實(shí)體鑒別分類（實(shí)體鑒別分類（2） 實(shí)體鑒別可以是實(shí)體鑒別可以是單向的單向的也可以是也可以是雙向的雙向的。 單向鑒別單向鑒別是指通信雙方中只有一方向另一方進(jìn)行鑒是指通信雙方中只有一方向另一方進(jìn)行鑒別。別。 雙向鑒別雙向鑒別是指通信雙方相互進(jìn)行鑒別。是指通信雙方相互進(jìn)行鑒別。雙向鑒別協(xié)議雙向鑒別協(xié)議 最常用的協(xié)議。該協(xié)議使得通信各

11、方互相認(rèn)證鑒別最常用的協(xié)議。該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會(huì)話密鑰。各自的身份，然后交換會(huì)話密鑰。 基于鑒別的密鑰交換核心問(wèn)題有兩個(gè)：基于鑒別的密鑰交換核心問(wèn)題有兩個(gè)： 保密性保密性 實(shí)效性實(shí)效性 （1） 為了防止偽裝和防止暴露會(huì)話密鑰，基本鑒別和會(huì)話為了防止偽裝和防止暴露會(huì)話密鑰，基本鑒別和會(huì)話密碼信息必須以保密形式通信，這就要求預(yù)先存在保密密碼信息必須以保密形式通信，這就要求預(yù)先存在保密或公開密鑰供實(shí)現(xiàn)加密使用?；蚬_密鑰供實(shí)現(xiàn)加密使用。（2）第二個(gè)問(wèn)題也很重要，因?yàn)樯婕胺乐瓜⒅胤殴?。）第二個(gè)問(wèn)題也很重要，因?yàn)樯婕胺乐瓜⒅胤殴?。?shí)體鑒別系統(tǒng)的組成實(shí)體鑒別系統(tǒng)的組

12、成 一方是出示證件的人，稱作示證者一方是出示證件的人，稱作示證者P(Prover)，又稱聲稱者又稱聲稱者(Claimant)。 另一方為驗(yàn)證者另一方為驗(yàn)證者V（Verifier),檢驗(yàn)聲稱者提出檢驗(yàn)聲稱者提出的證件的正確性和合法性，決定是否滿足要求。的證件的正確性和合法性，決定是否滿足要求。 第三方是可信賴者第三方是可信賴者TP （Trusted third party) ，參與調(diào)解糾紛。參與調(diào)解糾紛。 第四方是攻擊者，可以竊聽或偽裝聲稱者騙取第四方是攻擊者，可以竊聽或偽裝聲稱者騙取驗(yàn)證者的信任。驗(yàn)證者的信任。鑒別模型鑒別模型 ATPB對(duì)身份鑒別系統(tǒng)的要求對(duì)身份鑒別系統(tǒng)的要求 （1）驗(yàn)證者正確

13、識(shí)別合法申請(qǐng)者的概率極大化。）驗(yàn)證者正確識(shí)別合法申請(qǐng)者的概率極大化。 （2）不具有可傳遞性（）不具有可傳遞性（Transferability) （3）攻擊者偽裝成申請(qǐng)者欺騙驗(yàn)證者成功的概率要小到）攻擊者偽裝成申請(qǐng)者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度可以忽略的程度 （4）計(jì)算有效性）計(jì)算有效性 （5）通信有效性）通信有效性 （6）秘密參數(shù)能安全存儲(chǔ)）秘密參數(shù)能安全存儲(chǔ)*（7）交互識(shí)別）交互識(shí)別*（8）第三方的實(shí)時(shí)參與）第三方的實(shí)時(shí)參與*（9）第三方的可信賴性）第三方的可信賴性*（10）可證明的安全性）可證明的安全性 討論議題討論議題 鑒別的基本概念鑒別的基本概念 鑒別機(jī)制鑒別機(jī)制 鑒別與交

14、換協(xié)議鑒別與交換協(xié)議 典型鑒別實(shí)例典型鑒別實(shí)例鑒別機(jī)制鑒別機(jī)制 非密碼的鑒別機(jī)制非密碼的鑒別機(jī)制 基于密碼算法的鑒別基于密碼算法的鑒別 采用對(duì)稱密碼算法的機(jī)制采用對(duì)稱密碼算法的機(jī)制 采用公開密碼算法的機(jī)制采用公開密碼算法的機(jī)制 采用密碼校驗(yàn)函數(shù)的機(jī)制采用密碼校驗(yàn)函數(shù)的機(jī)制 零知識(shí)證明協(xié)議零知識(shí)證明協(xié)議非密碼的鑒別機(jī)制非密碼的鑒別機(jī)制 A. 口令機(jī)制口令機(jī)制 B一次性口令機(jī)制一次性口令機(jī)制 C基于個(gè)人特征的機(jī)制基于個(gè)人特征的機(jī)制 D個(gè)人鑒別令牌個(gè)人鑒別令牌A口令機(jī)制口令機(jī)制 口令或通行字機(jī)制是最廣泛研究和使用的身份口令或通行字機(jī)制是最廣泛研究和使用的身份鑒別法。通常為長(zhǎng)度為鑒別法。通常為長(zhǎng)度為5

15、8的字符串。選擇原的字符串。選擇原則：易記、難猜、抗分析能力強(qiáng)。則：易記、難猜、抗分析能力強(qiáng)。 口令系統(tǒng)有許多脆弱點(diǎn)：口令系統(tǒng)有許多脆弱點(diǎn)： 外部泄露外部泄露 口令猜測(cè)口令猜測(cè) 線路竊聽線路竊聽 危及驗(yàn)證者危及驗(yàn)證者 重放重放對(duì)付外部泄露的措施對(duì)付外部泄露的措施 教育、培訓(xùn)；教育、培訓(xùn)； 嚴(yán)格組織管理辦法和執(zhí)行手續(xù)；嚴(yán)格組織管理辦法和執(zhí)行手續(xù)； 口令定期改變；口令定期改變； 每個(gè)口令只與一個(gè)人有關(guān)；每個(gè)口令只與一個(gè)人有關(guān)； 輸入的口令不再現(xiàn)在終端上；輸入的口令不再現(xiàn)在終端上； 使用易記的口令，不要寫在紙上。使用易記的口令，不要寫在紙上。對(duì)付口令猜測(cè)的措施對(duì)付口令猜測(cè)的措施 教育、培訓(xùn)；教育、培

16、訓(xùn)； 嚴(yán)格限制非法登錄的次數(shù)；嚴(yán)格限制非法登錄的次數(shù)； 限制最小長(zhǎng)度，至少限制最小長(zhǎng)度，至少68字節(jié)以上字節(jié)以上 防止用戶特征相關(guān)口令，防止用戶特征相關(guān)口令， 口令定期改變；口令定期改變； 及時(shí)更改預(yù)設(shè)口令；及時(shí)更改預(yù)設(shè)口令； 使用機(jī)器產(chǎn)生的口令。使用機(jī)器產(chǎn)生的口令。對(duì)付線路竊聽的措施對(duì)付線路竊聽的措施 使用保護(hù)口令機(jī)制：如單向函數(shù)。使用保護(hù)口令機(jī)制：如單向函數(shù)。 q fididq比較比較是或不是是或不是p id聲稱者聲稱者驗(yàn)證者驗(yàn)證者消息消息目的是保證即使攻擊者截獲了線路上傳輸?shù)南?，也無(wú)法得知p，所以在傳輸之前對(duì)p進(jìn)行了散列操作。主要缺陷及對(duì)策主要缺陷及對(duì)策 攻擊者很容易構(gòu)造一張攻擊者很容

17、易構(gòu)造一張q與與p對(duì)應(yīng)的表，表中的對(duì)應(yīng)的表，表中的p盡最大盡最大可能包含所期望的值?？赡馨谕闹?。 隨機(jī)串（隨機(jī)串（Salt）是使這種攻擊變得困難的一種辦法。）是使這種攻擊變得困難的一種辦法。 在口令后使用隨機(jī)數(shù)。在口令后使用隨機(jī)數(shù)。 只能保護(hù)在多臺(tái)計(jì)算機(jī)上使用相同口令或在同一計(jì)算只能保護(hù)在多臺(tái)計(jì)算機(jī)上使用相同口令或在同一計(jì)算機(jī)上使用同一口令的不同用戶。機(jī)上使用同一口令的不同用戶。UNIX系統(tǒng)中的口令存儲(chǔ)系統(tǒng)中的口令存儲(chǔ) UNIX系統(tǒng)使用系統(tǒng)使用crypt()保證系統(tǒng)密碼的完整性。保證系統(tǒng)密碼的完整性。 這一這一函數(shù)完成被稱作單向加密的功能，它可以加密一些明函數(shù)完成被稱作單向加密的功能，

18、它可以加密一些明碼，但不能夠?qū)⒚艽a轉(zhuǎn)換為原來(lái)的明碼。碼，但不能夠?qū)⒚艽a轉(zhuǎn)換為原來(lái)的明碼。改進(jìn)方案改進(jìn)方案 q id qid比較比較f是或不是是或不是聲稱者聲稱者驗(yàn)證者驗(yàn)證者p id消息消息salt如果單純對(duì)p進(jìn)行散列，攻擊者用窮舉攻擊法，可能能夠攻破，但是加個(gè)salt之后，就增加了提取出p的難度了?；镜膶?duì)付危及驗(yàn)證者的措施基本的對(duì)付危及驗(yàn)證者的措施 使用單向函數(shù)使用單向函數(shù) p ididq比較比較是或不是是或不是聲稱者聲稱者驗(yàn)證者驗(yàn)證者p id消息消息fq salt對(duì)付竊聽及危及驗(yàn)證者的措施對(duì)付竊聽及危及驗(yàn)證者的措施 聲稱者聲稱者fq idgidr比較比較是或不是是或不是p idr 驗(yàn)證者驗(yàn)

19、證者消息消息saltsalt對(duì)付重放攻擊的措施對(duì)付重放攻擊的措施 抵抗對(duì)通信線路的主動(dòng)攻擊抵抗對(duì)通信線路的主動(dòng)攻擊重放攻擊。重放攻擊。 r idnrvgfidqg比較比較是或不是是或不是p 聲稱者聲稱者驗(yàn)證者驗(yàn)證者消息消息q idnrvsaltB一次性口令機(jī)制一次性口令機(jī)制 一次性口令機(jī)制確保在每次認(rèn)證中所使用的口一次性口令機(jī)制確保在每次認(rèn)證中所使用的口令不同，以對(duì)付重放攻擊。令不同，以對(duì)付重放攻擊。 確定口令的方法：確定口令的方法：（1）兩端共同擁有一串隨機(jī)口令，在該串的）兩端共同擁有一串隨機(jī)口令，在該串的某一位置保持同步；某一位置保持同步； （2）兩端共同使用一個(gè)隨機(jī)序列生成器，在兩端共同

20、使用一個(gè)隨機(jī)序列生成器，在該序列生成器的初態(tài)保持同步；該序列生成器的初態(tài)保持同步； （3）使用時(shí)戳，兩端維持同步的時(shí)鐘。）使用時(shí)戳，兩端維持同步的時(shí)鐘。強(qiáng)度強(qiáng)度（ 1）沒(méi)有器件而知道口令）沒(méi)有器件而知道口令p，不能導(dǎo)致一個(gè)簡(jiǎn)，不能導(dǎo)致一個(gè)簡(jiǎn)單的攻擊；單的攻擊；（ 2）擁有器件而不知道口令）擁有器件而不知道口令p，不能導(dǎo)致一個(gè)，不能導(dǎo)致一個(gè)簡(jiǎn)單的攻擊；簡(jiǎn)單的攻擊；（ 3）除非攻擊者也能進(jìn)行時(shí)間同步，否則重放）除非攻擊者也能進(jìn)行時(shí)間同步，否則重放不是一個(gè)簡(jiǎn)單的攻擊；不是一個(gè)簡(jiǎn)單的攻擊；SKEY驗(yàn)證程序驗(yàn)證程序 其安全性依賴于一個(gè)單向函數(shù)。為建立這樣的系統(tǒng)其安全性依賴于一個(gè)單向函數(shù)。為建立這樣的系統(tǒng)

21、A輸輸入一隨機(jī)數(shù)入一隨機(jī)數(shù)R，計(jì)算機(jī)計(jì)算，計(jì)算機(jī)計(jì)算f（R）, f（ f（R），）， f（ f（ f（R） ），），,共計(jì)算共計(jì)算100次，計(jì)算得到的數(shù)為次，計(jì)算得到的數(shù)為x1, x2 , x3 , x100，A打印出這樣的表，隨身攜帶，計(jì)算機(jī)打印出這樣的表，隨身攜帶，計(jì)算機(jī)將將x101存在存在A的名字旁邊。的名字旁邊。 形成鏈狀結(jié)構(gòu)形成鏈狀結(jié)構(gòu) 以后依次鍵入以后依次鍵入xi，計(jì)算機(jī)計(jì)算，計(jì)算機(jī)計(jì)算f(xi)，并將它與，并將它與xi+1比較。比較。C基于個(gè)人特征的機(jī)制基于個(gè)人特征的機(jī)制 生物特征識(shí)別技術(shù)主要有：生物特征識(shí)別技術(shù)主要有： 1）指紋識(shí)別；）指紋識(shí)別； 2）聲音識(shí)別；）聲音識(shí)別； 3

22、）手跡識(shí)別；）手跡識(shí)別； 4）視網(wǎng)膜掃描；）視網(wǎng)膜掃描； 5）手形。）手形。這些技術(shù)的使用對(duì)網(wǎng)絡(luò)安全協(xié)議不會(huì)有重要的這些技術(shù)的使用對(duì)網(wǎng)絡(luò)安全協(xié)議不會(huì)有重要的影響。影響。D個(gè)人鑒別令牌個(gè)人鑒別令牌 物理特性用于支持認(rèn)證物理特性用于支持認(rèn)證“某人擁有某東西某人擁有某東西” ，但通常要與一個(gè)口令或但通常要與一個(gè)口令或PIN結(jié)合使用。結(jié)合使用。 這種器件應(yīng)具有存儲(chǔ)功能，通常有鍵盤、顯示這種器件應(yīng)具有存儲(chǔ)功能，通常有鍵盤、顯示器等界面部件，更復(fù)雜的能支持一次性口令，器等界面部件，更復(fù)雜的能支持一次性口令，甚至可嵌入處理器和自己的網(wǎng)絡(luò)通信設(shè)備（如甚至可嵌入處理器和自己的網(wǎng)絡(luò)通信設(shè)備（如智能卡）。智能卡）。

23、 這種器件通常還利用其它密碼鑒別方法。這種器件通常還利用其它密碼鑒別方法。 基于密碼算法的鑒別基于密碼算法的鑒別 采用對(duì)稱密碼算法的機(jī)制采用對(duì)稱密碼算法的機(jī)制 采用公開密碼算法的機(jī)制采用公開密碼算法的機(jī)制 采用密碼校驗(yàn)函數(shù)的機(jī)制采用密碼校驗(yàn)函數(shù)的機(jī)制 鑒別和密鑰交換協(xié)議的核心問(wèn)題有兩個(gè)：鑒別和密鑰交換協(xié)議的核心問(wèn)題有兩個(gè)： 保密性保密性: 時(shí)效性時(shí)效性 保密：保密： 為了防止偽裝和防止暴露會(huì)話密鑰。為了防止偽裝和防止暴露會(huì)話密鑰。 時(shí)效時(shí)效 涉及防止消息重放攻擊。涉及防止消息重放攻擊。A、重放、重放常見的消息重放常見的消息重放 攻擊形式有：攻擊形式有：1、簡(jiǎn)單重放簡(jiǎn)單重放：重新發(fā)送復(fù)制的一條消

24、息；：重新發(fā)送復(fù)制的一條消息；2、可被日志記錄的復(fù)制品可被日志記錄的復(fù)制品：攻擊者可以在一個(gè)合法有效：攻擊者可以在一個(gè)合法有效的時(shí)間窗內(nèi)重放一個(gè)帶時(shí)間戳的消息；的時(shí)間窗內(nèi)重放一個(gè)帶時(shí)間戳的消息；3、不能被檢測(cè)到的復(fù)制品不能被檢測(cè)到的復(fù)制品：這種情況可能出現(xiàn)，原因是：這種情況可能出現(xiàn)，原因是原始信息已經(jīng)被攔截，無(wú)法到達(dá)目的地，而只有重放原始信息已經(jīng)被攔截，無(wú)法到達(dá)目的地，而只有重放的信息到達(dá)目的地。的信息到達(dá)目的地。4、反向重放，不做修改反向重放，不做修改。向消息發(fā)送者重放。當(dāng)采用傳。向消息發(fā)送者重放。當(dāng)采用傳統(tǒng)對(duì)稱加密方式時(shí)，這種攻擊是可能的。因?yàn)橄l(fā)統(tǒng)對(duì)稱加密方式時(shí)，這種攻擊是可能的。因?yàn)?/p>

25、消息發(fā)送者不能簡(jiǎn)單地識(shí)別發(fā)送的消息和收到的消息在內(nèi)容送者不能簡(jiǎn)單地識(shí)別發(fā)送的消息和收到的消息在內(nèi)容上的區(qū)別。上的區(qū)別。 對(duì)付重放攻擊的一種方法是在認(rèn)證交換中使用一個(gè)對(duì)付重放攻擊的一種方法是在認(rèn)證交換中使用一個(gè)序數(shù)序數(shù)來(lái)給每來(lái)給每一個(gè)消息報(bào)文編號(hào)。僅當(dāng)收到的消息序數(shù)順序合法時(shí)才接受之一個(gè)消息報(bào)文編號(hào)。僅當(dāng)收到的消息序數(shù)順序合法時(shí)才接受之，但這種方法的困難是要求雙方必須保持上次消息的序號(hào)。，但這種方法的困難是要求雙方必須保持上次消息的序號(hào)。 兩種更為一般的方法是兩種更為一般的方法是1 ）時(shí)間戳）時(shí)間戳： A接受一個(gè)新消息僅當(dāng)該消息包含一個(gè)時(shí)間戳接受一個(gè)新消息僅當(dāng)該消息包含一個(gè)時(shí)間戳，該時(shí)間戳在，該

26、時(shí)間戳在A看來(lái)，是足夠接近看來(lái)，是足夠接近A所知道的當(dāng)前時(shí)間；所知道的當(dāng)前時(shí)間；這種方法要求不同參與者之間的時(shí)鐘需要同步這種方法要求不同參與者之間的時(shí)鐘需要同步2） 盤問(wèn)盤問(wèn)/應(yīng)答方式應(yīng)答方式Challenge/Response： A期望從期望從B獲得一個(gè)獲得一個(gè)新消息，首先發(fā)給新消息，首先發(fā)給B一個(gè)臨時(shí)值一個(gè)臨時(shí)值(challenge) ，并要求后續(xù)從，并要求后續(xù)從B收到的消息收到的消息response 包含正確的這個(gè)臨時(shí)值。包含正確的這個(gè)臨時(shí)值。防止重放：（防止重放：（1）時(shí)間戳）時(shí)間戳 在網(wǎng)絡(luò)環(huán)境中，特別是在分布式網(wǎng)絡(luò)環(huán)境中，時(shí)鐘同在網(wǎng)絡(luò)環(huán)境中，特別是在分布式網(wǎng)絡(luò)環(huán)境中，時(shí)鐘同步并不容易

27、做到步并不容易做到 一旦時(shí)鐘同步失敗一旦時(shí)鐘同步失敗 要么協(xié)議不能正常服務(wù)，影響可用性，造成拒絕服要么協(xié)議不能正常服務(wù)，影響可用性，造成拒絕服務(wù)務(wù)(DOS) 要么放大時(shí)鐘窗口，造成攻擊的機(jī)會(huì)要么放大時(shí)鐘窗口，造成攻擊的機(jī)會(huì) 時(shí)間窗大小的選擇應(yīng)根據(jù)消息的時(shí)效性來(lái)確定時(shí)間窗大小的選擇應(yīng)根據(jù)消息的時(shí)效性來(lái)確定（2）詢問(wèn)）詢問(wèn)/應(yīng)答方式應(yīng)答方式(Challenge/Response) A期望從期望從B獲得一個(gè)消息獲得一個(gè)消息 首先發(fā)給首先發(fā)給B一個(gè)隨機(jī)值一個(gè)隨機(jī)值(challenge) B收到這個(gè)值之后，對(duì)它作某種變換，并送回去收到這個(gè)值之后，對(duì)它作某種變換，并送回去 A收到收到B的的response

28、，希望包含這個(gè)隨機(jī)值，希望包含這個(gè)隨機(jī)值 在有的協(xié)議中，這個(gè)在有的協(xié)議中，這個(gè)challenge也稱為也稱為nonce 可能明文傳輸，也可能密文傳輸可能明文傳輸，也可能密文傳輸 這個(gè)條件可以是知道某個(gè)口令，也可能是其他的事情這個(gè)條件可以是知道某個(gè)口令，也可能是其他的事情 變換例子：用密鑰加密，說(shuō)明變換例子：用密鑰加密，說(shuō)明B知道這個(gè)密鑰知道這個(gè)密鑰;簡(jiǎn)單運(yùn)算，比如增一，說(shuō)明簡(jiǎn)單運(yùn)算，比如增一，說(shuō)明B知道這個(gè)隨機(jī)值知道這個(gè)隨機(jī)值 詢問(wèn)詢問(wèn)/應(yīng)答方法不適應(yīng)非連接性的應(yīng)用，因?yàn)樗笤趥鬏旈_應(yīng)答方法不適應(yīng)非連接性的應(yīng)用，因?yàn)樗笤趥鬏旈_始之前先有握手的額外開銷，這就抵消了無(wú)連接通信的主要始之前先有

29、握手的額外開銷，這就抵消了無(wú)連接通信的主要特點(diǎn)。特點(diǎn)。一，采用對(duì)稱密碼的鑒別機(jī)制一，采用對(duì)稱密碼的鑒別機(jī)制 無(wú)可信第三方參與的鑒別無(wú)可信第三方參與的鑒別 單向鑒別：使用該機(jī)制時(shí)，兩實(shí)體中只有一單向鑒別：使用該機(jī)制時(shí)，兩實(shí)體中只有一方被鑒別。方被鑒別。 雙向鑒別：兩通信實(shí)體使用此機(jī)制進(jìn)行相互雙向鑒別：兩通信實(shí)體使用此機(jī)制進(jìn)行相互鑒別。鑒別。 有可信第三方參與的鑒別有可信第三方參與的鑒別本部分使用以下記法本部分使用以下記法A，B:實(shí)體實(shí)體A，B的標(biāo)識(shí)符的標(biāo)識(shí)符TP:可信第三方的標(biāo)識(shí)符可信第三方的標(biāo)識(shí)符KXY:實(shí)體實(shí)體X和實(shí)體和實(shí)體Y之間共享的秘密密鑰之間共享的秘密密鑰,只用于對(duì)稱密碼技術(shù)只用于對(duì)稱

30、密碼技術(shù)SX:與實(shí)體與實(shí)體X有關(guān)的私有簽名密鑰有關(guān)的私有簽名密鑰,只用于非對(duì)稱加密技術(shù)只用于非對(duì)稱加密技術(shù)NX:由實(shí)體由實(shí)體X給出的順序號(hào)給出的順序號(hào)RX:由實(shí)體由實(shí)體X給出的隨機(jī)數(shù)給出的隨機(jī)數(shù)TX:由實(shí)體由實(shí)體X原發(fā)的時(shí)變參數(shù)原發(fā)的時(shí)變參數(shù),它或者是時(shí)間標(biāo)記它或者是時(shí)間標(biāo)記TX,或者是順序號(hào)或者是順序號(hào)RX NX:Y|Z:數(shù)據(jù)項(xiàng)數(shù)據(jù)項(xiàng)Y和和Z以以Y在前在前Z在后順序拼接的結(jié)果在后順序拼接的結(jié)果eK(Z):用密鑰用密鑰K的對(duì)稱加密算法對(duì)數(shù)據(jù)的對(duì)稱加密算法對(duì)數(shù)據(jù)Z加密的結(jié)果加密的結(jié)果fK(Z):使用以密鑰使用以密鑰K和任意數(shù)據(jù)串和任意數(shù)據(jù)串Z作為輸入的密碼校驗(yàn)函數(shù)作為輸入的密碼校驗(yàn)函數(shù)f所產(chǎn)所產(chǎn)

31、生的密碼校驗(yàn)值生的密碼校驗(yàn)值CertX:由可信第三方簽發(fā)給實(shí)體由可信第三方簽發(fā)給實(shí)體X的證書的證書TokenXY:實(shí)體實(shí)體X發(fā)給發(fā)給Y的權(quán)標(biāo)的權(quán)標(biāo),包含使用密碼技術(shù)變換的信息包含使用密碼技術(shù)變換的信息TVP:時(shí)變參數(shù)時(shí)變參數(shù)SSX(Z):用私有簽名密鑰用私有簽名密鑰SX對(duì)數(shù)據(jù)對(duì)數(shù)據(jù)Z進(jìn)行私有簽名變換所產(chǎn)生的簽名進(jìn)行私有簽名變換所產(chǎn)生的簽名.無(wú)可信第三方參與的機(jī)制無(wú)可信第三方參與的機(jī)制單向鑒別單向鑒別 一次傳送鑒別一次傳送鑒別AB（1）(2)（1）TokenAB=Text2|eKAB(TA|B|Text1) NA （2）B解密，驗(yàn)證解密，驗(yàn)證B、時(shí)間標(biāo)記或順序號(hào)的、時(shí)間標(biāo)記或順序號(hào)的正確性正確性

32、 無(wú)可信第三方參與的機(jī)制無(wú)可信第三方參與的機(jī)制單向鑒別單向鑒別 兩次傳送鑒別兩次傳送鑒別AB（1）RB|Text1(3)（2）TokenAB=Text3|eKAB(RB|B|Text2) （3）B解密，驗(yàn)證解密，驗(yàn)證B、 RB的正確性的正確性（2）TokenAB 無(wú)可信第三方參與的機(jī)制無(wú)可信第三方參與的機(jī)制雙向鑒別雙向鑒別 兩次傳送鑒別兩次傳送鑒別AB（1） TokenAB(2)（4）A解密，驗(yàn)證解密，驗(yàn)證B、 RB的正確性的正確性（3）TokenBA（1）TokenAB=Text2|eKAB(TA|B|Text1) NA （3）TokenBA=Text4|eKAB(TB|A|Text3) N

33、B (4) 無(wú)可信第三方參與的機(jī)制無(wú)可信第三方參與的機(jī)制雙向鑒別雙向鑒別 三次傳送鑒別三次傳送鑒別AB（1）RB|Text1(3)（2）TokenAB=Text3|eKAB(RA |RB|B|Text2) （3）B解密，驗(yàn)證解密，驗(yàn)證B、 RB的正確性的正確性（2）TokenAB（4）TokenBA（4）TokenBA=Text5|eKAB(RB |RA|Text4) (5)（5）A解密，驗(yàn)證解密，驗(yàn)證B、 RB、 RA的正確性的正確性涉及可信第三方的機(jī)制涉及可信第三方的機(jī)制-雙向鑒雙向鑒別別 四次傳送鑒別四次傳送鑒別AB（6）TokenBATP（4）TokenAB（2）TokenTA（1）T

34、VPA|B|Text1(3)(7)(5)（2）TokenTA=Text4|eKAT(TVPA |KAB|B|Text3) | eKBT(TTP |KAB|A|Text2) NTP （4）TokenAB=Text6| eKBT(TTP |KAB|A|Text2) eKAB(TA |B|Text5) NTP NA（6）TokenBA=Text8| eKAB(TB |A|Text7) NB 涉及可信第三方的機(jī)制涉及可信第三方的機(jī)制-雙向鑒雙向鑒別別 五次傳送鑒別五次傳送鑒別AB（7）TokenBATP（5）TokenAB（3）TokenTA（2）R A|RB|B|Text2(4)(8)(6)（3）T

35、okenTA=Text5|eKAT(R A |KAB|B|Text4) | eKBT(RB | KAB| A|Text3) （5）TokenAB=Text7| eKBT(RB | KAB| A|Text3) |eKAB(RA |RB|Text6) （7）TokenBA=Text9| eKAB(RB |RA|Text8)(1)RB|Text1二，采用公開密碼算法的機(jī)制二，采用公開密碼算法的機(jī)制 在聲稱者通過(guò)其私有簽名密鑰簽署某一消息來(lái)在聲稱者通過(guò)其私有簽名密鑰簽署某一消息來(lái)證實(shí)身份。消息可包含一個(gè)非重復(fù)值以抵抗重證實(shí)身份。消息可包含一個(gè)非重復(fù)值以抵抗重放攻擊。放攻擊。 要求驗(yàn)證者有對(duì)應(yīng)的公鑰。要

36、求驗(yàn)證者有對(duì)應(yīng)的公鑰。 單向鑒別：僅對(duì)實(shí)體中的一個(gè)進(jìn)行鑒別。單向鑒別：僅對(duì)實(shí)體中的一個(gè)進(jìn)行鑒別。 雙向鑒別：兩個(gè)通信實(shí)體相互進(jìn)行鑒別。雙向鑒別：兩個(gè)通信實(shí)體相互進(jìn)行鑒別。采用公開密碼算法的機(jī)制采用公開密碼算法的機(jī)制單向鑒別單向鑒別 一次傳遞機(jī)制一次傳遞機(jī)制AB（1）CertA|TokenAB（1）TokenAB=TA|B|Text2|SSA(TA|B|Text1) NA NA (2)(2)B驗(yàn)證驗(yàn)證A的公開密鑰，驗(yàn)證的公開密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)的標(biāo)識(shí)符號(hào)采用公開密碼算法的機(jī)制采用公開密碼算法的機(jī)制單向鑒別單向鑒別 兩次傳遞機(jī)制兩次傳遞機(jī)制AB（1）RB|Text1(3)（3）B驗(yàn)證驗(yàn)證A的公開

37、密鑰，驗(yàn)證的公開密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)的標(biāo)識(shí)符號(hào)（2）CertA|TokenAB（2）TokenAB=RA|RB|B|Text3|SSA(RA|RB|B|Text2) 采用公開密碼算法的機(jī)制采用公開密碼算法的機(jī)制雙向鑒別（雙向鑒別（1）AB(2)（2）B驗(yàn)證驗(yàn)證A的公開密鑰，驗(yàn)證的公開密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)的標(biāo)識(shí)符號(hào)（3）CertB|TokenBA 兩次傳遞機(jī)制兩次傳遞機(jī)制（1）CertA|TokenAB（1）TokenAB=TA|B|Text2|SSA(TA|B|Text1) NA NA (4)（3）TokenBA=TB|A|Text4|SSB(TB|A|Text3) NB NB （4）A驗(yàn)

38、證驗(yàn)證B的公開密鑰，驗(yàn)證的公開密鑰，驗(yàn)證A的標(biāo)識(shí)符號(hào)的標(biāo)識(shí)符號(hào)采用公開密碼算法的機(jī)制采用公開密碼算法的機(jī)制雙向鑒別（雙向鑒別（2） 三次傳遞機(jī)制三次傳遞機(jī)制AB（1）RB|Text1(3)（3）B驗(yàn)證驗(yàn)證A的公開密鑰，驗(yàn)證的公開密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)的標(biāo)識(shí)符號(hào)（2）CertA|TokenAB（2）TokenAB=RA|RB|B|Text3|SSA(RA|RB|B|Text2) （4）CertB|TokenBA（4）TokenBA=RB|RA|A|Text5|SSB(RB|RA|A|Text4) （5）A驗(yàn)證驗(yàn)證B的公開密鑰，驗(yàn)證的公開密鑰，驗(yàn)證A的標(biāo)識(shí)符號(hào)的標(biāo)識(shí)符號(hào)(5)采用公開密碼算法的機(jī)制

39、采用公開密碼算法的機(jī)制雙向鑒別（雙向鑒別（3） 兩次傳遞并行機(jī)制兩次傳遞并行機(jī)制AB（1）CertA|RA|Text1(2)(4)（4）A和和B驗(yàn)證各自的隨機(jī)數(shù)驗(yàn)證各自的隨機(jī)數(shù)（1 ）CertB|RB|Text2（1）TokenAB=RA|RB|B|Text4|SSA(RA|RB|B|Text3) （3）TokenBA（1 ）TokenBA=RB|RA|A|Text6|SSB(RB|RA|A|Text5) （2）A和和B確保他們擁有另一實(shí)體的公開密鑰確保他們擁有另一實(shí)體的公開密鑰(2)(4)（3 ）TokenAB三，采用密碼校驗(yàn)函數(shù)的機(jī)制三，采用密碼校驗(yàn)函數(shù)的機(jī)制 在該機(jī)制中，待鑒別的實(shí)體通過(guò)

40、表明它擁有某個(gè)在該機(jī)制中，待鑒別的實(shí)體通過(guò)表明它擁有某個(gè)秘密鑒別密鑰來(lái)證實(shí)其身份?？捎稍搶?shí)體以其秘秘密鑒別密鑰來(lái)證實(shí)其身份?？捎稍搶?shí)體以其秘密密鑰和特定數(shù)據(jù)作輸入，使用密碼校驗(yàn)函數(shù)獲密密鑰和特定數(shù)據(jù)作輸入，使用密碼校驗(yàn)函數(shù)獲得密碼校驗(yàn)值來(lái)達(dá)到。得密碼校驗(yàn)值來(lái)達(dá)到。 聲稱者和驗(yàn)證者共享秘密鑒別密鑰，應(yīng)僅為該兩聲稱者和驗(yàn)證者共享秘密鑒別密鑰，應(yīng)僅為該兩個(gè)實(shí)體所知，以及他們的信任方。個(gè)實(shí)體所知，以及他們的信任方。采用密碼校驗(yàn)函數(shù)的機(jī)制采用密碼校驗(yàn)函數(shù)的機(jī)制-單向鑒別單向鑒別 一次傳遞鑒別一次傳遞鑒別AB（1）TokenAB（1）TokenAB=TA|Text2|fKAB(TA|B|Text1) NA

41、 NA (2)(2)B驗(yàn)證驗(yàn)證A的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記采用密碼校驗(yàn)函數(shù)的機(jī)制采用密碼校驗(yàn)函數(shù)的機(jī)制-單向鑒別單向鑒別AB（1）RB|Text1(3)（3）B驗(yàn)證驗(yàn)證B的標(biāo)識(shí)符號(hào)和隨機(jī)數(shù)的標(biāo)識(shí)符號(hào)和隨機(jī)數(shù)（2）TokenAB（2）TokenAB=Text3|fKAB(RB|B|Text2) 兩次傳遞機(jī)制兩次傳遞機(jī)制 采用密碼校驗(yàn)函數(shù)的機(jī)制采用密碼校驗(yàn)函數(shù)的機(jī)制-雙向鑒別（雙向鑒別（1）AB(2)（2）B驗(yàn)證驗(yàn)證A的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記（3）TokenBA 兩次傳遞機(jī)制兩次傳遞機(jī)制（1）TokenAB（1）TokenAB=TA|B|Text2|fKAB(TA|B

42、|Text1) NA NA (4)（3）TokenBA=TB|A|Text4|fKAB (TB|A|Text3) NB NB （4）A驗(yàn)證驗(yàn)證B的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記 采用密碼校驗(yàn)函數(shù)的機(jī)制采用密碼校驗(yàn)函數(shù)的機(jī)制-雙向鑒別（雙向鑒別（2） 三次傳遞機(jī)制三次傳遞機(jī)制AB（1）RB|Text1(3)（3）B驗(yàn)證驗(yàn)證B的標(biāo)識(shí)符號(hào)和隨機(jī)數(shù)的標(biāo)識(shí)符號(hào)和隨機(jī)數(shù)（2）TokenAB（2）TokenAB=RA|Text3|fKAB(RA|RB|B|Text2) （4）TokenBA（4）TokenBA=Text5| fKAB(RB|RA|Text2) （5）A驗(yàn)證驗(yàn)證A的標(biāo)識(shí)符號(hào)和隨機(jī)數(shù)的標(biāo)

43、識(shí)符號(hào)和隨機(jī)數(shù)(5) idid nrv聲稱者聲稱者驗(yàn)證者驗(yàn)證者密鑰和密鑰和id來(lái)自物理來(lái)自物理令牌或本令牌或本地存儲(chǔ)器地存儲(chǔ)器加密，封加密，封裝或簽名裝或簽名密鑰密鑰 id解密或驗(yàn)證解密或驗(yàn)證是或不是是或不是密鑰密鑰idnrv消息消息 加密，封裝或簽名加密，封裝或簽名簡(jiǎn)化的基于密碼技術(shù)的鑒別機(jī)制簡(jiǎn)化的基于密碼技術(shù)的鑒別機(jī)制零知識(shí)證明技術(shù)零知識(shí)證明技術(shù) 零知識(shí)證明技術(shù)可使信息的擁有者無(wú)需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息。 雙方?jīng)]有事先建立的任何安全架構(gòu)，雙方是一種動(dòng)態(tài)的認(rèn)證機(jī)制。 例如：例如： 1）A要向要向B證明自己擁有某個(gè)房間的鑰匙，假設(shè)該房間只能證明自己擁有某個(gè)房間的

44、鑰匙，假設(shè)該房間只能用鑰匙打開鎖，而其他任何方法都打不開。這時(shí)有用鑰匙打開鎖，而其他任何方法都打不開。這時(shí)有2個(gè)方法：個(gè)方法： 傳統(tǒng)方法：（一）傳統(tǒng)方法：（一）A把鑰匙出示給把鑰匙出示給B，B用這把鑰匙打開該房用這把鑰匙打開該房間的鎖，從而證明間的鎖，從而證明A擁有該房間的正確的鑰匙。擁有該房間的正確的鑰匙。 新的方法：（二）新的方法：（二）B確定該房間內(nèi)有某一物體，確定該房間內(nèi)有某一物體，A用自己擁有用自己擁有的鑰匙打開該房間的門，然后把物體拿出來(lái)出示給的鑰匙打開該房間的門，然后把物體拿出來(lái)出示給B，從而，從而證明自己確實(shí)擁有該房間的鑰匙。后面這個(gè)方法屬于零知識(shí)證明自己確實(shí)擁有該房間的鑰匙。

45、后面這個(gè)方法屬于零知識(shí)證明。好處在于在整個(gè)證明的過(guò)程中，證明。好處在于在整個(gè)證明的過(guò)程中，B始終不能看到鑰匙始終不能看到鑰匙的樣子，從而避免了鑰匙的泄露。的樣子，從而避免了鑰匙的泄露。 2）A擁有B的公鑰，A沒(méi)有見過(guò)B，而B見過(guò)A的照片，偶然一天2人見面了，B認(rèn)出了A，但A不能確定面前的人是否是B，這時(shí)B要向A證明自己是B，也有2個(gè)方法。 方法一：B把自己的私鑰給A，A用這個(gè)私鑰對(duì)某個(gè)數(shù)據(jù)加密，然后用B的公鑰解密，如果正確，則證明對(duì)方確實(shí)是B。 方法二：A給出一個(gè)隨機(jī)值，B用自己的私鑰對(duì)其加密，然后把加密后的數(shù)據(jù)交給A，A用B的公鑰解密，如果能夠得到原來(lái)的隨機(jī)值，則證明對(duì)方是B。后面的方法屬于

46、零知識(shí)證明。 討論議題討論議題 鑒別的基本概念鑒別的基本概念 鑒別機(jī)制鑒別機(jī)制 鑒別與交換協(xié)議鑒別與交換協(xié)議 典型鑒別實(shí)例典型鑒別實(shí)例雙向鑒別雙向鑒別 傳統(tǒng)加密方法傳統(tǒng)加密方法 Needham/Schroeder Protocol 1978 Denning Protocol 1982 KEHN92 公鑰加密方法公鑰加密方法 一個(gè)基于臨時(shí)值握手協(xié)議：一個(gè)基于臨時(shí)值握手協(xié)議：WOO92a 一個(gè)基于臨時(shí)值握手協(xié)議：一個(gè)基于臨時(shí)值握手協(xié)議：WOO92bNeedham/Schroeder Protocol 1978傳統(tǒng)加密方法傳統(tǒng)加密方法1、A KDC：IDA|IDB|N12、KDC A：EKaKs|I

47、DB|N1|EKbKs|IDA3、A B： EKbKs|IDA4、B A： EKsN25、A B： EKsf(N2)保密密鑰保密密鑰Ka和和Kb分別是分別是A和和KDC、B和和KDC之間共享的密鑰。之間共享的密鑰。本協(xié)議的目的就是要安全地分發(fā)一個(gè)會(huì)話密鑰本協(xié)議的目的就是要安全地分發(fā)一個(gè)會(huì)話密鑰Ks給給A和和B。A在第在第2步安全地得到了一個(gè)新的會(huì)話密鑰，第步安全地得到了一個(gè)新的會(huì)話密鑰，第3步只能由步只能由B解密、解密、并理解。第并理解。第4步表明步表明B已知道已知道Ks了。第了。第5步表明步表明B相信相信A知道知道Ks并且并且消息不是偽造的。消息不是偽造的。第第4，5步目的是為了防止某種類型

48、的重放攻擊。特別是，如果敵方步目的是為了防止某種類型的重放攻擊。特別是，如果敵方能夠在第能夠在第3步捕獲該消息，并重放之，這將在某種程度上干擾破壞步捕獲該消息，并重放之，這將在某種程度上干擾破壞B方的運(yùn)行操作。方的運(yùn)行操作。Needham/Schroeder Protocol 1978上述方法盡管有第上述方法盡管有第4,5步的握手，但仍然有漏洞。步的握手，但仍然有漏洞。假定攻擊方假定攻擊方C已經(jīng)掌握已經(jīng)掌握A和和B之間通信的一個(gè)老的會(huì)話密鑰之間通信的一個(gè)老的會(huì)話密鑰。C可以在第可以在第3步冒充步冒充A利用老的會(huì)話密鑰欺騙利用老的會(huì)話密鑰欺騙B。除非。除非B記記住所有以前使用的與住所有以前使用的

49、與A通信的會(huì)話密鑰，否則通信的會(huì)話密鑰，否則B無(wú)法判斷這無(wú)法判斷這是一個(gè)重放攻擊。是一個(gè)重放攻擊。如果如果C可以中途阻止第可以中途阻止第4步的握手信息，步的握手信息，則可以冒充則可以冒充A在第在第5步響應(yīng)。從這一點(diǎn)起，步響應(yīng)。從這一點(diǎn)起，C就可以向就可以向B發(fā)送發(fā)送偽造的消息而對(duì)偽造的消息而對(duì)B來(lái)說(shuō)認(rèn)為是用認(rèn)證的會(huì)話密鑰與來(lái)說(shuō)認(rèn)為是用認(rèn)證的會(huì)話密鑰與A進(jìn)行的進(jìn)行的正常通信。正常通信。Denning Protocol 1982 改進(jìn)改進(jìn)：1、A KDC：IDA|IDB2、KDC A：EKaKs|IDB|T|EKbKs|IDA|T3、A B： EKbKs|IDA|T4、B A： EKsN15、A

50、B： EKsf(N1)| Clock - T | t1 + t2 其中：其中： t1 是是KDC時(shí)鐘與本地時(shí)鐘（時(shí)鐘與本地時(shí)鐘（A或或B）之間差異的估計(jì)值；之間差異的估計(jì)值； t2 是預(yù)期的網(wǎng)絡(luò)延遲時(shí)間。是預(yù)期的網(wǎng)絡(luò)延遲時(shí)間。Denning Protocol 比比 Needham/Schroeder Protocol在安全性方在安全性方面增強(qiáng)了一步。然而，又提出新的問(wèn)題：即必須依靠各時(shí)鐘面增強(qiáng)了一步。然而，又提出新的問(wèn)題：即必須依靠各時(shí)鐘均可通過(guò)網(wǎng)絡(luò)同步。均可通過(guò)網(wǎng)絡(luò)同步。如果發(fā)送者的時(shí)鐘比接收者的時(shí)鐘要快，攻擊者就可以從發(fā)送如果發(fā)送者的時(shí)鐘比接收者的時(shí)鐘要快，攻擊者就可以從發(fā)送者竊聽消息，并

51、在以后當(dāng)時(shí)間戳對(duì)接收者來(lái)說(shuō)成為當(dāng)前時(shí)重放者竊聽消息，并在以后當(dāng)時(shí)間戳對(duì)接收者來(lái)說(shuō)成為當(dāng)前時(shí)重放給接收者。這種重放將會(huì)得到意想不到的后果。（稱為抑制重給接收者。這種重放將會(huì)得到意想不到的后果。（稱為抑制重放攻擊）。放攻擊）。一種克服抑制重放攻擊的方法是強(qiáng)制各方定期檢查自己的時(shí)鐘一種克服抑制重放攻擊的方法是強(qiáng)制各方定期檢查自己的時(shí)鐘是否與是否與KDC的時(shí)鐘同步。的時(shí)鐘同步。另一種避免同步開銷的方法是采用臨時(shí)數(shù)握手協(xié)議。另一種避免同步開銷的方法是采用臨時(shí)數(shù)握手協(xié)議。KEHN921、A B： IDA|Na2、B KDC： IDB|Nb | EKbIDA | Na | Tb3、KDC A： EKaIDB

52、|Na |Ks| Tb | EKbIDA | Ks | Tb | Nb4、A B： EKbIDA | Ks | Tb | EKs Nb A與與KDC的共享密鑰：的共享密鑰： Eka B與與KDC的共享密鑰：的共享密鑰： EKb公鑰加密方法公鑰加密方法：一個(gè)使用時(shí)間戳的方法是：一個(gè)使用時(shí)間戳的方法是：1、A AS：IDA|IDB2、AS A：EKRasIDA |KUa | T | EKRasIDB |KUb | T 3、A B： EKRasIDA|KUa| T | EKRasIDB | KUb | T | EKUbEKRa Ks|T一個(gè)基于臨時(shí)值握手協(xié)議：一個(gè)基于臨時(shí)值握手協(xié)議：WOO92a1、

53、A KDC：IDA|IDB2、KDC A：EKRauthIDB |KUb 3、A B： EKUbNa |IDA4、B KDC： IDB|IDA | EKUauthNa 5、KDC B： EKRauthIDA |KUa| EKUbEKRauth Na|Ks|IDB6、B A： EKUaEKRauth Na |Ks | IDB|Nb7、 A B： EKsNb 一個(gè)基于臨時(shí)值握手協(xié)議：一個(gè)基于臨時(shí)值握手協(xié)議：WOO92b1、A KDC：IDA|IDB2、KDC A：EKRauthIDB |KUb 3、A B： EKUbNa |IDA4、B KDC： IDB|IDA | EKUauthNa 5、KDC

54、 B： EKRauthIDA |KUa| EKUbEKRauth Na|Ks|IDA|IDB6、B A： EKUaEKRauth Na |Ks |IDA | IDB|Nb7、 A B： EKsNb 討論議題討論議題 鑒別的基本概念鑒別的基本概念 鑒別機(jī)制鑒別機(jī)制 鑒別與交換協(xié)議鑒別與交換協(xié)議 典型鑒別實(shí)例典型鑒別實(shí)例典型鑒別實(shí)例典型鑒別實(shí)例 Kerberos X.509鑒別服務(wù)鑒別服務(wù)Kerberos引言引言 Kerberos: MIT的的Athena計(jì)劃的一部分。計(jì)劃的一部分。 Greek Kerberos: 希臘神話故事中一種三個(gè)希臘神話故事中一種三個(gè)頭的狗，還有一個(gè)蛇形尾巴。是地獄之門頭

55、的狗，還有一個(gè)蛇形尾巴。是地獄之門的守衛(wèi)。的守衛(wèi)。 Modern Kerberos: 意指有三個(gè)組成部分的意指有三個(gè)組成部分的網(wǎng)絡(luò)之門的保衛(wèi)者。網(wǎng)絡(luò)之門的保衛(wèi)者?！叭^三頭”包括：包括： 認(rèn)證認(rèn)證(authentication) 簿記簿記(accounting) 審計(jì)審計(jì)(audit) Kerberos是由美國(guó)麻省理工學(xué)院提出的基于可信賴是由美國(guó)麻省理工學(xué)院提出的基于可信賴的第三方的認(rèn)證系統(tǒng)。的第三方的認(rèn)證系統(tǒng)。Kerberos提供了一種在開放提供了一種在開放式網(wǎng)絡(luò)環(huán)境下進(jìn)行身份認(rèn)證的方法式網(wǎng)絡(luò)環(huán)境下進(jìn)行身份認(rèn)證的方法,它使網(wǎng)絡(luò)上的用它使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份。戶可以相互證明自己的

56、身份。 Kerberos采用對(duì)稱密采用對(duì)稱密鑰體制對(duì)信息進(jìn)行加密。其基本思想是：能正確對(duì)鑰體制對(duì)信息進(jìn)行加密。其基本思想是：能正確對(duì)信息進(jìn)行解密的用戶就是合法用戶。用戶在對(duì)應(yīng)用信息進(jìn)行解密的用戶就是合法用戶。用戶在對(duì)應(yīng)用服務(wù)器進(jìn)行訪問(wèn)之前，必須先從第三方（服務(wù)器進(jìn)行訪問(wèn)之前，必須先從第三方（Kerberos服務(wù)器）獲取該應(yīng)用服務(wù)器的訪問(wèn)許可證（服務(wù)器）獲取該應(yīng)用服務(wù)器的訪問(wèn)許可證（ticket）。 用戶只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證用戶只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證獲得的票據(jù)獲得的票據(jù)(ticket-granting ticket)訪問(wèn)多個(gè)服務(wù)，訪問(wèn)多個(gè)服務(wù)，即即SSO(S

57、ingle Sign On)。由于在每個(gè)。由于在每個(gè)Client和和Service之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)陌踩?。的安全性。?wèn)題問(wèn)題 在一個(gè)開放的分布式網(wǎng)絡(luò)環(huán)境中，用戶通過(guò)工作站訪問(wèn)服在一個(gè)開放的分布式網(wǎng)絡(luò)環(huán)境中，用戶通過(guò)工作站訪問(wèn)服務(wù)器上提供的服務(wù)。務(wù)器上提供的服務(wù)。 服務(wù)器應(yīng)能夠限制非授權(quán)用戶的訪問(wèn)并能夠認(rèn)證對(duì)服服務(wù)器應(yīng)能夠限制非授權(quán)用戶的訪問(wèn)并能夠認(rèn)證對(duì)服務(wù)的請(qǐng)求。務(wù)的請(qǐng)求。 工作站不能夠被網(wǎng)絡(luò)服務(wù)所信任其能夠正確地認(rèn)定用工作站不能夠被網(wǎng)絡(luò)服務(wù)所信任其能夠正確地認(rèn)定用戶，即工作站存在三種威脅。戶，即工作站存在三種威脅。 一個(gè)工作站上一

58、個(gè)用戶可能冒充另一個(gè)用戶操作；一個(gè)工作站上一個(gè)用戶可能冒充另一個(gè)用戶操作； 一個(gè)用戶可能改變一個(gè)工作站的網(wǎng)絡(luò)地址，從而冒一個(gè)用戶可能改變一個(gè)工作站的網(wǎng)絡(luò)地址，從而冒充另一臺(tái)工作站工作；充另一臺(tái)工作站工作； 一個(gè)用戶可能竊聽他人的信息交換，并用回放攻擊一個(gè)用戶可能竊聽他人的信息交換，并用回放攻擊獲得對(duì)一個(gè)服務(wù)器的訪問(wèn)權(quán)或中斷服務(wù)器的運(yùn)行。獲得對(duì)一個(gè)服務(wù)器的訪問(wèn)權(quán)或中斷服務(wù)器的運(yùn)行。信息系統(tǒng)資源保護(hù)的動(dòng)機(jī)信息系統(tǒng)資源保護(hù)的動(dòng)機(jī) 單用戶單機(jī)系統(tǒng)。用戶資源和文件受到單用戶單機(jī)系統(tǒng)。用戶資源和文件受到物理上的安全保護(hù)；物理上的安全保護(hù)； 多用戶分時(shí)系統(tǒng)。操作系統(tǒng)提供基于用多用戶分時(shí)系統(tǒng)。操作系統(tǒng)提供基于

59、用戶標(biāo)識(shí)的訪問(wèn)控制策略，并用戶標(biāo)識(shí)的訪問(wèn)控制策略，并用logon過(guò)程過(guò)程來(lái)標(biāo)識(shí)用戶。來(lái)標(biāo)識(shí)用戶。 Client/Server網(wǎng)絡(luò)結(jié)構(gòu)。由一組工作站和網(wǎng)絡(luò)結(jié)構(gòu)。由一組工作站和一組分布式或中心式服務(wù)器組成。一組分布式或中心式服務(wù)器組成。C/S環(huán)境下三種可能的安全環(huán)境下三種可能的安全方案方案 相信每一個(gè)單獨(dú)的客戶工作站可以保證對(duì)其相信每一個(gè)單獨(dú)的客戶工作站可以保證對(duì)其用戶的識(shí)別，并依賴于每一個(gè)服務(wù)器強(qiáng)制實(shí)用戶的識(shí)別，并依賴于每一個(gè)服務(wù)器強(qiáng)制實(shí)施一個(gè)基于用戶標(biāo)識(shí)的安全策略。施一個(gè)基于用戶標(biāo)識(shí)的安全策略。 要求客戶端系統(tǒng)將它們自己向服務(wù)器作身份要求客戶端系統(tǒng)將它們自己向服務(wù)器作身份認(rèn)證，但相信客戶端系統(tǒng)

60、負(fù)責(zé)對(duì)其用戶的識(shí)認(rèn)證，但相信客戶端系統(tǒng)負(fù)責(zé)對(duì)其用戶的識(shí)別。別。 要求每一個(gè)用戶對(duì)每一個(gè)服務(wù)證明其標(biāo)識(shí)身要求每一個(gè)用戶對(duì)每一個(gè)服務(wù)證明其標(biāo)識(shí)身份，同樣要求服務(wù)器向客戶端證明其標(biāo)識(shí)身份，同樣要求服務(wù)器向客戶端證明其標(biāo)識(shí)身份。份。Kerberos的解決方案的解決方案 Kerberos支持以上三種策略。支持以上三種策略。 在一個(gè)分布式的在一個(gè)分布式的client/server體系機(jī)構(gòu)中體系機(jī)構(gòu)中采用一個(gè)或多個(gè)采用一個(gè)或多個(gè)Kerberos服務(wù)器提供一服務(wù)器提供一個(gè)認(rèn)證服務(wù)。個(gè)認(rèn)證服務(wù)。 總體方案是提供一個(gè)可信第三方的認(rèn)證總體方案是提供一個(gè)可信第三方的認(rèn)證服務(wù)。服務(wù)。Kerberos要解決的問(wèn)題要解決的