網(wǎng)絡(luò)信息安全技術(shù)課件 第4章身份認(rèn)證和數(shù)字簽名

第4章身份認(rèn)證和數(shù)字簽名身份認(rèn)證技術(shù)數(shù)字簽名4.1身份認(rèn)證技術(shù)

4.1身份認(rèn)證技術(shù)身份認(rèn)證的概述非密碼的認(rèn)證機(jī)制基于密碼的認(rèn)證機(jī)制零知識證明技術(shù)4.1.1概述身份認(rèn)證是驗證主體的真實身份與其所聲稱的身份是否符合的過程。認(rèn)證是最重要的安全服務(wù)之一（所有其它的安全服務(wù)都依賴于該服務(wù)）；認(rèn)證可以對抗假冒攻擊的威協(xié)；認(rèn)證可以用來確保身份，獲得對聲稱者所聲稱的事實的信任。認(rèn)證的結(jié)果只有兩個：符合和不符合。適用于用戶、進(jìn)程、系統(tǒng)、信息等。4.1.1概述身份認(rèn)證系統(tǒng)的組成：(1)出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。(2)驗證者V（Verifier),檢驗聲稱者提出的證件的正確性和合法性，決定是否滿足要求。4.1.1概述身份認(rèn)證的方法主要有：(1)聲稱者證明他知道某事或某物，例如口令；(2)聲稱者證明他擁有某事或某物，例如物理密鑰或卡；(3)聲稱者展示某些必備的不變特性，例如指紋；(4)聲稱者在某一特定場所（也可能在某一特定時間）提供證據(jù)；(5)驗證者認(rèn)可某一已經(jīng)通過認(rèn)證的可信方。4.1.1概述身份認(rèn)證有多種認(rèn)證機(jī)制：非密碼認(rèn)證機(jī)制；基于密碼的認(rèn)證機(jī)制；基于認(rèn)證協(xié)議的認(rèn)證機(jī)制（該內(nèi)容于第6章詳細(xì)介紹）。4.1.2非密碼的認(rèn)證機(jī)制 1．口令認(rèn)證機(jī)制

2．基于地址的認(rèn)證機(jī)制

3．基于個人生理特征的認(rèn)證機(jī)制

4．個人認(rèn)證令牌4.1.2非密碼的認(rèn)證機(jī)制1.口令機(jī)制在某種程度上，口令或個人識別號（PIN）機(jī)制是最實用的一種機(jī)制?？诹钫J(rèn)證是最古老最簡單的一種認(rèn)證方法，經(jīng)常作為系統(tǒng)的默認(rèn)設(shè)置。口令認(rèn)證包括：可重用口令認(rèn)證；一次性口令認(rèn)證；挑戰(zhàn)應(yīng)答口令認(rèn)證；混合口令認(rèn)證。1.口令機(jī)制(1)可重用口令認(rèn)證可重用口令認(rèn)證一般采用客戶端認(rèn)證的方式，通常由申請使用系統(tǒng)資源的用戶發(fā)起。用戶請求服務(wù)器的認(rèn)證，然后被授權(quán)使用系統(tǒng)資源。常見的用戶登錄功能就是采用的可重用口令認(rèn)證。該認(rèn)證方式實現(xiàn)簡單。1.口令機(jī)制可重用口令認(rèn)證口令系統(tǒng)有很多弱點，如口令泄露、口令猜測、線路竊聽、危及驗證者攻擊和重放攻擊?？诹钚孤妒侵肝词跈?quán)的人借助系統(tǒng)外普通網(wǎng)絡(luò)或系統(tǒng)操作獲取口令，主要是因為用戶的使用和存儲不當(dāng)造成的，如：為防忘掉口令,把它寫到一不安全的地方；在一個未受保護(hù)的管理文件中存儲口令；合法用戶可通過打電話從系統(tǒng)管理者處獲得別人的口令。1.口令機(jī)制口令猜測是攻擊口令機(jī)制最常用的辦法，如用戶設(shè)置口令時傾向于用特定的字母串作口令、用短口令、在系統(tǒng)安裝時為標(biāo)準(zhǔn)用戶/賬戶名所設(shè)置的預(yù)設(shè)口令或者用戶的生日名字等作口令如果口令在網(wǎng)絡(luò)傳輸過程中沒有做任何的機(jī)密性措施，線路竊聽可以快速的獲取到用戶的認(rèn)證口令。即使對口令做了簡單的變換處理，仍然可能存在安全問題。1.口令機(jī)制1.口令機(jī)制(2)一次性口令機(jī)制一次性口令認(rèn)證也被稱為會話認(rèn)證，認(rèn)證中的口令只能被使用一次，然后被丟棄，從而減少了口令被破解的可能性。在一次性口令認(rèn)證中，口令值通常是被加密的，避免明文形式的口令被攻擊者截獲。最常見的一次性口令認(rèn)證方案是S/Key和Token方案。1.口令機(jī)制(2)一次性口令機(jī)制S/Key口令基于MD4和MD5加密算法產(chǎn)生，采用客戶-服務(wù)器模式。客戶端負(fù)責(zé)用hash函數(shù)產(chǎn)生每次登陸使用的口令，服務(wù)器端負(fù)責(zé)一次性口令的驗證，并支持用戶密鑰的安全交換。在認(rèn)證的預(yù)處理過程中，服務(wù)器將種子以明文形式發(fā)送給客戶端，客戶端將種子和密鑰拼接在一起得到S。然后，客戶端對S進(jìn)行hash運算得到一系列一次性口令。S/Key保護(hù)認(rèn)證系統(tǒng)不受外來的被動攻擊，但是無法阻止竊聽者對私有數(shù)據(jù)的訪問，無法防范攔截并修改數(shù)據(jù)包的攻擊，無法防范內(nèi)部攻擊。1.口令機(jī)制(2)一次性口令機(jī)制Token（令牌）口令要求在產(chǎn)生口令的時候使用認(rèn)證令牌。根據(jù)令牌產(chǎn)生的不同，又分為兩種方式：時間同步式和挑戰(zhàn)/應(yīng)答式。①時間同步式在這種方式中，服務(wù)器上存儲有用戶的種子密鑰，用來產(chǎn)生口令。用戶擁有的口令卡里同樣存儲有用戶的種子密鑰。進(jìn)行認(rèn)證時，用戶向系統(tǒng)提供PIN值以及由口令卡根據(jù)當(dāng)前時間計算的口令值。服務(wù)器將用戶提供的口令和自己計算所得的口令進(jìn)行對比，認(rèn)證用戶。1.口令機(jī)制時間同步式1.口令機(jī)制(2)一次性口令機(jī)制②挑戰(zhàn)/應(yīng)答式挑戰(zhàn)/應(yīng)答式也稱為詢問/應(yīng)答，可以擴(kuò)張基于口令的方案，能大大地提高抵抗重放攻擊的能力，但通常通信代價很高。4.1.2非密碼的認(rèn)證機(jī)制2.基于地址的身份認(rèn)證基于地址的身份認(rèn)證機(jī)制是假定聲稱者的可鑒別性，是以呼叫的源地址為基礎(chǔ)的。在大多數(shù)的數(shù)據(jù)網(wǎng)絡(luò)中，呼叫地址的辨別都是可行的。在不能可靠的辨別地址時，可以用一個呼叫-回應(yīng)設(shè)備來獲取呼叫的源地址。一個驗證者對每一個主體都保持一份合法呼叫地址的文件。這種機(jī)制最大的困難時在一個臨時的環(huán)境里維持一個連續(xù)的主機(jī)和網(wǎng)絡(luò)地址的聯(lián)系。地址的轉(zhuǎn)換頻繁、呼叫-轉(zhuǎn)發(fā)或者重定向引起了一些主要問題?；诘刂返纳矸菡J(rèn)證機(jī)制自身不能被作為鑒別機(jī)制，但可以作為其他機(jī)制的有用補(bǔ)充。4.1.2非密碼的認(rèn)證機(jī)制3.基于個人生理特征的身份認(rèn)證機(jī)制基于生物特征的身份認(rèn)證技術(shù)是利用人體的生理或行為特征進(jìn)行身份認(rèn)證的技術(shù)，即根據(jù)人體各器官或個人行為具有唯一性、人各不同的特性來認(rèn)證身份。常見的生物特征識別技術(shù)主要有：指紋識別；聲音識別；手跡識別；視網(wǎng)膜掃描；虹膜識別；掌型識別和掌紋識別等。人臉識別和指紋認(rèn)證是發(fā)展比較早也比較成熟的身份認(rèn)證手段。4.1.2非密碼的認(rèn)證機(jī)制4.個人認(rèn)證令牌密碼技術(shù)不適合在個人認(rèn)證中直接應(yīng)用，人類不易記住長的隨機(jī)密鑰向量。當(dāng)有一個可相互信任的器件時，口令機(jī)制和基于密碼技術(shù)的機(jī)制可以方便地結(jié)合起來使用。常用的方法是人首先使用口令向器件認(rèn)證他自己，然后器件使用密碼技術(shù)向最終的驗證者認(rèn)證它自己。有兩種情況：一種是從口令推導(dǎo)密鑰；另一種是使用智能卡。4.個人認(rèn)證令牌(1)口令推導(dǎo)密鑰口令推導(dǎo)密鑰即從一個身份串和口令值產(chǎn)生一個56比特的DES密鑰的過程。這類似于應(yīng)用一個單向函數(shù)保護(hù)口令，產(chǎn)生的值用于密碼系統(tǒng)的密鑰。為防止保護(hù)的口令被泄漏，從身份-口令到密鑰的變化必須被秘密完成，需要一可信終端。4.個人認(rèn)證令牌(2)智能卡由一個或多個集成電路芯片組成，并封裝成便于人們攜帶的卡片，在集成電路中具有微電腦CPU和存儲器，智能卡具有暫時或永久的數(shù)據(jù)存儲能力，其內(nèi)容可供外部讀取或供內(nèi)部處理和判斷之用，同時還具有邏輯處理功能，用于識別和響應(yīng)外部提供的信息和芯片本身判定路線和指令執(zhí)行的邏輯功能。用于認(rèn)證目的的智能卡的使用與擁有者輸入的PIN有關(guān)。即使卡被丟失或被盜，PIN也可保證智能卡的安全。4.個人認(rèn)證令牌

(2)智能卡4.1.3基于密碼的認(rèn)證機(jī)制基于密碼的認(rèn)證機(jī)制的原理是使驗證者信服聲稱者所聲稱的身份，因為聲稱者知道某一秘密密鑰。鑒別方式又分為了單向認(rèn)證、雙向認(rèn)證和有可信第三方參與的認(rèn)證。4.1.3基于密碼的認(rèn)證機(jī)制1.采用對稱密碼的認(rèn)證機(jī)制基于對稱密碼算法的鑒別依靠一定協(xié)議下的數(shù)據(jù)加密處理；通信雙方共享一個密鑰（通常存儲在硬件中），該密鑰在詢問-應(yīng)答協(xié)議中處理或加密信息交換。單向認(rèn)證雙向認(rèn)證4.1.3基于密碼的認(rèn)證機(jī)制2.采用非對稱密碼的認(rèn)證機(jī)制公鑰認(rèn)證要求每個用戶首先產(chǎn)生一對由公鑰和私鑰組成的密鑰對，并存儲在文件中。每個密鑰對由密鑰產(chǎn)生裝置產(chǎn)生，通常是1024到2048比特。用戶把公鑰公布出來，而私鑰由本人保存。單向認(rèn)證雙向認(rèn)證4.1.3基于密碼的認(rèn)證機(jī)制3．采用第三方認(rèn)證機(jī)制信任的第三方認(rèn)證也是一種通信雙方相互認(rèn)證的方式，但是認(rèn)證過程必須借助一個雙方都能信任的第三方，一般而言可以是政府機(jī)構(gòu)或者其他可信賴的機(jī)構(gòu)。當(dāng)兩端欲進(jìn)行連線時，彼此必須先通過信任第三方的認(rèn)證，然后才能互相交換密鑰進(jìn)行通信。采用第三方認(rèn)證機(jī)制4.1.4零知識證明技術(shù)零知識證明技術(shù)可使信息的擁有者無需泄露任何信息就能夠向驗證者或任何第三方證明它擁有該信息。在網(wǎng)絡(luò)認(rèn)證中，已經(jīng)提出了零知識技術(shù)的一些變形，例如，F(xiàn)FS方案，F(xiàn)S方案和GQ方案。一般地，驗證者頒布大量的詢問給聲稱者，聲稱者對每個詢問計算一個回答，而在計算中使用了秘密信息。通過檢查這些回答消息（可能需要使用公鑰），驗證者可以充分高的信任水平相信生成者的確擁有秘密信息（雖然無信息泄露）。大部分技術(shù)要求傳輸?shù)臄?shù)據(jù)量較大，并且要求一個更復(fù)雜的協(xié)議，需要一些協(xié)議交換。4.1.4零知識證明技術(shù)零知識證明技術(shù)的原理如下例：有一個洞，設(shè)P若知道咒語，可打開C和D之間的秘密門，不知道者都將走向死胡同中。（1）V站在A點；（2）P進(jìn)入洞中任一點C或D；（3）當(dāng)P進(jìn)洞之后，V走到B點；（4）V叫P：從左邊出來或從右邊出來（5）P按要求實現(xiàn)；（6）P和V重復(fù)執(zhí)行n次。若P不知咒語，只有50%的機(jī)會猜中V的要求，協(xié)議執(zhí)行n次，則只有2-n的機(jī)會完全猜中，若n=16，則若每次均通過V的檢驗，V受騙機(jī)會僅為1/65536。4.1.4零知識證明技術(shù)最簡單的零知識證明：問題要求：假如P想說服V，使V相信他確實知道n的因數(shù)p和q，但不能告訴V最簡單的步驟：①V隨機(jī)選擇一整數(shù)x，計算x4modn的值，并告訴P；②P求x2modn并將它告訴V；③V驗證x4modn；V知道求x2modn等價于n的因數(shù)分解，若不掌握n的因數(shù)p和q，求解很困難。Fiat-Shamir協(xié)議就是采用的零知識證明。Fiat-Shamir協(xié)議4.2數(shù)字簽名

4.2數(shù)字簽名數(shù)字簽名概述直接數(shù)字簽名待仲裁的數(shù)字簽名數(shù)字簽名方案有特殊用途的數(shù)字簽名4.2.1概述信息認(rèn)證用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不能保證雙方自身的相互欺騙。假定A發(fā)送一個認(rèn)證的信息給B，雙方之間的爭議可能有多種形式：B偽造一個不同的信息，但聲稱是從A收到的；A可以否認(rèn)發(fā)過該信息，B無法證明A確實發(fā)了該信息；B對接收到的信息進(jìn)行了修改；C冒充A或者B發(fā)送或者接收保存。數(shù)字簽名可以解決以上爭端。數(shù)字簽名就是利用一套規(guī)則對數(shù)據(jù)進(jìn)行計算的結(jié)果，用此結(jié)果能確認(rèn)簽名者的身份和數(shù)據(jù)的完整性（美國DSS對數(shù)字簽名的解釋）。4.2.1概述數(shù)字簽名（又稱公鑰數(shù)字簽名、電子簽章）是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)實現(xiàn)，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義兩種互補(bǔ)的運算，一個用于簽名，另一個用于驗證。數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明。數(shù)字簽名是非對稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。數(shù)字簽名應(yīng)滿足三個基本條件①簽名者不能否認(rèn)自己的簽名；②接收者能夠驗證簽名，而其他任何人都不能偽造簽名；③當(dāng)簽名的真?zhèn)伟l(fā)生爭執(zhí)時，存在一個仲裁機(jī)構(gòu)或第三方能夠解決爭執(zhí)。4.2.1概述數(shù)字簽名有兩種功效：一是能確定消息確實是由發(fā)送方簽名并發(fā)出來的，因為別人假冒不了發(fā)送方的簽名。二是數(shù)字簽名能確定消息的完整性。數(shù)字簽名根據(jù)簽名方式可以分為：直接數(shù)字簽名(directdigitalsignature)和仲裁數(shù)字簽名(arbitrateddigitalsignature)。4.2.2直接數(shù)字簽名（1）采用公開密鑰的數(shù)字簽名使用發(fā)送方的私鑰K’a對消息M進(jìn)行數(shù)字簽名（此時并沒有對消息進(jìn)行加密，因為任何人都可以獲得公鑰對消息M進(jìn)行查看）4.2.2直接數(shù)字簽名（2）具有保密功能的公鑰數(shù)字簽名4.2.2直接數(shù)字簽名（3）采用消息摘要的數(shù)字簽名使用消息摘要的數(shù)字簽名（不需要對整個消息進(jìn)行簽名，速度更快）直接數(shù)字簽名的問題直接數(shù)字簽名方案：僅涉及通信雙方。簽名方案的有效性依賴于發(fā)送方的私密密鑰的安全性；發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，且他人偽造了他的簽名。4.2.3帶仲裁的數(shù)字簽名帶仲裁的數(shù)字簽名是通過引入仲裁者來解決直接簽名方案的問題。通常的做法是：所有從發(fā)送方A到接收方B的簽名消息首先送到仲裁者Y，Y將消息及其簽名進(jìn)行一系列測試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗證通過的指示一起發(fā)給B。思考：A還能否認(rèn)他的簽名嗎？仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色。所有的通信方必須充分信任仲裁機(jī)構(gòu)。仲裁者是除通信雙方之外，值得信任的公正的第三方；“公正”意味著仲裁者對參與通信的任何一方?jīng)]有偏向；“值得信任”表示所有人都認(rèn)為仲裁者所說的都是真實的，所做的都是正確的。例：律師、銀行、公證人（現(xiàn)實生活）；在計算機(jī)網(wǎng)絡(luò)中，由可信機(jī)構(gòu)的某臺計算機(jī)充當(dāng)。4.2.3帶仲裁的數(shù)字簽名4.2.3帶仲裁的數(shù)字簽名（1）對稱加密，仲裁能看到消息IDA：發(fā)送方A的標(biāo)識符；簽名：EKAY[IDA‖||H（M）]；KAY:A和Y共享的對稱密鑰解決糾紛的過程：B：向Y發(fā)送EKYB[IDA||M||EKAY[IDA||H(M)]]Y：用KYB恢復(fù)IDA，M，和簽名EKAY[IDA||H(M)]，然后用KAY解密簽名并驗證哈希值，從而驗證A的簽名4.2.3帶仲裁的數(shù)字簽名（2）對稱加密，仲裁不能看到消息AB之間共享的密鑰KAB對消息進(jìn)行加密，仲裁Y看不到消息的明文。雙方仍然要高度信任Y。簽名：EKAY[IDA‖H（EKAB[M]）]4.2.3帶仲裁的數(shù)字簽名（3）公開密鑰加密，仲裁不能看到消息仲裁Y通過EKRA[IDA‖EKUB（EKRA[M]）]進(jìn)行解密，可以確信消息一定來自于A（因為A才有KRA）。簽名：EKRA[IDA‖EKUB（EKRA[M]）]本簽名方案比上述兩個方案具有以下優(yōu)點：①在通信之前各方之間無須共享任何信息，從而避免了結(jié)盟欺騙的發(fā)生；②即使KRA暴露，只要KRY未暴露，不會有日期錯誤標(biāo)定的消息被發(fā)送；③從A發(fā)送給B的消息的內(nèi)容對Y和任何其他人是保密的。4.2.4數(shù)字簽名方案用的數(shù)字簽名方案主要有：利用公鑰密碼體制實現(xiàn)的數(shù)字簽名；結(jié)合hash函數(shù)和公鑰密碼體制的數(shù)字簽名方案。不管采用哪種數(shù)字簽名方案，都需要用到公鑰密碼體制的數(shù)字簽名，如：RSA數(shù)字簽名方案、EIGamal簽名方案等。4.2.4數(shù)字簽名方案1.RSA簽名方案（1）參數(shù)設(shè)置①秘密選取兩個大參數(shù)，計算n=pq,φ(n)=(p-1)(q-1)；②隨機(jī)選取正整數(shù)1<e<φ(n)，滿足gcd(φ(n),e)=1，e為公開密鑰；③計算d，滿足d=e-1modφ(n)，d為私有密鑰。（2）簽名算法對于消息m∈Zn,簽名為:S=Sig(m)=mdmodn。（3）驗證算法驗證者計算：m′=Semodn，并判斷m′和m是否相等。4.2.4數(shù)字簽名方案2.EIGamal簽名方案ElGamal于1985年提出，很大程度上為Diffe-Hellman密鑰交換算法的推廣和變形。分為兩種情形:p是大素數(shù)，?q=p或者?q是p-1的大素因子。DSS(數(shù)字簽名標(biāo)準(zhǔn))是后者的一種變形，該方案是特別為簽名的目的而設(shè)計的。這個方案的改進(jìn)已被美國NIST（國家標(biāo)準(zhǔn)和技術(shù)研究所）采納作為數(shù)字簽名標(biāo)準(zhǔn)。4.2.4數(shù)字簽名方案2.EIGamal簽名方案DSS使用SHA作為散列函數(shù)，安全性基于計算離散對數(shù)的困難性。（1）DSS算法說明--算法參數(shù)全局公開密鑰分量:①p:素數(shù),其中2L-1<p<2L,512≤L<1024,且L為64的倍數(shù):即比特長度在512到1024之間,長度增量為64比特；②q:(p-1)的素因子,其中2159<q<2160；③g=h(p-1)/qmodp,其中h是一整數(shù),1<h<(p-1)；用戶私有密鑰:x隨機(jī)或偽隨機(jī)整數(shù),其中0<x<q用戶公開密鑰：（y,g,p）,其中y=gxmodp4.2.4數(shù)字簽名方案2.EIGamal簽名方案（2）DSS算法的簽名過程用戶每個報文的密鑰：k隨機(jī)或偽隨機(jī)整數(shù)，其中0<k<q簽名：r=(gkmodp)modqs=[k-1(H(M)+xr)]modq簽名=(r,s)發(fā)送簽名（r,s）和消息其中符號的含義分別為:M要簽名的消息；H(M)使用SHA-1生成的M的散列碼；M′,r′,s′接收到的M,r,s版本。4.2.4數(shù)字簽名方案2.EIGamal簽名方案（3）DSS算法的驗證過程驗證：w=(s′)-1modqu1=[H(M′)w]modq,u2=(r′)wmodqv=[(gu1yu2)modp]modqTEST:v=r′4.2.4數(shù)字簽名方案2.EIGamal簽名方案（4）實例假設(shè)取q=101,p=78*9+1=7879。3為7879的一個本原元，所以能取g=378(mod7879)=170為模p的q次單位根；假設(shè)x=75，那么y=gx(mod7879)=4567?，F(xiàn)在，假設(shè)Bob想簽名一個消息m=1234，且他選擇了隨機(jī)值k=50，可算得k-1(mod101)=99，簽名算出:r=(17050(mod7879)(mod101)=2518(mod101)=94s=(1234+75*94)*99(mod101)=97簽名后的信息為：12349497。驗證：w=97-1(mod101)=25，U1=1234*25(mod101)=45，U2=94*25(mod101)=27，(17045*456727(mod7879))(mod101)=2518(mod101)=94因此該簽名是有效的。4.2.4數(shù)字簽名方案2.EIGamal簽名方案（5）DSS的特點DSS的簽名比驗證快得多；DSS不能用于加密或者密鑰分配；若p為512位，q為160位，而DSS只需要兩個160位，即320位。4.2.4數(shù)字簽名方案2.EIGamal簽名方案（6）DSS使用中的問題：s≠0S-1modq要存在s≠0modq，如果發(fā)生，接收者可拒絕該簽名，要求重修構(gòu)造該簽名。實際上，s≡0modq的概率非常?。?-160）。因為用戶產(chǎn)生的簽名s=0，會泄露私鑰：S=0=k-1[H(m)+xr]modqX=-H(m)r-1modq不能將簽名所使用的隨機(jī)