网络与信息安全网络与信息安全 第七讲第七讲 身份鉴别身份鉴别陈 钟 北京大学计算机系信息安全研究室 chencs.pku.edu.cn2003年春季北京大学硕士研究生课程课程体系 密码学基础：经典密码、对称密码、非对称 密码、密钥管理技术 认证理论与技术：散列算法（Hash)、数字签 名、身份鉴别和访问控制 网络安全：电子邮件的安全、IP的安全、 Web的安全、扫描、攻击与入侵检测 系统安全：防火墙技术、操作系统的安全、 病毒 专题讲座：回顾-密码学基础 对称密码 两个基本运算：代替和置换 两个基本分析方法：统计分析法 简单运算，比如增一，说明B知道这个随机值 询问/应答方法不适应非连接性的应用，因为它要求在 传输开始之前先有握手的额外开销，这就抵消了无连 接通信的主要特点。C、相互鉴别协议 在理论上，相互鉴别可通过组合两个单向鉴 别交换协议来实现。然而，这种组合需要被 仔细地考察，因为有可能这样的组合易受窃 听重放攻击。 另外，设计协议消息数比相应的单向交换协 议的消息数的两倍少得多的相互鉴别交换协 议是可能的。 因此，由于安全性和性能的原因，相互鉴别 交换协议必须为此目的而特别地进行设计。采用对称密码的鉴别机制 无可信第三方参与的鉴别 单向鉴别：使用该机制时，两实体中只有 一方被鉴别。 双向鉴别：两通信实体使用此机制进行相 互鉴别。 有可信第三方参与的鉴别本部分使用以下记法A:实体A的可区分标识符 B:实体B的可区分标识符 TP:可信第三方的可区分标识符 KXY:实体X和实体Y之间共享的秘密密钥,只用于对称密码技术 SX:与实体X有关的私有签名密钥,只用于非对称加密技术 NX:由实体X给出的顺序号 RX:由实体X给出的随机数 TX:由实体X原发的时变参数,它或者是时间标记TX,或者是顺序号 RXNX: Y|Z:数据项Y和Z以Y在前Z在后顺序拼接的结果 eK(Z):用密钥K的对称加密算法对数据Z加密的结果 fK(Z):使用以密钥K和任意数据串Z作为输入的密码校验函数f所 产生的密码校验值 CertX:由可信第三方签发给实体X的证书 TokenXY:实体X发给Y的权标,包含使用密码技术变换的信息 TVP:时变参数SSX(Z):用私有签名密钥SX对数据Z进行私有签名变换所产生的签名.无可信第三方参与的机制 单向鉴别 一次传送鉴别AB（1）TokenAB(2)（1）TokenAB=Text2|eKAB(TA|B|Text1)NA （2）B解密，验证B、时间标记或顺序号的 正确性无可信第三方参与的机制 单向鉴别 两次传送鉴别AB（1）RB|Text1(3)（2）TokenAB=Text3|eKAB(RB|B|Text2) （3）B解密，验证B、 RB的正确性（2）TokenAB无可信第三方参与的机制 双向鉴别 两次传送鉴别AB（1） TokenAB(2)（4）B解密，验证B、 RB的正确性（3）TokenBA（1）TokenAB=Text2|eKAB(TA|B|Text1)NA （3）TokenBA=Text4|eKAB(TB|A|Text3)NB (4)无可信第三方参与的机制 双向鉴别 三次传送鉴别AB（1）RB|Text1(3)（2）TokenAB=Text3|eKAB(RA |RB|B|Text2) （3）B解密，验证B、 RB的正确性（2）TokenAB（4）TokenBA（4）TokenBA=Text5|eKAB(RB |RA|Text4) (5)（5）A解密，验证B、 RB、 RA的正确性涉及可信第三方的机制-双向鉴别 四次传送鉴别AB（6）TokenBATP（4）TokenAB（2）TokenTA（1）TVPA|B|Text1(3) (7)(5 )（2）TokenTA=Text4|eKAT(TVPA |KAB|B|Text3) | eKBT(TTP |KAB|A|Text2)NTP （4）TokenAB=Text6| eKBT(TTP |KAB|A|Text2) eKAB(TA |B|Text5)NTP NA（6）TokenBA=Text8| eKAB(TB |A|Text7)NB涉及可信第三方的机制-双向鉴别 五次传送鉴别AB（7）TokenBATP（5）TokenAB（3）TokenTA（2）RA|RB|B|Text2(4) (8)(6 )（3）TokenTA=Text5|eKAT(RA |KAB|B|Text4) | eKBT(RB | KAB| A|Text3) （5）TokenAB=Text7| eKBT(RB | KAB| A|Text3) |eKAB(RA |RB|Text6) （7）TokenBA=Text9| eKAB(RB |RA|Text8)(1)RB|Text1采用公开密码算法的机制 在该机制中，声称者要通过证明他知道某秘 密签名密钥来证实身份。由使用他的秘密签 名密钥签署某一消息来完成。消息可包含一 个非重复值以抵抗重放攻击。 要求验证者有声称者的有效公钥声称者有仅由自己知道和使用的秘密签名私 钥。 单向鉴别：仅对实体中的一个进行鉴别。双向鉴别：两个通信实体相互进行鉴别。采用公开密码算法的机制 单向鉴别 一次传递机制AB（1）CertA|TokenAB（1）TokenAB=TA|B|Text2|SSA(TA|B|Text1)NA NA (2)(2)B验证A的公开密钥，验证B的标识符号采用公开密码算法的机制 单向鉴别 两次传递机制AB（1）RB|Text1(3)（3）B验证A的公开密钥，验证B的标识符号（1）CertA|TokenAB（2）TokenAB=RA|RB|B|Text3|SSA(RA|RB|B|Text2) 采用公开密码算法的机制 双向鉴别（1）AB(2)（2）B验证A的公开密钥，验证B的标识符号（3）CertB|TokenBA 两次传递机制（1）CertA|TokenAB（1）TokenAB=TA|B|Text2|SSA(TA|B|Text1)NA NA (4)（3）TokenBA=TB|A|Text4|SSB(TB|A|Text3)NB NB （4）A验证B的公开密钥，验证A的标识符号采用公开密码算法的机制 双向鉴别（2） 三次传递机制AB（1）RB|Text1(3)（3）B验证A的公开密钥，验证B的标识符号（2）CertA|TokenAB（2）TokenAB=RA|RB|B|Text3|SSA(RA|RB|B|Text2) （4）CertB|TokenBA（4）TokenBA=RB|RA|A|Text5|SSB(RB|RA|A|Text4) （5）A验证B的公开密钥，验证A的标识符号(5)采用公开密码算法的机制 双向鉴别（3） 两次传递并行机制AB（1）CertA|RA|Text1(2)(4)（4）A和B验证各自的随机数（1 ）CertB|RB|Text2（1）TokenAB=RA|RB|B|Text4|SSA(RA|RB|B|Text3) （3）TokenBA（1 ）TokenBA=RB|RA|A|Text6|SSB(RB|RA|A|Text5) （2）A和B确保他们拥有另一实体的公开密钥(2)(4)（3 ）TokenAB采用密码校验函数的机制 在该机制中，待鉴别的实体通过表明它拥有 某个秘密鉴别密钥来证实其身份。可由该实 体以其秘密密钥和特定数据作输入，使用密 码校验函数获得密码校验值来达到。 声称者和验证者共享秘密鉴别密钥，应仅为 该两个实体所知，以及他们的信任方。采用密码校验函数的机制- 单向鉴别 一次传递鉴别AB（1）TokenAB（1）TokenAB=TA|Text2|fKAB(TA|B|Text1)NA NA (2)(2)B验证A的标识符号和时间标记采用密码校验函数的机制- 单向鉴别AB（1）RB|Text1(3)（3）B验证B的标识符号和随机数（2）TokenAB（2）TokenAB=Text3|fKAB(RB|B|Text2) 两次传递机制采用密码校验函数的机制- 双向鉴别（1）AB(2)（2）B验证A的标识符号和时间标记（3）TokenBA 两次传递机制（1）TokenAB（1）TokenAB=TA|B|Text2|fKAB(TA|B|Text1)NA NA (4)（3）TokenBA=TB|A|Text4|SSB(TB|A|Text3)NB NB （4）A验证B的标识符号和时间标记采用密码校验函数的机制- 双向鉴别（2） 三次传递机制AB（1）RB|Text1(3)（3）B验证B的标识符号和随机数（2）TokenAB（2）TokenAB=RA|Text3|fKAB(RA|RB|B|Text2) （4）TokenBA（4）TokenBA=Text5| fKAB(RB|RA|Text2) （5）A验证A的标识符号和随机数(5)idid nrv声称者验证者密钥和id 来自物理 令牌或本 地存储器加密，封 装或签名密钥 id解密或验证是或不是密钥idnrv消息加密，封装或签名简化的基于密码技术的鉴别机制零知识证明技术 零知识证明技术可使信息的拥有者无需泄露 任何信息就能够向验证者或任何第三方证明 它拥有该信息。在网络身份鉴别中，已经提出了零知识 技术的一些变形，例如，FFS方案，FS方案 和GQ方案。一般地，验证者颁布大量的询问 给声称者，声称者对每个询问计算一个回答 ，而在计算中使用了秘密信息。大部分技术要求传输的数据量较大，并 且要求一个更复杂的协议，需要一些协议交 换。讨论议题 鉴别的基本概念 鉴别机制 鉴别与交换协议 典型鉴别实例鉴别和交换协议 如果用于连接完整服务的密钥被在线建立 ，那么事实证明将认证和密钥交换功能组合 在一个协议中是重要的（鉴别和密钥交换协 议）。 最常用的协议，该协议使得通信各方互相鉴 别各自的身份，然后交换会话密钥。 基于鉴别的密钥交换核心问题有两个： 保密性 时效性双向鉴别 传统加密方法 Needham/Schroeder Protocol 1978 Denning Protocol 1982 KEHN92 公钥加密方法 一个基于临时值握手协议：WOO92a 一个基于临时值握手协议：WOO92bNeedham/Schroeder Protocol 1978传统加密方法1、A KDC：IDA|IDB|N1 2、KDC A：EKaKs|IDB|N1|EKbKs|IDA 3、A B： EKbKs|IDA 4、B A： EKsN2 5、A B： EKsf(N2)保密密钥Ka和Kb分别是A和KDC、B和KDC之间共享的密钥。 本协议的目的就是要安全地分发一个会话密钥Ks给A和B。A