《计算机安全保密-身份认证》由会员分享,可在线阅读,更多相关《计算机安全保密-身份认证(85页珍藏版)》请在金锄头文库上搜索。
1、1,信息安全 身份认证,罗敏 武汉大学 计算机学院 jsjgfzx,2,主要内容,身份认证原理 单机状态下的身份认证 网络环境下的身份认证,3,一、认证的概念,认证(Authentication)又称鉴别,确认,它是证实某人某事是否名符其实或是否有效的一个过程。 认证和加密的区别在于:加密用以确保数据的保密性,而认证用以确保报文发送者和接收者的真实性以及报文的完整性。 认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。,4,一、认证的概念,认证模型,要认证的人或事,为真吗?,参数,Yes,No,人或事为假,人或事为真,5,一、认证的概念,认证参数有口令、标识符、密钥、信物、智能卡、指
2、纹、视网纹等。 一般说来,利用人的生理特征参数进行认证的安全性高,但技术要求也高。 目前广泛应用的还是基于密码的认证技术。,6,一、认证的概念,认证和数字签名的区别: 认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性,而数字签名中用于验证签名的数据是公开的。 认证允许收发双方互相验证其真实性,不准许第三者验证,而数字签名允许收发双方和第三者都能验证。 数字签名具有发送方不能抵赖、接收方不能伪造和能够公开验证解决纠纷,而认证则不一定具备。,7,二、站点认证,为了确保通信安全,在正式传送报文之前,应首先认证通信是否在意定的站点之间进行,这一过程称为站点认证。 站点认证是通过验证加密的
3、数据能否成功地在两个站点间进行传送来实现的。,8,二、站点认证,设A、B是意定的两个站点,A是发送方,B是接收方。利用传统密码体制,则A和B相互认证的过程如下(假定A、B共享保密的会话密钥KS ): 1. A产生随机数RA 1. B产生随机数RB 2. AB:E(RA ,KS) 2. B接受E(RA ,KS) 3. A接受E(RA|RB ,KS) 3. BA:E(RA|RB ,KS) 并解密判断 RA = RA? 4. B接受E(RB ,KS) 4. AB:E(RB ,KS) 5. B判断 RB = RB?,9,二、站点认证,若利用公钥密码,A和B相互认证的过程如下: 1. AB:RA 2.
4、BA:D(RA|RB ,KdB) 3. AB:D(RB , KdA) 注意:基于公钥密码的站点认证本质上是利用数字签名来确保A,B的真实性。,10,三、报文认证,报文认证必须使通信方能够验证每份报文的发送方、接收方、内容和时间性的真实性和完整性。能够确定: (1)报文是由意定的发送方发出的; (2)报文传送给意定的接收方; (3)报文内容有无篡改或发生错误; (4)报文按确定的次序接收。,11,三、报文认证,1、报文源的认证 采用传统密码 设A为发送方,B为接收方。A和B共享保密的密钥KS。A的标识为IDA,报文为M,在报文中增加标识IDA ,那么B认证A的过程如下: AB:E(IDA|M ,
5、KS) B收到报文后用KS解密,若解密所得的发送方标识与IDA相同,则B认为报文是A发来的。,12,三、报文认证,1、报文源的认证 采用公开密钥密码 报文源的认证十分简单。只要发送方对每一报文进行数字签名,接收方验证签名即可: AB:SIG(IDA|M ,KdA) B:VER( SIG(IDA|M ,KdA) ,KdA ),13,三、报文认证,3、报文内容的认证 报文内容认证使接收方能够确认报文内容的真实性,这可通过验证认证码 的正确性来实现。 消息认证码MAC(Message Authentication Code)是消息内容和密钥的公开函数,其输出是固定长度的短数据块: MACf(M,K)
6、 。,14,三、报文认证,3、报文内容的认证 通信双方共享秘密钥K。A计算MAC并将报文M和MAC发送给接收方: AB:M |MAC 接收方收到报文M后用相同的秘密钥K重新计算得出新的MAC,并将其与接收到的MAC进行比较,若二者相等,则认为报文正确真实。,15,三、报文认证,3、报文内容的认证,M MAC,M MAC ,MAC=C(M ),=?,网络信道,N,Y,M真实正确,不真实不正确,16,三、报文认证,3、报文内容的认证 在上述方法中,报文是以明文形式传送的,所以该方法可以提供认证,但不能提供保密性。若要获得保密可在MAC算法之后对报文加密: AB:E(M| f(M,K1),K2) 因
7、为只有A和B共享K1,所以可提供认证;因为只有A和B共享K2,所以可提供保密。,17,三、报文认证,3、报文内容的认证 注意: MAC算法不要求可逆性而加密算法必须是可逆的;与加密相比,认证函数更不易被攻破;由于收发双方共享密钥,因此MAC不能提供数字签名功能。,18,三、报文认证,3、报文内容的认证 注意:理论上,对不同的M,应不同产生MAC。因为若M1M2,而MAC1=MAC2,则攻击者可将M1篡改为M2,而接收方不能发现。但是要使函数f具备上述性质,将要求报文认证码MAC至少和报文M一样长,这是不方便的。,19,三、报文认证,实际应用时要求函数C具有以下性质: 对已知M1和MAC1构造满
8、足MAC2MAC1的M2在计算上是不可行的; MAC函数应是均匀分布的,即对任何随机的报文M1和M2 ,MAC1=MAC2 的概率是2-n,其中n是MAC的位数; 设M2是M1的某个已知的变换,即M2=g(M1),如g逆转M1的一位或多位,那么MAC1=MAC2 的概率2-n。,20,四、利用分组密码产生MAC,利用强的分组密码可以产生MAC: 需认证的数据被分成64位的分组D1|D2|DN,若最后分组不足64位,则在其后填0直至成为64位的分组。 用DES按CBC方式加密,产生MAC。,D1,D2,Dn-1,Dn,DES,DES,DES,DES,O2,On-1,MAC,O1,K,IV,K,K
9、,K,21,四、利用分组密码产生MAC,其中,O1 = DES(D1IV ,K) Oi = DES(DiOi-1 ,K) (2iN) MAC=On IV为初始向量,此处取0;K为密钥。 很容易用其它强的分组密码(如AES)来计算产生MAC。目前AES的分组长度多为128位。,22,五、利用HASH函数产生MAC,1、Hash函数将任意长的报文M变换为定长的码h,记为: h=HASH(M)或 h=H(M)。 hash码也称报文摘要。它具有错误检测能力。 用hash码作MAC,可认证报文; 用hash码辅助数字签名; hash函数可用于保密。,23,五、利用HASH函数产生MAC,2、安全Hash
10、函数还应满足下列性质: 单向性:对给定的Hash函数值h,找到满足H(x)h的x在计算上是不可行的。 抗弱碰撞性:对任何给定的x,找到满足yx且H(x)=H(y)的y在计算上是不可行的。 抗强碰撞性:找到任何满足H(x)=H(y)的偶对(x,y)在计算上是不可行的。,24,五、利用HASH函数产生MAC,3、安全Hash函数的应用: 报文认证 AB: 发方生成报文M的hash码H(M)并使用传统密码对其加密,将加密后的结果附于消M之后发送给接收方。由于H(M)受密码保护,所以B通过比较H(M)可认证报文的真实性和完整性。,25,五、利用HASH函数产生MAC,3、安全Hash函数的应用: 保密
11、与认证 AB: 由于只有A和B共享秘密钥,所以B通过比较H(M)可认证报文源和报文的真实性。由于该方法是对整个报文M和Hash码加密,所以也提供了保密性。,26,五、利用HASH函数产生MAC,3、安全Hash函数的应用: 数字签名与认证 AB: 发方使用公钥密码用其私钥KdA对消息M的hash码签名,并将其附于报文M之后发送给收方。B可以验证Hash值来认证报文的真实性,因此该方法可提供认证;由于只有发方可以进行签名,所以该方法也提供了数字签名。,27,五、利用HASH函数产生MAC,4、安全Hash函数 SHA-1是由美国标准与技术研究所(NIST)设计并于1993年公布(FIPS PUB
12、 180),1995年又公布了FIPS PUB 180-1,通常称之为SHA-1。其输入为长度小于264位的报文,输出为160位的报文摘要,该算法对输入按512位进行分组,并以分组为单位进行处理。,28,身份认证,验证客户的真实身份和其所声称的身份是否相符的过程 根据用户的身份进行授权 根据审计设置记录用户的请求和行为 入侵检测系统实时或非实时地检测是否有入侵行为,29,身份认证,授权数据库,资源,安全管理员,身份认证,用户,访问监视器,控制访问控制,审计员,管理,审计,记录(实时入侵检测),记录(非实时入侵检测),30,主要内容,身份认证原理 单机状态下的身份认证 网络环境下的身份认证,31
13、,身份认证,单机状态下的身份认证 基于口令的认证方式 基于智能卡的认证方式 基于生物特征的认证方式,32,口令认证机制,若口令方案中的口令是不随时间变化的口令,则该机制提供弱鉴别(weak authentication)。 口令系统有许多脆弱点 口令猜测 外部泄露 线路窃听 重放,33,基于口令的认证方式,直接明文存储口令 Hash值存储口令 对于每个用户,系统将帐户和散列值对存储在一个口令文件中,当用户输入口令x,系统计算其散列值H(x),然后将该值与口令文件中相应的散列值比较,若相同则允许登录。 安全性仅依赖于口令,34,密码(口令)安全,强壮密码的组成 大写字母 小写字母 数字 非字母、
14、数字的字符 密码长度:不小于8字节长,35,强壮密码应符合的规则,个人名字或呢称,电话号码、生日等敏感信息,输入8字符以上密码,记录于纸上或放置于办公处,使用重复的字符,=强壮的密码,36,口令认证,口令验证是目前应用最为广泛的身份认证方法之一。 现行口令认证存在下列一些问题: 用户的口令以明文形式存储在系统中,系统管理员可以获得所有口令,攻击者也可利用系统的漏洞来获得他人的口令。 攻击者可能在传输线路上截获用户口令。因为用户的口令在用户终端到系统的线路上以明文形式传输。 用户和系统的地位不平等。只有系统认证用户,没有用户认证系统。,37,口令认证,现行口令认证的改进: 利用单向函数加密口令
15、在这种验证机制中,用户的口令在系统中以密文的形式存储,并且对用户口令的加密应使得从口令的密文恢复出口令的明文在计算上是不可行的。 利用数字签名方法验证口令 在这种验证机制中,用户i将其公钥提交给系统,作为验证口令的数据,提供给系统的认证数据是对口令的签名。,38,Unix系统中的口令机制,使用crypt()保证系统密码的完整性,完成单向加密功能。该函数基于DES算法。,使用salt防止口令文件中出现相同口令; 增加口令长度,39,装入一个新的口令,40,验证口令,41,六、口令认证,现行口令认证的改进: 口令的双向认证 设A和B是一对平等的实体。他们共享对方的口令。设A的口令为PA,B的令为P
16、B。当A要求与B通信时,B必须验证A的身份,因此A应当首先向B出示表示自己身份的数据。但此时A尚未对B的身份进行验证,所以A不能直接将自己的口令发给B。如果B要求与A通信也存在同样的问题。,42,六、口令认证,现行口令认证的改进: 为了实现口令的双向对等验证,可选择一个单向函数f。假定A要求与B通信,则A和B可如下相互认证对方的身份: 1. AB: RA 2. BA:f(PB | RA)| RB A计算判断 3. AB: f(PA| RB) B计算判断,43,六、口令认证,现行口令认证的改进: A首先选择随机数RA并发送给B。B收到RA后,产生随机数RB,利用单向函数f对其口令PB和随机数RA进行加密f (PB |RA),并连同RB一起发送给A。A利用单向函数f对自己保存的PB和RA 进
