安全协议分析与设计课件第2章-上身份认证协议.ppt

安全协议分析与设计第二章（上） 卫剑钒 身份认证协议 认证（Authentication）指的是对被认证对象某种属性真实性的保证和确认。当被认证对象为人或机构且被认证的属性是身份时，就称为身份认证。 身份认证可以分为单向身份认证和双向身份认证。单向身份认证是指两个主体A和B，A认证了B的身份，但B的身份并没有或者不需要被A认证。双向身份认证则是指A认证了B的身份，并且B也认证了A的身份。 根据在协议中可信第三方的参与情况，可以将身份认证协议分为无可信第三方的和带可信第三方的这两大类。 无可信第三方的认证协议 在无可信第三方身份认证协议中，用户之间认证身份的交互，不需要可信第三方的参与。 由于没有第三方，协议中消息加密使用的密钥，需要保存在双方本地。 如果使用对称加密体制，需要各用户之间存在共享的密钥；如果使用公钥加密体制，则要求每个用户都拥有其他用户的公开密钥。 ISO/IEC 9798-2单向单条消息认证协议 协议的目的是B用单条消息认证A的身份。 B收到A发来的消息后，用和A共享的密钥Kab将Msg1解密，检验时间戳Ta和身份B是否正确，如果正确，则认可发送消息的源用户是A。 Msg1 A→B: { Ta，B }Kab ISO/IEC 9798-2单向两条消息认证协议 和ISO/IEC 9798-2单向单条消息认证协议大体类似，提供的服务也相同。 两者的不同之处，仅在于两条消息认证协议中使用的不是时间戳，而是随机数。 Msg1 B→A: Nb Msg2 A→B: { Nb，B }Kab ISO/IEC 9798-2双向两条消息认证协议 它提供了双向的身份认证服务，A和B分别使用单向单条消息认证协议中的方法，用一条消息来认证对方的身份。 Msg1 A→B: { Ta，B }Kab Msg2 B→A: { Tb，A }Kab ISO/IEC 9798-2双向3条消息认证协议 和ISO/IEC 9798-2双向两条消息认证协议的不同之处在于使用的是随机数，而不是时间戳。 协议的最后一条消息，B将两个随机数绑定在一起，用A和B共享的秘密密钥加密后，发送给A。 Msg1 B→A: Nb Msg2 A→B: { Nb，Na，B }Kab Msg3 B→A: { Nb，Na }Kab ISO/IEC 9798-3单向单条消息认证协议 主体A将时间戳Ta和B的身份用自己的私钥Ka?1签名，B收到后，用A的公开密钥对此进行解密，检查时间戳以及身份B是否正确，从而验证A的身份。 Msg1 A→B: Ta，B，{Ta，B} Ka-1 ISO/IEC 9798-3单向两条消息认证协议 A在给B发送的数据中，加入了自己产生的随机数，这个随机数并不是为了身份认证而加入的。 通过在签名中加入Na，使得A不会盲目地对B发送的信息进行签名，以防止攻击者获得一个它需要的签名。 Msg1 B→A: Nb Msg2 A→B: Na，Nb，B，{ Na，Nb，B} Ka?1 ISO/IEC 9798-3双向两条消息认证协议 它可以看成是由两个独立单向单条消息认证过程组成的。主体B通过Msg1认证了主体A的身份，A通过Msg2认证B的身份。 Msg1 A→B: Ta，B，{ Ta，B } Ka?1 Msg2 B→A: Tb，A，{ Tb，A } Kb?1 ISO/IEC 9798-3双向3条消息认证协议 A和B各自都使用了自己的随机数Na和Nb，通过验证对方的签名，来达到认证对方身份的目的。 Msg1 B→A: Nb Msg2 A→B: Na，Nb，B，{ Na，Nb，B } Ka?1 Msg3 B→A: Nb，Na，A，{ Nb，Na，A } Kb?1 ISO/IEC 9798-3双向3条消息认证协议的早期版本中，B在Msg3中发送给A的不是Nb，而是一个新的随机数Nb‘。 Msg1 B→A: Nb Msg2 A→B: Na，Nb，B，{Na，Nb，B}Ka?1 Msg3 B→A: Nb，Na，A，{Nb，Na，A}Kb?1 这个早期版本存在Canadian攻击。攻击者同时发起两个会话，一个是冒充B对A发起，一个是冒充A对B发起。将第2个会话中B的回应消息Msg2‘直接作为第1个会话中的Msg3发给A，使得A认为自己和B完成了第1个会话（实际上B并没有参加）。 ISO/IEC 9798-3两条消息并行认证协议 这个协议可以看成是由两个并行的单向两条消息认证协议组成的。 Msg1和Msg1可以同时发送，Msg2和Msg2也如此。 有可信第三方的认证协议 有可信第三方的身份认证协议，指的是协议的交互需要借助可信的第三方来认证用户的身份。在这种情况下，可信的第三方和每个用户