安全协议与标准第一部分.pptVIP

* * * * * * * 离线口令 猜测攻击 离线口令猜测攻击参见论文: 第一部分 内容总结 身份证明： Schnorr身份识别方案， Okamoto身份识别方案 基本协议： Needham-Schroeder协议及其分析，基于公钥加密的认证协议 密钥协商协议：两方密钥交换协议（一轮）， 两方认证密钥交换协议（两轮），简化的STS协议（三轮）， 提供了密钥确认的简化STS协议（三轮），最后修改的简化STS协议（三轮） 基于消息认证码的认证密钥协商与分析 基于口令的三方密钥协商协议与分析 基于口令的认证协议：直接的口令认证协议，Needham 的口令认证协议S/KEY协议（ “一次性口令”系统），加密的密钥交换（EKE）* * * * * * * * * * * * * * * * * * * * * * * * * * * * * A :r1 B :r2 设：G是q阶循环群，g是G的生成元 A :r1 B :r2 r1的泄露会导致敌手冒充A与B协商密钥 r2的泄露会导致敌手冒充B与A协商密钥 A :r1 B :r2 我们给出的修改协议两轮: 四. 基于口令的认证协议 由于口令简单易记，在远程访问计算机系统的“用户-主机”模式中，广泛应用基于口令的认证（Password-based Authentication）。 在这种类型的认证中，用户和主机共享某个口令，该口令实质上等价于一个长期然而相当短的对称密钥。 如果用户U希望使用主机H提供的服务，H必须首先对U进行初始化并发给他一个口令。 H保留一个存有所有用户口令的文档。该文档的每一行记录都是一对数据（IDU, PU），其中IDU是U的身份，PU是U的口令。 U访问H的一种直接的基于口令的协议可能为下面的形式： 1.U→H: IDU 2.H→U: “输入口令:” 3.U→H: PU 4.H从其口令文档中寻找记录IDU, PU ，如果接收的PU与记录中的匹配，就允许访问。 直接的基于口令的协议： 然而，在远程开放网络通信的环境下，因为上面的口令协议中任何主体都没有执行密码操作，所以会带来两个严重的问题: 第一个问题是主机H所维护的口令文件的脆弱性。因为保存的口令文件可能会被Malice读取（现在Malice是内部人员，甚至是系统管理员）。在Malice拥有口令文件之后，他就拥有了所有用户的所有权限；于是他就能够通过伪装某个用户登陆系统，从而对该用户甚至整个系统造成不可检测的损害。很明显，在某个用户名下攻击系统降低了Malice被发现的危险。 基于口令的简单远程访问协议带来的第二个问题是，从U到H发送的口令是明文形式，这样该口令可能会被Malice窃听。该攻击称为在线口令窃听 Online Password Eavesdropping。 Needham口令认证协议及其在UNIX操作系统中的实现Needham首先提出了一个非常有效并且十分简单的方法，该方法可以解决口令在主机中的安全存储问题。主机H可以使用某个单向函数来对口令编码，也就是说，记录（IDU, PU）→（IDU, fPU）代替，f是一个单向函数，对该函数求逆是困难的。 前提：U和主机H已经设置好记录IDU, fPU , U记住口令PU目标：U使用其口令登陆到H。 1.U→H: IDU 2.H→U: “输入口令:” 3.U→H: PU 4.H对PU应用函数 ，从口令文档中找出记录（IDU, fPU ，如果计算得到的 fPU 与记录中的数据匹配，就允许访问。 协议:Needham 的口令认证协议 尽管口令文件的机密性不必再作过多考虑，口令文件的完整性仍然必须维护。同样，协议容易受到在线口令窃听攻击。一次性口令机制就是为了抵抗该攻击而设计的，下面我们来描述该协议。 一次性口令机制 Lamport提出了一个简单的思想来挫败在线的口令窃听。该技术可以看作是一次性口令机制。这里，“一次性”的意思是U发送给H的口令不会重复，但是这些口令在计算上是相关的。这样，因为从协议的某次运行中窃听的口令以后不能再用，所以也就成功的防止了口令窃听。 在用户初始化时，U的口令记录设置为 其中n是一个大整数。同前面的口令认证协议中的一样，用户只须记住PU。 U和H首次运行口令认证协议，在要求输入口令时（口令认证协议的第2行消息），U的计算设备，比如客户平台或计算器，会要求U输入PU，然后重复计算 函数n–1次，得到。即使当n比较大（例如，n1000）时也能够很有效的完成。计算结果会在认证协议的第3行发送给H。 在接收到以后，H会对接收的口令执行一次 运算，得到，然后执行口令认证协议第4步的正确性检验。如果通过检验，H就认为接收的值是，并且是从PU计算得到的，而该PU是在初始化时设定的，因此通信对方必然是U。这样，U就