公钥密码体系-Read.PPT

身份认证与密钥协商 杭州电子科技大学 身份认证－引言 从对计算机系统或网络的一般访问过程来看，身份认证是用户获得访问权限的第一步。如果用户身份得不到系统的认可，即授权，他就无法进入该系统并进而访问系统资源。从这个意义来讲，身份认证是安全防御的第一道防线，它是防止非授权用户或进程进入计算机系统的有效安全保障措施。 例子 身份认证的方法 基于用户知道什么的身份认证 基于用户拥有什么的身份认证 基于用户拥有什么的身份认证技术使用的是令牌，这里介绍两种令牌：记忆令牌和智能卡。 记忆令牌只存储信息，不对信息进行处理，令牌上信息的读取和写入是用专门的读/写设备来完成的。记忆令牌的最通用形式是磁卡(就像信用卡背面一样有一条磁条)。通常，用于计算机认证的记忆令牌是ATM卡，它是采用用户拥有什么(卡)和用户知道什么(身份识别码)的组合。 智能卡通过在令牌中采用集成电路以增加其功能。 智能卡分为信用卡型智能卡(内嵌微处理器)和类似计算器、钥匙、便携式物体的智能卡。 基于用户是谁的身份认证 这种机制采用的是生物特征识别技术，它采用的是用户独特的生理特征来认证用户的身份。这些生理特征包括生理属性(如指纹、视网膜识别等)和行为属性(如声音识别、手写签名识别等)。这些技术已经应用到了计算机的登录程序中。 口令机制 口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为5~8的字符串。选择原则：易记、难猜、抗分析能力强 口令系统有许多脆弱点： 外部泄露 口令猜测 线路窃听 重放 对付线路窃听的措施 对付重放攻击的措施 一次性口令机制 一次性口令机制确保在每次鉴别中所使用的口令不同，以对付重放攻击。 询问—应答机制 询问—应答机制 口令认证采用单向函数实现，在验证者的计算机存储识别对象的单向函数值，这种技术在某种程序上避免了他人假冒，但或多或少还存在一些安全问题，只能通过密码技术设计出更安全的识别协议。 安全身份识别协议 一个安全的识别协议至少满足以下两个条件 1)证明者P能向验证者V证实他的确是P 2)当证明者P向验证者B出示证明自己的身份后，验证者V无法获取有关P的任何有用信息 Schnorr身份识别方案 Schnorr识别方案是1988年提出的一种比较实用的方案，它具有的计算量和通信量比较少，特别适用于智能卡上的用户认证方法。 Schnorr方案需要一个密钥认证中心KAC，负责管理一切用户，KAC预先选定下面参数： 1)P是一个大素数，p2512 2)q是一个大素数，p2140,q|(p-1) 3)a是Zp*中阶为q的元素 4)KAC选择一安全的签名方案，签名算法：SigKAC，验证算法VerKAC KAC给申请用户颁发证书 用户申请证书过程： 1)用户到KAC注册其公开密钥，KAC验明用户身份后，对每位用户指定ID(U) 2)每位用户随机选定一个密钥w，且计算公开密钥v=a-wmodp，并将v发送给KAC 3)KAC对(ID(U),v)签名,s=SigKAC (ID(U),v) C(U)=(ID(U),v,s) 假设证明者为A，验证者为B，Schnorr用户身份认证过程： 1)A随机选择一个数k，0kq-1，计算x=ak modp; 2)A把自己证书C(A)=(ID(A),v,s)和x发送给B 3)B通过VerKAC检查证书 4)B随机选择一整数r，1r2t，并将r发送给A 5)A计算y=(k+wr)modq，并将y发送给B 6)B验证x=ayvrmodp是否成立来识别A， 例 P=88667,q=1031,a=70322,a的阶等于q, A向KAC申请证书,A的秘密密钥w=755, v=a-w=70322-755mod88667=13136 1)A选择k=543,x=akmodp84109 2)B选择r=1000, 3)A计算y=(k+wr)modq=543+755×1000mod1031=851 4)B验证 x=ayvrmodp 84109=131361000mod 88667 t是一个安全参数，目的是预防冒充者OSCAR通过猜测B的询问r来伪装A，如果OSCAR猜测了正确的r值，他能选择任意一个y值并计算x=ayvrmodp，在第1步中他将给B发送x，然后他接到B的询问r时，他将提供已选择好的y值，而第6步B证实OSCAR是A 协议中基本上做两件事： 1)验证A的证书的有效性 2)验证A知道其秘密密钥w，在身份识别协议中，值w不会暴露，这个技术称为知识证明 考虑OSCAR如何冒充A 1)伪造证书 2)使用A的证书 安全性基于解离散对数问题的困难性 Kerberos概述