哈工大安全中心-运行安全-05.ppt

运行安全 --身份认证 主讲人：翟健宏 Email: zhaijh@hit.edu.cn 办公室:新技术楼509 Tel:04511 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证） 1问题的提出 身份欺诈 中间欺骗 象棋大师问题 Mafia问题 多身份欺诈 1 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证） 2 身份认证概念 定义：证实客户的真实身份与其所声称的身份是否相符的过程 依据： Something the user know (所知)：密码、口令等 Something the user possesses （拥有）：身份证、护照、密钥盘等 Something the user is or How he behaves （特征)：指纹、笔迹、声纹、虹膜、DNA等 协议：PAP，CHAP、Kerberos、X.509 形式：主要有单向认证(one-way authentication) 、双方认证(mutual authentication)两种形式。 1 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证） 3 单向认证 传统加密方法 公钥加密方法 1 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证） 4双向认证协议 4.1 双向认证 双方认证是最常用的协议，该协议使得通信各方互相认证鉴别各自的身份，然后，交换会话密钥。 基于认证的密钥交换核心问题有两个：保密性、时效性。 为了防止伪装和防止暴露会话密钥，基本认证与会话密码信息必须以保密形式通信，这就要求预先存在保密或公开密钥供实现加密使用，第二个问题也很重要，因为涉及防止消息重放攻击。 4.2消息重放 对付重放攻击的一种方法是： 在认证交换中，使用一个序数来给每一个消息报文编号，仅当收到的消息序数顺序合法时才接受之，但这种方法的困难是要求双方必须保持上次消息的序号 . 时间戳方法似乎不能用于面向连接的应用，固有的困难： (1)需要在各种处理器时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击； (2)由于某一方的时钟机制故障，可能导致临时失去同步，这将增大攻击成功的机会； (3)由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步，因此，任何基于时间戳的过程必须采用时间窗的方式来处理，一方面时间窗应足够大以包容网络延迟；另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。 5加密方法 5.1 传统加密方法 Needham/Schroeder Protocol [1978] 1 A → KDC： IDA||IDB||N1 2 KDC → A： EKa[Ks||IDB||N1||EKb[Ks||IDA]] 3 A → B：EKb[Ks||IDA] 4 B → A：EKs[N2] 用KS加密的信息N2-A 通知A 5 A → B：EKs[f(N2)] 保密密钥Ka和Kb分别是A和KDC，B和KDC之间共享的密钥，本协议的目的就是要安全地分发一个会话密钥Ks给A和B。 A在第2步安全地得到了一个新的会话密钥，第3步只能由B解密并理解，第4步表明B已知道Ks了，第5步表明A相信B知道Ks，并且，消息不是伪造的。 第4、5步目的是为了防止某种类型的重放攻击，特别是如果敌方能够在第3步捕获该消息，并重放之，这将在某种程度上干扰破坏B方的运行操作。 上述方法尽管有第4,5步的握手但仍然有漏洞。 假定攻击方C已经掌握A和B之间通信的一个老的会话密钥，C可以在第3步冒充A利用老的会话密钥欺骗B，除非B记住所有以前使用的与A通信的会话密钥，否则B无法判断这是一个重放攻击。 如果C可以中途阻止第4步的握手信息，则可以冒充A在第5步响应，从这一点起C就可以向B发送伪造的消息，而对B来说，认为是用认证的会话密钥与A进行的正常通信。 Denning Protocol [1982] 改进 1 A