现代密码学第十讲身份鉴别协议.pptVIP

身份鉴别协议 上章内容回顾 密钥管理简介 密钥分配 密钥协商 PKI及数字证书简介 秘密共享 本章主要内容 身份鉴别的定义 口令认证协议 挑战应答协议 对身份识别协议的攻击和对策 身份鉴别的定义 身份鉴别：又称为身份识别、实体认证。它是这样一个过程，即其中一方确信参与协议的第二方的身份，并确信第二方真正参与了该过程。 用户的身份识别是许多应用系统的第一道防线，其目的在于识别用户的合法性，从而阻止非法用户访问系统。身份识别（认证）对确保系统和数据的安全保密是极其重要的。 身份鉴别的定义 身份鉴别的定义 已知事物：口令、个人识别码(PIN)、挑战-响应协议中已被证实的秘密或私钥。 已拥有的事物：通常是物理配件。如，磁卡、智能卡(或IC卡)、口令生成器 固有事物(对某个人)：利用人类物理特征和无意行为。如，手写签名、指纹、声音、视网膜模式、手的几何形状等。（非密码学的） 身份鉴别的定义 身份鉴别的定义： 1、在诚实的情况下，声称者A能向验证者B证明他确实是A； 2、在声称者A向验证者B声称他的身份后，验证者B不能获得任何有用的信息，B也不能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份，让B相信C是A的概率可忽略不计 身份鉴别的定义 用于实现身份识别的协议。 协议：是一系列步骤，它包括两方和多方，设计它的目的是要完成一项任务。 协议是从开始到结束的一个序列，每步必须依次执行 完成协议至少需要两个人 协议的目的是为了做一些事情 身份鉴别的定义 分析和评价身份认证协议应考虑如下几个方面： （1）交互性：是单方还是双方的身份认证； （2）计算的有效性； （3）通信的有效性； （4）是否需要第三方的实时参与； （5）对第三方的可信度的要求； （6）安全保证（可证明安全、零知识证明）； （7）用来存储共享秘密数据的地方和方法。 身份鉴别的定义 Passwords（weak authentication）：系统检查口令是否与系统拥有的相应用户数据相匹配，批准声明的身份访问资源 用户ID是声称的身份 口令是支持声称的证据：固定口令、PIN和通行密钥 Challenge-response identification（strong authentication）：通过向验证者展示与证明者实体有关的秘密知识来证明自己的身份，但在协议中并没有向验证者泄露秘密本身。 口令认证协议 固定口令 1）存储的口令文件 以明文形式将用户口令存储在系统口令文件中 口令文件需读保护和写保护 2）“加密的”口令文件 存储口令的单向函数值 口令文件需写保护 口令认证协议 服务器端的字典攻击：在这种攻击中，Eve只对找到口令有兴趣，并不关心用户的ID。例如，如果口令是六位数， Eve可以创建一个六位数(000000~999999)的列表，然后对每一个数使用散列函数，结果就是一个一百万个散列的列表。她就可以得到口令档案并搜索条目中的第二列，找出一个与之相匹配的。这可以被编程并且在Eve的个人计算机上脱机运行。找到匹配以后，伊夫就可以再上线，用口令来访问系统。 口令认证协议 3）口令加盐(Salting Passwords) 第一环节：口令字段字符串的生成：s = Agen(Dsalt, Dpw) ① 给口令Dpw撒盐：Dpw = Asalt (Dsalt，Dpw)； ② 用撒盐结果做密钥：K = Dpw； ③ 用一个64位的全0位串构造一个数据块Dp； ④ 设循环次数：i = 0； ⑤ 对数据块加密：Dc = Acrypt(K, Dp)； ⑥ Dp = Dc，i = i + 1； ⑦ 如果i 25，则回到第⑤步； ⑧ 把数据块变换成字符串：s = Atrans(Dc)； ⑨ 返回s。 口令认证协议 第二环节：口令字段信息维护： ① 接收用户提供的口令Dpw； ② 生成一个盐值：Dsalt = Arandom( )； ③ 生成口令信息：s = Agen(Dsalt, Dpw)； ④ 把口令信息s和Dsalt存入数据库的口令字段中。 口令认证协议 第三环节：身份认证过程： ① 接收用户提供的帐户名Dname和口令Dpw； ② 在帐户信息数据库中检查Dname的合法性，如果合法，则找出其对应的s和Dsalt； ③ 生成临时口令信息：sr = Agen(Dsalt, Dpw)； ④ 如果sr与s相等，则认证成功，否则，认证失败。 口令认证协议 盐处理使字典攻击更为困难。如果原口令是六位数，盐是四位数，那么散列处理的结果就超过十位数。这就意味着伊夫现在要制作一个有10，000，000个条目的列表，并为每一个条