现代密码学第十讲身份鉴别协议(精)
合集下载
(现代密码学原理与实践)第5章签名与认证
证算法为
(5-10)
其中:
e1=h(m)s-1 mod q, e2=rs-1 mod q
(5-11)
第5章签名与认证
实际上,由k={h(m)+xr}s-1 mod q知:
DSS的公布引起了学术界和商业界的激烈反应: 赞成的人 认为它长度小、速度快、成本低,对金融业特别有用;反对 的人则认为它不与国际标准(以RSA为标准的ISO、CCITT、 SWIFT等)兼容。从技术上讲,s不能等于零,要加以排除,否 则危及安全性。
则理论上可以推知
成立的概率为
它表明,如果B想用其他d值来否认y是他的签名,其结果就
很难使等式成立(立刻会被发现)。因此,B能愚弄A的概率只
有 。只要q充分大,B就没有理由否认自己的签名。
第5章签名与认证
5.1.5群签名
1991年,Chaum和VanHeyst基于以下问题提出群签名 (GroupSignature)方案:
第5章签名与认证
第5章 签名与认证
1. 数字签名 2. 单向散列(Hash)函数 3. 身份识别 4. 消息认证码(MAC) 习题 5 实践练习 5
第5章签名与认证
信息技术带来现代社会变革的一个重大方面是电子商务, 它极大地促进了传统商务模式的改变和结构的更新。而电子商 务的发展, 对信息安全技术又提出了多方位的新要求, 主要表 现在形形色色的签名与认证需求方面。密码技术近年来的巨大 发展, 也正集中体现在这些方面。
杂性要求;α∈ 是 域中q次单位元根, 1≤α≤q-1 。设G表示阶为q的 的乘法子群,且定义:
K={(p,α,β,a):β=αa mod p} 其中, 私有密钥为a;公开密钥为p、α、β
。
第5章签名与认证
现代密码学之密码协议.
比特承诺
利用基于单向函数的比特承诺方案如下:
Alice和 Bob共同选定一个单向函数,如Hash函数 Alice生成两个随机数和承诺比特串,计算单向函 数值并将结果(哈希值)和其中一个随机数发送 给Bob。 当Alice向Bob出示消息时,她把承诺比特串与另 一个随机数一起发送给Bob。 Bob计算hash值,并与第②步收到的值做比较以检 验消息的有效性。
国家级精品课程
现代密码学
灾备技术国家工程实验室 北京邮电大学信息安全中心
上一讲内容回顾
有特殊性质的签名方案
盲签名 群签名与环签名 多重签名 聚合签名 代理签名 不可否认签名 一次签名 失败即停签名 „„
《现代密码学章主要内容
密码协议概念 比特承诺 公平抛币协议 安全多方计算 电子货币 电子选举 匿名协议
4
本章主要内容
密码协议概念 比特承诺 公平抛币协议 安全多方计算 电子货币 电子选举 匿名协议
5
密码协议概念
协议是一系列步骤,它包括两方或多方, 设计它的目的是要完成一项任务。一般包含 了三个方面的含义:
⑴ 协议需要二个或二个以上的主体参与。 ⑵ 参与者按照一定的次序交替地执行一系列的步 骤,在前一步尚未完成之前,后面的步骤不能被执 行。 ⑶ 参与者必须能够协同地完成某项任务,或达成某 种意向。
a 勒让德符号 p 1和
a q 1 ,若满足则计算
x 2 a(mod n) 的四个根:x1 , n x1 , x2 , n x2 ,其中 n x1 x 2 x ,x 2 。然后Alice随机猜测Bob选取的是 1 2 中的哪一个,并把猜测结果0或1发送给Bob(事先规 定大的用1表示,小的用0表示).
现代密码学精讲
2.1.4 现代密码学主要技术(续)
签名和认证函数必须满足的性质 1) 当且仅当Vk’ (m, s)=True时,s是消息m的合法签 名。 2) 对于任何签名者以外的实体在计算上不可能得 到任意的一组mf和sf满足Vk’ (mf , sf)=True。 数字签名的争议解决(不可否认) 如果签名者和验证者对签名发生争议,可由验证 者带着签名 (m, s) 提交给可信任第三方 (TTP) ,由 TTP验证该签名,最后进行仲裁。
2.1.4 现代密码学主要技术(续)
证书链和证书路径
图2.5 证书链
2.1.4 现代密码学主要技术(续)
(3) 认证与鉴别技术 鉴别或实体认证 定义 9 鉴别或实体认证是一个过程。在这个过程 中一方通过获得一些确定的证据来确认参加实体 认证的另一方的身份,而具有相应身份的实体也 确实就是正在参与这一认证过程的另一方。 例子1 实体A与B通电话,如果A与B认识就可以通 过声音来确定对方的真实性。 例子2 实体A通过信用卡在银行ATM机上取钱。 # 特点:时实性。
2.1.4 现代密码学主要技术(续)
公钥加密 定义 7 一个由加密函数集{Ee: eK}和解密函数集 {Dd: dK} 组成加密方案,每一个相关联的加 / 解 密密钥对(e, d),加密密钥e公开,称为公开密钥, 而解密密钥d保密,称为秘密密钥。 # 显然安全公钥密码系统要求从 e 计算 d 为不可能。
2.1.4 现代密码学主要技术(续)
加密方案 加密方案是由一个加密函数集 {Ee: eK} 和解密函 数集{Dd: dK}构成,并且满足任意一个加密密钥 eK存在唯一一个解密密钥dK使 Dd=Ee1,也就是 对于所有明文消息mM ,存在Dd(Ee(m)) = m,(e, d)称为密钥对。设计加密方案就是确定M、 C、 K、 {Ee: eK}、{Dd:dK}的过程。
现代密码学第十讲身份鉴别协议(精)
声称者解密用它的公钥加密的挑战 声称者数字签署一个挑战
31
挑战-应答身份鉴别协议
基于公钥加密的挑战-响应
单向认证:
r为随机数
双向认证:
r1, r2为随机数
32
挑战-应答身份鉴别协议
基于数字签名的挑战-响应
带时戳的单向认证:
certA,certB为公钥证书; SA,SB为私钥;
20
口令认证协议
5)一次口令(向强口令的过渡) 防止窃听和随后的口令重放(无时变参数) 解决办法:每个口令只用一次 变体:
一次口令的共享列表 顺序更新一次口令 基于单向函数的一次口令序列:
21
口令认证协议
一次口令的共享列表 用户和系统都同意一个口令列表。列表中的每一个口令只能使用一次。 首先,系统和用户都要保存一个长的口令列表。其次,如果用户不按次序使用口
6
身份鉴别的定义
身份鉴别的定义: 1、在诚实的情况下,声称者A能向验证者B
证明他确实是A; 2、在声称者A向验证者B声称他的身份后,
验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
7
身份鉴别的定义
用于实现身份识别的协议。
带随机数的单向认证:
带随机数的双向认证:
33
挑战-应答身份鉴别协议
3)基于零知识证明的挑战-应答
零知识(Zero-knowledge)(ZK)证明的起源
Alice:我知道肯德基的土豆泥的配方以及做法。 Bob:不,你不知道。 Alice:我知道。 Bob:你不知道。 Alice:我确实知道! Bob:请你证实这一点! Alice:好吧,我告诉你!(她悄悄地说出了土豆泥的秘方) Bob:太有趣了!现在我也知道了。我要告诉《华盛顿邮报》 Alice:啊呀!
31
挑战-应答身份鉴别协议
基于公钥加密的挑战-响应
单向认证:
r为随机数
双向认证:
r1, r2为随机数
32
挑战-应答身份鉴别协议
基于数字签名的挑战-响应
带时戳的单向认证:
certA,certB为公钥证书; SA,SB为私钥;
20
口令认证协议
5)一次口令(向强口令的过渡) 防止窃听和随后的口令重放(无时变参数) 解决办法:每个口令只用一次 变体:
一次口令的共享列表 顺序更新一次口令 基于单向函数的一次口令序列:
21
口令认证协议
一次口令的共享列表 用户和系统都同意一个口令列表。列表中的每一个口令只能使用一次。 首先,系统和用户都要保存一个长的口令列表。其次,如果用户不按次序使用口
6
身份鉴别的定义
身份鉴别的定义: 1、在诚实的情况下,声称者A能向验证者B
证明他确实是A; 2、在声称者A向验证者B声称他的身份后,
验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
7
身份鉴别的定义
用于实现身份识别的协议。
带随机数的单向认证:
带随机数的双向认证:
33
挑战-应答身份鉴别协议
3)基于零知识证明的挑战-应答
零知识(Zero-knowledge)(ZK)证明的起源
Alice:我知道肯德基的土豆泥的配方以及做法。 Bob:不,你不知道。 Alice:我知道。 Bob:你不知道。 Alice:我确实知道! Bob:请你证实这一点! Alice:好吧,我告诉你!(她悄悄地说出了土豆泥的秘方) Bob:太有趣了!现在我也知道了。我要告诉《华盛顿邮报》 Alice:啊呀!
身份鉴别协议培训文件
口令认证协议
在第四种方法中,两种身份验证的技术是结 合在一起的。该类验证的一个很好的例子就 是带有(个人身份号码)的自动取款机卡。这 种卡属于"拥有某事"这一类,属于"知道某 事"这一类。就是一个可以提高卡的安全性 的口令。如果卡丢失了,不知道的话,也不 能使用。然而,的数字通常是非常短的,这 样持卡人才便于记忆。这就使得它容易受到 猜测攻击。
验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
身份鉴别的定义
用于实现身份识别的协议。
协议:是一系列步骤,它包括两方和多方, 设计它的目的是要完成一项任务。
协议是从开始到结束的一个序列,每步必须 依次执行
身份鉴别的定义
身份鉴别技术分类
① ( ):系统检查口令是否与系统拥有的相应用 户数据相匹配,批准声明的身份访问资源
② 用户是声称的身份 ③ 口令是支持声称的证据:固定口令、和通行密钥 ④ ( ):通过向验证者展示与证明者实体有关的
秘密知识来证明自己的身份,但在协议中并没有 向验证者泄露秘密本身。
口令认证协议
口令认证协议
一次口令的共享列表 用户和系统都同意一个口令列表。列表中的每一个口令只能使用一次。 首先,系统和用户都要保存一个长的口令列表。其次,如果用户不按次序使用
口令认证协议
3)口令加盐( ) 第一环节:口令字段字符串的生成:s = (, )
① 给口令撒盐: = (,); ② 用撒盐结果做密钥:K = ; ③ 用一个64位的全0位串构造一个数据块; ④ 设循环次数:i = 0; ⑤ 对数据块加密: = (K, ); ⑥ = ,i = i + 1; ⑦ 如果i < 25,则回到第⑤步; ⑧ 把数据块变换成字符串:s = (); ⑨ 返回s。
密码学10 身份认证
例2:钱琪要向王雪梅证明自己拥有某个房间 的钥匙,假设该房间只能用该钥匙打开,而其 他任何方法都打不开。钱琪有两种证明方式:
①钱琪把钥匙交给王雪梅,王雪梅用这把钥匙 打开该房间,从而证明钱琪拥有该房间的钥匙。 ──基于知识的证明
②王雪梅确定该房间内有某一物体,钱琪用自 己拥有的钥匙打开该房间的门,然后把物体拿 出来出示给王雪梅,从而证明自己确实拥有该 房间的钥匙,但王雪梅始终不能看到钥匙的样 子,从而避免了钥匙的泄露。──零知识证明
采用DES等对称密码
最常用的是第4、5版(V4、V5)
2004年9月3日MIT已承认Kerberos认证系统存 在潜在的拒绝服务缺陷。目前已经发布了矫正 缺陷的补丁程序;而随后发布的Kerberos51.35已包括修复程序
1. 设计动机
──对开放式系统认证机制的要求
1) 安全性:足够安全,不致成为攻击 的薄弱环节
3) 原理──A通过B回复的N或f(N)与 自己发出是否一致来判定本次消 息是不是重放的
4) 时钟要求──无
5) 适用性──用于连接性的对话
补.2 身份认证协议
补.2.1 双向认证协议
1. 基于对称密码和可信第三方的双向认证协议 N-S协议(由Roger Needham和Mห้องสมุดไป่ตู้chael Schroeder 发明):
②王雪梅给出一个随机值,钱琪用自己的私钥 对其加密,然后把加密后的数据交给王雪梅, 王雪梅用钱琪的公钥解密,如果能够得到原来 的随机值,则证明对方是钱琪,但王雪梅并未 得到钱琪的私钥。 ──零知识证明
补.1.3 协议基础
1. 身份认证协议的类型 双向认证协议 单向认证协议
基于对称密码的认证协议 基于公钥密码的认证协议 双方直接认证协议 基于第三方的认证协议
银行密码和身份鉴别技术
银行密码和身份鉴别技术银行业是国民经济的重要领域,银行信息安全是国家安全的重要组成部分,保障银行业信息安全的方式有很多,密码和身份鉴别技术无疑是非常重要的一种。
本章对密码技术的基本概念、身份验证的技术及在银行中的应用进行了介绍。
18.1密码技术概述密码技术理论性较强,在全面介绍密码技术的使用前,先对密码技术的基础知识做一个简单的介绍。
密码的发展由来已久,大体分为以下4个阶段:第一个阶段是从古代到19世纪末——古典密码(Classical Cryptography)。
第二个阶段从20世纪初到1949年——近代密码。
第三个阶段从1949年 C.E.Shannon(香农)发表的划时代论文“The Communica-tion Theoryof SecretSystems”开始——现代密码。
第四个阶段从1976年W.Diffie和M.Hellman发表的论文“New Directions in Cryp-tography”开始——公钥密码。
1.古典密码古典密码是非常古老的密码体系,其大部分加密算法都是使用代替密码或置换密码,有时则是两者的混合。
古典密码的使用历史悠久,但现代已经很少使用,在银行业几乎不再使用。
古典密码体制的安全性在于保持算法本身的保密性,受到算法限制,不适合大规模生产,不适合较大的或者人员变动较大的组织。
著名的古典密码有恺撒密码和斯巴达人天书密码,分别如图18-1、图18-2所示。
2.近代密码近代密码从算法来说与古典密码并没有本质差别,其标志为机械密码/机电密码的产生,用机电代替手工,这可以让其算法变得非常繁复,增加破译的难度,但又不影响加密、解密的速度,在战争中被大量使用。
图18-2 斯巴达人天书密码图18-3是著名的转轮密码机ENIGMA,由Arthur Scherbius于1919年发明。
在二次世界大战期间,ENIGMA曾是德国陆、海、空三军的最高级密码机。
图18-3 转轮密码机ENIGMA近代密码主要用于以前的军事通讯,目前在银行业中也几乎不使用。
身份识别协议
7.5.4 数字证书
证书存放方式 1)使用IC卡存放 即把用户的数字证书写到IC卡中,供用户随身 携带。这样用户在所有能够读IC卡证书的电子商 务终端上都可以享受电子商务服务。 2)直接存放在磁盘或自己的终端上 用户将从证书授权中心申请来的证书下载或复 制到磁盘或自己的PC机或智能终端上,当用户使 用自己的终端享受电子商务服务时,直接从终端 读入即可。
7.5.1身份识别
数字签名的一个最主要的应用领域就 是身份识别。
Bob? or Eve? Alice? or Eve?
?
Alice Eve
?
Bob
7.5.1身份识别
• 身份识别:又称为身份鉴别、实体认证、身份认 证等。 • 身份识别是在计算机网络中确认操作者身份的过 程。在这个过程中,其中一方确信参与协议的第 二方的身份,并确信第二方真正参与了该过程。 • 用户的身份识别是许多应用系统的第一道防线, 其目的在于识别用户的合法性,从而阻止非法用 户访问系统。身份识别(认证)对确保系统和数 据的安全保密是极其重要的。
7.5.1身份识别
• ID卡全称身份识别卡,信息储存在内置芯片,是一种不可 写入的感应卡,含固定的卡号,一般用于门禁。 • IC卡全称集成电路卡,信息储存在内置芯片里,可读写, 容量大,有加密功能,数据记录安全可靠,使用更方便, 如公交一卡通。 • 区别:1)ID卡无法写,只能读取ID号;而IC卡是能读能 写的,能加密,相对于ID卡使用安全很多。IC卡的安全性 远大于ID卡。2)ID卡内的卡号读取无任何权限,易于仿制。 IC卡内所记录数据的读取,写入均需相应的密码认证,甚至 卡片内每个区均有不同的密码保护,全面保护数据安全,IC 卡写数据的密码与读出数据的密码可设为不同,提供了良 好分级管理方式,确保系统安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13
口令认证协议
第二环节:口令字段信息维护: ① 接收用户提供的口令Dpw; ② 生成一个盐值:Dsalt = Arandom( ); ③ 生成口令信息:s = Agen(Dsalt, Dpw); ④ 把口令信息s和Dsalt存入数据库的口令 字段中。
14
口令认证协议
第三环节:身份认证过程: ① 接收用户提供的帐户名Dname和口令 Dpw; ② 在帐户信息数据库中检查Dname的合法 性,如果合法,则找出其对应的s和Dsalt; ③ 生成临时口令信息:sr = Agen(Dsalt, Dpw); ④ 如果sr与s相等,则认证成功,否则,认 证失败。
《现代密码学》第十章
身份鉴别协议
1
上章内容回顾
密钥管理简介 密钥分配 密钥协商 PKI及数字证书简介 秘密共享
2
本章主要内容
身份鉴别的定义 口令认证协议 挑战应答协议 对身份识别协议的攻击和对策
3
身份鉴别的定义
身份鉴别:又称为身份识别、实体认证。
它是这样一个过程,即其中一方确信参与协 议的第二方的身份,并确信第二方真正参与 了该过程。 用户的身份识别是许多应用系统的第一道防 线,其目的在于识别用户的合法性,从而阻 止非法用户访问系统。身份识别(认证)对 确保系统和数据的安全保密是极其重要的。
固定口令 A
PassWord
窃听?
B
IDA,PW
PW
检查口令 和身份
1)存储的口令文件
以明文形式将用户口令存储在系统口令文件中 存储安全? 口令文件需读保护和写保护 存储口令的单向函数值 口令文件需写保护
11
2)“加密的”口令文件
口令认证协议
服务器端的字典攻击:在这种攻击中,Eve 只对找到口令有兴趣,并不关心用户的ID。 例如,如果口令是六位数, Eve可以创建一 个六位数(000000~999999)的列表,然后对 每一个数使用散列函数,结果就是一个一百 万个散列的列表。她就可以得到口令档案并 搜索条目中的第二列,找出一个与之相匹配 的。这可以被编程并且在Eve的个人计算机 上脱机运行。找到匹配以后,伊夫就可以再 上线,用口令来访问系统。
(3)通信的有效性;
(4)是否需要第三方的实时参与; (5)对第三方的可信度的要求; (6)安全保证(可证明安全、零知识证明); (7)用来存储共享秘密数据的地方和方法。
9
身份鉴别的定义
身份鉴别技术分类
①
Passwords(weak authentication):系统检查 口令是否与系统拥有的相应用户数据相匹配,批 准声明的身份访问资源
用于实现身份识别的协议。 协议:是一系列步骤,它包括两方和多方, 设计它的目的是要完成一项任务。
协议是从开始到结束的一个序列,每步必须依 次执行 完成协议至少需要两个人 协议的目的是为了做一些事情
8
身份鉴别的定义
分析和评价身份认证协议应考虑如下几个方面: (1)交互性:是单方还是双方的身份认证; (2)计算的有效性;
用户ID是声称的身份 口令是支持声称的证据:固定口令、PIN和通行密钥
②
Challenge-response identification(strong authentication):通过向验证者展示与证明者 实体有关的秘密知识来证明自己的身份,但在协 议中并没有向验证者泄露秘密本身。
10
口令认证协议
15
口令认证协议
盐处理使字典攻击更为困难。如果原口令是 六位数,盐是四位数,那么散列处理的结果 就超过十位数。这就意味着伊夫现在要制作 一个有10,000,000个条目的列表,并为 每一个条目创建一个散列。这个散列列表也 有10,000,000个条目,比较这些条目要 花费很长时间。如果盐是一个很长的随机数 字,盐处理是非常有效的。UNIX操作系统 运用的就是这种方法的变种。
防止用户 使用弱口令造成危害
17
口令认证协议
在第四种方法中,两种身份验证的技术是结 合在一起的。该类验证的一个很好的例子就 是带有PIN(个人身份号码)的自动取款机卡。 这种卡属于"拥有某事"这一类,PIN属于"知 道某事"这一类。PIN就是一个可以提高卡的 安全性的口令。如果卡丢失了,不知道PIN 的话,也不能使用。然而,PIN的数字通常 是非常短的,这样持卡人才便于记忆。这就 使得它容易受到猜测攻击。
4
身份鉴别的定义
Bob? or Eve?
Alice? or Eve?
?
Alice Eve
?
Bob
5
身份鉴别的定义
பைடு நூலகம்
已知事物:口令、个人识别码(PIN)、挑战 -响应协议中已被证实的秘密或私钥。 已拥有的事物:通常是物理配件。如,磁卡、 智能卡(或IC卡)、口令生成器 固有事物(对某个人):利用人类物理特征和 无意行为。如,手写签名、指纹、声音、视 网膜模式、手的几何形状等。(非密码学的)
6
身份鉴别的定义
身份鉴别的定义: 1、在诚实的情况下,声称者A能向验证者B 证明他确实是A; 2、在声称者A向验证者B声称他的身份后, 验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
7
身份鉴别的定义
16
口令认证协议
4)PIN (Personal Identification Numbers):
属于固定(时不变)口令类,作为身份验证的证 据,通常和磁卡(或芯片卡、门卡)等一起使用。 通常很短,如4-8位数字 限制PIN的输入尝试次数 也可与通行码生成器一起使用:映射为通行密 钥(如56 bits的DES密钥),以保证用户和知 道用户口令的系统间的安全通信
12
口令认证协议
3)口令加盐(Salting Passwords) 第一环节:口令字段字符串的生成:s = Agen(Dsalt, Dpw) ① 给口令Dpw撒盐:Dpw = Asalt (Dsalt,Dpw); ② 用撒盐结果做密钥:K = Dpw; ③ 用一个64位的全0位串构造一个数据块Dp; ④ 设循环次数:i = 0; ⑤ 对数据块加密:Dc = Acrypt(K, Dp); ⑥ Dp = Dc,i = i + 1; ⑦ 如果i < 25,则回到第⑤步; ⑧ 把数据块变换成字符串:s = Atrans(Dc); ⑨ 返回s。
口令认证协议
第二环节:口令字段信息维护: ① 接收用户提供的口令Dpw; ② 生成一个盐值:Dsalt = Arandom( ); ③ 生成口令信息:s = Agen(Dsalt, Dpw); ④ 把口令信息s和Dsalt存入数据库的口令 字段中。
14
口令认证协议
第三环节:身份认证过程: ① 接收用户提供的帐户名Dname和口令 Dpw; ② 在帐户信息数据库中检查Dname的合法 性,如果合法,则找出其对应的s和Dsalt; ③ 生成临时口令信息:sr = Agen(Dsalt, Dpw); ④ 如果sr与s相等,则认证成功,否则,认 证失败。
《现代密码学》第十章
身份鉴别协议
1
上章内容回顾
密钥管理简介 密钥分配 密钥协商 PKI及数字证书简介 秘密共享
2
本章主要内容
身份鉴别的定义 口令认证协议 挑战应答协议 对身份识别协议的攻击和对策
3
身份鉴别的定义
身份鉴别:又称为身份识别、实体认证。
它是这样一个过程,即其中一方确信参与协 议的第二方的身份,并确信第二方真正参与 了该过程。 用户的身份识别是许多应用系统的第一道防 线,其目的在于识别用户的合法性,从而阻 止非法用户访问系统。身份识别(认证)对 确保系统和数据的安全保密是极其重要的。
固定口令 A
PassWord
窃听?
B
IDA,PW
PW
检查口令 和身份
1)存储的口令文件
以明文形式将用户口令存储在系统口令文件中 存储安全? 口令文件需读保护和写保护 存储口令的单向函数值 口令文件需写保护
11
2)“加密的”口令文件
口令认证协议
服务器端的字典攻击:在这种攻击中,Eve 只对找到口令有兴趣,并不关心用户的ID。 例如,如果口令是六位数, Eve可以创建一 个六位数(000000~999999)的列表,然后对 每一个数使用散列函数,结果就是一个一百 万个散列的列表。她就可以得到口令档案并 搜索条目中的第二列,找出一个与之相匹配 的。这可以被编程并且在Eve的个人计算机 上脱机运行。找到匹配以后,伊夫就可以再 上线,用口令来访问系统。
(3)通信的有效性;
(4)是否需要第三方的实时参与; (5)对第三方的可信度的要求; (6)安全保证(可证明安全、零知识证明); (7)用来存储共享秘密数据的地方和方法。
9
身份鉴别的定义
身份鉴别技术分类
①
Passwords(weak authentication):系统检查 口令是否与系统拥有的相应用户数据相匹配,批 准声明的身份访问资源
用于实现身份识别的协议。 协议:是一系列步骤,它包括两方和多方, 设计它的目的是要完成一项任务。
协议是从开始到结束的一个序列,每步必须依 次执行 完成协议至少需要两个人 协议的目的是为了做一些事情
8
身份鉴别的定义
分析和评价身份认证协议应考虑如下几个方面: (1)交互性:是单方还是双方的身份认证; (2)计算的有效性;
用户ID是声称的身份 口令是支持声称的证据:固定口令、PIN和通行密钥
②
Challenge-response identification(strong authentication):通过向验证者展示与证明者 实体有关的秘密知识来证明自己的身份,但在协 议中并没有向验证者泄露秘密本身。
10
口令认证协议
15
口令认证协议
盐处理使字典攻击更为困难。如果原口令是 六位数,盐是四位数,那么散列处理的结果 就超过十位数。这就意味着伊夫现在要制作 一个有10,000,000个条目的列表,并为 每一个条目创建一个散列。这个散列列表也 有10,000,000个条目,比较这些条目要 花费很长时间。如果盐是一个很长的随机数 字,盐处理是非常有效的。UNIX操作系统 运用的就是这种方法的变种。
防止用户 使用弱口令造成危害
17
口令认证协议
在第四种方法中,两种身份验证的技术是结 合在一起的。该类验证的一个很好的例子就 是带有PIN(个人身份号码)的自动取款机卡。 这种卡属于"拥有某事"这一类,PIN属于"知 道某事"这一类。PIN就是一个可以提高卡的 安全性的口令。如果卡丢失了,不知道PIN 的话,也不能使用。然而,PIN的数字通常 是非常短的,这样持卡人才便于记忆。这就 使得它容易受到猜测攻击。
4
身份鉴别的定义
Bob? or Eve?
Alice? or Eve?
?
Alice Eve
?
Bob
5
身份鉴别的定义
பைடு நூலகம்
已知事物:口令、个人识别码(PIN)、挑战 -响应协议中已被证实的秘密或私钥。 已拥有的事物:通常是物理配件。如,磁卡、 智能卡(或IC卡)、口令生成器 固有事物(对某个人):利用人类物理特征和 无意行为。如,手写签名、指纹、声音、视 网膜模式、手的几何形状等。(非密码学的)
6
身份鉴别的定义
身份鉴别的定义: 1、在诚实的情况下,声称者A能向验证者B 证明他确实是A; 2、在声称者A向验证者B声称他的身份后, 验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
7
身份鉴别的定义
16
口令认证协议
4)PIN (Personal Identification Numbers):
属于固定(时不变)口令类,作为身份验证的证 据,通常和磁卡(或芯片卡、门卡)等一起使用。 通常很短,如4-8位数字 限制PIN的输入尝试次数 也可与通行码生成器一起使用:映射为通行密 钥(如56 bits的DES密钥),以保证用户和知 道用户口令的系统间的安全通信
12
口令认证协议
3)口令加盐(Salting Passwords) 第一环节:口令字段字符串的生成:s = Agen(Dsalt, Dpw) ① 给口令Dpw撒盐:Dpw = Asalt (Dsalt,Dpw); ② 用撒盐结果做密钥:K = Dpw; ③ 用一个64位的全0位串构造一个数据块Dp; ④ 设循环次数:i = 0; ⑤ 对数据块加密:Dc = Acrypt(K, Dp); ⑥ Dp = Dc,i = i + 1; ⑦ 如果i < 25,则回到第⑤步; ⑧ 把数据块变换成字符串:s = Atrans(Dc); ⑨ 返回s。