密码编码学与网络安全(第五版)向金海12-用户认证

《密码编码学与网络安全(第五版)向金海12-用户认证》由会员分享，可在线阅读，更多相关《密码编码学与网络安全(第五版)向金海12-用户认证（38页珍藏版）》请在装配图网上搜索。

1、Chapter 15 用户认证 2021-5-5华中农业大学信息学院2 本章内容n远程用户认证n基于对称加密的远程用户认证n Kerberosn 基于非对称加密的远程用户认证n 联合身份管理 2021-5-5华中农业大学信息学院3 15.1 远程用户认证原理n鉴定阶段n核实阶段 n认证方式q知道什么q拥有什么q静态生物特征q动态生物特征n 基于网络的最重要的认证方式是 q加密密钥q用户口令 2021-5-5华中农业大学信息学院4 15.1.1 认证协议n用于确认通信的参与者，并交换会话密钥。n认证可以是单向的也可以是相互的。n主密钥应该是q保密的 保护会话密钥q有时间性 防止重放攻击n发布的协

2、议往往发现有缺陷需要修订 2021-5-5华中农业大学信息学院5 15.1.1 相互认证n当有效的签名消息被拷贝，之后又重新被发送q简单重放q可检测的重放q不可检测的重放q不加修改的逆向重放（对称密码）n解决办法包括：q序列号 (通常不可行) q时间戳(需要同步时钟)q随机数/响应 (目前的常用方法)重放攻击 2021-5-5华中农业大学信息学院6 15.1.2 单向认证n当收发双方不能在同一时间在线时 (eg. email)n有明确的头信息以被邮件系统转发n希望对内容进行保护和认证 2021-5-5华中农业大学信息学院7 15.2 基于对称加密的远程用户认证n如前所述，需要两层密钥。n可信的

3、KDC, Key Distribution Centerq每个用户与KDC共享一个主密钥qKDC产生通信方之间所用的会话密钥q主密钥用于分发会话密钥 2021-5-5华中农业大学信息学院8 Needham-Schroeder 协议n有第三方参与的密钥分发协议n KDC作为AB会话的中介n协议:1. A - KDC: IDA | IDB | N12. KDC - A: EKa Ks | IDB | N1 | EKb Ks | IDA 3. A - B: EKb Ks | IDA4. B - A: E KsN25. A - B: EKs f (N2) 2021-5-5华中农业大学信息学院9 Nee

4、dham-Schroeder 协议n用于安全地分发AB之间通信所用的会话密钥n存在重放攻击的风险，如果一个过时的会话密钥被掌握q则消息3可以被重放以欺骗B使用旧会话密钥，使B遭到破坏n解决的办法:q时间戳 (Denning 81)q使用一个额外的临时会话号 (Neuman 93) 2021-5-5华中农业大学信息学院10 n添加时间戳:1. A - KDC: IDA | IDB 2. KDC - A: EKa Ks | IDB | T | Eb Ks | IDA|T3. A - B: EKb Ks | IDA |T4. B - A: EKsN15. A - B: EKs f (N1) 2021

5、-5-5华中农业大学信息学院11 n防止压制重放攻击:1. A - B: IDA | Na 2. B-KDC: IDB|Nb|E(Kb,IDA|Na|Tb)3. KDC-A: EKa IDB |Na|Ks| Tb | EKb IDA| Ks | Tb|Nb4. A - B: EKb IDA | Ks | Tb|EKsNb 2021-5-5华中农业大学信息学院12 对称加密方法-单向认证n可以变化对KDC的使用，但是不能使用临时交互号:1. A-KDC: IDA | IDB | N12. KDC - A: EKaKs | IDB | N1 | EKbKs|IDA 3. A - B: EKbKs|

6、IDA | EKsMn不能抗重放攻击q可以引入时间戳到信息中但email的处理中存在大量延时，使得时间戳用途有限。 2021-5-5华中农业大学信息学院13 15.3 Kerberosn由MIT开发 n在分布式网络中提供有第三方参与的基于私钥的认证q允许用户通过访问分布在网络中的服务q没有必要相信所有工作站q然而都信任认证中心服务器n两个版本: 4 & 5 2021-5-5华中农业大学信息学院14 Kerberos 要求n第一份Kerberos的需求报告:q安全性q可靠性q透明性q可伸缩性n用基于Needham-Schroeder的认证协议实现 2021-5-5华中农业大学信息学院15 Ker

7、beros v4 概览n基于第三方的认证方案n认证服务器 (AS) q用户初始与AS对话以标识自身q AS 发放一个高度可信的认证证书 (ticket granting ticket, TGT) n票据授权服务器 (TGS)q用户接着从TGS以TGT为依据得到其它访问服务 2021-5-5华中农业大学信息学院16 Kerberos v4 对话1.从AS得到授权票据(TGT)每个会话进行一次2.从TGT获得服务授权票据对每个不同的服务请求一次3.客户/服务器交换信息以获得服务每次服务时 2021-5-5华中农业大学信息学院17 Kerberos 4 概览 2021-5-5华中农业大学信息学院18

8、 Kerberos 域n一个Kerberos环境的构成:q一个Kerberos服务器q客户，都在AS中已经注册q应用服务器，与AS共享密钥n环境术语称为：域，realmq典型地都是一个单一的行政区域n如果有多个域，Kerberos 服务器之间必须相互信任且共享密钥 2021-5-5华中农业大学信息学院19 Kerberos 域 2021-5-5华中农业大学信息学院20 Kerberos 版本5n制定于20世纪90年代中期n作为 RFC 1510n对v4作了改进q环境缺陷n对加密系统的依赖性, 网络协议, 字节序, 票据生命期, 向前认证, 域间认证q技术不足n两次加密, 非标准模式PCBC,

9、会话密钥, 口令攻击 2021-5-5华中农业大学信息学院21 Kerberos 小结条件 - 过程 - 总结p 条件：C l i e n t与K D C， K D C与Service 在协议工作前已经有了各自的共享密钥，并且由于协议中的消息无法穿透防火墙，这些条件就限制了Kerberos协议往往用于一个组织的内部， 使其应用场景不同于X.509 PKI。 2021-5-5华中农业大学信息学院22 Kerberos 过程p 1 . Client向KDC发送自己的身份信息，KDC从Ticket Granting Service得到TGT(ticket-granting ticket)， 并用协议

10、开始前Client与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密，从而获得TGT。（此过程避免了Client直接向KDC发送密码，以求通过验证的不安全方式） p 2. Client利用之前获得的TGT向KDC请求其他Service的Ticket，从而通过其他Service的身份鉴别。 2021-5-5华中农业大学信息学院23 Kerberos 过程 Kerberos协议的重点在于第二部分，简介如下： 2021-5-5华中农业大学信息学院24 Kerberos 过程p 1. Client将之前获得TGT和要请求的服务信

11、息(服务名等)发送给KDC，KDC中的Ticket Granting Service将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别。然后KDC将这个Session Key和用户名，用户地址（IP），服务名，有效期, 时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service， 不过Kerberos协议并没有直接将Ticket发送给Service，而是通过Client转发给Service.所以有了第二步。 2021-5-5华中农业大学信息学院25 Kerberos 过程p 2.此时K

12、DC将刚才的Ticket转发给Client。由于这个Ticket是要给Service的，不能让Client看到，所以KDC用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。同时为了让Client和Service之间共享那个秘密(KDC在第一步为它们创建的Session Key)， KDC用Client与它之间的密钥将Session Key加密随加密的Ticket一起返回给Client。 2021-5-5华中农业大学信息学院26 p 3为了完成Ticket的传递，Client将刚才收到的Ticket转发到Service. 由于Client不知道KDC与Serv

13、ice之间的密钥，所以它无法篡改Ticket中的信息。同时Client将收到的Session Key解密出来，然后将自己的用户名，用户地址（IP）打包成Authenticator用Session Key加密也发送给Service。Kerberos 过程 2021-5-5华中农业大学信息学院27 p4Service 收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来，从而获得Session Key和用户名，用户地址（IP），服务名，有效期。然后再用Session Key将Authenticator解密从而获得用户名，用户地址（IP）将其与之前Ticket中解密出来的用户名，

14、用户地址（IP）做比较从而验证Client的身份。p 5. 如果Service有返回结果，将其返回给Client。Kerberos 过程 2021-5-5华中农业大学信息学院28 概括起来说Kerberos协议主要做了两件事 1Ticket的安全传递。 2Session Key的安全发布。 再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用Session Key，在通过鉴别之后Client和Service之间传递的消息也可以获得Confidentiality(机密性), Integrity(完整性)的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性，这也限制了它的应用。相

15、对而言它比X.509 PKI的身份鉴别方式实施起来简单。Kerberos 总结 2021-5-5华中农业大学信息学院29 15.4 基于公钥加密的远程认证n需要确保彼此的公钥提前已经获知n采用一个中心认证服务器Authentication Server (AS)n用时间戳或临时交互号的变形协议 2021-5-5华中农业大学信息学院30 15.4.1 双向认证：Denning AS 协议n Denning 81 协议描述如下:1. A - AS: IDA | IDB2. AS - A: EPRasIDA|PUa|T | EPRasIDB|PUb|T 3. A - B: EPRasIDA|PUa|

16、T | EPRasIDB|PUb|T | EPUbEPRasKs|T n会话密钥由A选择，所以不存在会话密钥被AS泄密的危险n时间戳可用于防止重放攻击，但需要时钟同步。q改用临时交互号 Denning AS 协议的改进（1） 2021-5-5华中农业大学信息学院31 (1) : |(2) : ( , | )(3) : ( , | )(4) : | | ( , )(5) : ( , | ) | ( , ( , | | )(6) : ( , ( , | | ) |A Bauth B bb a AA B auth aauth A a b auth a s Ba auth a s BA KDC ID

17、IDKDC A E PR ID PUA B E PU N IDB KDC ID ID E PU NKDC B E PR ID PU E PU E PR N K IDB A E PU E PR N K ID )(7) : ( , ) b s b NA B E K N Denning AS 协议的改进（2） 2021-5-5华中农业大学信息学院32 (1) : |(2) : ( , | )(3) : ( , | )(4) : | | ( , )(5) : ( , | ) | ( , ( , | | | )(6) : ( , ( , | |A Bauth B bb a AA B auth aauth

18、 A a b auth a s A Ba auth a s AA KDC ID IDKDC A E PR ID PUA B E PU N IDB KDC ID ID E PU NKDC B E PR ID PU E PU E PR N K ID IDB A E PU E PR N K ID | ) | )(7) : ( , ) B b s b ID NA B E K N 2021-5-5华中农业大学信息学院33 15.4.2 单向认证n已经讨论过一些公钥加密认证的论题n若关心保密性，则:A - B: EPUbKs | EKsMq被加密的会话密钥和消息内容n若需要用数字证书提供数字签名，则:A

19、- B: M | EPRaH(M) | EPRasT|IDA|PUa q消息，签名，证书 15.5 联合身份管理n身份管理q集中式的、自动的方法，提供雇员或者其他授权的个人对资源拥有企业范围的访问；q 身份管理系统满足SSO，单点登录使用户在一次认证后访问所有的网络资源。 2021-5-5华中农业大学信息学院34 15.5 联合身份管理n身份管理系统要素q认证q授权q审计q物质供应q工作流自动化 q管理q口令同步q自助口令重置q联合2021-5-5华中农业大学信息学院35 15.5 联合身份认证n身份联合：身份管理在多个安全域上的扩展q跨域的身份管理q身份映射n联合身份标准：安全声明标记语言（SAML），定义在线商业伙伴之间的安全信息交换。 2021-5-5华中农业大学信息学院36 2021-5-5华中农业大学信息学院37 小 结n远程用户认证n基于对称加密的远程用户认证n Kerberosn 基于非对称加密的远程用户认证n 联合身份管理 2021-5-5华中农业大学信息学院38 作业n思考题：15.1 ； 15.2； 15.6n习题：15.4 ； 15.8； 15.9