《认证协议》PPT课件.ppt

《《认证协议》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《认证协议》PPT课件.ppt（31页珍藏版）》请在三一办公上搜索。

1、1,认证协议,卢先领江南大学通信与控制工程学院,2,认证,Alice必须向Bob证明自己的身份，Alice 和 Bob可以是人或计算机 Alice也需要Bob证明他是Bob(相互认证)可能还需要建立一个会话密钥 可能有其他需求，如 只使用公钥 只使用对称密钥 只使用哈希函数 匿名性，不可否认性等等。,3,认证,认证在一台独立的计算机上是相当简单的“安全路径”是首要问题 重点关注的是对认证软件的攻击在网络上的认证复杂得多 攻击者可以窃听消息(被动攻击)重放消息主动攻击也是可能的，如插入，删除，更改信息,4,简单认证,Alice,Bob,“我是 Alice”,证明这一点,我的口令是“frank”,

2、在独立的计算机系统上是简单可行的。在网络系统上是不安全的除重放攻击 Bob 必须知道 Alice的口令,5,对认证的攻击,Alice,Bob,“我是 Alice”,证明这一点,我的口令是“frank”,Trudy,6,对认证的攻击,Bob,“我是 Alice”,证明这一点,我的口令是“frank”,Trudy,重放攻击 怎样才能防止重放?,7,简单认证,Alice,Bob,我是 Alice,我的口令是“frank”,更有效和之前的协议同样的问题,8,改进的认证协议,Alice,Bob,“我是 Alice”,证明这一点,H(Alice的口令),更好，因为它隐藏了Alice的密码但仍然存在重放攻击

3、,9,挑战与响应,为了防止重放，使用挑战和响应 Suppose Bob 想要验证 AliceBob向Alice发一个挑战只有 Alice可以提供正确的响应 挑战的选择可以防止重放怎么做到这一点?只有Alice知道口令保持新鲜性：一个数字只使用一次或使用一次性随机数,10,挑战与响应,Bob,“我是 Alice”,Nonce,H(Alices password,Nonce),Nonce 是挑战 challenge 哈希是响应 response Nonce 防止重放，保持了新鲜 只有Alice知道口令 请注意：Bob必须知道Alice的口令,Alice,11,挑战与响应,Bob,“我是 Alice

4、”,Nonce,Something that could only be,Alice,from Alice(and Bob can verify),我们可以用什么来实现这一目标?哈希口令，加密可能会更好,12,设计基于服务器的密钥建立协议,一个简单协议的设计过程，通过设计中遇到的各种漏洞逐步改进满足各种安全需要。最初的设计目标：包括两个用户和一个可信服务器的三方密钥建立协议。使得服务器分配一个会话密钥KAB给两个用户。1）KAB应该被有效的分配给A和B，其他人除了服务器不能够得到会话密钥 2）A和B需要确定KAB是新鲜的。,13,S 1.A,B 2.KAB A 3.KAB,A B 1.A S:

5、A,B 2.S A:KAB 3.A B:KAB,A,14,秘密性,问题：上图的会话密钥没有受到保护安全性假设1：攻击者可以窃听密码协议中传输的所有信息。为了实现协议的保密性，消息的传输必须经过加密保护。这就需要适当的加密解密算法和密钥。假设用户A，B和服务器S之间共享长期密钥KAS和KBS。,15,S 1.A,B 2.KABKAS,KABKBS A 3.KABKBS,A B这里不考虑具体使用的密码算法。我们所讨论的攻击都是与算法无关的。这里我们假设所使用的密码算法满足我们的安全要求，攻击者不能够仅仅从密文根据算法本身的弱点进行攻击。,16,认证性,上图中的方案依然存在问题。这里必须考虑攻击者不

6、仅仅能够窃听，并且能够获取并更改消息。安全假设2：攻击者能够使用任何可用的信息对密码协议中传输的消息进行修改。并可以任意的更改消息传递路径及消息的接收者。这包括攻击者有能力产生并插入任意的新的信息。,17,在实际通信当中，随时可能有未知身份的参与者介入，因此在设计协议的过程中考虑认证性成为必然。下图是对于上面方案的一种攻击,C,B,1.A,B 2.KABKAS,KABKBS3.KABKBS,A 3.KABKBS,D,S,A,18,S,1.A,C 2KACKAS,KACKCS 1.A,B 2.KACKAS,KACKCS 3.KACKCS,A 这里C 成功的冒充了B，与前一个攻击相比这里要求C必须

7、是一个对于服务器S来说的一个合法用户,C,A,C,19,安全假设3：攻击者可能是内部攻击者（合法用户）也可能是外部攻击者，也可能是既有内部攻击者也有外部攻击者。为避免以上这种安全问题，必须将分享会话密钥KAB的用户的名字和会话密钥进行绑定。,1.A,B 2.KAB,BKAS,KAB,AKBS 3.KAB，AKBS,S,A,B,20,重放,目前的方案可以抵抗前面提到的问题。但是还有新的不足。使用过的会话密钥可能在一定时期后通过密码分析破解或者在过期后丢弃的时候处理不当。这都使得重放攻击成为可能。安全假设4：攻击者在一定时间以后有能力得到以前运行的协议当中的会话密钥。,21,攻击者C冒充服务器S通

8、过重放旧的消息完成了这次协议，使得A和B使用了旧的会话密钥，而这个旧的会话密钥可能是已经被破译了的。,S,B,A,1.A,B 2.KAB,BKAS,KAB,AKBS 3.KAB，AKBS,22,目前有许多方法可以抵抗重放攻击。这里我们使用挑战响应方法。A使用一个随机值NA（nonce）,1.A,B，NA 2.KAB,B,NA，KAB,AKBS KAS 3.KAB，AKBS,4.NBKAB 5.NB-1KAB,S,A,B,23,通过NA的引入，A可以确定由S发送的消息的新鲜性。为了让B同样可以确定消息的新鲜性，在上图中添加了两步AB之间的一个握手协议使得B可以验证消息的新鲜性。但是这种改进并没有

9、达到预想的效果。3.KAB,AKBS 4.NBKAB 5.NB-1KAB,A,C,B,24,为了避免上述的弱点，进一步改进协议的传输方式如下：,B,A,S,2.A,B,NA,NB 3.KAB,B,NA KASKAB,A,NBKBS 1.B,NB 4.KAB,A,NBKAB,25,相比之下，同样可以使得A，B都能验证消息的新鲜性，但是传输的消息更少。但是这里需要说明，A所得到的信息也变少了。在原方案中，A不仅能够确定会话密钥是新鲜的，而且知道该会话密钥已经被B有效的获得了。但是新的方案中A和B都不能确定对方已经得到了这个会话密钥。,26,协议的结构,这里的结构指的是密钥建立协议的结构。主要以以下

10、的结构标准来区分不同的协议：哪些密钥是已经建立的（例如长期密钥）会话密钥如何产生参与密钥建立的用户的数目。,27,我们把公钥证书的使用看作是使用一种离线的可信服务器（CA）这里两个协议参与建立一个新的会话密钥主要有三种可能的方式:两个参与者之间已经共享了某个密钥离线服务器的使用，这里指参与者之间使用公钥加密体制进行通信。在线服务器的使用。每个参与者与服务器共享一个密钥。通过服务器转发彼此的通信内容。,28,会话密钥的产生,会话密钥由密钥建立协议的参与者之一产生并传输给各个用户。这里的密钥产生者一般是一个可信的服务器。这就是密钥分配协议。会话密钥由每个协议参与者分别产生的参数通过一定的计算得出，

11、即密钥协商协议。混合协议指会话密钥由一部分的参与者协商产生并分配给其余的用户。,29,例子：使用在线服务器，混合密钥生成方式的两用户的密钥建立协议：1.A B:A,NA 2.B S:NB,A,BKBS,NA 3.S A:KAB,A,B,NAKAS,NS 4.A B:NS,A,BKAB 5.B A:B,AKAB 这里KABf(NB,NS),对于B来说，这是一个协商产生的会话密钥。对于A来说是一个分配的会话密钥。,30,新鲜性,新鲜性是大多数协议必须具有的安全性质之一。新鲜性的保证可以有效的抵抗重放攻击。保证消息新鲜性的方法主要包括两种：1.用户自己选择新鲜的消息加入到协议传输的消息当 中。例如：

12、KABf(NA,NB)2.用户收到的信息当中包括本身具有新鲜性的一部分信息。例如：F(KAB,N)用户必须能够验证该消息的起源认证和数据完整性然后通过验证N的新鲜性保证消息的新鲜性。验证N新鲜性的方式包括四种：,31,时间戳：消息发送者在消息种加入消息发送的时间。接受者根据时间戳的时间和本地时间的对比确定消息的新鲜性。难度在于使用时间戳必须保证时钟的同步性。随机挑战（nonce）：消息的接收者先产生一个随机数发送给消息的发送者然后根据随后收到的消息中包含的随机数验证消息是否新鲜。必须注意的是产生随机数的方式，即产生的随机数的质量计数器：消息发送者和接收者各自拥有同步计数器，计数器的值随消息的发送增加。难度在于计数器的管理，计数器必须存储所有参与者的状态。混合方法：将计数器和时间戳结合使用。,