数字签名与身份鉴别课件

南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院数字签名是网络中进行安全交易的基础，数字签名不仅可以保证信息的完整性和信息源的可靠性，而且可以防止通信双方的欺骗和抵赖行为。身份鉴别是网络中自动进行身份识别的技术。5.1 数字签名5.2 数字签名算法 5.3 鉴别技术5.4 Kerberos鉴别服务5.5 X.509证书及鉴别框架 第五章 数字签名与身份鉴别南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院报文鉴别能够保护通信双方免受任何第三方的攻击，然而却不能保护通信双方中的一方防止另一方的欺骗或伪造。在收发双方未建立起完全的信任关系且存在利害冲突的情况下，单纯的报文鉴别就显得不够充分。因此，需要数字签名技术。数字签名应具有以下性质n必须能够验证签名生成者的身份，以及生成签名的日期和必须能够验证签名生成者的身份，以及生成签名的日期和时间；时间；n能够用于证实被签名消息的内容；能够用于证实被签名消息的内容；n数字签名必须能被第三方验证，从而解决通信双方的争议。数字签名必须能被第三方验证，从而解决通信双方的争议。5.1 数字签名南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院数字签名应满足以下要求n签名的产生必须使用对发送方来说是唯一的信息，以防止签名的产生必须使用对发送方来说是唯一的信息，以防止伪造和抵赖；伪造和抵赖；n数字签名的产生必须相对简单；数字签名的产生必须相对简单；n数字签名的识别和验证必须相对简单；数字签名的识别和验证必须相对简单；n对已有的数字签名伪造一个新的报文或对已知的报文伪造对已有的数字签名伪造一个新的报文或对已知的报文伪造一个虚假的数字签名，在计算上是不可行的。一个虚假的数字签名，在计算上是不可行的。数字签名的执行方式有两种n直接数字签名直接数字签名n需仲裁的数字签名需仲裁的数字签名5.1 数字签名南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名直接数字签名n指数字签名的执行过程只有通信双方参与，并假定通信双指数字签名的执行过程只有通信双方参与，并假定通信双方有共享的秘密密钥或接收方知道发送方的公开密钥。方有共享的秘密密钥或接收方知道发送方的公开密钥。n数字签名可通过使用发送方的私有密钥对整个报文进行数字签名可通过使用发送方的私有密钥对整个报文进行加密，如加密，如EKRa(M)；n或通过使用发送方的私有密钥对报文的散列值进行加密或通过使用发送方的私有密钥对报文的散列值进行加密来形成，如来形成，如EKRaH(M)。n保密性通过对整个报文和签名进行加密来实现：保密性通过对整个报文和签名进行加密来实现：n可采用接收方的公开密钥进行加密，如可采用接收方的公开密钥进行加密，如EKUbEKRa(M)；n或采用双方共享的秘密密钥进行加密，如或采用双方共享的秘密密钥进行加密，如EKM|EKRaH(M)。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名n直接数字签名方案都具有共同的弱点直接数字签名方案都具有共同的弱点n方案的有效性依赖于发送方私有密钥的安全性。方案的有效性依赖于发送方私有密钥的安全性。n例如：例如：p发送方在用私有密钥对报文签名后，想否认发送过发送方在用私有密钥对报文签名后，想否认发送过该报文，发送方可以声称该私有密钥丢失，签名被该报文，发送方可以声称该私有密钥丢失，签名被伪造。伪造。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名需仲裁的数字签名n需仲裁的数字签名方案按照如下方式进行需仲裁的数字签名方案按照如下方式进行n发送方发送方X对发往接收方对发往接收方Y的报文签名后，将报文及其签的报文签名后，将报文及其签名首先发往仲裁者名首先发往仲裁者A；n仲裁者仲裁者A对报文及其签名进行测试以检验其出处和内容，对报文及其签名进行测试以检验其出处和内容，然后对报文注明日期，并附上一个已经经过仲裁证实属然后对报文注明日期，并附上一个已经经过仲裁证实属实的说明后发送给接收方实的说明后发送给接收方Y。n仲裁者仲裁者A的存在使发送方的存在使发送方X无法否认已发送过的报文。无法否认已发送过的报文。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名n需仲裁的数字签名技术需仲裁的数字签名技术n常规加密，仲裁者能看到报文内容常规加密，仲裁者能看到报文内容n常规加密，仲裁者不能看到报文内容常规加密，仲裁者不能看到报文内容n公开密钥加密，仲裁者不能看到报文内容公开密钥加密，仲裁者不能看到报文内容其中：其中：nKxa为发送方为发送方X与仲裁者与仲裁者A共享的秘密密钥；共享的秘密密钥；nKay为仲裁者为仲裁者A与接受方与接受方Y共享的秘密密钥；共享的秘密密钥；nIDx为为X的标识符；的标识符；nM为源自为源自X的报文；的报文；nT为时间戳。为时间戳。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名n常规加密，仲裁者能看到报文内容常规加密，仲裁者能看到报文内容（1）XA:M|EKxaIDx|H(M)（2）AY:EKayIDx|M|EKxaIDx|H(M)|Tn发送方发送方X生成报文生成报文M并计算其散列值并计算其散列值H(M)，然后将报文，然后将报文M与签名发送给仲裁者与签名发送给仲裁者A，签名由，签名由X的标识符的标识符IDx与散列与散列值值H(M)组成，并使用密钥组成，并使用密钥Kxa加密；加密；n仲裁者仲裁者A对签名进行解密并验证其散列值是否有效，然对签名进行解密并验证其散列值是否有效，然后向接收方后向接收方Y发送报文，该报文包括发送报文，该报文包括X的标识符的标识符IDx、源、源自自X的报文的报文M、签名、签名EKxaIDx|H(M)和时间戳和时间戳T，并使，并使用用Kay加密。加密。nY存储报文存储报文M与签名与签名EKxaIDx|H(M)以备出现争议时使以备出现争议时使用。用。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名n当发生争执时，声称收到发自当发生争执时，声称收到发自X报文的报文的Y向向A发送如下报发送如下报文：文：EKayIDx|M|EKxaIDx|H(M)n仲裁者仲裁者A使用使用Kay恢复恢复IDx、M和签名和签名EKxaIDx|H(M)，然后使用然后使用Kxa对签名进行解密并验证散列值。对签名进行解密并验证散列值。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名nY认定报文有效且来自于认定报文有效且来自于A这一事实，是因为该报文经这一事实，是因为该报文经过了过了A。n因此在整个过程中，因此在整个过程中，A必须取得必须取得X和和Y的信任：的信任：pX相信相信A不会泄漏不会泄漏Kxa，且不会伪造，且不会伪造X的签名；的签名；pY相信相信A只有在对只有在对EKayIDx|M|EKxaIDx|H(M)|T中的散列值及中的散列值及X的签名验证无误后才将之发送给的签名验证无误后才将之发送给Y；pX、Y都相信都相信A可以公正地解决争议。可以公正地解决争议。n缺点：缺点：p报文报文M以明文方式发送，未提供保密性；以明文方式发送，未提供保密性；p仲裁者可以与发送方共谋以否认发送方曾发送过报仲裁者可以与发送方共谋以否认发送方曾发送过报文，或与接收方共谋以伪造发送方的签名。文，或与接收方共谋以伪造发送方的签名。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名n常规加密，仲裁者不能看到报文内容常规加密，仲裁者不能看到报文内容（1）XA:IDx|EKxyM|EKxaIDx|H(EKxyM)（2）AY:EKayIDx|EKxyM|EKxaIDx|H(EKxyM)|T其中其中Kxy为为X、Y共享的秘密密钥。共享的秘密密钥。nX以以EKxaIDx|H(EKxyM)作为对作为对M的签名，与由的签名，与由Kxy加加密的报文密的报文M一起发送给一起发送给A；nA对对EKxaIDx|H(EKxyM)解密后通过验证其散列值来解密后通过验证其散列值来验证验证X的签名，但并不能读取明文的签名，但并不能读取明文M；nA验证结束后，对验证结束后，对X发来的报文附加时间戳发来的报文附加时间戳T，再用，再用Kay加密后发往加密后发往Y。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名n解决争议方法同上。解决争议方法同上。n缺点：缺点：p仲裁者可以与发送方共谋以否认发送方曾发送过报仲裁者可以与发送方共谋以否认发送方曾发送过报文，或与接收方共谋以伪造发送方的签名。文，或与接收方共谋以伪造发送方的签名。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名n公开密钥加密，仲裁者不能看到报文内容公开密钥加密，仲裁者不能看到报文内容（1）XA:IDx|EKRxIDx|EKUyEKRxM（2）AY:EKRaIDx|EKUyEKRxM|TnX以自己的私有密钥和以自己的私有密钥和Y的公开密钥对报文进行加密作的公开密钥对报文进行加密作为对为对M的签名，使得任何第三方都不能获得的签名，使得任何第三方都不能获得M的明文；的明文；nA收到收到X发来的报文后，使用发来的报文后，使用X的公开密钥对的公开密钥对EKRxIDx|EKUyEKRxM进行解密，并将解密后的进行解密，并将解密后的IDx与收到的与收到的IDx进行比较，以确认该报文来自进行比较，以确认该报文来自X；nA将将X的标识符的标识符IDx和和X对对M的签名附加一个时间戳的签名附加一个时间戳T后，后，用自己的私有密钥加密然后发送给用自己的私有密钥加密然后发送给Y。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.1 数字签名n优点：优点：p在协议执行之前，各方都不必拥有共享信息，从而在协议执行之前，各方都不必拥有共享信息，从而可以防止共谋；可以防止共谋；p只要仲裁者的私有密钥不被泄漏，任何人（包括发只要仲裁者的私有密钥不被泄漏，任何人（包括发送方）就不能发送重放的消息；送方）就不能发送重放的消息；p对任何第三方来说，对任何第三方来说，X发往发往Y的报文都是保密的。的报文都是保密的。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院美国国家标准技术研究院NIST于1994年5月公布了联邦信息处理标准FIPS PUB 186，即数字签名标准DSS。该标准利用了安全散列算法SHA，并提出了一种新的数字签名技术，即数字签名算法DSA（Digital Signature Algorithm）。5.2.1 数字签名标准DSS5.2.2 数字签名算法DSA5.2 数字签名算法南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院数字签名标准DSS规定了一种适用于数字签名应用中的公开密钥数字签名算法DSA。数字签名标准DSS使用公开密钥，为接收者验证数据的完整性和数据发送者的身份，也可用于由第三方来确定签名和所签数据的真实性。5.2.1 数字签名标准DSS南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院DSS数字签名方案n散列值和用作签名的随机数散列值和用作签名的随机数k作为签名函数的输入，同时签作为签名函数的输入，同时签名函数还依赖于发送方的私有密钥名函数还依赖于发送方的私有密钥KRa和全局公开密钥和全局公开密钥KUG，签名的结果由两个分量组成：，签名的结果由两个分量组成：s和和r。n在接收端将报文的散列值和签名作为验证函数的输入，验在接收端将报文的散列值和签名作为验证函数的输入，验证函数还依赖于全局公开密钥证函数还依赖于全局公开密钥KUG和发送方的公开密钥和发送方的公开密钥KUa；若验证函数的输出值与签名分量；若验证函数的输出值与签名分量r相同，则签名有效。相同，则签名有效。M|HSigKUGKRakMsrHVerKUGKUa比较比较5.2.1 数字签名标准DSS南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院DSA算法的参数n全局公开密钥分量全局公开密钥分量(p,q,g)n用户私有密钥用户私有密钥xn用户公开密钥用户公开密钥yn每个报文的密值每个报文的密值k签名过程验证过程5.2.2 数字签名算法DSA南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院全局公开密钥分量(p,q,g)np是素数，是素数，2L-1 p 2L，512L1024，且，且L为为64的倍数：的倍数：即比特长度在即比特长度在512到到1024之间，长度增量为之间，长度增量为64bit。nq为为(p-1)的素因子，其中的素因子，其中2159 q 2160，即长度为，即长度为160比特。比特。ng=h(p-1)/q mod p，其中，其中h是整数，是整数，1 h 1。5.2.2 数字签名算法DSA南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院用户私有密钥xn选择私有密钥选择私有密钥x，x为随机或伪随机整数，其中为随机或伪随机整数，其中0 x q。用户公开密钥yn根据私有密钥根据私有密钥x计算公开密钥计算公开密钥y=gx mod p。每个报文的密值knk是随机或伪随机整数，且对每个签名是惟一的，其中是随机或伪随机整数，且对每个签名是惟一的，其中0 k q。5.2.2 数字签名算法DSA南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院签名过程n为了生成签名，需要计算为了生成签名，需要计算r和和s，它们分别是全局公开密钥，它们分别是全局公开密钥分量分量(p,q,g)、发送方的私有密钥、发送方的私有密钥x、报文、报文M的散列值的散列值H(M)和密值和密值k的函数。的函数。r=(gk mod p)mod qs=k-1(H(M)+xr)mod qn签名签名=(r,s)5.2.2 数字签名算法DSA南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院验证过程n接收端产生量接收端产生量v，v是全局公开密钥分量是全局公开密钥分量(p,q,g)、发送方的、发送方的公开密钥公开密钥y和收到报文和收到报文M的散列值的散列值H(M)的函数，的函数，M、r和和s分别是接收到的分别是接收到的M、r和和s版本。版本。w=(s)-1 mod qu1=H(M)w mod qu2=(r)w mod qv=(gu1yu2)mod p mod qn验证：验证：v=r5.2.2 数字签名算法DSA南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院DSS的签名和验证函数f2p q gf1xqMkHsrMsrHf4f3qy q g比较比较vn签名签名s=f1(H(M),k,x,r,q)=(k-1(H(M)+xr)mod qr=f2(k,p,q,g)=(gk mod p)mod qn验证验证w=f3(s,q)=(s)-1 mod qv=f4(y,q,g,H(M),w,r)=(g(H(M)w)mod qyrw mod q mod p)mod q5.2.2 数字签名算法DSA南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院引理1n对任何整数对任何整数t，若，若g=h(p-1)/q mod p，则，则gt mod p=gt mod q mod p。引理2n对非负的整数对非负的整数a和和b，g(a mod q+b mod q)mod p=g(a+b)mod q mod p。引理3ny(rw)mod q mod p=g(xrw)mod q mod p。引理4n(H(M)+xr)w)mod q=k。5.2.2 数字签名算法DSA南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院证明v=rv=(gu1yu2)mod p)mod q（根据定义）（根据定义）=(g(H(M)w)mod qy(rw)mod q)mod p)mod q =(g(H(M)w)mod qg(xrw)mod q)mod p)mod q（根据引理（根据引理3）=(g(H(M)w)mod q+(xrw)mod q)mod p)mod q =(g(H(M)w+xrw)mod q)mod p)mod q（根据引理（根据引理2）=(g(H(M)+rx)w mod q)mod p)mod q =(gk mod p)mod q（根据引理（根据引理4）=r（根据定义）（根据定义）5.2.2 数字签名算法DSA南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院鉴别是证实被鉴别对象是否属实和是否有效的一个过程。基本思想是通过对被鉴别对象的属性进行验证来达到确认被鉴别对象是否真实有效的目的。用于鉴别的属性应该是被鉴别对象惟一的、区别于其它实体的属性。被鉴别对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。鉴别通常被用于通信双方相互确认身份，以保证通信的安全。5.3 鉴别技术南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院5.3.1 基于口令的鉴别方法5.3.2 双因素鉴别5.3.3 询问-握手鉴别协议CHAP5.3 鉴别技术南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院传统的鉴别技术主要采用基于口令的鉴别方法。当被鉴别对象要求访问提供服务的系统时，提供服务鉴别方提示被鉴别对象提交该对象的口令，鉴别方收到口令后将其与系统中存储的用户口令进行比较，以确认被鉴别对象是否为合法访问者。基于口令鉴别方法的优点n一般的系统（如一般的系统（如UNIX，Windows 2000，NetWare等）都提等）都提供了对口令鉴别的支持，对于封闭的小型系统来说不失为供了对口令鉴别的支持，对于封闭的小型系统来说不失为一种简单可行的方法。一种简单可行的方法。5.3.1 基于口令的鉴别方法南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院基于口令的鉴别方法存在以下不足n用户每次访问系统时都要以明文方式输入口令，这时很容用户每次访问系统时都要以明文方式输入口令，这时很容易泄密。易泄密。n口令在传输过程中可能被截获。口令在传输过程中可能被截获。n系统中所有用户的口令以文件形式存储在鉴别方，攻击者系统中所有用户的口令以文件形式存储在鉴别方，攻击者可以利用系统中存在的漏洞获取系统的口令文件。可以利用系统中存在的漏洞获取系统的口令文件。n用户在访问多个不同安全级别的系统时，都要求用户提供用户在访问多个不同安全级别的系统时，都要求用户提供口令，用户为了记忆的方便，往往采用相同的口令。而低口令，用户为了记忆的方便，往往采用相同的口令。而低安全级别系统的口令更容易被攻击者获得，从而用来对高安全级别系统的口令更容易被攻击者获得，从而用来对高安全级别系统进行攻击。安全级别系统进行攻击。n只能进行单向鉴别，即系统可以鉴别用户，而用户无法对只能进行单向鉴别，即系统可以鉴别用户，而用户无法对系统进行鉴别。系统进行鉴别。5.3.1 基于口令的鉴别方法南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院在双因素鉴别系统中，用户除了拥有口令外，还拥有系统颁发的令牌访问设备。当用户登录系统时，除输入口令外，还要输入令牌访问设备所显示的数字。该数字是不断变化的，而且与鉴别服务器是同步的。双因素鉴别比基于口令的鉴别方法增加了一个鉴别要素，攻击者仅仅获取用户口令或者仅仅拿到用户的令牌访问设备，都无法通过系统的鉴别。而且令牌访问设备上所显示的数字不断地变化，这使得攻击变得非常困难。双因素鉴别比基于口令的鉴别方法具有更好的安全性。5.3.2 双因素鉴别南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院询问-握手鉴别协议CHAP（Challenge Handshake Authentication Protocol）采用的是询问-响应方法，通过三次握手方式对被鉴别方的身份进行周期性的鉴别。5.3.3 询问-握手鉴别协议CHAP南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院询问-握手协议CHAP的步骤n在通信双方链路建立阶段完成后，鉴别方向被鉴别方发送在通信双方链路建立阶段完成后，鉴别方向被鉴别方发送一个询问消息；一个询问消息；n被鉴别方向鉴别方发回一个响应，该响应由单向散列函数被鉴别方向鉴别方发回一个响应，该响应由单向散列函数计算得出，单向散列函数的输入参数包括本次鉴别的标识计算得出，单向散列函数的输入参数包括本次鉴别的标识符、秘密值和询问；符、秘密值和询问；n鉴别方将收到的响应与其自己根据鉴别标识符、秘密值和鉴别方将收到的响应与其自己根据鉴别标识符、秘密值和询问计算出的散列值进行比较，若相符则鉴别通过，向被询问计算出的散列值进行比较，若相符则鉴别通过，向被鉴别方发送鉴别方发送“成功成功”消息，否则，发送消息，否则，发送“失败失败”消息，断消息，断开连接。开连接。在双方通信过程中系统将以随机的时间间隔重复上述三步鉴别过程。5.3.3 询问-握手鉴别协议CHAP南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院CHAP算法要求秘密值长度至少为一个字节，最好能和所选择散列算法的散列值等长。单向函数算法保证由已知的询问和响应不可能计算出秘密值。每个询问值应该是惟一的，而且是不可预测的。询问值每次都不一样，其长度一般取决于所选用的散列算法。响应值也取决于所选用的散列算法。5.3.3 询问-握手鉴别协议CHAP南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院CHAP协议具有以下优点n通过不断地改变鉴别标识符和询问消息的值来防止重放攻通过不断地改变鉴别标识符和询问消息的值来防止重放攻击；击；n利用周期性的询问防止通信双方在长期会话过程中被攻击；利用周期性的询问防止通信双方在长期会话过程中被攻击；n虽然虽然CHAP进行的是单向鉴别，但在两个方向上进行进行的是单向鉴别，但在两个方向上进行CHAP协商，也能实现通信双方的相互鉴别。协商，也能实现通信双方的相互鉴别。nCHAP可用于鉴别多个不同的系统。可用于鉴别多个不同的系统。5.3.3 询问-握手鉴别协议CHAP南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院CHAP的不足之处nCHAP鉴别的关键是秘密值，鉴别的关键是秘密值，CHAP的秘密值以明文形式的秘密值以明文形式存放和使用，不能利用通常的不可逆算法加密口令数据库。存放和使用，不能利用通常的不可逆算法加密口令数据库。nCHAP的秘密值是通信双方共享的，这一点类似于对称密的秘密值是通信双方共享的，这一点类似于对称密钥体制，因此给秘密值的分发和更新带来了麻烦，要求每钥体制，因此给秘密值的分发和更新带来了麻烦，要求每个通信对都有一个共享的秘密值，不适合大规模的系统。个通信对都有一个共享的秘密值，不适合大规模的系统。5.3.3 询问-握手鉴别协议CHAP南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院Kerberos是美国麻省理工学院80年代的雅典娜项目开发的基于可信赖第三方的鉴别系统。Kerberos要解决问题n假定在一个公开的分布式系统中，工作站上的用户希望访假定在一个公开的分布式系统中，工作站上的用户希望访问分布在网络中服务器上的服务，此时希望服务器能限制问分布在网络中服务器上的服务，此时希望服务器能限制授权用户的访问，并能对服务请求进行鉴别。授权用户的访问，并能对服务请求进行鉴别。Kerberos提供一个集中的鉴别服务器，其功能是实现应用服务器与用户之间的相互鉴别。5.4.1 动机5.4.2 Kerberos协议5.4 Kerberos鉴别服务南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院Kerberos需求n安全安全nKerberos应该足够强以防止潜在的对手发现脆弱的链路。应该足够强以防止潜在的对手发现脆弱的链路。n可靠可靠n对所有依赖对所有依赖Kerberos进行访问控制的服务来说，无法获进行访问控制的服务来说，无法获得得Kerberos服务就意味着无法获得所要求的服务，因此，服务就意味着无法获得所要求的服务，因此，Kerberos应该是高可靠性的，应该使用分布式的服务器应该是高可靠性的，应该使用分布式的服务器结构。结构。n透明透明n理想情况下，除需要输入一个口令外，用户应该不会察理想情况下，除需要输入一个口令外，用户应该不会察觉鉴别服务的发生。觉鉴别服务的发生。n可扩展性可扩展性n系统应该拥有支持大量客户和服务器的能力。系统应该拥有支持大量客户和服务器的能力。5.4.1 动机南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院Kerberos具有以下特点：nKerberos建立在可信的第三方鉴别协议基础之上建立在可信的第三方鉴别协议基础之上n在在Kerberos系统中存在密钥分配中心系统中存在密钥分配中心KDC，又称为，又称为Kerberos服务器。服务器。nKDC负责向用户颁发用于证明用户身份的许可证负责向用户颁发用于证明用户身份的许可证（Ticket）和与网络资源安全通信的会话密钥。）和与网络资源安全通信的会话密钥。nKDC由鉴别服务器由鉴别服务器AS（Authentication Server）和许可）和许可证颁发服务器证颁发服务器TGS（Ticket Granting Server）构成。）构成。n用户在对应用服务器进行访问之前，必须先从第三方用户在对应用服务器进行访问之前，必须先从第三方（Kerberos服务器）获取该应用服务器的访问许可证。服务器）获取该应用服务器的访问许可证。nKerberos是基于常规密码体制的鉴别是基于常规密码体制的鉴别nKerberos采用常规密码体制对信息进行加密，其基本思采用常规密码体制对信息进行加密，其基本思想是：能正确对信息进行解密的用户就是合法用户。想是：能正确对信息进行解密的用户就是合法用户。5.4.1 动机南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院nKerberos一般用于高层协议一般用于高层协议n通常通常Kerberos被用于诸如被用于诸如FTP和和Telnet这样的应用层协这样的应用层协议，提供用户到主机的安全性。议，提供用户到主机的安全性。nKerberos也可以用于也可以用于TCP、UDP或或IP协议，提供主机到协议，提供主机到主机的安全性。主机的安全性。nKerberos跨域鉴别跨域鉴别n在庞大的在庞大的Internet上仅采用一个上仅采用一个Kerberos服务器是不合服务器是不合适的。适的。nKerberos将网络划分为多个安全域（将网络划分为多个安全域（Realm），每个域），每个域有自己的鉴别服务器并实施自己的安全策略。有自己的鉴别服务器并实施自己的安全策略。nKerberos协议提供了不同域之间的鉴别机制，即跨域鉴协议提供了不同域之间的鉴别机制，即跨域鉴别。这样，一个域中的用户就可以访问另一个域中的应别。这样，一个域中的用户就可以访问另一个域中的应用服务器。用服务器。5.4.1 动机南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院一个简单的鉴别对话一个更安全的鉴别对话Kerberos第4版的鉴别对话Kerberos领域与多个KerberiKerberos第5版的鉴别对话5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院一个简单的鉴别对话n问题问题n在网络环境中，任何客户都可以向服务器申请服务，为在网络环境中，任何客户都可以向服务器申请服务，为了防止用户对服务器的未授权的访问，服务器必须能够了防止用户对服务器的未授权的访问，服务器必须能够证实请求服务用户的身份。证实请求服务用户的身份。n解决方法：解决方法：n使用一个鉴别服务器使用一个鉴别服务器AS，AS知道所有用户的口令，并知道所有用户的口令，并将口令存储在一个集中的数据库中。将口令存储在一个集中的数据库中。nAS与每个应用服务器共享一个惟一的密钥，假定这些密与每个应用服务器共享一个惟一的密钥，假定这些密钥已经通过物理方式或其他安全方式进行分发。钥已经通过物理方式或其他安全方式进行分发。5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n鉴别对话如下鉴别对话如下nCAS：IDC|PC|IDVnASC：Ticket=EKvIDC|ADC|IDVnCV：IDC|Ticket其中：其中：C表示客户；表示客户；AS表示鉴别服务器；表示鉴别服务器；V表示应用服务器；表示应用服务器；IDC表示在表示在C上的用户标识符上的用户标识符IDV表示应用服务器表示应用服务器V的标识符的标识符PC表示在表示在C上的用户口令上的用户口令ADC表示表示C的网络地址的网络地址Kv表示表示AS和和V共享的秘密密钥共享的秘密密钥5.4.2 Kerberos协议C首先请求用户输入首先请求用户输入口令，然后向服务口令，然后向服务器发送报文，报文器发送报文，报文包括用户包括用户ID、服务、服务器器ID和用户的口令。和用户的口令。AS检查其数据库，验证该检查其数据库，验证该用户提供的口令是否正用户提供的口令是否正确以及该用户是否被允确以及该用户是否被允许访问服务器许访问服务器V。若验。若验证通过，证通过，AS认为该用认为该用户是可信的。户是可信的。为了使服务器为了使服务器V确信该用确信该用户是可信的，户是可信的，AS生成生成票据票据Ticket，Ticket中中包括用户包括用户ID、用户网络、用户网络地址与应用服务器地址与应用服务器ID，然后将该票据送回然后将该票据送回C。C使用票据使用票据Ticket向应用服向应用服务器务器V申请服务：申请服务：C向向V发送含有发送含有C的的ID和票据和票据Ticket的报文，的报文，V对票对票据进行解密，以验证票据进行解密，以验证票据中的用户据中的用户ID与报文中与报文中未加密的用户未加密的用户ID是否一是否一致，若匹配，则认为该致，若匹配，则认为该用户是经过鉴别的，并用户是经过鉴别的，并同意用户请求的服务。同意用户请求的服务。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n票据中的票据中的IDV使得应用服务器使得应用服务器V能证实票据解密的正确性。能证实票据解密的正确性。n票据中的票据中的IDC用来说明该票据是代表用来说明该票据是代表C发出的。发出的。n票据中的票据中的ADC用于防止以下威胁：用于防止以下威胁：n攻击者使用票据攻击者使用票据Ticket从其他工作站（非从其他工作站（非C）向应用服）向应用服务器发送请求。务器发送请求。5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院一个更安全的鉴别对话n新的问题新的问题1：希望让用户必须输入口令的次数最小。：希望让用户必须输入口令的次数最小。n假定每次鉴别只能请求一次服务，如果用户假定每次鉴别只能请求一次服务，如果用户C登录到一登录到一个工作站，打算检查一下在邮件服务器中是否有他或她个工作站，打算检查一下在邮件服务器中是否有他或她的邮件，的邮件，C必须与邮件服务器进行鉴别。必须与邮件服务器进行鉴别。n如果如果C打算多次访问邮件服务器，每次尝试都必须进行打算多次访问邮件服务器，每次尝试都必须进行鉴别。鉴别。n解决方法：使用解决方法：使用Kerberos协议服务许可票据协议服务许可票据n对一次登录会话，用户可以向鉴别服务器鉴别自己，鉴对一次登录会话，用户可以向鉴别服务器鉴别自己，鉴别服务器向用户提供一张服务许可票据，用户可以保存别服务器向用户提供一张服务许可票据，用户可以保存收到的许可票据。收到的许可票据。n每次请求这种服务时向邮件服务器出示该服务许可票据，每次请求这种服务时向邮件服务器出示该服务许可票据，并用它代表用户来多次访问邮件服务器。并用它代表用户来多次访问邮件服务器。5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n新的问题新的问题2：对不同的服务，用户需要新的票据的问题。：对不同的服务，用户需要新的票据的问题。n如果用户希望访问打印服务器、邮件服务器、文件服务如果用户希望访问打印服务器、邮件服务器、文件服务器等，每个服务的第一次访问都需要一个新的票据，因器等，每个服务的第一次访问都需要一个新的票据，因此需要用户输入口令。此需要用户输入口令。n解决方法：使用解决方法：使用Kerberos协议票据许可票据协议票据许可票据n用户向鉴别服务器鉴别自己后，获得一张票据许可票据。用户向鉴别服务器鉴别自己后，获得一张票据许可票据。n票据许可票据是可重用的，用户利用票据许可票据获得票据许可票据是可重用的，用户利用票据许可票据获得服务许可票据。服务许可票据。n服务许可票据是可重用的，用户利用服务许可票据获得服务许可票据是可重用的，用户利用服务许可票据获得服务而无需输入口令。服务而无需输入口令。5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n鉴别对话如下：鉴别对话如下：n用户登录的每个会话一次：用户登录的每个会话一次：CAS：IDC|IDtgsASC：EKcTickettgsn每种服务类型一次：每种服务类型一次：CTGS：IDC|IDV|TickettgsTGSC：TicketVn每种服务会话一次：每种服务会话一次：CV：IDC|TicketV5.4.2 Kerberos协议用户向用户向AS发送用户发送用户ID和和TGS ID来请求代表该用来请求代表该用户的票据许可票据。户的票据许可票据。AS向用户返回加密过的票向用户返回加密过的票据许可票据，加密密钥据许可票据，加密密钥KC是由用户口令导出的。是由用户口令导出的。当响应到达客户端时，当响应到达客户端时，客户端提示用户输入口客户端提示用户输入口令，产生密钥。令，产生密钥。用户向票据许可服务器用户向票据许可服务器发送一个包含用户发送一个包含用户ID、期望服务的服务器、期望服务的服务器ID与票据许可票据的与票据许可票据的报文，请求获得服务报文，请求获得服务许可票据。许可票据。TGS对收到的票据许可票据进行对收到的票据许可票据进行解密，检查解密，检查TGS ID以验证解以验证解密是否成功，检查生存期以确密是否成功，检查生存期以确保票据没有过期，比较用户保票据没有过期，比较用户ID和网络地址与收到鉴别用户的和网络地址与收到鉴别用户的信息是否一致。若允许用户访信息是否一致。若允许用户访问应用服务器问应用服务器V，则，则TGS向向C发送服务许可票据。发送服务许可票据。用户向应用服务器发送一用户向应用服务器发送一个包含用户个包含用户ID和服务和服务许可票据的报文，向应许可票据的报文，向应用服务器请求获得某项用服务器请求获得某项服务。服务。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n其中：其中：n票据许可票据票据许可票据Tickettgs=EKtgsIDC|ADC|IDtgs|TS1|Lifetime1n服务许可票据服务许可票据TicketV=EKVIDC|ADC|IDV|TS2|Lifetime2nTGS为票据许可服务器为票据许可服务器nKC表示由用户口令导出的加密密钥表示由用户口令导出的加密密钥nKtgs表示表示AS与与TGS共享的秘密密钥共享的秘密密钥nTS表示票据发出的时间表示票据发出的时间nLifetime表示票据的生存期表示票据的生存期nKV表示表示TGS与与V共享的秘密密钥共享的秘密密钥5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院Kerberos第4版的鉴别对话n新的问题新的问题1：票据许可票据的生存期。：票据许可票据的生存期。n如果生存期太短，那么用户将经常被要求输入口令。如果生存期太短，那么用户将经常被要求输入口令。n如果生存期太长，那么攻击者就有更多重放的机会。攻如果生存期太长，那么攻击者就有更多重放的机会。攻击者可以窃听网络，获得票据许可票据的复制，然后等击者可以窃听网络，获得票据许可票据的复制，然后等待合法用户的退出登录。这样攻击者便可伪造合法用户待合法用户的退出登录。这样攻击者便可伪造合法用户的网络地址，并向的网络地址，并向TGS发送步骤（发送步骤（3）中的报文。）中的报文。n同样，如果攻击者截获服务许可票据，并在过期前使用同样，如果攻击者截获服务许可票据，并在过期前使用它，攻击者便可访问相应的服务。它，攻击者便可访问相应的服务。n解决方法解决方法n网络服务（网络服务（TGS或应用服务）必须能够证明使用票据的或应用服务）必须能够证明使用票据的人就是申请票据的人。人就是申请票据的人。5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n新的问题新的问题2：对服务器来说可能是一个需求：向用户鉴别：对服务器来说可能是一个需求：向用户鉴别它们自己。它们自己。n没有这样的鉴别，攻击者可能会阴谋破坏系统配置，没有这样的鉴别，攻击者可能会阴谋破坏系统配置，使发往服务器的报文被转送到另一个位置。使发往服务器的报文被转送到另一个位置。n假的服务器充当真正的服务器，并接收来自用户的任假的服务器充当真正的服务器，并接收来自用户的任何信息，拒绝向用户提供真正的服务。何信息，拒绝向用户提供真正的服务。n解决方法：使用相互鉴别。解决方法：使用相互鉴别。5.4.2 Kerberos协议Kerberos服务器概况CKerberosAuthenticatorServer(AS)Ticket GrantingServer(TGS)V(1)用户登录工作用户登录工作站请求服务站请求服务(2)AS在数据库中验证用户的访问权在数据库中验证用户的访问权限，生成票据许可票据与会话密钥，限，生成票据许可票据与会话密钥，并使用由用户口令导出的密钥对其并使用由用户口令导出的密钥对其进行加密进行加密(1)请求票据许可票据请求票据许可票据(2)票据票据+会话密钥会话密钥(3)请求服务许可票据请求服务许可票据(4)票据票据+会话密钥会话密钥(3)工作站提示用户工作站提示用户输入口令来对收到输入口令来对收到的报文进行解密，的报文进行解密，然后将票据许可票然后将票据许可票据与包含用户名、据与包含用户名、网络地址和时间的网络地址和时间的鉴别符发往鉴别符发往TGS用户登录用户登录每个会话一次每个会话一次每类服务一次每类服务一次(5)请求服务请求服务(6)提供服务器鉴别符提供服务器鉴别符每种服务每种服务会话一次会话一次(4)TGS对票据和鉴别符进行解密，对票据和鉴别符进行解密，验证请求，然后生成服务许可票据验证请求，然后生成服务许可票据(5)工作站将票据和工作站将票据和鉴别符发给服务器鉴别符发给服务器(6)服务器验证票据和鉴别符服务器验证票据和鉴别符中的匹配，然后许可访问。中的匹配，然后许可访问。若需要双向鉴别，则服务器若需要双向鉴别，则服务器返回一个鉴别符返回一个鉴别符南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院Kerberos第4版报文交换n鉴别服务交换：获得票据许可票据鉴别服务交换：获得票据许可票据nCAS：IDC|IDtgs|TS1nASC：EKcKC,tgs|IDtgs|TS2|Lifetime2|Tickettgs其中：其中：Tickettgs=EKtgsKC,tgs|IDC|ADC|IDtgs|TS2|Lifetime2KC,tgs为为C与与TGS共享的会话密钥共享的会话密钥5.4.2 Kerberos协议用户用户C向向AS请求票据许请求票据许可票据，请求中的时可票据，请求中的时间戳用以向间戳用以向AS表明表明该请求是新的。该请求是新的。AS向用户向用户C发出应答，应答以从用发出应答，应答以从用户口令导出的密钥户口令导出的密钥KC加密，加加密，加密的内容包括密的内容包括C与与TGS共享的会共享的会话密钥话密钥KC,tgs、TGS标识符、时间标识符、时间戳戳TS2、票据、票据Tickettgs及该票据的及该票据的生存期。生存期。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n票据许可服务交换：获得服务许可票据票据许可服务交换：获得服务许可票据nCTGS：IDV|Tickettgs|AuthenticatorCnTGSC：EKc,tgsKC,V|IDV|TS4|TicketV其中：其中：Tickettgs=EKtgsKC,tgs|IDC|ADC|IDtgs|TS2|Lifetime2TicketV=EKvKC,V|IDC|ADC|IDV|TS4|Lifetime4AuthenticatorC=EKc,tgsIDC|ADC|TS3KC,V为为C与与TGS共享的会话密钥共享的会话密钥5.4.2 Kerberos协议C向向TGS请求服务许可票据，报文中包含了应用服务器的身份、票据许可请求服务许可票据，报文中包含了应用服务器的身份、票据许可票据票据Tickettgs与鉴别符。与鉴别符。TGS使用与使用与AS共享的密钥共享的密钥Ktgs解密票据解密票据Tickettgs后，获得与用户后，获得与用户C的共享密的共享密钥钥KC,tgs；同时；同时TGS使用使用KC,tgs解密鉴别符，并将鉴别符中的数据与票据解密鉴别符，并将鉴别符中的数据与票据中的数据进行比较，从而确信票据的发送者即为票据的持有者。中的数据进行比较，从而确信票据的发送者即为票据的持有者。TGS使用使用KC,tgs加密应答消息，其中包括加密应答消息，其中包括C和和V共享的会话密钥、共享的会话密钥、V的标识符、服务许的标识符、服务许可票据可票据TicketV及票据的时间戳，同样，票及票据的时间戳，同样，票据据TicketV也包含同样的信息。也包含同样的信息。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n客户客户/服务器鉴别交换：获得服务服务器鉴别交换：获得服务nCV：TicketV|AuthenticatorCnVC：EKc,vTS5+1（对于相互鉴别）（对于相互鉴别）其中：其中：TicketV=EKvKC,V|IDC|ADC|IDV|TS4|Lifetime4AuthenticatorC=EKc,vIDC|ADC|TS55.4.2 Kerberos协议C向服务器向服务器V发送服务许可发送服务许可票据票据TicketV和鉴别符。和鉴别符。服务器解密票据后得到服务器解密票据后得到会话密钥会话密钥KC,V，并使用，并使用KC,V解密鉴别符，以验解密鉴别符，以验证用户证用户C的身份。的身份。V向向C证明自己的身份。证明自己的身份。V对从鉴别对从鉴别符得到的时间戳符得到的时间戳TS5加加1，再用，再用KC,V加密后发送给加密后发送给C；C解密该解密该报文后对增加的时间戳进行验报文后对增加的时间戳进行验证，以确信对方是证，以确信对方是V。南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院Kerberos领域与多个Kerberin完整服务的完整服务的Kerberos环境包含一个环境包含一个Kerberos服务器、许多服务器、许多客户和许多应用服务器。客户和许多应用服务器。nKerberos环境有如下需求：环境有如下需求：nKerberos服务器的数据库必须包含所有参与用户的服务器的数据库必须包含所有参与用户的ID和和用户口令的散列码，所有用户都向用户口令的散列码，所有用户都向Kerberos服务器注册。服务器注册。nKerberos服务器必须与每个服务器共享一个密钥，所有服务器必须与每个服务器共享一个密钥，所有服务器都向服务器都向Kerberos服务器注册。服务器注册。n这样的环境被称为一个领域。这样的环境被称为一个领域。n不同行政组织下的由客户和服务器组成的网络组成不同的不同行政组织下的由客户和服务器组成的网络组成不同的领域。领域。5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n在一个领域中用户可能需要访问他领域的服务器，同时某在一个领域中用户可能需要访问他领域的服务器，同时某些服务器可能也愿意向其他领域的用户提供服务，如果这些服务器可能也愿意向其他领域的用户提供服务，如果这些用户是经过鉴别的。些用户是经过鉴别的。nKerberos提供了一种支持不同领域间鉴别的机制。提供了一种支持不同领域间鉴别的机制。n每个互操作领域中的每个互操作领域中的Kerberos服务器要与另一个领域中服务器要与另一个领域中的的Kerberos服务器共享一个密钥。服务器共享一个密钥。n两个两个Kerberos服务器都必须相互注册。服务器都必须相互注册。n该方案需要一个领域中的该方案需要一个领域中的Kerberos服务器信任另一个领服务器信任另一个领域中域中Kerberos服务器鉴别的用户，并且第二个领域的参服务器鉴别的用户，并且第二个领域的参与服务器也愿意信任第一个领域中的与服务器也愿意信任第一个领域中的Kerberos服务器。服务器。5.4.2 Kerberos协议n请求另一领域内服务的过程请求另一领域内服务的过程客户客户CKerberosAuthenticatorServer(AS)Ticket GrantingServer(TGS)(1)请求本地请求本地TGS票据票据(2)本地本地TGS票据票据(3)请求远程请求远程TGS票据票据(4)远程远程TGS票据票据服务器服务器KerberosAuthenticatorServer(AS)Ticket GrantingServer(TGS)(5)请求远程服务器票据请求远程服务器票据(6)远程服务器票据远程服务器票据(7)请求远程服务请求远程服务领域领域A领域领域B南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n报文交换过程如下：报文交换过程如下：nCAS：IDC|IDtgs|TS1nASC：EKcKC,tgs|IDtgs|TS2|Lifetime2|TickettgsnCTGS：IDtgsrem|Tickettgs|AuthenticatorCnTGSC：EKc,tgsKC,tgsrem|IDtgsrem|TS4|TickettgsremnCTGSrem：IDVrem|Tickettgsrem|AuthenticatorCnTGSC：EKc,tgsremKC,Vrem|IDVrem|TS6|TicketVremnCVrem：TicketVrem|AuthenticatorC5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院Kerberos第5版的鉴别对话nKerberos第第5版解决了第版解决了第4版存在的以下不足：版存在的以下不足：n双重加密双重加密在在Kerberos第第4版中，提供给客户的票据被加密了两版中，提供给客户的票据被加密了两次。次。第一次采用目标服务器的密钥，然后再采用客户知第一次采用目标服务器的密钥，然后再采用客户知道的密钥。道的密钥。第二次加密是不必要的，造成计算上的浪费。第二次加密是不必要的，造成计算上的浪费。nPCBC加密加密第第4版中的加密采用了版中的加密采用了DES的传播密码分组链接方式的传播密码分组链接方式PCBC，该模式易受使用互换密文分组的攻击。，该模式易受使用互换密文分组的攻击。在第在第5版中提供了显式的完整性机制，允许使用标准版中提供了显式的完整性机制，允许使用标准的的CBC模式进行加密。模式进行加密。5.4.2 Kerberos协议南京理工大学计算机科学与技术学院南京理工大学计算机科学与技术学院n会话密钥会话密钥每张票据包括一个会话密钥，该密钥供客户对发往每张票据包括一个会话密钥，该密钥供客户对发往与该票据有关服务器的鉴别符进行加密。与该票据有关服务器的鉴别符进行加密。此外，客户与服务器随后可能要使用这个会话密钥此外，客户与服务器随后可能要使用这个会话密钥来保护会话过程中的报文。来保护会话过程中的报文。然而，因为同一票据会被多次使用访问一个特定的然而，因为同一票据会被多次使用访问一个特定的服务器，存在对手使用与该客户或该服务器旧会话服务器，存在对手使用与该客户或该服务器旧会话的报文进行重放攻击的危