第章身份认证与数字签名课件

大家好大家好第6章身份认证与数字签名主要内容v身份认证v数字签名6.1身份认证v身份认证是验证主体的真实身份与其所声称的身份是否符合的过程。v认证的结果只有两个：符合和不符合。v适用于用户、进程、系统、信息等。身份认证的例子v邮件登录vClient与Server之间的鉴别vTelnet远程登录vFtp服务v登录到某台电脑上身份认证系统的组成v出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。v验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。v第三方是可信赖者TP（Trustedthirdparty)，参与调解纠纷。在许多应用场合下没有第三方。6.1.1身份认证的物理基础vSomething the user know(例如口令)在互连网和计算机领域中最常用的认证方法是口令认证简单，但不安全。口令有可能被窃取、丢失、复制。v设计依据安全水平、系统通过率、用户可接受性、成本等v口令一般并不是以明文的形式存在和使用，而是采用一些加强的处理之后才使用的。对口令加密：对口令的加密算法必须是单向的，即只能加密，不能解密。在验证用户的口令时，验证方用单向函数加密，并与存储的密文相比较，若相等，则确认用户的身份有效，否则确认用户身份无效。一次性口令：使用一次性口令作为身份认证方法，使得中途截获口令变得毫无意义。由于要产生大量的一次性口令，所以必须采用专用的设备来产生口令。身份认证的物理基础vSomething the user possesses(例如证件)认证系统相对复杂用户所拥有的用户所拥有的v磁卡或智能卡丢失，那么捡到卡的人就可以假冒真正的用户。v需要一种磁卡和智能卡上不具有的身份信息，这种身份信息通常采用个人识别号PIN。持卡人必须自己妥善保存并严格保密。v在验证过程中，验证者不但要验证持卡人的卡是真实的卡，同时还要通过PIN来验证持卡人的确是他本人。身份认证的物理基础vSomething the user is(例如指纹识别)更复杂,而且有时会牵涉到本人意愿6.1.2身份认证方式v单向认证（One-wayAuthentication）v双向认证（Two-wayAuthentication）v信任的第三方认证（TrustedThird-partyAuthentication）单向认证v通信的一方认证另一方的身份用对称密码体制来实现单向认证v某函数变换fv双方共享的密钥KSv随机数RA用非对称密码体制来实现单向认证v随机数RAvB的私钥KSB双向认证双向认证v双方都要提供用户名和密码给对方，才能通双方都要提供用户名和密码给对方，才能通过认证。过认证。用对称密码体制来实现双向认证vA产生一个随机数RAv双方共享的密钥KSvB产生一个随机数RB用非对称密码体制来实现双向认证vA产生一个随机数RAvB产生一个随机数RBvB的私钥KSBvA的私钥KSA信任的第三方认证信任的第三方认证v当两端欲进行连线时，彼此必须先通过信任第三方的认证，然后才能互相交换密钥，而后进行通信一种第三方认证机制vSKAU：管理员的私钥vPKB：B的公钥vPKA：A的公钥vN1：A的临时交互号vN2：B产生的新临时交互号6.1.3kerberos协议概述vKerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。v它也指由麻省理工实现此协议，并发布的一套免费软件。v它的设计主要针对客户-服务器模型，并提供了一系列交互认证-用户和服务器都能验证对方的身份。vKerberos协议可以保护网络实体免受窃听和重复攻击。vKerberos协议基于对称密码学，并需要一个值得信赖的第三方。vInGreekmythology,amanyheadeddog,commonlythree,perhapswithaserpentstail,theguardianoftheentranceofHades.-DictionaryofSubjectsandSymbolsinArt,byJamesHall,Harper&Row,1979.KeyPointsvKerberosisanauthenticationservicedesignedforuseinadistributedenvironment.vKerberosmakesuseofatrustedthird-partauthenticationservicethatenablesclientsandserverstoestablishauthenticatedcommunication.InstructionvOneoftheearliestandalsooneofthemostwidelyusedservices.vTwoversionsofKerberosareincommonuse.Version4implementationsstillexist.Version5correctssomeofthesecuritydeficienciesofversion4andhasbeenissuedasaproposedInternetStandard(RFC1510).TheproblemthatKerberosaddresses:vAssumeanopendistributedenvironmentinwhichusersatworkstationswishtoaccessservicesonserversdistributedthroughoutthenetwork.vWewouldlikeforserverstobeabletorestrictaccesstoauthorizedusersandtobeabletoauthenticaterequestsforservice.vKerberosprovidesacentralizedauthenticationserverwhosefunctionistoauthenticateuserstoserversandserverstousers.vKerberosreliesexclusivelyonsymmetricencryption,makingnouseofpublic-keyencryption.ASimpleAuthenticationDialoguevInanunprotectednetworkenvironment,anyclientcanapplytoanyserverforservice.vserversmustbeabletoconfirmtheidentitiesofclientswhorequestservice.Eachservercanberequiredtoundertakethistaskforeachclient/serverinteraction.vInanopenenvironment,thisplacesasubstantialburdenoneachserver.AuthenticationServer(AS)vAnalternativeistouseanauthenticationserver(AS)thatknowsthepasswordsofallusersandstorestheseinacentralizeddatabase.vTheASsharesauniquesecretkeywitheachserver.Thesekeyshavebeendistributedphysicallyorinsomeothersecuremanner.存储每个用户的password和标识存储与每个服务器共享的密钥AS查询数据库，检查用户口令是否与用户表示相符，并判断此用户是否有访问服务器V的权限。(1)CAS:IDC|PC|IDV(2)ASC:Ticket(3)CV:IDC|TicketTicket=E(Kv,IDC|ADC|IDV)C=clientAS=authenticationServerV=serverIDC=identifierofuseronCIDV=identifierofVPC=passwordofuseronCADC=networkaddressofCKv=secretencryptionkeysharedbyASandVvAlthoughtheforegoingscenariosolvessomeoftheproblemsofauthenticationinanopennetworkenvironment,problemsremain.Twoinparticularstandout.wewouldliketominimizethenumberoftimesthatauserhastoenterapassword.Supposeeachticketcanbeusedonlyonce.Thesecondproblemisthattheearlierscenarioinvolvedaplaintexttransmissionofthepassword.AMoreSecureAuthenticationDialoguev把身份认证和访问权限交给两个服务器分别完成身份认证，由AS完成访问控制，由票据授权服务器（ticket-grantingserver，TGS)来完成v达到的效果：用户口令只需输入一次，且不会在网络上传输。存储每个用户的password和标识存储与TGS共享的密钥Tickettgs由kc加密，kc来自password存储与每个服务器V共享的密钥判断此用户是否有访问服务器V的权限。Onceperuserlogonsession:(1)CAS:IDC|IDtgs(2)ASC:E(Kc,Tickettgs)Oncepertypeofservice:(3)CTGS:IDC|IDV|Tickettgs(4)TGSC:TicketvOnceperservicesession:(5)CV:IDC|TicketvTickettgs=E(Ktgs,IDC|ADC|IDtgs|TS1|Lifetime1)Ticketv=E(Kv,IDC|ADC|IDv|TS2|Lifetime2)(3)CTGS:IDC|IDV|TickettgsTickettgs=E(Ktgs,IDC|ADC|IDtgs|TS1|Lifetime1)1.客户端将用户标识、TGS标识一起送往AS，申请得到票据授权票据ticket-grantingticket。2.AS用从用户口令推出的密钥Kc(事先已经存储在AS中)将票据加密，并发送给客户端。由用户在客户端输入口令，并得到Kc,将收到的消息解密，得到票据授权票据ticket-grantingticket。vTheclientmoduleintheuserworkstationsavesthisticket-grantingticket.vBecauseonlythecorrectusershouldknowthepassword,onlythecorrectusercanrecovertheticket.Thus,wehaveusedthepasswordtoobtaincredentialsfromKerberoswithouthavingtotransmitthepasswordinplaintext.3.Theclientrequestsaservice-grantingticket(服务授权票据).Forthispurpose,theclienttransmitsamessagetotheTGScontainingtheusersID,theIDofthedesiredservice,andtheticket-grantingticket.4.TheTGSdecryptstheincomingticketandverifiesthesuccessofthedecryptionbythepresenceofitsID.Itcheckstomakesurethatthelifetimehasnotexpired.ThenitcomparestheuserIDandnetworkaddresswiththeincominginformationtoauthenticatetheuser.IftheuserispermittedaccesstotheserverV,theTGSissuesaticket(service-grantingticket,Ticketv)tograntaccesstotherequestedservice.5.Theclientrequestsaccesstoaserviceonbehalfoftheuser.Forthispurpose,theclienttransmitsamessagetotheservercontainingtheusersIDandtheservice-grantingticket.Theserverauthenticatesbyusingthecontentsoftheticket.使用的密钥vKc：AS和C共享vKtgs：AS和TGS共享vKv：TGS和V共享TwoproblemsvThelifetimeassociatedwiththeticket-grantingticket：Ifthislifetimeisveryshort(e.g.,minutes),thentheuserwillberepeatedlyaskedforapassword.Ifanopponentcapturesaservice-grantingticketandusesitbeforeitexpires,theopponenthasaccesstothecorrespondingservice.Anetworkservice(theTGSoranapplicationservice)mustbeabletoprovethatthepersonusingaticketisthesamepersontowhomthatticketwasissued.vThesecondproblemisthattheremaybearequirementforserverstoauthenticatethemselvestousers.TheKerberosVersion4AuthenticationDialogue(1)vAuthenticationServiceExchangetoobtainticket-grantingticket.Kc,tgs:CopyofsessionkeyaccessibletoclientcreatedbyAStopermitsecureexchangebetweenclientandTGSwithoutrequiringthemtoshareapermanentkey.TheKerberosVersion4AuthenticationDialogue(2)vTicket-GrantingServiceExchangetoobtainservice-grantingticket.TheKerberosVersion4AuthenticationDialogue(3)vClient/ServerAuthenticationExchangetoobtainservice.6.1.4零知识证明vAlice:“我知道联邦储备系统计算的口令”vBob:“不，你不知道”vAlice：我知道vBob：你不知道vAlice：我确实知道vBob：请你的证实这一点vAlice：好吧，我告诉你。（她悄悄说出了口令）vBob：太有趣了！现在我也知道了。我要告诉华盛顿邮报vAlice：啊呀！零知识证明技术v零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。零知识证明的基本协议零知识证明的基本协议例例Quisquater等1989。设P知道咒语，可打开C和D之间的秘密门，不知道者都将走向死胡同中。ABCD零知识证明的基本协议零知识证明的基本协议 (1)V(1)V站在站在A A点；点；(2)P (2)P进入洞中任一点进入洞中任一点C C或或D D；(3)(3)当当P P进洞之后，进洞之后，V V走到走到B B点；点；(4)V (4)V叫叫P P：(a)(a)从左边出来，或从左边出来，或(b)(b)从右边出来；从右边出来；(5)P (5)P按要求实现按要求实现(以咒语，即解数学难题帮助以咒语，即解数学难题帮助)；(6)P (6)P和和V V重复执行重复执行(1)(1)(5)(5)共共n n次。次。若若A A不知咒语，则在不知咒语，则在B B点，只有点，只有50%50%的机会猜中的机会猜中B B的要的要求，协议执行求，协议执行n n次，则只有次，则只有2 2-n-n的机会完全猜中，若的机会完全猜中，若n n=16=16，则，则若每次均通过若每次均通过B B的检验，的检验，B B受骗机会仅为受骗机会仅为1/65 5361/65 536最简单的零知识证明v问题要求：假如P想说服V，使V相信他确实知道n的因数p和q，但不能告诉Vv最简单的步骤：V随机选择一整数x，计算x4modn的值，并告诉PP求x2modn并将它告诉VV验证x4modnvV知道求x2modn等价于n的因数分解，若不掌握n的因数p和q，求解很困难。Fiat-Shamir协议xvcr2(s2)c r2s2c(rsc)2 y2 mod n6.2数字签名消息认证无法保证抗否认性v可以保护通信双方以防止第可以保护通信双方以防止第3 3者攻击，不能保者攻击，不能保护通信双方中一方防止另一方的欺骗和伪造。护通信双方中一方防止另一方的欺骗和伪造。B B伪造一个消息并使用与伪造一个消息并使用与A A共享的密钥产生该消息共享的密钥产生该消息的认证码，然后生成该消息来自于的认证码，然后生成该消息来自于A AB B有可能伪造有可能伪造A A发来的消息，所以发来的消息，所以A A就可以对自己发就可以对自己发过的消息予以否认过的消息予以否认数字签名的基本概念v数字签名由公钥密码发展而来，它在网络安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有着重要应用。电子签名法v年月日第十届全国人民代表大会常务委员会第十一次会议通过 v第二条 本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。v第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。v第三十二条 伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民事责任。v第三十六条 本法自年月日起施行。手写签名的特征v签名是可信的v签名是不可伪造的v签名不可重用v签名后的文件是不可变的v签名是不可抵赖的vInsituationswherethereisnotcompletetrustbetweensenderandreceiver,somethingmorethanauthenticationisneeded.Themostattractivesolutiontothisproblemisthedigitalsignature.vDigitalsignaturemusthavethefollowingproperties:Itmustverifytheauthorandthedateandtimeofthesignature.Itmusttoauthenticatethecontentsatthetimeofthesignature.Itmustbeverifiablebythirdparties,toresolvedisputes.数字签名的功能更进一步的要求v依赖性：签名必须是依赖于被签名信息来产生；v唯一性：签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认；v可验性：必须相对容易识别和验证该数字签名；v抗伪造：根据一个已有的数字签名来构造消息是不可行的；对一个给定消息伪造数字签名是不可行的；v可用性：在存储器中保存一个数字签名副本是现实可行的。签名方法签名方法vDirect Digital Signature直接数字签名直接数字签名vArbitrated Digital Signature仲裁数字签名仲裁数字签名vDirect Digital Signature直接方式直接方式The direct digital signature involves only the communicating parties(source,destination).It is assumed that the destination knows the public key of the source.A digital signature may be formed by encrypting the entire message with the senders private key or by encrypting a hash code of the message with the senders private key.直接数字签名AB消息加密后的摘要消息散列函数A的私钥摘要加密算法消息加密后的摘要A的公钥解密算法解密后的摘要散列函数摘要比 较加密后的摘要vAllDirect Digital Signaturedescribedsofarshareacommonweakness:Thevalidityoftheschemedependsonthesecurityofthesendersprivatekey.Ifasenderlaterwishestodenysendingaparticularmessage,thesendercanclaimthattheprivatekeywaslostorstolenandthatsomeoneelseforgedhisorhersignature.AnotherthreatisthatsomeprivatekeymightactuallybestolenfromXattimeT.TheopponentcanthensendamessagesignedwithXssignatureandstampedwithatimebeforeorequaltoT.仲裁数字签名v具有仲裁方式的数字签名具有仲裁方式的数字签名1.1.发方发方X X对发往收方对发往收方Y Y的消息签名的消息签名2.2.将消息和签名先发往仲裁者将消息和签名先发往仲裁者A A3.3.A A对消息和签名验证完后，再连同一个表示已通对消息和签名验证完后，再连同一个表示已通过验证的指令一起发给过验证的指令一起发给Y.Y.具有仲裁方式的数字签名-基于对称密码v例1：1.XA:M|2.AY:E：单钥加密算法KXA,KAY:A与X和Y的共享密钥M：消息T：时戳IDX：X的身份H(M)：M的杂凑值此方案不提供对此方案不提供对M的保密性的保密性v在1中，X以EKXAIDXH(M)作为自己对M的签名，将M及签名发往A。v在2中A将从X收到的内容和IDX、T一起加密后发往Y，其中的T用于向Y表示所发的消息不是旧消息的重放。Y对收到的内容解密后,将解密结果存储起来以备出现争议时使用。v如果出现争议，Y可声称自己收到的M的确来自X，并将EKAYIDXMEKXAIDXH(M)发给A，由A仲裁，A由KAY解密后，再用KXA对EKXAIDXH(M)解密，并对H(M)加以验证，从而验证了X的签名。具有仲裁方式的数字签名v例21.XA:IDX|2.AY:X对M的签名X和Y的共享密钥此方案提供了对此方案提供了对M M的保密性的保密性仲裁者可和发方共谋否认发方曾发过的仲裁者可和发方共谋否认发方曾发过的消息，也可和收方共谋产生发方的签名消息，也可和收方共谋产生发方的签名具有仲裁方式的数字签名-基于公钥密码v例3X的私钥Y的公钥v第1步中，X用自己的秘密钥SKX和Y的公开钥PKY对消息加密后作为对M的签名，以这种方式使得任何第3方（包括A）都不能得到M的明文消息。vA收到X发来的内容后，用X的公开钥可对ESKXIDXEPKYESKXM解密，并将解密得到的IDX与收到的IDX加以比较，从而可确信这一消息是来自于X的（因只有X有SKX）。v第2步，A将X的身份IDX和X对M的签名加上一时戳后，再用自己的秘密钥加密发往Y。v与前两种方案相比，第3种方案有很多优点：在协议执行以前，各方都不必有共享的信息，从而可防止共谋。只要仲裁者的秘密钥不被泄露，任何人包括发方就不能发送重放的消息。对任何第三方（包括A）来说，X发往Y的消息都是保密的。RSARSA签名体制签名体制v体制参数体制参数大素数大素数p,qp,q，n=pq,y(n)=(p-1)(q-1)n=pq,y(n)=(p-1)(q-1)。选整数。选整数1e 1e y(n),y(n),且且gcd(e,y(n)=1;gcd(e,y(n)=1;计算计算d d满足满足dede1 mod y(n).1 mod y(n).e,ne,n为公开密钥，为公开密钥，d,nd,n为秘密密钥。为秘密密钥。v签名过程签名过程S=MS=Md d mod n mod nv验证过程验证过程M=SM=Se e mod n mod nv实际应用中加密是对实际应用中加密是对H(M)H(M)进行的。进行的。RSA签名方案M|HESKAMHDPKA比较数字签名标准DigitalSignatureStandard(DSS)概况v由由NIST1991NIST1991年公布年公布v19931993年公布修改版年公布修改版v美国联邦信息处理标准美国联邦信息处理标准FIPS PUB 186FIPS PUB 186v签名长度签名长度320bit320bitv只能用于数字签名，不能用于加密只能用于数字签名，不能用于加密DSS的基本方式M|HESKAMHDPKA比较M|HSKAMsHPKG比较VerPKGK随机数rPKASigRSARSA签名签名DSSDSS签名签名全局公开钥数字签名算法DSAv算法描述算法描述:(a)全局公钥(p,q,g)p：是2L-1 p 2L中的大素数，512 L 1024，按64 bits递增；q：(p1)的素因子，且2159 q 2160，即字长160 bits；g：=hp-1 mod p，且1 h 1。(b)用户私钥 x：x为在0 xq内的随机数。(c)用户公钥 y：=g x mod p。(d)用户每个消息用的秘密随机数k：在0kq内的随机数数字签名算法DSA(e)(e)签名过程：对消息签名过程：对消息M M M M=Z=Zp p*，其签名为，其签名为S=SigS=Sigk k(M,M,k k)=(r,sr,s)，S S S S=Z=Zq qZ Zq q,r r(g gk k mod pmod p)mod mod q qs s k k-1 1(h(Mh(M)xrxr)mod)mod q q(f)(f)验证过程：计算验证过程：计算 w w=s s-1-1 mod mod q q;u u1 1=H H(M M)w w mod mod q q;u u2 2=rwrw mod mod q q;v=v=(g gu1u1y yu2u2)mod)mod p p mod mod q q。VerVer(M,r,sM,r,s)=真真 v=rv=r不可否认签名v在得不到签名者配合的情况下其他人不能正确进行签名验证，从而可以防止非法复制和扩散签名者所签署的文件。v可用于保护知识产权p,q是两个素数，和公开a是签名者的私钥，公钥是=a mod p签名：任选e1和e2，计算b=a-1modqd=cbmodpd？=va:签名者的密钥vp，qv公开签名者验证者1.2.3.计算b=a-1modqv,p4.d=cbmodp5.计算d=(Me1e2)modp6.比较两个d盲签名vChaum在在1983年提出。年提出。v需要某人对文件签名，但又不想签名者知道需要某人对文件签名，但又不想签名者知道文件内容，称为盲签名。文件内容，称为盲签名。v适应于电子选举、数字货币协议中适应于电子选举、数字货币协议中基于RSA的盲签名ve是用户B的公钥，d是用户B的私钥v现在用户A需要得到用户B对消息M的签名S=Mdmodn但不能让B得知Mv用户A随机选择k，并计算：T=Mkemodnv把T发给BvB对T签名：W=Tdmodn然后发给AvW/kTd/k(Mke)d/kMdked/kMdmodn