运行安全--身份认证

计算机网络与信息安全技术研究中心1运行安全--身份认证主讲人：翟健宏Email:zhaijh@hit.edu.cn办公室:新技术楼509Tel:0451-86402573计算机网络与信息安全技术研究中心21问题的提出2身份认证概念3单向认证4双向认证协议5加密方法6身份认证应用实例（Kerberos）7实例分析（WindowsNT4.0身份认证）计算机网络与信息安全技术研究中心31问题的提出身份欺诈•中间欺骗–象棋大师问题–Mafia问题•多身份欺诈计算机网络与信息安全技术研究中心41问题的提出2身份认证概念3单向认证4双向认证协议5加密方法6身份认证应用实例（Kerberos）7实例分析（WindowsNT4.0身份认证）计算机网络与信息安全技术研究中心52身份认证概念•定义：证实客户的真实身份与其所声称的身份是否相符的过程•依据：•Somethingtheuserknow(所知)：密码、口令等•Somethingtheuserpossesses（拥有）：身份证、护照、密钥盘等•SomethingtheuserisorHowhebehaves（特征)：指纹、笔迹、声纹、虹膜、DNA等•协议：PAP，CHAP、Kerberos、X.509•形式：主要有单向认证(one-wayauthentication)、双方认证(mutualauthentication)两种形式。计算机网络与信息安全技术研究中心61问题的提出2身份认证概念3单向认证4双向认证协议5加密方法6身份认证应用实例（Kerberos）7实例分析（WindowsNT4.0身份认证）计算机网络与信息安全技术研究中心73单向认证•传统加密方法•公钥加密方法计算机网络与信息安全技术研究中心81问题的提出2身份认证概念3单向认证4双向认证协议5加密方法6身份认证应用实例（Kerberos）7实例分析（WindowsNT4.0身份认证）计算机网络与信息安全技术研究中心94双向认证协议4.1双向认证•双方认证是最常用的协议，该协议使得通信各方互相认证鉴别各自的身份，然后，交换会话密钥。•基于认证的密钥交换核心问题有两个：保密性、时效性。–为了防止伪装和防止暴露会话密钥，基本认证与会话密码信息必须以保密形式通信，这就要求预先存在保密或公开密钥供实现加密使用，第二个问题也很重要，因为涉及防止消息重放攻击。计算机网络与信息安全技术研究中心104.2消息重放常见的消息重放攻击形式有：•简单重放：攻击者简单复制一条消息，以后在重新发送它；•可检测的重放：攻击者可以在一个合法有效的时限内，重放一个带时间戳的消息；•不可检测到的复制品：这种情况可能出现原因是原始信息已经被拦截无法到达目的地，而只有重放的信息到达目的地；•反向重放，不做修改，向消息发送者重放，当采用传统对称加密方式时，这种攻击是可能的，因为消息发送者不能简单地识别发送和收到的消息在内容上的区别。消息重放威胁：•最坏情况下可能导致向敌人暴露会话密钥，或敌人干扰系统的正常运行，处理不好将导致系统瘫痪。计算机网络与信息安全技术研究中心11对付重放攻击的一种方法是：•在认证交换中，使用一个序数来给每一个消息报文编号，仅当收到的消息序数顺序合法时才接受之，但这种方法的困难是要求双方必须保持上次消息的序号.两种更为一般的方法是：•时间戳：A接受一个新消息，仅当该消息包含一个时间戳，该时间戳在A看来是足够接近A所知道的当前时间，这种方法要求不同参与者之间的时钟需要同步。•盘问/应答方式（Challenge/Response）：A期望从B获得一个新消息，首先发给B一个临时值(challenge)，并要求后续从B收到的消息（response）包含正确的这个临时值。计算机网络与信息安全技术研究中心12•时间戳方法似乎不能用于面向连接的应用，固有的困难：(1)需要在各种处理器时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击；(2)由于某一方的时钟机制故障，可能导致临时失去同步，这将增大攻击成功的机会；(3)由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步，因此，任何基于时间戳的过程必须采用时间窗的方式来处理，一方面时间窗应足够大以包容网络延迟；另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。•盘问/应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要特点。•安全的时间服务器用以实现时钟同步可能是最好的方法。计算机网络与信息安全技术研究中心131问题的提出2身份认证概念3单向认证4双向认证协议5加密方法6身份认证应用实例（Kerberos）7实例分析（WindowsNT4.0身份认证）计算机网络与信息安全技术研究中心145加密方法5.1传统加密方法•Needham/SchroederProtocol[1978]1A→KDC：IDA||IDB||N12KDC→A：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3A→B：EKb[Ks||IDA]4B→A：EKs[N2]用KS加密的信息N2-A通知A5A→B：EKs[f(N2)]计算机网络与信息安全技术研究中心15•保密密钥Ka和Kb分别是A和KDC，B和KDC之间共享的密钥，本协议的目的就是要安全地分发一个会话密钥Ks给A和B。•A在第2步安全地得到了一个新的会话密钥，第3步只能由B解密并理解，第4步表明B已知道Ks了，第5步表明A相信B知道Ks，并且，消息不是伪造的。•第4、5步目的是为了防止某种类型的重放攻击，特别是如果敌方能够在第3步捕获该消息，并重放之，这将在某种程度上干扰破坏B方的运行操作。计算机网络与信息安全技术研究中心16上述方法尽管有第4,5步的握手但仍然有漏洞。•假定攻击方C已经掌握A和B之间通信的一个老的会话密钥，C可以在第3步冒充A利用老的会话密钥欺骗B，除非B记住所有以前使用的与A通信的会话密钥，否则B无法判断这是一个重放攻击。•如果C可以中途阻止第4步的握手信息，则可以冒充A在第5步响应，从这一点起C就可以向B发送伪造的消息，而对B来说，认为是用认证的会话密钥与A进行的正常通信。计算机网络与信息安全技术研究中心17•DenningProtocol[1982]改进1A→KDC：IDA||IDB2KDC→A：EKa[Ks||IDB||T||EKb[Ks||IDA||T]]3A→B：EKb[Ks||IDA||T]4B→A：EKs[N1]5A→B：EKs[f(N1)]|Clock-T|Δt1+Δt2其中：Δt1是KDC时钟与本地时钟A或B之间差异的估计值，Δt2是预期的网络延迟时间。计算机网络与信息安全技术研究中心18•DenningProtocol比Needham/SchroederProtocol在安全性方面增强了一步，然而，又提出新的问题，即必须依靠各时钟均可通过网络同步。•如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时，重放给接收者，这种重放将会得到意想不到的后果（称为抑制重放攻击）。计算机网络与信息安全技术研究中心19•KEHN921A→B：IDA||Na2B→KDC：IDB||Nb||EKb[IDA||Na||Tb]3KDC→A：EKa[IDB||Na||Ks||Tb]||EKb[IDA||Ks||Tb]||Nb4A→B：EKb[IDA||Ks||Tb]||EKs[Nb]计算机网络与信息安全技术研究中心205.2公钥加密方法•一个使用时间戳的方法是1A→AS：IDA||IDB2AS→A：EKRas[IDA||KUa||T]||EKRas[IDB||KUb||T]3A→B：EKRas[IDA||KUa||T]||EKRas[IDB||KUb||T]||EKUb[EKRa[Ks||T]]计算机网络与信息安全技术研究中心21•一个基于临时值握手协议WOO92a1A→KDC：IDA||IDB2KDC→A：EKRauth[IDB||KUb]3A→B：EKUb[Na||IDA]4B→KDC：IDB||IDA||EKUauth[Na]5KDC→B:EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDB]]6B→A：EKUa[EKRauth[Na||Ks||IDB]||Nb]7A→BEKs[Nb]计算机网络与信息安全技术研究中心22•一个基于临时值握手协议WOO92b1A→KDC：IDA||IDB2KDC→A：EKRauth[IDB||KUb]3A→B：EKUb[Na||IDA]4B→KDC：IDB||IDA||EKUauth[Na]5KDC→B：EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDA||IDB]]6B→A：EKUa[EKRauth[Na||Ks||IDA||IDB]||Nb]7A→B：EKs[Nb]计算机网络与信息安全技术研究中心231问题的提出2身份认证概念3单向认证4双向认证协议5加密方法6身份认证应用实例（Kerberos）7实例分析（WindowsNT4.0身份认证）计算机网络与信息安全技术研究中心24•6.1Kerberos•6.2KerberosVersion4•6.3Kerberos管辖范围与多重服务•6.4KerberosVersion5•6.5Kerberos的分析•6.6MZ协议模型6身份认证应用实例（Kerberos）计算机网络与信息安全技术研究中心256.1Kerberos•Kerberos：partofProjectAthenaatMIT。GreekKerberos：希腊神话故事中一种三个头的狗，还有一个蛇形尾巴。是地狱之门的守卫。ModernKerberos：意指有三个组成部分的网络之门的保卫者。“三头”包括：认证(authentication)、簿记(accounting)、审计(audit)。计算机网络与信息安全技术研究中心261)问题在一个开放的分布式网络环境中，用户通过工作站访问服务器上提供的服务。–服务器应能够限制非授权用户的访问，并能够认证对服务的请求。–工作站不能够被网络服务所信任，其能够正确地认定用户，即工作站存在三种威胁。•一个工作站上一个用户可能冒充另一个用户操作；•一个用户可能改变一个工作站的网络地址，从而冒充另一台工作站工作；•一个用户可能窃听他人的信息交换，并用回放攻击获得对一个服务器的访问权或中断服务器的运行。计算机网络与信息安全技术研究中心272)Kerberos要解决的问题①所有上述问题可以归结为一个非授权用户能够获得其无权访问的服务或数据。②不是为每一个服务器构造一个身份认证协议，Kerberos提供一个中心认证服务器，提供用户到服务器和服务器到用户的认证服务。③Kerberos采用传统加密算法。④KerberosVersion4和Version5(RFC1510)。计算机网络与信息安全技术研究中心283)信息系统资源保护的策略①单用户单机系统。用户资源和文件受到物理上的安全保护；②多用户分时系统。操作系统提供基于用户标识的访问控制策略，并用logon过程来标识用户。③Client/Server网络结构。由一组工作站和一组分布式或中心式服务器组成。计算机网络与信息安全技术研究中心294）三种可能的安全方案①相信每一个单独的客户工作站可以保证对其用户的识别，并依赖于每一个服务器强制实施一个基于用户标识的安全策略。②要求客户端系统将它们自己向服务器作身份认证，但相信客户端系统负责对其用户的识别。③要求每一个用户对每一个服务器证明其标识身份，同样要求服务器向客户端证明其标识身份。计算机网络与信息安全技术研究中心305）Kerberos的解决方案•在一个分布式的client/server体系机构中采用一个或多个Kerberos服务器提供一个认证服务。计算机网络与信息安全技术研究中心316）Kerberos系统应满足的要求①安全。网络窃听者不能获得必要信息以假冒其它用户