第5章-认证技术-PPT.ppt

第5章认证技术;;知识点：;5.1认证技术概述;5.1.2认证协议;（2）无需第三方参与的单向认证

协议执行的步骤如下（如图5-3所示）：;密钥KA和KB分别是A与KDC、B与KDC共享的密钥，这个协议的目的是将会话密钥KS安全的分发给A和B。在步骤②中A可安全地获取一个新的会话密钥；步骤③中的报文只能被B解密，因此只有B知道报文的内容；在步骤④中，B已获取了会话密钥KS；在步骤⑤中B确信A已获得了会话密钥KS，同时也使得B确信这是一个新报文，因为使用了随机数N2。本协议中步骤④和⑤的作用是防止某种特定类型的重放攻击。;尽管有步骤④和⑤的存在，但此协议还是容易遭到一种重放攻击。假定C是攻击者，已获得了一个过时的会话密钥。C可以冒充A，使用旧的会话密钥，通过简单的重放步骤③就能欺骗B，除非B始终牢记所有与A的会话密钥，否则B无法确定这是一个重放。如果C能截获步骤④中的报文，那么他就能够模仿步骤⑤中的响应。因此，C可以向B发送一个伪造的报文，让B以为报文是来自A（且使用的是认证过的会话密钥）。

Denning提出了改进的Needham/Schroder协议，克服了上述这种重放攻击，这个改进协议是在步骤②和③中增加了时间戳，并假定密钥KA和KB是完全安全的。改进后的协议执行的步骤如下：;大家有疑问的，可以询问和交流;5.2口令认证技术;图1-1就是通信服务提供者的信息安全模型。;实现动态口令认证的技术有：;下面简单介绍基于一次性口令的身份认证系统（S/KEY），目前S/KEY现已经作为标准的协议RFC1760。

（1）S/KEY的认证过程

S/KEY的认证过程如图5-5所示，步骤如下：;①用户向身份认证服务器提出连接请求；

②服务器返回应答，并附带两个参数（seed,seq）；

③用户输入口令，系统将口令与seed连接，进行seq次Hash计算（Hash函数可以使用MD4或MD5），产生一次性口令，传给服务器；

④服务器端必须存储一个文件，它存储每一个用户上次登录的一次性口令。服务器收到用户传过来的一次性口令后，再进行一次Hash计算，与先前存储的口令进行比较，若匹配则通过身份认证，并用这次的一次性口令覆盖原先的口令。下次用户登录时，服务器将送出seq‘=seq?1。这样，如果客户确实是原来的那个用户，那么他进行seq?1次Hsah计算的一次性口令应该与服务器上存储的口令一致。;（2）S/KEY的优点

①用户通过网络传送给服务器的口令是利用秘密口令和seed经过MD4（或MD5）生成的密文，用户拥有的秘密口令并没有在网上传播。这样即使黑客得到了密文，由于散列算法固有的非可逆性，要想破解密文在计算上是不可行的。在服务器端，因为每一次成功的身份认证后，seq自动减1，这样下次用户连接时产生的口令同上次生成的口令是不一样的，从而有效地保证了用户口令的安全。

②实现原理简单，Hash函数的实现可以用硬件来实现，可以提高运算效率。

（3）S/KEY的缺点

①给用户带来一些麻烦（如口令使用一定次数后需要重新初始化，因为每次seq要减1）。;②S/KEY的安全性依赖于散列算法（MD4/MD5）的不可逆性，由于算法是公开的，当有关于这种算法可逆计算的研究有了信息时，系统将会被迫重新使用其他安全算法。

③S/KEY系统不使用任何形式的会话加密，因而没有保密性。如果用户想要阅读他在远程系统的邮件或日志，这会在第1次会话中成为一个问题；而且由于有TCP会话的攻击，这也会对S/KEY的安全性构成威胁。

④所有一次性口令系统都会面临密钥的重复这个问题，这会给入侵者提供入侵机会。

⑤S/KEY需要维护一个很大的一次性密钥列表，有的甚至让用户把所有使用的一次性密钥列在纸上，这对于用户来说是非常麻烦的事情。此外，有的提供硬件支持，这就要求使用产生密钥的硬件来提供一次性密钥，用户必须安装这样的硬件。。;5.3消息认证技术;（1）B确信消息未被更改过。如果一个攻击者更改消息，而未更改MAC，那么B计算出来的消息将不同于接收到的MAC（假定攻击者不知道该密钥，因此不可能更改MAC来对应被更改过的消息）。

（2）B确信消息来自发送者。因为没有其他人知道该密钥，所以也没有人能为一个消息伪造一个合适的MAC。

（3）如果消息包括一个序列号（如用于HDLC、X.25和TCP），那么接收者确信该序列号的正确性。这是因为攻击者无法更改序列号。;图5-6基于DES的消息认证码;3．消息认证码方案;21;1．Hash函