《现代密码学》第十章 身份鉴别协议 1 上章内容回顾 密钥管理简介 密钥分配 密钥协商 PKI及数字证书简介 秘密共享 2 本章主要内容 身份鉴别的定义 口令认证协议 挑战应答协议 对身份识别协议的攻击和对策 3 身份鉴别的定义 身份鉴别：又称为身份识别、实体认证。 它是这样一个过程，即其中一方确信参与协 议的第二方的身份，并确信第二方真正参与 了该过程。 用户的身份识别是许多应用系统的第一道防 线，其目的在于识别用户的合法性，从而阻 止非法用户访问系统。身份识别（认证）对 确保系统和数据的安全保密是极其重要的。 4 身份鉴别的定义 已知事物：口令、个人识别码(PIN)、挑 战-响应协议中已被证实的秘密或私钥。 已拥有的事物：通常是物理配件。如，磁卡、 智能卡(或IC卡)、口令生成器 固有事物(对某个人)：利用人类物理特征和 无意行为。如，手写签名、指纹、声音、视 网膜模式、手的几何形状等。（非密码学的） 5 身份鉴别的定义 用于实现身份识别的协议。 协议：是一系列步骤，它包括两方和多 方，设计它的目的是要完成一项任务。 „协议是从开始到结束的一个序列，每步必须依 次执行 „完成协议至少需要两个人 „协议的目的是为了做一些事情 6 身份鉴别的定义 身份鉴别协议满足的条件： 1、在诚实的情况下，声称者Alice能向验证 者Bob证明他确实是Alice； 2、不同于Alice的实体C以Alice的身份，让 Bob相信C是Alice的概率可忽略不计; 3、在声称者Alice向验证者Bob声称他的身份 后，验证者Bob不能获得任何有用的信息， Bob也不能模仿Alice向其他第三方证明他 就是Alice。 7 身份鉴别的定义 身份鉴别技术分类 ①Passwords（weakauthentication）：系统检查 口令是否与系统拥有的相应用户数据相匹配，批 准声明的身份访问资源 „用户ID是声称的身份 „口令是支持声称的证据：固定口令、PIN和通行密钥 ②Challenge-responseidentification（strong authentication）：通过向验证者展示与证明者 实体有关的秘密知识来证明自己的身份，但在协 议中并没有向验证者泄露秘密本身。 8 口令认证协议 固定口令 AB ID,PW PassWordAPW 检查口令 „1）存储的口令文件和身份 „以明文形式将用户口令存储在系统口令文件中 „口令文件需读保护和写保护 „2）“加密的”口令文件 „存储口令的单向函数值 „口令文件需写保护 9 口令认证协议 3）口令加盐(SaltingPasswords) „第一环节：口令字段字符串的生成：s=Agen(Dsalt,pw) ①给口令pw撒盐：Dpw=Asalt(Dsalt，pw)； ②用撒盐结果做密钥：K=Dpw； ③用一个64位的全0位串构造一个数据块Dp； ④设循环次数：i=0； ⑤对数据块加密：Dc=Acrypt(K,Dp)； ⑥Dp=Dc，i=i+1； ⑦如果i<25，则回到第⑤步； ⑧把数据块变换成字符串：s=Atrans(Dc)； ⑨返回s。 10 口令认证协议 第二环节：口令字段信息维护： ①接收用户提供的口令pw； ②生成一个盐值：Dsalt=Arandom()； ③生成口令信息：s=Agen(Dsalt,pw)； ④把口令信息s和Dsalt存入数据库的口令 字段中。 11 口令认证协议 第三环节：身份认证过程： ①接收用户提供的帐户名Dname和口令 pw； ②在帐户信息数据库中检查Dname的合法 性，如果合法，则找出其对应的s和Dsalt； ③生成临时口令信息：sr=Agen(Dsalt, pw)； ④如果sr与s相等，则认证成功，否则，认 证失败。 12 口令认证协议 4）PIN(PersonalIdentificationNumbers)： „属于固定(时不变)口令类，作为身份验证的证 据，通常和磁卡(或芯片卡、门卡)等一起使用。 „通常很短，如4-8位数字 „限制PIN的输入尝试次数 „也可与通行码生成器一起使用：映射为通行密 钥（如56bits的DES密钥），以保证用户和知 道用户口令的系统间的安全通信 13 口令认证协议 在第四种方法中，两种身份验证的技术是结 合在一起的。该类验证的一个很好的例子就 是带有PIN(个人身份号码)的自动取款机卡。 这种卡属于"拥有某事"这一类，PIN属于"知 道某事"这一类。PIN就是一个可以提高卡的 安全性的口令。如果卡丢失了，不知道PIN 的话，也不能使用。然而，PIN的数字通常 是非常短