信息系统安全第2章课件.ppt

第第2章章 认证认证认证也是建立在现代密码学上的。从认证的对象看，可以分为报文认证和身份认证。报文认证主要包括了报文鉴别（主要用于完整性保护）和数字签名（主要用于抗抵赖保护），身份认证用于真实性保护。2.1 报文鉴别报文鉴别2.1.1 数据完整性保数据完整性保护概述护概述内容完整性保护内容完整性保护序列完整性保护序列完整性保护时间完整性保护时间完整性保护给发送的报文加一个序列号，接收方通过检查序列号，来鉴别报文传送的序列有没有被破坏。（1）时间戳。（2）询问-应答机制。校验码鉴别码2.1.2 报文鉴别与报文摘要数据完整性保护概述报文鉴别与报文摘要数据完整性保护概述1.报文鉴别方法 报文鉴别（message authentication）也称为消息鉴别，是用于鉴别报文（即消息）内容完整性的过程，即要鉴别报文在传输中有没有被删除、添加或修改。生成报文鉴别码的方法主要有两种：一种方法称为报文鉴别码方法，它是使用一个由密钥控制的公开函数由报文产生的固定长的数值，也称密码校验和。另一种方法称为杂凑码（散列码），它是将报文使用单向杂凑（hash，哈希）函数变换成为具有固定长度的报文（消息）摘要（message digest，MD）Hash functions were introduced in cryptology in the Iate seventies as a tool to protect the authenticity of information.Soon it became clear that they were a very useful building block to solve other security problems in telecommunication and computer networks.This paper sketches the history of the concept,discusses the applications of hash functions,and preents the approaches that have been followed to construct hash functions.930206151063HMH(M)报文摘要的使用方法传送MMHH(M)MHH(M)比较EDKKH(M)传送MMHMHH(M)比较EDKH(M)H(M)K传送MMHMHH(M)比较EDPKAH(M)H(M)SKA传送MMHMHH(M)比较EDPKAH(M)H(M)SKAEDKK（a）传送EKM|H(M)（b）传送M|EKH(M)（c）传送M|ESKAH(M)（d）传送EKM|ESKAH(M)2.1.3 报文摘要算法报文摘要算法1.对杂凑函数的一般要求报文摘要就像是需要鉴别的数据的一个“指纹”。为了实现对于数据的鉴别，杂凑函数应当满足如下一些条件：（1）对于不同的报文不能产生相同的杂凑码，即对于任何两个报文X和Y，不能生成H(X)=H(Y)。因此，改变原始报文中的任意一位的值，将产生完全不同的杂凑码。（2）无法由HD推出报文，即对于给定的杂凑码MD，几乎无法找到M使H(M)=MD。（3）对于任意一个报文，无法预知它的杂凑码。（4）D的输入可以是任意长，而输出是固定长。（5）H函数的算法是公开的，杂凑码的安全性来自H产生单向杂凑的能力。报文摘要算法MD5特点：单向性：由报文生成报文摘要，但不能由报文摘要还原为报文。无碰撞性：对于不同的报文不会产生两个相同的报文摘要。运算速度快，应用比较普遍。应用：防篡改鉴别加密 例：MD5(tanajiya.tar.gz)=0ca175b9c0f726a831d895e269332461 MD5算法轮廓 以512位分组来处理输入的报文；每一分组又被划分为16个32b子分组；经过了一系列的处理后，输出4个32b分组放在4个链接变量（Chaining Variable）或称寄存器A、B、C、D中；将4个链接变量进行级联，生成一个128b散列值。MD5算法步骤第1步：数据扩展。报 文10000报文长度报文长度64b512b的整数倍第2步：初始化MD缓冲区。使它们的十六进制初始值分别为：A=0 x01234567，B=0 x89abcdef，C=0 xfedcba98，D=0 x76543210。第3步：报文切块。按照512的长度，将报文分割成（N+1）个分组：Y0,Y1,YN。每一分组又可以表示为16个32位的字。第4步：依次对各分组进行HMD5压缩生成MD。如图2.17所示，从分组Y0开始到最 Y0Y1YqYNABCDHMD5HMD5HMD5HMD5MD512b512b512b512b512b512b512b512b128b128b128b128b128b128b128bCV0CV1CV2CVq CVq+1 CVn 安全杂凑算法SHASHA（Secure Hash Algorithm，安全杂凑算法）是由美国国家标准技术研究所（NIST）于1993年发布的联邦信息处理标准（FIPS 180）中的安全散列标准（secure hash standard,SHS）中使用的算法。SHA与MD5都是来自MD4，所以它们有许多相似之处。摘要长度最大报文长度基本处理单元长度运算次数使用常数个数MD5128b无限制512b64（4轮16次）64SHA-1160b264-1512b80（4轮20次）42.2 数字签名数字签名性质：能够验证签名者的身份，以及签名的日期和时间；能够用于证实被签报文的内容的真实性；签名可以由第三方验证，以解决双方在通信中的争议。要求：签名的产生必须使用发送方独有的一些信息进行，以防伪造和否认；签名的产生、识别和验证应比较容易；数字签名应当可以被备份；用已知的签名构造一个新的报文或由已知的报文产生一个假冒的签名，在计算上都是不可行的。2.2.1 直接数字签名和数字签名标准直接数字签名和数字签名标准DSS所谓直接方式，就是签名过程只与发送和接收参与。实施这种方法的前提是接收方可以通过某种方式验证发送方提交的凭证，也可以在发生争议时将该凭证交第三方仲裁。DSS（digital signature standard）是美国国家标准委员会（NIST）公布的联邦信息处理标准FIPS PUB 186。DSA算法的签字函数参数：用SHA方法生成的报文摘要；一个随机数；发送方的私有密钥SKA；全局公钥PKG供所有用户使用的一族参数。DSA算法输出：s和r。这两个输出就构成了对报文M的数字签名。传送MMHMHs比较rsrDSAnSKAPKGDSAPKAPKGDSA是DSS中采用的数字签名算法。2.2.2 有仲裁的数字签名有仲裁的数字签名有仲裁的数字签字的基本思想是：发送方完成签字后，不是直接发送给接收方，而是将报文和签字先发送给双方共同信任的第三方进行验证，第三方验证无误后，再附加一个“已经通过验证”的说明并注上日期，一同发送给接收方。由于第三方的介入，发方和接收方都无法抵赖。1.方案1 XA：M|EKXAIDX|H(M)。X将签名（EKXAIDX|H(M)和报文M发给A。KXA为X和A的共享密钥。AY：EKAYIDX|M|EKXAIDX|H(M)|T。A对签字验证后，再附加上时间戳T并用A和Y共享的密钥KAY加密后转发给Y。Y收到A发来的报文，解密后，将结果保存起来。由于Y不知道KXA，所以不能直接检查X的签字，只能相信A。当出现争议时，Y可以声称自己收到的M来自X，并将 EKAYIDX|M|EKXAIDX|H(M)|T 发送给A，让A仲裁。2.方案2 XA：IDX|EKXYM|EKXA IDX|H(EKXYM)。AY：EKAYIDX|EKXYM|EKXA IDX|H(EKXYM)|T。这个方案用X和Y的共享密钥KXY加密所传送的M，从而提供了保密性。但还没有解决对仲裁者的约束。3.方案3 XA：IDX|ESKXIDX|EPKYESKXM。AY：ESKAIDX|EPKY ESKX M|T。2.2.3 应用实例应用实例安全电子交换协议安全电子交换协议SETSET（Secure Electric Transaction，安全电子交换）协议是一种利用加密技术（Cryptography），以确保信用卡消费者、销售商及金融机构在Internet上从事电子交易的安全性和隐私性的协议。它是由两大信用卡公司VISA和Master在GTE、IBM、Microsoft、Netscape、SAIC、Terisa System、Verisign等著名IT公司的支持下开发的。于1996年2月1日正式发表。电子商务中的B to C交易过程持卡者商家发卡机构支付网关认证 订 货 交 货 转账信息（卡号）回执支付收据 支 付转账请求 回 执 付款通知B to C的交易过程中的主要角色：商家（Merchant）：商品或服务的提供者。银行（Acquirer）：为在线交易者开设账号，并处理支付卡的认证和支付业务。支付网关（Payment gateway）：将Internet上的传输数据转换为金融机构内部数据。持卡者（Cardholder）：消费者，可以使用付款卡结算。发卡机构（Issuer）：为每一个建立了账户的客户颁发付款卡，也可以由指派的第三方处理商家支付信息和客户支付命令。B to C交易过程中的4种业务7个步骤（1）订货消费者上网，查看企业和商家网页，选择商品；消费者通过对话框填写订货单（姓名、地址、品种、规格、数量、价格）给商家。（2）支付商家核对消费者订货单后，向用户发出付款通知，同时向银行发出转账请求。消费者选择支付方式，如向发卡机构提交付款卡。（3）转账发卡机构验证消费者付款卡后，将卡号加密传向银行（支付网关）。银行审查消费者付款卡（有效、款额等）合格后，进行转账。转账成功，向商家发出和发卡机构出转账成功回执。发卡机构向消费者发出支付收据。（4）付货商家向消费者付货。电子支付中的安全需求 确定交易过程中交易伙伴的真实性。保证电子单据的隐秘性，防范被无关者窃取。保证业务单据不丢失，即使丢失也可察觉。验证电子单据内容的完整性。验证电子单据内容的真实性。具有防抵赖性和可仲裁性。保证存储的交易信息的安全性。SET的目标SET的主要目标是：（1）保证数据在Internet上安全传输，不被窃取。（2）订单信息与账号信息隔离，如把包含消费者账号信息的订单送给商家时，商家应看不到消费者账号信息。（3）消费与商家可以互相认证（一般由第三方提供信用担保），确定通信双方身份。（4）采用统一的协议和数据格式，使不同厂家开发的软件具有兼容性和互操作性，并可以运行在不同的硬件和操作系统平台上。SET的参与角色（5）支付网关，实际上是一台可以处理SET协议数据的计算机，可在SET协议和银行交易系统之间进行数据格式转换，实现传统银行网上支付功能的延伸。支付网关有如下服务：确定商家和消费者身份；解密持卡人的支付指令；签署数字响应。支付网关必须具有：银行授权；CA颁发的数字证书。（6）认证机构，是参与交易各方都信任的第三方，可以接受发卡行和收单行的委托，对持卡人、商家和支付网关完成数字证书的发放。（1）消费者，即持卡人，必须具备如下条件：持有发卡机构支付卡账号；持有认证机构颁发的身份证书；能够上网。（2）商家，即经营者，必须具备如下条件：持有网上经营许可权；持有银行委托授权机构（认证中心、CA）颁发的数字证书；具有的电子商务平台：处理消费者申请、与支付网关通信、存储自身公钥签名、存储自己的公钥交换私钥、存储交易参与方的公钥交换私钥、申请和接受认证、与后台数据库通信等。（3）银行：给在线交易参与者建立账号，处理转账业务。（4）发卡机构：金融机构为建立了账号的消费者发卡。SET的安全保障作用（1）基于持卡人的安全保障对账号数据保密；对交易数据保密；持卡人对商家的认证。（2）基于商家的安全保障对交易数据完整性的认证；对持卡人账户数据的认证；对持卡人的认证；对银行端的认证；对交易数据保密；提供交易数据的佐证。（3）基于银行（支付网关）的安全保障对消费者账号数据的认证；对交易数据的间接认证；对交易数据完整性的认证；提供交易数据的佐证。双重签名技术方案1：设Sig(x)是一个基于RSA的多项式时间函数，可以产生对x的有效签名。1 持卡者（C）的操作：产生订货信息OI和账号信息PI，生成两个摘要H C(OI)和H C(PI)；双重签名：将H C(OI)和H C(PI)连接，再生成一个摘要，并对其用私钥进行签名得到CSig(H C(H C(OI),H C(PI)；发给商家：OI、HC(PI)和CSig(H C(H C(OI),H C(PI)；发给支付网关：PI、HC(OI)和CSig(HC(HC(OI),HC(PI)。2 商家（M）收到信息后的操作：利用收到的OI，生成摘要HM（OI）；将HM（OI）与HC（PI）合起来生成摘要H M（HM(OI),HC(PI)）；用H M（HM(OI),HC(PI)）对CSig(HC(HC(OI),HC(PI)进行验证，以确认信息发送者的身份和信息是否被修改过。3 支付网关（P）收到信息后的操作：利用收到的PI，生成摘要HP（PI）；将HC（OI）与HP（PI）合起来生成摘要H P（HC(OI),HP(PI)）；用H P（HC(OI),HP(PI)）对CSig(HC(HC(OI),HC(PI)进行验证，以确认信息发送者的身份和信息是否被修改过。双重签名技术方案2：1 持卡者（C）的操作：生成OI、PI、H(OI)、H（PI）、CSig(H(OI)、CSig(H(H(OI),H(PI)；将CSig(H(OI)、CSig(H(H(OI),H(PI)、H（PI）和OI传送给商家；将PI和H(OI)传给支付网关（银行）。2 商家（M）操作：用C的公钥验证CSig(H(H(OI),H(PI)、CSig(H(OI)和H（PI），确定是否持卡者的签名。用自己的私钥生成对交易数据的签名MSig(H(OI)。将MSig(H(OI)和CSig(H(H(OI),H(PI)一同送支付网关（银行）。3 支付网关（P）操作：验证MSig(H(OI)，确定H(OI)为交易数据的杂凑值。用已知的PI 和H(OI)，验证CSig(H(H(OI),H(PI)的正确性，确认交易数据和账户数据都是正确的。根据政策，确认此笔交易是否成功。SET交易过程 持卡者商家支付网关交易请求产生交易识别数据TIDEKM私TID验证TID产生双重签名EKC私OI。EKC私OI，PI，CSig(H(OI)，CSig(H(H(OI),H(PI)EKP私Authdata验证MSig(H(OI)确认OI和PI正确确定交易是否成功MSig(H(OI)，CSig(H(H(OI),H(PI)验证CSig(H(OI)重对OI产生杂凑值和签名确定交易成功产生交易完成信息TIDEKM私TID2.3 身份证明机制身份证明机制口令；代表身份的生物特征信息；智能卡和电子钥匙；证书。2.3.1 口令口令 1.口令及其脆弱性口令通常是作为用户账号补充部分向系统提交的身份凭证。口令是较弱的安全机制，攻击者可以从下面一些途径进行口令攻击：（1）猜测和发现口令 常用数据猜测，如家庭成员或朋友的名字、生日、球队名称、城市名、身份证号码、电话号码、邮政编码等。字典攻击：按照字典序进行穷举攻击。其他，如望远镜窥视等。（2）电子监控在网络或电子系统中，被电子嗅探器、监控窃取。（3）访问口令文件 在口令文件没有强有力保护的情形下，下载口令文件。在口令文件有保护的情况下，进行蛮力攻击。（4）通过社交工程如通过亲情、收买或引诱，获取别人的口令。（5）垃圾搜索收集被攻击者的遗弃物，从中搜索被疏忽丢掉的写有口令的纸片或保存有口令的盘片。口令安全保护（1）（1）选取口令的原则 扩大口令的字符空间。口令字符空间越大，穷举攻击的难度就越大。一般，不要仅限于使用26个大写字母，可以扩大到小写字母、数字等计算机可以接受的字符空间。选择长口令。口令越长，破解需要的时间就越长，一般应使位树大于6位。使用随机产生的口令，避免使用弱口令（有规律的口令。参见弱密码）和容易被猜测的口令，如如家庭成员或朋友的名字、生日、球队名称、城市名等。使用多个口令，在不同的地方不要使用相同的口令。（2）正确地使用口令 缩短口令的有效期。口令要经常更换。最好使用动态的一次性口令。限制口令的使用次数。限制登录时间，如属于工作关系的登录，把登录时间限制在上班时间内。口令安全保护（2）（3）增强系统对口令的安全保护 安全地保存指令。口令的存储不仅是为了备忘，更重要的是系统要在检测用户口令时进行比对。直接明文存储口令（写在纸上或直接明文存储在文件或数据库中）最容易泄密。较好的方法是将每一个用户的系统存储账号和杂凑值存储在一个口令文件中。当用户登录时，输入口令后，系统计算口令的杂凑码，并与口令文件中的杂凑值比对：成功，则允许登录；否则，拒绝。系统管理员除对用户账户要按照资费等加以控制外，还要对口令的使用在以下几个方面进行审计：最小口令长度；强制修改口令的时间间隔 口令的唯一性 口令过期失效后允许入网的宽限次数；如果在规定的次数内输入不了正确口令，则认为是非法用户的入侵，应给出报警信息。增加口令认证的信息量。例如在认证过程中，随机地提问一些与该用户有关，并且只有该用户才能回答的问题。2.3.2 生物特征信息（生物特征信息（1）1.指纹2.3.2 生物特征信息（生物特征信息（2）2.虹膜2.3.2 生物特征信息（生物特征信息（3）3.面像（1）面像检测 基于规则的面像检测：总结了特定条件下可用于检测面像的知识（如脸型、肤色等），并把这些知识归纳成指导面像检测的规则。基于模板匹配的面像检测：首先构造具有代表性的面像模板，通过相关匹配或其他相似性度量检测面像。基于统计学习的面像检测：主要利用面部特征点结构灰度分布的共同性。（2）面像识别 面像样本训练：提取面像特征，形成面像特征库。识别：用训练好的分类器将待识别面像的特征同特征库中的特征进行匹配，输出识别结果。4.声纹在计算机处理时，常常将人类声纹特征分为三个层次：声道声学层次：在分析短时信号的基础上，抽取对通道、时间等因素的不敏感特征。韵律特征层次：抽取独立于声学、声道等因素的超音段特征，如方言、韵律、语速等。语言结构层次：通过对语音信号的识别，获取更加全面和结构化的语义信息。声纹识别系统主要包括两部分：特征提取：选取唯一表现说话人身份的有效且可靠的特征。模式匹配：对训练和识别时的特征模式进行相似性匹配。5.其他如步态、笔迹、签名、颅骨、视网膜、唇纹、DNA、按键特征、耳朵轮廓、体温图谱、足迹等。2.3.3 智能卡与电子钥匙身份验证智能卡与电子钥匙身份验证智能卡（Smart Card）是如名片大小的手持随机动态密码产生器，也称集成电路卡或IC卡（Integrated Card）。对于智能卡的安全保护，一般采取如下一些措施：（1）对持卡人、卡和接口设备的合法性进行相互校验；（2）重要数据要加密后传输；（3）卡和接口设备中设置安全区，在安全区内包含有逻辑电路或外部不可读的存储区。任何有害的不规范的操作，将会被自动禁止进一步进行。（4）应设置止付名单（黑名单）。（5）有关人员要明确责任，严格遵守。电子钥匙（ePass）是一种通过USB直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备，用于存储一些个人信息或证书，它内部的密码算法可以为数据传输提供安全的管道，是适合单机或网络应用的安全防护产品。其安全保护措施与智能卡相似。2.3.4 数字证书数字证书数字证书有以下特点：（1）它包含了身份信息，因此可以用于证明用户身份；（2）它包含了非对称密钥，不但可用于数据加密，还可用于数据签名，保证通信过程的安全和不可抵赖；（3）由于是权威机构颁布的，因此具有很高的公信度。常见的数字证书类型Web服务器证书服务器身份证书计算机证书个人证书安全电子邮件证书企业证书代码签名证书认证中心 认证中心（Certificate Authority，CA）是可以信赖的第三方机构，具有如下一些功能。颁发证书管理证书用户管理吊销证书验证申请者身份保护证书服务器保护CA私钥和用户私钥审计与日志检查公开密钥基础设施PKIPKA具体职能：制定完整的证书管理政策；建立高可信度的CA中心；负责用户属性管理、用户身份隐私的保护和证书作废列表的管理；为用户提供证书和CRL有关服务的管理；建立安全和相应的法规，建立责任划分并完善责任政策。典型PKI体系结构（1）政策批准机构PAA:是一个PKI系统方针的制定者建立整个PKI体系的安全策略批准本PAA下属的PCA的政策为下属PCA签发证书负有监控各PCA行为的责任PAAPCA1PCAnCA1CAnCA1CAnEE1ORAORAEE1（4）在线证书申请ORAORA进行证书申请者的身份认证，向CA提交证书申请，验证接收CA签发的证书，并将证书发放给申请者。有时还协助进行证书的制作。（2）政策CA机构PCA制 定本PCA的具体政策（3）CACA具有有限政策制定权限，它在上级PCA政策范围内，进行具体的用户公钥证书的签发、生成和发布以及CRL的生成和发布。2.4 认证协议认证协议信息的真实性保护认证形式：单向身份认证双响身份认证实现方法：单钥加密体制方法公钥加密体制方法实时性和保护的实现序列号时间戳询问-应答2.4.1 单钥加密认证协议单钥加密认证协议 1.相互认证协议相互认证协议Needham-Schroeder1 AKDC：IDA|IDB|N1（A请求与B加密通信）。2 KDCA：EKAKs|IDB|N1|EKBKs|IDA（A获得Ks）。3 AB：EKBKs|IDA（B安全地获得Ks）。4 BA：EKsN2（B知道A已掌握Ks，用加密N2向A示意自己也获得Ks）。5 AB：EKsf（N2）。KDCA（发起方）B（响应方）21345特点：4、5为一个握手过程，以证明在3中获得的Ks是新鲜的可能出现欺骗攻击改进的改进的Needham-Schroeder改进方法：在2、3步中增加一个时间戳：2 KDCA：EKAKs|IDB|T|EKSKs|IDA|T3 AB：EKBKs|IDA|T问题：系统故障或存在时间差时会失灵进一步改进方法：1 AB：IDA|NA2 BKDC：IDB|NB|EKBIDA|NA|TB3 KDCA：EKAIDB|NA|Ks|IDA|TB|EKBIDA|Ks|TB|NB4 AB：EKBIDA|Ks|TB|EKSNBKDCAB31422.单向认证协议 在Needham-Schroeder协议中去掉第4步和第5步，就成为能满足单向通信两个基本要求的单向认证协议：1 AKDC：IDA|IDB|N12 KDCA：EKAKs|IDB|N1|EKBKs|IDA3 AB：EKBKs|IDA|EKsM2.4.2 Kerberos认证系统认证系统MIT（麻省理工学院）开发采用Needham-Schroeder协议为分布式计算环境提供的一种对用户双方进行验证：在开放的分布式环境中，用户希望访问网络中的服务器，而服务器则要求能够认证用户的访问请求并只允许通过了认证的用户访问服务器，以防止未授权用户得到服务和数据。三头守护狗安全（认证）服务器（authentication server，AS）认证（Authentication）。计费（Accounting）。审计（Audit）。KDC生成凭证客户方和服务器方的身份信息。下一阶段通信双方使用的临时加密密钥会话密钥（Session Key）。证明客户方拥有会话密钥的身份认证者（Authenticator）信息防止攻击者再次使用同一凭证。时间标记（Timestamp），以检测重放攻击（Replay Attack）。Kerberos系统 工作原理ASTGS中心数据库 Kerberos系统服务器V用户C组成：中心数据库、安全（认证）服务器（authentication server，AS）凭证许可服务器（ticket-granting server，TGS）。3.Kerberos系统认证需要的信息在认证过程中，要使用的如下身份识别码：IDC：客户身份；IDTGS：TGS身份；IDV：服务器身份。在认证过程中，要使用的如下一些数据：PC：C上的用户口令；ADC：C的网络地址；TSi：第i个时间戳；lifetimei：第i个有效期间。在认证过程中，要使用的如下密钥：KC,TGS：C与TGS共享；KTGS：AS与TGS共享；KC：C与AS共享，由C上的用户口令导出的；KV：TGS与V共享；KC,V：C与V共享。4.Kerberos系统的认证过程（1）（1）认证服务交换，用户从AS取得入场劵 客户向AS发出访问TGS请求（用TS1表示是新请求）：CS：IDC|IDTGS|TS1。AS向C发出应答：ASC：EKCKC,TGS|IDTGS|TS2|lifetime2|TicketTGS。其中 TicketTGS=EKTGSKC,TGS|IDC|ADC|IDTGS|TS2|lifetime24.Kerberos系统的认证过程（2）（2）入场劵许可服务交换，用户从TGS获取服务许可凭证 C向TGS发出请求，内容包括服务器识别码、入场劵和一个认证符：CTGS：IDV|TicketTGS|AuthenticatorV。其中 TicketTGS=EKTGSKC,TGS|IDC|ADC|IDTGS|TS2|lifetime2 AuthenticatorV=EKC,TGSIDC|ADC|TS3 TGS经验证，向C发出服务许可凭证：TGSC：EKC,TGSKC,TGS|IDC|ADC|IDTGS|TS2|lifetime2。其中 TicketV=EKVKC,V|IDC|ADC|IDV|TS4|lifetime44.Kerberos系统的认证过程（3）（3）客户-服务器相互认证交换，用户从服务器获取服务 C向服务器证明自己身份（用TicketV和AuthenticatorV）CV：TicketV|AuthenticatorV。其中 TicketV=EKVKC,V|IDC|ADC|IDV|TS4|lifetime4 AuthenticatorV=EKC,VIDC|ADC|TS5 服务器向客户证明自己身份 VC：EKC,VTS5+1。这个过程结束，客户C与服务器V之间就建立起了共享会话密钥，以便以后进行加密通信或交换新密钥。2.4.3 公钥加密认证协议公钥加密认证协议 1.相互认证协议（1）一个通过认证服务器AS的认证协议 AAS：IDA|IDB。ASA：ESKASIDA|PKA|T|ESKASIDB|PKB|T。AB：ESKASIDA|PKA|T|ESKASIDB|PKB|T|EPKBESKA KS|T。这个协议需要各方时钟同步。（2）一个通过KDC的认证协议 AKDC：IDA|IDB。KDCA：ESKAUIDB|PKB（SKAU是KDC的私钥）。AB：EPKBNA|IDA（NA是A选择的一次性随机数）。BKDC：IDB|IDA|EPKAUNA（PKAU是KDC的公钥）。KDCB：ESKAUIDA|PKA|EPKBESKAUNA|KS|IDB（KS是KDC为A、B分配的一次性会话密钥）。BA：EPKAESKAUNA|KS|IDB|NB。AB：EKSNB。2.4.3 公钥加密认证协议公钥加密认证协议 2.单向认证协议（1）发送方知道接收方的公钥，才有可能机密性保护。例如下面的协议仅提供机密性：AB：EPKBKS|EKSM。（2）接收方知道发送方的公钥，才有可能认证性保护。例如下面的协议仅提供认证性：AB：M|ESKAH(M)。这时，为了使B确信A的公钥的真实性，A还要向B发送 的公钥证书：AB：M|ESKAH(M)|ESKAST|IDA|PKA（SKAS为认证服务器的公钥，ESKAST|IDA|PKA是AS给A签署的公钥证书）。（3）发送方和接收方互相知道对方的公钥，即可提供机密性又可提供认证性，例如：AB：EPKBM|ESKAH(M)这时，为了使B确信A的公钥的真实性，A还要向B发送 的公钥证书：AB：EPKBM|ESKAH(M)|ESKASTS|IDA|PKA。2.4.4 X.509标准标准 定义了X.500目录向用户提供认证业务的一个框架；证书格式；基于公钥证书的认证协议。1.X.509数字证书格式版本V3序列号1234567890签名算法标识RSA和MIDS签发者c=CN，o=JAT-CA有效期（起始日期，结束日期）06/06/06-08/08/08主体c=CN,o=SX Cop，cn=Wang主体公钥信息（算法、参数、公开密钥）、56af8dc3a785d6ff4/RSA/SHA发证者惟一Value主体惟一标识Value类型关键程度Value类型关键程度ValueCA的数字签名2.证书目录在证书目录中，不仅存储和管理用户证书，还存储用户的相关信息（如电子邮件地址、电话号码等）。由于证书的非保密性，证书目录也是非保密的。目前证书目录广泛使用X.500标准。X.500标准目录不仅可以对证书进行集中管理，还可以管理用户相关信息，从而构成一个用户信息源。为了便于实际应用，在Internet环境下更多使用的是X.500标准的简化和改进版本LDAP（Lightweight Directory Protocol，轻型目录访问协议）。3.X.509证书的层次结构UVWYXZCABVWWVUWVUWXXWXZXAXCVYYVYZZXZXZB证书链形成一个层次结构。X.509建议将所有的CA证书，须由CA放在目录中，并且要采用层次结构。其内部节点表示CA，叶节点表示用户。用户可以从目录中沿着一条证书路径，获得另一个节点的证书和公钥。例如，A获取B证书的证书路径为：XWWVVYYZZB4.用户证书的吊销在下列情形下，应当将用户证书吊销：一个用户证书到期。用户秘密密钥泄露。CA的证书失窃。CA不再给用户签发证书。5.认证过程AB1 ArA,TA,B,SgnData,EPKbKABAB1 ArA,TA,B,SgnData,EPKbKAB2 B TB,rB,rA,SgnData,EPKaKBAAB1 ArA,TA,B,SgnData,EPKbKAB3 ArB2 B TB,rB,rA,SgnData,EPKaKBA（a）一次验证（b）二次验证（c）三次验证2.5 基于认证的基于认证的Internet安全安全IPIPSecTCP/UDPSSL应用层2.5.1 IP SecIP遭受的安全威胁：（1）IPv4缺乏对通信双方真实身份的验证能力；（2）IPv4缺乏对网络上传输的数据包进行机密性和完整性保护；（3）数据包中没有携带时间戳、一次性随机数等，很容易遭受重放攻击。（4）路由器布局是Internet的骨架。路由器不设防，将会使路由信息暴露，为攻击者提供入侵途径。IPSec特点（1）是一套协议包，集成的多种安全技术（2）有两种运行模式：传输模式；隧道模式。（3）采用安全协同SA工作机制IP Sec安全结构IPSec的安全结构包括3个基本协议：（1）AH（Authentication Header，认证报头）协议，为IP包提供信息源验证和完整性保证。（2）ESP（Encapsulating Security Payload，封装安全负荷）协议，提供加密保证。（3）IKE（Internet Key Exchange密钥交换）协议，提供双方交流时的共享安全信息。IP Sec数据包格式IP包头AH包头ESP包头上层协议（数据）IP Sec传输模式传输模式（Transport Mode）的特点是：用于两个主机之间；仅对上层协议数据部分提供安全保护，即在传输模式中，只有高层协议（TCP，UDP，ICMP等）及数据进行加密，源地址、目的地址以及IP包头的内容都不加密。简单地说，传输协议为上层协议提供安全保护。AH和ESP都支持传输协议。AH头IP头TCP数据ESP头IP头TCP数据AH头IP头TCP数据ESP头（a）AH数据包（b）ESP数据包（c）AH-ESP数据包IPSec的三种传输模式数据包IPSec隧道模式隧道模式（Tunnel Mode）的特点：用于有一端是安全网关或路由器的机器之间；对整个IP数据包提供安全保护。即在隧道模式中，整个用户的IP数据包被用来计算ESP包头，整个IP包被加密并和ESP包头一起被封装在一个新的IP包内。于是，当数据在Internet上传送时，真正的源地址和目的地址被隐藏起来。隧道模式的IPSec数据包AH头IP头TCP数据新IP头ESP头IP头TCP数据新IP头（a）AH数据包（b）ESP数据包安全协同安全协同（Security Associations，SA）是两个IP Sec实体（主机、安全网关）之间经过协商建立起来的一种协定。SA的内容：采用何种IP Sec协议（AH，ESP）；运行模式（传输模式，隧道模式）；采用的验证算法、加密算法、加密密钥、密钥生存期，抗重放窗口、计数器等保护什么？如何保护？谁来保护？SA通过一个三元组来唯一标识：（安全参数索引SPI，目的IP地址，安全协议（AH或ESP）标识符）SA提供的安全服务AH为IP数据包提供的服务有：数据源验证（但不对数据包加密）。无连接完整性。抗重播服务。接收端是否需要这一服务，可以自行决定。ESP为SA提供的服务有：加密和验证（不包括外IP头），或者其中之一。这种有限业务流机密性可以隐藏数据包的源地址和最终目的地址。对数据包进行填充，从而隐藏了数据包的真实大小，进而隐藏了其通信特征。抗重播服务。安全策略数据库与安全协同数据库（1）安全协同数据库（Security Association Database，SAD）SAD由一系列SA条目组成，每个条目定义了一个SA的参数，所以SAD包含了与每个活动SA相关的所有参数信息。（2）安全策略数据库（Security Policy Database，SPD）安全策略（Security Policy，SP）定义了对所有入数据/出数据应当采取的安全策略，决定了为一个包提供的安全服务以及以什么方式提供。SPD实际上不是通常意义上的数据库，而是将所有的SP定义了对所有出/入业务应当采取的安全策略，以某种数据结构集中存储列表。当要将IP包发出去或者接收到IP包时，首先要查找SPD来决定如何进行处理。SPD对IP包的处理有3种可能：丢弃。绕过不用IP Sec。采用IP Sec。IP Sec体系结构 IP Sec安全体系ESP协议加密算法AH协议验证算法DOIIKE协议策略IPSec协议的进一步分析（1）AH协议AH为IP包提供数据完整性和验证服务：对数据使用完整性检查，可以判定数据包在传输过程中是否被修改。通过验证机制，终端系统或设备可以对用户或应用进行验证，并过滤通信流；还可以防止地址欺骗和重放攻击。下一个头载荷长度安全参数索引（SPI）保 留序列号验证数据（可变）0 7 8 15 16 31（2）ESP协议ESP协议为IP数据包提供如下服务：数据源验证。数据完整性。抗重放。机密性。初始化向量载荷数据（可变）安全参数索引（SPI）序列号0 7 8 15 16 23 24 31 填充（0 255比特）下一个头填充长度验证数据（可变）（3）密钥交换协议IKE有4种身份认证方式：基于数字签名的认证：利用数字证书表示身份，利用数字签名算法计算出一个签名来验证身份。基于公开密钥的认证：用对方的公钥加密身份，通过检查对方发来的Hash值进行认证。基于修正的公钥，对上述方式修正。基于预共享字符串：双方事先商定好一个双方共享的字符串。DOI的作用是为使用IKE进行协商SA的协议统一分配标识符。（4）加密和验证算法IP Sec的加密只用于ESP。目前的IP Sec标准要求任何IP Sec实现都必须支持DES，此外还可以使用3DES、RC5、IDEA、3IDEA、CAST和 Blowfish。IP Sec的验证算法可用于AH和ESP，主要采用HMAC。HMAC将消息和密钥作为输入来计算MAC。MAC保存在AH/ESP头中的验证数据