电子商务之认证技术PPT.ppt

《电子商务之认证技术PPT.ppt》由会员分享，可在线阅读，更多相关《电子商务之认证技术PPT.ppt（82页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、本书配套网站 http:/出版时间：2013年5月清清 华华 大大 学学 出出 版版 社社ISBNISBN：9787 302 3 12345本书配套网站 http:/第三章第三章 认证技术认证技术http:/http:/目录v3.1 消息认证消息认证v3.2 身份认证身份认证v3.3 口令机制口令机制v3.4 零知识证明零知识证明v3.5 其他身份认证机制其他身份认证机制v3.6 单点登录技术单点登录技术2http:/http:/密码学的基本概念 v认证（认证（Authentication）又称又称鉴别鉴别w是验证通信对象是原定者而不是冒名顶替者是验证通信对象是原定者而不是冒名顶替者（身份认证

2、身份认证），），w或者确认收到的消息是希望的而不是伪造的或者确认收到的消息是希望的而不是伪造的或被篡改过的（或被篡改过的（消息认证消息认证）。）。v认证技术的实现通常要借助于加密和数字签名等认证技术的实现通常要借助于加密和数字签名等密码学的技术。实际上，数字签名本身也是一种密码学的技术。实际上，数字签名本身也是一种认证技术，它可用来鉴别消息的来源。认证技术，它可用来鉴别消息的来源。3http:/http:/3.1 消息认证v消息认证是一个过程，用来验证接收消息的真实消息认证是一个过程，用来验证接收消息的真实性（的确是由它所声称的实体发来的）和完整性性（的确是由它所声称的实体发来的）和完整性（未

3、被篡改、插入、删除），同时还可用来验证（未被篡改、插入、删除），同时还可用来验证消息的顺序性和时间性（未重排、重放、延迟）。消息的顺序性和时间性（未重排、重放、延迟）。v利用对称加密体制实现消息认证利用对称加密体制实现消息认证v利用公钥加密体制实现消息认证利用公钥加密体制实现消息认证v利用散列函数实现消息认证利用散列函数实现消息认证 v利用利用MAC实现消息认证实现消息认证4http:/http:/利用对称加密体制实现消息认证MEKEK(M)DMKBobAlice发送方发送方A和接收方和接收方B事先共享一个密钥事先共享一个密钥提供保密、提供认证提供保密、提供认证不能提供签名不能提供签名5htt

4、p:/http:/利用对称加密体制实现消息认证v（1）它能提供鉴别：可确认消息只能发自）它能提供鉴别：可确认消息只能发自A，传输途中未被更改；传输途中未被更改；v（2）提供保密性：因为只有）提供保密性：因为只有A和和B知道密钥知道密钥k；v（3）不能提供数字签名：接收方可以伪造消息，）不能提供数字签名：接收方可以伪造消息，发送方可以抵赖消息的发送发送方可以抵赖消息的发送 6http:/http:/利用公钥加密体制实现消息认证 公钥加密：保密性MEKaEKa(M)DMKaBobAlice提供保密提供保密不能提供认证不能提供认证7http:/http:/利用公钥加密体制实现消息认证 私钥加密：认证

5、与签名MDKbEKb(M)EMKbBobAlice提供认证提供认证提供签名提供签名8http:/http:/利用公钥加密体制实现消息认证私钥签名再公钥加密：保密、认证与签名MDKaEKa(Dkb(M)DKaEKbDkb(M)Dkb(M)EKbMBobAlice提供保密、提供认证提供保密、提供认证提供签名提供签名9http:/http:/利用公钥加密体制实现消息认证先公钥加密再私钥签名：保密、认证与签名MEKbEKb(Eka(M)EKbDKaEa(M)Eka(M)DKaMBobAlice提供保密、提供认证、提供签名提供保密、提供认证、提供签名较少使用，先对消息加密再签名不合常理较少使用，先对消息

6、加密再签名不合常理10http:/http:/利用散列函数实现消息认证 v回顾散列函数的特性回顾散列函数的特性w哈希函数、摘要函数哈希函数、摘要函数w输入：任意长度的消息报文输入：任意长度的消息报文 Mw输出：一个固定长度的散列码值输出：一个固定长度的散列码值 H(M)w是报文中所有比特的函数值是报文中所有比特的函数值w单向函数单向函数11http:/http:/Hash函数的分类v根据是否使用密钥根据是否使用密钥w带秘密密钥的带秘密密钥的Hash函数函数:消息的散列值由只有通信双消息的散列值由只有通信双方知道的秘密密钥方知道的秘密密钥K来控制。此时，散列值称作来控制。此时，散列值称作MAC。

7、w不带秘密密钥的不带秘密密钥的Hash函数：消息的散列值的产生无需函数：消息的散列值的产生无需使用密钥。此时，散列值称作使用密钥。此时，散列值称作MDC。vHash函数需满足以下条件：函数需满足以下条件：w输入输入x可以为任意长度，输出为固定长度可以为任意长度，输出为固定长度w正向计算容易，反向计算困难正向计算容易，反向计算困难w抗冲突性抗冲突性(无冲突性）无冲突性）12http:/http:/利用散列函数实现消息认证散列函数的基本用法（a）M|H(M)HKHM比较比较EKMDMBobAliceEK(M|H(M)提供保密、提供认证提供保密、提供认证13http:/http:/利用散列函数实现消

8、息认证散列函数的基本用法（b）M|KEK(H(M)HHM比较比较EDBobAliceK提供认证提供认证14http:/http:/利用散列函数实现消息认证散列函数的基本用法（c）M|KbDKb(H(M)HHM比较比较DEBobAliceKb提供认证提供认证15http:/http:/利用散列函数实现消息认证散列函数的基本用法(d)M|KDKb(H(M)HHM比较比较EDBobAliceKMMDKbEKbEk(M|DKb(H(M)提供保密提供保密提供认证提供认证16http:/http:/利用散列函数实现消息认证散列函数的基本用法（e）M|H(M|S)|HM比较比较BobAliceSS|H提供认

9、证提供认证17http:/http:/利用散列函数实现消息认证散列函数的基本用法（f）M|H(M|S)|KHM比较比较EKMDMBobAliceEK(M|H(M|S)SS|H提供保密提供保密提供认证提供认证18http:/http:/利用MAC实现消息认证v消息认证码：消息认证码：w使用一个密钥生成一个使用一个密钥生成一个固定大小的短数据块，固定大小的短数据块，并将该数据块加载到消息后面，并将该数据块加载到消息后面，称称MAC（或密码校验和）（或密码校验和）MACCk（M）wMAC函数类似于加密函数，函数类似于加密函数，但不需要可逆但不需要可逆性性。因此在数学上比加密算法被攻击的弱点。因此在数

10、学上比加密算法被攻击的弱点要少要少19http:/http:/利用MAC实现消息认证MAC的基本用法：消息认证AliceBobM|KCK(M)CKCM比较比较提供认证提供认证不能提供保密、签名不能提供保密、签名20http:/http:/利用MAC实现消息认证MAC的基本用法：与明文有关的认证M|K1CK(M)CK2CM比较比较EK2MDK1MAliceBob提供保密、提供认证提供保密、提供认证21http:/http:/利用MAC实现消息认证MAC的基本用法：与密文有关的认证M|K1CK1(Ek2(M)CCM比较比较EK2K1MMDK2BobAliceEk2(M)提供保密、提供认证提供保密、

11、提供认证22http:/http:/目录v3.1 消息认证消息认证v3.2 身份认证身份认证v3.3 口令机制口令机制v3.4 零知识证明零知识证明v3.5 其他身份认证机制其他身份认证机制v3.6 单点登录技术单点登录技术23http:/http:/身份认证v身份认证的定义：身份认证的定义：w声称者向验证者出示自己的身份的证明过程声称者向验证者出示自己的身份的证明过程w证实客户的真实身份与其所声称的身份是否相符证实客户的真实身份与其所声称的身份是否相符的过程的过程v身份认证又叫身份鉴别、实体认证、身份识别身份认证又叫身份鉴别、实体认证、身份识别v认证目的：认证目的：使别的成员（使别的成员（验

12、证者验证者）获得对声称者所声称的事）获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一实的信任。身份认证是获得系统服务所必须的第一道关卡。道关卡。24http:/http:/身份认证的依据 v用户所知道的某种信息（用户所知道的某种信息（Something the user knows），如口令或某个秘密。），如口令或某个秘密。v用户拥有的某种物品（用户拥有的某种物品（Something the user possesses），如身份证、银行卡、密钥盘、），如身份证、银行卡、密钥盘、IP地址等。地址等。v用户具有的某种特征（用户具有的某种特征（Something the user

13、 is or how he/she behaves），如指纹、虹膜、），如指纹、虹膜、DNA、脸型等。、脸型等。同时使用两种依据的认证叫做同时使用两种依据的认证叫做双因素双因素（Two-factor）认证）认证方式方式25http:/http:/身份认证系统的组成 v一方是出示证件的人，称为示证者一方是出示证件的人，称为示证者P(Prover)，又称声称，又称声称者者(Claimant)。v另一方验证者另一方验证者V(Verifier)，检验声称者提出的身份的正，检验声称者提出的身份的正确性和合法性，决定是否满足其要求。确性和合法性，决定是否满足其要求。v第三方是可信赖者第三方是可信赖者TP(

14、Trusted third party)，可信可信赖赖者者TP声称者声称者P验证验证者者V鉴别鉴别信息信息26http:/http:/身份认证的分类 v身份认证可分为身份认证可分为单向认证单向认证和和双向认证双向认证。w单向身份认证是指通信双方中只有一方向另单向身份认证是指通信双方中只有一方向另一方进行认证一方进行认证w双向身份认证是指通信双方相互进行认证双向身份认证是指通信双方相互进行认证 v身份认证还可分为身份认证还可分为非密码的认证机制非密码的认证机制和和基于密码基于密码算法的认证机制算法的认证机制。27http:/http:/目录v3.1 消息认证消息认证v3.2 身份认证身份认证v3

15、.3 口令机制口令机制v3.4 零知识证明零知识证明v3.5 其他身份认证机制其他身份认证机制v3.6 单点登录技术单点登录技术28http:/http:/口令机制 v口令是目前使用最广泛的的身份认证机制。从形口令是目前使用最广泛的的身份认证机制。从形式上看，口令是字母、数字或特殊字符构成的字式上看，口令是字母、数字或特殊字符构成的字符串，只有被认证者知道。符串，只有被认证者知道。v提示：银行卡密码、邮箱登录密码、保险柜密码提示：银行卡密码、邮箱登录密码、保险柜密码等，准确地说应该叫口令，因为密码（密钥）是等，准确地说应该叫口令，因为密码（密钥）是用来加密信息的，而口令是用来作为某种鉴别的用来

16、加密信息的，而口令是用来作为某种鉴别的秘密秘密 29http:/http:/口令的基本工作过程 v第一步：系统提示用户输入用户名和口令第一步：系统提示用户输入用户名和口令 v第二步：用户输入用户名和口令，使用户名和口第二步：用户输入用户名和口令，使用户名和口令以明文形式传递到服务器上，令以明文形式传递到服务器上，客客户户机机确确 定定取取 消消登录屏幕登录屏幕用户名：用户名：密密 码：码：客客 户户机机登录请求登录请求服务器服务器ID=adminPassword=tang430http:/http:/口令的基本工作过程v第三步：服务器验证用户名和口令第三步：服务器验证用户名和口令v第四步：服务

17、器通知用户第四步：服务器通知用户 ID Passwordtade df324rest hr45admin tang4 服务器服务器用户鉴别程序用户鉴别程序ID=adminPassword=tang4用户数据库用户数据库客户机客户机登录成功登录成功服务器服务器欢迎欢迎admin，您可以，您可以1.查看账户查看账户2.转账汇款转账汇款31http:/http:/口令机制的身份认证模型v该口令认证模型包括声称者和验证者，上图中的该口令认证模型包括声称者和验证者，上图中的客户机是声称者，而保存有用户数据库的服务器客户机是声称者，而保存有用户数据库的服务器是验证者是验证者 ID口令口令ID口令口令比较比

18、较声称者声称者验证者验证者32http:/http:/口令机制面临的威胁ID口令口令ID口令口令比较比较声称者声称者验证者验证者危及验证危及验证者的攻击者的攻击线路窃听线路窃听重放攻击重放攻击33http:/http:/对付线路窃听的措施v必须在客户端对口令进行加密，可以使用单向散必须在客户端对口令进行加密，可以使用单向散列函数在客户端对口令进行加密，而服务器端也列函数在客户端对口令进行加密，而服务器端也只保存口令的散列值只保存口令的散列值 IDpIDp比比较较声称者声称者验证者验证者f口令口令pID34http:/http:/数据库中存放的是加密的口令口令经口令经MD5算算法加密后的密文法加

19、密后的密文35http:/http:/对付字典攻击v存在的缺陷是：由于散列函数的算法是公开的，攻击存在的缺陷是：由于散列函数的算法是公开的，攻击者可以设计一张者可以设计一张p p和和p p的对应表（称为口令字典），的对应表（称为口令字典），其中其中p p是攻击者猜测的所有可能的口令，然后计算每是攻击者猜测的所有可能的口令，然后计算每个个p p的散列值的散列值p p。接下来，攻击者通过截获鉴别信息。接下来，攻击者通过截获鉴别信息p p，在口令字典中查找，在口令字典中查找p p对应的口令对应的口令p p，就能以很，就能以很高的概率获得声称者的口令，这种方式称为高的概率获得声称者的口令，这种方式称为

20、字典攻击字典攻击。v对付这种攻击的方法可以将单向散列函数对对付这种攻击的方法可以将单向散列函数对IDID和口令和口令p p的连接串求散列值，即的连接串求散列值，即p p=f(p,id)=f(p,id)。这样攻击者。这样攻击者截获鉴别信息截获鉴别信息p p后，必须针对每个后，必须针对每个IDID单独设计一张单独设计一张(p,id)(p,id)和和p p的对应表，大大增加了攻击的难度的对应表，大大增加了攻击的难度 36http:/http:/对付线路窃听和字典攻击IDpIDp比比较较声称者声称者验证验证者者f口令口令pID37http:/http:/对付危及验证者的攻击v对口令系统的另一个潜在威胁

21、是，通过内部攻击对口令系统的另一个潜在威胁是，通过内部攻击危及验证者的口令文件或数据库，如不怀好意的危及验证者的口令文件或数据库，如不怀好意的系统管理员可能会窃取用户数据库中的口令从事系统管理员可能会窃取用户数据库中的口令从事非法用途。这种攻击会危及到系统中所有用户的非法用途。这种攻击会危及到系统中所有用户的口令。口令。v对付危及验证者的攻击的措施：对付危及验证者的攻击的措施：w首先应保证用户口令不能以明文形式存放在验证端数首先应保证用户口令不能以明文形式存放在验证端数据库中。前面介绍的对付线路窃听的措施为对抗这种据库中。前面介绍的对付线路窃听的措施为对抗这种攻击提供了好处攻击提供了好处 w将

22、单向散列函数应用于验证系统，而不是声称系统将单向散列函数应用于验证系统，而不是声称系统 38http:/http:/对付危及验证者的措施对付危及验证者的措施 IDpIDp比比较较声称者声称者验证者验证者口令口令pIDf39http:/http:/ 同样，由于未保护的口令在网络上传输，上同样，由于未保护的口令在网络上传输，上述方案容易受到线路窃听的攻击。所以，我们述方案容易受到线路窃听的攻击。所以，我们应该综合前两个方案的优点。应该综合前两个方案的优点。对付窃听和危及验证者的措施对付窃听和危及验证者的措施 IDpIDq比较声称者验证者口令pIDhf40http:/http:/ 把口令加密传输可以

23、让攻击者无法知道真把口令加密传输可以让攻击者无法知道真实的口令，可是，这对聪明的攻击者并不造实的口令，可是，这对聪明的攻击者并不造成麻烦。成麻烦。他只需把监听的消息录制下来，再用其它的他只需把监听的消息录制下来，再用其它的软件把口令的散列值原封不动的重放给验证软件把口令的散列值原封不动的重放给验证者进行认证，而验证者看到正确的口令散列者进行认证，而验证者看到正确的口令散列值就认为是登录成功的用户，这样攻击者就值就认为是登录成功的用户，这样攻击者就可以冒名顶替受害者，从认证者处获取服务可以冒名顶替受害者，从认证者处获取服务了，我们称这种形式的攻击为了，我们称这种形式的攻击为重放攻击重放攻击。重放

24、攻击重放攻击41http:/http:/声称者验证者 f密码pnr ID nID f ID p比较对付重放攻击的一种方法对付重放攻击的一种方法掺入一个随机数掺入一个随机数n，使线路上传输的认证，使线路上传输的认证信息每次都不相同信息每次都不相同42http:/http:/ 上述方案中的上述方案中的n是一个非重复值，认证方负责是一个非重复值，认证方负责检查检查n是否以前曾被用过。若用过，则请求被拒是否以前曾被用过。若用过，则请求被拒绝。非重复值可用的实现方法有时戳，随机数等。绝。非重复值可用的实现方法有时戳，随机数等。若用时戳方法的话，则两边要维护时钟的同步。若用时戳方法的话，则两边要维护时钟的

25、同步。很明显，时戳的精度越高，抵抗攻击的强度也越很明显，时戳的精度越高，抵抗攻击的强度也越好。好。若用随机数的话，认证方必须保存以往用过若用随机数的话，认证方必须保存以往用过的所有随机数，避免重复，随着服务次数的增加，的所有随机数，避免重复，随着服务次数的增加，这张表会越来越大这张表会越来越大。对付重放攻击的方法比较对付重放攻击的方法比较43http:/http:/声称者验证者 ID p fnn f密码p r IDID比较对付重放攻击的另一种方法对付重放攻击的另一种方法该案称为挑战该案称为挑战-应答机制，较好的抵抗了重应答机制，较好的抵抗了重放攻击。但付出的代价是增加了一次通信放攻击。但付出的

26、代价是增加了一次通信44http:/http:/对付重放攻击-要求输入验证码45http:/http:/对付重放攻击的三种方法 v 加随机数。双方记住使用过的随机数，如发加随机数。双方记住使用过的随机数，如发现报文中有以前使用过的随机数，就认为是重放现报文中有以前使用过的随机数，就认为是重放攻击。缺点是需要额外保存使用过的随机数，攻击。缺点是需要额外保存使用过的随机数，v 加时间戳。该方法优点是不用额外保存其他加时间戳。该方法优点是不用额外保存其他信息；缺点是认证双方需要准确的时间同步，同信息；缺点是认证双方需要准确的时间同步，同步越好，受攻击的可能性就越小。步越好，受攻击的可能性就越小。v

27、加流水号。就是双方在报文中添加一个逐步加流水号。就是双方在报文中添加一个逐步递增的整数，只要接收到一个不连续的流水号报递增的整数，只要接收到一个不连续的流水号报文（太大或太小），就认定有重放威胁文（太大或太小），就认定有重放威胁 v在实际中，常将方法在实际中，常将方法和和组合使用组合使用 46http:/http:/基于挑战-应答的口令机制 用用户户服服务务器器认证请认证请求（用求（用户户名、名、IP）挑挑战战（随机数（随机数R）应应答（答（EH(P)(R)）认证结认证结果果47http:/http:/通过共享秘密进行身份认证方式的总结v 出示口令方式。申请者直接将口令提交给验证者，验出示口令

28、方式。申请者直接将口令提交给验证者，验证者检查口令。该方式的缺点是口令存在被线路窃听、证者检查口令。该方式的缺点是口令存在被线路窃听、被重放且不能双向认证（申请者无法判断验证者是否确被重放且不能双向认证（申请者无法判断验证者是否确实知道口令）的缺点。实知道口令）的缺点。不具有认证的不可传递性不具有认证的不可传递性ID口令口令ID口令口令比较比较声称者声称者验证者验证者48http:/http:/通过共享秘密进行身份认证方式的总结v 不出示口令方式。申请者用口令加密一个消不出示口令方式。申请者用口令加密一个消息，将加密的消息发给验证者，验证者用口令解息，将加密的消息发给验证者，验证者用口令解密，

29、如果得到消息明文则验证通过。该方式解决密，如果得到消息明文则验证通过。该方式解决了口令被窃听和不能双向认证的缺陷，但仍存在了口令被窃听和不能双向认证的缺陷，但仍存在被重放的缺点。被重放的缺点。v 挑战挑战应答方式。验证者发一个随机数给申应答方式。验证者发一个随机数给申请者，申请者用口令加密该随机数给验证者。该请者，申请者用口令加密该随机数给验证者。该方式解决了以上所有三个问题，但增加了一次通方式解决了以上所有三个问题，但增加了一次通信信 49http:/http:/口令的维护和管理措施 v1.对付口令外部泄露的措施对付口令外部泄露的措施 v（1）对用户或者系统管理员进行教育、培训，）对用户或者

30、系统管理员进行教育、培训，增强他们的安全意识；增强他们的安全意识；v（2）建立严格的组织管理和执行手续；）建立严格的组织管理和执行手续；v（3）确保每个口令只与一个人有关；）确保每个口令只与一个人有关；v（4）确保输入的口令不显示在屏幕上；）确保输入的口令不显示在屏幕上；v（5）使用易记的口令，不要写在纸上；）使用易记的口令，不要写在纸上；v（6）定期改变口令，不要让所有系统都使用相）定期改变口令，不要让所有系统都使用相同的口令同的口令 50http:/http:/口令的维护和管理措施v对付口令猜测的措施对付口令猜测的措施 v（1）严格限制非法登录的次数；）严格限制非法登录的次数；v（2）口令

31、验证中插入实时延时）口令验证中插入实时延时v（3）规定口令的最小长度，如至少）规定口令的最小长度，如至少68位；位；v（4）防止使用与用户特征相关的口令）防止使用与用户特征相关的口令v（5）确保口令定期改变；）确保口令定期改变；v（6）更改或取消系统安装时的默认口令）更改或取消系统安装时的默认口令v（7）使用随机数产生器产生的口令会比用户自）使用随机数产生器产生的口令会比用户自己选择的口令更难猜测己选择的口令更难猜测 51http:/http:/目录v3.1 消息认证消息认证v3.2 身份认证身份认证v3.3 口令机制口令机制v3.4 零知识证明零知识证明v3.5 其他身份认证机制其他身份认证

32、机制v3.6 单点登录技术单点登录技术52http:/http:/零知识证明v零知识证明（零知识证明（Zero knowledge proof）技术可）技术可使信息的拥有者无须泄露任何信息就能向验证者使信息的拥有者无须泄露任何信息就能向验证者或者任何第三方证明它拥有该信息。或者任何第三方证明它拥有该信息。v即当示证者即当示证者P掌握某些秘密信息，掌握某些秘密信息，P以某种有效以某种有效的数学方法，使验证者的数学方法，使验证者V确信确信P知道该秘密，但知道该秘密，但P又不需要泄露该秘密给又不需要泄露该秘密给V 53http:/http:/零知识证明DCBA54http:/http:/零知识证明的

33、实现v此此洞洞穴穴问问题题可可转转换换成成数数学学问问题题,设设p和和q是是两两个个大大素素数数，n=pq。假假设设用用户户A知知道道n的的因因子子，如如果果用用户户A想想向向用用户户B证证明明他他知知道道n的的因因子子，但但却却不不想想向向B泄泄露露n的的因因子子，则则用用户户A和用和用户户B可以可以执执行下面的零知行下面的零知识证识证明明协议协议。v1）用用户户B随随机机选选取取一一个个大大整整数数x，计计算算yx4 mod n。用用户户B将将计计算算结结果果y告告诉诉用用户户A。v2）用）用户户A计计算算zy1/2 mod n，并将，并将结结果果z告告诉诉用用户户B。v3）用）用户户B验

34、证验证zx2 mod n是否成立。是否成立。v4）上述）上述协议协议重复多次，若用重复多次，若用户户A每次都能正确地每次都能正确地计计算算y1/2 mod n，则则用用户户B就可以相信用就可以相信用户户A知道知道n的因子的因子p和和q。55http:/http:/目录v3.1 消息认证消息认证v3.2 身份认证身份认证v3.3 口令机制口令机制v3.4 零知识证明零知识证明v3.5 其他身份认证机制其他身份认证机制v3.6 单点登录技术单点登录技术56http:/http:/其他身份认证的机制 v一次性口令一次性口令OTP（One Time Password）是变）是变动的口令，其变动来源于产

35、出口令的运算因子是动的口令，其变动来源于产出口令的运算因子是变化的变化的 如如Lamport提出的基于散列链的一次性口令提出的基于散列链的一次性口令v基于地址的机制基于地址的机制 v基于设备的机制基于设备的机制 v 基于个人特征的机制基于个人特征的机制 57http:/http:/目录v3.1 消息认证消息认证v3.2 身份认证身份认证v3.3 口令机制口令机制v3.4 零知识证明零知识证明v3.5 其他身份认证机制其他身份认证机制v3.6 单点登录技术单点登录技术58http:/http:/单点登录v单点登录（单点登录（Single Sign On），简称），简称SSO，是，是指用户只需向网

36、络进行一次身份认证，以后再无指用户只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资需另外验证身份，便可访问所有被授权的网络资源源 v单点登录的好处单点登录的好处（1）方便用户的使用）方便用户的使用（2）更合理有效的管理用户）更合理有效的管理用户（3）提高了系统的整体安全性）提高了系统的整体安全性 59http:/http:/单点登录系统的分类 v经纪人模型（经纪人模型（Broker-Based SSO）v代理模型代理模型（Agent-Based SSO）v网关模型（网关模型（Gateway-Based SSO）60http:/http:/单点登录系统的一般实现技术

37、 v单单点登点登录录的技的技术实现术实现机制：当用机制：当用户户第一次第一次访问应访问应用系用系统统1的的时时候，因候，因为还为还没有登没有登录录，会被引，会被引导导到到认证认证系系统统中中进进行行登登录录；根据用；根据用户户提供的登提供的登录录信息，信息，认证认证系系统进统进行身份效行身份效验验，如果通，如果通过过效效验验，应该应该返回返回给给用用户户一个一个认证认证的凭的凭证证Ticket；用；用户户再再访问别访问别的的应应用的用的时时候，就会将候，就会将这这个个Ticket带带上，作上，作为为自己自己认证认证的凭据的凭据 v所有应用系统共享一个身份认证系统；所有应用系统共享一个身份认证系

38、统；v所有应用系统能够识别和提取所有应用系统能够识别和提取Ticket信息；信息；v应用系统能够识别已经登录过的用户，能自动判断当前应用系统能够识别已经登录过的用户，能自动判断当前用户是否登录过，从而完成单点登录的功能。用户是否登录过，从而完成单点登录的功能。61http:/http:/单点登录的实例v微软的微软的Passport技术技术vMIT的的Kerberos认证协议认证协议vOASIS的的SAML标准标准62http:/http:/Kerberos认证协议 vKerberos协议的主要特点协议的主要特点v1）采用对称密码体制，而未采用公钥密码体制，）采用对称密码体制，而未采用公钥密码体

39、制，Kerberos与网络上的每个实体（用户和应用服与网络上的每个实体（用户和应用服务器）共享一个不同的密钥，是否知道该密钥便务器）共享一个不同的密钥，是否知道该密钥便是身份的证明；是身份的证明；v2）为客户机）为客户机/服务器应用程序提供身份认证服务，服务器应用程序提供身份认证服务，而不能被浏览器而不能被浏览器/服务器程序采用；服务器程序采用；v3）具有可伸缩性，能够支持大数量的用户和服）具有可伸缩性，能够支持大数量的用户和服务器进行双向认证。务器进行双向认证。63http:/http:/Kerberos数据库Kerberos用户(C)认证服务器(AS)票据许可服务器(TGS)应用服务器(V

40、)Kerberos认证模型64http:/http:/Kerberos共享密钥和认证初步方案 共享用户口令KC共享对称密钥KV用户(C)应用服务器(V)认证服务器(AS)IDC,IDVEKc(Ticket)用户(C)应用服务器(V)认证服务器(AS)IDC,Ticket。图3.24 Kerberos共享密钥初步方案图3.25 Kerberos认证初步方案65http:/http:/引入TGSv这样就完全解决了应用服务器这样就完全解决了应用服务器V认证用户的问题，认证用户的问题，但不能实现单点登录。但不能实现单点登录。v引入票据许可服务器引入票据许可服务器TGS（Ticket-Granting

41、Server），让认证服务器），让认证服务器AS 并不直接向用户发并不直接向用户发放访问应用服务器的票据（服务许可票据），而放访问应用服务器的票据（服务许可票据），而是由是由 TGS向用户发放。用户在向用户发放。用户在AS处认证成功后，处认证成功后，AS发放一张票据许可票据发放一张票据许可票据Tickettgs给用户，票给用户，票据许可票据相当于购票许可证。据许可票据相当于购票许可证。66http:/http:/引入TGS后Kerberos共享密钥方案 共享用户口令KC共享对称密钥KV用户(C)应用服务器(V)票据许可服务器(TGS)认证服务器(AS)共享对称密钥Ktgs67http:/htt

42、p:/引入TGS后Kerberos的认证方案IDC,IDtgs用户(C)应用服务器(V)票据许可服务器(TGS)认证服务器(AS)TickettgsEKc(Tickettgs)TicketvIDC|Ticketv68http:/http:/引入会话密钥v但但图图中中TGS与与用用户户之之间间没没有有共共享享任任何何密密钥钥，因因此此TGS无无法法对对发发送送给给用用户户的的TicketV加加密密，这这导导致致攻攻击击者者可可以以截截获获票票据据，然然后后将将票票据据重重放放给给V以以冒冒充用充用户骗户骗取服取服务务。v为为此，此，Kerberos引入了会引入了会话话密密钥钥，由，由AS为为用用

43、户户与与TGS之之间间生成一会生成一会话话密密钥钥Kc,tgs，将，将这这个密个密钥钥与与Tickettgs一起用一起用Kc加密后分加密后分发给发给用用户户，同，同时时将将这这个密个密钥钥放在放在Tickettgs里分里分发给发给TGS，（Tickettgs就是包含就是包含Kc,tgs的的Tickettgs，Tickettgs=EKtgsKc,tgs,IDC,ADC,IDtgs）。）。这这里，里，AS起到了起到了为为用用户户和和TGS分分发对发对称密称密钥钥的作用。的作用。69http:/http:/引入会话密钥后Kerberos认证方案IDC,IDtgs用户(C)应用服务器(V)票据许可服务

44、器(TGS)认证服务器(AS)EKc(Kc,tgs,Tickettgs)EKc,tgs(Ticketv)Ticketv70http:/http:/Kerberos认证模型的最终方案 IDC,IDtgs用户(C)应用服务器(V)票据许可服务器(TGS)认证服务器(AS)EKc(Kc,tgs,Tickettgs)EKc,tgs(KC,V,Ticketv)Ticketv(含Kc,v)|EKc,vIDC|ADC|TS5EKc,v(TS5+1)71http:/http:/Kerberos认证过程总结v在在认证过认证过程中，程中，总总共使用了共使用了5个个对对称密称密钥钥，分，分别别是是Kc、Ktgs、K

45、v、Kc,tgs、Kc,v，其中，其中2个会个会话话密密钥钥每次都是由每次都是由AS或或TGS临时临时生成的，生成的，这样这样每次每次使用的密使用的密钥钥都不同，防止了都不同，防止了对对票据的重放。票据的重放。v实际实际上，上，Kerberos为为防止票据重放，防止票据重放，还还在在传输传输的消息中和票据中每次都加入了的消息中和票据中每次都加入了时间时间戳。戳。v用用户户登登录录后的整个后的整个过过程程仅仅使用一使用一张张票据票据许许可票可票据，而每据，而每请请求一次服求一次服务务需使用一需使用一张张服服务许务许可票据可票据 72http:/http:/ SAML标准 vSAML即安全断言标记

46、语言，英文全称是即安全断言标记语言，英文全称是Security Assertion Markup Language。它是。它是一种基于一种基于XML语言的，用于在不同的安全域语言的，用于在不同的安全域（Security domain）之间传输认证和授权信息）之间传输认证和授权信息的框架。的框架。vSAML的出现大大简化了的出现大大简化了SSO，并被，并被OASIS（Organization for the Advancement of Structured Information Standards，结构，结构化信息标准推进组织）批准为化信息标准推进组织）批准为SSO的执行标准的执行标准 73

47、http:/http:/提示vSAML所能做的只是在服务器之间传递诸如所能做的只是在服务器之间传递诸如“某某个用户已经登录了个用户已经登录了”这样的信息（断言），因此这样的信息（断言），因此SAML并不是一个完整的身份认证方案（这有别并不是一个完整的身份认证方案（这有别于于Kerberos），），SAML也不是一个认证权威机也不是一个认证权威机构，它根本不能对用户进行认证，只是能传输认构，它根本不能对用户进行认证，只是能传输认证信息。证信息。v为了在这些不同类的网站之间交换认证信息，就为了在这些不同类的网站之间交换认证信息，就必须使认证信息有一套标准的格式，这样不同的必须使认证信息有一套标准的

48、格式，这样不同的网站才都能识别，而且这些认证信息的传输和交网站才都能识别，而且这些认证信息的传输和交换必须要考虑安全性换必须要考虑安全性 74http:/http:/SAML中的基本概念 vSAML认为认证信息是关于主体（认为认证信息是关于主体（Subject）的）的一组断言（一组断言（Assertions）。其中的主体是在某）。其中的主体是在某一认证域中有唯一标识的实体，如用户一认证域中有唯一标识的实体，如用户 vSAML框架的核心是框架的核心是断言断言，断言是由，断言是由SAML权威权威发出的一组数据，该数据可以看作发出的一组数据，该数据可以看作SAML权威对权威对某个主体进行认证的动作，

49、或者是关于某个主体某个主体进行认证的动作，或者是关于某个主体的属性信息，还可以是主体为了访问某个服务而的属性信息，还可以是主体为了访问某个服务而向权威发出申请后得到的授权决定。向权威发出申请后得到的授权决定。75http:/http:/SAML规范中的三种断言 v 属性断言（属性断言（Attribute Assertions）：负责装）：负责装载主体属性信息的断言，如主体的载主体属性信息的断言，如主体的ID、地址等信、地址等信息。息。v 认证断言（认证断言（Authentication Assertions）：）：负责装载主体被成功认证信息的断言，如用户负责装载主体被成功认证信息的断言，如用户

50、A已通过认证。已通过认证。v 授权决定断言（授权决定断言（Authorization Decision Assertions）：用来装载授权决定信息的断言，）：用来装载授权决定信息的断言，如授权用户如授权用户A访问除邮件服务以外的所有资源访问除邮件服务以外的所有资源 76http:/http:/SAML的各部分及其关系配置配置（SAML协议协议、绑绑定和断言如何支持一个特定的定和断言如何支持一个特定的应应用）用）绑绑定定（定（定义义SAML请请求如何映射到具体的消息交求如何映射到具体的消息交换换之之类类的的传输协议传输协议协议协议（处处理断言的理断言的请请求求/应应答方式）答方式）断言（断言（