运行安全-身份认证.ppt

1,运行安全-身份认证,主讲人：翟健宏 Email:办公室:新技术楼509Tel:0451-86402573,2,1 问题的提出2 身份认证概念3 单向认证4 双向认证协议5 加密方法6 身份认证应用实例（Kerberos）7 实例分析（Windows NT 4.0身份认证）,3,1问题的提出,身份欺诈中间欺骗象棋大师问题Mafia问题 多身份欺诈,4,1 问题的提出2 身份认证概念3 单向认证4 双向认证协议5 加密方法6 身份认证应用实例（Kerberos）7 实例分析（Windows NT 4.0身份认证）,5,2 身份认证概念,定义：证实客户的真实身份与其所声称的身份是否相符的过程依据：Something the user know(所知)：密码、口令等Something the user possesses（拥有）：身份证、护照、密钥盘等Something the user is or How he behaves（特征)：指纹、笔迹、声纹、虹膜、DNA等协议：PAP，CHAP、Kerberos、X.509形式：主要有单向认证(one-way authentication)、双方认证(mutual authentication)两种形式。,6,1 问题的提出2 身份认证概念3 单向认证4 双向认证协议5 加密方法6 身份认证应用实例（Kerberos）7 实例分析（Windows NT 4.0身份认证）,7,3 单向认证,传统加密方法公钥加密方法,8,1 问题的提出2 身份认证概念3 单向认证4 双向认证协议5 加密方法6 身份认证应用实例（Kerberos）7 实例分析（Windows NT 4.0身份认证）,9,4双向认证协议,4.1 双向认证双方认证是最常用的协议，该协议使得通信各方互相认证鉴别各自的身份，然后，交换会话密钥。基于认证的密钥交换核心问题有两个：保密性、时效性。为了防止伪装和防止暴露会话密钥，基本认证与会话密码信息必须以保密形式通信，这就要求预先存在保密或公开密钥供实现加密使用，第二个问题也很重要，因为涉及防止消息重放攻击。,10,4.2消息重放,常见的消息重放攻击形式有：简单重放：攻击者简单复制一条消息，以后在重新发送它；可检测的重放：攻击者可以在一个合法有效的时限内，重放一个带时间戳的消息；不可检测到的复制品：这种情况可能出现原因是原始信息已经被拦截无法到达目的地，而只有重放的信息到达目的地；反向重放，不做修改，向消息发送者重放，当采用传统对称加密方式时，这种攻击是可能的，因为消息发送者不能简单地识别发送和收到的消息在内容上的区别。消息重放威胁：最坏情况下可能导致向敌人暴露会话密钥，或敌人干扰系统的正常运行，处理不好将导致系统瘫痪。,11,对付重放攻击的一种方法是：在认证交换中，使用一个序数来给每一个消息报文编号，仅当收到的消息序数顺序合法时才接受之，但这种方法的困难是要求双方必须保持上次消息的序号.,两种更为一般的方法是：时间戳：A接受一个新消息，仅当该消息包含一个时间戳，该时间戳在A看来是足够接近A所知道的当前时间，这种方法要求不同参与者之间的时钟需要同步。盘问/应答方式（Challenge/Response）：A期望从B获得一个新消息，首先发给B一个临时值(challenge)，并要求后续从B收到的消息（response）包含正确的这个临时值。,12,时间戳方法似乎不能用于面向连接的应用，固有的困难：(1)需要在各种处理器时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击；(2)由于某一方的时钟机制故障，可能导致临时失去同步，这将增大攻击成功的机会；(3)由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步，因此，任何基于时间戳的过程必须采用时间窗的方式来处理，一方面时间窗应足够大以包容网络延迟；另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。,盘问/应答方法不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要特点。安全的时间服务器用以实现时钟同步可能是最好的方法。,13,1 问题的提出2 身份认证概念3 单向认证4 双向认证协议5 加密方法6 身份认证应用实例（Kerberos）7 实例分析（Windows NT 4.0身份认证）,14,5加密方法,5.1 传统加密方法Needham/Schroeder Protocol 19781 A KDC：IDA|IDB|N12 KDC A：EKaKs|IDB|N1|EKbKs|IDA3 A B：EKbKs|IDA4 B A：EKsN2 用KS加密的信息N2-A 通知A5 A B：EKsf(N2),15,保密密钥Ka和Kb分别是A和KDC，B和KDC之间共享的密钥，本协议的目的就是要安全地分发一个会话密钥Ks给A和B。A在第2步安全地得到了一个新的会话密钥，第3步只能由B解密并理解，第4步表明B已知道Ks了，第5步表明A相信B知道Ks，并且，消息不是伪造的。第4、5步目的是为了防止某种类型的重放攻击，特别是如果敌方能够在第3步捕获该消息，并重放之，这将在某种程度上干扰破坏B方的运行操作。,16,上述方法尽管有第4,5步的握手但仍然有漏洞。假定攻击方C已经掌握A和B之间通信的一个老的会话密钥，C可以在第3步冒充A利用老的会话密钥欺骗B，除非B记住所有以前使用的与A通信的会话密钥，否则B无法判断这是一个重放攻击。如果C可以中途阻止第4步的握手信息，则可以冒充A在第5步响应，从这一点起C就可以向B发送伪造的消息，而对B来说，认为是用认证的会话密钥与A进行的正常通信。,17,Denning Protocol 1982 改进1 A KDC：IDA|IDB2 KDC A：EKaKs|IDB|T|EKbKs|IDA|T3 A B：EKbKs|IDA|T4 B A：EKsN15 A B：EKsf(N1)|Clock-T|t1+t2其中：t1是KDC时钟与本地时钟A或B之间差异的估计值，t2 是预期的网络延迟时间。,18,Denning Protocol 比Needham/Schroeder Protocol在安全性方面增强了一步，然而，又提出新的问题，即必须依靠各时钟均可通过网络同步。如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时，重放给接收者，这种重放将会得到意想不到的后果（称为抑制重放攻击）。,19,KEHN921 A B：IDA|Na2 B KDC：IDB|Nb|EKbIDA|Na|Tb3 KDC A：EKaIDB|Na|Ks|Tb|EKbIDA|Ks|Tb|Nb4 A B：EKbIDA|Ks|Tb|EKs Nb,20,5.2公钥加密方法,一个使用时间戳的方法是1 A AS：IDA|IDB2 AS A：EKRasIDA|KUa|T|EKRasIDB|KUb|T 3 A B：EKRasIDA|KUa|T|EKRasIDB|KUb|T|EKUbEKRa Ks|T,21,一个基于临时值握手协议WOO92a1 A KDC：IDA|IDB2 KDC A：EKRauthIDB|KUb3 A B：EKUbNa|IDA4 B KDC：IDB|IDA|EKUauthNa5 KDC B:EKRauthIDA|KUa|EKUbEKRauthNa|Ks|IDB6 B A：EKUaEKRauth Na|Ks|IDB|Nb7 A B EKsNb,22,一个基于临时值握手协议WOO92b1 A KDC：IDA|IDB2 KDC A：EKRauthIDB|KUb3 A B：EKUbNa|IDA4 B KDC：IDB|IDA|EKUauthNa5 KDC B：EKRauthIDA|KUa|EKUbEKRauthNa|Ks|IDA|IDB6 B A：EKUaEKRauth Na|Ks|IDA|IDB|Nb7 A B：EKsNb,23,1 问题的提出2 身份认证概念3 单向认证4 双向认证协议5 加密方法6 身份认证应用实例（Kerberos）7 实例分析（Windows NT 4.0身份认证）,24,6.1Kerberos6.2Kerberos Version46.3Kerberos管辖范围与多重服务6.4Kerberos Version 56.5Kerberos的分析6.6MZ协议模型,6 身份认证应用实例（Kerberos）,25,6.1 KerberosKerberos：part of Project Athena at MIT。Greek Kerberos：希腊神话故事中一种三个头的狗，还有一个蛇形尾巴。是地狱之门的守卫。Modern Kerberos：意指有三个组成部分的网络之门的保卫者。“三头”包括：认证(authentication)、簿记(accounting)、审计(audit)。,26,1)问题 在一个开放的分布式网络环境中，用户通过工作站访问服务器上提供的服务。服务器应能够限制非授权用户的访问，并能够认证对服务的请求。工作站不能够被网络服务所信任，其能够正确地认定用户，即工作站存在三种威胁。一个工作站上一个用户可能冒充另一个用户操作；一个用户可能改变一个工作站的网络地址，从而冒充另一台工作站工作；一个用户可能窃听他人的信息交换，并用回放攻击获得对一个服务器的访问权或中断服务器的运行。,27,2)Kerberos要解决的问题所有上述问题可以归结为一个非授权用户能够获得其无权访问的服务或数据。不是为每一个服务器构造一个身份认证协议，Kerberos提供一个中心认证服务器，提供用户到服务器和服务器到用户的认证服务。Kerberos采用传统加密算法。Kerberos Version4和Version5(RFC1510)。,28,3)信息系统资源保护的策略单用户单机系统。用户资源和文件受到物理上的安全保护；多用户分时系统。操作系统提供基于用户标识的访问控制策略，并用logon过程来标识用户。Client/Server网络结构。由一组工作站和一组分布式或中心式服务器组成。,29,4）三种可能的安全方案相信每一个单独的客户工作站可以保证对其用户的识别，并依赖于每一个服务器强制实施一个基于用户标识的安全策略。要求客户端系统将它们自己向服务器作身份认证，但相信客户端系统负责对其用户的识别。要求每一个用户对每一个服务器证明其标识身份，同样要求服务器向客户端证明其标识身份。,30,5）Kerberos的解决方案在一个分布式的client/server体系机构中采用一个或多个Kerberos服务器提供一个认证服务。,31,6）Kerberos系统应满足的要求安全。网络窃听者不能获得必要信息以假冒其它用户；Kerberos应足够强壮以至于潜在的敌人无法找到它的弱点连接。可靠。Kerberos应高度可靠，并且应借助于一个分布式服务器体系结构，使得一个系统能够备份另一个系统。透明。理想情况下，用户除了要求输入口令以外应感觉不到认证的发生。可伸缩。系统应能够支持大数量的客户和服务器。,32,6.1Kerberos6.2Kerberos Version46.3Kerberos管辖范围与多重服务6.4Kerberos Version 56.5Kerberos的分析6.6MZ协议模型,33,6.2 Kerberos Version4,1)Kerberos Version4特点：引入一个信任的第三方认证服务，采用一个基于Needham&chroeder协议,采用DES，精心设计协议，提供认证服务。,34,2)一个简单的认证对话引入认证服务器(AS)，它知道所有用户的口令并将它们存储在一个中央数据库中。AS与每一个服务器共有一个唯一的保密密钥。这些密钥已经物理上或以更安全的手段分发。,35,考虑以下假定的对话：(1)C AS：IDC|PC|IDV(2)AS C：Ticket(3)C V：IDC|TicketTicket=EKVIDC|ADC|IDV 其中：C：clientAS：Authentication ServerV：serverIDC：identifier of user on C IDV：identifier of VPC：password of user on CADC：network address of CKV：AS与V共有的保密密钥,36,3)更安全的认证对话两个主要问题希望用户输入口令的次数最少。口令以明文传送会被窃听。解决办法ticket reusableticket-granting server,37,改进后的假想的对话：Once per user logon session：(1)C AS：IDC|IDtgs(2)AS C：EKCTickettgsOnce per type of service(3)C TGS：IDC|IDv|Tickettgs(4)TGS C：TicketVOnce per service session(5)C V：IDC|TicketVTickettgs=EKtgsIDC|ADC|IDtgs|TS1|Lifetime1TicketV=EKVIDC|ADC|IDV|TS2|Lifetime2,38,4)Kerberos V4 Authentication Dialogue两个问题与ticket-granting ticket相关的Lifetime问题；需要服务器向客户进行认证；解决方案session key,39,Summary of Kerberos Version 4 Message Exchanges身份验证服务交换：获得服务授予的票据(Authentication Service Exchange：to obtain ticket-granting ticket)(1)C AS：IDC|IDtgs|TS1(2)AS C：EKCKc,tgs|IDtgs|TS2|Lifetime2|TickettgsTickettgs=EKtgs Kc,tgs|IDC|ADC|IDtgs|TS2|Lifetime2,40,(1)C AS：IDC|IDtgs|TS1(2)AS C：EKCKc,tgs|IDtgs|TS2|Lifetime2|Tickettgs Tickettgs=EKtgs Kc,tgs|IDC|ADC|IDtgs|TS2|Lifetime2注：Message(1)Client 请求 ticket-granting ticket IDC：告诉AS本client端的用户标识；IDtgs：告诉AS用户请求访问TGS；TS1：让AS验证client端的时钟是与AS的时钟同步的；Message(2)AS返回ticket-granting ticket EKC：基于用户口令的加密，使得AS和client可以验证口令，并保护Message(2)。Kc,tgs：session key的副本，由AS产生，client可用于在tgs与client之间信息的安全交换，而不必共用一个永久的key。IDtgs：确认这个ticket是为TGS制作的。TS2：告诉client该ticket签发的时间。Lifetime2：告诉client该ticket的有效期；Tickettgs：client用来访问TGS的ticket。,41,b)票据授予的服务交换：获得服务授予的票据(Ticket-granting Service Exchange：to obtain service-granting ticket)(3)C TGS：IDV|Tickettgs|Authenticatorc(4)TGS C：EKc,tgsKc,v|IDV|TS4|TicketvTickettgs=EKtgsKc,tgs|IDC|ADC|IDtgs|TS2|Lifetime2Ticketv=EKVKc,v|IDC|ADC|IDv|TS4|Lifetime4Authenticatorc=EKc,tgsIDc|ADc|TS3,42,(3)C TGS：IDV|Tickettgs|Authenticatorc(4)TGS C：EKc,tgsKc,v|IDV|TS4|Ticketv注：Message(3)client 请求service-granting ticket IDv：告诉TGS用户要访问服务器V；Tickettgs：向TGS证实该用户已被AS认证；Authenticatorc：由client生成，用于验证ticket；Message(4)TGS返回service-granting ticket EKc,tgs：仅由C和TGS共享的密钥；用以保护Message(4)；Kc,tgs：session key的副本，由TGS生成，供client和server之间信息的安全交换，而无须共用一个永久密钥。IDv：确认该ticket是为server V签发的；TS4：告诉client该ticket签发的时间；TicketV：client用以访问服务器V的ticket；Tickettgs：可重用，从而用户不必重新输入口令；EKtgs：ticket用只有AS和TGS才知道的密钥加密，以预防篡改；Kc,tgs：TGS可用的session key副本，用于解密authenticator,从而认证ticket；IDc：指明该ticket的正确主人；,43,c)客户/服务器身份验证交换：获得服务(Client/Server Authentication Exchange：To obtain service)(5)C V：Ticketv|Authenticatorc(6)V C：EKc,vTS5+1(for mutual authentication)Ticketv=EKVKc,v|IDc|ADc|IDv|TS4|Lifetime4Authenticatorc=EKc,vIDc|ADc|TS5 注：Message(5)client 请求服务service-granting ticketTicketv：向服务器证实该用户已被AS认证Authenticatorc：由client生成用于验证ticketMessage(6)服务器对客户机可选的身份验证EKc,v：仅由C和服务器共享的密钥用以保护Message(6)TS5+1：向C保障这不是重放的应答,44,6.1Kerberos6.2Kerberos Version46.3Kerberos管辖范围与多重服务6.4Kerberos Version 56.5Kerberos的分析6.6MZ协议模型,45,6.3Kerberos管辖范围与多重服务,1)一个完整的Kerberos环境包括一个Kerberos服务器，一组工作站，和一组应用服务器，满足下列要求：Kerberos服务器必须在其数据库中拥有所有参与用户的ID(UID)和口令散列表。所有用户均在Kerberos服务器上注册。Kerberos服务器必须与每一个服务器之间共享一个保密密钥。所有服务器均在Kerberos服务器上注册。,46,2)这样的环境被视为一个管辖国界(realm)。每一个辖区的Kerberos 服务器与其它辖区内的Kerberos服务器之间共享一个保密密钥。两个Kerberos服务器互相注册。,47,3)算法描述：(1)C AS：IDC|IDtgs|TS1(2)AS C：EKCKc,tgs|IDtgs|TS2|Lifetime2|Tickettgs(3)C TGS：IDtgsrem|Tickettgs|Authenticatorc(4)TGS C：EKc,tgsKc,tgsrem|IDtgsrem|TS4|Tickettgsrem(5)C TGSrem：IDvrem|Tickettgsrem|Authenticatorc(6)TGS C：EKc,tgsremKc,vrem|IDvrem|TSb|Ticketvrem(7)C Vrem：Ticketvrem|Authenticatorc,48,6.1Kerberos6.2Kerberos Version46.3Kerberos管辖范围与多重服务6.4Kerberos Version 56.5Kerberos的分析6.6MZ协议模型,49,6.4 Kerberos Version 5,1)改进version 4 的环境缺陷加密系统依赖性Internet协议依赖性消息字节次序Ticket的时效性Authentication forwardingInter-realm authentication,V4使用DES加密；V5使用加密类型标志，可以使用任何类型加密。,V4需要使用ip地址；V5网络地址加上了类型标志，可使用任何网络地址。,V4须按照低位字节在低地址的字节序；V5采用更灵活的记法和编码规则。,V4的有效期值为8位编码，单位5分钟，28*5=1280；V5采用开始、结束时间，长度任意。,V4不允许鉴别证书转发使用；V5提供此能力。,V4中N个域的kerberos之间的联系由N2种，过于复杂。V5进行了相应的简化。,50,2)改进Version 4 的技术缺陷Double encryptionPCBC encryptionSession keyPassword attacks,提供给用户的票据加密两次，一次用KV，一次用KC，第二次不必要，浪费计算。,V4采用DES的非标准模式（传播密码分组连接PCBC），容易受密文互换分组攻击，V5允许使用标准CBC模式。,V4同一票据多次用于访问同一服务器，易出现使用旧报文的重放攻击；V5使用CV之间协商子会话密钥的方法，不断变换会话密钥。,V4与V5都易受到口令攻击。,51,6.1Kerberos6.2Kerberos Version46.3Kerberos管辖范围与多重服务6.4Kerberos Version 56.5Kerberos的分析6.6MZ协议模型,52,6.5 Kerberos的分析,1)协议模型的分析可以证明Kerberos协议模型功能的正确性发现Kerberos协议模型依赖于安全的时间服务,53,2)功能特性分析可信第三方所需的共享密钥分配和管理变得十分简单AS担负认证工作，减轻应用服务器的负担安全相关数据的集中管理和保护，从而使攻击者的入侵很难成功TicketAS的认证结果和会话密钥安全地传送给应用服务器在生存期内可重用，减少认证开销，提高方便性Ticket发放服务降低用户口令的使用频度，更好地保护口令减轻AS的负担，提高认证系统的效率时间戳防止对Ticket和Authenticator的重放攻击以共享秘密（密钥）为认证依据,54,3）局限性分析重放攻击ticket-granting ticket具有较长的生存期，很容易被重放对于有准备的攻击者，5分钟的生存期内也可能进行重放攻击保存所有存活鉴别符并通过比较检测重放攻击的办法难以实现与其他攻击形式结合的重放攻击更容易成功时间依赖性实现较好的时钟同步往往是很困难的攻击者误导系统时间并进行重放攻击有可乘之机基于安全的时间服务？,55,3）局限性分析猜测口令攻击脆弱口令容易受到攻击协议模型未对口令提供额外的保护，猜测复杂度为O(K)域间鉴别多跳域间鉴别涉及很多因素，实现过程复杂不明确存在“信任瀑布”问题篡改登录程序认证系统本身的程序完整性很难保证密钥存储问题口令及会话密钥无法安全存放于典型的计算机系统中,56,6.1Kerberos6.2Kerberos Version46.3Kerberos管辖范围与多重服务6.4Kerberos Version 56.5Kerberos的分析6.6MZ协议模型,57,6.6 MZ协议模型的改进,Kerberos协议模型的改进：消除认证协议对安全时间服务的依赖性更好地防止重放攻击提高口令猜测的复杂度简化域间认证使用混合加密算法使用nonce,58,1问题的提出2身份认证概念3单向认证4双向认证协议5加密方法6身份认证应用实例（Kerberos）7实例分析（Windows NT 4.0身份认证）,59,7 实例分析（Windows NT 4.0身份认证）,Windows NT开发了专门的安全子系统，NT的安全子系统主要由三部分组成本地安全授权LSA安全帐户管理SAM 安全参考监视器SRM,60,本地安全授权LSA,本地安全授权部分提供了许多服务程序，保障用户获得存取系统的许可权，它产生令牌执行本地安全管理，提供交互式登陆认证服务，控制安全审查策略由SRM产生的审查记录信息。,61,安全帐户管理SAM,安全帐户管理部分保存安全帐户数据库（SAM Database），该数据库包含所有组和用户的信息，SAM提供用户登录认证，负责对用户在Welcome对话框中输入的信息与SAM数据库中的信息比对，并为用户赋予一个安全标识符SID，根据网络配置的不同SAM数据库可能存在于一个或多个NT系统中。,62,安全参考监视器SRM,安全参考监视器负责访问控制和审查策略，由LSA支持SRM提供客体文件目录等的存取权限，检查主体用户帐户等的权限。产生必要的审查信息，客体的安全属性由安全控制项（ACE）来描述，全部客体的（ACE）组成访问控制表（ACL），没有ACL的客体意味着任何主题都可访问，而有ACL的客体，则由SRM检查其中的每一项ACE，从而决定主体的访问是否被允许。,63,64,Windows NT有一个安全登录序列，用以防止不可信应用窃取用户名和口令序列，并有用户帐号和口令等管理能力。为了登录Windows NT，包括通过网络登录每一用户，必须首先进行域以及用户名识别，每一域以及用户名唯一地标识了一个用户在系统内部使SID（Security Identifier），予以表征每个SID是唯一的，不能被重用也不能重新赋给其它任何用户，即使一个用户帐号被删除了，且另一用户以相同的用户名和口令创建，它的SID也不会同那个被删除帐号的SID相同，Windows NT在每一进程的primary token中，使用用户的SID同该用户的进程对应，由TCB生成的审计记录，包括了该SID，因此，标记了某一特定的用户。,65,Windows NT允许每一用户帐号有一对应的口令，TFM(Trusted Facility Manual)说明了怎样确保所有用户帐号都有口令，而且，该口令在用户登录时必须键入，以便鉴别用户身份。口令存储在SAM(Security Accounts Manager)数据库中并由DAC机制保护，以防止非法访问。当登录时，LSA(Local Security Authority)保护服务器使用SAM数据库中有关的信息与口令进行对照鉴别确认，只有被授权的用户（即用户名与口令相符）可访问被保护的系统资源。,66,作业1.身份认证的依据分为几类举例说明？2.用RSA算法如何实现给予提问/应答模式的双向身份认证？3.简述Kerberos身份认证的原理?,