应用 密码学 第八章 认证理论与技术——身份认证技术 参考答案

应用 密码学 第八章 认证理论与技术——身份认证技术 参考答案 第8章 认证理论与技术—身份认证技术 1(何谓认证协议,有哪几种类型, 认证协议就是进行认证的双方而采取的一系列步骤。 认证协议主要有单向认证和双向认证协议两种 2(何谓静态口令认证技术,说明其原理。 静态口令认证技术是最基本、最常用的身份认证技术。分为两个阶段:第1阶段是身份识别阶段，确认认证对象是谁;第2阶段是身份验证阶段，获取身份信息进行验证。一个简单的静态口令认证过程是弹出一个窗口，同时用户输入用户名及“只有用户自己知道”的静态口令，一旦用户名和静态口令都通过了验证，用户即可以拥有系统分配的权限来执行相应的操作。 3(何谓动态口令认证技术,说明其原理。 简单来说动态口令认证技术就是口令会动态变化的认证技术。分为(1)口令认证技术，其原理是要求用户必须提供一张有一系列口令的表，并将表保存在系统中，系统为该表设置了一指针用于指示下次用户登录时所应使用的口令。这样，用户在每次登录时，登录程序便将用户输入口令与该指针所指示的口令相比较，若相同便允许用户进入系统，同时将指针指向表中的下一个口令。(2)双因子认证技术，一次性口令的产生因子一般采用双运算因子:一个是用户的私有密钥;一个是变动的因子。变动因子可以是时间，也可以是事件，形成基于时间同步、事件同步、挑战/应答非同步等不同的一次性口令认证技术。 4(请具体说明身份认证系统(S/KEY)的认证原理及过程，它有哪些优缺点。 (1)S/KEY的认证过程(如图所示): ? 用户向身份认证服务器提出连接请求; ? 服务器返回应答，并附带两个参数(seed, seq); ? 用户输入口令，系统将口令与seed连接，进行seq次Hash计算(Hash函数可以使用MD4或MD5)，产生一次性口令，传给服务器; ? 服务器端必须存储有一个文件，它存储每一个用户上次登录的一次性口令。服务器收到用户传过来的一次性口令后，再进行一次Hash计算，与先前存储的口令进行比较，若匹配则通过身份认证，并用这次的一次性口令覆盖原先的‘口令;下次用户登录时，服务器将送出seq=seq-1;这样，如果客户确实是原来的那个真实用户，那么他进行seq-1次 Hsah计算的一次性口令应该与服务器上存储的口令一致。 (2)S/KEY的优点 ? 用户通过网络传送给服务器的口令是利用秘密口令和seed经过MD4(或MD5)生成的密文，用户拥有的秘密口令并没有在网上传播，这样即使黑客得到 了密文，由于散列算法固有的非可逆性，要想破解密文在计算上是不可行的;在服务器端，因为每一次成功的身份认证后，seq几自动减1，这样下次用户连接时产生的口令同上次生成的口令是不一样的，从而有效地保证了用户口令的安全。 实现原理简单，Hash函数的实现可以用硬件来实现，可以提高运算效率。 ? (3)S/KEY的缺点 ? 会给用户带来一些麻烦(如口令使用一定次数后就需要重新初始化，因为每次seq要减1)。 ? S/KEY的安全性依赖于散列算法(MD4/MD5)的不可逆性，由于算法是公开的，当有关于这种算法可逆计算的研究有了信息4，系统将会被迫重新使用其他安全算法。 ? S/KEY系统不使用任何形式的会话加密，因而没有保密性。如果用户想要阅读他在远程系统的邮件或日志，这因此会在第1次会话中成为一个问;而且由于有TCP会话的攻击，这也会对构成威胁。 ? 所有一次性口令系统都会面临密钥的重复这个问题，这会给入侵者提供入侵机会。 ? S/KEY需要维护一个很大的一次性密钥列表，有的甚至让用户把所有使用的一次性密钥列在纸上，这对于用户来说是非常麻烦的事情;此外，有的提供硬件支持，这就要求使用产生密钥的硬件来提供一次性密钥，但这要求用户必须安装这样的硬件。 5(什么是IC卡认证技术,请具体说明认证原理及过程。 认证是IC卡和应用终端之间通过相应的认证过程来相互确认合法性，其目的在于防止伪造应用终端及相应的IC卡。主要有三种认证方式: (1)内部认证(Internal Authentication) 应用终端阅读卡中的固定数据，然后导算出认证密钥。终端产生随机数并送给IC卡，同时指定下一步应用的密钥。卡用指定密钥对该随机数进行加密，然后将经过加密的随机数送回终端;终端对随机数进行解密，比较是否一致，若一致则内部认证成功。其具体工作过程如图8-10所示。 (2)外部认证(External Authentication) 终端设备从ICC中读取数据并导算出认证密钥。因为ICC本身不能发送此数据，这一认证方法由终端设备控制。终端设备从ICC中读取一个随机数(通常为8字节)，用认证米要对它进行加密并将它发送到ICC。ICC对这个加密值进行检查并比较，如图8-11所示。 )相互认证(Mutual Authentication) (3 终端设备从ICC中读取数据并导出认证密钥。终端设备从ICC中读取一个随机数(通常为8字节)并产生它自己的随机数(也通常为8字节)。这两个随机数和卡数据(连接成一个串)由认证密钥进行加密。终端设备将此加密值传送给ICC，ICC用终端设备指定的认证密钥对此加密值进行解密并比较。成功比较之后，ICC用认证密钥加密终端设备的随机数和它自己的随机数，并将此加密值发送回终端设备。终端设备解密这个加密值宾和它自己的随机数进行比较，如图8-12所示。 6(什么是个人特征识别技术,请具体说明认证原理及过程。 个人特征识别技术是利用个人的生理特征来进行认证。个人特征有静态的和动态的。比如容貌、肤色、发长、身材、姿势、手印、指纹、脚印、唇印、颅像、说话声音、脚步声、体味、视网膜、虹膜、血型、遗传因子、笔迹、习惯性签名、打字韵律以及外界刺激的反应等。由于个人特征都具有因人而异和随身携带的特点，不会丢失和难以伪造，非常适合于个人身份的认证。主要有以下几种认证方式: (1)(指纹认证 指纹识别系统是利用人类指纹的独特特性，通过特殊的光电扫描和计算机图像处理技术，对活体指纹进行采集、分析和对比，自动、迅速、准确地认证出个人身份。指纹识别系统主要包括如图8-14所示的部分。自动指纹认证过程是按照用户姓名等信息将保存在指纹数据库中的模板指纹调出来，然后再用用户输入的指纹与该模板指纹进行比较，以确定两指纹是否出于同一指纹。 (2)(语音认证 每个人的说话声音都各有其特点，人对于语言的识别能力极强，即使在强干扰下也能分辨出某个熟人说话的声音。在军事和商业通信中常常靠听对方的语音来实现个人身份的认证。比如可将又每个人将的一短语分析出来全部特征参数存储起来，如果每个人的参数都不完全相同就可以实现身份认证。这种存储的语音 称为语音声纹(Voice-print)。当前，电话和计算机的盗用十分严重，语音识别技术还可以用于防止黑客进入语音函件和电话服务系统。(3)(视网膜图样认证 人的视网膜血管(即视网膜脉络)的图样具有良好的个人 特征。这种基于视网膜的身份认证系统的基本原理:是利用光学和电子仪器将视网膜血管图样记录下来，一个视网膜血管的图样可以压缩为小于35字节的数字信息。可根据图样的节点和分支的检测结果进行分类识别。被识别人必须合作允许 。研究已经表明，基于视网膜的身份认证效果非常好，如果注册人数小于200万时，错误率 ，而所时间为秒级。目前，在安全性和可靠性要求较高的场合，已在军事和为0 银行系统中采用，但其成本较高。 (4)(脸型认证 利用图像识别、神经网络和红外线扫描探测，对人脸的“热点”进行采样、处理、提取图样信息 ，通过脸型自动认证系统机械能身份认证。可将面部识别用于网络环境中，与其他信息系统集成，保证诸如为金融、接入控制、电话会议、安全监视、护照管理、社会福利发放等系统提供安全、可靠的服务。 7(什么是交互式的零知识证明,请举例说明。 “零知识证明”是由Goldwasser等人在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向验证者泄漏任何关于被证明消息的信息。在Goldwasser等人提出的零知识证明中，证明者和验证者之间必须进行交互，这样的零知识证明被称为“交互零知识证明”。 n例:和是两个大素数，。假设知道的因子，如果想让相信他Ppqn,pqpV nn知道的因子，并且又不让知道的因子，则和可以执行下面的协议: PPVV 4y,xmodnx(1)随机选取一个大整数，计算，并将结果告诉给。 PyV z(2)计算，并将结果告诉给。 Pz,ymodnV 2(3)验证是否成立。 z,xmodnV 上述协议可以重复执行多次。如果每次都能正确地计算，则Pz,ymodnV n就可以相信知道的因子和。 Ppq nn可以证明，计算等价于对进行因子分解。如果不知道的Pz,ymodn n因子和，则计算是一个困难问题。因此，如果不知道的因Ppqz,ymodn 子，则在重复执行上述协议多次的情况下，每次都能正确地计算Pz,ymodn n的概率是非常小的。很显然，在上述协议执行过程中，没有得到关于的因子V 和的任何信息。所以，上述协议是一个交互式的零知识证明协议。 pq 8(什么是非交互式的零知识证明,请举例说明。 在交互式零知识证明协议中，和分别是证明者和验证者，他们都参与了PV 这个交互协议，而其他第三者(如)并没有介入这个交互，为了让或或其TTV他感兴趣者相信，需要一个非交互的零知识证明协议。与交互式是零知识证明协议类似，非交互式的零知识证明协议也包含证明者和验证者，证明者知道某个定理的证明，并且希望向验证者证明这一事实，但非交互式的零知识证明协议不需 要任何交互。 例:设和是两个图，其中。设和是同G,(V,E)G,(V,E)GGV,{1,2,...,n}112212 ,构的，同构映射为。如果想向其他人(如或或其他感兴趣者)证明自己PTV 知道G和G是同构的，并且又不想告诉其他人如何证明G和G是同构的，则P1212和可以执行下面的协议: V ,,(1)随机选取的一个置换，在置换下，G变为。 {1,2,...,n}PH1 (2)提交图G变换为的解法。 PH1 (3)把提交的这些解法作为一个单向散列函数的输入，然后只保留这个P n单向散列函数输出的前个位。 G(4)计算的一个置换，使得图(或)在置换下{1,2,...,n}P,,i,1i,2i 变换为图。可以按如下方式定义:? 如果，则定义;? 如果PH,,,,i,1 ,,，则定义，即把定义为置换和置换的合成。 ,,,,,,i,2 nn(5)取出第(3)步中产生的个位，并针对第个置换依次取出这个位Pi中的第个位，并且:? 如果第个位是0，则证明G和G是同构的;? 如果ii12第个位是1，则公布在第(2)步提交的解法，并证明它是图G变换为的PHi1解法。 (6)将第(2)步中的所有约定及第(5)步中的解法都公之于众。 P (7)或或其他感兴趣者可以验证第(1)至第(6)步是否被正确执行。 TV 9(交互式认证与数学公式证明的本质区别是什么, 10(简述FFS协议和简化的FFS协议的具体过程，并分别说明其安全性。 1(1)在FFS协议中，验证者接受假冒的证明者证明的概率是，为减小这个V2概率，将证明者的秘密改为由随机选择的个平方根构成的一个向量t 222x,(y,y,...,y)y,(y,y,...,y)nn，模数和向量是公开的，其中仍是两个不12t12t 相同的大素数的乘积。 协议如下: 2ar(0,r,n)? 随机选择随机数，计算，并将发送给。 a,rmodnPV e,(e,e,...,e)e,{0,1}(i,1,2,...,t)e? 随机选择，其中，并将发送给。 PV12ti teib,rymodn? 计算，将发送给。 PVb,i,1i te2ib,axmodn? 若，拒绝的证明，协议停止。 PV,i,1i ? 和重复以上过程次。 PVk 安全性:FFS协议是对Fiat-Shamir身份识别的推广，其安全性可分别从证 明者和验证者的角度来考虑。根据上面的讨论，首先将的询问由一个比特PVV推广到由比特构成的向量，而基本协议被执行了次。假冒者只有正确地猜测kt ,kt2到了的每次询问，才可能使相信自己的证明，成功的概率只有。 VV x(2)简化的FFS协议的原理:设，其中和是两个不同的大素数，是n,pqpq nxnx模的平方剩余，是的平方根。又设和是公开的，而、和是保密的。ypqy n证明者以作为自己的秘密。已证明，求解方程x2?a mod n与分解是等价Py n的。因此他人不知的两个素因子、而计算是困难的。和验证者通过PpyqV交互证明协议，向证明自己掌握秘密，从而证明了自己的身份。 PyV 协议如下: 2a? 随机选择随机数，计算，并将发送给。 r(0,r,n)a,rmodnPV e? 随机选择，并将发送给。 e,{0,1}PV eb,rymodn? 计算，即时，;时，，并将发送b,rymodnPe,0b,re,1b给。 V 2e? 若，接受的证明。 b,axmodnPV 在协议的前3步，和之间共交换了3个消息，这3个消息的作用分别是:第PV ae1个消息是用来声称自己知道的平方根;第2个消息是的询问，如果PV ra，必须展示的平方根，即，如果，必须展示被加密的秘密，即PPe,0e,1 rymodn;第3个消息是对询问的应答。 PbV VP安全性:协议的安全性可分别从证明者和验证者的角度来考虑。根据上面的 12VVE讨论，假冒的证明者欺骗成功的概率是，对来说，这个概率太大了。为 t减小这个概率，可将协议重复执行多次，设执行次，则欺骗者欺骗成功的概率 ,t2将减小到。 11(什么是Kerberos身份认证技术,请具体说明认证原理和过程。 Kerberos是针对分布式环境的开放系统开发的身份鉴别机制。是基于对称密码技术、在网络上实施认证的一种服务协议，它允许一台工作站通过交换加密消息在非安全网络上与另一台工作站相互证明身份，一旦试图登录上网的用户身份得到验证，Kerberos协议就会给这两台工作站提供密钥，并通过使用密钥和加密算法为用户间的通信加密以进行安全的通信。 其简单的认证过程是: ? 用户登录到工作站，请求访问服务器V。客户模块C运行在用户的工作站中，它要求用户输入口令，然后向服务器发送一个报文，里面包含用户的ID、服务器ID、用户的口令等。 ? AS检查它的数据库，验证用户的口令是否与用户的ID匹配，以及该用户是否被允许访问该数据库。若两项测试都通过，AS 认为该用户是可信的，为了 让服务器确信该用户是可信的，AS生成一张加密过的票据，其中包含用户ID、用户网络地址、服务器ID。由于是加密过的，它不会被C或对手更改。 ? C向V发送含有用户ID和票据的报文，V要对票据进行解密，验证票据中的用户ID与未加密的用户ID是否一致，如果匹配，则通过身份验证。 12(什么是数字证书,请具体说明数字证书的组成及原理 数字证书(Digital ID)，又叫“数字身份证”、“网络身份证”，是由权威公正的认证中心发放的并经认证中心签名的，包含有公钥拥有者以及公钥相关信息的一种电子文件，可以用来证明数字证书持有者的身份。由于数字证书有颁发机构的签名，保证了证书在传递、存储过程中不会被篡改，即使被篡改了也会被发 现。因此，数字证书本质是一种由颁发者数字签名的用于绑定公钥和其持有者身份的数据结构(电子文件)。 一般来说，数字证书主要包括证书所有者的信息、证书所有者的公钥、证书颁发机构的签名、证书的有效时间和其他信息等。 数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私钥，用它进行解密和签名;同时拥有一把公钥，并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私钥才能解密。 13(请具体说明X.509的认证原理及过程 (1)(单向认证 单向认证过程如图8-20所示。单向认证需要将信息从一个用户A发送到用户B。这个认证过程需要使用A的身份标识，而鉴别过程仅验证发起用户A的身份标识。在A发送给B的报文中至少还需要包含一个时间戳t，一个随机数rAA以及B的身份标识，这些信息都使用A的私钥签名。时间戳t中可包含报文生A 成的时间和过期时间，主要用于防止报文的延迟。随机数r用于保证报文的时A 效性和检测重放攻击，它在报文的有效期内必须是唯一的。 如果只需要单纯的认证，报文只需要简单地向B提交证书即可。报文也可以传递签名的附加信息(SignData)，对报文签名时也可以把该信息包含在内，以保证其可信性和完整性。此外，还可以利用该报文向B传递一个会话密钥K(密ab钥需要用B的公钥K加密保护)。 UB (2)(双向认证 双向认证过程如图8-21所示。双向认证需要A、B双方相互鉴别对方的身份。除了A的身份标识以外，这个过程中需要使用B的身份标识。为了完成双向认证，B需要对A发送的报文进行应答。在应答报文中，包含有A发送随机数r、B产A生的时间戳t，以及B产生随机数r。同样，应答报文还可能包括签名的附加信BB 息和会话密钥。 (3)(三向认证 三向认证过程如图8-22所示，三向认证主要用于A、B之间没有时间同步的应用场合中。三向认证中需要一个最后从A发生B的报文，其中包含A对随机数r的签名。其目的是在不用检查时间戳的情况下检测重放攻击。有两个随机数B r和随机数r均被返回给生成者，每一端都用它来进行重放攻击的检测。 AB