第五章認證技術現代密碼的兩個最重要的分支就是加密和認證。加密的目的是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊，包括驗證信息真偽及防止信息在通信過程中被篡改、刪除、插入、偽造、延遲及重放等。認證主要包括三個方面：消息認證、身份驗證和數字簽名。上一章介紹了數字簽名技術，本章將對認證技術的另外兩個方面進行介紹。5．1消息認證網絡安全所面臨的基本攻擊類型，包括：被動攻擊(獲取消息的內容、進行業務流分析)主動攻擊(假冒、重放、消息的篡改、業務拒絕)。抗擊被動攻擊的方法是加密，抗擊主動攻擊的方法則是消息認證。消息認證是一個過程，用以驗證接收消息的真實性(的確是由它所聲稱的實體發來的)和完整性(未被篡改、插入、刪除)，同時還用于驗證消息的順序性和時間性(未重排、重放、延遲)。除此之外，在考慮網絡安全時還需考慮業務的不可否認性，即防止通信雙方中的其一方對所傳輸消息的否認。實現消息的不可否認性可通過數字簽字，數字簽字也是一種認證技術，也可用于抗擊主動攻擊。5.1.1消息認證的模式5.1.2認證函數消息認證機制和數字簽字機制都有一產生認證符的基本功能，這一基本功能又作為認證協議的一個組成成分。認證符是用于認證消息的數值，它的產生方漢又分為消息加密、消息認證碼MAC(MessageAuthenticationCode)、雜湊函數(HashFunction)三大類，下面分別介紹。1.消息加密（MessageEncryptionFunction）：消息加密產生認證符是指將消息加密后的密文作為認證符，其用法又根據單鑰加密還是公鑰加密有所不同。1)單鑰加密圖5.1表示消息M的發送方A根據單鑰加密算法以與接收方B共享的密鑰K對消息加密后發往B。第三方不知密鑰K就不能恢復消息的明文，因此系統提供了保密性。圖5.1單鑰消息加密：保密性和認證性該系統還向B保證所收到的消息的確來自A，因為只有A知道密鑰K。對B來說還必須有某種手段以決定M是否為合法的明文。一種解決方法是讓明文有某種容易識別但又不易被篡改的結構，例如在消息被加密前附加一個錯誤檢測嗎，也稱為校驗和。如圖5.2所示：(a)內部錯誤控制(b)外部錯誤控制圖5.2內部錯誤控制和外部錯誤控制2)公鑰加密為了提供認證功能，發方A使用自己的秘密鑰SKA對消息加密，B使用A的公開鑰PKA對消息解密(如圖5.3(a)所示)。(a)公鑰加密：認證性和簽字(b)公鑰加密：保密件、認證性和簽字圖5.3公鑰消息加密的基本方式和單鑰加密提供認證一樣，因為只有A方擁有加密密鑰SKA，因此可使B相信自己收到的消息的確來自A。同樣，這時對明文也必須有某種錯誤控制結構以使接收者能區分明文和隨機比特串。然而由于任何人都可使用A的公開鑰解密密文，所以這種方案不提供保密性。為了既提供認證件，又提供保密件，A首先用自己的秘密鑰SKA加密M以提供認證性，然后用B的公開鑰再一次加密以提供保密性，如圖5.3(b)所示。這種方案的缺點是需執行四次復雜的公鑰算法。2.消息認證碼MAC（MessageAuthenticationCode）消息認證碼是指消息被一密鑰控制的公開函數作用后產生的、用作認證符的、固定長度的數值，也稱為密碼校驗和。此時需要通信雙方A和B共享一密鑰K。設A欲發送給B的消息是M，A首先計算MAC＝CK(M)，其中CK()是密鑰控制的公開函數，然后向B發送M‖MAC，B受到后做與A相同的計算，求得一新MAC，并與收到的MAC做比較，如圖5.4(a)所示。如果僅收發雙方知道K，且B計算得到的MAC與接收到的MAC一致就實現了以下功能：=1\*GB3①接收方相信發方發來的消息未被篡改，這是因為攻擊者不知道密鑰，所以不能夠公篡改消息后相應地篡改MAC，而如果僅篡改消息，則接收方計算的新MAC將與收到的MAC不同。②接收方相信發方不是冒充的，這是團為除收發雙方外再無其他人知道密鑰，因此其他人不可能對自己發送的消息計算出正確的MAC。=3\*GB3③如果消息中有序列號(如TCP中的消息)，則由于發方不能成功地篡改序列號，所以接收者相信所收消息中的序列號。MAC函數與加密算法類似，不同之處為MAC函數不必是可逆的，因此與加密算法相比更不易被攻破。(a)消息認證(b)保密性和認證性：對明文認證(c)保密性和認證性：對密文認證圖5.4MAC的基本使用方式3．散列函數（HashFunction）散列函數H是一公開函數，用于將任意長的消息M映射為較短的、固定長度的一個值H(M)，作為認證符，稱函數值H(M)為散列值或散列碼或消息摘要。散列碼是消息中所有比特的函數，因此提供了一種錯誤檢測能力，即改變消息中任何一個比特或幾個比特都會使散列碼發生改變。圖5.5表示散列函數用來提供消息認證的基本使用方式，共有以下六種：圖5.5雜湊函數的基本使用方式①消息與散列碼鏈接后用單鑰加密算法加密。這種方式還提供了保密性。②用單鑰加密算法僅對散列碼加密。這種方式用于不要求保密性的情況中可減少處理負擔。=3\*GB3③用公鑰加密算法和發方的秘密鑰僅加密散列碼。這種方式提供認證性，又由于只有發方能產生加密的散列碼，因此這種方式還對發方發送的消息提供了數字簽字，事實上這種方式就是數字簽字。=4\*GB3④消息的散列值用公鑰加密算法和發方的秘密鑰加密后與消息鏈接，再對鏈接后的結果用單鑰加密算法加密，這種方式提供了保密性和數字簽字。⑤使用這種方式時要求通信雙方共享一個秘密值S，A計算消息M和秘密值S鏈接在一起的散列值，并將此散列值附加到M后發往B。因B也有S，所以可更新計算散列值以對消息進行認證。由于秘密值S本身未被發送，敵手無法對截獲的消息加以篡改，也無法產生假消息。這種方式僅提供認證。=6\*GB3⑥這種方式是在⑤中消息與散列值鏈接以后再增加單鑰加密運算，從而又可提供保密性。由于加密運算的速度較慢，代價較高，而且很多加密算法還受到專利保護，因此在不要求保密性的情況下，方式②和=3\*GB3③將比其他方式更具優勢。散列函數應滿足的條件散列函數的目的是為需認證的數據產生散列函數應滿足以下條件：①函數的輸入可以是任意長；②函數的輸出是固定長；=3\*GB3③已知x，求H(x)較為容易，可用硬件或軟件實現；④已知h，求使得H(x)＝h的x在計算上是不可行的，這一性質稱為函數的單向性,稱H(x)為單向散列函數；=5\*GB3⑤已知x，找出y(y≠x)使得H(y)＝H(x)在計算上是不可行的，如果單向散列函數滿足這一性質，則稱其為弱單向散列函數；⑥找出任意兩個不同的輸入x，y，使得H(y)＝H(x)在計算上是不可行的，如果單間散列函數滿足這——性質，則稱其為強單向散列函數。性質⑥、⑥給出了散列函數無碰撞性的概念，如果散列函數對不向的輸入可產生相同的輸出，則稱該函數具有碰撞性。以上六個條件中，前三個是散列函數能用于消息認證的基本要求。第4個條件(即單向性)則對使用秘密值的認證技術(見圖5.5(e))極為重要。假如散列函數不具有單向性，則攻擊者截獲M和C＝H(S‖M)后，求C的逆S‖M，就可求出秘密值S。第5個條件使得敵手無法在已知某個消息時，找到與該消息只有相同散列值的另一消息。這一性質用于散列值被加密情況時(見圖5.5(b)和5.5(c))防止敵手的偽造，由于在這種情況下，敵手可讀取傳送的明文消息M，因此能產生該消息的散列值H(M)。但出于敵手不知道用于加密散列值的密鑰，他就不可能既偽造一個消息M，又偽造這個消息的散列值加密后的密文EK[H(M)]。然而，如果第5個條件不成立，敵手在截獲明文消息及其加密的散列值后，就可按以下方式偽造消息：首先求出截獲的消息的散列值，然后產生一個具有相同散列值的偽造消息，最后再將偽造的消息和截獲的加密的散列值發往通信的接收一萬。第6個性質用于散列函數抵抗生日攻擊。5．3．2一個簡單的散列函數散列函數一般都較為復雜，為了獲得對散列函數的感性認識，這一小節先介紹一個最簡單的散列函數。將函數的輸入劃分為M比特長的分組，然后各分組之間逐比特異或，即：Ci＝bi1⊕bi2⊕…⊕bim，1<i<M其中Ci為散列值的第i個比特，M為分組數，bij，為第j個分組的第i個比特，⊕為異或運算。從函數的定義可見，函數的作用是為每個比特位都產生出一個簡單的校驗和。由于任一M比特散列值出現的可能性都相等，因此數據出錯而散列值不變的概率為2－n，所以該函數可有效地用于隨機數據的完整性檢驗。近年已經發展了許多散列函數，如MD、MD4、MD5、SHA等，現在流行的散列函數有MD4、MD5和SHA。注意，客戶機和服務器必須使用相同的算法，無論是MD4還是MD5，MD4客戶機不能和MD5服務器交互。MD2摘要算法的設計是出于下面的考慮：利用32位RISC結構來使其吞吐量最大，而不需要大量的替換表（SubstitutionTable）。MD4算法將消息的給予對長度作為輸人，產生一個128位的“指紋”或“消息化”。要產生兩個具有相同消息化的文字塊或者產生任何具有預先給定“指紋”的消息，都被認為在計算上是不可能的。MD5摘要算法是個數據認證標準。MD5在RFC1321中給出文檔描述，是MD4算法的一個擴展。MD提供了一種單向的哈希函數，是一個校驗工具。它將一個任意長的字串作為輸人，產生一個128位的“報文摘要”。通過計算每個文件的數字指紋（或數字簽名）來檢查文件是否被更換，或者是否與原來的一致。一個稱為MD系列的算法集就是進行這項工作的。其中最常用到的是MD5的系統。安全散列算法（SHA）由美國國家標準技術研究所（NIST）開發，作為聯邦信息處理標準于1993年發表（FIPSPUB180），1995年修訂，作為SHA－1（FIPSPUB180－1），SHA一1基于MD4設計。SHA－1算法中可輸人最大長度為2“位的消息，輸出160位消息摘要；輸人以5互2位數據塊為單位處理。國際上還流行其他一些散列算法，如俄羅斯國家標準GOST算法、Merkle設計的Snefru算法、歐共體RIPE計劃中所采用的RIPE－MD算法和RIPEMAC，以及Zhens提出的MD－5改進算法HAVAL散列算法。5.1身份認證通過網絡開展電子商務業務，身份識別問題是一個不得不解決的問題。一方面，只有合法用戶才可以使用網絡資源，所以網絡資源管理必須識別用戶的身份。另一方面，傳統的交易雙方可以面對面地談判交涉，很容易識別對方的身份。而通過網絡交易卻不同，交易雙方不見面，通過普遍的電子傳輸信息很難確認對方的身份。因此，電子商務中的身份識別問題顯得尤為突出。只有采取一定的措施使商家可以確認對方身份，商家才能放心地開展電子商務業務。5.1．1身份認證的概念身份認證又叫身份識別，它是通信和數據系統正確識別通信用戶或終端的個人身份的重要途徑。比如銀行的自動取款機（ATM）可將現款發放給經它正確識別的賬號持卡人。對計算機的訪問和使用、安全地區的出人和放行、出人境等都是以準確的身份識別為基礎的。身份識別技術能使識別者讓對方識別到自己的真正身份，確保識別者的合法權益。身份認證是安全系統中的第一道關卡，如圖圖5-6所示，用戶在訪問安全系統之前，首先經過身份認證系統識別身份，然后訪問監控器根據用戶的身份和授權數據庫決定用戶是否能夠訪問某個資源。授權數據庫由安全管理員按照需要進行配置。圖5-6身份認證的地位審計系統根據審計設置記錄用戶的請求和行為，同時人侵檢測系統實時或非實時地是否有人侵行為。訪問控制和審計系統都要依賴于身份認證系統提供的“信息”——用戶的身份。可見，身份認證在安全系統中的地位極其重要，是最基本的安全服務，其他的安全服務都要依賴于它。一旦身份認證系統被攻破，那么系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統。計算機系統安全機制的主要目標是控制對信息的訪問。當前用于身份識別的技術方法主要有四種：①利用用戶身份、口令、密鑰等技術措施進行身份識別；②利用用戶的體貌特征、指紋、簽字等技術措施進行身份識別；③利用用戶持有的證件（如光卡、磁卡等）進行身份識別；④多種方法交互使用進行身份識別。5．2．2口令認證口令識別是目前廣泛采用的技術措施之一。1．口令認證的過程口令識別機制在技術上需要分兩步處理：第一步是給予身份標識，第二步是鑒別。（1）計算機系統給每個用戶分配一個標識（唯一的ID），每個用戶選擇一個供以后注冊證實用的口令。（2）計算機系統將所有用戶的身份標識和相應口令存人口令表。口令表中的標識和口令是成對出現的，唯一用戶身份標識是公開的，口令是秘密的，口令由用戶自己掌握。當用戶要注冊進人系統時，必須先向系統提交他的身份標識和口令，系統根據身份標識檢索口令表得到相應的口令，如果口令相符則認為該用戶是合法用戶，系統接收該用戶，否則用戶將遭系統拒絕。口令識別這種控制機制的優點是簡單易掌握，能減緩受到攻擊的速度。目前對其攻擊主要有嘗試猜測、假冒登錄和搜索系統口令表等三種方法。2．口令選擇原則口令一般是長度為5-8的字符串，由數字、字母、特殊字符、控制字符等組成。口令的選擇一般應滿足以下幾個原則：·容易記憶·不易猜中·不易分析第一條是針對用戶本人而言的，另兩條則是針對想非法侵人系統的人。但我們可以看出，第一條原則與另兩條原則之間卻有著一定的矛盾。因為容易記憶的東西往往是用戶比較熟悉的，如親友的生日、姓名、家里的電話號碼等。這些雖然容易記憶，但同時也是容易猜中的；而且用戶很喜歡只用小寫字母或數字作為口令，這就給窮舉破譯口令帶來了方便。所以口令的選擇一定要慎重，而且應該定期更換。在滿足以上條件的前提下，口令的長度應該盡量長，因為越長的口令越不容易被破譯。3．口令的管理口令的管理方式是一個重要問題。如果用戶的口令都存儲在一個文件中，那么一旦這個文件暴露，非法用戶就可獲得口令。這個問題可以用單向函數來解決，即計算機并不存儲口令，只存儲口令的單項函數。其識別過程如下：①用戶將口令傳送給計算機；②計算機完成口令單向函數值的計算；③計算機把單向函數值和機器存儲的值比較。這樣非法侵人者想獲得合法的用戶口令就不太容易了。4．一次性口令為了解決固定口令的諸多問題，安全專家提出了一次性口令（OneTimePassword，OTP）的密碼體制，以保護關鍵的計算資源。OTP的主要思路是：在登錄過程中加人不確定因素，使每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性。例如，登錄密碼+MD（用戶名十密碼十時間），系統接收到登錄口令后做一個驗算即可驗證用戶的合法性。這些不確定因子選擇方式大致有以下幾種：（1）口令序列。口令為一個單向的前后相關的序列，系統只需記錄第N個口令。用戶用第N—1個口令登錄時，系統用單向算法算出第N個口令與自己保存的第N個口令匹配，以判斷用戶的合法性。由于N是有限的，用戶登錄N次后必須重新初始化口令序列。（2）挑戰／回答。用戶要求登錄時，系統產生一個隨機數發送給用戶。用戶用某種單向算法將自己的秘密口令和隨機數混合起來發送給系統，系統用同樣的方法做驗算即可驗證用戶身份。（3）時間同步。以用戶登錄時間作為隨機因素。這種方式對雙方的時間準確度要求較高，一般采取以分鐘為時間單位的折中辦法。在SecureID產品中，對時間誤差的容忍可達±1min。（4）事件同步。這種方法以挑戰／回答方式為基礎，將單向的前后相關序列作為系統的挑戰信息，以減少用戶每次輸人挑戰信息的麻煩。但當用戶的挑戰序列與服務器產生偏差后，需要重新同步。一次性口令的生成方式有以下幾種：（l）TokenCard（硬件卡）。用類似計算器的小卡片計算一次性口令。對于挑戰／回答方式，該卡片配備有數字按鍵，便于輸人挑戰值；對于時間同步方式，該卡片每隔一段時間就會重新計算口令；有時還會將卡片做成鑰匙鏈式的形狀，某些卡片還帶有PIN保護裝置。（2）SoftToken（軟件）。用軟件代替硬件，某些軟件還能限定用戶登錄的地點。（3）IC卡。在IC卡上存儲用戶的秘密信息，這樣用戶在登錄時就不用記憶自己的秘密口令了。5．2．3持證認證持證（Token）是一種個人持有物，它的作用類似于鑰匙，用于啟動電子設備。使用比較多的是一種嵌有磁條的塑料卡，磁條上記錄有用于機器識別的個人信息。這類卡通常和個人身份識別碼（PIN）一起使用。這類卡易于制造，而且磁條上記錄的數據也易于轉錄，因此要設法防止仿制。為了提高磁卡的安全性，人們建議使用一種被稱作“智能卡”的磁卡來代替普通的磁卡，智能卡與普通的磁卡的主要區別在于智能卡帶有智能化的微處理器和存儲器。智能卡已成為目前身份識別的一種更有效、更安全的方法。智能卡存儲用戶個性化的秘密信息，同時在驗證服務器中也存放該秘密信息。進行認證時，用戶輸人PIN，智能卡認證PIN，成功后，即可讀出智能卡中的秘密信息，進而利用該秘密信息與主機之間進行認證。基于智能卡的認證方式是一種雙因素的認證方式（PIN十智能卡），即使PIN或智能卡被竊取，用戶仍不會被冒充。智能卡提供硬件保護措施和加密算法，可以利用這些功能加強安全性能。例如，可以把智能卡設置成用戶只能得到加密后的某個秘密信息，從而防止秘密信息的泄露。智能卡僅僅為身份識別提供了一個硬件基礎，要想得到安全的識別，還需要與安全協議配套使用。5．2．4生物識別傳統的身份識別方法主要基于身份標識物品和身份標識知識。身份標識物品有鑰匙、證件、銀行卡等，身份標識知識包括用戶名、密碼等。在一些安全性要求嚴格的系統中，往往將這兩者結合起來，如自動取款機要求用戶同時提供銀行卡和密碼。但標識物品容易丟失或被偽造，標識知識容易遺忘或記錯，更為嚴重的是傳統身份識別系統往往無法區分標識物品真正的擁有者和取得標識物品的冒充者，一旦他人獲得標識物品，就可以擁有相同的權力。人類必須尋求更為安全可靠、使用方便的身份識別新途徑。于是，生物識別悄然興起，成為一種新的身份識別技術。生物識別技術在電子商務領域應用的前景廣闊。鑒于生物識別的可靠性，未來人們在網上購物或交易時，只需首先在生物識別儀上進行身份認證。基于生物特征的身份鑒別技術的研究伴隨著這一應用的發展越來越深人，逐漸自成系統。生物識別依據人類自身所固有的生理或行為特征。生理特征與生俱來，多為先天性的，如指紋、眼睛虹膜、臉像等；行為特征則是習慣使然，多為后天性的，如筆跡、步態等。正是由于這些別人很難具有的個人特征可以作為個人身份識別的重要依據，生物識別因此包括指紋識別、虹膜識別、臉像識別、掌紋識別、聲音識別、簽名識別、筆跡識別、手形識別、步態識別及多種生物特征融合識別等諸多種類，其中，虹膜和指紋識別被公認為最可靠的生物識別方式。生物識別技術在機場、銀行、公安等方面已有廣闊的應用前景，但是它最有應用前途的地方還是在電子商務領域。未來人們在網上購物或者交易時，首先在指紋或者虹膜識別儀上進行身份認證，這可以保證網絡管理機構有效監督網絡交易的參與者，大大降低不法分子對網絡交易的破壞活動。5．3身份認證協議網絡通信中要制止通信竊取及重放等威脅，主要依靠的是對認證協議的認真設計。認證協議用來對與系統有關的被驗證方（通常是指客戶端系統）和系統本身之間的與驗證有關的數據通信進行管理，同時還要依靠驗證決策（通常是指服務器的驗證決策）。認證協議一般建立在通信協議環境之上，如網絡層協議或應用層協議。從實用角度而言，一個安全的身份識別協議至少應滿足以下兩個條件：①識別者A能向驗證者B證明他的確是A；②在識別者A向驗證者B證明他的身份后，驗證者B不能獲得A的任何有用的信息，B不能模仿A向第三方證明他是A。目前已經設計出了許多滿足上述兩個條件的認證機制，主要有以下四類：①一次一密機制；②公鑰認證體系；③Kerberos認證系統；④零知識身份識別協議。5.3一次一密機制主要有兩種實現方式。（）采用請求／應答方式（Challenge／Response）。第一種方法是用戶登錄時系統隨機提示一條信息，用戶根據這一信息連同其個人化數據共同產生一個口令字，用戶輸人這個口令字，完成一次登錄過程，或者用戶對這一條信息實施數字簽名發送給驗證者AS進行鑒別；第M種方法采用時鐘同步機制，即根據這個同步時鐘信息連同其個人化數據共同產生一個口令字。這兩種方案均需要驗證者AS也產生與用戶端相同的口令字（或檢驗用戶簽名）用于驗證用戶身份。（2）詢問一應答式協議。其基本觀點是：驗證者提出問題（通常是隨機選擇一些隨機數，稱作口令），由識別者回答，然后驗證者驗證其真實性。目前已經設計出了許多詢問一應答式協議，比如SChnorr身份識別協議、Okanmto身份識別協議、Guillou－Quisquater身份識別協議和基于身份的識別協議等。3．2X509認證協議國際標準組織CCITT建議使用X．509作為X．500目錄檢索服務的一部分。X．500是對于分布式網絡中儲存用戶信息的數據庫所提供的目錄檢索服務的協議標準，而X．509是利用公鑰密碼技術對X．500的服務所提供的認證服務的協議標準。此外，X．509也利用公鑰密碼技術對通信的雙方規定了三種識別方法。X．509的最初版本發表于198B年，199