真实性实现
实现信息来源真实性的核心是鉴别。使用密码技术可以安全地实现对实体身份的鉴别。常用的鉴别方式包括:基于对称密码、公钥密码等密码技术的鉴别,基于静态口令的鉴别,基于动态口令的鉴别,以及基于生物特征的鉴别。后面三种鉴别方式虽然不是直接基于密码技术进行鉴别的,但在鉴别过程中仍需密码技术提供保护或支撑。
基于密码技术的鉴别机制
基于密码技术鉴别机制的原理是:基于声称者知道某一秘密密钥这一事实,实现验证者对声称者身份的鉴别。对称密码技术和公钥密码技术都可以实现用于鉴别机制的实现。
基于对称密码技术的最简单的鉴别方法是声称者和验证者共享一个对称密钥。声称者用该密钥加密某一消息或计算该消息的MAC。如果验证者能够成功解密消息,或者验证杂凑值是正确的,那么验证者相信消息来自声称者。被加密或被杂凑的消息内容通常是一个非重复的值,以抵抗重放攻击,也可以使用“挑战一响应”机制来抵抗重放攻击。
基于公钥密码技术的鉴别方法也是类似的。声称者使用私钥对某一消息进行签名,验证者使用声称者的公钥验证签名结果的有效性。如果签名能够验证通过,那么验证者相信声称者是声称者本人。另外,消息中也可以包含一个非重复值以抵抗重放攻击。
在线认证服务器
如果每一对声称者和验证者都共享一对密钥,将会导致“密钥爆炸”。针对密钥爆炸问题,可以通过引入中心在线认证服务器(这里“认证服务器”是沿用通俗的叫法,实际上完成的是鉴别功能)来解决。有两种中心认证在线服务器的部署方式,
在图 1-34 的两种方式中,声称者和验证者之间都不共享密钥,但是都和中心认证服务器共享密钥。
在方式一中,声称者用它的密钥进行加密、签名等操作,然后发送给验证者。因为验证者与发送者之间没有共享密钥,因此不能直接解密/验证,所以验证者将鉴别消息转发给中心认证服务器。中心认证服务器完成解密或者验证后,再用其和验证者共享的密钥,保护鉴别信息,并将其发送给验证者,验证者可以验证鉴别信息。
在第二种方式中,声称者首先从认证服务器中获得一个许可证,并将该许可证发送给验证者。声称者和中心认证服务器之间的通信用他们共享的密钥保护。许可证用中心认证服务器和验证者之间的共享密钥保护,因此验证者能够解密/验证许可证。著名的Kerberos系统就是方式二的一个具体实例。
离线认证服务器
基于对称密码的鉴别方案需要维持一个在线服务器,导致其在分布式网络中的应用存在困难。利用公钥密码技术可以避免使用在线认证服务器。基于公钥密码技术的鉴别方案的典型代表是公钥基础设施(PKI)系统。只要验证者拥有声称者的证书,就可以独立地完成对声称者身份的鉴别。但是,PKI系统中有效的和已撤销的证书列表仍需要从服务器获取。相比于在线认证服务器,离线认证服务器可以避免鉴别过程中与在线服务器交互而带来的时间延迟,并节省服务器的通信容量,同时可以消除服务器的暂时故障对鉴别过程的影响。
基于静态口令的鉴别机制
静态口令或者个人识别码(PIN)是最常用的鉴别信息之一,也是很多人口中的“密码”。直接使用口令进行鉴别有许多脆弱点,最严重的是外部泄露和口令猜测,以及窃听、重放攻击等。用密码技术可以有效提升口令鉴别过程的安全性。在口令传输过程中,可以采用对称加密、杂凑算法、公钥加密等方式保证口令的安全性。一个典型的使用杂凑算法保护的口令鉴别方案如图1-35所示,该方案能够有效抵御口令窃听和重放等攻击,为防止对口令的字典攻击,还可以加入“盐(salt)”值,对存储的口令进行保护。
基于动态口令的鉴别机制
在基于动态口令的鉴别方案中,用户动态口令的使用主要用于抵抗重放攻击。每次使用的口令都是不同的。通常情况下,声称者和验证者共同使用一个初始状态同步的随机序列发生器,或者维持同步时钟。具体来说,声称者拥有一个存储秘密值(又称种子密钥)的动态令牌,动态令牌采用密码算法(如分组密码算法或杂凑算法),将秘密值、时间戳(或者计数器值)和其他一些信息作为输入,计算动态口令信息。由于声称者和验证者维持相同口令序列发生器,并保持同步,所以验证者能够产生正确的口令信息,从而验证声称者的身份。时间戳或者计数值的引入使得动态口令只有一次有效。我国密码行业标准 GM/T 0021-2012《动态口令密码应用技术规范》规定了动态口令系统中密码技术的应用要求。
基于生物特征的鉴别机制
当对一个自然人实体进行鉴别时,一些较为稳定的生物特征可以作为鉴别信息,包括指纹、声音、虹膜、人脸等。生物特征识别技术在本质上与口令类似,但是因为生物特征与自然人实体的不可分离性及信息量大的特点,所以,基于生物特征的鉴别机制在一定程度上避免了口令猜测、外部泄露等攻击。但是,与传统的静态口令鉴别机制面临的问题相同,基于生物特征的鉴别机制也容易受到窃听和重放攻击因此,基于生物特征的鉴别机制一般不直接用于远程鉴别,而只用于设备对自然人的鉴别,身份验证通过后,设备再使用密码技术与应用服务器进行安全交互。例如,在线快捷身份鉴别(Fast IDentity Online,FIDO)联盟提出的通用鉴别框架协议(UAF)就是基于该流程设计。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
