符号说明:
A→B:表示通信实体A向通信实体B发送消息;
Ek(x):表示用认证双方共享的密钥K对x进行加密;
Text1,Text2,……,Text n属于可选项;
||:表示比特链接;
RA:表示A生成的一次性随机数;
TNA:表示由A生成的时间戳或序列号;
KAB:通信实体A与通信实体B的共享密钥;
Kprt:可信第三方私钥;
Kprt:可信第三方公钥。
基于非对称密码体系的身份认证有两种主要的实现思路:一种是验证方A发出一个明文挑战信息
(例如,随机数)给被验证方B;B在收到挑战信息后,用自己的私钥对明文信息进行加密,并发
送给A;A收到加密信息后,利用B的公钥对加密信息进行解密。如果解密得到的挑战信息与之前发
送给B的挑战信息相同,则可以确定B身份的合法性。另一种是在认证开始时,A将挑战信息利用利
用B的公钥加密并发送给B;B再利用自己的私钥进行解密,获得挑战信息的内容,并将其返回给
A;A可以根据收到的挑战信息的正确性来确定B身份的合法性。
以下给出一个简化的公钥密码体制的身份认证协议:
A→B:EB(RA||A)
B→A:EA(RA||RB)
A→B:EB(RB)
在该协议中,A首先生成一个随机数RA,并联合自己的身份信息,利用B的公钥加密后发送给B;B
收到消息后,利用自己的私钥进行解密,得到RA,并生成另一个随机数RB,利用A的公钥对RA和
RB进行加密并发送给A;A收到消息后,利用自己的私钥进行解密,得到RA和RB,如果RA与之前
发送给B的相同,则承认B身份的合法性,并在利用B的公钥对RB进行加密发送给B;B收到消息
后,解密验证其正确性,如果通过验证,则承认A身份的合法性,完成整个双向认证的过程。
以上协议存在一个明显的漏洞,可通过如下方式进行攻击:
第一次运行该协议:
A→I:EI(RA||A)
第二次运行该协议:
I→B:EB(RA||A)
B→I:EA(RA||RB)
I→A:EA(RA||RB)
A→I:EI(RB)
I→B:EB(RB)
从以上过程可以看出,攻击者I通过解密第一条消息,第五条消息获取认证所需要的随机数RA和
RB,第四条消息则是第三条消息的重放。上述协议运行完毕,B认为他与A共享秘密RB,实际上则
是与I共享,I假冒A成功,攻击有效。
对以上方式进行改进:在原协议第二条消息中加入B的身份标识。这样A收到该消息后,发现标识
与声称者身份不一致,即知道收到了攻击者的攻击。
如果在认证的基础上还需要建立一个秘密的共享会话密钥,可通过多种不同的方式实现,以下是一
个典型的协议:
A→B:RA
B→A:RB||EA(KS)||SB(A||RA||RB||EA(KS))
A→B:SA(B||RB)
这里E(x)是使用x的公开密钥进行加密,S(x)是使用x的私有密钥进行签名。
协议执行过程描述如下:
A发送给B一个随机数;B收到A发送的消息后,B选择会话密钥KS,用A的公开密钥加密,连同签
名发送给A;当A收到第二条消息后,用自己的私钥解密得到会话密钥KS,并用B的公开密钥验证
签名,随后A发送使用私有密钥签名的随机数RB;当B收到该消息后,他知道A收到了第二条消
息,并且只有A能够发出第三条消息。
如果认证双方都不知道对方的公开密钥,这时往往需要一个可信的第三方T保存并为他们提供公开
密钥。以下给出一个简单的存在第三方的公钥密码认证协议,称为Denning-Sacco认证协议:
A→T:A||B
T→A:ST(B||EB)||ST(A||EA)
A→B:EB(SA(KAB||TA))||ST(B||EB)||ST(A||EA)
A首先把自己和B的用户标识发送给T,说明自己想与B进行身份验证;T则用自己的私钥ST分别对
A和B的公钥EA,EB加密后发送给A;A用自己的私钥解密第二条消息得到B的公钥;A向B传送随
机会话密钥KAB,时间标记TA(都用A自己私钥签名并用B的公钥加密)以及两个T的私钥加过密
的A,B双方的公开密钥。B用私钥解密A的消息,然后用A的公钥验证签名,以确信时间标记仍有
效。
Denning-Sacco认证协议存在缺陷:当与A一起完成协议后,B能够伪装成A。实现步骤如下:
B→T:B||C
T→B:ST(C||EC)||ST(B||EB)
B(A)→C:EC(SA(K||TA))||ST(C||EC)||ST(A||EA)
B将以前从A那里接收的会话密钥和时间标记的签名用C的公钥加密,并将A和C的证书一起发给
C。C用私钥解密A的消息,然后用A的公钥验证签名。检查并确信时间标记仍有效。此时,C现在
认为正在与A交谈,B成功地欺骗了C。在时间标记截止前,B可以欺骗任何人。
对Denning-Sacco认证协议进行改进,改进方案是在第三步的加密消息内加上名字即可:
EB(SA(A||B||K||TA))||ST(A||EA)||ST(B||EB)
这一步清楚地表明是A和B在通信,B不能对C重放以前的消息。
基于非对称密码体制单向认证协议实现更加简单,仅需要A计算信息的摘要,然后用自己的私钥对
该信息摘要进行签名,再将原消息,消息签名以及自己的证书一起用B的公钥加密后发送给B。该
协议是接收方对发送方的认证,发送方对接收方的单向认证过程与该过程类似。
使用公钥方式进行身份认证时需要事先知道对方的公钥,从安全性,使用方便性和可管理性出发,
通常需要可信第三方分发公钥,并且一旦出现问题也需要权威中间机构进行仲裁。在实际的网络环
境中,一般依赖公钥基础设施(PKI)来实现公钥的管理和分发。