网络安全基础之笔记一（用户认证）

网络安全体系的五类服务

访问控制服务：根据实体身份决定访问权限

身份鉴别服务：消息来源确认、防假冒（密码技术）

保密性服务：加密

数据完整性服务：防篡改（数字摘要）

防抵赖服务：数字签名

攻击类型

被动攻击：消息内容泄露攻击、流量分析攻击（加密后仍可推测出双方位置、身份、信息频率及长度）

主动攻击：假冒、重放、改写、拒绝服务

安全机制

加密、数字签名、访问控制、数据完整性、认证交换、流量填充（干扰流量分析）、路由控制（安全通道）、公证。

可信功能、安全标签、事件检测、安全审计跟踪、安全恢复。

对抗统计分析

扰乱（confusion）：使密文和加密秘钥之间的关系尽量复杂。

扩散（diffusion）：明文统计结构扩散消失到大批密文统计特性中，使明文密文之间的统计关系尽量复杂。

流密码与分组密码的区别

分组密码：高扩散性，无法插入符号，但是有加密较慢和错误扩散的问题。

流密码：转换速度快，低错误扩散率，但是低扩散性且易被恶意插入和篡改。

网络安全基本模型

单向散列函数的消息认证

HMAC算法的实现过程需要一个加密用的散列函数（表示为H）和一个密钥（S为双方的共享秘密值）。

HASH性质：任意长输入、固定长输出、单向性、抗碰撞性（找到满足H(x)=H(y)的任意一对(x，y)在计算上是不可行的）、抗弱碰撞攻击性（找到满足H(x)=H(y)的y≠x在计算上是不可行的）。

使用加密防止窃听，使用摘要防止篡改，使用数字签名防止仿冒，使用证书防止中间人攻击。

重放攻击防御：①时间戳+签名 ②序号递增 ③挑战与应答(token) ④https

公钥密码系统

非对称，三类应用：①加密/解密 ②数字签名 ③会话秘钥交换

Kerberos v4

应用于分布式环境中的身份鉴别，采用集中认证服务器（Authentication Server，AS）实现用户与服务器之间的双向认证。认证一次后可访问多个服务器。

依赖于对称秘钥的秘钥分配，AS把所有用户口令存储在集中式数据库中，并与TGS共享一个秘密秘钥K_tgs，TSG与每个服务器共享一个独立的秘密秘钥K_v（已安全分发）。

安全性：防止窃听、防止重放攻击、保护数据完整性，但没有抗否认性。

票据不证明任何人的身份，只是安全分发秘钥的一种方法。票据可重用：客户端在获取票据后存储起来，以便下次访问时使用，但访问不同的服务时第一次都需要新票据。

TGS——Ticket-Granting Server，票据授权服务器 K_c——用户口令派生出的秘钥 K_c,tgs——客户端与TGS的会话秘钥 K_c,_v——客户端与服务器的会话秘钥

TS——发出时的时间戳 LifeTime——有效期 Authenticator——认证符（只能使用一次且有效期非常短）

认证会话过程：

① C-->AS：用户ID || TGS的ID || TS₁，请求票据授权票据T_tgs

② C<--AS： E（K_c，[ K_c,tgs|| TGS的ID || TS₂ || LifeTime₂||T_tgs ]），其中T_tgs= E（K_tgs，[ K_c,tgs || 用户IP || 用户ID || TGS的ID || TS₂ || LifeTime₂ ]）

③ C输入口令解密后-->TGS：服务器ID || T_tgs || Authenticator_c，请求票据T_v，其中Authenticator_c = E（K_c,tgs，[ 用户ID || 用户IP || TS₃ ]）

④ C<--TGS： E（K_c,tgs，[ K_c,v || 服务器ID || TS₄ || T_v ]），其中T_v= E（K_v，[ K_c,_v || 用户IP || 用户ID || 服务器ID || TS₄ || LifeTime₄ ]）

⑤ C-->V： T_v || Authenticator_c ，其中Authenticator_c = E（K_c,v，[ 用户ID || 用户IP || TS₅ ]）

⑥ C<--V： E（K_c,v，[ TS₅+1 ]）

域间认证：对于有许多域的情况的可伸缩性不好，N²阶Kerberos-Kerberos关系。

【问题1】为什么要发送用户的IP?

答：仅当用户从同一个客户端发出票据时，它才是合法的。

【问题2】票据中的TS和LifeTime有什么作用？

答：防止攻击者截获了③中的登录票据T_tgs，将自己的IP设置成用户的IP后，欺骗TGS获取T_v。在对拼接的信息进行比较之前，会先提取Authenticator中的Timestamp，同当前的时间进行比较，如果他们之间的偏差超出一个可以接受的时间范围（一般是5mins），Server会直接拒绝该Client的请求。Server维护着一个列表，这个列表记录着在这个可接受的时间范围内所有进行认证的Client和认证的时间。对于时间偏差在这个可接受的范围中的Client，Server会从这个这个列表中获得最近一个该Client的认证时间，只有当Authenticator中的Timestamp晚于通过一个Client的最近的认证时间的情况下，Server采用进行后续的认证流程。这种基于Timestamp的认证机制只有在Client和Server端的时间保持同步的情况才有意义。所以保持Time Synchronization在整个认证过程中显得尤为重要。在一个Domain中，一般通过访问同一个Time Service获得当前时间的方式来实现时间的同步。

【问题3】Kerberos怎样对票据加密？

答：对T_tgs加密是利用用户口令K_c加密后传输，对T_v加密是利用会话秘钥K_c,tgs加密后传输。

【问题4】Kerberos为什么能实现双向认证？

答：Server对Client进行认证：Server对 T_v进行解密后，从而获得了会话秘钥 K_c,_v。再使用 K_c,_v解密Authenticator，通过比较Authenticator中的Client Info和T_v中的Client Info从而实现对Client的认证。

Client对Server进行认证：向Server发送的Credential中设置一个是否需要认证的Flag。Server在对Client认证成功之后，会把Authenticator中的Timestamp提取出来，通过会话秘钥进行加密，当Client接收到并使用会话秘钥进行解密之后，如果确认Timestamp和原来的完全一致，那么他可以认定Server正是他试图访问的Server。

那么为什么Server不直接把通过会话秘钥进行加密的Authenticator原样发送给Client，而要把Timestamp提取出来加密发送给Client呢？原因在于防止恶意的监听者通过获取的Client发送的Authenticator冒充Server以此获得Client的认证。

Kerberos v5

与v4的比较：

① v4使用DES，v5可选算法、密钥类型、密钥长度等

② v4使用IP地址，不支持其他地址类型

③ v4中的有效值由8比特表示，以5分钟为一个基本单位，最长有效期为2⁸*5=1280分钟，v5中可以有任意有效期

④ v5提供了认证转发功能——客户端A访问服务器B，B可以以A的名义访问服务器C中关于A的文件

⑤ v5域间认证使用更少的关系

v4的缺陷：

① 在步骤2、4中票据经过了双重加密，一次被目标服务器的秘密秘钥加密，另一次被客户端所知道的秘密密钥加密，第二次加密不必要，计算开销增大了

② PCBC加密易受攻击，v5中使用CBC，并在CBC之前将散列码附加在消息中

③ 同一个票据可能被用来重放，v5中客户端与服务器可以协商子会话秘钥，且每次连接都会更新子会话秘钥

④ 截获步骤3后，攻击者可口令攻击，v5的预认证机制可以使口令攻击更加困难

认证会话过程：

Realm——域 Options——票据中可设置某些选项 Times——from（起始时间）+till（过期时间）+rtime（更新后的过期时间） Nonce——一个随机数，保证②是实时的，而不是重放的

① C-->AS： Options || ID_c || ID_tgs || Realm_c || Times || Nonce₁

② C<--AS： Realm_c || ID_c || T_tgs || E(K_c, [ K_c,tgs || Times || Nonce₁ || Realm_tgs || ID_tgs ])，其中T_tgs = E（K_tgs，[ Flags || K_c,tgs || Realm_c || ID_c || C的IP || Times ]）

③ C-->TGS： Options || ID_v || Times || Nonce₂ || T_tgs || Authenticator_c，其中Authenticator_c = E（K_c,tgs，[ ID_c || Realm_c || TS₁ ]）

④ C<--TGS： Realm_c || ID_c || T_v || E(K_c,tgs, [ K_c,v || Times || Nonce₂ || Realm_v || ID_v ])，其中T_v = E（K_v，[ Flags || K_c,v || Realm_c || TS₂ || Subkey || Seq# ]）