張清

摘要 隨著計(jì)算設(shè)備、通信設(shè)備以及網(wǎng)絡(luò)連接技術(shù)的進(jìn)步發(fā)展，各類移動(dòng)互聯(lián)網(wǎng)應(yīng)用（如社交娛樂、商務(wù)金融交易、教育醫(yī)療服務(wù)等）逐漸被開發(fā)。然而，伴隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，安全問題也應(yīng)運(yùn)而生并成為制約這一領(lǐng)域發(fā)展的重要因素。作為網(wǎng)絡(luò)信息安全的重要組成部分，認(rèn)證服務(wù)是系統(tǒng)安全中最重要的防線之一。由于移動(dòng)設(shè)備以及網(wǎng)絡(luò)的開放性，認(rèn)證協(xié)議也存在各種各樣的安全缺陷并面臨常見的攻擊手段，如消息重放、中間人、平行會(huì)話等。本文主要從三個(gè)角度對(duì)經(jīng)典的認(rèn)證協(xié)議進(jìn)行分類概述。

【關(guān)鍵詞】認(rèn)證服務(wù) 認(rèn)證協(xié)議 安全缺陷 攻擊手段

越來越復(fù)雜的電子商務(wù)、事物處理和公共服務(wù)形式，使用戶越來越關(guān)注開放網(wǎng)絡(luò)環(huán)境中安全的通信方式。認(rèn)證作為信息安全的重要部分之一，其安全性必須得以保障。至今為止，已有一系列經(jīng)典的認(rèn)證協(xié)議被相繼設(shè)計(jì)實(shí)現(xiàn)。但是，許多認(rèn)證協(xié)議在公開不久后就被證明出其設(shè)計(jì)方式有明顯缺陷。Moore[l]指出這些攻擊往往不是密碼算法本身的缺陷引起的，而是協(xié)議的設(shè)計(jì)方法或使用算法的方法不當(dāng)造成的。Clark和Jacob[2]在1997年總結(jié)了大量經(jīng)典的認(rèn)證協(xié)議，并針對(duì)大部分協(xié)議進(jìn)行了安全性分析，給出具體的攻擊方式。本文主要從以下三個(gè)方面對(duì)這些認(rèn)證協(xié)議進(jìn)行分類概述。

1 基于認(rèn)證對(duì)象的劃分

認(rèn)證協(xié)議通常是指一個(gè)實(shí)體向另一個(gè)實(shí)體證明自己聲稱的某個(gè)特定屬性。根據(jù)屬性的不同，認(rèn)證協(xié)議可分為消息認(rèn)證（又稱數(shù)據(jù)源認(rèn)證）和實(shí)體認(rèn)證（又稱用戶認(rèn)證）。消息認(rèn)證的目的不僅要確保消息的完整性，還要確認(rèn)消息的來源是否可信。而實(shí)體認(rèn)證是為了確認(rèn)用戶所聲明的身份是否與驗(yàn)證方所尋求的用戶一致，其身份信息可以作為一條消息以消息認(rèn)證機(jī)制來處理構(gòu)成實(shí)體認(rèn)證。值得注意的是，設(shè)計(jì)認(rèn)證協(xié)議時(shí)往往需要保證消息和實(shí)體的鮮活性，以抵抗重放攻擊。因此，設(shè)計(jì)者通常會(huì)采用時(shí)間戳或者標(biāo)準(zhǔn)化的詢問，應(yīng)答機(jī)制來證明消息或?qū)嶓w的鮮活性。

2 基于認(rèn)證場(chǎng)景的劃分

由于認(rèn)證協(xié)議即是一個(gè)通信過程，其必然涉及到至少兩個(gè)通信實(shí)體。因此依據(jù)真實(shí)的認(rèn)證場(chǎng)景，可以將其分為單向認(rèn)證和雙向認(rèn)證。目前ISO（國(guó)際標(biāo)準(zhǔn)化組織）和IEC（國(guó)際電子協(xié)會(huì)）己將上述提到的詢問.應(yīng)答機(jī)制標(biāo)準(zhǔn)化構(gòu)成基本的單向認(rèn)證機(jī)制，即兩個(gè)參與方中只有一個(gè)實(shí)體需要進(jìn)行認(rèn)證，比如電子郵件服務(wù)，其本質(zhì)是接收者與發(fā)送者不需要同時(shí)在線，切接收者需要驗(yàn)證消息是否來自于所謂的發(fā)送者。所謂雙向認(rèn)證即兩個(gè)通信實(shí)體要互相認(rèn)證，比如ISO和IEC提出的“ISO公鑰三次傳輸雙方認(rèn)證協(xié)議”。但是，安全的雙向認(rèn)證并不是簡(jiǎn)單的進(jìn)行兩次單向認(rèn)證，其要求是一方的認(rèn)證憑證需要包含一個(gè)與另一方認(rèn)證憑證相關(guān)的上下文信息，且該上下文的狀態(tài)信息需要被記錄，這樣才能有效地抵抗“Wiener攻擊”。

3 基于認(rèn)證協(xié)議的底層算法劃分

本節(jié)基于密碼算法依次介紹基于對(duì)稱密碼、基于非對(duì)稱/公鑰密碼以及基于可信第三方的認(rèn)證協(xié)議。

基于對(duì)稱密碼的認(rèn)證協(xié)議即認(rèn)證雙方在開始通信前，共享一個(gè)對(duì)稱密鑰并約定一種對(duì)稱加密算法，驗(yàn)證者收到認(rèn)證請(qǐng)求需要用共享密鑰進(jìn)行解密運(yùn)算來確認(rèn)聲稱者的合法性。假設(shè)協(xié)議中不需要對(duì)聲稱者的屬性信息保密，那么也可以使用單向函數(shù)（如哈希函數(shù)）來設(shè)計(jì)認(rèn)證協(xié)議，此時(shí)雙方需要共享密鑰的同時(shí)約定一個(gè)帶密鑰的單向函數(shù)，聲稱者將屬性信息及其哈希值發(fā)送到驗(yàn)證方，驗(yàn)證方重新計(jì)算其屬性值的哈希值，并與接收到的哈希值比較，若相等，則判定對(duì)方為合法者。常見的基于口令的認(rèn)證協(xié)議便采用了哈希函數(shù)，為了提高此類協(xié)議的安全性，Bellovin等提出利用概率加密技術(shù)（如加鹽操作）來放大口令空間，以抗擊專業(yè)攻擊者的在線竊聽及離線字典攻擊。

基于公鑰密碼的認(rèn)證協(xié)議依賴于公鑰證書架構(gòu)。某個(gè)聲稱者A利用自己的私鑰對(duì)某個(gè)屬性或者身份信息進(jìn)行簽名，對(duì)應(yīng)地，驗(yàn)證者B可以通過公鑰證書架構(gòu)獲得A的公鑰從而進(jìn)一步驗(yàn)證A的簽名。對(duì)應(yīng)地，國(guó)際標(biāo)準(zhǔn)化組織ISO基于安全的非對(duì)稱密碼算法（如RSA算法、EIGamal數(shù)字簽名算法等）制定了一系列標(biāo)準(zhǔn)的公鑰認(rèn)證協(xié)議。與此同時(shí)，一系列認(rèn)證的密鑰交換協(xié)議被相繼提出，其中Diffie等提出的STS協(xié)議最為經(jīng)典。該協(xié)議是Diffie-Hellman密鑰交換協(xié)議的一種變形，是因特網(wǎng)密鑰交換（IKE）協(xié)議的基礎(chǔ)，在認(rèn)證及認(rèn)證的密鑰交換這一領(lǐng)域中有重大意義。

上述兩種認(rèn)證協(xié)議中，需要假設(shè)通信雙方事先共享了密鑰或者其中一方事先獲取了另一方的公鑰，但是標(biāo)準(zhǔn)通信模式中要求系統(tǒng)維護(hù)所有參與主體的通信狀態(tài)是不現(xiàn)實(shí)的，因此通信實(shí)體處于“交互.遺忘”模式?；诳尚诺谌降恼J(rèn)證協(xié)議是為了讓互不相識(shí)的主體在認(rèn)證前能夠通過可信第三方建立一個(gè)安全的通信信道，即通信雙方建立一個(gè)新的且安全的會(huì)話密鑰用以進(jìn)行加密或簽名操作?；诳尚诺谌降膶?duì)稱認(rèn)證協(xié)議有很多，其中ISO/ISE的標(biāo)準(zhǔn)化認(rèn)證協(xié)議中有兩個(gè)標(biāo)準(zhǔn)結(jié)構(gòu)需要可信第三方參與;另外著名的Woo-Lam協(xié)議也是一個(gè)經(jīng)典例子，該協(xié)議雖然被指出有許多致命的設(shè)計(jì)缺陷，但是在設(shè)計(jì)認(rèn)證協(xié)議的難題研究中扮演了重要角色。與此同時(shí)，著名的Needham-Schroeder公鑰協(xié)議是基于可信第三方的公鑰認(rèn)證協(xié)議。

4 總結(jié)

認(rèn)證協(xié)議是網(wǎng)絡(luò)信息安全的重要保障，密碼算法是認(rèn)證協(xié)議的核心組件，結(jié)合實(shí)際認(rèn)證場(chǎng)景選擇密碼算法是保障認(rèn)證效率的有效方法，正確調(diào)用密碼算法的方法是認(rèn)證協(xié)議安全成功的關(guān)鍵。到目前為止，雖然有大量認(rèn)證協(xié)議被實(shí)現(xiàn)，但這些協(xié)議陸續(xù)被證明有安全缺陷，因此尋求一種系統(tǒng)的方法來設(shè)計(jì)和分析認(rèn)證協(xié)議是其理論研究的發(fā)展趨勢(shì)。

參考文獻(xiàn)

[1]J.H. Moore， "Protocol failures incryptosystems，” Proceedings of theIEEE， vol. 76， no.5， pp. 594-602， 1988.

[2]J. Clark and J.Jacob，”A survey ofauthentication protocol literature：version l.0."November 1997.