8.3基于零知識證明的身份認證技術(略)零知識證明是由Golawasser等人20世紀80年代初提出的，它指的是證明者能夠在不向驗證者提供任何有用信息的情況下，使驗證者相信某個論斷是正確的。

零知識證明實質上是一種涉及兩方或多方的協(xié)議，即兩方或更多方完成一項任務所需采取的一系列步驟。

Golawasser等人提出的零知識證明中，證明者和驗證者之間必須進行交互，這樣的零知識證明被稱為“交互式零知識證明”。20世紀80年代末，Blum等人進一步提出了“非交互式零知識證明”的概念，即用一個短隨機串代替交互過程并實現(xiàn)了零知識證明。

（1）零知識證明基本概念

①交互式的零知識證明8/12/20251解釋零知識證明的一個經(jīng)典故事是“洞穴”（由J.J.Quisquater和L.C.Guillou提出的），如下圖所示。

在上圖中，洞穴深處的位置C和位置D之間有一道門，只有知道秘密咒語的人才能打開位置C和位置D之間的門。假設P知道打開門的咒語，P想向V證明自己知道咒語，但又不想向V泄露咒語。

下面是向證明自己知道咒語的協(xié)議：8/12/202528/12/202538/12/202548/12/202558/12/20256②非交互式的零知識證明與交互式是零知識證明協(xié)議類似，非交互式的零知識證明協(xié)議也包含證明者和驗證者，證明者知道某個定理的證明，并且希望向驗證者證明這一事實，但非交互式的零知識證明協(xié)議不需要任何交互。

8/12/20257

在上面的非交互式的零知識證明協(xié)議中，有許多“問/答”式的迭代，是P在用隨機數(shù)選擇這些難解的問題，他也可以選擇不同的問題，因此有不同的解法，直到這個單向散列函數(shù)產生他希望的東西為止。在一個交互式的零知識證明協(xié)議中，10次迭代中能進行欺騙的概率為1/210，這個概率很小了，但是在非交互式的零知識證明協(xié)議中是不夠的。因為其他感興趣者總能完成第（5）步中的①或②，他能設法猜測會要求他完成哪一步，處理完第（1）直到第（4）步，并可以弄清他是否猜對。若他沒有猜對，還可以反復再試。

8/12/20258（2）基于零知識的身份認證技術（略）

①交互式認證技術

8/12/20259②FFS協(xié)議（或Fiat-Shamir身份識別協(xié)議）

1988年U.Feige，A.Fiat和A.Shamir把1986年Fiat和Shamir的新型身份識別方案改進成為“著名的Feige-Fiat-shamir零知識身份認證協(xié)議”，也稱為簡化的Fiat-Shamir身份識別協(xié)議，簡稱為FFS協(xié)議。

協(xié)議原理8/12/202510

協(xié)議的完備性、正確性和安全性

8/12/202511③簡化的FFS協(xié)議

協(xié)議原理8/12/202512

協(xié)議的完備性、正確性和安全性

8/12/2025138/12/2025144.Kerberos身份認證技術(略)

Kerberos身份認證協(xié)議是20世紀80年代美國MIT（麻省理工學院）開發(fā)的一種協(xié)議，其名稱是根據(jù)希臘神話中守衛(wèi)冥王大門的三頭的看門狗而命名的。而現(xiàn)在“三頭”意指有3個組成部分的網(wǎng)絡之門保護者，即認證、統(tǒng)計和審計。Kerberos是針對分布式環(huán)境的開放系統(tǒng)開發(fā)的身份鑒別機制，目前已被開放軟件基金會（OSF）的分布式環(huán)境（DCE）及許多網(wǎng)絡操作系統(tǒng)供應商采用。

Kerberos是基于對稱密碼技術、在網(wǎng)絡上實施認證的一種服務協(xié)議，它允許一臺工作站通過交換加密消息在非安全網(wǎng)絡上與另一臺工作站相互證明身份，一旦試圖登錄上網(wǎng)的用戶身份得到驗證，Kerberos協(xié)議就會給這兩臺工作站提供密鑰，并通過使用密鑰和加密算法為用戶間的通信加密以進行安全的通信。（1）Kerberos身份認證技術簡介8/12/202515

Kerberos的實現(xiàn)包括一個運行在網(wǎng)絡上的某個物理安全的節(jié)點處的密鑰分配中心（KDC，KeyDistributeCenter）以及一個可供調用的函數(shù)庫，各個需要認證用戶身份的分布式應用程序調用這個函數(shù)庫，根據(jù)KDC的第三方服務來驗證計算機相互的身份，并建立密鑰以保證計算機間的安全連接。（2）Kerberos的工作原理

①Kerberos認證的類型

Kerberos協(xié)議實際上有3種不同的認證類型：

認證服務器（AS，AuthenticatioServer）認證：

是在客戶和知道客戶的秘密密鑰的Kerberos認證服務器之間進行的一次初始認證。該次認證使得客戶獲得了一張用于訪問某一指定的認證服務器的票據(jù)。目前，Kerberos協(xié)議有5個版本，前3個版本已經(jīng)不再使用；第4和5版雖然從概念上將很相似，但根本原理完全不一樣。第4版用戶量大，結構更為簡單且性能好，但它只能用于TCP/IP協(xié)議，而第5版的功能更多。8/12/202516①Kerberos認證的類型

票據(jù)許可服務器（TGS，TicketGrantingServer）認證：

是在客戶和指定的認證服務器之間進行的一次認證，此時，該認證服務器被稱為票據(jù)許可服務器?？蛻魶]有使用自己的秘密密鑰，而是使用了從AS那里獲得的票據(jù)。這次交換使得客戶獲得了進一步訪問某一指定的認證服務器的票據(jù)。

客戶機/服務器（CS）認證：

是在客戶和指定的認證服務器之間進行的一次認證，此時，該認證服務器被稱為目標服務器，客戶向目標服務器進行認證或目標服務器向客戶進行認證。這一過程使用了從AS或TGS交換獲得的票據(jù)。8/12/202517②Kerberos的認證過程

首先使用一個認證服務器（AS），它知道每個用戶的口令并將這些口令存儲在一個集中的數(shù)據(jù)庫中。

AS與每個服務器共享一個唯一的密鑰，這些密鑰已經(jīng)通過安全的方式進行分發(fā)。當客戶C需要登錄到服務器V時，下圖是它們之間的簡單會話過程。8/12/202518

-具體的認證過程如下：

◎用戶登錄到工作站，請求訪問服務器V。客戶模塊C運行在用戶的工作站中，它要求用戶輸入口令，然后向服務器發(fā)送一個報文，里面包含用戶的ID、服務器ID、用戶的口令等。

◎AS檢查它的數(shù)據(jù)庫，驗證用戶的口令是否與用戶的ID匹配，以及該用戶是否被允許訪問該數(shù)據(jù)庫。若兩項測試都通過，AS認為該用戶是可信的，為了讓服務器確信該用戶是可信的，AS生成一張加密過的票據(jù)，其中包含用戶ID、用戶網(wǎng)絡地址、服務器ID。由于是加密過的，它不會被C或對手更改?！駽向V發(fā)送含有用戶ID和票據(jù)的報文，V要對票據(jù)進行解密，驗證票據(jù)中的用戶ID與未加密的用戶ID是否一致，如果匹配，則通過身份驗證。8/12/202519上頁圖中的簡單會話過程只使用了認證服務器認證類型，它在會話過程中沒有解決下面兩個問題：◎希望用戶輸入的口令數(shù)最少假如用戶C在一天中要多次檢查郵件服務器是否有他的郵件，每次他都必須輸入口令；當然，可以通過允許票據(jù)來改善這種情況。然而，用戶對有不同服務的請求，每種服務的第一次訪問都需要一個新的票據(jù)，他還得每次都要輸入口令。◎會話中還涉及口令的明文傳輸。為了解決上述問題，可以引入一個票據(jù)許可服務器（TGS），即采用認證服務器（AS）認證和票據(jù)許可服務器（TGS）認證相結合的認證方式，如下圖所示。8/12/202520

-認證過程如下：◎用戶向AS發(fā)送用戶ID、TGSID請求一張代表該用戶的票據(jù)許可票據(jù)。◎AS發(fā)回一張加密過的票據(jù)，加密密鑰是由用戶口令導出的。當響應抵達客戶端時，客戶端同時用戶輸入口令，并由此產生密鑰，并試圖對收到的報文解密(若口令正確，票據(jù)就能正確恢復)。由于只有合法用戶才能恢復該票據(jù)，因此使用口令獲得Kerberos的信任無須傳遞明文口令?！蚩蛻舸碛脩粽埱笠粡埛赵S可票據(jù)?！騎GS對收到的票據(jù)進行解密，通過檢查TGS的ID是否存在，來驗證解密是否成功；然后檢查生存期，確保票據(jù)沒有過期；接著比較用戶的ID和網(wǎng)絡地址與收到鑒別用戶的信息是否一致。如果允許用戶訪問V，TGS就返回一張訪問請求服務的許可票據(jù)?！蚩蛻舸碛脩粽埱螳@得某項服務。客戶向服務器傳輸一個包含用戶ID和服務許可票據(jù)的報文，服務器通過票據(jù)的內容進行鑒別。8/12/202521盡管以上認證過程增加了安全性，但仍存在以下兩個問題：◎門票許可票據(jù)的生存期。生存期如果太短，用戶將總被要求輸入口令；生存期太長，對手又有更多重放的機會?！蚍掌鞅灰笙蛴脩糇C明本身。

Kerberos為解決以上兩個問題而采取的措施：Kerberos系統(tǒng)利用票據(jù)方法在客戶機和目標服務器實際通信之前由客戶和認證服務器先執(zhí)行一個通信交換協(xié)議（如下圖所示）。-兩次交換結束時客戶機和服務器獲得了由認證服務器為它們所產生的秘密會話密鑰，這就為相互認證提供了基礎而且也可以在通信會話中保護其他服務。8/12/202522

Kerberos的主要優(yōu)點是利用相對便宜的技術提供了較好的保護水平，但也有一些缺陷，主要體現(xiàn)在以下三個方面：◎需要具有很高利用率的可信在線認證服務器（至少在物理上是安全的）?！蛑胤艡z測依賴于時間戳，這意味著需要同步和安全的時鐘。◎如果認證過程中的密鑰受到威脅，那么傳輸在使用該密鑰進行認證的任何會話過程中的所有被保護的數(shù)據(jù)都將受到威脅。

一個完整的轄區(qū)包括一個Kerberos服務器、一組工作站和一組應用服務器，它們應滿足這些要求：Kerberos服務器必須在其數(shù)據(jù)庫中擁有所參與用戶的ID和口令散列表，所有用戶均在Kerberos服務器上注冊；Kerberos服務器與每一個服務器之間共享一個保密密鑰，所有服務器均在Kerberos服務器上注冊。

（3）Kerberos域間的認證(略)

8/12/202523假設世界被分割成n個不同的域，那么某個域中的實體可能需要認證另外一個域中的實體的身份。

Kerberos提供了一個支持不同域間認證的機制：每個域的Kerberos服務器與其他域內的Kerberos服務器之間共享一個保密密鑰，兩個Kerberos服務器相互注冊，其認證過程如下圖所示。但是該方法也存在缺陷，主要表現(xiàn)在：對于大量域間的認證，可伸縮性不好。如果n個域，那么需要n(n-1)/2個安全密鑰交換，以便使每個Kerberos服務器能夠與其他所有的Kerberos服務器轄區(qū)進行相互操作。8/12/2025245.X.509認證技術（略）

數(shù)字證書（DigitalID），又叫“數(shù)字身份證”、“網(wǎng)絡身份證”（它提供了一種在網(wǎng)絡上身份驗證的方式，是用來標志和證明網(wǎng)絡通信雙方身份的數(shù)字信息文件，與司機駕照或日常生活中的身份證相似）是由權威公正的認證中心發(fā)放的并經(jīng)認證中心簽名的，包含有公鑰擁有者以及公鑰相關信息的一種電子文件，可以用來證明數(shù)字證書持有者的身份。由于數(shù)字證書有頒發(fā)機構的簽名，保證了證書在傳遞、存儲過程中不會被篡改，即使被篡改了也會被發(fā)現(xiàn)。因此，數(shù)字證書本質是一種由頒發(fā)者數(shù)字簽名的用于綁定公鑰和其持有者身份的數(shù)據(jù)結構（電子文件）。（1）數(shù)字證書

X.509認證是由ITU-T制定的，一種行業(yè)標準，它的實現(xiàn)是基于公鑰密碼和數(shù)字簽名技術，它并沒有專門指定加密算法，但一般推薦使用RSA加密算法。為進行身份認證，X.509提供了數(shù)字簽名方案，但X.509也沒有指定使用專門的散列算法。X.509建議最早于1988年發(fā)布，1993、1997和2000年又分別發(fā)布了它的第二、第三和第四版。X.509是一個非常重要，因為X.509定義的認證證書的結構和認證協(xié)議已經(jīng)得到了廣泛的應用。目前，使用得最廣泛的是X.509v3（第三版）證書樣式。8/12/202525數(shù)字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私鑰，用它進行解密和簽名；同時擁有一把公鑰，并可以對外公開，用于加密和驗證簽名。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由于沒有相應的私鑰，也無法進行解密。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用私鑰才能解密。

用數(shù)字證書，能夠確認以下兩點：

①保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認。

②保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。8/12/202526一般來說，數(shù)字證書主要包括證書所有者的信息、證書所有者的公鑰、證書頒發(fā)機構的簽名、證書的有效時間和其他信息等。數(shù)字證書的格式一般采用X.509國際標準，是廣泛使用的證書格式目前，數(shù)字證書主要用于發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券、網(wǎng)上招標采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務等網(wǎng)上安全電子事務處理和安全電子交易活動。X.509支持單向、雙向和三向認證3種不同的認證過程，以適應不同的環(huán)境。X.509認證過程使用基于公鑰密碼技術的數(shù)字簽名，它假定通信雙方都知道對方的公鑰，用戶從認證中心獲得對方的證書。（2）X.509認證過程8/12/202527①單向認證

單向認證過程如下圖所示。

單向認證需要將信息從一個用戶A發(fā)送到用戶B。

這個認證過程需要使用A的身份標識，而鑒別過程僅驗證發(fā)起用戶A的身份標識。在A發(fā)送給B的報文中至少還需要包含一個時間戳tA，一個隨機