8.3基于零知識證明的身份認(rèn)證技術(shù)(略)零知識證明是由Golawasser等人20世紀(jì)80年代初提出的，它指的是證明者能夠在不向驗證者提供任何有用信息的情況下，使驗證者相信某個論斷是正確的。

零知識證明實質(zhì)上是一種涉及兩方或多方的協(xié)議，即兩方或更多方完成一項任務(wù)所需采取的一系列步驟。

Golawasser等人提出的零知識證明中，證明者和驗證者之間必須進(jìn)行交互，這樣的零知識證明被稱為“交互式零知識證明”。20世紀(jì)80年代末，Blum等人進(jìn)一步提出了“非交互式零知識證明”的概念，即用一個短隨機(jī)串代替交互過程并實現(xiàn)了零知識證明。

（1）零知識證明基本概念

①交互式的零知識證明8/12/20251解釋零知識證明的一個經(jīng)典故事是“洞穴”（由J.J.Quisquater和L.C.Guillou提出的），如下圖所示。

在上圖中，洞穴深處的位置C和位置D之間有一道門，只有知道秘密咒語的人才能打開位置C和位置D之間的門。假設(shè)P知道打開門的咒語，P想向V證明自己知道咒語，但又不想向V泄露咒語。

下面是向證明自己知道咒語的協(xié)議：8/12/202528/12/202538/12/202548/12/202558/12/20256②非交互式的零知識證明與交互式是零知識證明協(xié)議類似，非交互式的零知識證明協(xié)議也包含證明者和驗證者，證明者知道某個定理的證明，并且希望向驗證者證明這一事實，但非交互式的零知識證明協(xié)議不需要任何交互。

8/12/20257

在上面的非交互式的零知識證明協(xié)議中，有許多“問/答”式的迭代，是P在用隨機(jī)數(shù)選擇這些難解的問題，他也可以選擇不同的問題，因此有不同的解法，直到這個單向散列函數(shù)產(chǎn)生他希望的東西為止。在一個交互式的零知識證明協(xié)議中，10次迭代中能進(jìn)行欺騙的概率為1/210，這個概率很小了，但是在非交互式的零知識證明協(xié)議中是不夠的。因為其他感興趣者總能完成第（5）步中的①或②，他能設(shè)法猜測會要求他完成哪一步，處理完第（1）直到第（4）步，并可以弄清他是否猜對。若他沒有猜對，還可以反復(fù)再試。

8/12/20258（2）基于零知識的身份認(rèn)證技術(shù)（略）

①交互式認(rèn)證技術(shù)

8/12/20259②FFS協(xié)議（或Fiat-Shamir身份識別協(xié)議）

1988年U.Feige，A.Fiat和A.Shamir把1986年Fiat和Shamir的新型身份識別方案改進(jìn)成為“著名的Feige-Fiat-shamir零知識身份認(rèn)證協(xié)議”，也稱為簡化的Fiat-Shamir身份識別協(xié)議，簡稱為FFS協(xié)議。

協(xié)議原理8/12/202510

協(xié)議的完備性、正確性和安全性

8/12/202511③簡化的FFS協(xié)議

協(xié)議原理8/12/202512

協(xié)議的完備性、正確性和安全性

8/12/2025138/12/2025144.Kerberos身份認(rèn)證技術(shù)(略)

Kerberos身份認(rèn)證協(xié)議是20世紀(jì)80年代美國MIT（麻省理工學(xué)院）開發(fā)的一種協(xié)議，其名稱是根據(jù)希臘神話中守衛(wèi)冥王大門的三頭的看門狗而命名的。而現(xiàn)在“三頭”意指有3個組成部分的網(wǎng)絡(luò)之門保護(hù)者，即認(rèn)證、統(tǒng)計和審計。Kerberos是針對分布式環(huán)境的開放系統(tǒng)開發(fā)的身份鑒別機(jī)制，目前已被開放軟件基金會（OSF）的分布式環(huán)境（DCE）及許多網(wǎng)絡(luò)操作系統(tǒng)供應(yīng)商采用。

Kerberos是基于對稱密碼技術(shù)、在網(wǎng)絡(luò)上實施認(rèn)證的一種服務(wù)協(xié)議，它允許一臺工作站通過交換加密消息在非安全網(wǎng)絡(luò)上與另一臺工作站相互證明身份，一旦試圖登錄上網(wǎng)的用戶身份得到驗證，Kerberos協(xié)議就會給這兩臺工作站提供密鑰，并通過使用密鑰和加密算法為用戶間的通信加密以進(jìn)行安全的通信。（1）Kerberos身份認(rèn)證技術(shù)簡介8/12/202515

Kerberos的實現(xiàn)包括一個運(yùn)行在網(wǎng)絡(luò)上的某個物理安全的節(jié)點(diǎn)處的密鑰分配中心（KDC，KeyDistributeCenter）以及一個可供調(diào)用的函數(shù)庫，各個需要認(rèn)證用戶身份的分布式應(yīng)用程序調(diào)用這個函數(shù)庫，根據(jù)KDC的第三方服務(wù)來驗證計算機(jī)相互的身份，并建立密鑰以保證計算機(jī)間的安全連接。（2）Kerberos的工作原理

①Kerberos認(rèn)證的類型

Kerberos協(xié)議實際上有3種不同的認(rèn)證類型：

認(rèn)證服務(wù)器（AS，AuthenticatioServer）認(rèn)證：

是在客戶和知道客戶的秘密密鑰的Kerberos認(rèn)證服務(wù)器之間進(jìn)行的一次初始認(rèn)證。該次認(rèn)證使得客戶獲得了一張用于訪問某一指定的認(rèn)證服務(wù)器的票據(jù)。目前，Kerberos協(xié)議有5個版本，前3個版本已經(jīng)不再使用；第4和5版雖然從概念上將很相似，但根本原理完全不一樣。第4版用戶量大，結(jié)構(gòu)更為簡單且性能好，但它只能用于TCP/IP協(xié)議，而第5版的功能更多。8/12/202516①Kerberos認(rèn)證的類型

票據(jù)許可服務(wù)器（TGS，TicketGrantingServer）認(rèn)證：

是在客戶和指定的認(rèn)證服務(wù)器之間進(jìn)行的一次認(rèn)證，此時，該認(rèn)證服務(wù)器被稱為票據(jù)許可服務(wù)器?？蛻魶]有使用自己的秘密密鑰，而是使用了從AS那里獲得的票據(jù)。這次交換使得客戶獲得了進(jìn)一步訪問某一指定的認(rèn)證服務(wù)器的票據(jù)。

客戶機(jī)/服務(wù)器（CS）認(rèn)證：

是在客戶和指定的認(rèn)證服務(wù)器之間進(jìn)行的一次認(rèn)證，此時，該認(rèn)證服務(wù)器被稱為目標(biāo)服務(wù)器，客戶向目標(biāo)服務(wù)器進(jìn)行認(rèn)證或目標(biāo)服務(wù)器向客戶進(jìn)行認(rèn)證。這一過程使用了從AS或TGS交換獲得的票據(jù)。8/12/202517②Kerberos的認(rèn)證過程

首先使用一個認(rèn)證服務(wù)器（AS），它知道每個用戶的口令并將這些口令存儲在一個集中的數(shù)據(jù)庫中。

AS與每個服務(wù)器共享一個唯一的密鑰，這些密鑰已經(jīng)通過安全的方式進(jìn)行分發(fā)。當(dāng)客戶C需要登錄到服務(wù)器V時，下圖是它們之間的簡單會話過程。8/12/202518

-具體的認(rèn)證過程如下：

◎用戶登錄到工作站，請求訪問服務(wù)器V?？蛻裟KC運(yùn)行在用戶的工作站中，它要求用戶輸入口令，然后向服務(wù)器發(fā)送一個報文，里面包含用戶的ID、服務(wù)器ID、用戶的口令等。

◎AS檢查它的數(shù)據(jù)庫，驗證用戶的口令是否與用戶的ID匹配，以及該用戶是否被允許訪問該數(shù)據(jù)庫。若兩項測試都通過，AS認(rèn)為該用戶是可信的，為了讓服務(wù)器確信該用戶是可信的，AS生成一張加密過的票據(jù)，其中包含用戶ID、用戶網(wǎng)絡(luò)地址、服務(wù)器ID。由于是加密過的，它不會被C或?qū)κ指摹！駽向V發(fā)送含有用戶ID和票據(jù)的報文，V要對票據(jù)進(jìn)行解密，驗證票據(jù)中的用戶ID與未加密的用戶ID是否一致，如果匹配，則通過身份驗證。8/12/202519上頁圖中的簡單會話過程只使用了認(rèn)證服務(wù)器認(rèn)證類型，它在會話過程中沒有解決下面兩個問題：◎希望用戶輸入的口令數(shù)最少假如用戶C在一天中要多次檢查郵件服務(wù)器是否有他的郵件，每次他都必須輸入口令；當(dāng)然，可以通過允許票據(jù)來改善這種情況。然而，用戶對有不同服務(wù)的請求，每種服務(wù)的第一次訪問都需要一個新的票據(jù)，他還得每次都要輸入口令?！驎捴羞€涉及口令的明文傳輸。為了解決上述問題，可以引入一個票據(jù)許可服務(wù)器（TGS），即采用認(rèn)證服務(wù)器（AS）認(rèn)證和票據(jù)許可服務(wù)器（TGS）認(rèn)證相結(jié)合的認(rèn)證方式，如下圖所示。8/12/202520

-認(rèn)證過程如下：◎用戶向AS發(fā)送用戶ID、TGSID請求一張代表該用戶的票據(jù)許可票據(jù)?！駻S發(fā)回一張加密過的票據(jù)，加密密鑰是由用戶口令導(dǎo)出的。當(dāng)響應(yīng)抵達(dá)客戶端時，客戶端同時用戶輸入口令，并由此產(chǎn)生密鑰，并試圖對收到的報文解密(若口令正確，票據(jù)就能正確恢復(fù))。由于只有合法用戶才能恢復(fù)該票據(jù)，因此使用口令獲得Kerberos的信任無須傳遞明文口令?！蚩蛻舸碛脩粽埱笠粡埛?wù)許可票據(jù)?！騎GS對收到的票據(jù)進(jìn)行解密，通過檢查TGS的ID是否存在，來驗證解密是否成功；然后檢查生存期，確保票據(jù)沒有過期；接著比較用戶的ID和網(wǎng)絡(luò)地址與收到鑒別用戶的信息是否一致。如果允許用戶訪問V，TGS就返回一張訪問請求服務(wù)的許可票據(jù)?！蚩蛻舸碛脩粽埱螳@得某項服務(wù)?？蛻粝蚍?wù)器傳輸一個包含用戶ID和服務(wù)許可票據(jù)的報文，服務(wù)器通過票據(jù)的內(nèi)容進(jìn)行鑒別。8/12/202521盡管以上認(rèn)證過程增加了安全性，但仍存在以下兩個問題：◎門票許可票據(jù)的生存期。生存期如果太短，用戶將總被要求輸入口令；生存期太長，對手又有更多重放的機(jī)會。◎服務(wù)器被要求向用戶證明本身。

Kerberos為解決以上兩個問題而采取的措施：Kerberos系統(tǒng)利用票據(jù)方法在客戶機(jī)和目標(biāo)服務(wù)器實際通信之前由客戶和認(rèn)證服務(wù)器先執(zhí)行一個通信交換協(xié)議（如下圖所示）。-兩次交換結(jié)束時客戶機(jī)和服務(wù)器獲得了由認(rèn)證服務(wù)器為它們所產(chǎn)生的秘密會話密鑰，這就為相互認(rèn)證提供了基礎(chǔ)而且也可以在通信會話中保護(hù)其他服務(wù)。8/12/202522

Kerberos的主要優(yōu)點(diǎn)是利用相對便宜的技術(shù)提供了較好的保護(hù)水平，但也有一些缺陷，主要體現(xiàn)在以下三個方面：◎需要具有很高利用率的可信在線認(rèn)證服務(wù)器（至少在物理上是安全的）?！蛑胤艡z測依賴于時間戳，這意味著需要同步和安全的時鐘。◎如果認(rèn)證過程中的密鑰受到威脅，那么傳輸在使用該密鑰進(jìn)行認(rèn)證的任何會話過程中的所有被保護(hù)的數(shù)據(jù)都將受到威脅。

一個完整的轄區(qū)包括一個Kerberos服務(wù)器、一組工作站和一組應(yīng)用服務(wù)器，它們應(yīng)滿足這些要求：Kerberos服務(wù)器必須在其數(shù)據(jù)庫中擁有所參與用戶的ID和口令散列表，所有用戶均在Kerberos服務(wù)器上注冊；Kerberos服務(wù)器與每一個服務(wù)器之間共享一個保密密鑰，所有服務(wù)器均在Kerberos服務(wù)器上注冊。

（3）Kerberos域間的認(rèn)證(略)

8/12/202523假設(shè)世界被分割成n個不同的域，那么某個域中的實體可能需要認(rèn)證另外一個域中的實體的身份。

Kerberos提供了一個支持不同域間認(rèn)證的機(jī)制：每個域的Kerberos服務(wù)器與其他域內(nèi)的Kerberos服務(wù)器之間共享一個保密密鑰，兩個Kerberos服務(wù)器相互注冊，其認(rèn)證過程如下圖所示。但是該方法也存在缺陷，主要表現(xiàn)在：對于大量域間的認(rèn)證，可伸縮性不好。如果n個域，那么需要n(n-1)/2個安全密鑰交換，以便使每個Kerberos服務(wù)器能夠與其他所有的Kerberos服務(wù)器轄區(qū)進(jìn)行相互操作。8/12/2025245.X.509認(rèn)證技術(shù)（略）

數(shù)字證書（DigitalID），又叫“數(shù)字身份證”、“網(wǎng)絡(luò)身份證”（它提供了一種在網(wǎng)絡(luò)上身份驗證的方式，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機(jī)駕照或日常生活中的身份證相似）是由權(quán)威公正的認(rèn)證中心發(fā)放的并經(jīng)認(rèn)證中心簽名的，包含有公鑰擁有者以及公鑰相關(guān)信息的一種電子文件，可以用來證明數(shù)字證書持有者的身份。由于數(shù)字證書有頒發(fā)機(jī)構(gòu)的簽名，保證了證書在傳遞、存儲過程中不會被篡改，即使被篡改了也會被發(fā)現(xiàn)。因此，數(shù)字證書本質(zhì)是一種由頒發(fā)者數(shù)字簽名的用于綁定公鑰和其持有者身份的數(shù)據(jù)結(jié)構(gòu)（電子文件）。（1）數(shù)字證書

X.509認(rèn)證是由ITU-T制定的，一種行業(yè)標(biāo)準(zhǔn)，它的實現(xiàn)是基于公鑰密碼和數(shù)字簽名技術(shù)，它并沒有專門指定加密算法，但一般推薦使用RSA加密算法。為進(jìn)行身份認(rèn)證，X.509提供了數(shù)字簽名方案，但X.509也沒有指定使用專門的散列算法。X.509建議最早于1988年發(fā)布，1993、1997和2000年又分別發(fā)布了它的第二、第三和第四版。X.509是一個非常重要，因為X.509定義的認(rèn)證證書的結(jié)構(gòu)和認(rèn)證協(xié)議已經(jīng)得到了廣泛的應(yīng)用。目前，使用得最廣泛的是X.509v3（第三版）證書樣式。8/12/202525數(shù)字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密。每個用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)行解密和簽名；同時擁有一把公鑰，并可以對外公開，用于加密和驗證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達(dá)目的地了，即使被第三方截獲，由于沒有相應(yīng)的私鑰，也無法進(jìn)行解密。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用私鑰才能解密。

用數(shù)字證書，能夠確認(rèn)以下兩點(diǎn)：

①保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。

②保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。8/12/202526一般來說，數(shù)字證書主要包括證書所有者的信息、證書所有者的公鑰、證書頒發(fā)機(jī)構(gòu)的簽名、證書的有效時間和其他信息等。數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)，是廣泛使用的證書格式目前，數(shù)字證書主要用于發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動。X.509支持單向、雙向和三向認(rèn)證3種不同的認(rèn)證過程，以適應(yīng)不同的環(huán)境。X.509認(rèn)證過程使用基于公鑰密碼技術(shù)的數(shù)字簽名，它假定通信雙方都知道對方的公鑰，用戶從認(rèn)證中心獲得對方的證書。（2）X.509認(rèn)證過程8/12/202527①單向認(rèn)證

單向認(rèn)證過程如下圖所示。

單向認(rèn)證需要將信息從一個用戶A發(fā)送到用戶B。

這個認(rèn)證過程需要使用A的身份標(biāo)識，而鑒別過程僅驗證發(fā)起用戶A的身份標(biāo)識。在A發(fā)送給B的報文中至少還需要包含一個時間戳tA，一個隨機(jī)