信息系统安全工程_认证技术_软件资料

1、信息系统安全工程之认 证 技 术西南交通大学信息科学与技术(jsh)学院 李晓航Last Modified: 2015.09共五十页零、认证(rnzhng)认证(rnzhng)（Authentication）是防止主动攻击的重要技术, 对于开放环境中各种信息系统的安全有着重要作用认证的主要目的：验证消息来自意定的、真实的发送者；验证消息的完整性，在传送或存储过程中未被篡改、重放或延迟等；提供不可否认性。认证采用的主要技术报文鉴别（Message authentication）数字签名（Digital signature）身份识别（Identity verification）共五十页一、散列函数

2、(hnsh)1、散列函数(hnsh)概况2、常用散列函数共五十页1、散列函数(hnsh)（Hash函数）概况散列函数以一个变长的报文M作为输入，产生一个定长的输出（散列码）的函数，可记为h = H(M) （ |M| |h| )散列函数的目的是为文件、报文或其他分组数据产生“指纹”，常用于报文鉴别和数字签名散列函数是一个多对一的函数因此在理论上，必定存在不同的报文对应同样的散列，但这种情况在实际中必须不可能出现(计算上不可行)散列函数本身不是保密(bo m)的散列函数没有密钥的参与，散列值仅仅是报文的函数共五十页散列函数(hnsh)的需求1、H能用于任意长度的数据分组；2、H产生定长的输出；3、

3、对任意给定的X，H(X)要容易计算；4、对任何(rnh)给定的 h，寻找 x 使得H(x)=h，在计算上不可行（单向特性）；5、对任意给定的分组 x，寻找不等于 x 的 y，使得 H(x)=H(y), 在计算上不可行（弱抗碰撞）；6、寻找任意的一对分组(x，y)， 使得 H(x)=H(y)， 在计算上不可行（强抗碰撞）。共五十页散列函数(hnsh)的有效安全级别假设散列函数的输出为 m 比特，可以将其抗各种攻击的有效安全级别表示为：这意味着安全散列函数的输出长度有一个下界： 40 bit 的散列长度将非常不安全：因为仅仅在220100万个随机的散列值中就有 50% 的概率发现一个碰撞。一般建议

4、(jiny)最小的报文散列的长度为128 bit，实际中常采用 160bit。单向2m弱抗碰撞2m强抗碰撞2m/2共五十页2、常用(chn yn)散列函数1、 MD5 算法MD5的散列码只有128比特, 其对抗生日攻击的有效(yuxio)级是264，从现在的角度看太小，安全性不够。2、 SHA-1 算法SHA（安全散列算法）由 NIST在1993年公布（FIPS PUB 180），并在1995年进行了修订，称为SHA-1（ FIPS PUB 180-1）；算法产生160比特的散列码；SHA-1是目前首选的散列算法。共五十页常用(chn yn)散列函数演示输入字符串：“12345678”25D5

5、5AD283AA400AF464C76D713C07AD7C222FB2927D828AF22F592134E8932480637C0DMD5SHA-1输入文件（1.4G）：The.Imitation.Game.2014.mp4MD5SHA-1A3DD6A05AD84FB733ECB01EFA275002F93F661DAB2E912AF2802F1BB32BB527739F63107共五十页二、报文鉴别(jinbi)1、概述(i sh)2、利用单钥加密实现鉴别 3、报文鉴别码(MAC)4、带密钥的散列函数共五十页1、概述(i sh)报文鉴别的主要用途保证消息的完整性；保证消息来源的可靠性；报

6、文鉴别的主要方法报文加密(ji m): 以整个报文的密文作为它的鉴别符;报文鉴别码（MAC）:以一个报文的公共函数和用于产生一个定长值的密钥作为鉴别符;带密钥的散列函数（HMAC）：将秘密因素引入原始报文，然后对其进行散列，并将散列函数的结果作为鉴别码。共五十页2、利用(lyng)单钥加密实现鉴别 报文加密本身可以提供一定程度的鉴别能力如果(rgu)采用常规加密，则1）接收方知道报文一定是由发送方创建的，因为创建该报文对应的密文的密钥只有发送方和接收方所共享；2）并且(加密后的)报文的内容没有被篡改过，如果报文的内容(密文)被篡改，则解密后无法恢复原始的合法报文(明文)。报文的内部结构为了增强

7、鉴别能力，最好能使原始的报文(明文)具有某种结构，这样在接收端可以通过验证这种结构，来确定报文是否被篡改。共五十页利用单钥加密实现(shxin)鉴别发送(f sn)方接收方共五十页3、报文鉴别(jinbi)码报文鉴别码（Message Authentication Code，MAC）是一个定长的数据分组，它是报文和一个密钥的函数：MAC = Ck(M)如果收发双方共享一个密钥，则1、发送端发送报文时，可计算报文的MAC，并将其附在报文后一起传送。2、接收端采用相同的算法和密钥，对收到的报文进行(jnxng)同样的计算，产生新的MAC, 如果新的 MAC 和收到的 MAC相同，则收端可以确信：1

8、）报文没有被更改过（包括外界的干扰和人为篡改）；2）报文来自意定的发送者。共五十页利用MAC保证(bozhng)数据完整性的原理数据发送方，如调度系统数据接收方，如被控站攻击者（不知道收发双方当前的密钥 K），试图篡改报文事先共享密钥 K在网络上传输的报文，如调度命令共五十页采用对称(duchn)加密算法产生MAC可以将任何工作于CBC模式的常规分组算法作为MAC函数，并将CBC的最后一个分组当作MACDAA（Data Authentication Algorithm）算法该算法是使用最广的MAC函数(FIPS PUB 113, ANSI X9.17)，基于DES-CBC模式；算法步骤： 1）

9、取IV=0, 并将报文最后一个分组用 0 填充(tinchng)成 64 比特； 2）采用 DES 的 CBC 模式加密报文； 3）抛弃加密的中间结果，只将最后一组密文（或最后一组密文的左边 M (16M64)比特）作为MAC；从目前的角度看，64 比特的MAC长度较小共五十页产生(chnshng)MAC的DAA算法共五十页4、带密钥的散列函数(hnsh)目前，构造MAC方法的研究热点已经从分组密码(m m)(FIPS PUB 113)转向散列函数散列函数的执行速度比分组密码快；散列函数没有出口限制。标准的散列函数并不依赖于密钥，因此不能直接用于MAC，必须将密钥和现有的散列函数结合起来当前获

10、得广泛采用的方案是HMAC（RFC2104）共五十页HMACHMAC（RFC2104）作为 IPSEC中强制实行的MAC，同时也被其他的 Internet 协议（如SSL） 使用HMAC的设计目标：1）无需修改地使用现有的散列函数；2）当出现或获得更快或更安全的散列函数时，对算法中嵌入的散列函数要能轻易地进行替换；3）保持散列函数的原有性能, 不会导致算法性能降低；4）使用和处理密钥的方式很简单；5）基于对嵌入散列函数合理的假设，对鉴别(jinbi)机制的强度有一个易懂的密码编码分析。共五十页HMAC的结构(jigu)共五十页HMAC的结构(jigu)（续）HMAC的计算HMACK = Has

11、h (K+ XOR opad) | Hash (K+ XOR ipad) | M ) K+ 是对密钥K填充生成的b比特(b t)的串opad, ipad是特定的填充常量HMAC增加了三个散列压缩函数HMAC适用于 MD5, SHA-1, RIPEMD-160 等各种散列函数共五十页三、数字签名1、概述(i sh)2、RSA数字签名3、数字签名标准DSS共五十页1、概述(i sh)普通的报文鉴别能用来保护通信双方免受任何第三方的攻击，然而，它无法防止通信双方互相攻击。假定 A 发送一个经过鉴别的消息给 B，双方之间的争议可能有多种形式：1）B 伪造一个不同的消息，但声称是从 A 收到的。2）A

12、可以(ky)否认发过该消息，B 无法证明A确实发了该消息。解决以上问题可以用数字签名中华人民共和国电子签名法已于2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过，自2005年4月1日起施行 。共五十页对数字签名的要求(yoqi)1、签名必须依赖于要签名报文的比特模式2、签名必须使用对发送者来说是唯一的信息以防止伪造和抵赖3、伪造一个数字签名在计算上是不可行的包括“根据已有的数字签名来构造新报文”，以及“对给定的报文构造一个虚假(xji)的数字签名”。4、数字签名的产生必须相对简单5、数字签名的识别和证实必须相对简单共五十页数字签名的定义(dngy)一个数字签名方案是一个 5

13、 元组（P，A，K，S，V），它满足(mnz)下列条件P 是所有可能消息的有限集；A 是所有可能签名的有限集；K 是所有可能密钥的有限集；共五十页数字签名的定义(dngy)(续)对每一个kK，有一个签名算法sigkS和一个相应的验证算法verkV，对每一个消息xP和每一个签名 yA，每一个 sigk: PA 和 verk: PA真,假 都是满足下列条件(tiojin)的函数： 对每一个kK，sigk 和 verk 应该是多项式时间函数；其中verk是一个公开函数，sigk将是一个秘密函数，对一个给定的 x，只有签名者能计算签名y，满足verk(x,y)=真。 共五十页2、RSA签名(qin m

14、ng)方案1、密钥产生设n = p * q，p 和 q 是素数，P=A=Zn，定义K=(n, p, q, a, b) : a*b1 (mod (n) ，其中 n 和 b 公开(公钥)，p、q 、a 保密(私钥)。2、签名(qin mng)算法（利用私钥 a，是保密的）y sigk(x) xa (mod n)3、验证算法（利用公钥 b，是公开的）verk(x,y)=true 当且仅当 x yb (mod n)共五十页数字签名和散列函数(hnsh)在实际应用中，数字签名几乎总是和散列函数结合使用签名时，签名者完成如下工作1）按如下步骤计算消息 x 的签名 y x (消息) z=h(x) (摘要(z

15、hiyo) y=sigk(z) 2）将 (x, y) 传给验证者。验证者收到(x,y)后，完成如下工作1）通过公开的 hash函数 h 重构消息摘要z=h(x);2）检查 verk(z, y) = true ?共五十页3、数字签名标准(biozhn)DSSDSS：Digital Signature Standard；数字签名标准DSS（Digital Signature Standard）是 NIST 公布的联邦信息处理标准FIPS PUB 186, 最早发表于1991年，随后(suhu)在1993年和1996年进行了一些修改。DSS 使用了安全散列算法 SHA 和数字签名算法 DSA。共五十

16、页DSS的处理(chl)流程签名者验证者共五十页四、身份证明1、概述2、通行(tngxng)字(口令)身份证明3、一次性口令共五十页1、概述(i sh)身份证明是指在两方或多方参与的信息交互中，参与者中的一方对其余各方（自称(zchng)的或未说明的）身份的判断与确认。身份证明还可进一步分类为身份验证（Identity Verification）和身份识别（Identity Recognition）身份验证工作的条件包括被验证者个人的（自称的）“身份”及作为该“身份”凭据的个人信息；身份识别工作的条件只有被识别者的个人信息，及一个群体的个人信息数据库，被识别者很可能属于该群体。共五十页实现(s

17、hxin)身份证明的途径实现身份证明的途径所知：密钥、口令等；所有：身份证、护照、信用卡、钥匙等；个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA等（生物识别）；你做的事情：如手写(shuxi)签名和步态识别等。双因素认证同时使用上面的两种途径进行证明，如：口令+智能卡。共五十页2、通行(tngxng)字(口令)身份证明通行字（也称口令）身份验证协议是信息系统中一种使用最为广泛的身份验证协议协议涉及若干示证者（P）和唯一的验证者（V）最简单的通行字身份验证协议可以是“one-pass”协议即整个过程中只需要(xyo)由示证者 P 向验证者 V 传送一次消息，其内容是示证者 P 的身

18、份标识 ID（identity）和通行字 PW（password）。（ID，PW）数据对中的 ID 一般事先由验证者 V 为示证者 P 分配以保证其唯一性，数据对中的 PW 则可由示证者 P 产生后提交给验证者 V 保存，或由验证者 V为示证者 P 分配并由V保存。共五十页口令认证(rnzhng)基本协议1、PV：IDp；2、VP：提示P “输入口令”；3、PV：PWp；4、V从其口令文档中找出记录(jl)(IDp,PWp)，如果接收的PWp与记录中的匹配，就允许访问。共五十页基于散列函数(hnsh)的口令方案 在该方案中，验证者 V 存储口令的散列值而不是原始口令例如：如采用MD5，则口令1

19、23456在验证者处存储为MD5(123456)，即E10ADC3949BA59ABBE56E057F20F883E用下述协议完成鉴别：1）示证者 P 将他的口令传送给验证者 V；2）验证者 V 完成口令的散列函数计算；3）验证者 V 把散列函数的运算结果和它以前存储的值进行比较。由于验证者不再存储示证者的实际口令，所以(suy)攻击者侵入验证者计算机，并偷取口令的威胁就减少了因为由口令的散列值生成口令是不可能的。共五十页常用通行字字典验证者采用的变换函数验证者存储的经过变换的口令表计算结果寻找匹配字典(zdin)攻击（撞库）字典攻击（dictionary attack）是将大批可能的通行字经

20、目标系统(xtng)采用的单向函数变换后与窃取的目标系统(xtng)中的加密通行字表比较，以寻找匹配者。由于人们在选择通行字时，通常会选择一些自己容易记忆的、随机性不好的字符串，这就有可能出现在攻击者选择的“常用通行字字典”中，从而被发现。共五十页3、一次性口令(kulng)一次性口令（One-time Password，OTP）方案可以抵御重放攻击，其实现形式包括：1）共享的一次性口令表：验证者和示证者共享一张秘密口令表，每个口令只用一次。2）按序修改的一次性口令：初始时验证者和示证者只共享一个秘密口令，当使用第 i 个口令进行认证时，示证者产生第 i+1 个口令，并用第 i 个口令作为(z

21、uwi)密钥进行加密，然后传送给验证者。3）基于单向函数的一次性口令：这种方案是由当前的口令隐含地确定下一个口令，如S/Key一次性口令协议，是目前最常用的动态一次性口令协议。4）基于TAN(Transaction Authentication Number)的一次性口令：交易中除了静态口令外，还要求示证者输入一个一次性验证码（即TAN），这个验证码一般通过短信形式发送给示证者。共五十页五、访问控制1、访问控制概述2、基于(jy)角色的访问控制共五十页1、访问控制概述(i sh)如果说身份认证解决了用户“是谁”的问题，那么用户“能做什么”就是由访问控制技术决定的。访问控制（Access Con

22、trol）是国际标准化组织定义的 5 项标准安全服务之一，是实现信息系统安全的重要(zhngyo)机制。共五十页用户在访问信息系统时，1）首先经过身份(shn fen)认证模块识别身份；2）然后访问控制模块根据用户的身份和授权数据库决定用户是否能够访问某个资源。 共五十页访问控制的基本概念访问控制是实现既定安全策略的系统安全技术，目标是防止对任何资源进行非授权访问所谓非授权访问包括未经授权的使用、泄漏、修改、销毁和颁发指令等。访问控制系统(kn zh x tn)一般包括：主体（Subject）：发出访问操作、存取要求的主动方，通常指用户或用户的某个进程；客体（Object）：主体试图访问的资源

23、，包括硬件资源（如CPU、内存、打印机等）和软件资源（如进程、文件、数据库记录等）；安全访问策略：一套规则，用于确定一个主体是否对客体拥有访问能力。共五十页访问(fngwn)控制系统示意图发起者：即主体；目标：即客体；访问控制执行功能（Access control enforcement function，AEF）：负责(fz)建立发起者和目标之间的通信桥梁，它必须依照ADF的授权查询指示来实施上述动作；访问控制决策功能（Access control decision function）：依据安全访问策略对发起者提出的访问请求进行判决，是访问控制的核心。发起者（主体）访问控制执行功能AEF目标

24、（客体）提交访问请求执行访问请求访问控制决策功能ADF决策请求决策结果共五十页访问控制技术(jsh)的分类计算机访问控制技术最早产生于20世纪60年代(nindi)，目前主要有3种访问控制技术：自主访问控制（Discretionary Access Control，DAC）强制访问控制（Mandatory Access Control，MAC）基于角色的访问控制（Role Based Access Control，RBAC）共五十页2、基于(jy)角色的访问控制（RBAC）传统的访问控制技术都是由主体和访问权限直接发生关系。随着信息系统的不断发展，当主体和客体的数量都非常巨大时，传统访问控制技

25、术已经不能胜任复杂的授权(shuqun)管理的要求。在这种情况下，基于角色的访问控制（RBAC）逐渐获得重视并得到广泛应用。NIST认为RBAC将成为DAC和MAC的替代者。共五十页RBAC的基本原理RBAC的核心思想就是把访问权限和角色相联系通过给用户分配合适的角色，让用户和访问权限相关联。角色是根据企业内为完成(wn chng)各种不同的任务需要而设置的，根据用户在企业中的职权和责任来设定他们的角色。用户可以在角色间进行转换，系统可以添加、删除角色，也可以对角色的权限进行添加和删除等操作。通过应用RBAC，可以将安全性放在一个接近组织结构的自然层面上进行管理。共五十页RBAC的基本原理（续）RBAC包括用户（user）、角色（role）和权限（permission）三个实体:RBAC0: 基本模型(mxng)RBAC1: 增加角色层次RBAC2: 增加约束RBAC3: RBAC1+RBAC2roles(R)permiss-ions (P)users(U)Role Hierarchy (RH)User Assignment (UA)PermissionAssignmen