信息安全系统工程认证技术

1、零、认证认证（Authentication）是防止主动攻击的重要技术, 对于开放环境中各种信息系统的安全有着重要作用认证的主要目的：验证消息来自意定的、真实的发送者；验证消息的完整性，在传送或存储过程中未被篡改、重放或延迟等；提供不可否认性。认证采用的主要技术报文鉴别（Message authentication）数字签名（Digital signature）身份识别（Identity verification）一、散列列函数1、散列函函数概况况2、常用散列函数数1、散列函数（Hash函数）概概况散列函数数以一个个变长的报文M作为输入入，产生生一个定长的输出（散列码码）的函数，可记为为h =H

2、(M)（|M|h|)散列函数数的目的的是为文文件、报报文或其其他分组组数据产产生“指纹”，常用于报文鉴别别和数字签名名散列函数数是一个个多对一的函数因此在理理论上，必定存存在不同同的报文文对应同同样的散散列，但但这种情情况在实实际中必必须不可能出出现(计计算上不不可行)散列函数数本身不是保密密的散列函数数没有密密钥的参参与，散散列值仅仅仅是报报文的函函数散列函数的的需求1、H能用于任意长度度的数据分分组；2、H产生定长的输出；3、对任任意给定定的X，H(X)要容易计算算；4、对任任何给定定的h，寻找x使得H(x)=h，在计算上上不可行行（单向特性性）；5、对任任意给定定的分组组x，寻找不等等于

3、x的y，使得H(x)=H(y),在计算上上不可行行（弱抗碰撞撞）；6、寻找找任意的的一对分分组(x，y)，使得H(x)=H(y)，在计算上上不可行行（强抗碰撞撞）。散列函数数的有效效安全级级别假设散列列函数的的输出为为m比特，可可以将其其抗各种种攻击的的有效安安全级别别表示为为：这意味着着安全散散列函数数的输出出长度有有一个下下界：40bit的散列长长度将非非常不安安全：因因为仅仅仅在220100万万个随机机的散列列值中就就有50%的的概率率发现一一个碰撞撞。一般建议议最小的的报文散散列的长长度为128bit，实际中常常采用160bit。单向2m弱抗碰撞2m强抗碰撞2m/22、常用散散列函数数

4、1、MD5算法MD5的散列码码只有128比比特,其其对抗抗生日攻攻击的有有效级是是264，从现在在的角度度看太小，安全性性不够。2、SHA-1算法SHA（安全散列列算法）由NIST在1993年公公布（FIPS PUB180），并在1995年年进行了了修订，称为SHA-1（FIPSPUB180-1）；算法产生160比特特的散列列码；SHA-1是目前首首选的散散列算法。常用散列列函数演示输入字符串：“12345678”25D55AD283AA400AF464C76D713C07AD7C222FB2927D828AF22F592134E8932480637C0DMD5SHA-1输入文件（1.4G）：

5、The.Imitation.Game.2014.mp4MD5SHA-1A3DD6A05AD84FB733ECB01EFA275002F93F661DAB2E912AF2802F1BB32BB527739F63107二、报文文鉴别1、概述2、利用单单钥加密密实现鉴鉴别3、报文鉴鉴别码(MAC)4、带密钥钥的散列列函数1、概述报文鉴别别的主要要用途保证消息息的完整性；保证消息息来源的的可靠性；报文鉴别别的主要要方法报文加密密:以整个报报文的密密文作为为它的鉴鉴别符;报文鉴别别码（MAC）:以一个报报文的公公共函数数和用于于产生一一个定长长值的密密钥作为为鉴别符符;带密钥的的散列函函数（HMAC）：

6、将秘秘密因素素引入原原始报文文，然后后对其进进行散列列，并将将散列函函数的结结果作为为鉴别码码。2、利用单单钥加密密实现鉴鉴别报文加密密本身可可以提供供一定程程度的鉴鉴别能力力如果采用用常规加加密，则则1）接收方方知道报报文一定定是由发发送方创创建的，因为创创建该报报文对应应的密文文的密钥钥只有发发送方和和接收方方所共享享；2）并且(加密后的的)报文的内内容没有有被篡改改过，如如果报文文的内容容(密文)被篡改，则解密密后无法法恢复原原始的合合法报文文(明文)。报文的内内部结构构为了增强强鉴别能能力，最最好能使使原始的的报文(明文)具有某种种结构，这样在在接收端端可以通通过验证证这种结结构，来来

7、确定报报文是否否被篡改改。利用单钥钥加密实实现鉴别别发送方接收方3、报文鉴鉴别码报文鉴别码（MessageAuthenticationCode，MAC）是一个定长的数据分分组，它它是报文和一一个密钥钥的函数数：MAC=Ck(M)如果收发发双方共共享一个个密钥，则1、发送端发送报文文时，可可计算报报文的MAC，并将其其附在报报文后一一起传送。2、接收端采用相同的算算法和密密钥，对对收到的的报文进进行同样样的计算算，产生生新的MAC,如果新的的MAC和收到的的MAC相同，则则收端可可以确信信：1）报文没没有被更更改过（包括括外界的干干扰和人人为篡改）；2）报文来来自意定定的发送送者。利用MAC保证

8、数据据完整性性的原理理数据发送方，如调度系统数据接收方，如被控站攻击者（不知道收发双方当前的密钥 K），试图篡改报文事先共享密钥 K在网络上传输的报文，如调度命令采用对称称加密算算法产生生MAC可以将任任何工作作于CBC模式的常规分组组算法作为MAC函数，并并将CBC的最后一一个分组组当作MACDAA（DataAuthenticationAlgorithm）算法该算法是是使用最最广的MAC函数(FIPSPUB113,ANSI X9.17)，基于DES-CBC模式；算法步骤骤：1）取IV=0,并将报文文最后一一个分组组用0填充成64比特；2）采用DES的CBC模式加密密报文；3）抛弃加加密的中中

9、间结果果，只将将最后一一组密文文（或最最后一组组密文的的左边M (16M64)比特）作作为MAC；从目前的的角度看看，64比特的MAC长度较小小产生MAC的DAA算法4、带密钥钥的散列列函数目前，构构造MAC方法的研研究热点点已经从从分组密密码(FIPSPUB113)转向散列函数数散列函数数的执行行速度比比分组密密码快；散列函数数没有出口口限制。标准的散散列函数数并不依赖赖于密钥，因因此不能直接接用于MAC，必须将将密钥和和现有的的散列函函数结合合起来当前获得得广泛采采用的方方案是HMAC（RFC2104）HMACHMAC（RFC2104）作为IPSEC中强制实实行的MAC，同时也也被其他他的

10、Internet协议（如如SSL）使用HMAC的设计目目标：1）无需修修改地使使用现有有的散列列函数；2）当出现现或获得得更快或或更安全全的散列列函数时时，对算算法中嵌嵌入的散散列函数数要能轻轻易地进进行替换换；3）保持散散列函数数的原有有性能,不会导致致算法性性能降低低；4）使用和和处理密密钥的方方式很简简单；5）基于对对嵌入散散列函数数合理的的假设，对鉴别别机制的的强度有有一个易易懂的密密码编码码分析。HMAC的结构HMAC的结构（续续）HMAC的计算HMACK= Hash(K+XORopad) |Hash(K+XORipad) | M)K+是对密钥钥K填充生成成的b比特的串串opad,i

11、pad是特定的的填充常常量HMAC增加了三三个散列列压缩函函数HMAC适用于MD5, SHA-1,RIPEMD-160等各种散散列函数数三、数字字签名1、概述2、RSA数字签名名3、数字签签名标准DSS1、概述普通的报报文鉴别别能用来来保护通通信双方方免受任何第三三方的攻击，然然而，它它无法防止止通信双双方互相相攻击。假定A发送一个个经过鉴鉴别的消消息给B，双方之之间的争争议可能能有多种种形式：1）B伪造一个个不同的的消息，但声称称是从A收到的。2）A可以否认认发过该该消息，B无法证明明A确实发了了该消息息。解决以上上问题可可以用数字签名名中华人民民共和国国电子签签名法已于2004年8月28日

12、第十届届全国人人民代表表大会常常务委员员会第十十一次会会议通过过，自2005年4月1日起施行行 。对数字签签名的要要求1、签名必必须依赖赖于要签签名报文文的比特特模式2、签名必必须使用用对发送送者来说说是唯一一的信息息以防止伪伪造和抵抵赖3、伪造一一个数字字签名在在计算上上是不可可行的包括“根根据已有有的数字字签名来来构造新新报文”，以及及“对给给定的报报文构造造一个虚虚假的数数字签名名”。4、数字签签名的产产生必须须相对简简单5、数字签签名的识识别和证证实必须须相对简简单数字签名名的定义义一个数字字签名方方案是一一个5 元组组（P，A，K，S，V），它满满足下列列条件P是所有可能能消息的的有

13、限集集；A是所有可能能签名的的有限集集；K是所有可能能密钥的的有限集集；数字签名名的定义义(续)对每一个kK，有一个签名算法法sigkS和一个相相应的验证算法法verkV，对每一个个消息xP和每一个个签名yA，每一个个sigk: PA和verk: PA真,假 都是是满足下下列条件件的函数数： 对每一个个kK，sigk和verk应该是多项式时时间函数数；其中verk是一个公开函数数，sigk将是一个个秘密函数数，对一个给给定的x，只有签名者能能计算签签名y，满足verk(x,y)=真。2、RSA签名方案案1、密钥产产生设n =p* q，p和q是素数，P=A=Zn，定义K=(n,p,q,a,b):

14、a*b1(mod(n)，其中n和b公开(公钥)，p、q、a保密(私钥)。2、签名算法（利利用私钥钥a，是保密密的）y sigk(x)xa(mod n)3、验证算法（利利用公钥钥b，是公开开的）verk(x,y)=true当且仅当当xyb(mod n)数字签名名和散列列函数在实际应应用中，数字签签名几乎总是是和散列函函数结合使用用签名时，签名者者完成如如下工作作1）按如下下步骤计计算消息息x的签名yx (消息) z=h(x)(摘要) y=sigk(z)2）将(x,y)传给验证证者。验证者收收到(x,y)后，完成成如下工工作1）通过公公开的hash函数h重构消息息摘要z=h(x);2）检查verk

15、(z,y)=true?3、数字签签名标准准DSSDSS：Digital SignatureStandard；数字签名名标准DSS（Digital SignatureStandard）是NIST公布的联邦信信息处理理标准FIPS PUB186,最早发表表于1991年，随后后在1993年和1996年进行了了一些修改。DSS使用了安全散列列算法SHA和数字签名名算法DSA。DSS的处理流流程签名者验证者四、身份份证明1、概述2、通行字字(口令)身份证明明3、一次性性口令1、概述身份证明明是指在在两方或或多方参参与的信信息交互互中，参参与者中中的一方对其其余各方（自称的或未说说明的）身份的判断与与确认

16、。身份证明明还可进进一步分分类为身份验证证（IdentityVerification）和身份识别别（IdentityRecognition）身份验证证工作的的条件包包括被验证者者个人的的（自称称的）“身份”及作为该“身份”凭据的的个人信信息；身份识别别工作的的条件只有被识识别者的的个人信信息，及一个个群体的的个人信信息数据据库，被被识别者者很可能能属于该该群体。实现身份份证明的的途径实现身份份证明的的途径所知：密钥、口令等等；所有：身份证、护照、信用卡卡、钥匙匙等；个人特征征：指纹、笔迹、声纹、手型、血型、视网膜膜、虹膜膜、DNA等（生物物识别）；你做的事事情：如手写写签名和步步态识别别等。双

17、因素认认证同时使用用上面的的两种途途径进行行证明，如：口口令+智能卡。2、通行字字(口令)身份证明明通行字（也称口口令）身身份验证证协议是信息系系统中一种使使用最为为广泛的的身份验验证协议协议涉及若干干示证者者（P）和唯一的的验证者者（V）最简单的的通行字字身份验验证协议议可以是是“one-pass”协议即整个过程程中只需需要由示示证者P向验证者者V传送一次次消息，其内容容是示证者P的身份标标识ID（identity）和通行行字PW（password）。（ID，PW）数据对对中的ID一般事先先由验证证者V为示证者者P分配以保保证其唯唯一性，数据对对中的PW则可由示示证者P产生后提提交给验验证者

18、V保存，或或由验证证者V为示证者者P分配并由由V保存。口令认证证基本协协议1、PV：IDp；2、VP：提示P “输入口令令”；3、PV：PWp；4、V从其口令令文档中中找出记记录(IDp,PWp)，如果接接收的PWp与记录中中的匹配配，就允允许访问问。基于散列列函数的的口令方方案在该方案案中，验验证者V存储口令令的散列列值而不不是原始始口令例如：如采用用MD5，则口令令123456在验证者处处存储为MD5(123456)，即E10ADC3949BA59ABBE56E057F20F883E用下述协协议完成成鉴别：1）示证者者P将他的口口令传送送给验证证者V；2）验证者者V完成口令令的散列列函数计

19、计算；3）验证者者V把散列函函数的运运算结果果和它以以前存储储的值进进行比较较。由于验证证者不再再存储示示证者的的实际口口令，所所以攻击击者侵入入验证者者计算机机，并偷偷取口令令的威胁胁就减少少了因为由口口令的散散列值生生成口令令是不可可能的。常用通行字字典验证者采用的变换函数验证者存储的经过变换的口令表计算结果寻找匹配字典攻击击（撞库库）字典攻击击（dictionary attack）是将大批批可能的的通行字字经目标标系统采采用的单单向函数数变换后后与窃取取的目标标系统中中的加密密通行字字表比较较，以寻寻找匹配配者。由于人们们在选择择通行字字时，通通常会选选择一些些自己容容易记忆忆的、随随机

20、性不不好的字字符串，这就有有可能出出现在攻攻击者选选择的“常用通通行字字字典”中中，从而而被发现现。3、一次性性口令一次性口口令（One-timePassword，OTP）方案可可以抵御御重放攻攻击，其其实现形形式包括括：1）共享的的一次性性口令表表：验证者和和示证者者共享一一张秘密密口令表表，每个个口令只只用一次次。2）按序修修改的一一次性口口令：初始时验验证者和和示证者者只共享享一个秘秘密口令令，当使使用第i个口令进进行认证证时，示示证者产产生第i+1个口令，并用第第i个口令作作为密钥钥进行加加密，然然后传送送给验证证者。3）基于单单向函数数的一次次性口令令：这种方案案是由当当前的口口令隐

21、含含地确定定下一个个口令，如S/Key一次性口口令协议议，是目目前最常常用的动动态一次次性口令令协议。4）基于TAN(TransactionAuthenticationNumber)的一次性性口令：交易中除除了静态态口令外外，还要要求示证证者输入入一个一一次性验验证码（即TAN），这个个验证码码一般通通过短信信形式发发送给示示证者。五、访问问控制1、访问控控制概述2、基于角角色的访访问控制制1、访问控控制概述述如果说身身份认证证解决了了用户“是谁”的问题题，那么么用户“能做什什么”就就是由访访问控制制技术决决定的。访问控制制（AccessControl）是国际标标准化组组织定义义的5项标准安安

22、全服务务之一，是实现现信息系系统安全全的重要要机制。用户在访问信息息系统时时，1）首先经过身份份认证模块块识别身身份；2）然后访访问控制制模块根根据用户的身身份和授授权数据据库决定定用户是是否能够够访问某某个资源源。访问控制制的基本本概念访问控制制是实现既定定安全策策略的系系统安全全技术，目标是是防止对对任何资资源进行行非授权权访问所谓非授授权访问问包括未未经授权权的使用用、泄漏漏、修改改、销毁毁和颁发发指令等等。访问控制制系统一一般包括括：主体（Subject）：发出访访问操作作、存取取要求的的主动方方，通常常指用户户或用户户的某个个进程；客体（Object）：主体试试图访问问的资源源，包括

23、括硬件资资源（如如CPU、内存、打印机机等）和和软件资资源（如如进程、文件、数据库库记录等等）；安全访问问策略：一套规规则，用用于确定定一个主主体是否否对客体体拥有访访问能力力。访问控制制系统示示意图发起者：即主体；目标：即客体；访问控制制执行功功能（Accesscontrolenforcementfunction，AEF）：负责责建立发发起者和和目标之之间的通通信桥梁梁，它必必须依照照ADF的授权查查询指示示来实施施上述动动作；访问控制制决策功功能（Accesscontroldecisionfunction）：依据据安全访访问策略略对发起起者提出出的访问问请求进进行判决决，是访访问控制制的核

24、心心。发起者（主体）访问控制执行功能AEF目标（客体）提交访问请求执行访问请求访问控制决策功能ADF决策请求决策结果访问控制制技术的的分类计算机访访问控制制技术最最早产生生于20世纪60年代，目目前主要要有3种访问控控制技术术：自主访问问控制（Discretionary AccessControl，DAC）强制访问问控制（MandatoryAccess Control，MAC）基于角色色的访问问控制（Role Based AccessControl，RBAC）2、基于角角色的访访问控制制（RBAC）传统的访访问控制制技术都都是由主主体和访访问权限限直接发发生关系系。随着信息息系统的的不断发发展，当当主体和和客体的的数量都都非常巨巨大时，传统访访问控制制技术已已经不能能胜任复复杂的授授权管理理的要求求。在这种情情况下，基于角角色的访访问控制制（RBAC）逐渐获获得重视视并得到到广泛应应用。NIST认为RBAC将成为DAC和MAC的替代者者。RBAC的基本原原理RBAC的核心思思想就是是把访问权限限和角色相联系通过给用用户分配配合适的的角色，让用户户和访问问权限相相关联。角色是根根据企业业内为完完成各种种不同的的任务需需要而设设置的，根据用用户在企企业中的的职权和和责任来来设定他他们的角角色。用户可以以在角色色间进行