计算机系统与网络安全：第3章 密码学基础

2022/11/2访问控制身份认证数字签名消息认证第3章密码学基础密码算法密钥管理2022/11/2访问控制身份认证数字签名消息认证第3章密码学基础密码算法密钥管理2022/11/2密码算法分类密码算法基于密钥保密性基于算法保密性基于保密的内容对称密码算法非对称密码算法分组密码算法流密码算法明文处理方法密码算法对称密码学：DES－》AES非对称密码学：RSA－》ECC2022/11/2DES2022/11/2RSA算法概要：Bob选择保密的素数p和q，并计算n=pq；Bob通过gcd(e,(p-1)(q-1))=1来选择e；Bob通过de≡1(mod(p-1)(q-1))来计算d；Bob将n和e设为公开的，p、q、d设为秘密的；Alice将m加密为c≡me(modn)，并将c发送给Bob；Bob通过计算m≡cd(modn)解密。2022/11/2RSA:例1选择两个素数:p=17&q=11计算

n=pq=17×11=187计算ø(n)=(p–1)(q-1)=16×10=160选择e:gcd(e,160)=1;其中e=7计算d:de=1mod160且d<160，则d=23（因为23×7=161=10×160+1）公布公钥KU={7,187}保存私钥KR={23,17,11}2022/11/2RSA:例1（续）如果待加密的消息M=88(注意：88<187)加密：C=887mod187=11解密:M=1123mod187=882022/11/2RSA:例2Bob选择p=885320693，q=238855417，则可以计算

n=p*q=211463707796206571，设加密系数为e=9007，将n和e发送给Alice。假设Alice传递的信息是cat。令a=01c=03t=20，则cat=030120=30120。

Alice计算：c≡me≡301209007≡113535859035722866(modn)

她将c传给Bob。2022/11/2RSA:例2（续）Bob已知p和q的值，他用扩展欧几里德算法计算d：

de≡1(mod(p-1)(q-1))，得到

d=116402471153538991

然后Bob计算：

cd≡113535859035722866116402471153538991≡30120(modn)

由此他可以得到最初的信息。2022/11/2AES算法概要：明文Xir轮迭代密文Y子密钥K0

（a）AES算法框图Xi-1字节代替BS行移位SR列混合MCXiKi-1（b）一轮AES结构AES的设计原则：能够抵御已知攻击、硬件实现容易且速度快、设计简单2022/11/2ECCECC:EllipticCurveCryptography1985年，N.Koblitz及V.S.Miller分别提出了椭圆曲线密码体制（ECC）。已经开发出的椭圆曲线标准的文档有：IEEEP1363P1363a、ANSIX9.62X9.63、ISO/IEC14888等。近年来，ECC已走向工程实现和实际应用阶段。目前，德国、日本、法国、美国、加拿大等许多西方国家的密码学研究小组和公司已经实现了椭圆曲线密码体制。2022/11/2ECC（续）为什么要提出ECC？RSA主要问题之一：为了保证必要的安全强度，其密钥必须很长ECC的优势：在同等安全强度下，ECC所需密钥比RSA短2022/11/2ECC（续）椭圆曲线指的是由韦尔斯特拉斯（Weierstrass）方程所确定的平面曲线。其中，系数（i=1，2，…，6）定义在基域K上（K可以是有理数域、实数域、复数域，还可以是有限域，椭圆曲线密码体制中用到的椭圆曲线都定义在有限域上）。椭圆曲线并非椭圆2022/11/2ECC（续）群：对于非空集合G，其上的一个二元运算（.）满足：封闭性、结合率、单位元和可逆性环：对于R上的两个二元运算（+，x）满足：关于＋是一个交换群（群的条件＋交换率）对于乘法x满足：封闭性＋结合率＋分配率域：对于F上的两个运算（+，x）满足F是一个整环：交换环＋乘法逆元＋无零因子乘法逆元存在2022/11/2ECC（续）2022/11/2ECC（续）椭圆曲线加法运算规则：O是加法的单位元，O＝－O；对于椭圆曲线上的任一点P，有P＋O＝P点P的负元是与P具有现同x坐标和相反y坐标的点，即若P＝（x，y），则-P＝（x，-y）；P＋（P)=O若P＝（x1，y），Q＝（x2，z），则P＋Q＝－R。其中R是直线PQ与椭圆曲线的第三个交点。若P和Q的x坐标相同，则为无穷远点O若Q＝（x，y），则Q＋Q＝2Q＝－S，其中S为椭圆曲线在Q点的切线与椭圆曲线的另一交点。2022/11/2ECC（续）有限域上椭圆曲线 y2x3+ax+bmodpp是奇素数,且4a3+27b20modp（构成Abel群的条件，证明过程略） y2+xyx3+ax2+bmod2m(Galois域的椭圆曲线）2022/11/2ECC（续）有限域上椭圆曲线 y2x3+ax+bmodp

（3）加法公式:P=(xp,yp),Q=(xQ,yQ)若xP=xQ且yP=-yQ则P+Q=O否则P+Q=(xR,yR)xR=2-xP-xQyR=(xP-xR)-yP其中=(yQ-yP)/(xQ-xP),如果PQ=(3xP2+a)/（2yP），如果P=Q（1）P+O=P（2）P=(x,y)P＋(x,y)=O其中（x,-y)是P的负元－P(4)重复相加：nP=P+…+P按照上述定义构成了一个椭圆曲线上的Abel群2022/11/2ECC（续）示例：有限域上椭圆曲线

y2x3+ax+bmodp条件：a=1,b=1,x=9,y=7,p=23y2

=72mod23=3x3+ax+b=(93+9+1)mod23=3y2x3+ax+bmodp2022/11/2ECC示例示例：有限域上椭圆曲线

y2x3+ax+bmodp条件：a=1,b=1,x=9,y=7,p=23问题：求满足上述方程的所有整数对（x，y）以及无穷远点O组成的集合Ep（a，b）＝E23（1，1）？2022/11/2ECC示例（续）(0,1)(6,4)(12,19)(0,22)(6,19)(13,7)(1,7)(7,11)(13,16)(1,16)(7,12)(17,3)(3,10)(9,7)(17,20)(3,13)(9,16)(18,3)(4,0)(11,3)(18,20)(5,4)(11,20)(19,5)(5,19)(12,4)(19,18)E23（1，1）2022/11/2ECC示例（续）(0,1)(6,4)(12,19)(0,22)(6,19)(13,7)(1,7)(7,11)(13,16)(1,16)(7,12)(17,3)(3,10)(9,7)(17,20)(3,13)(9,16)(18,3)(4,0)(11,3)(18,20)(5,4)(11,20)(19,5)(5,19)(12,4)(19,18)E23（1，1）1）P＝（0，1），P+O＝（0，1）2）P＝（13，7）

-P=（13，-7）=(13,16)3）P＝（3，10），Q＝（9，7）

P+Q=(17,20)4）P＝（3，10）

2P=(7,12)2022/11/2ECC示例（续）P＋Q计算过程：x3=2-x1-x2y3=(x1-x3)-y1其中=(y2-y1)/(x2-x1),如果PQ=(3x12+a)/2y1,如果P=Q2022/11/2ECC（续）有限域上椭圆曲线y2+xyx3+ax2+bmod2m(Galois域的椭圆曲线）（3）加法公式:P=(xP,yP),Q=(xQ,yQ),且P≠-Q,P≠Q则P+Q=(xR,yR)xR=2++xP+xQ+ayR=(xP+xR)+xR+yP其中=(yQ+yP)/(xQ+xP)（1）P+O=P（2）P=(x,y)P＋(x,-y)=O其中（x,-y)是P的负元－P(4)若P=(xP,yP),则R＝2P=(xr,yr)其中：xR=2++ayR=xP2+(+1)xR=xp+yp/xP按照上述定义构成了一个椭圆曲线上的Abel群2022/11/2ECC（续）椭圆曲线上的离散对数“难题”对于方程Q=kP,其中P，Q属于Ep(a,b)。对于给定的k和P，计算Q比较容易，而对于给定的P和Q，计算k比较困难例如：方程y2=(x3+9x+17)mod23所定义的群E23(9,17)。求：P＝（16，5）和Q＝（4，5）的离散对数k？穷举计算：P＝（16，5），2P＝(20,20),3P=(14,14)，4P＝（19，20），5P＝13，10）；6P＝（7，3），7P＝（8，7），8P＝（12，17），9P＝（4，5）因此k＝92022/11/2ECC加密/解密实现Alice->BobStep1：Bob选择Ep(a，b)的元素G，使得G的阶n是一个大素数,秘密选择整数k.计算P=kG,公开(p，a，b，G，P)，保密k。其中Kb＝kG为Bob公钥，Kb‘＝k为Bob私钥Step2：将消息m编码为x-y形式的点PmStep3：Alice随机选择一个正整数r，对Pm产生密文Cm＝{rG，Pm＋rKb}Step4：Bob解密Cm-Kb’(rG)=Pm+rKb-krG=Pm+r(kG)-rkG=Pm2022/11/2ECC加密/解密实现（续）Alice->Bob(示例）Step1：Bob选择E88331(3，45)，G＝(4,11),Bob私钥Kb‘＝K=3,Bob公布公钥Kb＝(413,1808)Step2：Pm=(5,1734)

Step3：Alice随机选择一个正整数r=8，对Pm产生密文:Cm＝{rG，Pm＋rKb}={(5415,6321),(6626,3576)}Step4：Bob解密Kb’(rG)=3(5415,6321)=(673,146)Cm-Kb’(rG)=(6626,3576)-(673,146)=(5,1734)2022/11/2序列密码按位处理消息一般具有一个伪随机密钥流发生器对明文按位进行异或运算(XOR)以随机的密钥流来破坏消息的统计特征Ci=MiXORStreamKeyi

2022/11/2序列密码（续）同步流密码原理密钥流生成器密钥流生成器加密变换解密变换安全信道公开信道种子密钥k种子密钥k密钥流Ki密钥流Ki明文m密文c密文c明文m2022/11/2序列密码（续）自同步流密码原理密钥流生成器密钥流生成器加密变换解密变换安全信道公开信道种子密钥k种子密钥k密钥流Ki密钥流Ki明文m密文c密文c明文m2022/11/2序列密码：RC4RC：“RC”isRon’sCodeorRivestCipher1987年RonRivest为RSA公司所设计的流密码算法可变密钥长度的、面向字节操作的流密码：8～2048位可变1994年算法才公开在SSL/TLS和IEEE802.11无线网络中有广泛应用：WEP协议2022/11/2序列密码：RC4（续）用从1到256个字节的可变长度密钥初始化矢量S：0..255，S[0],S[1],…,S[255]S形成了算法的内部状态密钥流字节K由S中255个元素按照一定方式选出一个元素来生成每生成一个K，S中的元素就被重新置换一次RC4初始化2022/11/2序列密码：RC4（续）初始化S初始条件：密钥种子Key[],密钥初始化向量S初始化S：S中元素被置为按升序从0到255：S[0]=0,S[1]=1,…,S[255]=255建立一个临时矢量K如果密钥种子Key的长度为256字节，则将Key赋值给K；否则将K的值赋给K的前N个元素（N为密钥长度），循环重复用Key的值赋给K剩下的元素,直到K的所有元素都被赋值然后用K产生S的初始置换从S[0]到S[255]，对每个S[i]，根据由K[i]确定的方案，将S[i]置换为S中的另外一个字节由于对S的操作仅是交换（即置换），因此S仍然包含所有值为0到255的元素密钥生成2022/11/2序列密码：RC4（续）Input：Key[],N=len(key)Output:S[]/*密钥流初始值*//*Array“key”containsNbytesofkey*//*Array“S”alwayshasapermutationof0,1,…,255*/ fori=0to255 S[i]=i K[i]=key[i(modN)] nexti j=0 fori=0to255 j=(j+S[i]+K[i])mod256 swap(S[i],S[j]) nexti2022/11/2序列密码：RC4（续）密钥流KeyStramByte的生成是从S[0]到S[255]，对每个S[i]，根据当前S的值，将S[i]与S中另外一个字节置换当S[255]完成置换后，操作继续重复加密：将KeyStreamByte值与下一个明文字节异或解密：将KeyStreamByte值与下一个密文字节异或加密与解密2022/11/2序列密码：RC4（续）Input：M,S[]Output:Ci＝j＝0foreachmessagebyteMii=(i+1)mod256j=(j+S[i])mod256swap(S[i],S[j])t=(S[i]+S[j])mod256KeyStreamByte=S[t]Ci=MiXORKeyStreamByteNextC=C1|C2|…|Cn

2022/11/2序列密码：RC4（续）对已知的密码分析很安全有很多攻击分析，但不是很实际结果非线性绝对不能重复使用密钥在无线保密协议（WEP）中使用，但是有潜在的安全问题RC4安全性2022/11/2访问控制身份认证数字签名消息认证第3章密码学基础密码学算法密钥管理2022/11/2MessageAuthenticationMessageAuthentication：报文鉴别（消息认证，消息鉴别）Message：消息、报文。Authentication：鉴别、认证。认证：消息的接收者对消息进行的验证真实性：消息确实来自于其真正的发送者，而非假冒；完整性：消息的内容没有被篡改。是一个证实收到的消息来自可信的源点且未被篡改的过程。它也可以验证消息的顺序和及时性2022/11/2消息认证概念三元组（K,T,V)密钥生成算法K标签算法T验证算法V攻击者信宿信源认证编码器认证译码器信道安全信道密钥源TVK2022/11/2认证函数鉴别编码器和鉴别译码器可抽象为认证函数认证函数产生一个鉴别标识（AuthenticationIdentification）给出合理的认证协议(AuthenticationProtocol)接收者完成消息的鉴别（Authentication）2022/11/2认证函数分类认证的函数分为三类：消息加密函数(Messageencryption)用完整信息的密文作为对信息的认证。消息认证码MAC(MessageAuthenticationCode)是对信源消息的一个编码函数。散列函数(HashFunction)是一个公开的函数，它将任意长的信息映射成一个固定长度的信息。2022/11/2认证函数：加密函数MEKEK(M)DMK提供保密提供认证不提供签名BobAlice对称加密：保密性与认证2022/11/2认证函数：加密函数（续）公钥加密：保密性MEKaEKa(M)DMK’a提供保密不提供认证BobAlice2022/11/2认证函数：加密函数（续）公钥加密：认证与签名MDK’bEK’b(M)EMKb提供认证BobAlice2022/11/2认证函数：加密函数（续）公钥加密：保密、认证与签名MDKaEKa(Dk’b(M))DK’a提供认证提供保密性EK’bDk’b(M)Dk’b(M)EKbMBobAlice2022/11/2认证函数：加密函数（续）公钥加密：保密、认证与签名??MEK’bEK’b(Eka(M))EKb提供认证提供保密性DKaEa(M)Eka(M)DK’aMBobAlice2022/11/2认证函数：消息认证码消息认证码：使用一个密钥生成一个固定大小的短数据块，并将该数据块加载到消息后面，称MAC（或密码校验和）

MAC＝Ck（M）MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少2022/11/2认证函数：消息认证码（续）MAC的基本用法：消息认证AliceBobM||KCK(M)CKCM比较提供认证2022/11/2认证函数：消息认证码（续）MAC的基本用法：与明文有关的认证M||K1CK(M)CK2CM比较EK2MDK1MAliceBob提供认证提供保密2022/11/2认证函数：消息认证码（续）MAC的基本用法：与密文有关的认证M||K1CK1(Ek2(M))CCM比较EK2K1提供认证提供保密MMDK2BobAliceEk2(M)2022/11/2认证函数：Hash函数HashFunction哈希函数、摘要函数输入：任意长度的消息报文M输出：一个固定长度的散列码值H(M)是报文中所有比特的函数值单向函数2022/11/2认证函数：Hash函数（续）根据是否使用密钥带秘密密钥的Hash函数:消息的散列值由只有通信双方知道的秘密密钥K来控制。此时，散列值称作MAC。不带秘密密钥的Hash函数：消息的散列值的产生无需使用密钥。此时，散列值称作MDC。Hash函数需满足以下条件：输入x可以为任意长度，输出为固定长度正向计算容易，反向计算困难抗冲突性(无冲突性）2022/11/2认证函数：Hash函数（续）哈希函数的基本用法（a）M||H(M)HKHM比较EKMDMBobAlice提供认证提供保密EK(M|H(M))2022/11/2认证函数：Hash函数（续）哈希函数的基本用法（b）M||KEK(H(M))HHM比较EDBobAlice提供认证K2022/11/2认证函数：Hash函数（续）哈希函数的基本用法（c）M||K’bDK’b(H(M))HHM比较DEBobAlice提供认证Kb2022/11/2认证函数：Hash函数（续）哈希函数的基本用法(d)M||KDK’b(H(M))HHM比较EDBobAlice提供认证提供保密KMMDK’bEKbEk(M|DK’b(H(M))2022/11/2认证函数：Hash函数（续）哈希函数的基本用法（e）M||H(M||S)||HM比较BobAlice提供认证SS||H2022/11/2认证函数：Hash函数（续）哈希函数的基本用法（f）M||H(M||S)||KHM比较EKMDMBobAlice提供认证提供保密EK(M||H(M||S)SS||H2022/11/2访问控制身份认证数字签名消息认证第3章密码学基础密码学算法密钥管理2022/11/2数字签名数字签名：DigitalSignature传统签名的基本特点签名是可信的：能与被签的文件在物理上不可分割签名是不可抵赖的：签名者不能否认自己的签名签名不能被伪造：除了合法者外，其他任何人不能伪造其签名签名是不可复制的：对一个消息的签名不能通过复制的方式变为另外一个消息的签名签名是不可改变的：经签名的消息不能被篡改容易被验证数字签名是传统签名的数字化能与所签文件“绑定”签名者不能否认自己的签名容易被自动验证签名不能被伪造2022/11/2数字签名（续）五元组(P,A,K,S,V)P是所有消息组成的有限集A是所有可能的签名组成的有限集K是所有可能的密钥组成的有限集S签名算法D验证算法2022/11/2数字签名（续）可分为两类：直接数字签名方案（directdigitalsignature）；基于仲裁的数字签名方案（arbitrateddigitalsignature）。2022/11/2直接数字签名Sa（M）Eb(Sa(M))M，Sa(H(M))Eb(M，Sa(H(M)))MMSH（M）Ek（H）MDk（H）HHH比较Alice(A)Bob(B)直接签名Alice(A)Bob(B)加密＋签名Alice(A)Bob(B)Hash＋签名Alice(A)Bob(B)加密＋签名＋HashHash＋签名2022/11/2仲裁数字签名Alice(A)Bob(B)Trent(T)M,Eat(IDa,H（M))Ebt(IDa,M,Eat(Ida,H(M)),T))Alice(A)Bob(B)Trent(T)Eab(M),Eat(IDa,Eab(H(M)))Ebt(IDa,Eab(M),Eat(Ida,Eab(H(M),T)Alice(A)Bob(B)Trent(T)Ida，Sa(Ida，Eb（Sa（M）））St（IDa，Eb（Sa（M）），T）对称密码＋明文传送对称密码＋密文传送公钥密码＋密文传送2022/11/2数字签名体制普通数字签名体制

RSAEIGamal

DSS/DSA不可否认的数字签名算法群签名算法盲签名算法DSS签名算法我们在后续课程中讲述2022/11/2数字签名体制（续）盲签名算法Alice(A)Bob(B)t=mkemodntd=(mke)dmodn2022/11/2访问控制身份认证数字签名消息认证第3章密码学基础密码学算法密钥管理2022/11/2身份认证身份认证的定义：声称者向验证者出示自己的身份的证明过程证实客户的真实身份与其所声称的身份是否相符的过程身份认证又叫身份鉴别、实体认证、身份识别认证目的：

使别的成员（验证者）获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关卡。2022/11/2身份认证（续）身份认证可以分为本地和远程两类。本地：实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。远程：连接远程设备、实体和环境的实体鉴别。实体鉴别可以是单向的也可以是双向的。

单向认证是指通信双方中只有一方向另一方进行鉴别。双向认证是指通信双方相互进行鉴别。2022/11/2身份认证（续）身份认证系统的组成：认证服务器认证系统用户端软件认证设备认证协议示证者可信第三方验证者APAPAP攻击者2022/11/2身份认证协议常见的协议PAPCHAPKerberosX.5092022/11/2身份认证依据主要依据包括三个方面：Somethingtheuserknow(所知）密码、口令等Somethingtheuserpossesses（拥有）身份证、护照、密钥盘等Somethingtheuseris(orHowhebehaves)指纹、笔迹、声音、虹膜、DNA等2022/11/2身份认证机制认证机制非密码的鉴别机制基于密码算法的鉴别采用对称密码算法的机制采用公开密码算法的机制采用密码校验函数的机制零知识证明协议2022/11/2非密码身份认证非密码的鉴别机制口令机制一次性口令机制基于地址的认证机制基于生物特征的认证机制个人令牌认证机制2022/11/2口令机制：明文IDOK？用户输入ID拒绝查找与该ID对应的PW身份标识注册口令ID1PW1ID2PW2ID3PW3........IDnPWn相同？接受拒绝NNYY用户输入PW明文形式存放的口令表PW‘PWID明文口令表2022/11/2口令机制：Hash保存IDOK？用户输入ID拒绝查找与该ID对应的H(PW)身份标识注册口令ID1H(PW1)ID2H(PW2)ID3H(PW3)........IDnH(PWn)相同？接受拒绝NNYY用户输入PWHash值形式存放的口令表用预定的Hash函数计算H(PW‘)H(PW)ID基于单向hash函数的口令表2022/11/2口令机制：加盐机制IDOK？用户输入ID拒绝查找与该ID对应的H(PW)身份标识注册口令盐ID1····H(PW1+R1)R1ID2H(PW2+R2)R2ID3H(PW3+R3)R3...........IDnH(PWn+Rn)Rn相同？接受拒绝NNYY用户输入PW“加盐”Hash值形式存放的口令表用预定的Hash函数计算H(PW‘+R)H(PW+R)IDR加盐Hash口令表2022/11/2一次性口令认证机制客户端S/KEY服务器口令计算器1.用户登录2.登录请求3.S/KEY质询4.输入私钥5.私钥与质询输入计算器6.产生本次口令7.传送口令请依据上述过程描述，设计该一次性口令协议2022/11/2基于地址的认证机制基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。在大多数的数据网络中，呼叫地址的辨别都是可行的。在不能可靠地辨别地址时，可以用一个呼叫—回应设备来获得呼叫的源地址。一个验证者对每一个主体都保持一份合法呼叫地址的文件。这种机制最大的困难是在一个临时的环境里维持一个连续的主机和网络地址的联系。地址的转换频繁、呼叫—转发或重定向引起了一些主要问题。基于地址的机制自身不能被作为鉴别机制，但可作为其它机制的有用补充。2022/11/2基于生物特征的认证机制生物特征识别技术主要有：

1）指纹识别；

2）声音识别；

3）手迹识别；

4）视网膜扫描；

5）手形。2022/11/2个人令牌认证机制物理特性用于支持认证“某人拥有某东西”，但通常要与一个口令或PIN结合使用。这种器件应具有存储功能，通常有键盘、显示器等界面部件，更复杂的能支持一次性口令，甚至可嵌入处理器和自己的网络通信设备（如智能卡）。这种器件通常还利用其它密码鉴别方法。2022/11/2访问控制身份认证数字签名消息认证第3章密码学基础密码学算法密钥管理2022/11/2访问控制访问控制：AccessControl依据一定的授权规则，对提出的资源访问加以控制。访问控制是网络安全防护技术的主要安全策略之一，它可以通过关键资源的限制访问，达到防止非法用户使用和合法用户滥用权限所造成的资源破坏。2022/11/2访问控制的组成访问控制三要素主体、客体、安全访问策略主体访问控制实施功能访问控制决策功能客体提交访问请求提出访问请求请求决策决策2022/11/2访问控制模型典型的访问控制模型自主访问控制模型强制访问控制模型基于角色的访问控制模型基于任务的访问控制模型2022/11/2强制访问控制模型强制访问控制模型主体和客体均被赋予一定的安全级别，主体不能改变自身和客体的安全级别，只有系统管理员才能够确定主体的权限系统对访问主体和受控对象实行强制访问控制依据主体和客体的安全级别决定是否允许访问2022/11/2强制访问控制模型（续）依据主体和客体的安全级别，MAC中主体对客体的访问有四种方式：向下读（ReadDown，rd）主体安全级别高于客体的安全级别时允许的读操作向上读（ReadUp，ru）主体安全级别低于客体的安全级别时允许的读操作向下写（WriteDown，wd）主体安全级别高于客体的安全级别时允许的写操作向上写（WriteUp，wr）主体安全级别低于客体的安全级别时允许的写操作2022/11/2强制访问控制模型（续）绝密机密未分类主体绝密机密未分类客体禁止读禁止读允许读绝密机密未分类主体绝密机密未分类客体禁止读允许读允许读绝密机密未分类绝密机密未分类禁止写允许写禁止写Lattice模型绝密机密未分类绝密机密未分类允许写禁止写允许写Bell－LaPadula模型常见的强制访问控制模型2022/11/2基于角色的访问控制模型基于角色的访问控制模型（RBAC）角色操作客体..。用户1用户2用户3角色1角色2客体1客体2客体3权限1权限2权限3权限4属于属于属于2022/11/2基于任务的访问控制模型基于任务的访问控制模型从应用的角度来考虑安全问题依据工作流来划分访问控制任务：是工作流中的一个逻辑单元，是一个可区分的动作基于任务的访问控制模型：五元组（S，O，P，L，AS）S：主体O：客体P：许可L：生命周期AS：授权步（表示一个原始的授权处理步骤，是指在一个工作流中对处理对象的一次处理过程）2022/11/2访问控制的实现技术一般实现机制:基于访问控制属性-访问控制表/矩阵基于用户和资源分级（“安全标签”）-多级访问控制常见实现方法:访问控制表ACLs（AccessControlLists)访问能力表（Capabilities)访问控制矩阵授权关系表访问控制安全标签2022/11/2访问控制的实现技术（续）userAOwnRWOuserBR

OuserCRWOOBJ1OBJ1OwnRWOOBJ2R

OOBJ3RWOUserA访问控制表访问能力表2022/11/2访问控制的实现技术（续）目标xR、W、OwnR、W、Own目标y目标z用户a用户b用户c用户dRRR、W、OwnR、WR、W

目标用户

访问控制矩阵2022/11/2访问控制的实现技术（续）授权关系表UserAOwnObj1UserARObj1UserAWObj1UserBWObj2UserBRObj22022/11/2访问控制的实现技术（续）用户安全级别用户1绝密用户2机密............用户n未分类客体安全级别客体1绝密客体2机密............客体n未分类访问控制安全标签2022/11/2访问控制身份认证数字签名消息认证第3章密码学基础密码学算法密钥管理2022/11/2密钥管理密钥管理：KeyManagement在一种安全策略指导下密钥的产生、存储、分配、删除、归档及应用包括：系统初始化、密钥产生、存储、备份/恢复、分配、保护、更新、控制、丢失、吊销和销毁等。其中密钥分配和存储是最大的问题2022/11/2密钥管理（续）依据使用的密码体制，密钥管理可分为：对称密钥的管理存在困难性（？？？）非对称密钥的管理PKIAlice加密机解密机Bob安全信道密钥源Oscarxyxk如何建立安全信道？2022/11/2密钥管理（续）根据不同的场合，密钥可分为：初始密钥用户专用安全且易更换会话密钥加密数据密钥加密密钥加密密钥主密钥加密密钥加密密钥2022/11/2密钥管理的主要内容密钥管理的主要内容密钥产生密钥登记密钥注入密钥存储密钥分配2022/11/2密钥产生密钥产生方式：手工/自动不同密钥的产生方法：主密钥安全性至关重要，故要保证其完全随机性、不可重复性和不可预测性。可用投硬币、骰子，噪声发生器等方法产生密钥加密密钥数量大(N(N-1)/2),可由机器自动产生,安全算法、伪随机数发生器等产生会话密钥可利用密钥加密密钥及某种算法(加密算法,单向函数等)产生。初始密钥类似于主密钥或密钥加密密钥的方法产生2022/11/2密钥产生（续）密钥产生方式：必须在安全环境中产生密钥以防止对密钥的非授权访问。密钥生产形式现有两种一种是由中心(或分中心)集中生产，也称有边界生产；另一种是由个人分散生产，也称无边界生产。两种方法各有优缺点2022/11/2密钥产生（续）密钥产生技术：硬件技术伪随机序列物理随机序列准随机序列物理噪声源基于力学噪声源的密钥产生基于电子学噪声源的密钥产生基于混沌理论的密钥产生2022/11/2密钥产生（续）线性同余算法基于密码算法的随机数生成器

循环加密；DES的输出反馈（OFB）模式；ANSIX9.17密钥生成器。

BBS(Blum-Blum-Shub)生成器。2022/11/2密钥产生：线性同余算法有四个参数模数m(m>0)；乘数a(0≤a<m)；增量c(0≤c<m)；种子X0(0≤X0<m)；由迭代公式得到随机数数列{Xn}。线性同余算法产生密钥2022/11/2密钥产生：循环加密循环加密方式生成伪随机数

周期为N的计数器CC+1加密算法主密钥KmXt=Ekm[c+1]2022/11/2密钥产生（续）

DES的输出反馈（OFB）模式

可以用系统中断向量、系统状态寄存器和系统计数器生成DES密钥；用系统时钟、系统ID号、日期、时间生成初始化向量；用外部生成的64位数据作为明文输入（V0），如系统管理员键入的8个字符。这样，最后的输出就是生成的密钥（随机数）。

2022/11/2密钥产生（续）密钥产生技术：X9.17加密加密加密2022/11/2密钥产生（续）BBS(Blum-Blum-Shub)生成器

已经被证明的密码强度最高的伪随机数生成器。