信息安全系统工程认证技术

零、认证认证（Authentication）是防止主动攻击的重要技术,对于开放环境中各种信息系统的安全有着重要作用认证的主要目的：验证消息来自意定的、真实的发送者；验证消息的完整性，在传送或存储过程中未被篡改、重放或延迟等；提供不可否认性。认证采用的主要技术报文鉴别（Messageauthentication）数字签名（Digitalsignature）身份识别（Identityverification）一、散列函数1、散列函数概况2、常用散列函数1、散列函数（Hash函数）概况散列函数以一个变长的报文M作为输入，产生一个定长的输出（散列码）的函数，可记为h=H(M)（|M|>|h|)散列函数的目的是为文件、报文或其他分组数据产生“指纹”，常用于报文鉴别和数字签名散列函数是一个多对一的函数因此在理论上，必定存在不同的报文对应同样的散列，但这种情况在实际中必须不可能出现(计算上不可行)散列函数本身不是保密的散列函数没有密钥的参与，散列值仅仅是报文的函数散列函数的需求1、H能用于任意长度的数据分组；2、H产生定长的输出；3、对任意给定的X，H(X)要容易计算；4、对任何给定的h，寻找x使得H(x)=h，在计算上不可行（单向特性）；5、对任意给定的分组x，寻找不等于x的y，使得H(x)=H(y),在计算上不可行（弱抗碰撞）；6、寻找任意的一对分组(x，y)，使得H(x)=H(y)，在计算上不可行（强抗碰撞）。散列函数的有效安全级别假设散列函数的输出为m比特，可以将其抗各种攻击的有效安全级别表示为：这意味着安全散列函数的输出长度有一个下界：40bit的散列长度将非常不安全：因为仅仅在220≈100万个随机的散列值中就有50%的概率发现一个碰撞。一般建议最小的报文散列的长度为128bit，实际中常采用160bit。单向2m弱抗碰撞2m强抗碰撞2m/22、常用散列函数1、MD5算法MD5的散列码只有128比特,其对抗生日攻击的有效级是264，从现在的角度看太小，安全性不够。2、SHA-1算法SHA（安全散列算法）由NIST在1993年公布（FIPSPUB180），并在1995年进行了修订，称为SHA-1（FIPSPUB180-1）；算法产生160比特的散列码；SHA-1是目前首选的散列算法。常用散列函数演示输入字符串：“12345678”25D55AD283AA400AF464C76D713C07AD7C222FB2927D828AF22F592134E8932480637C0DMD5SHA-1输入文件（1.4G）：The.Imitation.Game.2014.mp4MD5SHA-1A3DD6A05AD84FB733ECB01EFA275002F93F661DAB2E912AF2802F1BB32BB527739F63107二、报文鉴别1、概述2、利用单钥加密实现鉴别

3、报文鉴别码(MAC)4、带密钥的散列函数1、概述报文鉴别的主要用途保证消息的完整性；保证消息来源的可靠性；报文鉴别的主要方法报文加密:以整个报文的密文作为它的鉴别符;报文鉴别码（MAC）:以一个报文的公共函数和用于产生一个定长值的密钥作为鉴别符;带密钥的散列函数（HMAC）：将秘密因素引入原始报文，然后对其进行散列，并将散列函数的结果作为鉴别码。2、利用单钥加密实现鉴别报文加密本身可以提供一定程度的鉴别能力如果采用常规加密，则1）接收方知道报文一定是由发送方创建的，因为创建该报文对应的密文的密钥只有发送方和接收方所共享；2）并且(加密后的)报文的内容没有被篡改过，如果报文的内容(密文)被篡改，则解密后无法恢复原始的合法报文(明文)。报文的内部结构为了增强鉴别能力，最好能使原始的报文(明文)具有某种结构，这样在接收端可以通过验证这种结构，来确定报文是否被篡改。利用单单钥加加密实实现鉴鉴别发送方方接收方方3、报文文鉴别别码报文鉴别码（MessageAuthenticationCode，MAC）是一个定长的数据据分组组，它它是报文和和一个个密钥钥的函函数：MAC=Ck(M)如果收收发双双方共共享一一个密密钥，，则1、发送端端发送报报文时时，可可计算算报文文的MAC，并将将其附附在报报文后后一起起传送。。2、接收端端采用相同的的算法法和密密钥，，对收收到的的报文文进行行同样样的计计算，，产生生新的的MAC,如果新新的MAC和收到到的MAC相同，，则收收端可可以确确信：：1）报文文没有有被更更改过（包包括外界的的干扰扰和人人为篡改））；2）报文文来自自意定定的发发送者者。利用MAC保证数数据完完整性性的原原理数据发送方，如调度系统数据接收方，如被控站攻击者（不知道收发双方当前的密钥K），试图篡改报文事先共享密钥K在网络上传输的报文，如调度命令采用对对称加加密算算法产产生MAC可以将将任何何工作作于CBC模式的常规分分组算算法作为MAC函数，，并将将CBC的最后后一个个分组组当作MACDAA（DataAuthenticationAlgorithm）算法法该算法法是使使用最最广的的MAC函数(FIPSPUB113,ANSIX9.17)，基于于DES-CBC模式；；算法步步骤：：1）取IV=0,并将报报文最最后一一个分分组用用0填充成成64比特；；2）采用用DES的CBC模式加加密报报文；；3）抛弃弃加密密的中中间结结果，，只将将最后后一组组密文文（或或最后后一组组密文文的左左边M(16≤M≤64)比特））作为为MAC；从目前前的角角度看看，64比特的的MAC长度较较小产生MAC的DAA算法4、带密密钥的的散列列函数数目前，，构造造MAC方法的的研究究热点点已经经从分分组密密码(FIPSPUB113)转向散列函函数散列函函数的的执行行速度度比分分组密密码快；散列函函数没有出出口限限制。。标准的的散列列函数数并不依依赖于于密钥，，因此此不能直直接用用于MAC，必须须将密密钥和和现有有的散散列函函数结结合起来当前获获得广广泛采采用的的方案案是HMAC（RFC2104）HMACHMAC（RFC2104）作为为IPSEC中强制制实行行的MAC，同时时也被被其他他的Internet协议（（如SSL）使用HMAC的设计计目标标：1）无需需修改改地使使用现现有的的散列列函数数；2）当出出现或或获得得更快快或更更安全全的散散列函函数时时，对对算法法中嵌嵌入的的散列列函数数要能能轻易易地进进行替替换；；3）保持持散列列函数数的原原有性性能,不会导导致算算法性性能降降低；；4）使用用和处处理密密钥的的方式式很简简单；；5）基于于对嵌嵌入散散列函函数合合理的的假设设，对对鉴别别机制制的强强度有有一个个易懂懂的密密码编编码分分析。。HMAC的结构构HMAC的结构（（续））HMAC的计算算HMACK=Hash[(K+XORopad)||Hash[(K+XORipad)||M)]]K+是对密密钥K填充生生成的的b比特的的串opad,ipad是特定定的填填充常常量HMAC增加了了三个个散列列压缩缩函数数HMAC适用于于MD5,SHA-1,RIPEMD-160等各种种散列列函数数三、数数字签签名1、概述述2、RSA数字签签名3、数字字签名名标准DSS1、概述述普通的的报文文鉴别别能用用来保保护通通信双双方免免受任何第第三方方的攻击，，然而而，它它无法防防止通通信双双方互互相攻击。。假定A发送一一个经经过鉴鉴别的的消息息给B，双方方之间间的争争议可可能有有多种种形式式：1）B伪造一一个不不同的的消息息，但但声称称是从从A收到的的。2）A可以否否认发发过该该消息息，B无法证证明A确实发发了该该消息息。解决以以上问问题可可以用用数字签签名《中华人人民共共和国国电子子签名名法》已于2004年8月28日第十十届全全国人人民代代表大大会常常务委委员会会第十十一次次会议议通过过，自自2005年4月1日起施施行。。对数字字签名名的要要求1、签名名必须须依赖赖于要要签名名报文文的比比特模模式2、签名名必须须使用用对发发送者者来说说是唯唯一的的信息息以防止止伪造造和抵抵赖3、伪造造一个个数字字签名名在计计算上上是不不可行行的包括““根据据已有有的数数字签签名来来构造造新报报文””，以以及““对给给定的的报文文构造造一个个虚假假的数数字签签名””。4、数字签签名的产产生必须须相对简简单5、数字签签名的识识别和证证实必须须相对简简单数字签名名的定义义一个数字字签名方方案是一一个5元组组（P，A，K，S，V），它满满足下列列条件P是所有可能能消息的的有限集集；A是所有可能能签名的的有限集集；K是所有可能能密钥的的有限集集；数字签名名的定义义(续)对每一个k∈K，有一个签名算法法sigk∈S和一个相相应的验证算法法verk∈V，对每一个个消息x∈P和每一个个签名y∈A，每一个个sigk:P——>A和verk:P××A—>{真,假}都是是满足下下列条件件的函数数：对每一个个k∈K，sigk和verk应该是多项式时时间函数数；其中verk是一个公开函数数，sigk将是一个个秘密函数数，对一个给给定的x，只有签名者能能计算签签名y，满足verk(x,y)=真。2、RSA签名方案案1、密钥产产生设n=p*q，p和q是素数，，P=A=Zn，定义K={(n,p,q,a,b):a*b≡1(modφφ(n))}，其中n和b公开(公钥)，p、q、a保密(私钥)。2、签名算法（利利用私钥钥a，是保密密的）y≡sigk(x)≡≡xa(modn)3、验证算法（利利用公钥钥b，是公开开的）verk(x,y)=true当且仅当当x≡yb(modn)数字签名名和散列列函数在实际应应用中，，数字签签名几乎总是是和散列函函数结合使用用签名时，，签名者者完成如如下工作作1）按如下下步骤计计算消息息x的签名yx(消息)z=h(x)(摘要)y=sigk(z)2）将(x,y)传给验证证者。验证者收收到(x,y)后，完成成如下工工作1）通过公公开的hash函数h重构消息息摘要z=h(x);2）检查verk(z,y)=true?3、数字签签名标准准DSSDSS：DigitalSignatureStandard；数字签名名标准DSS（DigitalSignatureStandard）是NIST公布的联邦信信息处理理标准FIPSPUB186,最早发表表于1991年，随后后在1993年和1996年进行了了一些修改。DSS使用了安全散列列算法SHA和数字签名名算法DSA。DSS的处理流流程签名者验证者四、身份份证明1、概述2、通行字字(口令)身份证明明3、一次性性口令1、概述身份证明明是指在在两方或或多方参参与的信信息交互互中，参参与者中中的一方对其其余各方（自称的或未说说明的）身份的判断与与确认。身份证明明还可进进一步分分类为身份验证证（IdentityVerification）和身份识别别（IdentityRecognition）身份验证证工作的的条件包包括被验证者者个人的的（自称称的）““身份”及作为该““身份””凭据的的个人信信息；身份识别别工作的的条件只有被识识别者的的个人信信息，及一个个群体的的个人信信息数据据库，被被识别者者很可能能属于该该群体。。实现身份份证明的的途径实现身份份证明的的途径所知：密钥、、口令等等；所有：身份证、、护照、、信用卡卡、钥匙匙等；个人特征征：指纹、、笔迹、、声纹、、手型、、血型、、视网膜膜、虹膜膜、DNA等（生物物识别））；你做的事事情：如手写写签名和步步态识别别等。双因素认认证同时使用用上面的的两种途途径进行行证明，，如：口口令+智能卡。。2、通行字字(口令)身份证明明通行字（（也称口口令）身身份验证证协议是信息系系统中一种使使用最为为广泛的的身份验验证协议协议涉及若干干示证者者（P）和唯一的的验证者者（V）最简单的的通行字字身份验验证协议议可以是是“one-pass”协议即整个过程程中只需需要由示示证者P向验证者者V传送一次次消息，，其内容容是示证者P的身份标标识ID（identity）和通行行字PW（password）。（ID，PW）数据对对中的ID一般事先先由验证证者V为示证者者P分配以保保证其唯唯一性，，数据对对中的PW则可由示示证者P产生后提提交给验验证者V保存，或或由验证证者V为示证者者P分配并由由V保存。口令认证证基本协协议1、P→V：IDp；2、V→P：提示P“输入口令令”；3、P→V：PWp；4、V从其口令令文档中中找出记记录(IDp,PWp)，如果接接收的PWp与记录中中的匹配配，就允允许访问问。基于散列列函数的的口令方方案在该方案案中，验验证者V存储口令令的散列列值而不不是原始始口令例如：如采用用MD5，则口令令’123456’在验证者处处存储为MD5(‘123456’)，即E10ADC3949BA59ABBE56E057F20F883E用下述协协议完成成鉴别：：1）示证者者P将他的口口令传送送给验证证者V；2）验证者者V完成口令令的散列列函数计计算；3）验证者者V把散列函函数的运运算结果果和它以以前存储储的值进进行比较较。由于验证证者不再再存储示示证者的的实际口口令，所所以攻击击者侵入入验证者者计算机机，并偷偷取口令令的威胁胁就减少少了因为由口口令的散散列值生生成口令令是不可可能的。。常用通行字字典验证者采用的变换函数验证者存储的经过变换的口令表计算结果寻找匹配字典攻击击（撞库库）字典攻击击（dictionaryattack）是将大批批可能的的通行字字经目标标系统采采用的单单向函数数变换后后与窃取取的目标标系统中中的加密密通行字字表比较较，以寻寻找匹配配者。由于人们们在选择择通行字字时，通通常会选选择一些些自己容容易记忆忆的、随随机性不不好的字字符串，，这就有有可能出出现在攻攻击者选选择的““常用通通行字字字典”中中，从而而被发现现。3、一次性性口令一次性口口令（One-timePassword，OTP）方案可可以抵御御重放攻攻击，其其实现形形式包括括：1）共享的的一次性性口令表表：验证者和和示证者者共享一一张秘密密口令表表，每个个口令只只用一次次。2）按序修修改的一一次性口口令：初始时验验证者和和示证者者只共享享一个秘秘密口令令，当使使用第i个口令进进行认证证时，示示证者产产生第i+1个口令，，并用第第i个口令作作为密钥钥进行加加密，然然后传送送给验证证者。3）基于单单向函数数的一次次性口令令：这种方案案是由当当前的口口令隐含含地确定定下一个个口令，，如S/Key一次性口口令协议议，是目目前最常常用的动动态一次次性口令令协议。。4）基于TAN(TransactionAuthenticationNumber)的一次性性口令：：交易中除除了静态态口令外外，还要要求示证证者输入入一个一一次性验验证码（（即TAN），这个个验证码码一般通通过短信信形式发发送给示示证者。。五、访问问控制1、访问控控制概述2、基于角角色的访访问控制制1、访问控控制概述述如果说身身份认证证解决了了用户““是谁””的问题题，那么么用户““能做什什么”就就是由访访问控制制技术决决定的。。访问控制制（AccessControl）是国际标标准化组组织定义义的5项标准安安全服务务之一，，是实现现信息系系统安全全的重要要机制。。用户在访问信息息系统时时，1）首先经过身份份认证模块块识别身身份；2）然后访访问控制制模块根根据用户的身身份和授授权数据据库决定定用户是是否能够够访问某某个资源源。访问控制制的基本本概念访问控制制是实现既定定安全策策略的系系统安全全技术，，目标是是防止对对任何资资源进行行非授权权访问所谓非授授权访问问包括未未经授权权的使用用、泄漏漏、修改改、销毁毁和颁发发指令等等。访问控制制系统一一般包括括：主体（Subject）：发出访问问操作、存存取要求的的主动方，，通常指用用户或用户户的某个进进程；客体（Object）：主体试图图访问的资资源，包括括硬件资源源（如CPU、内存、打打印机等））和软件资资源（如进进程、文件件、数据库库记录等））；安全访问策策略：一套规则则，用于确确定一个主主体是否对对客体拥有有访问能力力。访问控制系系统示意图图发起者：即主体；目标：即客体；访问控制执执行功能（Accesscontrolenforcementfunction，AEF）：负责建建立发起者者和目标之之间的通信信桥梁，它它必须依照照ADF的授权查询询指示来实实施上述动动作；访问控制决决策功能（Accesscontroldecisionfunction）：依据安安全访问策策略对发起起者提出的的访问请求求进行判决决，是访问问控制的核核心。发起者（主体）访问控制执行功能AEF目标（客体）提交访问请求执行访问请求访问控制决策功能ADF决策请求决策结果访问控制技技术的分类类计算机访问问控制技术术最早产生生于20世纪60年代，目前前主要有3种访问控制制技术：自主访问控控制（DiscretionaryAccessControl，DAC）强制访问控控制（MandatoryAccessControl，MAC）基于角色的的访问控制制（RoleBasedAccessControl，RBAC）2、基于角色色的访问控控制（RBAC）传统的访问问控制技术术都是由主主体和访问问权限直接接发生关系系。随着着信信息息系系统统的的不不断断发发展展，，当当主主体体和和客客体体的的数数量量都都非非常常巨巨大大时时，，传传统统访访问问控控制制技技术术已已经经不不能能胜胜任任复复杂杂的的授授权权管管理理的的要要求求。。在这这种种情情况况下下，，基基于于角角色色的的访访问问控控制制（（RBAC）逐逐渐渐获获得得重重视视并并得得到到广广泛泛应应用用。。NIST认为为RBAC将成成为为DAC和MAC的替替代代者者。。RBAC的基基本本原原理理RBAC的核核心心思思想想就就是是把把访问问权权限限和角色色相联联系系通过过给给用用户户分分配配合合适适的的角角色色，，让让用用户户和和访访问问权权限限相相关关联联。。角色色是是根根据据企企业业内内为为完完成成各各种种不不同同的的任任务务需需要要而而设设置置的的，根根据据用用户户在在企企业业中中的的职职权权和和责责任任来来设设定定他他们们的的角角色色。。用户户可可以以在在角角色色间间进进行行转转换换，，系系统统可可以以添添加加、、删删除除角角色色，，也也可可以以对对角角色色的的权权限限进进行行添添加加和和删删除除等等操操作作。。通过过应应用用RBAC，可以以将将安安全全性性放放在在一一个个接接近近组组织织结结构构的的自自然然层层面面上上进进行行管管理理。RBAC的基基本本原原理理（（续续））RBAC包括括用户户（（user）、角色色（（role）和权限限（（permission）三个个实实体体:RBAC0:基本本模模型型RBAC1:增加加角角色色层层次次RBAC2:增加加约约束束RBAC3:RBAC1+RBAC2roles(R)permiss-ions(P)users(U)RoleHierarchy(RH)UserAssignment(UA)PermissionAssignment(PA)小结结1、认认证证技术术和和散散列列函函数数2、报报文文鉴鉴别别