信息系統(tǒng)安全工程_認證技術(shù)_軟件資料

1、信息系統(tǒng)安全工程之認 證 技 術(shù)西南交通大學(xué)信息科學(xué)與技術(shù)(jsh)學(xué)院 李曉航Last Modified: 2015.09共五十頁零、認證(rnzhng)認證(rnzhng)（Authentication）是防止主動攻擊的重要技術(shù), 對于開放環(huán)境中各種信息系統(tǒng)的安全有著重要作用認證的主要目的：驗證消息來自意定的、真實的發(fā)送者；驗證消息的完整性，在傳送或存儲過程中未被篡改、重放或延遲等；提供不可否認性。認證采用的主要技術(shù)報文鑒別（Message authentication）數(shù)字簽名（Digital signature）身份識別（Identity verification）共五十頁一、散列函數(shù)

2、(hnsh)1、散列函數(shù)(hnsh)概況2、常用散列函數(shù)共五十頁1、散列函數(shù)(hnsh)（Hash函數(shù)）概況散列函數(shù)以一個變長的報文M作為輸入，產(chǎn)生一個定長的輸出（散列碼）的函數(shù)，可記為h = H(M) （ |M| |h| )散列函數(shù)的目的是為文件、報文或其他分組數(shù)據(jù)產(chǎn)生“指紋”，常用于報文鑒別和數(shù)字簽名散列函數(shù)是一個多對一的函數(shù)因此在理論上，必定存在不同的報文對應(yīng)同樣的散列，但這種情況在實際中必須不可能出現(xiàn)(計算上不可行)散列函數(shù)本身不是保密(bo m)的散列函數(shù)沒有密鑰的參與，散列值僅僅是報文的函數(shù)共五十頁散列函數(shù)(hnsh)的需求1、H能用于任意長度的數(shù)據(jù)分組；2、H產(chǎn)生定長的輸出；3、

3、對任意給定的X，H(X)要容易計算；4、對任何(rnh)給定的 h，尋找 x 使得H(x)=h，在計算上不可行（單向特性）；5、對任意給定的分組 x，尋找不等于 x 的 y，使得 H(x)=H(y), 在計算上不可行（弱抗碰撞）；6、尋找任意的一對分組(x，y)， 使得 H(x)=H(y)， 在計算上不可行（強抗碰撞）。共五十頁散列函數(shù)(hnsh)的有效安全級別假設(shè)散列函數(shù)的輸出為 m 比特，可以將其抗各種攻擊的有效安全級別表示為：這意味著安全散列函數(shù)的輸出長度有一個下界： 40 bit 的散列長度將非常不安全：因為僅僅在220100萬個隨機的散列值中就有 50% 的概率發(fā)現(xiàn)一個碰撞。一般建議

4、(jiny)最小的報文散列的長度為128 bit，實際中常采用 160bit。單向2m弱抗碰撞2m強抗碰撞2m/2共五十頁2、常用(chn yn)散列函數(shù)1、 MD5 算法MD5的散列碼只有128比特, 其對抗生日攻擊的有效(yuxio)級是264，從現(xiàn)在的角度看太小，安全性不夠。2、 SHA-1 算法SHA（安全散列算法）由 NIST在1993年公布（FIPS PUB 180），并在1995年進行了修訂，稱為SHA-1（ FIPS PUB 180-1）；算法產(chǎn)生160比特的散列碼；SHA-1是目前首選的散列算法。共五十頁常用(chn yn)散列函數(shù)演示輸入字符串：“12345678”25D5

5、5AD283AA400AF464C76D713C07AD7C222FB2927D828AF22F592134E8932480637C0DMD5SHA-1輸入文件（1.4G）：The.Imitation.Game.2014.mp4MD5SHA-1A3DD6A05AD84FB733ECB01EFA275002F93F661DAB2E912AF2802F1BB32BB527739F63107共五十頁二、報文鑒別(jinbi)1、概述(i sh)2、利用單鑰加密實現(xiàn)鑒別 3、報文鑒別碼(MAC)4、帶密鑰的散列函數(shù)共五十頁1、概述(i sh)報文鑒別的主要用途保證消息的完整性；保證消息來源的可靠性；報

6、文鑒別的主要方法報文加密(ji m): 以整個報文的密文作為它的鑒別符;報文鑒別碼（MAC）:以一個報文的公共函數(shù)和用于產(chǎn)生一個定長值的密鑰作為鑒別符;帶密鑰的散列函數(shù)（HMAC）：將秘密因素引入原始報文，然后對其進行散列，并將散列函數(shù)的結(jié)果作為鑒別碼。共五十頁2、利用(lyng)單鑰加密實現(xiàn)鑒別 報文加密本身可以提供一定程度的鑒別能力如果(rgu)采用常規(guī)加密，則1）接收方知道報文一定是由發(fā)送方創(chuàng)建的，因為創(chuàng)建該報文對應(yīng)的密文的密鑰只有發(fā)送方和接收方所共享；2）并且(加密后的)報文的內(nèi)容沒有被篡改過，如果報文的內(nèi)容(密文)被篡改，則解密后無法恢復(fù)原始的合法報文(明文)。報文的內(nèi)部結(jié)構(gòu)為了增強

7、鑒別能力，最好能使原始的報文(明文)具有某種結(jié)構(gòu)，這樣在接收端可以通過驗證這種結(jié)構(gòu)，來確定報文是否被篡改。共五十頁利用單鑰加密實現(xiàn)(shxin)鑒別發(fā)送(f sn)方接收方共五十頁3、報文鑒別(jinbi)碼報文鑒別碼（Message Authentication Code，MAC）是一個定長的數(shù)據(jù)分組，它是報文和一個密鑰的函數(shù)：MAC = Ck(M)如果收發(fā)雙方共享一個密鑰，則1、發(fā)送端發(fā)送報文時，可計算報文的MAC，并將其附在報文后一起傳送。2、接收端采用相同的算法和密鑰，對收到的報文進行(jnxng)同樣的計算，產(chǎn)生新的MAC, 如果新的 MAC 和收到的 MAC相同，則收端可以確信：1

8、）報文沒有被更改過（包括外界的干擾和人為篡改）；2）報文來自意定的發(fā)送者。共五十頁利用MAC保證(bozhng)數(shù)據(jù)完整性的原理數(shù)據(jù)發(fā)送方，如調(diào)度系統(tǒng)數(shù)據(jù)接收方，如被控站攻擊者（不知道收發(fā)雙方當(dāng)前的密鑰 K），試圖篡改報文事先共享密鑰 K在網(wǎng)絡(luò)上傳輸?shù)膱笪模缯{(diào)度命令共五十頁采用對稱(duchn)加密算法產(chǎn)生MAC可以將任何工作于CBC模式的常規(guī)分組算法作為MAC函數(shù)，并將CBC的最后一個分組當(dāng)作MACDAA（Data Authentication Algorithm）算法該算法是使用最廣的MAC函數(shù)(FIPS PUB 113, ANSI X9.17)，基于DES-CBC模式；算法步驟： 1）

9、取IV=0, 并將報文最后一個分組用 0 填充(tinchng)成 64 比特； 2）采用 DES 的 CBC 模式加密報文； 3）拋棄加密的中間結(jié)果，只將最后一組密文（或最后一組密文的左邊 M (16M64)比特）作為MAC；從目前的角度看，64 比特的MAC長度較小共五十頁產(chǎn)生(chnshng)MAC的DAA算法共五十頁4、帶密鑰的散列函數(shù)(hnsh)目前，構(gòu)造MAC方法的研究熱點已經(jīng)從分組密碼(m m)(FIPS PUB 113)轉(zhuǎn)向散列函數(shù)散列函數(shù)的執(zhí)行速度比分組密碼快；散列函數(shù)沒有出口限制。標(biāo)準(zhǔn)的散列函數(shù)并不依賴于密鑰，因此不能直接用于MAC，必須將密鑰和現(xiàn)有的散列函數(shù)結(jié)合起來當(dāng)前獲

10、得廣泛采用的方案是HMAC（RFC2104）共五十頁HMACHMAC（RFC2104）作為 IPSEC中強制實行的MAC，同時也被其他的 Internet 協(xié)議（如SSL） 使用HMAC的設(shè)計目標(biāo)：1）無需修改地使用現(xiàn)有的散列函數(shù)；2）當(dāng)出現(xiàn)或獲得更快或更安全的散列函數(shù)時，對算法中嵌入的散列函數(shù)要能輕易地進行替換；3）保持散列函數(shù)的原有性能, 不會導(dǎo)致算法性能降低；4）使用和處理密鑰的方式很簡單；5）基于對嵌入散列函數(shù)合理的假設(shè)，對鑒別(jinbi)機制的強度有一個易懂的密碼編碼分析。共五十頁HMAC的結(jié)構(gòu)(jigu)共五十頁HMAC的結(jié)構(gòu)(jigu)（續(xù)）HMAC的計算HMACK = Has

11、h (K+ XOR opad) | Hash (K+ XOR ipad) | M ) K+ 是對密鑰K填充生成的b比特(b t)的串opad, ipad是特定的填充常量HMAC增加了三個散列壓縮函數(shù)HMAC適用于 MD5, SHA-1, RIPEMD-160 等各種散列函數(shù)共五十頁三、數(shù)字簽名1、概述(i sh)2、RSA數(shù)字簽名3、數(shù)字簽名標(biāo)準(zhǔn)DSS共五十頁1、概述(i sh)普通的報文鑒別能用來保護通信雙方免受任何第三方的攻擊，然而，它無法防止通信雙方互相攻擊。假定 A 發(fā)送一個經(jīng)過鑒別的消息給 B，雙方之間的爭議可能有多種形式：1）B 偽造一個不同的消息，但聲稱是從 A 收到的。2）A

12、可以(ky)否認發(fā)過該消息，B 無法證明A確實發(fā)了該消息。解決以上問題可以用數(shù)字簽名中華人民共和國電子簽名法已于2004年8月28日第十屆全國人民代表大會常務(wù)委員會第十一次會議通過，自2005年4月1日起施行 。共五十頁對數(shù)字簽名的要求(yoqi)1、簽名必須依賴于要簽名報文的比特模式2、簽名必須使用對發(fā)送者來說是唯一的信息以防止偽造和抵賴3、偽造一個數(shù)字簽名在計算上是不可行的包括“根據(jù)已有的數(shù)字簽名來構(gòu)造新報文”，以及“對給定的報文構(gòu)造一個虛假(xji)的數(shù)字簽名”。4、數(shù)字簽名的產(chǎn)生必須相對簡單5、數(shù)字簽名的識別和證實必須相對簡單共五十頁數(shù)字簽名的定義(dngy)一個數(shù)字簽名方案是一個 5

13、 元組（P，A，K，S，V），它滿足(mnz)下列條件P 是所有可能消息的有限集；A 是所有可能簽名的有限集；K 是所有可能密鑰的有限集；共五十頁數(shù)字簽名的定義(dngy)(續(xù))對每一個kK，有一個簽名算法sigkS和一個相應(yīng)的驗證算法verkV，對每一個消息xP和每一個簽名 yA，每一個 sigk: PA 和 verk: PA真,假 都是滿足下列條件(tiojin)的函數(shù)： 對每一個kK，sigk 和 verk 應(yīng)該是多項式時間函數(shù)；其中verk是一個公開函數(shù)，sigk將是一個秘密函數(shù)，對一個給定的 x，只有簽名者能計算簽名y，滿足verk(x,y)=真。 共五十頁2、RSA簽名(qin m

14、ng)方案1、密鑰產(chǎn)生設(shè)n = p * q，p 和 q 是素數(shù)，P=A=Zn，定義K=(n, p, q, a, b) : a*b1 (mod (n) ，其中 n 和 b 公開(公鑰)，p、q 、a 保密(私鑰)。2、簽名(qin mng)算法（利用私鑰 a，是保密的）y sigk(x) xa (mod n)3、驗證算法（利用公鑰 b，是公開的）verk(x,y)=true 當(dāng)且僅當(dāng) x yb (mod n)共五十頁數(shù)字簽名和散列函數(shù)(hnsh)在實際應(yīng)用中，數(shù)字簽名幾乎總是和散列函數(shù)結(jié)合使用簽名時，簽名者完成如下工作1）按如下步驟計算消息 x 的簽名 y x (消息) z=h(x) (摘要(z

15、hiyo) y=sigk(z) 2）將 (x, y) 傳給驗證者。驗證者收到(x,y)后，完成如下工作1）通過公開的 hash函數(shù) h 重構(gòu)消息摘要z=h(x);2）檢查 verk(z, y) = true ?共五十頁3、數(shù)字簽名標(biāo)準(zhǔn)(biozhn)DSSDSS：Digital Signature Standard；數(shù)字簽名標(biāo)準(zhǔn)DSS（Digital Signature Standard）是 NIST 公布的聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS PUB 186, 最早發(fā)表于1991年，隨后(suhu)在1993年和1996年進行了一些修改。DSS 使用了安全散列算法 SHA 和數(shù)字簽名算法 DSA。共五十

16、頁DSS的處理(chl)流程簽名者驗證者共五十頁四、身份證明1、概述2、通行(tngxng)字(口令)身份證明3、一次性口令共五十頁1、概述(i sh)身份證明是指在兩方或多方參與的信息交互中，參與者中的一方對其余各方（自稱(zchng)的或未說明的）身份的判斷與確認。身份證明還可進一步分類為身份驗證（Identity Verification）和身份識別（Identity Recognition）身份驗證工作的條件包括被驗證者個人的（自稱的）“身份”及作為該“身份”憑據(jù)的個人信息；身份識別工作的條件只有被識別者的個人信息，及一個群體的個人信息數(shù)據(jù)庫，被識別者很可能屬于該群體。共五十頁實現(xiàn)(s

17、hxin)身份證明的途徑實現(xiàn)身份證明的途徑所知：密鑰、口令等；所有：身份證、護照、信用卡、鑰匙等；個人特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA等（生物識別）；你做的事情：如手寫(shuxi)簽名和步態(tài)識別等。雙因素認證同時使用上面的兩種途徑進行證明，如：口令+智能卡。共五十頁2、通行(tngxng)字(口令)身份證明通行字（也稱口令）身份驗證協(xié)議是信息系統(tǒng)中一種使用最為廣泛的身份驗證協(xié)議協(xié)議涉及若干示證者（P）和唯一的驗證者（V）最簡單的通行字身份驗證協(xié)議可以是“one-pass”協(xié)議即整個過程中只需要(xyo)由示證者 P 向驗證者 V 傳送一次消息，其內(nèi)容是示證者 P 的身

18、份標(biāo)識 ID（identity）和通行字 PW（password）。（ID，PW）數(shù)據(jù)對中的 ID 一般事先由驗證者 V 為示證者 P 分配以保證其唯一性，數(shù)據(jù)對中的 PW 則可由示證者 P 產(chǎn)生后提交給驗證者 V 保存，或由驗證者 V為示證者 P 分配并由V保存。共五十頁口令認證(rnzhng)基本協(xié)議1、PV：IDp；2、VP：提示P “輸入口令”；3、PV：PWp；4、V從其口令文檔中找出記錄(jl)(IDp,PWp)，如果接收的PWp與記錄中的匹配，就允許訪問。共五十頁基于散列函數(shù)(hnsh)的口令方案 在該方案中，驗證者 V 存儲口令的散列值而不是原始口令例如：如采用MD5，則口令1

19、23456在驗證者處存儲為MD5(123456)，即E10ADC3949BA59ABBE56E057F20F883E用下述協(xié)議完成鑒別：1）示證者 P 將他的口令傳送給驗證者 V；2）驗證者 V 完成口令的散列函數(shù)計算；3）驗證者 V 把散列函數(shù)的運算結(jié)果和它以前存儲的值進行比較。由于驗證者不再存儲示證者的實際口令，所以(suy)攻擊者侵入驗證者計算機，并偷取口令的威脅就減少了因為由口令的散列值生成口令是不可能的。共五十頁常用通行字字典驗證者采用的變換函數(shù)驗證者存儲的經(jīng)過變換的口令表計算結(jié)果尋找匹配字典(zdin)攻擊（撞庫）字典攻擊（dictionary attack）是將大批可能的通行字經(jīng)

20、目標(biāo)系統(tǒng)(xtng)采用的單向函數(shù)變換后與竊取的目標(biāo)系統(tǒng)(xtng)中的加密通行字表比較，以尋找匹配者。由于人們在選擇通行字時，通常會選擇一些自己容易記憶的、隨機性不好的字符串，這就有可能出現(xiàn)在攻擊者選擇的“常用通行字字典”中，從而被發(fā)現(xiàn)。共五十頁3、一次性口令(kulng)一次性口令（One-time Password，OTP）方案可以抵御重放攻擊，其實現(xiàn)形式包括：1）共享的一次性口令表：驗證者和示證者共享一張秘密口令表，每個口令只用一次。2）按序修改的一次性口令：初始時驗證者和示證者只共享一個秘密口令，當(dāng)使用第 i 個口令進行認證時，示證者產(chǎn)生第 i+1 個口令，并用第 i 個口令作為(z

21、uwi)密鑰進行加密，然后傳送給驗證者。3）基于單向函數(shù)的一次性口令：這種方案是由當(dāng)前的口令隱含地確定下一個口令，如S/Key一次性口令協(xié)議，是目前最常用的動態(tài)一次性口令協(xié)議。4）基于TAN(Transaction Authentication Number)的一次性口令：交易中除了靜態(tài)口令外，還要求示證者輸入一個一次性驗證碼（即TAN），這個驗證碼一般通過短信形式發(fā)送給示證者。共五十頁五、訪問控制1、訪問控制概述2、基于(jy)角色的訪問控制共五十頁1、訪問控制概述(i sh)如果說身份認證解決了用戶“是誰”的問題，那么用戶“能做什么”就是由訪問控制技術(shù)決定的。訪問控制（Access Con

22、trol）是國際標(biāo)準(zhǔn)化組織定義的 5 項標(biāo)準(zhǔn)安全服務(wù)之一，是實現(xiàn)信息系統(tǒng)安全的重要(zhngyo)機制。共五十頁用戶在訪問信息系統(tǒng)時，1）首先經(jīng)過身份(shn fen)認證模塊識別身份；2）然后訪問控制模塊根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定用戶是否能夠訪問某個資源。 共五十頁訪問控制的基本概念訪問控制是實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，目標(biāo)是防止對任何資源進行非授權(quán)訪問所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄漏、修改、銷毀和頒發(fā)指令等。訪問控制系統(tǒng)(kn zh x tn)一般包括：主體（Subject）：發(fā)出訪問操作、存取要求的主動方，通常指用戶或用戶的某個進程；客體（Object）：主體試圖訪問的資源

23、，包括硬件資源（如CPU、內(nèi)存、打印機等）和軟件資源（如進程、文件、數(shù)據(jù)庫記錄等）；安全訪問策略：一套規(guī)則，用于確定一個主體是否對客體擁有訪問能力。共五十頁訪問(fngwn)控制系統(tǒng)示意圖發(fā)起者：即主體；目標(biāo)：即客體；訪問控制執(zhí)行功能（Access control enforcement function，AEF）：負責(zé)(fz)建立發(fā)起者和目標(biāo)之間的通信橋梁，它必須依照ADF的授權(quán)查詢指示來實施上述動作；訪問控制決策功能（Access control decision function）：依據(jù)安全訪問策略對發(fā)起者提出的訪問請求進行判決，是訪問控制的核心。發(fā)起者（主體）訪問控制執(zhí)行功能AEF目標(biāo)

24、（客體）提交訪問請求執(zhí)行訪問請求訪問控制決策功能ADF決策請求決策結(jié)果共五十頁訪問控制技術(shù)(jsh)的分類計算機訪問控制技術(shù)最早產(chǎn)生于20世紀(jì)60年代(nindi)，目前主要有3種訪問控制技術(shù)：自主訪問控制（Discretionary Access Control，DAC）強制訪問控制（Mandatory Access Control，MAC）基于角色的訪問控制（Role Based Access Control，RBAC）共五十頁2、基于(jy)角色的訪問控制（RBAC）傳統(tǒng)的訪問控制技術(shù)都是由主體和訪問權(quán)限直接發(fā)生關(guān)系。隨著信息系統(tǒng)的不斷發(fā)展，當(dāng)主體和客體的數(shù)量都非常巨大時，傳統(tǒng)訪問控制技

25、術(shù)已經(jīng)不能勝任復(fù)雜的授權(quán)(shuqun)管理的要求。在這種情況下，基于角色的訪問控制（RBAC）逐漸獲得重視并得到廣泛應(yīng)用。NIST認為RBAC將成為DAC和MAC的替代者。共五十頁RBAC的基本原理RBAC的核心思想就是把訪問權(quán)限和角色相聯(lián)系通過給用戶分配合適的角色，讓用戶和訪問權(quán)限相關(guān)聯(lián)。角色是根據(jù)企業(yè)內(nèi)為完成(wn chng)各種不同的任務(wù)需要而設(shè)置的，根據(jù)用戶在企業(yè)中的職權(quán)和責(zé)任來設(shè)定他們的角色。用戶可以在角色間進行轉(zhuǎn)換，系統(tǒng)可以添加、刪除角色，也可以對角色的權(quán)限進行添加和刪除等操作。通過應(yīng)用RBAC，可以將安全性放在一個接近組織結(jié)構(gòu)的自然層面上進行管理。共五十頁RBAC的基本原理（續(xù)）RBAC包括用戶（user）、角色（role）和權(quán)限（permission）三個實體:RBAC0: 基本模型(mxng)RBAC1: 增加角色層次RBAC2: 增加約束RBAC3: RBAC1+RBAC2roles(R)permiss-ions (P)users(U)Role Hierarchy (RH)User Assignment (UA)PermissionAssignmen