信息系統(tǒng)安全工程_認(rèn)證技術(shù)_軟件資料

1、信息系統(tǒng)安全工程之認(rèn) 證 技 術(shù)西南交通大學(xué)信息科學(xué)與技術(shù)(jsh)學(xué)院 李曉航Last Modified: 2015.09共五十頁零、認(rèn)證(rnzhng)認(rèn)證(rnzhng)（Authentication）是防止主動攻擊的重要技術(shù), 對于開放環(huán)境中各種信息系統(tǒng)的安全有著重要作用認(rèn)證的主要目的：驗(yàn)證消息來自意定的、真實(shí)的發(fā)送者；驗(yàn)證消息的完整性，在傳送或存儲過程中未被篡改、重放或延遲等；提供不可否認(rèn)性。認(rèn)證采用的主要技術(shù)報(bào)文鑒別（Message authentication）數(shù)字簽名（Digital signature）身份識別（Identity verification）共五十頁一、散列函數(shù)

2、(hnsh)1、散列函數(shù)(hnsh)概況2、常用散列函數(shù)共五十頁1、散列函數(shù)(hnsh)（Hash函數(shù)）概況散列函數(shù)以一個(gè)變長的報(bào)文M作為輸入，產(chǎn)生一個(gè)定長的輸出（散列碼）的函數(shù)，可記為h = H(M) （ |M| |h| )散列函數(shù)的目的是為文件、報(bào)文或其他分組數(shù)據(jù)產(chǎn)生“指紋”，常用于報(bào)文鑒別和數(shù)字簽名散列函數(shù)是一個(gè)多對一的函數(shù)因此在理論上，必定存在不同的報(bào)文對應(yīng)同樣的散列，但這種情況在實(shí)際中必須不可能出現(xiàn)(計(jì)算上不可行)散列函數(shù)本身不是保密(bo m)的散列函數(shù)沒有密鑰的參與，散列值僅僅是報(bào)文的函數(shù)共五十頁散列函數(shù)(hnsh)的需求1、H能用于任意長度的數(shù)據(jù)分組；2、H產(chǎn)生定長的輸出；3、

3、對任意給定的X，H(X)要容易計(jì)算；4、對任何(rnh)給定的 h，尋找 x 使得H(x)=h，在計(jì)算上不可行（單向特性）；5、對任意給定的分組 x，尋找不等于 x 的 y，使得 H(x)=H(y), 在計(jì)算上不可行（弱抗碰撞）；6、尋找任意的一對分組(x，y)， 使得 H(x)=H(y)， 在計(jì)算上不可行（強(qiáng)抗碰撞）。共五十頁散列函數(shù)(hnsh)的有效安全級別假設(shè)散列函數(shù)的輸出為 m 比特，可以將其抗各種攻擊的有效安全級別表示為：這意味著安全散列函數(shù)的輸出長度有一個(gè)下界： 40 bit 的散列長度將非常不安全：因?yàn)閮H僅在220100萬個(gè)隨機(jī)的散列值中就有 50% 的概率發(fā)現(xiàn)一個(gè)碰撞。一般建議

4、(jiny)最小的報(bào)文散列的長度為128 bit，實(shí)際中常采用 160bit。單向2m弱抗碰撞2m強(qiáng)抗碰撞2m/2共五十頁2、常用(chn yn)散列函數(shù)1、 MD5 算法MD5的散列碼只有128比特, 其對抗生日攻擊的有效(yuxio)級是264，從現(xiàn)在的角度看太小，安全性不夠。2、 SHA-1 算法SHA（安全散列算法）由 NIST在1993年公布（FIPS PUB 180），并在1995年進(jìn)行了修訂，稱為SHA-1（ FIPS PUB 180-1）；算法產(chǎn)生160比特的散列碼；SHA-1是目前首選的散列算法。共五十頁常用(chn yn)散列函數(shù)演示輸入字符串：“12345678”25D5

5、5AD283AA400AF464C76D713C07AD7C222FB2927D828AF22F592134E8932480637C0DMD5SHA-1輸入文件（1.4G）：The.Imitation.Game.2014.mp4MD5SHA-1A3DD6A05AD84FB733ECB01EFA275002F93F661DAB2E912AF2802F1BB32BB527739F63107共五十頁二、報(bào)文鑒別(jinbi)1、概述(i sh)2、利用單鑰加密實(shí)現(xiàn)鑒別 3、報(bào)文鑒別碼(MAC)4、帶密鑰的散列函數(shù)共五十頁1、概述(i sh)報(bào)文鑒別的主要用途保證消息的完整性；保證消息來源的可靠性；報(bào)

6、文鑒別的主要方法報(bào)文加密(ji m): 以整個(gè)報(bào)文的密文作為它的鑒別符;報(bào)文鑒別碼（MAC）:以一個(gè)報(bào)文的公共函數(shù)和用于產(chǎn)生一個(gè)定長值的密鑰作為鑒別符;帶密鑰的散列函數(shù)（HMAC）：將秘密因素引入原始報(bào)文，然后對其進(jìn)行散列，并將散列函數(shù)的結(jié)果作為鑒別碼。共五十頁2、利用(lyng)單鑰加密實(shí)現(xiàn)鑒別 報(bào)文加密本身可以提供一定程度的鑒別能力如果(rgu)采用常規(guī)加密，則1）接收方知道報(bào)文一定是由發(fā)送方創(chuàng)建的，因?yàn)閯?chuàng)建該報(bào)文對應(yīng)的密文的密鑰只有發(fā)送方和接收方所共享；2）并且(加密后的)報(bào)文的內(nèi)容沒有被篡改過，如果報(bào)文的內(nèi)容(密文)被篡改，則解密后無法恢復(fù)原始的合法報(bào)文(明文)。報(bào)文的內(nèi)部結(jié)構(gòu)為了增強(qiáng)

7、鑒別能力，最好能使原始的報(bào)文(明文)具有某種結(jié)構(gòu)，這樣在接收端可以通過驗(yàn)證這種結(jié)構(gòu)，來確定報(bào)文是否被篡改。共五十頁利用單鑰加密實(shí)現(xiàn)(shxin)鑒別發(fā)送(f sn)方接收方共五十頁3、報(bào)文鑒別(jinbi)碼報(bào)文鑒別碼（Message Authentication Code，MAC）是一個(gè)定長的數(shù)據(jù)分組，它是報(bào)文和一個(gè)密鑰的函數(shù)：MAC = Ck(M)如果收發(fā)雙方共享一個(gè)密鑰，則1、發(fā)送端發(fā)送報(bào)文時(shí)，可計(jì)算報(bào)文的MAC，并將其附在報(bào)文后一起傳送。2、接收端采用相同的算法和密鑰，對收到的報(bào)文進(jìn)行(jnxng)同樣的計(jì)算，產(chǎn)生新的MAC, 如果新的 MAC 和收到的 MAC相同，則收端可以確信：1

8、）報(bào)文沒有被更改過（包括外界的干擾和人為篡改）；2）報(bào)文來自意定的發(fā)送者。共五十頁利用MAC保證(bozhng)數(shù)據(jù)完整性的原理數(shù)據(jù)發(fā)送方，如調(diào)度系統(tǒng)數(shù)據(jù)接收方，如被控站攻擊者（不知道收發(fā)雙方當(dāng)前的密鑰 K），試圖篡改報(bào)文事先共享密鑰 K在網(wǎng)絡(luò)上傳輸?shù)膱?bào)文，如調(diào)度命令共五十頁采用對稱(duchn)加密算法產(chǎn)生MAC可以將任何工作于CBC模式的常規(guī)分組算法作為MAC函數(shù)，并將CBC的最后一個(gè)分組當(dāng)作MACDAA（Data Authentication Algorithm）算法該算法是使用最廣的MAC函數(shù)(FIPS PUB 113, ANSI X9.17)，基于DES-CBC模式；算法步驟： 1）

9、取IV=0, 并將報(bào)文最后一個(gè)分組用 0 填充(tinchng)成 64 比特； 2）采用 DES 的 CBC 模式加密報(bào)文； 3）拋棄加密的中間結(jié)果，只將最后一組密文（或最后一組密文的左邊 M (16M64)比特）作為MAC；從目前的角度看，64 比特的MAC長度較小共五十頁產(chǎn)生(chnshng)MAC的DAA算法共五十頁4、帶密鑰的散列函數(shù)(hnsh)目前，構(gòu)造MAC方法的研究熱點(diǎn)已經(jīng)從分組密碼(m m)(FIPS PUB 113)轉(zhuǎn)向散列函數(shù)散列函數(shù)的執(zhí)行速度比分組密碼快；散列函數(shù)沒有出口限制。標(biāo)準(zhǔn)的散列函數(shù)并不依賴于密鑰，因此不能直接用于MAC，必須將密鑰和現(xiàn)有的散列函數(shù)結(jié)合起來當(dāng)前獲

10、得廣泛采用的方案是HMAC（RFC2104）共五十頁HMACHMAC（RFC2104）作為 IPSEC中強(qiáng)制實(shí)行的MAC，同時(shí)也被其他的 Internet 協(xié)議（如SSL） 使用HMAC的設(shè)計(jì)目標(biāo)：1）無需修改地使用現(xiàn)有的散列函數(shù)；2）當(dāng)出現(xiàn)或獲得更快或更安全的散列函數(shù)時(shí)，對算法中嵌入的散列函數(shù)要能輕易地進(jìn)行替換；3）保持散列函數(shù)的原有性能, 不會導(dǎo)致算法性能降低；4）使用和處理密鑰的方式很簡單；5）基于對嵌入散列函數(shù)合理的假設(shè)，對鑒別(jinbi)機(jī)制的強(qiáng)度有一個(gè)易懂的密碼編碼分析。共五十頁HMAC的結(jié)構(gòu)(jigu)共五十頁HMAC的結(jié)構(gòu)(jigu)（續(xù)）HMAC的計(jì)算HMACK = Has

11、h (K+ XOR opad) | Hash (K+ XOR ipad) | M ) K+ 是對密鑰K填充生成的b比特(b t)的串opad, ipad是特定的填充常量HMAC增加了三個(gè)散列壓縮函數(shù)HMAC適用于 MD5, SHA-1, RIPEMD-160 等各種散列函數(shù)共五十頁三、數(shù)字簽名1、概述(i sh)2、RSA數(shù)字簽名3、數(shù)字簽名標(biāo)準(zhǔn)DSS共五十頁1、概述(i sh)普通的報(bào)文鑒別能用來保護(hù)通信雙方免受任何第三方的攻擊，然而，它無法防止通信雙方互相攻擊。假定 A 發(fā)送一個(gè)經(jīng)過鑒別的消息給 B，雙方之間的爭議可能有多種形式：1）B 偽造一個(gè)不同的消息，但聲稱是從 A 收到的。2）A

12、可以(ky)否認(rèn)發(fā)過該消息，B 無法證明A確實(shí)發(fā)了該消息。解決以上問題可以用數(shù)字簽名中華人民共和國電子簽名法已于2004年8月28日第十屆全國人民代表大會常務(wù)委員會第十一次會議通過，自2005年4月1日起施行 。共五十頁對數(shù)字簽名的要求(yoqi)1、簽名必須依賴于要簽名報(bào)文的比特模式2、簽名必須使用對發(fā)送者來說是唯一的信息以防止偽造和抵賴3、偽造一個(gè)數(shù)字簽名在計(jì)算上是不可行的包括“根據(jù)已有的數(shù)字簽名來構(gòu)造新報(bào)文”，以及“對給定的報(bào)文構(gòu)造一個(gè)虛假(xji)的數(shù)字簽名”。4、數(shù)字簽名的產(chǎn)生必須相對簡單5、數(shù)字簽名的識別和證實(shí)必須相對簡單共五十頁數(shù)字簽名的定義(dngy)一個(gè)數(shù)字簽名方案是一個(gè) 5

13、 元組（P，A，K，S，V），它滿足(mnz)下列條件P 是所有可能消息的有限集；A 是所有可能簽名的有限集；K 是所有可能密鑰的有限集；共五十頁數(shù)字簽名的定義(dngy)(續(xù))對每一個(gè)kK，有一個(gè)簽名算法sigkS和一個(gè)相應(yīng)的驗(yàn)證算法verkV，對每一個(gè)消息xP和每一個(gè)簽名 yA，每一個(gè) sigk: PA 和 verk: PA真,假 都是滿足下列條件(tiojin)的函數(shù)： 對每一個(gè)kK，sigk 和 verk 應(yīng)該是多項(xiàng)式時(shí)間函數(shù)；其中verk是一個(gè)公開函數(shù)，sigk將是一個(gè)秘密函數(shù)，對一個(gè)給定的 x，只有簽名者能計(jì)算簽名y，滿足verk(x,y)=真。 共五十頁2、RSA簽名(qin m

14、ng)方案1、密鑰產(chǎn)生設(shè)n = p * q，p 和 q 是素?cái)?shù)，P=A=Zn，定義K=(n, p, q, a, b) : a*b1 (mod (n) ，其中 n 和 b 公開(公鑰)，p、q 、a 保密(私鑰)。2、簽名(qin mng)算法（利用私鑰 a，是保密的）y sigk(x) xa (mod n)3、驗(yàn)證算法（利用公鑰 b，是公開的）verk(x,y)=true 當(dāng)且僅當(dāng) x yb (mod n)共五十頁數(shù)字簽名和散列函數(shù)(hnsh)在實(shí)際應(yīng)用中，數(shù)字簽名幾乎總是和散列函數(shù)結(jié)合使用簽名時(shí)，簽名者完成如下工作1）按如下步驟計(jì)算消息 x 的簽名 y x (消息) z=h(x) (摘要(z

15、hiyo) y=sigk(z) 2）將 (x, y) 傳給驗(yàn)證者。驗(yàn)證者收到(x,y)后，完成如下工作1）通過公開的 hash函數(shù) h 重構(gòu)消息摘要z=h(x);2）檢查 verk(z, y) = true ?共五十頁3、數(shù)字簽名標(biāo)準(zhǔn)(biozhn)DSSDSS：Digital Signature Standard；數(shù)字簽名標(biāo)準(zhǔn)DSS（Digital Signature Standard）是 NIST 公布的聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS PUB 186, 最早發(fā)表于1991年，隨后(suhu)在1993年和1996年進(jìn)行了一些修改。DSS 使用了安全散列算法 SHA 和數(shù)字簽名算法 DSA。共五十

16、頁DSS的處理(chl)流程簽名者驗(yàn)證者共五十頁四、身份證明1、概述2、通行(tngxng)字(口令)身份證明3、一次性口令共五十頁1、概述(i sh)身份證明是指在兩方或多方參與的信息交互中，參與者中的一方對其余各方（自稱(zchng)的或未說明的）身份的判斷與確認(rèn)。身份證明還可進(jìn)一步分類為身份驗(yàn)證（Identity Verification）和身份識別（Identity Recognition）身份驗(yàn)證工作的條件包括被驗(yàn)證者個(gè)人的（自稱的）“身份”及作為該“身份”憑據(jù)的個(gè)人信息；身份識別工作的條件只有被識別者的個(gè)人信息，及一個(gè)群體的個(gè)人信息數(shù)據(jù)庫，被識別者很可能屬于該群體。共五十頁實(shí)現(xiàn)(s

17、hxin)身份證明的途徑實(shí)現(xiàn)身份證明的途徑所知：密鑰、口令等；所有：身份證、護(hù)照、信用卡、鑰匙等；個(gè)人特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA等（生物識別）；你做的事情：如手寫(shuxi)簽名和步態(tài)識別等。雙因素認(rèn)證同時(shí)使用上面的兩種途徑進(jìn)行證明，如：口令+智能卡。共五十頁2、通行(tngxng)字(口令)身份證明通行字（也稱口令）身份驗(yàn)證協(xié)議是信息系統(tǒng)中一種使用最為廣泛的身份驗(yàn)證協(xié)議協(xié)議涉及若干示證者（P）和唯一的驗(yàn)證者（V）最簡單的通行字身份驗(yàn)證協(xié)議可以是“one-pass”協(xié)議即整個(gè)過程中只需要(xyo)由示證者 P 向驗(yàn)證者 V 傳送一次消息，其內(nèi)容是示證者 P 的身

18、份標(biāo)識 ID（identity）和通行字 PW（password）。（ID，PW）數(shù)據(jù)對中的 ID 一般事先由驗(yàn)證者 V 為示證者 P 分配以保證其唯一性，數(shù)據(jù)對中的 PW 則可由示證者 P 產(chǎn)生后提交給驗(yàn)證者 V 保存，或由驗(yàn)證者 V為示證者 P 分配并由V保存。共五十頁口令認(rèn)證(rnzhng)基本協(xié)議1、PV：IDp；2、VP：提示P “輸入口令”；3、PV：PWp；4、V從其口令文檔中找出記錄(jl)(IDp,PWp)，如果接收的PWp與記錄中的匹配，就允許訪問。共五十頁基于散列函數(shù)(hnsh)的口令方案 在該方案中，驗(yàn)證者 V 存儲口令的散列值而不是原始口令例如：如采用MD5，則口令1

19、23456在驗(yàn)證者處存儲為MD5(123456)，即E10ADC3949BA59ABBE56E057F20F883E用下述協(xié)議完成鑒別：1）示證者 P 將他的口令傳送給驗(yàn)證者 V；2）驗(yàn)證者 V 完成口令的散列函數(shù)計(jì)算；3）驗(yàn)證者 V 把散列函數(shù)的運(yùn)算結(jié)果和它以前存儲的值進(jìn)行比較。由于驗(yàn)證者不再存儲示證者的實(shí)際口令，所以(suy)攻擊者侵入驗(yàn)證者計(jì)算機(jī)，并偷取口令的威脅就減少了因?yàn)橛煽诹畹纳⒘兄瞪煽诹钍遣豢赡艿?。共五十頁常用通行字字典?yàn)證者采用的變換函數(shù)驗(yàn)證者存儲的經(jīng)過變換的口令表計(jì)算結(jié)果尋找匹配字典(zdin)攻擊（撞庫）字典攻擊（dictionary attack）是將大批可能的通行字經(jīng)

20、目標(biāo)系統(tǒng)(xtng)采用的單向函數(shù)變換后與竊取的目標(biāo)系統(tǒng)(xtng)中的加密通行字表比較，以尋找匹配者。由于人們在選擇通行字時(shí)，通常會選擇一些自己容易記憶的、隨機(jī)性不好的字符串，這就有可能出現(xiàn)在攻擊者選擇的“常用通行字字典”中，從而被發(fā)現(xiàn)。共五十頁3、一次性口令(kulng)一次性口令（One-time Password，OTP）方案可以抵御重放攻擊，其實(shí)現(xiàn)形式包括：1）共享的一次性口令表：驗(yàn)證者和示證者共享一張秘密口令表，每個(gè)口令只用一次。2）按序修改的一次性口令：初始時(shí)驗(yàn)證者和示證者只共享一個(gè)秘密口令，當(dāng)使用第 i 個(gè)口令進(jìn)行認(rèn)證時(shí)，示證者產(chǎn)生第 i+1 個(gè)口令，并用第 i 個(gè)口令作為(z

21、uwi)密鑰進(jìn)行加密，然后傳送給驗(yàn)證者。3）基于單向函數(shù)的一次性口令：這種方案是由當(dāng)前的口令隱含地確定下一個(gè)口令，如S/Key一次性口令協(xié)議，是目前最常用的動態(tài)一次性口令協(xié)議。4）基于TAN(Transaction Authentication Number)的一次性口令：交易中除了靜態(tài)口令外，還要求示證者輸入一個(gè)一次性驗(yàn)證碼（即TAN），這個(gè)驗(yàn)證碼一般通過短信形式發(fā)送給示證者。共五十頁五、訪問控制1、訪問控制概述2、基于(jy)角色的訪問控制共五十頁1、訪問控制概述(i sh)如果說身份認(rèn)證解決了用戶“是誰”的問題，那么用戶“能做什么”就是由訪問控制技術(shù)決定的。訪問控制（Access Con

22、trol）是國際標(biāo)準(zhǔn)化組織定義的 5 項(xiàng)標(biāo)準(zhǔn)安全服務(wù)之一，是實(shí)現(xiàn)信息系統(tǒng)安全的重要(zhngyo)機(jī)制。共五十頁用戶在訪問信息系統(tǒng)時(shí)，1）首先經(jīng)過身份(shn fen)認(rèn)證模塊識別身份；2）然后訪問控制模塊根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定用戶是否能夠訪問某個(gè)資源。 共五十頁訪問控制的基本概念訪問控制是實(shí)現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，目標(biāo)是防止對任何資源進(jìn)行非授權(quán)訪問所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄漏、修改、銷毀和頒發(fā)指令等。訪問控制系統(tǒng)(kn zh x tn)一般包括：主體（Subject）：發(fā)出訪問操作、存取要求的主動方，通常指用戶或用戶的某個(gè)進(jìn)程；客體（Object）：主體試圖訪問的資源

23、，包括硬件資源（如CPU、內(nèi)存、打印機(jī)等）和軟件資源（如進(jìn)程、文件、數(shù)據(jù)庫記錄等）；安全訪問策略：一套規(guī)則，用于確定一個(gè)主體是否對客體擁有訪問能力。共五十頁訪問(fngwn)控制系統(tǒng)示意圖發(fā)起者：即主體；目標(biāo)：即客體；訪問控制執(zhí)行功能（Access control enforcement function，AEF）：負(fù)責(zé)(fz)建立發(fā)起者和目標(biāo)之間的通信橋梁，它必須依照ADF的授權(quán)查詢指示來實(shí)施上述動作；訪問控制決策功能（Access control decision function）：依據(jù)安全訪問策略對發(fā)起者提出的訪問請求進(jìn)行判決，是訪問控制的核心。發(fā)起者（主體）訪問控制執(zhí)行功能AEF目標(biāo)

24、（客體）提交訪問請求執(zhí)行訪問請求訪問控制決策功能ADF決策請求決策結(jié)果共五十頁訪問控制技術(shù)(jsh)的分類計(jì)算機(jī)訪問控制技術(shù)最早產(chǎn)生于20世紀(jì)60年代(nindi)，目前主要有3種訪問控制技術(shù)：自主訪問控制（Discretionary Access Control，DAC）強(qiáng)制訪問控制（Mandatory Access Control，MAC）基于角色的訪問控制（Role Based Access Control，RBAC）共五十頁2、基于(jy)角色的訪問控制（RBAC）傳統(tǒng)的訪問控制技術(shù)都是由主體和訪問權(quán)限直接發(fā)生關(guān)系。隨著信息系統(tǒng)的不斷發(fā)展，當(dāng)主體和客體的數(shù)量都非常巨大時(shí)，傳統(tǒng)訪問控制技

25、術(shù)已經(jīng)不能勝任復(fù)雜的授權(quán)(shuqun)管理的要求。在這種情況下，基于角色的訪問控制（RBAC）逐漸獲得重視并得到廣泛應(yīng)用。NIST認(rèn)為RBAC將成為DAC和MAC的替代者。共五十頁RBAC的基本原理RBAC的核心思想就是把訪問權(quán)限和角色相聯(lián)系通過給用戶分配合適的角色，讓用戶和訪問權(quán)限相關(guān)聯(lián)。角色是根據(jù)企業(yè)內(nèi)為完成(wn chng)各種不同的任務(wù)需要而設(shè)置的，根據(jù)用戶在企業(yè)中的職權(quán)和責(zé)任來設(shè)定他們的角色。用戶可以在角色間進(jìn)行轉(zhuǎn)換，系統(tǒng)可以添加、刪除角色，也可以對角色的權(quán)限進(jìn)行添加和刪除等操作。通過應(yīng)用RBAC，可以將安全性放在一個(gè)接近組織結(jié)構(gòu)的自然層面上進(jìn)行管理。共五十頁RBAC的基本原理（續(xù)）RBAC包括用戶（user）、角色（role）和權(quán)限（permission）三個(gè)實(shí)體:RBAC0: 基本模型(mxng)RBAC1: 增加角色層次RBAC2: 增加約束RBAC3: RBAC1+RBAC2roles(R)permiss-ions (P)users(U)Role Hierarchy (RH)User Assignment (UA)PermissionAssignmen