7.1 知识子域:密码学
7.1.1 密码学基本概念
密码学(Cryptology)
1.密码学的发展例是
第一阶段:古典密码阶段
转轮密码机
ENIGMA
第二阶段:近代密码阶段
1949 - 1975
香农发表了《保密系统的通信理论》
第三阶段:现代密码阶段
1976年到现在
2.基本保密通信模型
密码学包括密码编码学和密码分析学
相关概念:
明文 Plain text
密文 Cipher text
加密 Encryption
解密 Decryption
加/解密算法
密钥 Key
3.密码系统的安全性
影响密码系统安全性的基本因素包括密码算法复杂度、密钥机密性和密钥长度等
柯克霍夫原则:密码系统中的算法即使背密码分析员所知,也应该无助于用来推导出明文或密钥
系统的保密性不依赖于对加密体制或算法的保密,而依赖于密钥
评估密码系统安全性主要有 3 种方法
(1)无条件安全
(2)计算安全性
(3)可证明安全性
密码系统要达到实际安全,就要满足以下准则
(1)破译该密码系统的实际计算量巨大,以至于在实际中是无法实现的
(2)破译该密码系统所需要的计算时间超过被加密信息的生命周期
(3)破译该密码系统的费用超过被加密信息本身的价值
4.密码算法的分类
(1)受限制的算法与基于密钥的算法
如果算法的保密性是基于保持加/解密算法的秘密,这种算法称为受限制的算法
如果算法可以公开,算法的安全性是基于密钥的安全性,这种算法称为基于密钥的算法
(2)对称密码与非对称密码
根据加密密钥和解密密钥的关系,密码体制分为对称密码算法(Symmetric Cryptosystem)和非对称密码算法(Asymmetric Cryptosystem)
对称密码算法也称为单钥或秘密密钥算法,其加密密钥和解密密钥相同
非对称密码体制又称为双钥或公钥密码体制,其加密密钥和解密密钥不同
非对称密码体值的密钥由公开密钥(public key)和私有密钥(private key)组成
(3)分组密码与流密码
按对明文的处理方式,可将对称密码体制分为分组密码(Block cipher)和流密码(Stream cipher)
流密码也称序列密码
7.1.2 对称密码算法
对称密码算法也称为传统密码算法、秘密密钥算法或单密钥算法,其加密密钥能够从解密密钥中推算出来,反过来也成立
1.算法特点
优点:
算法简单、计算量小、加密速度快、加密效率高,适合加密大量数据,明文长度与密文长度相等
缺点:
(1)需要通过秘密的安全信道协商加密密钥,这种安全信道可能很难实现
(2)密钥管理难
(3)无法解决对消息的篡改、否认等问题
对称密码分为分组密码算法和流密码算法
典型的分组密码包括 DES、IDEA、AES、RC5、Twofish、CAST-256、MARS 等
2.DES 和 3DES
数据加密标准(Data Encryption Standard,DES),是迄今为止世界上使用最为广泛的一种密码算法,它对分析、掌握分组密码的基本原理和设计原理有着重要的意义
(1)DES 选定过程
美国国家标准局采用了 IBM 公司提交的 Luciffer 算法的改进版本
DES 设计中使用了分组密码设计的两个基本原则:混淆和扩散原则
(2)DES 算法过程
(3)DES 与 3DES
两个密钥合起来有效密钥长度有 112 比特
3.AES
高级加密标准(Advanced Encryption Standard,AES)
(1)AES 选定过程
AES 的基本要求是比三重 DES 快而且至少和三重 DES 一样安全,分组长度为 128 比特,密钥长度为 128/192/256 比特
(2)AES 算法过程
4.其他算法
(1)RC4 算法
(2)BlowFish 算法
(3)IDEA 算法
国际数据加密算法(International Data Encryption Algorithm,IDEA)
7.1.3 非对称密码算法
非对称密码算法也称为公钥密码算法
1.算法特点
加密密钥和解密密钥不同,由加密密钥推导出响应的解密密钥在计算上是不可行的
公钥密码体制既可用于加密,也可用于数字签名
基于背包问题的 Merkle-Hellman 背包公钥密码体制
基于整数因子分解问题的 RSA 和 Rabin 公钥密码体制
基于有限域中离散对数问题的 ElGamal 公钥密码体制
基于椭圆曲线上离散对数问题的椭圆曲线公约密码体值
缺点:计算复杂、耗用资源大、导致密文变长
公约密码常见的误解:
(1)公钥密码更安全
(2)公钥密码算法使得对称密码算法成为过时技术
(3)使用公钥密码实现密钥分配非常容易
2.RSA 算法
RSA 的安全性是基于整数因子分解问题的困难性
RSA 算法是第一个能同时用于加密和数字签名的算法
(1)RSA 算法描述
(2)RSA 算法举例
(3)RSA 的安全性
3.SM2 算法
SM2 我国密码管理局于 2010 年 12 月 17 日发布的国家密码标准,是基于 ECC(椭圆曲线密码算法) 的公钥密码算法
我国密码管理部门决定采用 SM2 椭圆曲线算法替换 RSA 算法
(1)SM2 算法原理
(2)SM2 算法应用
SM2 算法是公钥算法,可以完成签名、密钥交换以及加密应用
(3)其他 SM 算法
SM1:对称算法,职能 IC 卡、智能密码钥匙、加密卡等安全产品,广泛用于电子政务、电子商务及国民经济
SM3:哈希算法,产生 256 位的哈希值,适用于商用密码应用中的数字签名和验证,消息认证码的生成与验以及随机数的生成
SM4:对称算法,用于无线局域网产品
SM7:对称算法,适用于身份识别类应用(门禁卡、工作证、参赛证),票务类应用(大型赛事门票、展会门票),支付一卡通类应用(公交一卡通)
SM9:非对称算法,实现数字签名、密钥交换协议以及密钥封装机制和公钥加解密,与 SM2 不同的是可以实现基于身份的密码体制,也就是公钥与用户的身份信息即标识相关,省去了证书管理
4.其他公钥算法
(1)ElGamal 公钥密码算法
基于求解离散对数困难问题
被美国国家标准技术研究所作为数字签名标准(Digital Signature Standard,DSS)
(2)ECC 公钥密码算法
椭圆曲线密码算法,其安全性基于椭圆曲线点群上离散对数问题的难解性
与 RSA 相比,安全性更高、计算量小、处理速度快、存储空间占用小和带宽要求低等优点
7.1.4 其他密码服务
1.哈希函数
哈希(Hash)函数也称为单向散列函数,其主要用途是消息完整性检测和数字签名
哈希函数将任意有限长度比特串映射为固定长度的串
安全的哈希函数需要满足以下性值
单向性
弱抗碰撞性
强抗碰撞性
常用的哈希函数有
MD5 算法
SHA-1 算法:安全 Hash 算法(Secure Hash Algorithm,SHA)
2.消息认证码
消息认证是证实一个收到的消息来自可信的源点,且未被篡改、重放或延迟等的过程
消息认证码和数字签名都是常用的消息认证技术
(1)基本特点
消息认证码也称消息鉴别码(Message Authentication Code,MAC)
(2)基本用法
用法一:MAC 直接附加在消息之后,即 A -> B : M || Ck(M),这种方法不提供对消息的保密
用法二:MAC 直接附加在消息之后,并对整体进行加密,即 A-> B : Ek2(M || Ck1(M))
用法三:先对消息加密,再对密文生成鉴别码,即 A -> B : Ek2(M) || Ck1(Ek2(M))
(3)实现算法
基于对称分组密码的消息鉴别码,称为密码分组链消息鉴别码(CBC-MAC)
基于哈希函数的 MAC,HMAC
3.数字签名
通信双方可能存在欺骗和抵赖,一种有效的解决方案是数字签名
数字签名是非对称密钥加密技术与数字摘要技术的应用
(1)基本特征
不可伪造性,接收者可确认消息的来源
不可否认性,发送者无法否认自己发出了消息
消息完整性,利用哈希函数对消息进行完整性鉴别,使得接收者能确保接收到的消息未经篡改
(2)两种分类
按照对消息的处理方式,数字签名可分为两类:
一种是直接对消息签名,它是消息经过密码变化后被签名的消息整体;
另一种是对压缩消息的签名,它是附加在被签名消息之后或某一特定位置上的一段签名信息
(3)应用示例
7.1.5 公钥基础设施
公钥基础设施(Public Key Infrastructure,PKI),也称公开密钥基础设施
PKI 的本质是实现了大规模网络中的公钥分发问题,为大规模网络中的信任建立基础
1.PKI 架构
PKI 的组成一般包括证书权威机构(Certificate authority,CA)、证书注册机构(Registration Authority,RA)、证书库和终端实体等部分
CA:证书签发权威,也称数字证书管理中心
RA:证书注册机构,又称数字证书注册中心
在逻辑上 RA 和 CA 是一个整体,主要负责提供证书注册、审核以及发证功能
证书/CRL 库:证书/CRL 库主要用来发布、存储数字证书和证书撤销列表(Certificate Revocation List,CRL),供用户查询、获取其他用户的数字证书和系统中的证书撤销列表所用
终端实体:指拥有公私密钥对和相应公钥证书的最终用户,可以是人、设备、进程等
2.数字证书
(1)数字证书格式
国际标准 X.509 定义一个规范的数字证书格式
在 X.509 标准中,数字证书主要包括 3 部分内容:证书体、签名算法类型以及 CA 签名数据
证书体包括以下内容
版本号 Version
序列号 Serial Number
签名算法标识 Signature
签发者 Issuer
有效期 Validity
主题名 Subject
主体的公钥 Subject Public Key Info
发行者唯一识别符 Issuer Unique Identifier
主体唯一识别符 Subject Unique Identifier
扩展与 Extensions
(2)数字证书生命周期
分为证书申请、证书生成、证书存储、证书发布、证书废止 5 个阶段
(3)数字证书分类
按拥有者分:人员证书、设备证书、机构证书
按用途来分:签名证书、加密证书
3.CA
专门负责数字证书的产生、发放和管理,以保证数字证书的真实可靠,这个机构就是证书权威机构 CA
CA 是 PKI 的核心组成部分,PKI 体系也称为 PKI/CA 体系
(1)CA 主要功能
证书的签发和管理
证书撤销列表的签发和管理
证书注册机构的设立、审核及管理
(2)CA 逻辑结构
CA 内部各个系统在逻辑上可分为核心层、管理层和服务层三层
核心层由密钥管理系统、证书签发系统、证书存储发布系统组成
管理层由证书管理系统和安全管理系统等组曾
服务层由本地注册系统、远程注册系统和发布/查询系统等组成
机构设置
RCA-CA-SCA-RA
RCA-CA-RA
4.PKI 互操作模型
信任相关的基本概念
信任 Trust
信任域 Trust Domain
信任锚 Trust Anchor
信任关系
信任路径
PKI 互操作模型主要有以下几种结构
(1)严格层次结构模型
又称树模型或层次模型
A 和 B 必须找到相同的祖先节点才可以互相认证
(2)网状信任结构模型
也称分布式信任模型
网状信任结构把信任分散到两个或更多个 CA 上
(3)桥信任结构模型
也称中心辐射式信任模型
处于中心地位的 CA 称为桥 CA
(4)混合信任结构模型
将严格层次结构模型和网状信任结构模型结合起来,就是混合信任结构模型
5.PKI 应用与发展
PKI 的应用范围非常广泛,虚拟专用网、安全电子邮件、Web 安全、电子商务/电子政务应用等
基于 PKI 技术的 IPSec 协议现在已经称为架构 VPN 的基础
利用 PKI 技术,SSL 协议允许在浏览器和服务器之间进行加密通信
(1)属性证书
特权管理基础设施(Privilege Management Infrastructure,PMI)
(2)漫游证书
(3)无线 PKI(WPKI)
7.2 知识子域:身份鉴别
7.2.1 身份鉴别的概念
1.标识与鉴别
标识是实体身份的一种计算机表达
鉴别是将标识和实体联系在一起的过程
鉴别是信息系统的第一道安全防线,也为其他安全服务提供支撑
2.鉴别的类型
(1)单向鉴别
(2)双向鉴别
(3)第三方鉴别
3.鉴别的方式
实体身份鉴别一般依据以下 3 种基本情况或这 3 种情况的组合:实体所知、实体所有和实体特征
多因素鉴别方法,使用多种鉴别机制检查用户身份的真实性
7.2.2 基于实体所知的鉴别
使用实体所知鉴别机制面临的安全问题是信息泄露和信息伪造
1.口令破击攻击及防御措施
穷举工具是针对口令进行破解的一种方式,它通过穷举所有可能的口令的方法来进行攻击
针对口令破解的防护措施:一是提高口令的强度,加大攻击者破解的时间和难度;二是组织攻击者反复尝试的可能
(1)提高口令的强度目标是确保密码具有足够的复杂性
安全的口令通常包括以下两个特征:易于记忆,而且攻击者难以猜测
(2)组织攻击者反复尝试的可能
2.口令嗅探攻击及防御措施
嗅探攻击的防御措施就是使用密码技术对传输数据进行保护
口令明文和散列建立对应关系,这样的对照表通常称为彩虹表
3.重放攻击及防御措施
重放攻击又称重播攻击、回访攻击
重放攻击的防御措施
(1)在会话中引入时间戳
(2)使用一次性口令
(3)在会话中引入随机数
7.2.3 基于实体所有的鉴别
集成电路卡(Integrated Circuit Card,IC Card)是信息化时代广泛使用的“实体所有”鉴别物品
内存卡(Memory Card)
安全卡(Security Card)
CPU 卡(CPU Card)
7.2.4 基于实体特征的鉴别
实体特征鉴别方式具有以下特点:
普遍性
唯一性
稳定性
可比性
实体特征鉴别系统通常由信息采集和信息识别两个部分组成
1.指纹、掌纹
2.静脉
3.面部识别
4.视网膜、虹膜、巩膜
5.语音识别
6.实体特征鉴别的有效性判断
基于实体特征鉴别的设备拒绝一个已获授权的个人,称为第一类错误,又称为错误拒绝率(False Rejection Rate,FRR)
设备接受了一个本应该拒绝的冒名顶替者,称为第二类错误,又称为错误接受率(False Acceptance Rate,FAR)
可以通过交叉错误率(Crossover Error Rate,CER)比较设备的整体质量,低 CER 的设备比高 CER 的设备更准确
7.2.5 Kerberos 体系
1.单点登录
单点登录就是指用户只需在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是安全凭证在多个应用系统之间的传递或共享
它使用对称密码算法实现通过可信第三方的认证服务
Kerberos 的运行环境由密钥分配中心(Key Distribution Center,KDC)、应用服务器和客户端 3 个部分组成
KDC 提供认证服务(Authentication Server,AS)和会话授权服务(Ticket Granting Service,TGS)
AS 对用户的身份进行初始认证,若认证通过便给用户发放票据授权票据(Ticket Granting Ticket,TGT)
用户使用该票据课访问 TGS,从而获得访问应用服务器时所需的服务票据(Service Ticket,ST)
应用服务器接受用户的服务访问请求,验证用户身份,并向合法用户提供所请求的服务
客户端在用户登录时发送各种请求信息,并接收从 KDC 返回的信息
2.Kerberos 基本认证过程
(1)第一阶段:获得票据许可票据
(2)第二阶段:获得服务许可票据
(3)第三阶段:获得服务
随着用户量的增加,第三方集中认证的方式容易形成系统性能的瓶颈
7.2.6 认证、授权和计费
网络服务提供者多采用认证、授权和计费(Authentication、Authorization、Accounting,AAA)进行远程集中访问控制
AAA 一般采用客户/服务器结构,客户端运行于被管理一方,服务器统一管理用户信息
1.RADIUS
远程用户拨号认证服务(Remote Authentication Dial In User Service,RADIUS)
该协议运行于 UDP 之上,1812 为认证端口,1813 为计费端口
RADIUS 协议仅对传输过程中的密码本身进行加密,而其他部分都以明文传输,对敏感信息不能进行有效地保护,安全性不高
2.TACACS+
专属协议
终端访问控制器访问控制系统(Terminal Access Controller Access-Control System,TACACS)
TACACS+ 协议由 Cisco 公司提出,主要应用于 Cisco 公司的产品中,运行于 TCP 协议之上
7.3 知识子域:访问控制
访问控制的任务是在为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝合法用户越权的服务请求,拒绝非法用户非授权访问,保证用户在系统安全策略下有序工作
7.3.1 访问控制模型的基本概念
访问控制模型通过对主体的识别来限制对客体的访问权限
主体是使信息在客体间流动的一种实体
客体是一种信息实体,或者是从其他主体或客体接收信息的实体
主体和客体的关系是相对的,角色可以互换
访问权限是指主体对客体所执行的操作
常见的文件访问模式如下:
读
写
执行
拒绝访问
对目录的访问模式可以分为读和写
读
写
访问控制的实施一般包括两个步骤:第一步,鉴别主体的合法身份;第二步,根据当前系统的访问控制规则授予用户的访问权
7.3.2 自主访问控制模型
自主访问控制(Discretionary Access Control,DAC)
资源的所有者(创建者)可以规定谁有权访问它们的资源
它是一种对单个用户执行访问控制的过程和措施
常用于多种商业系统中,但安全性相对较低
在 DAC 中主体权限较容易被改变,某些资源不能得到充分保护,不能低于特洛伊木马的攻击
1.访问控制矩阵
DAC 可以用访问控制矩阵来表示
矩阵中的行表示主体对所有客体的访问权限,列表示客体允许主体进行的操作权限,矩阵元素规定了主体对客体被准予的访问权
2.访问控制功能
DAC 通常使用访问控制表或能力表来实现访问控制功能
访问控制矩阵按列读取即形成访问控制表
ACL 可以决定任何一个特定的主体是否可对某一个客体进行访问。它是利用在客体上附加一个主题明细表的方法来表示访问控制矩阵的。表中的每一项包括主体的身份以及对该客体的访问权。
目前访问控制表是自主访问控制实现中比较好的一种方法
能力(Capabilities)决定用户对客体的访问权限,系统必须对每个用户维护一份能力表,即按行读取访问控制矩阵,表示每个主体可以访问的客体及权限
用户可以将自己的部分能力传给其他用户,这样那个用户就获得了读写该文件的能力
在用户较少的系统中,这种方式比较好,但一旦用户数增加,便要花费系统大量的时间和资源来维护系统中每个用户的能力表
3.访问许可和访问模式
访问许可和访问模式描述了主体对客体所具有的访问权与控制权
访问许可定义了改变访问模式的能力或向其他主体传递这种能力的能力,访问模式则指明主体对客体可进行的特定访问操作
这两种能力是对自主访问控制机制的控制方式
7.3.3 强制访问控制模型
强制访问控制(Mandatory Access Control,MAC)是主体和客体都有一个固定的安全属性,系统通过比较客体和主体的安全属性,根据已经确定的访问控制规则限制来决定主体是否可访问客体
能有效防范特洛伊木马
适用于专用或安全性要求较高的系统
1.BLP 模型
Bell-LaPadula 模型,简称 BLP 模型
它是最早也是最常用的一种多级访问控制模型,该模型用于保证系统信息的机密性
BLP 模型基于两个规则保障数据的机密性
简单安全规则
*_规则
下读上写
BLP 模型可有效防止低级用户和进程访问安全级别更高的信息资源,同时,安全级别高的用户和进程也不能向安全级别低的用户和进程写入数据,从而有效地保护机密性
2.Biba 模型
Biba 对系统的完整性进行了研究,提出了一种与 BLP 模型在数学上对偶的完整性保护模型——Biba 模型
Biba 模型基于两条规则确保数据的完整性
即“不下读”
即“不上写”
上读下写
3.Clark-Wilson 模型
Clark-Wilson 模型是一个确保商业数据完整性的访问控制模型
(1)Clark-Wilson 模型定义
(2)Clark-Wilson 模型分析
4.Chinese Wall 模型
是一种同等考虑保密性和完整性的访问控制模型,主要用于解决商业应用中的利益冲突问题,它在商业领域的应用与 BLP 模型在军事领域的作用相当
7.3.4 基于角色的访问控制模型
基于角色的访问控制(Role-based Access Control,RBAC)
所谓角色,实际上就是业务系统中的岗位、职位或者分工
1.基于角色的访问控制模型的构成
RBAC0 是基本模型,规定了所有 RBAC 系统所必需的最小需求
RBAC1 在 RBAC0 的基础上增加了角色等级的概念
RBAC2 则在 RBAC0 的基础上增加了约束
RBAC3 包含了 RBAC1 和 RBAC2,也间接包含了 RBAC0
(1)RBAC0
RBAC0 由 4 个基本要素构成,即用户(U)、角色(R)、权限(P)和会话(S)
(2)RBAC1
RBAC1 包含 RBAC0 的所有元素,并加入了角色等级的概念
(3)RBAC2
RBAC2 包含 RBAC0 的所有元素,并加入了约束的概念
(4)RBAC3
RBAC3 结合了 RBAC1 和 RBAC2,同时具备角色等级和约束,但角色等级和约束之间存在一些矛盾
2.基于角色的访问控制模型分析
该模型的一个主要优点就是简单
使用 RBAC 可以较好地支持最小特权原则
RBAC 还能实施职责分离原则
7.3.5 特权管理基础设施
特权管理基础设施(Privilege Management Infrastructure,PMI)
1.PMI 主要功能
PMI 是与应用相关的授权服务管理基础设施,其主要功能包括以下方面
(1)对权限管理进行了系统的定义和描述
(2)系统地建立起对用户身份到应用授权的映射
(3)支持应用访问控制
2.PMI 体系结构
(1)SOA 信任源点
(2)AA 属性权威机构
(3)ARA 属性注册权威机构
(4)用户
(5)证书/ACRL 库
3.属性证书
4.应用结构
