網(wǎng)絡(luò )系統安全接入認證方法探究

將部分輸入作為密鑰時(shí)，產(chǎn)生的結果稱(chēng)為信息認證代碼(MAC)。散列加密算法具備以下特征：具有較高的雪崩效應，輸入很小的變化即可導致顯著(zhù)的輸出變化；必須具備較好的單向性(不可逆)，從輸出數據無(wú)法推導出輸入信息；最后，還必須能夠避免沖突，兩個(gè)不同的散列輸入不能產(chǎn)生相同的散列輸出。典型的散列算法(移位、異或、與)占用較少的系統資源，實(shí)施成本較低。

該方案的前提是：網(wǎng)絡(luò )設備和服務(wù)器必須有一個(gè)共用密鑰，用于MAC散列加密計算。如果網(wǎng)絡(luò )設備具有唯一的識別碼(ID)，ID可以用作設備的唯一密鑰。

散列算法的實(shí)現 為了嵌入加密散列算法，例如SHA-1，可以選擇：微處理器、ASIC、FPGA或廠(chǎng)商提供的專(zhuān)用器件(表1)。這些器件都可以作為網(wǎng)絡(luò )設備的認證令牌進(jìn)行散列認證。如圖5所示，通過(guò)執行嵌入在器件內部的SHA-1加密散列運算，由網(wǎng)絡(luò )設備和服務(wù)器共同產(chǎn)生MAC。

表1： Maxim的SHA-1存儲器件

SHA-1是聯(lián)邦信息委員會(huì )出版的180-1和180-2 (FIPS 180-1、FIPS 180-2)以及ISO/IEC 10118-3定義的一種公共標準。目前使用的SHA散列算法是FIPS批準的散列認證方法。由于SHA-1滿(mǎn)足上述三項原則(不可逆、防沖突、較好的雪崩效應)而成為普遍使用的一種算法。

遠程升級功能

Maxim器件的認證協(xié)議提供一個(gè)32字節授權數據頁(yè)，它可以用于軟件管理或其他控制。對于給定的硬件平臺，可以選擇軟件功能。授權頁(yè)的數據可以指定啟用哪些功能。Maxim的SHA-1存儲器需要一個(gè)SHA-1 MAC完成EEPROM存儲器的寫(xiě)操作，這一操作還要求服務(wù)器對網(wǎng)絡(luò )設備進(jìn)行認證。利用這一功能，即使在沒(méi)有安全保護措施的網(wǎng)絡(luò )上也可以實(shí)現設備的遠程升級。進(jìn)行寫(xiě)操作時(shí)，SHA-1 MAC需要包括原存儲器數據、新的存儲器數據以及唯一的器件ID。

該加密技術(shù)的關(guān)鍵是把部分應用存儲器數據作為“隨機數”。寫(xiě)MAC實(shí)現功能升級時(shí)需要包含原功能數據、原隨機數、新功能數據、新隨機數以及唯一的器件ID。得到不可重復的、唯一的升級事件計算結果寫(xiě)入經(jīng)過(guò)認證的器件。圖6所示為寫(xiě)存儲器MAC的SHA-1 MAC輸入，圖7所示為升級時(shí)序。

圖6