網(wǎng)絡系統(tǒng)安全接入認證方法探究

將部分輸入作為密鑰時，產(chǎn)生的結果稱為信息認證代碼(MAC)。散列加密算法具備以下特征：具有較高的雪崩效應，輸入很小的變化即可導致顯著的輸出變化；必須具備較好的單向性(不可逆)，從輸出數(shù)據(jù)無法推導出輸入信息；最后，還必須能夠避免沖突，兩個不同的散列輸入不能產(chǎn)生相同的散列輸出。典型的散列算法(移位、異或、與)占用較少的系統(tǒng)資源，實施成本較低。

該方案的前提是：網(wǎng)絡設備和服務器必須有一個共用密鑰，用于MAC散列加密計算。如果網(wǎng)絡設備具有唯一的識別碼(ID)，ID可以用作設備的唯一密鑰。

散列算法的實現(xiàn) 為了嵌入加密散列算法，例如SHA-1，可以選擇：微處理器、ASIC、FPGA或廠商提供的專用器件(表1)。這些器件都可以作為網(wǎng)絡設備的認證令牌進行散列認證。如圖5所示，通過執(zhí)行嵌入在器件內部的SHA-1加密散列運算，由網(wǎng)絡設備和服務器共同產(chǎn)生MAC。

表1： Maxim的SHA-1存儲器件

SHA-1是聯(lián)邦信息委員會出版的180-1和180-2 (FIPS 180-1、FIPS 180-2)以及ISO/IEC 10118-3定義的一種公共標準。目前使用的SHA散列算法是FIPS批準的散列認證方法。由于SHA-1滿足上述三項原則(不可逆、防沖突、較好的雪崩效應)而成為普遍使用的一種算法。

遠程升級功能

Maxim器件的認證協(xié)議提供一個32字節(jié)授權數(shù)據(jù)頁，它可以用于軟件管理或其他控制。對于給定的硬件平臺，可以選擇軟件功能。授權頁的數(shù)據(jù)可以指定啟用哪些功能。Maxim的SHA-1存儲器需要一個SHA-1 MAC完成EEPROM存儲器的寫操作，這一操作還要求服務器對網(wǎng)絡設備進行認證。利用這一功能，即使在沒有安全保護措施的網(wǎng)絡上也可以實現(xiàn)設備的遠程升級。進行寫操作時，SHA-1 MAC需要包括原存儲器數(shù)據(jù)、新的存儲器數(shù)據(jù)以及唯一的器件ID。

該加密技術的關鍵是把部分應用存儲器數(shù)據(jù)作為“隨機數(shù)”。寫MAC實現(xiàn)功能升級時需要包含原功能數(shù)據(jù)、原隨機數(shù)、新功能數(shù)據(jù)、新隨機數(shù)以及唯一的器件ID。得到不可重復的、唯一的升級事件計算結果寫入經(jīng)過認證的器件。圖6所示為寫存儲器MAC的SHA-1 MAC輸入，圖7所示為升級時序。

圖6