網絡系統安全接入認證方法探究

將部分輸入作為密鑰時，產生的結果稱為信息認證代碼(MAC)。散列加密算法具備以下特征：具有較高的雪崩效應，輸入很小的變化即可導致顯著的輸出變化；必須具備較好的單向性(不可逆)，從輸出數據無法推導出輸入信息；最后，還必須能夠避免沖突，兩個不同的散列輸入不能產生相同的散列輸出。典型的散列算法(移位、異或、與)占用較少的系統資源，實施成本較低。

該方案的前提是：網絡設備和服務器必須有一個共用密鑰，用于MAC散列加密計算。如果網絡設備具有唯一的識別碼(ID)，ID可以用作設備的唯一密鑰。

散列算法的實現 為了嵌入加密散列算法，例如SHA-1，可以選擇：微處理器、ASIC、FPGA或廠商提供的專用器件(表1)。這些器件都可以作為網絡設備的認證令牌進行散列認證。如圖5所示，通過執行嵌入在器件內部的SHA-1加密散列運算，由網絡設備和服務器共同產生MAC。

表1： Maxim的SHA-1存儲器件

SHA-1是聯邦信息委員會出版的180-1和180-2 (FIPS 180-1、FIPS 180-2)以及ISO/IEC 10118-3定義的一種公共標準。目前使用的SHA散列算法是FIPS批準的散列認證方法。由于SHA-1滿足上述三項原則(不可逆、防沖突、較好的雪崩效應)而成為普遍使用的一種算法。

遠程升級功能

Maxim器件的認證協議提供一個32字節授權數據頁，它可以用于軟件管理或其他控制。對于給定的硬件平臺，可以選擇軟件功能。授權頁的數據可以指定啟用哪些功能。Maxim的SHA-1存儲器需要一個SHA-1 MAC完成EEPROM存儲器的寫操作，這一操作還要求服務器對網絡設備進行認證。利用這一功能，即使在沒有安全保護措施的網絡上也可以實現設備的遠程升級。進行寫操作時，SHA-1 MAC需要包括原存儲器數據、新的存儲器數據以及唯一的器件ID。

該加密技術的關鍵是把部分應用存儲器數據作為“隨機數”。寫MAC實現功能升級時需要包含原功能數據、原隨機數、新功能數據、新隨機數以及唯一的器件ID。得到不可重復的、唯一的升級事件計算結果寫入經過認證的器件。圖6所示為寫存儲器MAC的SHA-1 MAC輸入，圖7所示為升級時序。

圖6