研究背景:
计算机的发明与应用,标志着信息社会的到来。在最近的二十年,信息科学的飞速发展,在推动着人类文明的快速向前迈步的同时,也为社会生产力的蓬勃发展作出了巨大的贡献,创造了巨大的社会财富。
由于计算机网络强调资源的共享和通信的实现,信息系统的安全性,即保密性,可用性,完整性,拒否认性,被提到一个新的高度。信息、编码、加密,从香侬开始进行研究之后,已经从信息技术的角度来对计算机网络系统进行了深刻而广泛的研究。信息安全也渐渐从简单的加密通信,推广到信息系统的各个方面。
信息资源分布在各个局域网中,将各局域网有机地连接起来,以图实现资源的不对称性下的资源共享。也正是由于计算机网络的发展,信息安全技术迅速地发展起来,不再是单机时代的简单的文件加密和解密,而是赋予了信息安全更多的内涵。
要考虑计算机网络的分析和设计,包括实用性,可扩展性,多样性,分布范围等问题,就必须对安全性进行更深刻的研究。
对信息安全的课题的研究,必须在实践性、整体性、可行性、客观性、动态性的前提下进行。信息安全的研究领域很广,其中,安全认证和访问控制是最被关注的论题之一,而加密解密算法是基石,主要利用了难题问题,如离散对数,大数分散,背包问题,椭圆曲线问题。
本课题是结合人工智能中知识的产生式规则形式的理论,和安全认证,将使用产生式规则形式的知识用于认证。谁被证明拥有相关知识,谁就认证通过。
研究现状:
目前,计算机和信息技术在社会生活中的应用已经非常广泛。不论是工厂的生产管理,还是自动化设备的设计,或者是客户关系管理系统,产品数据管理系统,计算机辅助设计系统,决策支持系统,财务管理系统,都离不开信息技术。各种各样的信息都可以通过企业内部局域网和互联网发布或获取,纸件的流通已经不再局限于此,通过互联网的信息交流方式更加高效,即:通过网络来进行信息交流和信息资源的共享。
出于资源共享和通信的目的,各设计生产单位内部都局域网的形式存在,并通过防火墙等设备和外网通信。内网和外网的信息交互日趋频繁,必须保证内网的资源的安全性。由于计算机网络的应用,以前只是局部性地开展的信息安全技术,开始如火如荼地发展起来。
信息资源,是指以计算机及其相关设备为载体,承载在其上的各种形式的信息集合。可以是软件,数据,计算能力等。
资源共享,是指网络中的用户可以把自己拥有的资源和其它用户共享。
目前,主要应用是在开放系统下进行。所谓开放系统,是指计算机和计算机通信环境,根据行业标准的接口所建立起来的计算机系统,它具备以下特征:符合各类标准,技术公开,可移植性,兼容性,互操作性,可扩展性[A3]。
对非对称性资源的访问,都离不开信息安全认证问题。
为了保证安全性,对于信源、信道的加密解密技术被广泛应用。例如,分组密码中的FEISTEL加密算法,AES加密算法,IDEA加密算法。还有公钥密码,包括背包公钥加密算法,RSA公钥加密算法,ELGAMAL公钥加密算法。以及基于线性反馈移位寄存器LFSR的序列密码算法[A1]。
文献[A2]对使用单向HASH函数的MD2,MD5,SHA算法等进行了介绍。同时研究了鉴别(认证)协议的安全性问题。
认证业务提供了关于某个人或某个事物身份的保证。这意味着当某人(或某事)声称具有一个特别的身份时,认证业务将提供某种方法来证实这一声明是正确的。认证又区分以下两种情况:身份是由参与某次通信的一方提交的,这种情况下被称为实体认证。身份是由声称它是某个数据项的发送者的那个人或物所提交的,此身份连同数据项一起发送给接收者。这种情况下被称为数据源认证。实体认证可以是单向的也可以是双向的。所谓单向认证是指通信双方中只有一方向另一方进行认证。所谓双向认证是指通信双方互相进行认证。
认证与以下环境有关:某一成员(声称者)提交一个主体的身份并声称它是那个主体。认证能使别的成员(验证者)获得对声称者所声称的事实的信任。其认证方法可能是基于下列原理中的任何一种:
(1)声称者证明他知道某事或某物,例如口令;
(2)声称者证明他拥有某事或某物,例如物理密钥或卡;
(3)声称者展示某些必备的不变特性,例如指纹;
(4)声称者在某一特定场合提供证据;
(5)验证者认可某一已经通过认证的可信方[A4]。
目前有许多提供认证的方法,其中一些依赖于密码技术,而另一些则与密码技术无关。与密码技术无关的有口令机制,一次性口令机制,询问应答机制,基于个人特征的机制等。而与密码技术有关的机制中,则对称密码技术和公钥密码技术都可以采用。
===
认证技术是信息安全的一道最重要的门户。各种不同类型的系统的第一步保护措施就是安全认证。基于3A的Authentication, Audit, Authorization技术也是以认证为主组成的[14]。文献[15]也对计费(Accounting)进行了研究和实现。
基于CA的认证中心,由于其重要性,也有人对其各方面进行深入的研究[16][17]。
基于3G的认证技术是一个热点[18]。文献[19]IPSEC中的IDE协议的认证进行了研究。由于多媒体信息的普遍获取的需要,文献[20]对目前热门的IP组播中的认证技术进行了研究。文献[21]研究了VOIP技术中的认证和加密的问题。
P2P系统目前其功能越来越强大,吸引消费者的卖点很多,文献[22][23]探讨了其认证技术。
由于访问控制技术和认证技术可以看作信息安全的两大最主流的技术。文献[24]研究了它们的结合的情况。
移动上网获取数据和同同事交流工作,适应了目前许多客户的要求。文献[25][26][27][28]中对无线网有广泛的兴趣和探讨。
加密算法是许多相关的信息安全的重要手段。文献[29][30][31]分析了ECC椭圆曲线密码体制的应用问题,文献[32][33][34]则分析了ELGamal与认证的结合问题。
文献[35]着重深入阐明LDAP可以保存复杂目录,和实现统一登录的问题。文献[36][37]实现了在校园网中进行统一身份认证的问题。文献[38]中实现了协同商务认证,分流CA服务器负荷,利用属性证书实现基于角色的访问控制。
课题内容:
安全认证是信息安全技术中一项最基本的技术,它能第一步就保证信息系统的主要安全性的实现。安全认证主要考虑“是谁,拥有什么,知道什么”三个与知识有关的问题。而在人工智能的理论中,知识的形式有谓词逻辑,语义网络,框架,产生式规则等。文章通过对专家系统中常用的产生式规则形式的知识系统的研究,将其应用于安全认证系统中。
拥有相关知识的客户端,才能同服务端进行认证申请和验证过程,不知道相关知识的客户端,就不可能通过。这里的知识,其形式为产生式规则形式。产生式规则具有“IF……THEN……”的形式。
为了保证安全性的达到,在客户端和服务端需要同时拥有一个相关的密钥,它是一个十进制数。
客户端申请认证时,每次服务端会生成一个不同的随机数。认证过程是这样进行的:两端同时根据密钥和随机数之间的相关特性,将随机数进行单向函数变换。如果两端变换后得到的结果数是相等的,那么认证被验证通过。
目的和意义:
在几乎所有的广泛介绍和研究信息安全系统的文献中,认证都是作为一个主要的和基础的内容来进行分析。此文在已有的维持人工智能关于知识的经验上,考虑到认证要解决的三个主要问题“是谁,是什么,拥有什么”,都可以从某个侧面看作是对知识的处理,而人工智能关于知识的形式,主要有谓词逻辑、产生式规则、语义网络、框架。
POST在1940年代研究产生式规则时,发现其具有和图灵机相当的计算能力和重要性。随着时间的推移,目前,在专家系统中广泛使用产生式规则[39][40],人工智能语言的一种主要应用语言CLIPS就具有这一特点。
用于认证时,可以理解为这样一个概念“如果哪个前来申请的客户端拥有和服务端某些同样的产生式规则形式的知识,那么认证就通过”。
在具体研究认证和产生式规则相结合的过程中,也对产生式规则系统的实现做过研究,即使用CLIPS完成一种多方参加的“拱猪”游戏。
如大家所熟知的,信息安全中,主要有入侵检测,防火墙,访问控制,防病毒,网络攻防。在这些信息安全的研究领域中,都可以看到产生式规则的影子。自从开始学习和研究信息安全一来,此文作者的思考对象一直放在基于产生式规则的认证上,但对于产生式规则可以从一个侧面来研究信息安全,抱有浓厚的兴趣。
例如在网络攻防中,产生式规则是判别敌我的一个重要手段。防火墙也一样。入侵检测也需要用规则来区分误用情况。文献[41][42][43]作者都具有这些内容的广泛经验。经常看到的PC+WINDOWS中对于病毒的筛查,也使用产生式规则,并有许多途径来实现这些产生式规则,保护系统的安全。
研究内容及论文组织结构:
文章首先在绪论部分讨论了研究背景和研究现状,指出计算机网络技术和3G的三网合一正在成为业界的焦点。然后讨论了产生式规则形式知识用于认证的一般情况。
文章在第二章研讨了现有的一般流行的信息安全认证技术。比较得出将产生式规则用于认证是一大类的可能。
文章第三章的内容分为三部分,第一部分,即基于认证的产生式系统模型,包括规则匹配器,事实集,规则库的来源于专家系统模型的构建,第二部分,基于多项式运算变换产生式规则的认证,这里的多项式形式的规则的研究,为第三部分得到新的成果做了铺垫。第三部分的内容,已经被权威核心期刊录用,一种基于产生式规则变换的认证模型的研究,直到这里才使得产生式规则在认证中的应用成为以后研究的基石。
文章第四章主要是在现代软件工程、面向对象技术、VC++6技术的范围内,讨论上述一类的认证系统实现的基本思想和思路。
第五章为总结与展望,对已有的成果的批评和对将来研究的拓展,进行了综述。
第六章部分为致谢。对于给予笔者指导和帮助的人鸣谢。
第七章说明了工程硕士学习期间获得的一些研究成果。
A1、卢开澄,计算机密码学--计算机网络中的数据保密与安全,清华大学出版社,2003,12,第3版。
A2,BRUCE,SCHNEIER,应用密码学-协议、算法与C源程序,机械工业出版社,2000,1。
A3,王育民,刘建伟,通信网的安全-理论与技术,西安电子科技大学出版社,1999,4。
A4,冯登国,计算机通信网络安全,清华大学出版社,2001,3。