密码服务功能实现方式 笔记

已于 2022-05-06 22:56:21 修改
阅读量2.2w 收藏 8
点赞数 2
分类专栏: 密码技术与应用 国密 密码 文章标签: 安全
于 2021-08-18 10:19:03 首次发布
本博客的博主原创文章均遵循 CC 4.0 BY-SA 版权协议,所有与之冲突的版权协议均为无效协议。
本文链接:https://blog.csdn.net/samsho2/article/details/119774146
版权
密码 同时被 3 个专栏收录
234 篇文章 74 订阅
订阅专栏
密码技术与应用
192 篇文章 58 订阅
订阅专栏
国密
83 篇文章 48 订阅
订阅专栏

1. 概况

密码服务功能:(1)机密性;(2)完整性;(3)真实性;(4)不可否认性

密码服务

目的

实现方法

机密性

避免信息泄露给未授权实体

访问控制

信息隐藏

加密

完整性

避免信息被未授权实体篡改

访问控制

MAC

签名

真实性

实体身份鉴别

密码技术(对称加密、MAC、签名)

静态口令

动态口令

生物特征

不可否认性

产生纠纷时提供可信的证据

发起方的不可否认

接收方的不可否认

签名

发起方/接收方签名或担保方签名

2. 机密性

机密性的目的

避免信息泄露给未授权主体。

机密性的实现方法(三种)

  1. 访问控制:防止访问敏感数据
  2. 信息隐藏:避免发现敏感数据
  3. 加密:可以观察到敏感数据的表示,但无法获取原始信息
      1. 公钥加密:灵活,成本高,用于信息量不大、分享方式复杂的环境,如密钥协商、密钥分发。
      2. 对称加密:大量数据的机密性保护。
        • CBC:IV随机,而不仅仅是不重复。
        • CTR:IV各不相同,即同一密钥下每个计数值只能用一次。

3. 完整性

完整性的目的

避免信息不受非授权主体的篡改。

完整性的实现方法(两种)

  1. 访问控制:限制非授权主体修改被保护的数据
  2. 损坏检测:MAC或数字签名
      1. MAC:HMAC或CMAC
      2. 数字签名:对压缩后的消息进行签名

4. 真实性

真实性的目的

鉴别,实体身份鉴别。

真实性的实现方法(四种)

  1. 基于密码技术:参见GB/T 15843 实体鉴别(共五个部分),包括对称加密、数字签名、密码校验函数、零知识。
  2. 基于静态口令:口令传输过程中使用对称加密、公钥加密、杂凑算法保证口令安全性。
  3. 基于动态口令:GM/T 0021-2012《动态口令密码应用技术规范》
  4. 基于生物特征:如指纹、声音、虹膜等。基于生物特征的鉴别机制一般不直接用于远程鉴别(因为宜遭受窃听和重放攻击),而只是用于设备怼自然人的鉴别。

4.1 基于密码技术的实施方案

4.1.1 对称密码技术——在线认证服务器

每一对声称者和验证者共享一对密钥会导致密钥爆炸。

解决方法是在线认证服务器。

声称者和验证者之前没有共享密钥,但是都和认证服务器共享密钥。

在线认证服务器(方式1

步骤

  1. 声称者用自己的密钥加密、签名,然后发给验证者。
  2. 验证者将鉴别消息转发给认证中心服务器验证。
  3. 认证服务器完成解密、验证后,再用其与验证者之间的密钥,将鉴别信息安全发送给验证者。
  4. 验证者验证鉴别信息。

图1 在线认证服务器(方式1)

在线认证服务器(方式2

步骤

  1. 声称者从认证服务器那里获取许可证(许可证用验证者与认证服务器的共享密钥保护)。
  2. 声称者将许可证发给验证者。
  3. 验证者验证许可证。

图2 在线认证服务器(方式2)

Kerberos就是采用这种认证方式。

4.1.2 非对称密码技术——离线认证服务器

PKI系统

验证声称者证书

证书吊销列表仍然需要从服务器获得。

4.2 基于静态口令的实施方案

口令传输过程中使用对称加密、公钥加密、杂凑算法保证口令安全性。

加入盐值的基于HASH的口令保护方式

设置口令阶段

1. 服务器存(id,q),杂凑值q=HASH(id,pwd)

验证阶段

1. 验证者发送r给声称者。r为不重复的值,如时间戳、单向递增函数、随机数等。

2. 声称者计算q*=HASH(id,pwd*),t*=HASH(r,q*),并发送t*。

3. 验证者计算t=HASH(r,q),比较tt*,相同则通过验证。

r的不重复性保证了每次鉴别信息t*都不一样,抵御了重放攻击。

5. 不可否认性

不可否认性的目的

产生纠纷时提供可信的证据,有利于解决纠纷。分为

  1. 起源的不可否认性:特定方是否产生特定数据证据
  2. 传递的不可否认性:特定接受者是否接收了特定数据证据

不可否认性的实现方法(一种):

  1. 数字签名

具体实施方案

  1. 起源的不可否认性
      1. 使用发起者的数字签名:
      2. 使用可信第三方的数字签名:可信第三方作为发起者的担保。可信第三方对数据、发起者身份、其它信息(如时间)进行签名。
  2. 传输的不可否认性
      1. 接受者的签名确认:
        • 对以下信息进行数字签名,产生确认信息给发起者:被传递的数据副本或其杂凑值、其它信息(如时间)。
        • 签名必须由接受者生成,或为接收者担保的可信第三方。
        • 此方案不能防止接收者阅读了信息但是拒绝生成证明的情况。
      2. 使用可信传递代理:
        • 在发起方与接收方之间插入可信传递代理;
        • 待接收方生成不可否认证据后才将信息转发给接收方。
      3. 使用两阶段传递:描述的方案有问题,略。(可参见[1]P92

参考文献

  1. 商用密码应用与安全性评估编委会, 商用密码应用与安全性评估. 北京: 电子工业出版社, 2018.
艾米的爸爸
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
precedence:优先为您现有的旧版信息系统带来了由区块链支持的安全可追溯性功能
04-29
这个软件是做什么用的? 优先为您现有的旧信息系统带来了由区块链支持的安全可追溯性功能! 优先事项是第一个开源分类帐,允许非区块链专家以最少的精力放置透明,不可变和可加密验证的交易日志,并完全集成到其现有数据库或文件系统中。 优先级符合多个数据源: 文件系统 SQL数据库 NoSQL数据库 流处理 通过将数据源连接到优先级,您将自动获得: 每个连接的数据的存在性证明; 符合您的PKI的所有权证明; 每个信息的自动版本控制系统。 所有这些功能使您能够将安全的,基于区块链的可追溯性功能引入旧信息系统。 优先级与所考虑的数据类型无关,可用于为您已经在信息系统中操作的每个数据带来不可改变且不可否认的可追溯性。 您的系统很可能已经合规,因此无需对它进行修改即可开始使用priority 。 优先级由编辑,因此您可以依靠我们为您托管解决方案,在部署过程中为您提供支持,并为您提供非常强大
阿里云混合云密码应用分析
阿里云混合云
06-24 724
“十四五”是国家数字化战略转型建设的关键阶段,5G、人工智能、云计算、大数据等新一代信息技术进一步加快了工业和信息化领域数字化转型的步伐。与此同时,也带来了新的网络安全风险。加快推动商用密码与新一代信息技术的深度融合和协同创新,增加商用密码技术在工业和信息化领域应用推广,提升安全保障能力已达成业界广泛共识。...
密码机分类---服务密码
Lapedius的博客
09-28 1万+
密码机分类---服务密码服务密码机描述产品标准使用方式 服务密码机描述 服务密码机作为通用型密码机产品,主要为应用提供最为基础和底层的密钥管理和密码计算服务。下图是典型的服务密码机软硬件架构。 从硬件上看,服务密码机通常分为两类,一类是采用工控机+PCI/PCI-E密码卡的结构:密码卡进行实际的密钥管理和密码计算,集成在工控机上供其调用;另一类服务密码机采取硬件自主设计的技术路线,将计算机主板的功能密码芯片集成到一个板卡上,以进一步提高集成度和稳定性。 服务密码机的管理员一般拥有较高的
密码应用安全性评估实施之(一)密码应用方案设计
热门推荐
Lapedius的博客
03-13 2万+
密码应用安全性评估实施之(一)密码应用方案设计1、 设计原则2、 设计要点(1) 密码应用解决方案设计要点(2) 密码应用实施方案设计要点(3) 密码应用应急处置方案设计要点(4) 已建信息系统密码应用方案提炼 密码应用安全性评估包括两部分内容:信息系统规划阶段对密码应用方案的评审/评估和建设完成后对信息系统开展的实际测评。 1、 设计原则 密码应用方案设计是信息系统密码应用的起点,它直接决定着信息系统的密码应用能否合规、正确、有效地部署实施。此外,密码应用方案还是开展信息系统密码应用情况分析和评估工作的基
DSaaS,一个创新的云密码服务
peipei890819的博客
03-22 1042
笔者相信许多读者对“SaaS”这个名词并不陌生,但考虑到可能有些非IT读者不了解,我先简单介绍一下SaaS。 SaaS即Software as-a-Service(软件即服务,通过网络提供软件服务),SaaS是随着互联网技术、云计算技术的发展和应用软件的成熟,在21世纪开始兴起的一种完全创新的软件应用模式。传统模式下,厂商通过卖软件许可将软件产品部署到企业内部多个客户端实现交付。SaaS定义了一种新的交付方式,也使得软件进一步回归到服务本质。企业部署信息化软件的本质是为了自身的运营管理服务,软件的表象是一种
密码服务平台技术架构
qq_18394153的博客
06-20 4737
密码服务平台,高效、统一的密码服务
密码笔记1-信息安全的基本属性(机密性、认证、完整性、不可否认性)
jiangqiubai12381的博客
05-20 2万+
机密性(confidentiality):保证信息被授权者使用而不泄露给未授权者;即让未授权者看不到信息或者看不懂信息; 认证(Authentication):认证包括消息认证和身份认证; 消息认证:消息认证包括消息源认证(消息来源未被冒充)和消息完整性(消息未被篡改) 身份认证:保证通信实体的真实性 证明“你就是你” 完整性(Integrity):数据完整性和系统完整性 数据完整性:数据未被未授权篡改或损坏 系统完整性:系统未被非授权操控,按既定的程序运行 系统没有被“动过” 不可否认性(Non-repu
cia 安全三要素_CIA安全治理简介–机密性,完整性,可用性
cunjiu9486的博客
10-09 6087
cia 安全三要素Security Governance are implemented with management concepts, security policies, implementation etc. While working with these items we need some parameters to understand and describe security...
4安全技术——密码安全功能及其实现途径
技术专栏
05-22 261
密码应用安全功能及其实现途径
【钡铼技术知识课堂】工业互联网30个名词术语详细解释
钡铼技术工业物联网
01-11 677
随着工业互联网的发展和新理念、新技术的引入,围绕工业互联网出现了大量术语和定义。本篇文章主要对工业互联网术语和定义进行了汇总和梳理,可用于统一业界对关键术语和定义的认识和理解,加深应用。
Android开发笔记SQLite优化记住密码功能
08-30
主要为大家详细介绍了Android开发笔记SQLite优化记住密码功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
vue-evernote:Vue技术栈实现的云笔记项目,印象笔记功能基本都实现:closed_book:
04-28
Vue云笔记项目 技术栈 前端: Vue Vue-Router Vuex iView Stylus Axios Markdown-it ...功能及效果 (效果图为动态图,...每个笔记也可以进行相应的添加笔记,删除笔记,更新笔记,编辑笔记功能,同时,笔记可以以markdow
jQuery实现6位数字密码输入框
12-28
 前几天,项目有个功能和某宝购物支付密码的输入框有点类似,就自己写了这篇博文,权当总结笔记吧。  啰嗦半天了,直接上代码: 结构层: 请在下方输入6位数字 <input type=tel maxlength=6 class=ipt-...
基于JAVA的云笔记系统的设计与实现
04-18
4.1.3 修改密码功能 9 4.2 笔记本模块 9 4.2.1 创建笔记本 10 4.2.2 删除笔记本 10 4.3 笔记模块 11 4.3.1 创建笔记 11 4.3.2 修改笔记 11 4.3.3 删除笔记 12 第五章 系统测试 12 5.1 软件测试的定义 12 5.2 软件...
Python学习笔记:7.3.2 注册
01-20
前言:本文是学习网易微专业的《python全栈工程师 – Django快速建站》课程的笔记,欢迎学习交流。同时感谢老师们的精彩传授! 一、课程目标 实现用户注册功能 二、详情解读 2.1.用户注册 2.1.1.基本功能 填写注册...
信息安全五大特性
qq_39440893的博客
02-27 2万+
网络信息安全五大特性:①完整性、②保密性、③可用性、④不可否认性、⑤可控性,综合起来说就是保障电子信息的有效性。 1.完整性:指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。 1.1 完整性实现 数据完整性保护有两种基本方法:一是访问控制方法,限制非授权实体修改被保护的数据;二是损坏-检测方法,这种方法无法避免数据损坏,但能确保这些损坏能够被检测出来,并能够被纠正或报警。一般通过消息鉴别码 (MA...
时间戳服务器作用,时间戳服务
weixin_34873494的博客
07-31 1962
签发时间戳功能用户将需要加盖时间戳的数据,经过消息摘要后发送至时间戳服务器,由时间戳服务器返回的包含可信时间元素的信息包给客户端,完成时间戳的签发。验证时间戳及信息提取功能根据文件、二进制数据、摘要值、时间戳请求验证时间戳签名。获得签发时间戳时的时间,获得时间戳中包含的消息。时间戳审计功能将时间戳请求和签发的时间戳数据保存在服务器端,可以为将来取证提供初始数据。同时系统提供了日志的管理功能,管理时...
密码服务功能实现方式
technologyleader的专栏
02-10 763
1.概况 密码服务功能:(1)机密性;(2)完整性;(3)真实性;(4)不可否认性 2. 机密性 机密性的目的 避免信息泄露给未授权主体。 机密性的实现方法(三种) 访问控制:防止访问敏感数据 信息隐藏:避免发现敏感数据 加密:可以观察到敏感数据的表示,但无法获取原始信息 公钥加密:灵活,成本高,用于信息量不大、分享方式复杂的环境,如密钥协商、密钥分发。 对称加密:大量数据的机密性保护。 CBC:IV随机,而不仅仅是不重复。 CTR:IV各不相同,即同一密钥下每个计数值只能用一次。 3...
密评知识测试卷(二)
qq_44046178的博客
09-27 1万+
商用密码知识测验题库 (二) 解析中P2指《商用密码应用与安全性评估》教材中的页码,有错的答案欢迎在评论区留言 填空题(每空1分,共40空,计40分) 1、密码是指采用____特定变换____的方法对信息等进行__加密保护______、安全认证_____的______技术、产品______和__服务___。 2、在我国,密码分为_________核心密码_、普通密码__________、商用密码_,其中商用密码用于保护不属于国家秘密的信息。 3、______密码算法______是实现密码对信息进行“明”“密
笔记本无线网卡驱动控制软件功能
最新发布
06-08
4. 网络安全设置:可以设置网络加密方式密码等安全设置。 5. 网络故障诊断:可以帮助用户诊断网络故障,检查无线网卡驱动程序、Wi-Fi路由器和网络设置等方面的问题。 6. 统计数据和日志记录:可以统计无线网卡的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值