GB/T 39205-2020 信息安全技术 轻量级鉴别与访问控制机制.pdf

  • GB/T 39205-2020  信息安全技术 轻量级鉴别与访问控制机制.pdf为pdf格式
  • 文件大小:1.2 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2020-11-02
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • 1基于异或运算的鉴别机制消息交互示意图

    5.3基于密码杂漆算法的鉴别机制

    包装标准图2基于密码杂凑算法的鉴别机制消息交互示意

    MAC子MACs,实体A对实体B鉴别失败;如果MAC=MACs,则实体A对实体B鉴别成 功.实体A启用会话密钥SK.开始与实体B进行会话。

    5.4基于分组密码算法的鉴别机制

    基于分组密码算法的鉴别机制,利用分组密码算法实现实体A和实体B之间的身份鉴别,交工 见图3。该机制中分组密码算法应使用GB/T32907定义的SM4算法。

    基于分组密码算法的鉴别机制消息交互示意

    GB/T39205—2020

    与实体A的会话密钥。 注:E为一种分组加密算法,CTⅡMIC=E(KEY,S)表示将KEY对S进行加密并计算完整性校验码,其中CT表示 密文外墙标准规范范本,MIC表示完整性校验码,CT和MIC的拆分取决于具体的应用。在一些模式中,需先基于KEY导出消息 完整性校验密钥和消息加密密钥,然后再分别使用该两个密钥计算完整性校验码和密文。在解密验证时,根据 所使用的模式不同,验证完整性校验码和解密的先后顺序可能不同

    轻量级访向控制机制基于分组 等实现对用户的访问控制。较之 内机制,轻量级访问控制机制从 行衡量

    6.2基于分组密码算法的访问控制机制

    访问控制过程如下: a)User在向网络中的DAE发送访问请求之前,首先向DAE发送鉴别请求消息,该消息中主要 包含User产生的随机数Ni; b)DAE收到User的鉴别请求消息后,产生随机数N?,并利用与ACr之间的共享密钥KAcr.DAE 计算ET,=E(KACrDAE,N,),将N,NET,作为鉴别响应消息发送给User,其中,E为对称

    加密算法; User收到DAE的鉴别响应消息后,首先判断消息中的随机数Ni是否是User选择的随机数, 若不是,直接丢弃该消息;若是,则利用与ACr之间的共享密钥KACrUser计算ET,=E (KACr,User,N,),计算消息鉴别码MIC,=HMAC(KACr.User,NIIDDAEIETIlET,),构造实体 鉴别请求消息NIIDDAEIIET,IIET2IMIC发送给ACr,其中,IDpAE是DAE的身份标识; ACr收到User的实体鉴别请求消息后,首先根据MIC判断消息的完整性,若验证不通过,丢 弃该消息;若验证通过,利用与DAE之间的共享密钥KACDAE解密ET1,若解密后得到的N与 User在步骤c)中发送的N,不相等,ACr构造实体鉴别响应消息N,IIIDpAEIRES(DAE)Ⅱ MICz发送给User,其中MIC2=HMAC(KACr,User,NIIIDpAEIIRES(DAE)),Res(DAE) Failure表示ACr对DAE鉴别失败;若解密后得到的N,与User在步骤c)中发送的N相等, ACr利用与User共享的密钥KACr,User解密ET2,若解密后得到的N,与User在步骤c)中发送 的Ni不相等,终止鉴别;若解密后得到的Ni与User在步骤c)中发送的Ni相等,ACr生成 User和DAE间的会话密钥KpAE.User,并根据User的身份标识查询ACL,获得User的访问控 制信息ACLUser,连同User的访问期限Tv,利用KACr.DAE计算ET,=E(KACr.DAE,IDuserI KDAE.User IlTvII ACLUser),并利用KAC,User计算ET,=E(KACr.User,KDAE,User),计算MIC2= HMAC(KACr.User,NIIIDDAEIIRES(DAE)IIET:IIET。),构造实体鉴别响应消息NIIIDDAE IRES(DAE)IIETIIETIMIC,发送给User,其中,RES(DAE)=True表示ACr对DAE 鉴别成功; User收到ACr的实体鉴别响应消息后,首先判断随机数N是否是User选择的随机数,若不 是,丢弃该消息;若是,根据MIC2判断消息的完整性;若验证不通过,丢弃该消息;若验证通过, User根据RES(DAE)判断DAE的合法性,若RES(DAE)=Failure,表示DAE非法,User终 止访问;若RES(DAE)=True,User解密消息中的ET,产生随机数N,连同DAE的随机数 Nz以及User的访问请求利用解密后获得的与目的访问实体间的会话密钥KDAE.User计算ET =E(KAE.User,N2INIDuserIQuser),计算MIC=HMAC(KDAE.User,ETIET,),构造访问 请求消息ET:IIET,IMIC发送给DAE; f)DAE收到User的访问请求后,首先解密ET:,获得会话密钥KpME.User,根据MICs判断消息完 整性,若校验不通过,拒绝访问;若校验通过,利用KDAE,User解密ET5,判断解密后得到的N2是 否是DAE选择的N2,若不是,拒绝访;若是,则确认解密ETs后获得的IDuser是否是请求访 问的User的身份标识,若不是,拒绝访问;若是,记录当前时刻Tc,从Tc到(Tc十Tv)这段时 间即为User的访问有效期,用户只能在此有效期内访问网络数据,DAE根据ACLuser判断 User的访问请求Quser是否合法,若不合法,拒绝访问;若合法,生成应答数据RDAE,连同N:利 用KDAE,User计算ET:=EKDAE,User,N:IlRDAE),计算MIC,=HMAC(KDAE.User,ET),构造访问 响应消息ET,IIMIC,发送给User; g)User收到访问响应消息后,首先根据MIC。判断消息完整性,若不完整,丢弃该消息;若完整 利用KDAE.User解密ET:,判断解密得到的N:是否是User选择的N:,若不是,丢弃该消息;若 是,User保存应答数据RpAE,后续User与DAE之间的访问请求和应答数据均利用KpAE,Us 加以保护

    6.3基于访问控制列表的访问控制机制

    基于访问控制列表的访问控制机制适用于网络对各类用户的访问控制,该机制见ISO/IEC291 12,交互过程见图5。

    基于访问控制列表的访问控制机制消息交互示意

    P,表示用户鉴别成功;如果网关中的实体收到的PASS票小于阈值P,表示鉴别失败, 止该用户的访问;其中阈值P由网络所有者定义,可以是一个PASS票数的固定值,也可 以是一个PASS票的比例值等; 2 鉴别成功后,在用户访问网络的过程中,当前临时访问控制网关中的实体将根据用户的 运动方向、运动速度等对用户将要到达的位置进行测算,并由测算得到的用户将要到达 的位置为中心的所有单跳区域内的所有实体构成下一个临时访问控制网关。当前临时 访问控制网关中的实体在t时间后将用户鉴别成功消息发送给下一个临时访问控制网关 中的实体,下一个临时访问控制网关将根据收到的用户鉴别成功的消息条数是否达到 值P来判断该用户是否鉴别成功。若用户仍处于有效期VP内,且收到的用户鉴别成功 的消息条数大于或等于阈值P,则下一个临时访问控制网关将承认用户的合法性,并将 在时间t后将鉴别成功消息再次发送到下一个新的临时访同控制网关内的实体。鉴别成 功消息在实体间以安全的方式传输。 用户鉴别成功后,通过临时访问控制网关访问目的访问实体,过程如下: 1)用户鉴别成功后,以安全的方式发送访同请求消息给临时访向控制网关,该请求消息中包 含访问请求Q,Q中包含用户请求访问的数据类型; 2 临时访问控制网关收到用户的访同请求消息后,首先判断用户身份鉴别是否通过且用户 是否处于有效期,若用户身份鉴别通过且身份处于有效期,则根据ADT信息判断用户的 Q的合法性电缆标准规范范本,若合法,则将Q以安全的方式发送给目的访问实体,该实体将认为由临时访 问控制网关转发的Q是合法的,并将根据Q产生访问响应消息,并将该响应消息发送给 临时访问控制网关,该网关将转发访问响应消息给用户。访问过程中,如果用户不在有效 期内、或用户在有效期内但Q不合法,目的访问实体将直接丢弃用户的Q,终止该用户的 访问

    ....
  • 相关专题: 信息安全  

相关下载

常用软件