计算机网络与通信第10章

《计算机网络与通信第10章》由会员分享，可在线阅读，更多相关《计算机网络与通信第10章（59页珍藏版）》请在装配图网上搜索。

1、第 10章 网络安全 10.1 概述 10.2 两种密码体制 10.3 数字签名和报文摘要 10.4 身份认证和密钥分发 10.5 Internet网络安全技术 10.1 概述 对网络的攻击可分为下面几类： 截取 (interception) 篡改 (Modification) 伪造 (fabrication) 中断 (interruption) 网络安全结构 SA(Security Architecture) ： 身份认证（ authentication） 访问控制 (access control) 数据保密（ data confidentiality） 数据完整 (data integri

2、ty) 不可否认（ nonrepudiation） 10.2 两种密码体制 10.2.1 密码学基础 10.2.2 对称密钥密码体制与 DES算法 10.2.3 公开密钥密码体制与 RSA算法 10.2.1 密码学基础 密码编码学（ cryptography）和密码分析学 (cryptanalysis) 明文 (plaintext)，密文 (ciphertext)，加密 (encryption)，解密 (decryption)，密钥 (key)， 加密密钥，解密密钥。 早期的密钥密码体制 ： 替换密码 (substitution cipher) 替换密码是将明文中每个（或每组）字母由另一个（或

3、 另一组）字母所替换。 变位密码 (transposition cipher) 变位密码是按照某一规则重新排列报文中的字符顺序。 10.2.1 密码学基础 例子，使用密钥 bridge对明文 timebomb will blowup at five 进行加密： 密钥 : b r i d g e 顺序 : 1 6 5 2 4 3 明文 : t i m e b o m b w i l l b l o w u p a t f i v e 10.2.1 密码学基础 现代密码学 对称密钥密码体制 (symmetric key cryptography),典型算 法是 DES 公开密钥密码体制 (publ

4、ic key cryptography)，典型算法 是 RSA Kerckoff原则（ Kerckoffs principle） 加密和解密算法是公开的，而密钥是保密的。 密钥的穷举猜测是一种重要攻击手段 计算上不可破译 : 实用的密码体制一般是计算上不可破译的，而不是理论上不 破译的。 10.2.2 对称密钥密码体制与 DES算法 对称密钥密码体制 特点是解密时使用的解密密钥和加密时使用的加密密钥是 通信双方共享的同一密钥，它称为共享密钥 (shared key)。 C = EK(P) P = DK(C) DK( EK(P) ) = P 10.2.2 对称密钥密码体制与 DES算法 数据加密

5、标准 (DES) 块密码（ block cipher）算法 : 明文被分成 64比特的块，逐 块进行加密。 密钥长 64比特，有效长度是 56比特。 10.2.2 对称密钥密码体制与 DES算法 DES算法 10.2.2 对称密钥密码体制与 DES算法 (1) 初始置换 IP(Initial Permutation) IP(P)将 64比特的排列顺序变换，打乱 ASCII码字 划分的关系。 10.2.2 对称密钥密码体制与 DES算法 1 11 LR R L ( R , K ) ii i i i if 1( R , K ) :iif (2) 16次迭代加密： Ki是 48比特密钥，从原 64比

6、特的种子密钥经过变换生成。 1）计算： 将 32b的 Ri 1经扩展变换 E( )，扩展为 48b的 E(Ri 1 ) 将 E(Ri 1 )与密钥 Ki（均 48b）进行模 2加，得结果 B， 并将 B顺序地划分为 8个 6b长的组 B1 B8: 1 1 2 3 4 5 6 7 8B E ( R ) K B B B B B B B Bii 10.2.2 对称密钥密码体制与 DES算法 扩展变换 E( ) 10.2.2 对称密钥密码体制与 DES算法 将 B1 B8经 S( ) 变换分别转换为 4b的组 G1 G8， 即： G S ( B ) , ( 1 2 8 )j j j j ， ， ， S

7、盒（ S-box）：固定的 4 16矩阵，元素为 015的整数， 例如 S1( ) ： 10.2.2 对称密钥密码体制与 DES算法 16 2345 b b 0 , 1 , 2 , 3 b b b b 0 , 1 , , 1 5 p q 由 Sj ( )矩阵的第 p 行第 q列元素就得到 Gj， 4比特长度。 得到 32b的 G = G1G2G3G4G5G6G7G8。 对于 Bj = b1b2b3b4b5b6, 由它求 Gj ： 将 G进行一次 P( )置换 : 至此，函数变换 f ( )完成 。 1( R , K ) P(G )iif 10.2.2 对称密钥密码体制与 DES算法 P( )置

8、换 10.2.2 对称密钥密码体制与 DES算法 2） 生成 K i 的过程如下： 56 0 0 56 K 8 P C 1 K 56b K C D P C 1 K 将 删 掉 个 比 特 ， 用 置 换 置 换 余 下 的 的 ， 得 10.2.2 对称密钥密码体制与 DES算法 11 K C L S ( C ) D L S ( D ) C D PC 2 4 8 K PC 2 C D i i i i i i i i i i i i 计 算 。 左 循 环 移 位 ： ， 对 进 行 置 换 ， 得 到 比 特 的 密 钥 10.2.2 对称密钥密码体制与 DES算法 解密过程和加密过程使用的算

9、法相同，输入密文 C，但以 逆顺序生成 16个密钥，即 K16 K15 K1, 输出将是明文 P。 DES算法主要使用异或、位循环、替代置换等初级运算， 运算很快，可以用于大量数据的加密。 16 16 16 16 16 1 1 16 16 3 16 P L R , R L 4 I P R L I P 左 右 交 换 将 左 右 交 换 得 。 逆 置 换 将 进 行 10.2.2 对称密钥密码体制与 DES算法 IP逆置换 10.2.2 对称密钥密码体制与 DES算法 DES的发展 （ 1） DES-CBC(DES Cipher Block Chaining) DES是一种长度为 64b的块替

10、代：电子代码本 ECB （ Electronic CodeBook）。 缺点：相同的明文块生成相同的密文块。 C0 = EK ( P0 IV ) C1 = EK ( P1 C0 ) C2 = EK ( P2 C1 ) P0 = DK ( C0) IV P1 = DK ( C1) C0 P2 = DK ( C2) C1 DES-CBC加密过程 DES-CBC解密过程 10.2.2 对称密钥密码体制与 DES算法 （ 2） 三重 DES(Triple DES) 使用两个密钥，长度共 112bit 加密 : C = EK1（ DK2（ EK1（ P） 解密： P = DK1（ EK2（ DK1（ C

11、） 对称密钥密码体制的其它加密算法 国际数据加密算法 IDEA： 128比特的密钥 Rijndael： 128256比特的密钥 10.2.3 公开密钥密码体制与 RSA算法 公开密钥密码体制 使用一对不相同的加密密钥与解密密钥，也称为非对称密 钥密码体制 (asymmetric key cryptography)。 公钥 PK（ Public Key），私钥（ Private Key），记为 SK。 DSK(EPK(P) P 公开密钥密码体制的特点： 加密密钥是公开的，但不能解密，即： DPK(EPK(P)P； 解密密钥是接收者专用的秘密密钥，对其他人必须保密； 加密和解密算法都是公开的； 加

12、密和解密的运算可以对调，即： EPK(DSK(P) P； 在计算机上可以容易地产生 PK和 SK对； 从已知的 PK推导出 SK在计算上是不可能的。 10.2.3 公开密钥密码体制与 RSA算法 公开密钥密码体制 10.2.3 公开密钥密码体制与 RSA算法 RSA算法 基于数论中大数分解的原理：寻求两个大素数比较简单， 而将它们的乘积分解开则极其困难。 PK=e, n， SK=d, n。 n为两个大素数 p 和 q 的乘积， 素数 p 和 q 一般为 100位以上的十进数， e 和 d 满足一定 的关系。第三者已知 e 和 n 时并不能求出 d。 (1) 加密和解密算法 C = Pe Mod

13、 n (加密 ) P = Cd Mod n (解密 ) 10.2.3 公开密钥密码体制与 RSA算法 (2) 密钥的生成 计算 n : 秘密地选择两个大素数 p 和 q，计算出 n = pq； 计算 (n) : 欧拉函数 (n) = (p 1)(q 1) ； 选择 e: 从 0,(n) 1中选择一个与 (n)互素的数 e； 计算 d: d 应满足： e d = 1 Mod(n) 上式表示 e d和 1对模 (n)同余。 得出密钥 : PK e,n ， SK d,n。 10.2.3 公开密钥密码体制与 RSA算法 RSA算法的例子： 选择 p = 3, q =11，计算出 n = pq = 33

14、； 计算 (n) = (p 1)（ q 1） = 20； 从 0,(n) 1= 0,19中选择一个与 20 互素的数 e =7； 7d 1 Mod 20，可求得一个 d =3； PK e,n = 7,33, SK d,n = 3,33。 10.2.3 公开密钥密码体制与 RSA算法 7 3 P 9 P 5 4782969 33 15 5 C 15 C 15 3375 33 9 P 9 1 00 200 664 , 83 R S A R S A e d n p q n 将 明 文 划 分 为 一 个 个 分 组 ， 每 个 明 文 分 组 的 二 进 制 值 不 超 过 ， 设 一 个 分 组

15、为 。 ， 再 除 以 ， 余 数 为 。 这 就 是 对 应 于 明 文 的 密 文 ， 即 。 , 再 除 以 ， 得 余 数 为 , 即 。 实 用 中 ， 当 选 择 和 大 于 位 十 进 制 数 时 ， 大 于 位 （ 比 特 二 进 制 数 ） 可 一 次 对 超 过 个 字 符 的 字 符 串 进 行 加 密 。 算 法 ， 同 样 的 明 文 加 密 为 同 样 的 密 文 。 算 法 涉 及 到 大 整 数 指 数 运 算 ， 计 算 量 非 常 大 ， 速 度 慢 ， 很 少 用 于 大 量 数 据 的 加 密 ， 广 泛 用 于 密 钥 分 发 。 公 钥 密 码 体

16、制 有 私 钥 和 公 钥 两 个 密 钥 ， 更 容 易 实 现 数 字 签 名 。 10.3 数字签名和报文摘要 数字签名（ digital signature） 数字签名应满足以下三点要求： 报文认证 接收者能够核实报文确实是由发送者签发； 报文完整性 无法被中途窃取者和接收者所篡改、伪造； 不可否认 发送者事后无法否认是他签发的报文。 数字签名一般采用公开密钥算法 。 10.3 数字签名和报文摘要 数字签名满足上述三点要求： 因为 P要用 A的 PK-A才能解密 ， 所以报文是用 A的加 密密钥 SK-A加密的 ， 因此 ， B可以认证 P一定是 A签 发的 。 因为 P只能用 A的私

17、钥 SK-A进行签名 ， 中途窃取者和 接收者无 法进行篡改和伪造 。 若 A欲否认曾签发 P给 B， B可将 P及 DSK-A(P)出示给 第三者 ,第三者很容易用 PK-A 由 DSK-A(P)得到 P, 证 实是 A签发了 P， A无法否认 。 10.3 数字签名和报文摘要 具有加密的数字签名： 10.3 数字签名和报文摘要 报文摘要 数字签名存在问题：加密和解密处理花费时间长，有时应用 中某些报文并无加密要求 (但也需防止篡改、伪造和否认 )。 报文摘要 MD(Message Digest，整个报文映射的一个短的位串， 是一种单向的散列函数（ one-way Hash function

18、）。 MD(P)一 般是 128512比特。 为使 MD(P)可以充分地代表 P， MD算法应具有如下特点： 给定一个报文 P, 容易计算 MD(P)， 但反过来 ， 给定一个报文摘要 X, 由 X找到一个报文 P使得 MD(P) = X， 在计算上是不可行的； 若想找到任意两个报文 P和 P， 使得 MD(P) = MD(P)， 在计算上也 是不可行的 。 10.3 数字签名和报文摘要 报文认证码 MAC (Message Authentication Code ) MAC =DSK-A(MD(P) 报文摘要算法保证了 MD(P)能充分地代表 ， 对报文 P来说 ， 同样也起到了数字签名安全

19、性的 3个作用 ， 相当于没有 加密的数字签名 。 它却有一个非常明显的优点：仅对短 的报文摘要 MD(P) 而不是对整个报文 P进行数字签名 ， 可以大大节省处理时间 。 MD5 ， 128比特的 MAC ， 散列算法 SHA(Secure Hash Algorithm)， MAC为 160 比特 ， 新版本是 SHA-1。 10.3 数字签名和报文摘要 使用报文摘要的数字签名 10.4 身份认证和密钥分发 身份认证简介 身份认证（ authentication）也称身份鉴别，是识别通信 对方身份的技术。 身份认证和报文认证有所区别 : 后者是指对每一个收到的 报文的发送者都要认证，而前者是

20、指通过一次通信过程对 对方进行一次身份认证，一般是在数据传输前进行认证。 简单的认证可以通过用户名和口令实现。但口令是可重用 的，容易被攻击者窃听。 身份认证系统需要解决的一个重要问题是如何在网上安全 地分发密钥。 10.4 身份认证和密钥分发 基于对称密钥的身份认证和密钥分发 密钥分发与密钥分发中心 网外分发方式 网内分发方式 密钥分发中心 KDC (Key Distribution Center):为通信双 方生成和分发密钥。 基于对称密钥的身份认证和密钥分发机制 Needham-Schroeder协议 : 基于质询 -响应（ challenge- response）方式。 10.4 身份

21、认证和密钥分发 基于 KDC的 Needham-Schroeder 身份认证和密钥分发 10.4 身份认证和密钥分发 一次性随机数 (nonce, number once): 可以防止窃听者利 用以前截取的报文进行重放攻击（ replay attack）。 会话密钥（ session key） : 一次一密，由机器随机产生， 一般使用速度快的对称密码体制。 基于公钥的身份认证和公钥分发 基于公钥的认证 基于如下质询 -响应方式： 10.4 身份认证和密钥分发 公钥分发 公钥基础设施 PKI (Public Key Infrastructure) 公钥证书 (PK certificate) :

22、基本功能就是将一个公钥与安 全体的名字绑定在一起。证书中不包含私钥。 PKIX基于所谓的证书权威机构 CA(Certification Authority )。 CA负责生成和签发电子公钥证书。 CA用自 己的私钥对公钥证书进行数字签名，用户使用 CA的公钥 验证其他用户证书上 CA的签名，以核实证书的有效性。 这样，通信双方就可以使用对方证书上的公钥认证对方 的身份。 10.4 身份认证和密钥分发 X.509版本 3公钥证书结构 版本号 序列号 签名 算法 颁发者 有效期 主体 主体公 钥信息 颁发者 标识符 主体标 识符 扩展 签名 10.5 Internet网络安全技术 10.5.1 防

23、火墙 10.5.2 网际层安全技术 10.5.3 传输层安全技术 10.5.4 应用层安全技术 10.5.1 防火墙 (firewall ) 防火墙技术 包过滤技术：由包过滤路由器（ packet filtering router）实现 IP级防火墙。包过滤路由器位于内部和 外部网络的连接处，根据 IP包的源地址、目的地址、 源端口号、目的端口号等对 IP包进行过滤，结构和实 现简单。只能控制到 IP地址和端口级，无法做到用户 级的身份认证和访问控制。 代理服务技术：由应用网关 (application gateway) 实 现应用级防火墙。通过应用代理服务程序对应用层数 据进行安全控制和信息

24、过滤，还有用户级的认证、日 志、计费等功能。只能针对特定的应用构建，内部网 络通常需要有多个应用网关。 10.5.1 防火墙 (firewall ) 两种防火墙技术可以组合在一起，形成某种结构的火墙系统。 防火墙的例子 10.5.1 防火墙 (firewall ) 防火墙系统结构 防火墙系统的结构主要分为以下 4种： (1) 包过滤防火墙（ packet filtering firewall） (2) 双穴主机网关防火墙 (dual-homed gateway firewall) (3) 屏蔽主机网关防火墙 (screened host gateway firewall) (4) 屏蔽子网防火

25、墙 (screened subnet firewall) 堡垒主机（ bastion host） 10.5.1 防火墙 (firewall ) (1) 包过滤防火墙 10.5.1 防火墙 (firewall ) (2) 双穴主机网关防火墙 10.5.1 防火墙 (firewall ) (3) 屏蔽主机网关防火墙 10.5.1 防火墙 (firewall ) 非军事区 DMZ (DeMilitarzed Zone): 作为一个额外的缓冲区以进一步隔离内部网络和外部网络。企业对外信 息服务器，如 Web、 Email服务器等可放在 DMZ,包含重要内部信息的 File 和 DB服务器等则放在内部网

26、络。 (4) 屏蔽子网防火墙 10.5.2 网际层安全技术 IP安全 (IPSec) IP协议存在很大的安全隐患： 没有提供数据源的认证 没有为数据提供强有力的完整性保护 没有为数据提供加密性保护 还存在着针对 IP协议的其他攻击 IPSec主要包括以下几个部分： 安全协议 : 认证首部 AH(Authentication Header)和封装安全载荷 ESP(Encapsulating Security Payload); 安全关联 SA(Security Association); 密钥交换 IKE（ Internet Key Exchange） ; 认证和加密算法。 10.5.2 网际层

27、安全技术 安全协议 AH和 ESP AH: 提供 IP数据报的源站身份认证和完整性校验，但不 提供数据报加密。 AH对 IP数据报（除传输中会发生变化 的字段）计算报文摘要后再进行数字签名，即 MAC, 也称 为完整性校验值 ICV(Integrity Check Value)， ICV存于 AH 的一个字段中，供对方进行校验。 AH标准规定必须支持 报文摘要算法 MD5和 SHA-1。 ESP: 可以实现 IP数据报的源站身份认证和完整性校验， 还可以实现数据报的加密。 10.5.2 网际层安全技术 AH和 ESP格式 10.5.2 网际层安全技术 IPsec的两种使用模式： 传输模式和隧道

28、模式 传输模式中的 AH和 ESP 10.5.2 网际层安全技术 隧道模式中的 AH和 ESP 10.5.2 网际层安全技术 安全关联 (SA) SA指定进行安全通信的参数。使用 AH/ESP之前，要通过 密钥交换 IKE在通信双方方之间协商建立 SA。在它们的安 全关联数据库 SAD中存储 SA的参数。 SAD中的 SA参数主要有： 序号计数器 用于生成 AH/ESP首部中的序号； AH认证算法和所需的密钥； ESP认证算法和所需的密钥； ESP加密算法、密钥、初始向量 IV； IPSec协议操作模式 (传输模式 /隧道模式 )； SA的生存期 TTL（ Time To Live）。 安全策

29、略数据库 SPD（ Security Policy Database） 10.5.2 网际层安全技术 因特网密钥交换 (IKE) IKE是自动进行 SA的创建、管理和删除的协议。 IKE是一个混合型的协议，因特网安全关联和密钥管理协 议 ISAKMP(Internet Security Association and Key Management Protocol)以及 Oakley和 SKEME两个密钥交换 协议构成了 IKE的基础。 IKE的密钥协商分为两个阶段： 第 1阶段：对 IPSec对等方进行认证并生成会话密钥供 后续使用，在 IPSec两个端点生成 ISAKMP SA。 第 2阶

30、段：在 ISAKMP SA的保护下，双方协商 IPSec 安 全服务，建立 IPSec SA。 10.5.2 网际层安全技术 DH（ Diffie-Hellman）密钥生成算法 : 生成一个共享密钥，作为会话密钥，用于随后的 IKE 数据交换加密。 10.5.3 传输层安全技术 传输层安全协议 TLS1.0 (Transport Layer Security) TLS有以下特点： 使用 X.509证书进行身份认证； TLS连接是保密性的； TLS连接是可靠的 。 TLS协议工作在传输层 ， 在 TCP之上 ， 应用层之下 。 TLS对 TCP的安全进行扩充 ， 但不包括 UDP。 TLS由两层

31、协议组成 ， 上层主要是 TLS握手协议 ， 还有密码 变更规范协议和报警协议 ， 下层是 TLS记录协议 。 TLS握手协议与密码变更规范协议及报警协议用于建立安全 连接 ， 协商记录层的安全参数 ， 进行身份认证和报告错误信 息 。 TLS记录协议使用安全连接 ， 封装高层协议的数据 。 10.5.3 传输层安全技术 TLS记录协议的操作 10.5.4 应用层安全技术 安全电子邮件 S/MIME(Secure MIME)、 PGP(Pretty Good Privacy)和 PEM (Privacy-Enhanced Mail) PGP加密过程 10.5.4 应用层安全技术 www安全标准 HTTPS是由 Netscape公司提出的 WWW安全标准，它基于 SSL， 实际上是 HTTP over SSL。 SHTTP可以对文档进行加密、完整性校验和数字签名等。 通用安全服务 API 中间件（ middleware）实现所有的身份认证、数据加密和访 问控制等安全功能，并通过 个通用的安全服务应用程序接 口向应用程序提供这些安全服务，使得应用程序不作修改就 可以使用不同的安全服务。 通用安全服务应用程序接口 GSS-API（ Generic Security Service API）