计算机网络安全与应用技术第二章-其它

第二章 密码技术 计算机网络加密技术与密钥分配,计算机网络安全与应用技术,卫文学 信息科学与工程学院,2003 山东科技大学,网络通信加密,在用加密提供保密业务时，首先需要决定那些内容需要加密以及加密用在网络中的那些环节。我们首先讨论网络通信中保密业务易受攻击的薄弱环节，然后介绍两种主要的加密方式。,1、保密业务易受攻击的薄弱环节,服务器,通信服 务器,配线柜,工作站,2、开放系统互联参考模型（OSI）演示,发送进程,接受进程,3、Internet上使用的通信协议-TCP/IP协议,虚拟终端,文件传输,电子邮件,Web服务,传输控制协议TCP,用户数据报协议UDP,控制消息协议ICMP,ARP,RARP,网络层协议IP,局域网,电话网,卫星网,公用数据网,（TCP/IP参考模型）,OSI模型,57,4,3,2,应用 层,运输 层,网络层,数据链 路层,发送进程,接受进程,Internet的数据通信过程及地址转换 演示,8 ,9 , , ,8 ,A,B,C,D,E,发送进程,接受进程,主机A与主机B通信,TCP 80,9 8,B A,HTTP,8 ,9 , , ,8 ,A,B,C,D,E,发送进程,路由器C,主机A与主机E通信,TCP 80,8 8,C A,HTTP,接收进程,路由器D,主机A与主机E通信,TCP 80,8 8,E D,HTTP,4、网络加密方式,针对不同的网络入侵和攻击手法，根据Internet网上不同子网的网络性能和不同用户具体的安全需求，可以采用以下成熟的安全防范策略。 通讯数据加密可防止信息被非法窃听，使公开信道变为保密信道。密码技术的不断发展，为选择加密算法提供了多种可能。常用算法如：DES、RSA、IDEA、SAFERK64等，有的算法强度不够(如DES，密钥长度及复杂度相对不够)，易受攻击；有的算法强度很高，但耗费时间也长，可能成为整个系统的瓶颈，降低了系统的运行效率，不能满足像在Inter net上进行多媒体影像传输等高速传输的要求。因此，可靠的安全性与网络的高效性往往是矛盾的，需要在安全风险与网络性能上折中考虑，可根据Internet上不同的实际应用来选择相适应的算法，对来自高层的会话实体进行加密。,现在常见的网络加密方式有下面三种： 链路加密：链路加密是对网中两个相邻节点之间传输的数据进行加密，在受保护数据所选定的路径上，任一对节点或相应的路由器之间安装有相应的加解密装置及相应的密钥。 端-端方式加密：它对一对用户之间的数据连续地提供保护。它要求用户(而不是各节点采用相应密钥)对于传送信道的各中间节点，数据是保密的。 混合加密：在此方式下，报文被两次加密(链路加密和端-端加密)，而报头只由链路方式进行加密。,表示端-端加密设备,表示链路加密设备,通信的业务流保密业务,对通信的业务流进行分析是入侵者的攻击手段之一，称做业务流分析攻击。通过这种攻击，攻击者可获得以下消息：通信双方的身份；通信双方通信的频率；消息的模式、长度；与通信双方某次特定会话相关联的事件。,在链路加密方式中，数据报的报头是被加密的，有助于抵抗敌手进行业务流量分析。然而如果攻击者能够获得网络中业务流量、获得进入某个终端或从某个终端发出的业务流量数，仍然有可能进行业务流量分析攻击。抵抗这种攻击的有效手段是对业务流进行填充。,不连续的 明文输入,连续的随机数产生器,加密算法,连续的 明文输出,发送进程,接受进程,在端-端加密方式中，有效的方法是在运输层或应用将数据单元填充到同一长度，并且将空消息随即地插入数据流。,不同层次的加密方案,链路层报头,IP报头,TCP报头,数 据,链路层报尾,（a）应用层加密（链路上和路由器、网关中）,链路层报头,IP报头,TCP报头,数 据,链路层报尾,（b）网络层加密（链路上和路由器中）,网关中,链路层报头,IP报头,TCP报头,数 据,链路层报尾,链路层报头,IP报头,TCP报头,数 据,链路层报尾,（C）链路层加密（链路上）,路由器和网关中,链路层报头,IP报头,TCP报头,数 据,链路层报尾,密钥管理,1、密钥管理简介密钥管理本身是一个很复杂的课题，而且是保证安全性的关键点。密钥管理包括确保产生的密钥具有必要的特性，通信双方事先约定密钥的方法以及密钥的保护。密钥管理的方法实质上因所使用的密码体制（对称密码体制和公钥密码体制）而异的。,所有密钥的都存在生存期： 拥有大量的密文有助于密码分析；一个密钥使用的太多，会给攻击者增大收集密文的机会； 假定一个密钥受到危及或用一个特定密钥的加密、解密过程被分析，这限定使用期限实质上限制了危险的发生。所谓一个密钥的生存周期是指授权使用密钥的周期。一般经历以下几个阶段： 密钥的产生，有可能需要登记； 密钥分配； 启用密钥/停用密钥；,替换密钥或更新密钥； 撤销密钥； 销毁密钥。 密钥的产生： 密钥的产生必须考虑具体密码体系的公认的限制，例如避免RSA的弱密钥。密钥的产生必须确保一个合适的随机过程。如果密钥的选择过程有一定的约束，就缩小了攻击者的搜索密钥的空间。因此，选择一个好的随机数生成器产生密钥，最好是物理噪声源。当然，也可以用一个秘密的种子控制伪随机数产生器生成密钥，当然这要慎重使用。,密钥的登记 密钥的登记包括将产生的密钥与特定使用捆绑在一起，例如数字签名的密钥与身份捆绑在一起。 密钥的撤销 怀疑特定的密钥受到威胁或密钥的使用目的改变（例如提高安全级别），相关系统迁移。 密钥的销毁 密钥的销毁包括消除一个密钥的所有踪迹。密钥停止使用后可能需要持续一段的时间。例如，加载的加密数据流包含的信息可能需要持续保密一段时间。为此，密钥需要保留到它所保护的信息不再需要保护为止。密钥停用后，安全销毁所有的敏感密钥的拷贝十分重要。必须使得攻击者通观察旧的数据文件，存储内容或抛弃的设备来确定旧的密钥匙不可能的。,密钥的完整性保护密钥传送时需要保护，保护方式： 由一个可信方来分配； 将一个密钥分成两部分，委托给两个不同的人； 通过机密性（例如另一个密钥的加密）或完整性服务来保护。 在网络安全中，用最后一种办法导致了密钥层次的概念，通常出现在密钥管理中的。,金融机构密钥管理采用一个多级层次密钥机构来实现。用于加密的大部分的密钥频繁更换。显然密钥分配不适合用手工分配完成，因为这种系统时间消耗太多，而且代价非常大。因此，人们将密钥分为两大类初始密钥和密钥加密密钥。初始密钥是用保护数据的，而密钥加密密钥，顾名思义，是用来保护初始密钥的。初始密钥又被称为会话密钥，而密钥加密密钥称为主密钥。,2、基于对称密码体制的密钥分配,ANSI X9.17（美国国家标准-金融机构的密钥管理）采纳了一个三层密钥层次结构： 主密钥（KKMs），通过手工分配； 密钥加密密钥（KKs），通过在线分配； 初始密钥或数据密钥（KDs）。 一般来说，用KKMs保护KKs或KDs的传输。用KKs保护KDs的传输。,上面这种结构存在一个主要问题是，如果有n个成员组成的团体希望相互通信，那么需要手工分配的主密码数为n*(n-1)/2，如果是在大型网络中，主密钥分配难以处理。为了解决这个问题，人们建议在主密钥分配结构中引进密钥中心，产生第二种结构。,采用这种结构的话，每个成员只要和密钥中心共享一个主密钥，但是通信方之间无需共享主密钥。所以，密钥分配数量为n。 密钥中心结构有两种变体密钥分配中心和密钥传输中心。假设A希望和B建立通信： 密钥分配中心：A从密钥中心申请密钥。密钥中心产生密钥返回给A。返回方式两种：一是用A的主密钥加密返回，另外是用B的主密钥加密返回，然后A要和B通信，再将用B主密钥加密密文发送给B。 密钥传输中心：唯一不同是由A产生密钥。,支持密钥传输的密钥管理协议也必须能抵抗旧密钥传输的重放。否则，导致入侵者可代替密钥。对付重放攻击方法： 密钥计数器：传输消息的密钥都有一个标记它的序列号。序列号附加到该密钥的一对用户传输的每一条消息上。 密钥调整：将一个与密钥加密密钥有关的计数序列与密钥加密密钥进行异或后，再加密所分配的密钥。接受者在解密前也同样的进行调整。 时戳：每个传输消息有一个标记他的时戳。时戳太旧的消息被接受者拒绝接受。,基于公钥密码体制的密钥分配,公钥密码体制便于密钥管理，特别适用于大型网络中的密钥管理。只使用对称密码体制，必须维护许多对的密钥关系和配置可信的在线密钥中心。使用公钥体制，只要维持少量的密钥关系，而且公钥能被分配而无需机密性保护。但是，公钥密码体制的处理速度太慢，迫使我们通常采用公钥密码体制分发密钥，采用对称密钥加密数据。,例如：成员A和成员B想使用RSA建立一对初始密钥（或会话密钥），那么具体的步骤如下： 成员A获得成员B的公钥； 成员A随机的生成一个对称密钥K，并将密钥K用B的公钥加密后发送给B； B解密获得密钥K。此方法不需要在线服务器和成员间的磋商，适用于诸如加密电子邮件等应用。,3、公钥密码体制密钥分配和公钥证书,公钥密码体制的密钥分配要求和对称密码体制的密钥分配要求有着本质的差别。对称密码体制下，密钥是被通信双方共享，而对外保密的；而公钥密码体制下，秘密密钥只有通信一方知道，相应的公钥对外开放，任何人都可以采用此公钥和秘密密钥的拥有者进行秘密通信。,虽然公钥的分配不需要机密性，但是完整性是必需的。绝对不允许攻击者用别的值代替成员A的公钥使得成员B相信这个值是成员A的公钥。否则，攻击者通过伪造A的公钥可以实施身份冒充，因为成员B是靠公钥来鉴别A的身分的。因此，需要采用特定的方式来分配公钥。目前，人们采用证书的格式进行分配。一般来说，证书是一个数据结构，它由证书用户可信的某一个成员进行数字签名。一个公钥证书是将某一成员的识别符和一个公钥值捆绑在一起。证书数据结构由某一被称作为认证机构的成员进行数字签名。用户提前知道认证机构的真实公钥，那么用户可检查证书的合法性。,证书,证书类型简单来说，公钥证书是用来绑定实体姓名（以及相关属性）和相应的公钥的。证书存在许多类型，包括： X.509公钥证书； 简单的PKI(Simple Public Key Infrastructure)证书 PGP(Pretty Good Privacy) 证书； 属性(Attribute)证书。,X.509版本3的证书结构：,版本号标示证书的版本(V1,V2或V3)。 序列号由证书颁发者分配的本证书的唯一标识符。 签名签名算法的标识符（由对象标识符加相关的参数组成），用于说明本证书采用的数字签名的算法。 颁发者证书颁发者的可识别名(DN)，这是必须说明的。 有效期证书有效的时间段。 主体证书拥有者的可识别名，此字段必须是非空的，除非使用了其他的名字形式。 主体的公钥信息主体的公钥（以及算法标识符）。 颁发者唯一标识符证书颁发者的唯一标识符，仅在V2和V3中要求，属于可选项。,认证机构和证书机构要将实体（及其属性）和公钥捆绑在一起就需要证书，而认证机构(CA)负责颁发这些公钥证书的机构。这些证书上都有颁发者CA的私钥签名。在这里，我们称CA为认证机构。因为CA在它所颁发的证书上进行了数字签名，所以从完整性的角度来看，证书是得到了保护的。因此，证书可以随意的传播假定它不含有任何敏感信息。,证书的产生过程公钥证书由管理机构（认证机构）