第8章 网络安全

计算机网络第8章网络安全第8章网络安全8.1密码学8.2对称密钥算法8.3公开密钥算法8.4数字签名8.5公钥的管理8.6通信安全8.7认证安全8.8电子邮件安全8.9Web安全8.1密码学密码(cipher)是指逐个字符或者逐个位的进行变换，它不涉及到消息的语言结构。编码(code)则是指用一个词或符号来代替另一个词。8.1.1密码学简介明文(plaintext)：待加密的消息。密文(ciphertext)：密文经过密钥(key)为参数的函数变换所得到的输出结果。图8.2加密模型(假定使用了对称密钥密码)8.1.1密码学简介标记：明文：P密文：C密钥：KC=Ek(P)表示用密钥K加密明文P得到密文C。P=Ek(C)表示用密钥K解密密文C得到明文P。＝>Dk(Ek(P))=P8.1.2置换密码在置换密码(substitutioncipher)中，每个字母或者每一组被另一个字母或另一组字母来取代，从而将原来的字母掩盖起来。最古老的置换密码－凯撒密码(Caesarcipher)：方法：将a变成D，b变成E，c变成F，...z变成C。abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC例子：attack－>DWWDFN8.1.2置换密码凯撒密码改进：明文：abcdefghijklmnopqrstuvwxyz密文：QWERTYUIOPASDFGHJKLZXCVBNM这种“符号对符号”进行置换的通用系统被称为单字母表置换。缺点：容易被破解破解方法：利用自然语言的统计特性。例如：在英语中，e是最常见的字母，其次是t、o、a、n、i，等。最常见的两字母组合是th、in、er、an。最常见的三字母组合是the、ing、and、ion。8.1.3转置密码转置密码(transpositioncipher)重新对字母进行排序，但不伪装明文。图8.3一个转置密码8.1.4一次一密一次一密：每发送一个消息就使用一个不同的密码。理论上非常有意义，但在实践中有许多缺点。图8.4一次一密加密方法的用法举例，换用其他一次性密码来解密密文可以得到任何可能的明文。8.1.4一次一密量子密码学(quantumcrytography)图8.5一个量子密码系统示例8.1.5两条基本的密码学原则冗余度新鲜度密码学原则1：消息必须包含一定的冗余度。密码学原则2：需要采取某种方法来对抗重放攻击。8.2对称密钥算法对称密钥算法(symmetric-keyalgorithm)：使用同样的密钥来完成加密和解密操作。P盒：实现转置操作。S盒：实现置换操作。图8.6乘积密码的基本元素(a)P盒；(b)S盒；(c)乘积8.2.1DES-数据加密标准1977年1月，美国政府采纳了IBM开发的一个乘积密码作为无密级信息的官方加密标准，即DES(DataEncrptionStandard)。图8.7数据加密标准(a)一般性结构；(b)每次迭代的细节。带圆圈的＋表示异或8.2.1DES-数据加密标准三重DES1979年初，IBM意识到DES的密钥长度太短，于是涉及三重加密来有效地增加密钥长度。该方法使用两个密钥。三重DES加密步骤：第一步按照常规的方式用密钥K1加密；第二步用K2以DES解密方式运行；第三步再次用K1执行DES加密。8.2.1DES-数据加密标准三重DES两个问题：第一，为什么使用两个密钥，而不是三个？第二，为什么使用EDE(加密-解密-加密)模式，而不是EEE(加密-加密-加密)模式？图8.8(a)使用DES的三重加密；(b)解密8.2.2高级加密标准AESAES(AdvancedEncryptionStandard)协议规则：它必须是一个对称的块加密算法。必须公开所有的设计。必须支持128、192、256位密钥长度。软件实现和硬件实现必须都是有可能的。算法必须是公开的，或者毫无歧视地授权给大众使用。图8.9Rijndael的代码结构图8.10state和rk数组8.2.3密码算法的使用模式电子代码簿模式图8.11一个文件的明文被当作16个DES块进行加密8.2.3密码算法的使用模式密码块链接模式图8.12密码块链接模式(a)加密；(b)解密8.2.3密码算法的使用模式密码反馈模式图8.13密码反馈模式(a)加密；(b)解密8.2.3密码算法的使用模式流密码模式图8.14一个流密码(a)加密；(b)解密8.2.3密码算法的使用模式计数器密码图8.15使用计数器模式的加密过程8.2.4其他密码算法图8.16一些常见的对称密钥密码算法8.2.5密码分析密码分析领域中的4个进展：第一个是差分密码分析。第二个是线性密码分析。第三个是通过对电子功率消耗的分析来找到秘密密钥。第四个是时间分析。8.3公开密钥算法密码学者总是认为加密密钥和解密密钥是一样的(或者很容易由一个推导出另外一个)。1976年，斯坦福大学的两位研究人员Diffie和Hellman提出了一种全新的密码系统，该系统加密密钥和解密密钥并不相同，而且不可能轻易的从加密密钥推导出解密密钥。在它们的提案中，(受密钥控制的)加密算法E和解密算法D必须满足三个要求：D(E(P))=P。从E推断出D及其困难。用选择明文攻击不可能破解E。8.3公开密钥算法公开密钥密码系统(public-keycryptography)公开密钥密码系统要求每个用户拥有两个密钥：一个公开密钥(简称公钥)，一个私有密钥(简称私钥)。当其他人给某个用户发送加密消息的时候，他们使用该用户的公钥；当这个用户需要解密消息的时候，他(或她)使用自己的私钥。8.3.1RSA1978年，MIT的一个小组发现的RSA(Rivest、Shamir、Adleman)RSA是比较好的公开密钥密码系统。RSA主要缺点：要想达到好的安全性，key要求至少1024位长度。RSA数学理论：选择两个大的素数p和q(典型情况下为1024位)。计算n=p×q和z=(p-1)×(q-1).选择一个于z互素的数，将它称为d。找到e，使其满足e×d=1(modz)。这种方法的安全性建立在分解大数的困难度基础上。8.3.1RSA由于RSA加密大量的数据速度太慢，因此，在实践中，大多数基于RSA的系统主要利用公开密钥算法来分发一次性会话密钥，再将这些会话密钥用于某一个对称密钥算法，比如AES或者三重DES。图8.17RSA算法的一个例子8.3.2其他的公开密钥算法第一个公开密钥算法是背包算法(MerkleandHellman，1978)。两大类主要算法：建立在“分解大数的困难度”基础上的算法。建立在“以大数为模来计算离散对数的困难度”基础上的算法。8.4数字签名需要设计一个系统，为了能够用计算机化的消息系统来代替纸和笔墨文档的物理传输系统，必须找到一种方法来对文档进行签名，并且文档的签名不可被伪造。在这样的系统中，其中一方向另一方发送的签名信息必须满足以下的条件：接收方可以验证发送方所宣称的身份。发送方以后不能否认该消息的内容。接收方不可能自己编造这样的消息。8.4.1对称密钥签名Alice发出KA(B，RA，t，P)B是Bob的标识RA是Alice选择的一个随机数t是一个时间戳P是要发送的明文图8.18通过BigBrother(BB)的数字签名8.4.2公开密钥数字签名首先假定公开密钥的加密算法和解密算法除了具有常规的D(E(P))=P属性以外，还具有E(D(P))=P的属性。同时假设Alice向Bob发送的签名信息为EB(DA(P))。Alice私钥为DA，公钥为EA；Bob私钥为DB，公钥为EB。图8.19利用公开密钥密码技术的数字签名8.4.2公开密钥数字签名Bob展示P和DA(P)即可证明Alice向他发送了消息。问题：如果Alice丢失或改变了DA会出现什么问题？如何处理？8.4.3消息摘要签名方法的一个特点是将两种不相同的功能耦合在一起：认证和保密。消息摘要只认证不保密。该算法以单向散列函数的思想作为基础，这里的单向散列函数接受一个任意长度的明文作为输入，并且根据此明文计算出一个固定长度的位串。消息摘要MD(messagedigest)的四个特性：给定P，很容易计算MD(P)。给定MD(P)，要想找到P在实践中是不可能的。在给定P的情况下，没有人能够找到满足MD(P’)=MD(P)的P’。在输入明文中即使只有1位的变化，也会导致完全不同的输出。8.4.3消息摘要MD5(Rivest，1992)图8.20使用消息摘要的数字签名8.4.3消息摘要SHA-1(SecureHashAlgorithm1)(NIST，1993)图8.21利用SHA-1和RSA对非保密的消息进行签名8.4.3消息摘要图8.22(a)一个消息被填补至512位的倍数；(b)输出的变量；(c)字数组8.5公钥的管理公钥加密问题图8.23Trudy破坏公钥加密机制的一种方法8.5.1证书证书的作用：证明每个公钥属于个人、公司或者其他的组织。CA(CertificationAuthority)即证书权威机构：证明公钥所属权的组织。图8.24一个可能的证书和签过名的散列值8.2.5X.509X.509协议被ITU采纳，用于统一各种不同证书的格式。图8.25X.509证书的基本域8.5.3公开密钥基础设施PKI(PublicKeyInfrastructure)是另一种证明公钥身份的方法。一个PKI有多个部件，包括用户、CA、证书和目录。PKI所做的事情是提供一种方法将这些部件有序地组织起来，并且定义了各种文档和协议的标准。最顶级的CA、即层次的根，它的责任是证明第二级的CA，这种CA称为RA(RegionalAuthority，区域权威机构)，它可能覆盖某一个区域。8.5.3公开密钥基础设施图8.26(a)一个层次状的PKI；(b)证书链8.6通信安全通信安全，也就是说，如何将数据位秘密地、未被篡改地从源端传送到目标端，以及如何将有害的数据位排除在门外。网络环境下的安全不仅仅是通信安全，但这个一个很好的学习起点。8.6.1IPSec解决网络安全性方法之一加密和完整性检查必须是端到端的(即位于应用层之上)。该方法问题：要求改变所有应用系统，用户能够感知到安全特性的存在。解决网络安全性方法之二IPSec(IPsecurity，IP安全)在网络层上实施加密操作，并没有妨碍哪些了解安全性的用户正确地使用这些安全特性，而且多多少少可以帮助哪些对安全性一无所知的用户。完整的IPSec设计方案是一个多服务、多算法和多粒度的框架8.6.1IPSecIPSec两种使用模式：传输模式(transportmode)，在该模式中，IPSec头直接插在IP头的后面。IP头中的Protocol域也被做了修改，以表明有一个IPSec头紧跟在普通IP头的后面(但在TCP头的前面)。隧道模式(tunnelmode)，在该模式中，整个IP分组，连同头部和所有的数据一起被封装到一个新的IP分组的数据体中，并且这个IP分组有一个全新的IP头。8.6.1IPSec图8.27在IPv4的传输模式中的IPSec认证头8.6.1IPSec图8.28(a)传输模式中的ESP；(b)隧道模式中的ESP8.6.2防火墙图8.29由两个分组过滤器和一个应用网关组成的防火墙8.6.2防火墙分组过滤器(packetfilter)应用网关(applicationsgateway)DoS(DenialofService，拒绝服务)DDoS(DistributedDenialofService，分布式拒绝服务)8.6.3虚拟私有网络VPN(VirtualPrivateNetworks，虚拟私有网络)，VPN是建立在公共网络之上的层叠网络，但是具有私有网络的绝大多数特性。图8.30(a)通过租用线路建立起来的私有网络；(b)一个虚拟私有网络8.6.4无线网络安全802.11安全性WEP(WiredEquivalentPrivacy，相当于有线网络的保密性)是一个数据链路层安全协议，它的设计目标是使得无线LAN能够具有像有线LAN那样好的安全性。当802.11安全功能启用之后，每个无线站和基站共享一个秘密密码。WEP使用一个基于RC4的流密码算法。在WEP中，RC4生成一个密钥流，然后这个密钥流与明文异或(XOR)在一起而形成密文。8.6.4无线网络安全802.11安全性图8.31WEP中的分组加密8.7认证协议认证(Authentication)：指一个进程通过认证过程来验证它的通信对方是否是它所期望的实体而不是假冒者。授权(authorization)与认证(authentication)认证所针对的问题是，你是否真的在跟一个特定的进程进行通信。授权关注的是，允许这个进程做什么样的事情。在实践中，处于性能上的原因，所有的数据流量都是用对称密钥密码算法(通常为DES和AES)来加密的，不过，公开密钥密码算法被广泛应用于认证协议本身，同时也被建立会话密钥。8.7.1基于共享秘密密钥的认证第一个基于共享秘密密钥的认证协议质询-回应(challenge-response)协议基于以下原理：一方给另一方发送随机数，然后后者将这个随机数做一个特殊的变换，再把结果返回给前者。图8.32使用质询-回应协议的双向认证过程8.7.1基于共享秘密密钥的认证图8.33缩减之后的