现代通信技术概论 第3版 课件 第10章 通信信息系统的安全

现代通信技术概论2第10章通信信息系统的安全10.1通信信息系统安全的概念 10.2密码学与密钥体制10.3分组对称加密算法10.4非对称加密算法 10.5消息认证与数字签名技术 10.6安全通信协议10.7网络信息系统的安全管理310.1通信信息系统安全的概念

通信信息系统的安全是指包括硬件、软件、数据、人员、物理环境及其基础设施在内的系统要素受到保护，不因偶然或恶意的原因遭到破坏、更改、泄露或中断，系统能够连续可靠正常地运行，信息服务不中断。

通信信息系统的安全，重点围绕着数据信息的安全来展开。410.1.1安全“木桶”理论如果把一只木桶容水量的多少作为衡量该系统安全强度的指标，则若想提高木桶的容水量，不是增加最长的那块木板，而是要补齐最短的那块木板。通信信息系统的安全是一个系统工程，需要综合规划，形成一个完整的信息安全体系（构架）510.1.2安全威胁1.自然因素（1）各种自然灾害，如雷击、地震、火灾、水灾等；（2）恶劣的场地环境，如高温、扬尘、电磁干扰、电磁辐射等直接影响设备寿命（3）设备的自然老化、工作寿命等。62.人为因素（1）对系统进行攻击：拒绝服务攻击、窃听、消息篡改、伪造、重放等；（2）非授权访问：非法身份假冒、未授权访问、恶意入侵、后门程序、逻辑炸弹、特洛伊木马等；（3）行为否认：拒绝承认已经发生的信息行为；（4）散播病毒（5）网络信息战：国家之间为达到某种目的而进行的网络相互攻击；（6）用户误操作：删除文件、格式化硬盘、线路拆除、故意断电等；（7）软件系统故障：死机、软件缺陷、软件功能限制；（8）网络管理：运行、组织、人事制度、维修维护制度不健全等。。10.1.2安全威胁710.1.3安全需求1.物理设备的安全组成通信信息系统的室内外各类终端设备和线路，受意外事故、恶意物理攻击或极端恶劣环境影响，导致服务失效。（1）运行环境的安全温度、湿度、防尘（2）设施设备安全关键硬件要有冗余备份。防水、防火、防盗、防破坏、防断电、防电磁干扰。（3）传输介质安全防止有线传输介质受损，防止信息数据通过传输介质辐射外泄、防止外界搭线窃听。

810.1.3安全需求2.系统正常运行的安全主要指系统的稳定性、可靠性和可用性三个方面。体现在系统在一定时间内不出故障或正常运行的概率，以及发生异常之后迅速恢复的能力。软件主要包括：操作系统、数据库管理系统、对外应用服务系统，以及专用系统。软件系统运行安全管理包括风险分析、审计跟踪、备份与恢复和应急，保证网络信息系统能够在各种复杂环境里持续不间断地工作。

910.1.3安全需求系统正常运行的过程：1010.1.3安全需求3.信息资源的安全信息资源是指组织生产及管理过程中所涉及到的一切文件、资料、图表和数据等的总称。防止信息资源被故意或偶然的泄漏、篡改、破坏或被非法系统辨识、控制，确保信息资源的保密性、完整性、可用性和真实性。（1）保密性不把信息泄漏给非授权的个人、实体或过程，或提供其利用的特性。（2）完整性防止数据信息在传输、交换、存储和处理过程中丢失、损坏或修改。1110.1.3安全需求（3）可用性被授权的实体能够按需要正常使用或在出现非正常状况时能迅速恢复使用。（4）真实性又称为抗抵赖性或不可否认性。在信息交互过程中，确信参与者与所提供的信息真实同一性。所有参与者不可否认或抵赖本人的行为和身份，以及提供信息的原样性和完成的操作与承诺。1210.1.4信息系统安全架构一个完整的安全架构能够从运营、防护、管理三个层面发现并强化系统中的薄弱环节1310.2密码学与密钥体制信息资源被内部非法拷贝或者被非法侵入系统者拷贝，或者在传输过程中被截获都有可能造成泄密。因此，对敏感信息资源进行加密是十分必要的。1410.2密码学与密钥体制1.密码学基本知识发送方需要发送的可读消息称为明文，对明文经过适当的变换，生成不可读的密文称为加密，对密文进行反变换恢复成明文的过程称为解密。加密过程所采用的一组变换规则称为加密算法，对密文进行解密所采用的运算规则称为解密算法，二者往往是互逆运算。加密和解密时通常都会用到一组固定长度和内容的数据，分别称为加密密钥和解密密钥。若加密密钥与解密密钥相同，则称为单钥体制或对称密钥体制，若加密密钥和解密密钥不同，则称为双钥体制或非对称密钥体制。1510.2密码学与密钥体制一个成功的密钥体制至少要满足三个条件：（1）密钥强度足够强，至少达到实际上是不可破解的程度。截收者通过密文或已知明文不可能推断出密钥，即使推断出来也需要足够长的时间。（2）信息的保密性仅取决于密钥，加、解密算法是公开的。密钥空间元素可以包括任何字母、数字和字符。（3）加、解密算法可以利用计算机来具体编程实现。1610.2密码学与密钥体制2.两种密钥体制对称密钥体制使用相同的密钥K，Alice和Bob持有相同秘钥K1710.2密码学与密钥体制非对称密钥体制使用不同的密钥。Alice和Bob各持有自己的私钥SKA、SKB，同时相互持有对方的公钥PKB、PKA1810.3分组对称加密算法把总长度为G比特的明文，均匀地分成m组，每组长度为n比特（通常为字节的整数倍），若最后的分组长度不足n比特，需要通过填充定值字符补足到n比特。这种逐组进行加密的方法称为分组加密。典型的分组加密算法称为数据加密标准DES（DataEncryptionStandard），后期为增加安全性升级为高级数据加密标准AES（AdvancedEncryptionStandard）1910.3.1基本密码系统结构分组对称加密算法常采用代（置）换、扩散、混淆加适当轮次的密码乘积网络结构，旨在加大破解难度。Feistel是常用的密码乘积网络结构之一2010.3.1基本密码系统结构DES分组对称加密算法采用了16轮代换，实现56bit长度的密钥与明文数据的充分混淆和扩散2110.3.1基本密码系统结构其中的第i轮的轮结构2210.3.2AES加密算法AES使用128/192/256三个可选长度的密钥用于加密128比特长度的分组，相应的加密轮数分别为10/12/14。加密过程中的每一轮由三个层次组成，分别是线性扩散层、非线性混淆层和密钥加强层2310.4非对称加密算法非对称加密算法的基本思想不再是代换、扩散、混淆和置换，而是建立在一些数学上公认的难解问题的困难性之上。主要流行的非对称加密算法是RSA（Rivest,Shamir和Adleman三位学者的首字母）2410.4.1基本定义定义1：正整数p>1称为素数，是指p仅能被1或p整除，例如7。定义2：两个数p1、p2互素，是指之间没有除了1以外的共同因数，例如，5和6。

性质：两个不同的素数必互素；任何相邻的两个数互素。定义3：单位元（IdentityElement）u是集合中的一种特殊元，当与其他元素运算时不会改变那些元素，所以又称为幺元。au=ua=a，u就是单位元。

例如：整数集合中单位元是1，其中任一整数a有a

1=1

a=a。定义4：乘法逆元，是指数论领域群G中任意一个元素a，都在G中有唯一的逆元a'。

性质：aa‘=a’a=u，u就是该群的单位元。2510.4.1基本定义定义5：若de

≡1(modφ

),则称d关于1模φ的乘法逆元为e。当d与φ互素时，必定存在d关于模φ的乘法逆元e，并且可以算得e。例如，5

3≡1(mod14

)，5与14互素，5和3互为乘法逆元。Euler函数φ(n)：设n是正整数，φ(n)是指小于n并且与n互素的整数的数量。例如，n

＝24，比24小且与24互素的正整数有8个，分别是5、7、10、13、17、19、23，故φ(24)＝8。

易见，若p为素数，则φ(p)＝p−1。例如p=23是素数，φ(23)＝22。欧拉定理：若任意整数a与整数n互为素数，则aφ(n)≡1(modn)。例如，a=5，n=21，a与n互素，且φ(21)=12，512=244140625≡1(mod21)2610.4.1基本定义由欧拉定理得到如下几条推论：推论1：若p、q都为素数，且p≠q，则φ(pq)＝φ(p)φ(q)=(p-1)(q-1)。例如，φ(21)=φ(3

7)=φ(3)φ(7)=2

6=12。推论2：若n是素数，a是与n互素的正整数，则an-1≡1(modn)，该式称为Fermat小定理，是欧拉定理的一种特殊情况。例如，n=13是素数，a=5与n互素，512=244140625≡1(mod13)

由欧拉定理易见，aφ(n)+1≡a(modn)。2710.4.1基本定义由欧拉定理得到如下几条推论：推论1：若p、q都为素数，且p≠q，则φ(pq)＝φ(p)φ(q)=(p-1)(q-1)。例如，φ(21)=φ(3

7)=φ(3)φ(7)=2

6=12。推论2：若n是素数，a是与n互素的正整数，则an-1≡1(modn)，该式称为Fermat小定理，是欧拉定理的一种特殊情况。例如，n=13是素数，a=5与n互素，512=244140625≡1(mod13)

由欧拉定理易见，aφ(n)+1≡a(modn)。2810.4.2单向陷门函数变量为x，参数为θ的函数f(x)满足下列条件：（1）给定x，计算y=fθ(x)是容易的；（2）给定y和θ，求y的逆函数x=f

-1(y)也是容易的；（3）给定y但不给θ，计算x=f

-1(y)是困难的或不可行的。这样的函数f(x)就是单向陷门函数。2910.4.2单向陷门函数若有一变量为x，参数为θ的函数f(x)满足下列条件：（1）给定x，计算y=fθ(x)是容易的；（2）给定y和θ，求y的逆函数x=f

-1(y)也是容易的；（3）给定y但不给θ，计算x=f

-1(y)是困难的或不可行的。这样的函数f(x)就是单向陷门函数。RSA算法正是基于大的素数因子分解的困难性之上提出的一种非对称加密算法，其安全性是基于对明文加密使用的是一个单向陷门函数3010.4.3RSA加密算法（1）选择两个足够大的素数q和p，为了增加攻击难度，一般为150位以上的十进数。按照前面的定义和定理，令n

＝p×q，φ(n)＝(p-1)(q-1)≤n，如果仅知道n，试图从n分解出q和p是困难的，这也是RSA算法的单向陷门性。（2）选择一个相对较大的整数e|1<e<φ(n)作为公钥，也称为加密指数，并且e要与φ(n)互素；（3）使用扩展的Euclid辗转相除法计算d，d作为私钥，满足de=1(modφ(n))，d是e模φ(n)的乘法逆元。因e与φ(n)互素，故必定存在乘法逆元d。

得到公钥PKA=(e,n)和私钥SKA=(d,n)。3110.4.3RSA加密算法（4）假设M、C分别为明文和加密后的密文。加密运算为C＝Me(modn)；解密运算为M＝Cd(modn)。（5）举例，设p=101，q＝113，二者均为素数，n=pq=11413，φ(n)=100×112＝11200。现选择一个满足条件的整数e=3533<n，经小费马定理计算得到d=6597，满足6597

3533=1(mod(φ(n)))。

发送方使用公钥e=3533加密明文9726，计算得97263533(modn)=5761，发送该密文。接收方收到密文5761，用私钥d

＝6597进行解密，57616597（modn）=9726，恢复明文。把n和e作为公钥公开，n和d作为私钥保存。私钥持有者使用私钥d

＝6597加密信息等效于数字签名，其过程与公钥加密类似。3210.4.3RSA加密算法私钥持有者能解密的关键是已知p和q，由n=pq，得到φ(n)3310.5消息认证与数字签名技术被动攻击：通过窃听来获取消息的内容。对付被动攻击的方法是进行消息加密。主动攻击：假冒、重放、篡改以及拒绝服务等。对付主动攻击的方法是消息认证消息认证和数字签名技术，解决通信双方对信息真实性和完整性的需求。常用的消息认证方法：消息加密和消息认证码MAC（MessageAuthenticationCode）。3410.5.1消息认证和数字签名1. 消息加密直接对消息加密传送实现了基本的消息认证和数字签名。其逻辑是，发送方能够对消息加密，并且接收方能够成功解密的过程，在很大程度上证明了消息的真实性和完整性。消息加密认证方法成立的前提是，假定攻击方不掌握秘钥K（实际上K的分发传送存在许多泄露的风险）3510.5.1消息认证和数字签名2. 消息认证码消息发送方结合密钥K使用公开的认证函数A(▪)对消息M进行认证计算A(M,K)，生成长度固定的消息认证码MAC，然后MAC附加在M后面一起发送到接收方。接收方结合密钥K重新对M进行认证计算A(M,K)。把计算结果与收到的MAC比较，如果一致则证明消息的真实性和完整性。攻击者伪造一新消息M‘取代M，但因不知密钥K，使用认证函数A(▪)计算MAC，企图让A(M’,K)=A(M,K)是不可行的。避免了消息假冒，从而确保消息的真实性和完整性。3610.5.1消息认证和数字签名3. 消息摘要函数消息摘要函数即认证函数。使用一个公开的单向散列函数H(▪)对任意长度的消息M进行分组迭代运算，运算的结果是一个固定比特长度的值H(M)，称为消息摘要或杂凑值。如果试图把消息M篡改为M‘，计算得到的H(M’)不可能与H(M)相同。接收者通过对接收到的消息M做H(M)运算，通过比较一致性，能够检测到改动。从而确保消息的真实性和完整性。3710.5.1消息认证和数字签名散列函数H(▪)的特性：（1）H(▪)对任意长度的消息M进行摘要计算，最后输出的摘要数值长度是固定的（比如128比特）；（2）已知H(M)的运算结果，试图反推算出M是不可行的；（3）M的消息摘要计算结果H(M)是唯一的，对M的任何篡改将得到不同的另一个消息摘要。（4）使用计算机程序实现H(M)的计算是容易的。3810.5.2消息摘要函数MD5（MessageDigestAlgorithmversion.5）和SHA（SecureHashAlgorithm）是常用的一类迭代型结构的消息摘要函数3910.5.2消息摘要函数1.迭代型结构将消息M分为q

比特长的n个分组m0,m1,m2,…,mn-1，对每个分组进行压缩处理。需要给定一个初值CV0，最后的输出CVn就是摘要值。4010.5.2消息摘要函数2.MD5消息摘要算法对任意长的输入消息M，以512比特长度分组，经若干轮迭代后输出一个128比特的消息摘要，被用于数字签名。4110.5.2消息摘要函数3．SHA杂凑算法SHA是由NIST于1993年公布的一种摘要算法，其框图与图10-9一样，但摘要值和链接变量CV长度变为160比特，故比MD5有更强的抗分析和抗攻击能力。4210.5.3数字签名及其算法数字签名利用电子和数据通信形式达到纸质签名的功能，旨在证明通信双方身份，达到真实性的目的4310.5.3数字签名及其算法1.数字签名的概念三个基本条件：（1）发送方Alice事后不能否认或抵赖对消息的数字签名；（2）接收方Bob能够验证Alice对消息的数字签名，但难以伪造该签名；（3）仲裁者能够确认双方消息的真伪，但不能伪造这一过程。为满足以上三个条件需要做到：（1）数字签名的产生必须使用发送方独有的信息；（2）数字签名的产生和验证在计算上是容易的；（3）对已知的数字签名构造一新的消息或对已知的消息构造一假冒的数字签名在计算上是不可行的。4410.5.3数字签名及其算法1.数字签名的概念两类数字签名体制：（1）直接数字签名只有通信双方参与。发方使用自己的私钥对消息摘要进行数字签名（加密）并连同消息一起发送出去，收方利用发方的公钥来验证签名。签名的有效性取决于发方密钥的安全性。（2）仲裁数字签名引入第三方仲裁者（Overman）作为中介，Alice和Bob都信任Overman可公正地解决争议，故双方的信息往来都经Overman转发。Bob相信Alice无法对自己发出的消息予以否认，同时Alice相信没有人能伪造自己的签名，Bob也相信Overman只有在将Alice的签名验证无误后才发给自己。4510.5.3数字签名及其算法2.数字签名算法DSADSA是NIST发布的联邦信息处理标准FIPS186。其数学算法的实现基础建立在离散对数反向计算困难性之上。4610.6安全通信协议OSI公布的7层参考模型（图9-5）为后来获得实用的因特网TCP/IP网络分层体系结构模型奠定了基础。后者分为网络接口层（数据链路层+物理层）、网络层、传输层和应用层，形成了当前互联网中最基本的协议簇。通信协议定义了双方数据单元使用的格式、含义、连接方式，以及发送和接收的时序等内容，是公开透明的，故很容易被敌手截收，若未采取安全措施，就会导致信息泄密、篡改、抵赖等不安全问题的发生。安全通信协议正是在基本通信协议的基础上，增加加密和认证等相关技术，以实现通信过程的保密性、完整性、真实性和不可否认性。4710.6安全通信协议因特网TCP/IP安全协议族体系4810.6.1分层安全通信协议1.网络接口层（数据链路层）安全风险物理环境风险，外界电磁干扰、电磁泄漏、非法嗅探等。可以通过建立专用通信链路等技术确保信息安全，例如，PPTP、L2TP安全通信协议等。4910.6.1分层安全通信协议2.网络层（IP层）安全风险原始IP数据包不提供机密性和完整性的保护能力，也没有IP地址身份认证机制，容易招致IP包地址欺骗、源路由欺骗、拒绝服务攻击等，是网络信息安全的主要风险源。解决网络层安全问题的技术主要是IPSec（InternetProtocolSecurity），该协议提供访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护以及抗重放攻击等安全服务，称为IPsec安全通信协议。5010.6.1分层安全通信协议3.传输层（TCP/UDP层）安全风险对TCP可能会发生的同步泛滥拒绝服务攻击（SYNflood）和会话劫持攻击等安全风险。主要有安全套接层协议SSL（SecureSocketLayer）及其升级版传输层安全通信协议TLS（TransportLayerSecurity）攻击者可利用UDP协议发送大量伪造源IP地址的UDP数据包，用于实施流量型拒绝服务攻击（UDPFlood）。通常解决方法是直接丢弃UDP数据包5110.6.1分层安全通信协议4.应用层安全风险典型的应用层协议包括超文本传输协议HTTP、文件传输协议FTP、简单邮件传输协议SMTP和邮局协议POP3等。不同的应用层协议实现差异较大。安全风险主要有身份认证、简单口令破解、身份伪造等威胁。为了确保安全，需要根据特定应用的安全需要及其特点设计安全通信协议，如安全超文本传输协议S-HTTP、电子邮件安全协议S/MIME，安全电子交易协议SET、安全电子邮件协议PGP等。5210.6.1分层安全通信协议4.应用层安全风险典型的应用层协议包括超文本传输协议HTTP、文件传输协议FTP、简单邮件传输协议SMTP和邮局协议POP3等。不同的应用层协议实现差异较大。安全风险主要有身份认证、简单口令破解、身份伪造等威胁。为了确保安全，需要根据特定应用的安全需要及其特点设计安全通信协议，如安全超文本传输协议S-HTTP、电子邮件安全协议S/MIME，安全电子交易协议SET、安全电子邮件协议PGP等。5310.6.2网络层安全通信协议IPsecIPsec是为IP报文提供安全性的一组协议的集合，用来解决IP层存在的安全问题。通信双方可通过IPsec协议建立两种可选的安全通信模式，一种称为IPsec隧道（site-to-site），另一种称为IPsec传输（end-to-end）。二者均可进行IP报文的加密和认证传输，能够有效地保护数据在不安全的网络环境中实现传输的安全性5410.6.2网络层安全通信协议IPsecIPsec隧道模式和传输模式适用场景5510.6.2网络层安全通信协议IPsecIPsec提供了认证头AH（AuthenticationHeader）、安全载荷ESP（EncapsulatingSecurityPayload）和因特网密钥交换IKE（InternetKeyExchange）等协议，用于完成协商安全关联SA（SecurityAssociation）协议过程，实现安全传输。5610.6.2网络层安全通信协议IPsec传输模式下IPsec封装5710.6.2网络层安全通信协议IPsec隧道模式下IPsec封装5810.6.2网络层安全通信协议IPsecAH和ESP报文头内容5910.6.3传输层安全通信协议SSL/TLSSSL实现了通信双方身份验证及加密和摘要算法，以确保安全通信。标准化的SSL3.0版更名为传输层安全协议TLS。SSL/TLS协议位于应用层与传输层之间。启动了SSL/TLS安全协议的HTTP称为SHTTP或HTTPS6010.6.3传输层安全通信协议SSL/TLS1.TLS协议结构（1）TLS记录层协议（TLSrecordprotocol）：为应用层数据提供分割、压缩、摘要验证和加密等基本安全功能的支持。（2）TLS握手层协议（TLShandshakeprotocol）：用于在实际数据传输开始前，双方进行身份认证、协商加密算法、交换加密密钥等。6110.6.3传输层安全通信协议SSL/TLS2.TLS握手过程客户端与服务器端TLS协议握手过程，采用一问一答的形式6210.6.4安全电子邮件协议PGP1.电子邮件在互联网上的传送途径传送过程中可能要经过成千上万个邮件路由器的吞吐，故未经加密处理的邮件经网络传送是无秘密可言的。6310.6.4安全电子邮件协议PGP2.

PGP电子邮件系统处理过程PGP（PrettyGoodPrivacy）是应用层上的一个安全电子邮件协议。其采用的安全手段主要包括MD5、RSA、IDEA、base64编码、ZIP压缩等算法和技术6410.6.5安全电子交易协议SETSET（SecureElectronicTransaction）协议是早期为了解决电商各参与方（商家、消费者、银行）的安全需求而提出的一个应用层协议。其当初设计的思路，给后来的电商平台提供了很大参考价值。当代电商各参与方的主要安全需求：（1）消费者：自己的银行账号安全，不会被其他无关者消费；（2）商家：能够按时收到货款；（3）银行：消费者的每一笔收支都有据可查；（4）各方的共同需求：如果发生争议有有效的调解和仲裁机制；订单可被实时追踪；有退货（退款）渠道各方安全需求现已被各大电商平台（淘宝、Amazon、eBay、京东、拼多多等）圆满解决。淘宝率先提的担保交易各方的安全需求功不可没。6510.6.7无线局域网安全协议WAP各类用户终端设备（STAtion），如笔记本电脑、PDA、手机等，通过接入点AP（AccessPoint，即日常所使用的Wi-Fi）连接到附近的局域网服务器。由于无线空间“开放”的特点，致使任何进入此