網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ).ppt

第18章網(wǎng)絡(luò)安全I(xiàn) 密碼學(xué)基礎(chǔ) 1 網(wǎng)絡(luò)安全基本概念安全服務(wù)對(duì)安全的攻擊Internet上常見的攻擊 IP欺騙 IPspoofing 服務(wù)拒絕 denialofservice 密碼學(xué)基礎(chǔ) 1 網(wǎng)絡(luò)安全基本概念 安全服務(wù) 安全服務(wù) 國際標(biāo)準(zhǔn)化組織ISO在提出開放系統(tǒng)互連參考模型OSI之后 在1989年提出網(wǎng)絡(luò)安全體系結(jié)構(gòu)SA SecurityArchitecture 稱為OSI SA 它定義了五類安全服務(wù) 身份認(rèn)證 authentication 驗(yàn)證通信參與者的身份與其申明的一致 不是冒名頂替者 認(rèn)證服務(wù)是向接收方保證消息確實(shí)來自所聲稱的源 身份認(rèn)證是其它服務(wù) 如訪問控制的前提 網(wǎng)絡(luò)安全基本概念 安全服務(wù) 續(xù) 訪問控制 accesscontrol 保證網(wǎng)絡(luò)資源 主機(jī)系統(tǒng) 應(yīng)用程序 不被未經(jīng)授權(quán)的用戶使用 訪問權(quán)限包括讀 寫 刪 執(zhí)行等 在用戶進(jìn)程被授予權(quán)限訪問資源前 必須首先通過身份認(rèn)證 訪問權(quán)限一般由目標(biāo)系統(tǒng)控制 數(shù)據(jù)機(jī)密性 dataconfidentiality 通過加密 保護(hù)數(shù)據(jù)免遭泄漏 防止信息被未授權(quán)用戶獲取 包括防分析 網(wǎng)絡(luò)安全基本概念 安全服務(wù) 續(xù) 不可抵賴 non repudiation 防止通信參與者事后否認(rèn)曾參與通信 有兩種不可抵賴服務(wù) 發(fā)送的不可抵賴 防止數(shù)據(jù)發(fā)送者否認(rèn)曾發(fā)送過此數(shù)據(jù) 接收的不可抵賴 防止數(shù)據(jù)接收者否認(rèn)曾收到此數(shù)據(jù) 例 簽名函 掛號(hào)信 數(shù)據(jù)完整性 dataintegrity 確保收到的信息在傳遞過程中沒有被插入 篡改 刪除 重放 目前討論安全服務(wù) 常常增加 可用性 availability 防止或恢復(fù)因攻擊造成系統(tǒng)的不可用 對(duì)安全的攻擊 假冒 fabrication 非授權(quán)用戶假冒合法用戶 甚至特權(quán)用戶的身份進(jìn)行通信 這是對(duì)身份認(rèn)證和訪問控制的攻擊 它還包括在網(wǎng)絡(luò)中插入偽造的報(bào)文 截取通信雙方交換的信息進(jìn)行重放攻擊等 正常通信 假冒 對(duì)安全的攻擊 續(xù) 截取 interception 非授權(quán)用戶截獲了對(duì)某資源的訪問 這是對(duì)訪問控制的攻擊 例如通過監(jiān)控網(wǎng)絡(luò)或搭線竊聽以獲取數(shù)據(jù) 截取 對(duì)安全的攻擊 續(xù) 篡改 modification 非授權(quán)用戶不僅獲得了對(duì)某資源的訪問 而且篡改了某資源 這是對(duì)數(shù)據(jù)完整性的攻擊 例如篡改文件 程序 在網(wǎng)絡(luò)中傳輸?shù)男畔?nèi)容等 篡改 對(duì)安全的攻擊 續(xù) 破壞 interruption 破壞系統(tǒng)資源 使系統(tǒng)不能使用或不可訪問 如破壞通信設(shè)備 切斷通信線路 破壞文件系統(tǒng)等 破壞性攻擊還包括對(duì)特定目標(biāo)發(fā)送大量信息流 使目標(biāo)超載以至癱瘓 破壞 對(duì)安全的攻擊 續(xù) 對(duì)網(wǎng)絡(luò)的攻擊又分主動(dòng)攻擊和被動(dòng)攻擊 被動(dòng)攻擊 是在傳輸中的偷聽或監(jiān)視 目的是截取在網(wǎng)上傳輸?shù)闹匾舾行畔?包括消息內(nèi)容析取和通信量分析 在局域網(wǎng)如以太網(wǎng)上監(jiān)聽是很容易的 在用telnet作遠(yuǎn)程登錄時(shí) 用戶的標(biāo)識(shí)名和口令也是一個(gè)個(gè)字符封裝傳輸 被動(dòng)攻擊檢測(cè)困難 主要通過加密防止其成功 主動(dòng)攻擊 包括假冒 重放 篡改 破壞 杜絕主動(dòng)攻擊很困難 要對(duì)所有設(shè)施保護(hù) 主要是靠檢測(cè) 及時(shí)發(fā)現(xiàn)和恢復(fù) IP欺騙 IPspoofing IP欺騙是指攻擊者在IP層假冒一個(gè)合法的主機(jī) 攻擊者只要用偽造的源IP地址生成IP數(shù)據(jù)報(bào) 就可以進(jìn)行IP欺騙了 IP欺騙常和其它攻擊 如服務(wù)拒絕 結(jié)合使用 攻擊者利用IP欺騙隱瞞自己的真實(shí)地址 攻擊者可以使用竊聽和協(xié)議分析確定TCP連接的狀態(tài)和數(shù)據(jù)片序號(hào) 當(dāng)某個(gè)連接建立后 在客戶和服務(wù)器之間進(jìn)行的數(shù)據(jù)片交換過程中 攻擊者可利用IP欺騙冒充該客戶方 插入自己的數(shù)據(jù)片 這種攻擊稱TCP會(huì)話劫持 Telnet 服務(wù)拒絕 denialofservice 所謂服務(wù)拒絕是一種破壞性攻擊 是對(duì)某特定目標(biāo)發(fā)送大量或異常信息流 使該目標(biāo)無法提供正常服務(wù) 這類攻擊有 PingO Death SYNflooding 等 pingA 是向主機(jī)A發(fā)送ICMP的 回答請(qǐng)求 報(bào)文 它封裝在IP數(shù)據(jù)報(bào)中 IP數(shù)據(jù)報(bào)最大長(zhǎng)度是216 1 65535字節(jié) 若攻擊者發(fā)送ICMP 回答請(qǐng)求 報(bào)文 且總長(zhǎng)度超過65535字節(jié) IP層在發(fā)送此報(bào)文會(huì)分段 目標(biāo)主機(jī)在段重組時(shí)會(huì)因緩沖區(qū)溢出而癱瘓 這就是 PingO Death 服務(wù)拒絕 續(xù) TCP連接的建立需要三次握手 它以發(fā)起方的同步數(shù)據(jù)片SYN開始 并以發(fā)起方的確認(rèn)數(shù)據(jù)片ACK結(jié)束 攻擊者向某目標(biāo)的某TCP端口發(fā)送大量的同步數(shù)據(jù)片SYN 但在收到目標(biāo)方的ACK和SYN后 不發(fā)送作為第三次握手的ACK片 這樣使大量TCP連接處于半建立狀態(tài) 最終將超過TCP接收方設(shè)定的上限 而使它拒絕后面的連接請(qǐng)求 直至前面的連接過程超時(shí) 這就是 SYN泛濫 flooding 攻擊 服務(wù)拒絕 續(xù) 2002年10月21日 有人針對(duì)DNS的13臺(tái)根服務(wù)器發(fā)動(dòng)了 服務(wù)拒絕 攻擊 攻擊持續(xù)了1個(gè)小時(shí) 13臺(tái)中的9臺(tái)受到影響 由于根服務(wù)器中設(shè)有安全措施 數(shù)據(jù)備份 全世界Internet用戶對(duì)此毫無覺察 11月5日美國域名管理公司VERISIGN對(duì)其掌控的兩臺(tái)根服務(wù)器中的一臺(tái)安裝到公司內(nèi)部網(wǎng) 密碼學(xué)基礎(chǔ) 1 概念傳統(tǒng)密碼體系 conventionalcryptography 傳統(tǒng)密碼的經(jīng)典技術(shù)傳統(tǒng)加密的現(xiàn)代技術(shù) 密碼學(xué)基礎(chǔ) 概念 迄今為止 網(wǎng)絡(luò)和通信安全的最重要的工具是加密 身份認(rèn)證 數(shù)據(jù)機(jī)密性 數(shù)字簽名等都是以密碼學(xué)為基礎(chǔ)的 明文 plaintext 原始 可理解 有意義的消息 密文 ciphertext 經(jīng)過 加密 處理的 表面上是一串雜亂 無規(guī)則 無意義的數(shù)據(jù) 加密 encryption 從明文變換成密文的過程 解密 decryption 從密文恢復(fù)成明文的過程 加密或解密變換由算法和密鑰組成 傳統(tǒng)密碼體系 傳輸密文C 明文 明文 加密算法 解密算法 共享密鑰K 傳統(tǒng)密碼系統(tǒng)模型 加密變換 解密變換 P P 傳統(tǒng)密碼體系 特點(diǎn) 加密變換由算法和密鑰組成 記作C EK P 密鑰獨(dú)立于明文 它控制算法 同一明文用相同算法 不同的密鑰將產(chǎn)生不同的密文 改變密鑰就改變了算法的輸出 解密算法是加密算法的逆過程 記作P DK C 解密和加密使用同一密鑰 傳統(tǒng)密碼體系也稱對(duì)稱密鑰密碼體系 symmetrickeycryptography 對(duì)稱密鑰是通信雙方共享的 也稱共享密鑰 sharedkey 傳統(tǒng)密碼體系 續(xù) 加密算法基于兩個(gè)基本原理 替代 substitution 明文中每個(gè)元素 比特 字母 比特組 字符組 被映射為另一個(gè)元素 置換 transposition 明文中的元素被重排列 對(duì)它們的基本要求是不丟失信息 即所有操作是可逆的 多數(shù)系統(tǒng)包括多個(gè)階段的替代和置換 傳統(tǒng)密碼經(jīng)典技術(shù) 凱撒密碼 凱撒密碼 CaesarCipher 最早 最簡(jiǎn)單的替代密碼 substitutioncipher 是JuliusCaesar所使用的密碼 明文的每個(gè)字母用 字母表中 其后第3個(gè)字母來替換 注意字母循環(huán)排列 Z后是A abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC例明文 meetusafterthedinner密文 PHHWXVDIWHUWKHGLQQHU 傳統(tǒng)密碼經(jīng)典技術(shù) 凱撒密碼 續(xù) 為每個(gè)字母指定數(shù)字 a 0 b 1 等 則算法 C E3 P P 3 mod26 P D3 C C 3 mod26 更通用的Caesar算法 C EK P P K mod26 P DK C C K mod26 凱撒密碼是一種單字母表密碼 monoalphabeticcipher 即一個(gè)明文字母對(duì)應(yīng)的密文字母是確定的 它對(duì)頻率分析攻擊很脆弱 因消息中字母出現(xiàn)的頻率和前后連綴關(guān)系有一定的統(tǒng)計(jì)規(guī)律 例如英文文本中e出現(xiàn)頻率最高 此外密鑰只有25個(gè)不同的值 非常不安全 傳統(tǒng)密碼經(jīng)典技術(shù) Vigenere密碼 Vigenere密碼 Vigenere是法國密碼專家 以他命名的密碼算法是一種最簡(jiǎn)單的多字母表密碼 polyalphabeticcipher 設(shè)密鑰K k1k2 kn 明文P p1p2 pn 其中ki pi都是字母 字母a z編碼為0 25 編碼后還是記作ki pi 則密文C c1c2 cn 其中ci pi ki mod26注意密鑰的長(zhǎng)短與明文長(zhǎng)短沒有關(guān)系 對(duì)于長(zhǎng)度為n 個(gè)字母 的密鑰K 可以把明文P分成n 個(gè)字母 長(zhǎng)的段 一段一段進(jìn)行加密 傳統(tǒng)密碼經(jīng)典技術(shù) Vigenere密碼 續(xù) 例如 K bdcsig 若P money 則C NRPWG 若P internet 則C JQVWZTFW Vigenere密碼可以看作是26個(gè)Caesar密碼組成的 一組單字母表替代規(guī)則 每個(gè)密碼由密鑰的一個(gè)字母表示 多字母表密碼方法的共同特點(diǎn)是 使用一組相關(guān)的單字母表替代規(guī)則 密鑰確定變換中選擇哪些特定規(guī)則 傳統(tǒng)密碼算法的安全性 加密算法必須足夠強(qiáng)大 僅根據(jù)密文破譯出明文是不切實(shí)際的 傳統(tǒng)密碼算法的安全性取決密鑰的安全性 不是算法的安全性 知道密文和加密 解密算法 不知道密鑰 要破譯出明文是不現(xiàn)實(shí)的 所以不必保密算法 只需保密密鑰 密鑰的窮舉猜測(cè)攻擊不可避免 密鑰必須足夠長(zhǎng) 足夠隨機(jī) 例密鑰長(zhǎng)256位 密鑰空間為2256 約1077 若計(jì)算機(jī)每秒能對(duì)密鑰空間進(jìn)行1億次搜索 全部搜索一遍需1061年以上 傳統(tǒng)加密的現(xiàn)代技術(shù) 流密碼和塊密碼現(xiàn)代密碼設(shè)計(jì)基礎(chǔ)數(shù)據(jù)加密標(biāo)準(zhǔn)DES DES算法 DES的雪崩效應(yīng) DES的強(qiáng)度 DES的操作模式三重DES 流密碼和塊密碼 流密碼 streamcipher 對(duì)數(shù)字?jǐn)?shù)據(jù)流一次加密一個(gè)比特或一個(gè)字節(jié) 經(jīng)典流密碼的例子是Vigenere密碼 塊密碼 blockcipher 明文分塊 一個(gè)明文塊被作為一個(gè)整體處理 產(chǎn)生一個(gè)等長(zhǎng)的密文塊 通常使用的塊大小是64位 現(xiàn)代密碼設(shè)計(jì)基礎(chǔ) ClaudeShannon1949年的論文 communicationTheoryofSecrecySystems 奠定了密碼學(xué)的理論基礎(chǔ) 假設(shè)密碼攻擊者對(duì)明文的統(tǒng)計(jì)特性有所了解 如字母頻率分布等 若這些統(tǒng)計(jì)特性以某種方式反映在密文中 則攻擊者就可以推測(cè)出密鑰 Shannon提出用擾亂 confusion 和擴(kuò)散 diffusion 交替的方法構(gòu)造密碼 目的是挫敗基于統(tǒng)計(jì)分析的密碼破譯 現(xiàn)代密碼設(shè)計(jì)基礎(chǔ) 續(xù) 所謂擴(kuò)散 明文的統(tǒng)計(jì)結(jié)構(gòu)被擴(kuò)散 消失到密文的長(zhǎng)程統(tǒng)計(jì)特性中 即每個(gè)密文數(shù)字被許多明文數(shù)字影響 擴(kuò)散機(jī)制使明文和密文之間的統(tǒng)計(jì)關(guān)系盡量復(fù)雜 所謂擾亂 使密文的統(tǒng)計(jì)特性與加密密鑰的值之間的關(guān)系盡量復(fù)雜 Feistel基于Shannon的設(shè)想 提出用替代和置換交替方式構(gòu)造密碼 提出Feistel塊密碼結(jié)構(gòu) 當(dāng)前用的幾乎所有對(duì)稱加密算法都基于此結(jié)構(gòu) Feistel密碼結(jié)構(gòu) 明文 2w比特 F L0w比特 w比特R0 K1 L1 R1 第1輪 Feistel密碼結(jié)構(gòu) 續(xù) F Ki Li Ri 第i輪 Li 1 Ri 1 Feistel密碼結(jié)構(gòu) 續(xù) F Kn Ln Rn 密文 2w比特 第n輪 Feistel密碼結(jié)構(gòu)設(shè)計(jì)特點(diǎn) 塊大小 塊越大安全性越高 但加密 解密速度越慢 64比特的塊大小是合理的折衷 在塊密碼設(shè)計(jì)中這幾乎是通用的值 密鑰長(zhǎng)度 密鑰越長(zhǎng)安全性越高 但加密 解密速度越慢 64比特或更短的密鑰長(zhǎng)度現(xiàn)在廣泛認(rèn)為不夠安全 128比特是常用的密鑰長(zhǎng)度 循環(huán)次數(shù) 一次循環(huán)不夠安全 多次循環(huán)可增加安全性 典型的循環(huán)次數(shù)是16 子密鑰Ki的生成算法 算法越復(fù)雜密碼分析越困難 Feistel密碼結(jié)構(gòu)設(shè)計(jì)特點(diǎn) 續(xù) 輪函數(shù)F F越復(fù)雜則抗擊密碼分析能力越強(qiáng) 在密碼設(shè)計(jì)中還要考慮 快速的軟件加密 解密 在很多情況下加密被嵌入到應(yīng)用程序中 以至無法用硬件實(shí)現(xiàn) 所以要考慮算法執(zhí)行速度 便于分析 雖然希望算法難以破譯 但使算法容易分析卻有好處 若算法能簡(jiǎn)明地解釋 就可以通過分析算法找到其弱點(diǎn) 進(jìn)行強(qiáng)化 DES的功能原理就不容易分析 Feistel解密算法 Feistel解密過程和加密過程實(shí)質(zhì)是相同的 解密規(guī)則 以密文作為算法輸入 以相反的次序使用子密鑰Ki 即第一輪使用Kn 第二輪使用Kn 1 最后一輪使用K1 這個(gè)特點(diǎn)使得加密 解密使用同一算法 相反的密鑰次序就行 這容易證明 數(shù)據(jù)加密標(biāo)準(zhǔn)DES 是IBM開發(fā) 在1977年被美國標(biāo)準(zhǔn)局NBS 美國標(biāo)準(zhǔn)技術(shù)局NIST的前身 采納為第46號(hào)聯(lián)邦信息處理標(biāo)準(zhǔn) 是非絕密計(jì)算機(jī)數(shù)據(jù)的加密標(biāo)準(zhǔn) DES是塊密碼算法 數(shù)據(jù)被分成64位的塊進(jìn)行加密 密鑰56位 批評(píng)者擔(dān)心56位密鑰不足以抵御窮舉式攻擊 DES實(shí)際上很成功 它在工商業(yè)界廣泛采用 特別是金融領(lǐng)域 1992年底NIST把聯(lián)邦政府使用DES的有效期又延長(zhǎng)了5年 1997年NIST公開征集新算法來取代DES DES算法 初始排列IP 排列PC 1 迭代1 迭代1 迭代16 迭代16 32位交換 逆初始排列 64位明文 56位密鑰 64位密文 K1 K16 1 3 2 4 5 DES算法 續(xù) DES加密算法 1 對(duì)64位明文進(jìn)行初始排列IP 第1位是原來的第58位 第2位是原來的第50位等 按IP表進(jìn)行 2 對(duì)56位密鑰進(jìn)行PC 1排列 密鑰分為8組 每組7位 每組再加1個(gè)奇校驗(yàn)位 所以共64位 排列按PC 1表進(jìn)行 輸出56位 3 明文初始排列后與密鑰經(jīng)PC 1排列后的結(jié)果進(jìn)行16次迭代 DES算法 續(xù) 密鑰迭代結(jié)果分別為48位的Ki i 1 16 稱為子密鑰 4 將16次迭代后64位輸出值的左 右32位交換 5 對(duì)交換后的64位結(jié)果再做一次排列 它是初始排列的逆 即IP 1 第1位換為第58位 第2位換為第50位等 按IP 1表進(jìn)行 就得到密文 DES解密與加密使用相同算法 只是使用密文作為輸入 而且以逆序使用密鑰Ki 即第1次迭代使用K16 第16次迭代使用K1 DES算法 初始排列IP表 DES算法 迭代 迭代第 i 1 次迭代產(chǎn)生64位中間結(jié)果 記為L(zhǎng)iRi 其中Li Ri分別是其左 右各32位 第 i 1 次迭代既產(chǎn)生56位的密鑰 記為CiDi 其中Ci Di分別是密鑰的左28位和右28位 也產(chǎn)生48位的子密鑰記為Ki 一次迭代過程如下圖所示 DES算法 迭代 續(xù) Li 1 Ri 1 Ci 1 Di 1 擴(kuò)展排列E 循環(huán)左移 循環(huán)左移 P排列 Ri Li Ci Di S替換 壓縮排列PC 2 Ki 48位 F 32位 28位 DES算法 迭代 續(xù) 1 關(guān)于F中的運(yùn)算下面介紹 2 密鑰的循環(huán)左移 Ci 1和Di 1分別循環(huán)左移1或2位 i 1 2 9 16時(shí)左移1位 i為其它值時(shí)左移2位 移位后的值作為下次迭代的輸入Ci和Di 3 密鑰的壓縮排列PC 2 利用PC 2表從56位的CiDi構(gòu)造48位的符號(hào)串 作為迭代的子密鑰Ki 此運(yùn)算不僅重排列 也從中選擇 稱排列選擇 4 將Li 1和F運(yùn)算的結(jié)果進(jìn)行異或后作為Ri 原Ri 1作Li DES算法 F運(yùn)算 R 32位 擴(kuò)展排列E 48位 K 48位 S1 S2 S8 S7 P排列 32位 DES算法 F運(yùn)算 續(xù) 1 擴(kuò)展排列E 利用表E將右半部分從32位擴(kuò)展到48位符號(hào)串 Ri 1的第1位排到第2位和第48位 第4位排到第5和7位等 所以稱擴(kuò)展排列 這個(gè)運(yùn)算有兩個(gè)目的 產(chǎn)生和子密鑰相同長(zhǎng)度數(shù)據(jù)進(jìn)行異或 在S替換運(yùn)算時(shí)進(jìn)行壓縮 但從密碼學(xué)看由于輸入的一位將影響兩個(gè)替換位 輸出對(duì)輸入依賴性將傳播更快 這叫雪崩效應(yīng) 2 將擴(kuò)展排列E的48位結(jié)果和48位子密鑰Ki進(jìn)行異或運(yùn)算 即按位做模2加 DES算法 F運(yùn)算 續(xù) 3 S盒替換 將第2步的48位結(jié)果分成8組 每組6位分別按表S1 S2 S8替換為4位 在替換Si中 設(shè)6位輸入為A a1a2a3a4a5a6 令c a2a3a4a5 r a1a6 作為十進(jìn)制數(shù) 0 c 15 0 r 3 在Si表的第r行 第c列查出一個(gè)數(shù)B 0 B 15 可用4個(gè)二進(jìn)制數(shù)表示為B b1b2b3b4 它就是替換Si的輸出 每6位都替換為4位 因此合成32位 注意S盒替換是非線性的 它比DES的其它任何一步提供更好安全性 DES算法 F運(yùn)算 續(xù) 4 P排列 將S替換后的32位結(jié)果按下表再排列 P排列的目的是增強(qiáng)算法的擴(kuò)散特性 DES的雪崩效應(yīng) 加密算法應(yīng)有的一個(gè)特性是明文或密鑰的一點(diǎn)小變動(dòng)應(yīng)該使密文發(fā)生大變化 這稱雪崩效應(yīng) avalancheeffect DES具有很強(qiáng)的雪崩效應(yīng) 例設(shè)兩個(gè)明文塊只差1位 一個(gè)64位全0 一個(gè)首位為1其余全為0 密鑰 00000011001011010010011000100011100001100000111000110010在僅2次循環(huán)后兩個(gè)數(shù)據(jù)塊就有21位不同 見表 a DES的雪崩效應(yīng) 續(xù) DES的雪崩效應(yīng) 續(xù) 假設(shè)兩個(gè)密鑰有一位不同密鑰1 11100101111011110111100110000011101000010001100011101110密鑰2 01100101111011110111100110000011101000010001100011101110明文 0110100010000101001011100111101000010011011101101110101110100100從表 b 看 雪崩效應(yīng)同樣在幾輪循環(huán)后就很明顯 DES的強(qiáng)度 RSA在1997年1月29日發(fā)起一個(gè)破譯DES密鑰的競(jìng)賽 獎(jiǎng)金1萬美元 要求在給定密文和部分明文的情況下找到密鑰 明文開始的3個(gè)塊包含24字符的短