網(wǎng)絡(luò)信息安全體系

1、信息安全專題講座 一、美軍情況 二、安全技術(shù)一、美軍情況 1、計劃與進展規(guī)劃：C4I2SR，標(biāo)志著美軍進入互聯(lián)網(wǎng)時代 計算機網(wǎng)：C3I（星狀，格狀）互 聯(lián) 網(wǎng)：C4I2SR（格狀）； 進展：93-96年，2萬600個 分步開放 2、網(wǎng)絡(luò)發(fā)展 計算機網(wǎng)到互聯(lián)網(wǎng) 封閉網(wǎng)到開放網(wǎng) 集團通信到個人通信 有中心網(wǎng)到無中心網(wǎng) 3、互聯(lián)網(wǎng)課題 美軍認(rèn)為：軍事工作已離不開互聯(lián)網(wǎng)， 提倡使用， 同時提出研究課題 研究課題：防火墻 網(wǎng)絡(luò)警察 源地址跟蹤4、美國防部觀念變化 標(biāo)準(zhǔn)制定商品化重復(fù)建設(shè) vulnerability: 漏洞二、安全技術(shù) 密碼算法 認(rèn)證邏輯 密鑰管理 保護技術(shù)1、密碼算法 目的： 將秘密信息

2、改成公開信息授權(quán)控制；算法：對稱算法，技術(shù)飽和公鑰算法，RSA DH, ELGAMEL ECC用途：數(shù)據(jù)加密部分認(rèn)證構(gòu)建VPN RSA體制建立在IFP（integer factorization problemm）上。 作業(yè)參數(shù)：私鑰：SK=D； 公鑰：PK=E；T=N； 加密（驗證）：AE mod N = C； 脫密（簽名）：CD mod N = A； 因為 N=pq，而p、q是素數(shù)， 所以E*D=1mod(p-1)(q-1) D-H體制 建立在DLP(discrete logarithm problem)上。 參數(shù)：T=g,p (p是素數(shù)) 私鑰：a b 公鑰：ga mod p=KA； g

3、b mod p=KB 在A方： (gb)a mod p= gba mod p=key 在B方： (ga)b mod p= gab mod p=key 在C方： (ga) (gb) = ga+b key ECC體制 ECC是基于ECDLP(elliptic curve discrete logaritm problem)的密碼體制。 設(shè)Fq上橢圓曲線 E:y2=x3+ax+b mod p 參數(shù)：T=a,b,G=(x,y),n,p 私鑰：K 公鑰：KG 應(yīng)用：可以模擬所有DLP體制的密碼。 三種體制比較 參數(shù) 公鑰 私鑰 IFP RSA - 1088 1024 DLP DSA 2208 1024

4、160 ECDLP ECDSP 481 161 160 2、認(rèn)證邏輯： 信任邏輯：注冊性 共有性 唯一性 一體性 主從性 相信邏輯：BAN邏輯 NRL邏輯 生物特征 主要用于實體認(rèn)證 指紋 (4K) 視網(wǎng)膜 (2K) 虹膜 (256B) 面部特征與語音特征 (16K)BAN邏輯 1、解讀性規(guī)則（meaning of message) K 如果 P Q P , P X K （相信）（共有） （能讀） 那么 P Q X （相信）（所做） if P BELIEVES P AND Q SHARED KEY K THEN P BELIEVES THAT Q ONCE WROTE X 當(dāng)次性規(guī)則 2、當(dāng)次

5、性規(guī)則(rule of nonce) 如果 P #(X) , P Q X 那么 P Q X IF P BELIEVES X IS NEW AND P BELIEVES Q ONCE WROTE X THEN P BELIEVES THAT Q BELIEVES X管轄性規(guī)則 3、管轄性規(guī)則(jurisdiction) 如果 P Q X ，P Q X 那么 P X IF P BELIEVES THAT Q HAS JURISDICTION OVER XAND P BELIEVES THAT Q BELIEVES X THEN P BEKIEVES X兩種邏輯 1） 信任鏈 2）相信鏈（證明鏈）

6、3）協(xié)議分析信任鏈 信任建立：“合同” “注冊” 信任轉(zhuǎn)移：不是安全控制機制； 轉(zhuǎn)移結(jié)果：A公司的證件由B公司簽發(fā)； 權(quán)利轉(zhuǎn)移結(jié)果是失去權(quán)利； 信任轉(zhuǎn)移結(jié)果是失去信任關(guān)系；相信鏈1）相信邏輯能否推導(dǎo)信任結(jié)果？2）零知識證明；a)相信邏輯欲推導(dǎo)信任結(jié)果； b)沒有信任關(guān)系，推導(dǎo)相信結(jié)果；3）信任結(jié)果是可否；如：訪問權(quán) 相信結(jié)果是是否；如：到商店買東西 銀行支票流通協(xié)議評估1）零知識證明：相信邏輯； 2）kerberos: kerberos-client:信任邏輯； TGS -client:相信邏輯； Server -client:相信邏輯；3）CA：相信邏輯； KERBEROSKERBEROSC

7、LIENTSERVERTGS第三方信任邏輯相信邏輯相信邏輯 CA 證明鏈CACA1CA2CA11CA12CA21CA22個人證書個人證書個人證書個人證書（PKI）CA11，（PKCA11）CA1，（PKCA1）CA（PKJ）CA21，（PKCA21）CA2，（PKCA2）CAijSchnneier評語： 一個可信人給某人的公鑰簽名就成了公鑰證書。這個可信人就是證明機構(gòu)（certification authority).有一種非密碼的復(fù)雜問題困擾這類系統(tǒng)。證明的含義是什么，誰受到信任，給誰發(fā)證書？任何人都可以給任何其他人的證書簽名。 通常，一個證明鏈（certification chain)是信

8、任轉(zhuǎn)移的：一個可信實體證明很多可信代理，可信代理證明很多可信公司的CA，各公司的CA證明各自的雇員。-證書中的個人身份有多大可信度？-一個人和給他發(fā)證書的CA之間是什么關(guān)系？-誰能作為最頂上的“唯一可信實體”？-證明鏈到底多長？-對CA來說作廢證書的保留是至關(guān)重要的，但仍是一個難題。 支付邏輯顧客受理行商場發(fā)行行建立信任相信邏輯信任邏輯相信邏輯信任邏輯信任邏輯3、密鑰管理： 基本概念 重要性：邏輯隔離技術(shù)之一重要的認(rèn)證參數(shù)兩種體制：KDC,CDC CA ,PGP 密鑰分級：三級：對數(shù)據(jù)加密的密鑰 二級：對三級密鑰加密的密鑰 一級：對二級密鑰保護的密鑰密鑰使用舉例 HASH（DATA）= MAC

9、; (MAC)DA=SIGN E RAN1 （ DATA/SIGN ）=CODE EKA-B(RAN1)=RAN2 發(fā)送：（RAN2，CODE）密鑰管理的主要內(nèi)容 密鑰生產(chǎn)：個人，無邊界，無中心CA統(tǒng)一，有邊界，有中心 KDC 密鑰分發(fā)：動態(tài)，KDC, CA 靜態(tài)，KDC 密鑰存儲：專用媒體(KDC)分散存儲(PGP)公用媒體(KDC,CA)靜態(tài)分發(fā)：單層星狀配置中心K1K2K3KnT2, K2T3, K3TN, Kn T1, K1靜態(tài)分發(fā)：網(wǎng)狀配置CBDAKA-BKA-CKA-DKC-AKC-BKC-DKD-AKD-BKD-CKB-AKB-CKB-D動態(tài)分發(fā)：KDC，拉方式分發(fā)協(xié)議：1) a

10、c：request/n1;2) ca：EKA(KS/request/n1/EKB(KS,IDA)3) ab：EKB(KS,IDA) 這樣a,b雙方都有相同的密鑰KS。驗證協(xié)議：4) ba：EKS(N2)5) ab：EKS(fN2), 其中f是簡單函數(shù)，是加1等簡單變換。KDCBB 動態(tài)分發(fā)：KDC，推方式分發(fā)協(xié)議： 1）ab：a,EKA(EMa); 2) bc：EKA(EMa) 3）cb：EKB(KS,a ,EMb), EKA(KS,b,EMa) 4）ba：EKA(KS,b,EMa)KDCABCA動態(tài)分發(fā)，CAU1, SK1U2, SK2證書作廢系統(tǒng)Pk1(Pk1)ca(Pk2)caPk2CA

11、特點開放環(huán)境中研究，采用公開技術(shù)；密鑰由個人生產(chǎn)，無邊界，無中心；安全責(zé)任由個人承擔(dān)；排斥政府干預(yù)；密鑰變量必須公開；密鑰動態(tài)分發(fā)，需要密鑰傳遞協(xié)議支持；密鑰變更方便，但需要證書作廢系統(tǒng)支持；需要解決公共媒體的安全； 9 理論基礎(chǔ)是相信邏輯KDC的特點密鑰由中心統(tǒng)一生產(chǎn)，分發(fā)協(xié)議簡單，安全；安全責(zé)任由中心承擔(dān)；密鑰變量可以加密保護； 可以做到靜態(tài)分發(fā)，必須解決密鑰存儲技術(shù)；Koberos排過25萬；我國技術(shù)：ECC 多重運算密鑰更換不方便，不需要證書作廢系統(tǒng)支持；適用于有邊界的VPN網(wǎng)。 7理論基礎(chǔ)是信任邏輯 4、保護技術(shù)： P.D.R模型：Protection, Detection, Response指系統(tǒng)保護 保護：隔離保護（防火墻，安全