網(wǎng)絡安全基礎

網(wǎng)絡安全基礎第一頁，共七十六頁，2022年，8月28日

7.1概述本節(jié)討論計算機網(wǎng)絡面臨的安全性威脅、網(wǎng)絡安全的目標和一般的數(shù)據(jù)加密模型。7.1.1計算機網(wǎng)絡面臨的安全性威脅網(wǎng)絡安全主要涉及網(wǎng)絡自身的安全和網(wǎng)絡中信息的安全兩方面的內(nèi)容。一、網(wǎng)絡自身安全的問題在Internet中，對網(wǎng)絡的攻擊可分為兩種類型，即服務攻擊與非服務攻擊。第二頁，共七十六頁，2022年，8月28日二、網(wǎng)絡中的信息安全問題網(wǎng)絡中的信息安全主要面臨兩個方面的威脅：1、信息存儲安全信息存儲安全是指如何防止網(wǎng)絡中靜態(tài)存儲的信息被未受權(quán)的網(wǎng)絡用戶非法使用。攻擊者常見的攻擊手段如繞開網(wǎng)絡安全認證系統(tǒng)、猜測或截取用戶口令、偽造和冒充合法用戶、使用無須授權(quán)的網(wǎng)絡服務等。2、信息傳輸安全計算機網(wǎng)絡上的通信主要包括以下3種安全威脅：（1）對信息“表征”功能的攻擊威脅（2）對信息“控制”功能的攻擊威脅（3）對信息載體的攻擊第三頁，共七十六頁，2022年，8月28日7.1.2計算機網(wǎng)絡安全的目標：一、信息的存儲及傳輸安全，包括：(1)防止析出報文內(nèi)容；(2)防止信息量分析；(3)檢測更改報文流；(4)檢測拒絕報文服務。二、實體的身份認證，包括：(1)口令、密鑰的管理及分發(fā)；(2)檢測偽造初始化連接。三、接入控制四、行為審計、抗抵賴、可控性五、可用性對付各類攻擊通常采用數(shù)據(jù)加密技術(shù)，或?qū)⒓用芗夹g(shù)與適當?shù)蔫b別技術(shù)相結(jié)合。第四頁，共七十六頁，2022年，8月28日7.1.3一般的數(shù)據(jù)加密模型密碼技術(shù)是網(wǎng)絡與信息安全的核心技術(shù)之一，它包括加密技術(shù)和解密技術(shù)兩個部分。加密/解密算法的操作通常是在一組密鑰的控制下進行的，算法和密鑰構(gòu)成了密碼技術(shù)的兩個基本要素。加密密鑰和解密密鑰可以是相同的，稱為對稱密鑰體制，也可以是不相同的，稱為非對稱密鑰體制。在設計加密系統(tǒng)時，加密算法——作為加密的數(shù)學函數(shù)，可以是公開的，而密鑰——密碼算法的可變參數(shù)則通常是保密的。一個算法的強度（被破譯的難度）除了依賴于算法本身以外，還往往與密鑰的長度有關(guān)。一般的數(shù)據(jù)加密模型如圖7-1所示。第五頁，共七十六頁，2022年，8月28日其中，明文X用加密算法E和加密密鑰K得到密文Y=EK(X)。到了接收端，利用解密算法D和解密密鑰K，解出明文為：

DK(Y)=DK(EK(X))=X。在這里我們假定加密密鑰和解密密鑰都是一樣的，密鑰通常是由一個密鑰源提供。當密鑰需要向遠地傳送時，一定要通過另一個安全信道。E加密算法D解密算法明文x明文x密文Y=EK(x)密鑰源加密密鑰K解密密鑰K入侵者安全信道圖7-1一般的數(shù)據(jù)加密模型第六頁，共七十六頁，2022年，8月28日

7.2對稱密鑰密碼體制常規(guī)密鑰密碼體制是指加密密鑰與解密密鑰相同的密碼體制，替代密碼和置換密碼是早期常用的兩種常規(guī)密鑰密碼體制。以下僅就對稱密鑰密碼體制中最基本的加/解密方法進行介紹。7.2.1愷撒密碼（Caesarcipher）：愷撒密碼又稱替換密碼，是一種將明文平移的替換技術(shù)，其原理可用一個例子來說明：從表7-1可以看出，如果在保持字母序列a、b、c、……、x、y、z不變的情況下，建立與另一個序列D、E、F、……、A、B、C的對應關(guān)系（相應位置的字符相差35個字符）。

abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC表7-1字母a、b、c、……與D、E、F、……對應關(guān)系第七頁，共七十六頁，2022年，8月28日若明文為小寫字母caesarcipher，則對應的密文為大寫字母FDHVDUFLSKHU（此時密鑰K=35，因為對應的小寫字母向左位移了35個字母的位置），接收方利用密鑰做相反的平移操作即可獲得原文。愷撒密碼由于容易破譯而很少單獨使用，通常作為復雜的編碼過程中的一個中間步驟，常見的攻擊方法有：(1)窮舉法：對密鑰空間的所有可能取值逐一測試；(2)頻率試探法：已知英文中使用頻率最高的字母依次是e、t、o、a、n等，再根據(jù)密文中各字母出現(xiàn)的頻率進行試探，求出密鑰k。第八頁，共七十六頁，2022年，8月28日一種改變字母出現(xiàn)頻率和順序的方法是使用多字母密碼（polyalphabeticcipher），它對明文中不同位置的字母采用不同的密文字母進行替換。例如，假設數(shù)組P和C分別代表明文和密文，K為整數(shù)密鑰，算法描述為：for(inti=0;i<lengthofP;i++)C[i]=P[i]+K+(imod3);假設選取密鑰K=1，則密文的第0、3、6……位為明文對應位的ASCII碼值加1，而第1、4、7……位為對應位的ASCII碼值加2，位置為2、5、8……時，字符的值加3。如明文THEMTHENTHEY采用密鑰K=1對其進行多字母密碼加密后，密文為UJHNVKFPWIG\。這種方法可有效減少相同字符反復出現(xiàn)的頻率。第九頁，共七十六頁，2022年，8月28日7.2.2置換密碼（transpositioncipher）：是按照某一規(guī)則重新排列消息中的比特或字符的順序，實現(xiàn)加密目的的方法。與替代密碼不同，密文中的各個比特或字符只是進行重排，而沒有被替換。一種方法是將明文采用一個m列的二維矩陣進行存儲，然后以某種約定或隨機的順序分別傳送各列字符。接收方只要知道列數(shù)及列變換方法，即可重構(gòu)信息。例如，以CIPHER這個字作為密鑰。在此密鑰中的各個字符在英文字母表中出現(xiàn)的順序依次是：C為第1，E為第2，……，R為第6。于是得出密鑰的順序為145326。這就表示在形成密文時，首先讀取第1列的字符(因為密鑰中的1位位于第1列），然后讀取第5列（因為密鑰中的2位于第5列）、第4列、第2列、第3列和第6列。明文也以6個字符為一組寫在密鑰下。如：假設明文為attackbeginsatfour，密鑰為CIPHER，則第十頁，共七十六頁，2022年，8月28日密鑰CIPHER順序145326

明文attackbeginsatfour密鑰COMPUTER列號14358726FOLLOWTHEYELLOWBRICKROAD按行重構(gòu)原文為：FOLLOWTHEYELLOWBRICKROAD。這種密碼很容易破譯，主要用于作為加密過程中的中間步驟。這樣得出密文為abacnuaiotettgfksr。接收者按密鑰中的字母順序按列寫下，按行讀出即得明文。例如，已知收到的密文為FHWR

LK

L

BAOE

OLYRDTO

WLC

OEI，共32個字符（含空格），密鑰為COMPUTER，則密文矩陣為第十一頁，共七十六頁，2022年，8月28日7.2.3序列密碼序列密碼體制是將明文x看成是連續(xù)的比特流（或字符流）x1x2…，并且用密鑰序列K=k1k2…中的第1個元素k1對明文中的x1進行加密，第2個元素k2對明文中的x2進行加密，……，即

Ek(X)=Ek1(x1)Ek2(x2)…序列密碼又稱為密鑰流密碼。這種體制的保密性完全在于密鑰的隨機性。如果密鑰是真正的隨機數(shù)，則這種體制就是理論上不可破的。這也可稱為一次一密亂碼本體制。圖7-2給出了序列密碼的框圖。++發(fā)送端接收端種子I0種子I0xiyikixiki明文序列明文序列密文序列圖7-2序列密碼體制密鑰序列產(chǎn)生器密鑰序列產(chǎn)生器第十二頁，共七十六頁，2022年，8月28日圖中ki、xi和yi均為1bit，并按模2進行異或運算：在發(fā)送端，密文比特yi＝Eki(xi)＝xi

ki在接收端，明文比特xi＝Dki(yi)＝y(tǒng)i

ki＝(xi

ki)

ki

從上述算法可以看出，解密過程不像前面介紹過的方法：解密是加密步驟的逆過程。在序列密碼體制中，加密算法、加密密鑰和解密算法以及解密密鑰完全一樣，或者說，解密過程是加密過程的重復。嚴格的一次一密亂碼本體制所需的密鑰量不存在上限，極端情況下，密鑰長度與待發(fā)送的信息長度一致，由于需要將密鑰傳給對方，且只使用一次，故很難實用化。目前常使用偽隨機序列作為密鑰序列。關(guān)鍵是序列的周期要足夠長，且序列要有很好的隨機性，滿足這一要求的算法很難尋找。另一個缺點是一個比特的丟失會影響消息的正確解密。第十三頁，共七十六頁，2022年，8月28日7.2.4分組密碼另一種密碼體制將明文劃分成固定的n比特的數(shù)據(jù)組，然后以組為單位，在密鑰的控制下進行一系列的線性或非線性的變化而得到密文，稱為分組密碼（blockcipher）。圖7-3為分組密碼體制的框圖。分組密碼一次變換一組數(shù)據(jù)。分組密碼算法的一個重要特點就是：當給定一個密鑰后，若明文分組相同，那么所變換出密文分組也相同。圖7-3

分組密碼體制加密算法解密算法密鑰長明文固定長度明文分組固定長度密文分組第十四頁，共七十六頁，2022年，8月28日分組加密算法存在如下攻擊危險：密文挪用攻擊例如，假設銀行前臺與結(jié)算中心數(shù)據(jù)庫交換數(shù)據(jù)格式為帳號名稱取款/存款：0－取款。1－存款資金數(shù)額其中每個數(shù)據(jù)項占用一個分組（64bit），每次對一個分組進行加密傳輸。假設攻擊者預先偵聽到如下密文：密文分組c1c2c3c4c5c6明文含義帳號A存入1000元帳號B取出2000元攻擊者用自己的帳號C取出10000元，其明文及其對應的密文為帳號C取款10000元C7C8C9比較各個密文分組可知，密文C8=C5，表示取款，C2即為存款。攻擊者只需以C2替換C8，解密后的明文為帳號C存款10000元第十五頁，共七十六頁，2022年，8月28日攻擊者在銀行存入1元錢，將密文分組中對應的存款金額一欄進行任意更改，雖然攻擊者在篡改時未必知道其值及含義，但一般而言，解密后的值都將超過1元。2.篡改密文攻擊3.分組重排攻擊攻擊者用帳號C存入一筆錢（如10元），若其收到一個密文序列對應明文攻擊者將密文分組重新排列為c1c2c3c4c5c6c7c8c9帳號A存款1000帳號B取款200帳號C存款10帳號C存款1000帳號B取款200帳號A存款10對應明文c7c2c3c4c5c6c1c8c9密文序列第十六頁，共七十六頁，2022年，8月28日避免上述攻擊危險的方法是采用密文分組鏈接技術(shù)，以克服各分組獨立加密，對某一個分組的攻擊可能影響整個報文合法性的問題。其基本思想是將當前要加密的分組與上一個分組加密后得到的密文異或后再進行加密，而解密時得到的結(jié)果與上一個密文分組異或即可獲得明文。圖7－4顯示了這一過程P1P2P3P4P5C1C2C3C4C5＋＋＋＋＋EEEEEIV圖7－4密文分組鏈接技術(shù)的實現(xiàn)過程圖中IV為初始向量（密鑰）。上述過程可描述為：加密：Ci=E(P1⊕IV)i=1E(Pi⊕Ci－1)i=2，3，﹍，n解密：Pi=D(C1)⊕IVi=1D(Ci)⊕Ci－1i=2，3，﹍，n第十七頁，共七十六頁，2022年，8月28日密文分組鏈接技術(shù)的優(yōu)點是：⑴相同的明文分組加密后得到的密文分組不一樣；⑵任何一個密文分組都與前面的所有分組有聯(lián)系，對任意一個密文分組的修改都將影響到其后的分組，便于進行攻擊檢測；⑶無法對任意一個密文分組進行單獨解密。缺點是若有分組丟失，則其后的加密將是無效的。第十八頁，共七十六頁，2022年，8月28日7.2.5數(shù)據(jù)加密標準DES（DataEncryptionStandard）分組密碼的一個重要優(yōu)點是不需要同步，因而在分組交換網(wǎng)中有著廣泛的用途。分組密碼中最有名的就是由IBM公司于1970年作為試驗加密系統(tǒng)開發(fā)的分組加密算法DES，1977年被美國國家標準局制訂為國家標準。它被植入VLSI芯片，在銀行轉(zhuǎn)賬、自動柜員機、美國司法部、能源部、聯(lián)邦儲備銀行等部門均有廣泛應用。

DES將信息分解為64bit/塊，其中每個字節(jié)占用1bit用于奇偶校驗，實際加密信息為56bit/塊，密鑰長度也為64bit。分別對每個塊加密，最后得到64比特的加密數(shù)據(jù)。基本思想描述如下：1.DES的基本操作:將64bit的數(shù)據(jù)塊分為兩半,左半即記為L,右半記為R。首先將L和密鑰K進行f變換得到fK(L),然后用fK(L)與R異或，并將其替代R。如圖7－5所示。圖7－5DES基本操作fK(L)LRLR⊕fK(L)第十九頁，共七十六頁，2022年，8月28日若原始數(shù)據(jù)塊為M，密鑰為K，運算過程為XR，即：M=(L,R),M’=XRK(M)=(L’,R’)則L’=L,R’=R⊕fK(L)相同的運算也可用于將數(shù)據(jù)塊的右半部分經(jīng)變換異或到左半部分。如圖7－6所示，這個過程記為XLK(M)。2.DES的基本結(jié)構(gòu)DES算法的基本結(jié)構(gòu)就是經(jīng)過16輪XR和XL交叉運算，實現(xiàn)數(shù)據(jù)的充分混合，達到加密的目的。這一過程描述為：P→XR→XL→XR→XL→XR→XL→XR→XL→XR→XL→XR→XL→XR→XL→XR→C其中P是數(shù)據(jù)塊明文，C是對應密文。每一步運算使用不同的密鑰，上一步的輸出作為下一步的輸入。圖7－6XLK(M)操作fK(R)LR

L⊕fK(R)R第二十頁，共七十六頁，2022年，8月28日

3.密鑰的產(chǎn)生

64bit的密鑰除去奇偶校驗位，實際長度為56bit。在16輪DES基本運算中，每一輪使用不同的子密鑰Ki（i=1,2,…,16），通過密鑰的循環(huán)移動產(chǎn)生新的密鑰，每一輪所使用的子密鑰是從56bit的密鑰中挑選其中的48bit構(gòu)成的，挑選過程從略。

4.f函數(shù)的運算過程

f函數(shù)用于將數(shù)據(jù)分組的一半（32bit）與48bit的子密鑰進行異或運算，為此需要將32bit的數(shù)據(jù)擴展成48bit。擴展的方法是將32bit數(shù)據(jù)首尾相連，6位一組，下一組的頭兩位與上一組的后兩位相同，由此產(chǎn)生的48bit數(shù)據(jù)中有16bit是重復數(shù)據(jù)。如3212345

456789

8910111213

121314151617

161718192021

202122232425

242526272829

28293031321

這一過程稱為擴展置換。擴展置換后的數(shù)據(jù)再與48bit的子密鑰異或，然后將異或結(jié)果通過S盒查表壓縮成32bit數(shù)據(jù)作為f函數(shù)的輸出結(jié)果，Sbox的實現(xiàn)原理從略。第二十一頁，共七十六頁，2022年，8月28日DES算法規(guī)定：數(shù)據(jù)在做16輪運算之前，預先對數(shù)據(jù)塊的左、右部分進行一次置換，稱為初始置換（IP置換），在完成運算輸出前再做一次末置換（IP-1置換）。數(shù)據(jù)塊的解密過程，即XR的逆過程XR-1就是XR，因為：若記M’’=XRK(M’)=(L’’，R’’)，則有L’’=

L’=L

R’’=R’⊕fk(L)=R⊕fk(L)⊕fk(L)=R這意味著XR運算和XR-1運算互相抵消。同理可知XLK（XLK(M))=M。圖7－7為DES算法的加解密過程。明文IP置換LRfkifki+116輪RLIP-1置換密文密文IP置換LRfk17－ifk17-i16輪RLIP-1置換明文圖7－7DES算法的加解密過程第二十二頁，共七十六頁，2022年，8月28日DES算法的設計技巧主要體現(xiàn)在以下幾個方面：?多次重復同一算法，使數(shù)據(jù)與密鑰充分混合，且采用“左右互博”的結(jié)構(gòu)，保證了算法的可逆性?混淆和擴展原理使輸入的每一bit都將對兩個替換操作產(chǎn)生影響，從而使得輸出對輸入的依賴性更快傳播，這種機制稱為“雪崩效應”，這是衡量一個密碼學替換是否為一個好的替換的重要指標?算法設計采用分組鏈接技術(shù)，使得明文和密文之間具有統(tǒng)計獨立性（即相同的明文，加密后的密文不相同），以保證攻擊者不能通過統(tǒng)計特性破解算法。DES算法的設計原理（尤其是Sbox）始終未予公開。其主要缺陷是56bit的密鑰遠遠不能滿足現(xiàn)實需要，其安全性能不能簡單地下一個定性的結(jié)論（256

≈7.2×1016個可能的密鑰）。第二十三頁，共七十六頁，2022年，8月28日1999年美國政府頒布了新的DES標準—3DES，即3倍DES算法。3DES算法的基本原理是使用兩個密鑰K1和K2，對數(shù)據(jù)進行兩次加密和一次解密。圖7－8顯示了3DES的加密過程。明文密文用K1加密用K2解密用K1加密圖7－8（a）3DES加密原理加解密過程可以簡單描述為E-D-E和D-E-D。通過這種組合得到的3DES算法的密鑰長度為112bit，基本能夠滿足需要密文明文用K1解密用K2加密用K1解密圖7－8（b）3DES解密原理第二十四頁，共七十六頁，2022年，8月28日除此之外，還有其他的一些對稱密鑰算法，最常見的有：?國際數(shù)據(jù)加密算法IDEA（InternationalDataEncryptionAlgorithm）：類似于DES加密算法，密鑰長度為128bit，分組長度為64bit，通過連續(xù)8輪迭代和一個輸出變換實現(xiàn)加密。特點是易于通過硬件或軟件實現(xiàn)（而DES難以用軟件實現(xiàn)）；運算速度是DES算法的2倍；無法通過窮舉法實施攻擊。但因?qū)＠麊栴}未能廣泛使用。?高級加密標準算法AES（AdvancedEncryptionSdandard）:分組長度為128bit，密鑰長度可以是128bit、192bit或256bit，分別稱為AES-128、AES-192和AES-256。AES的數(shù)學原理是基于橢圓曲線上的點的運算，是一種高強度的免費加密算法。?RC4算法：屬于序列密碼算法，通過偽隨機數(shù)生成器產(chǎn)生長度為1byte至256byte的密鑰序列，初始密鑰經(jīng)計算得出，其后生成的隨機序列的每一字節(jié)的狀態(tài)均發(fā)生變化。在使用RC4時通常拋棄隨機序列最初的一些字節(jié)，以保證算法的安全性。第二十五頁，共七十六頁，2022年，8月28日7.3非對稱密鑰密碼體制7.3.1公開密鑰密碼體制的特點非對稱密碼體制又稱公鑰密碼體制或雙鑰密碼體制，其特點是使用不同的加密密鑰與解密密鑰，是一種不能由己知加密密鑰推導出解密密鑰的密碼體制，即解密密鑰是加密密鑰的一個單向陷門函數(shù)，這一特點在數(shù)學上描述為：若函數(shù)f是單向陷門，則f滿足：⑴給定定義域內(nèi)的任意x，計算y=f(x)是容易的；⑵給定y，計算x，使x=f-1(y)在計算上是不可行的；⑶存在某個δ，當它已知時，對任何給定的y，若相應的x存在，則計算x，使y=f(x)是容易的。滿足前兩項條件的函數(shù)f(x)稱為單向函數(shù)，第⑶個條件稱為陷門性，δ稱為陷門信息。第二十六頁，共七十六頁，2022年，8月28日當用陷門函數(shù)f作為加密函數(shù)時可將f公開，這相當于公開加密密鑰，此時加密密鑰稱為公鑰，記為PK，δ作為設計者個人使用的解密密鑰，稱為私鑰，記為SK。由于加密函數(shù)和加密密鑰是公開的，任何人都可以利用它將明文x加密成y=f(x)在網(wǎng)上傳輸，密文y只能由持有私鑰SK的設計者容易地解出x=f-1(y)。加密模型如圖7－9所示。非對稱密碼體制的產(chǎn)生主要是因為兩個方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配(distrilbution)問題，另一個是由于對數(shù)字簽名的需求。明文x明文xB的公鑰PKB的私鑰SK加密算法E解密算法Dy=EPK(x)圖7－9非對稱密碼體制的加密模型發(fā)送方A接收方B第二十七頁，共七十六頁，2022年，8月28日在對稱密碼體制中，密鑰的產(chǎn)生、管理、更新和分配是安全體系中最薄弱的部分。此外，當多個用戶對一個用戶進行加密通信時，需要多對不同的密鑰，這進一步增加了密鑰管理的難度。與之相比，非對稱密碼具有如下特點：⑴它使用單向陷門函數(shù)，而不是簡單的替代、置換算法，增加了破解難度；⑵它使用相互分離的兩個密鑰，提高了密鑰分配的可靠性；圖7－10顯示了兩種密碼體制的密鑰分配模型。明文x明文x明文x明文xE加密算法D加密算法密文Ek(x)密鑰源加密密鑰K安全通道發(fā)送端接收端E加密算法D加密算法y=EPk(x)密鑰對產(chǎn)生源私鑰SK公鑰PK發(fā)送端接收端圖7－10兩種密碼體制的密鑰分配模型第二十八頁，共七十六頁，2022年，8月28日⑶在多對一加密傳輸時，無需增加密鑰對；⑷適用于數(shù)字簽名、鑒別、防抵賴等認證系統(tǒng)的應用；認證模型如圖7－11所示。⑸加密運算E（Encryption）與解密運算D（Dicryption）可以對調(diào)；即：DSK(EPK(x))=EPK(DSK(x))=x⑹加密密鑰是公開的，但不能用于解密。即：DPK(EPK(x))≠x雖然非對稱密碼體制有很多優(yōu)點，且具有廣泛用途，但從抗擊密碼分析的角度來說，它并不比對稱密碼體制更具優(yōu)越性，也不能取代后者。明文明文密文A加密B解密A的私鑰A的公鑰發(fā)送方A接收方B圖7－11認證模型第二十九頁，共七十六頁，2022年，8月28日

7.3.2RSA公開密鑰密碼體制RSA公開密鑰密碼體制是由Receive、Shamir、Adelman于1978年提出的一種可逆的非對稱密碼體制，其算法的數(shù)學基礎是數(shù)論中的費馬定理和歐拉定理,并建立在數(shù)論中關(guān)于分解兩個大素數(shù)的乘積極其困難的結(jié)論之上。在RSA體制中，每個用戶使用兩個密鑰：加密密鑰PK={e，n}和解密密鑰SK＝{d，n}。用戶把加密密鑰e公開，使得系統(tǒng)中的任何其他用戶都可以使用，而對解密密鑰中的d則保密。這里，n為兩個大素數(shù)p和q的乘積(素數(shù)p和q一般為100位以上的十進數(shù))，e和d滿足一定的關(guān)系。即便已知e和n，但仍不能求出d，從而達到加密的目的。1、加密算法假設整數(shù)X表示明文，用整數(shù)Y表示密文（X和Y均小于n），則加密和解密運算分別為：第三十頁，共七十六頁，2022年，8月28日加密運算為：Y＝Xemodn

（7-1）解密運算為：X＝Y(jié)dmodn

（7-2）為什么由（7－1）式產(chǎn)生的密文Y可通過（7－2）式使明文還原？為此需要證明：Ydmodn=(Xemodn)dmodn=x（7-3）由模運算法則：[(amodn)×(bmodn)]modn=(a×b)modn知：(Xemodn)dmodn=[(xe)dmodn]modn=xedmodn設p、q均為素數(shù)，n=pq，計算n的歐拉函數(shù)：

φ(n)=(p-1)×(q-1)它表示不超過n并與n互素的數(shù)的個數(shù)，當ed<φ(n)時，根據(jù)數(shù)論中的有關(guān)結(jié)論有：xedmodn=x(edmodφ(n))modn由歐拉定理知：edmodφ(n)=1（7－4）∴xedmodn

=

x(edmodφ(n))modn

=

xmodn

=

x（7－3）式得證，即（7-2）式成立，這正是我們需要的結(jié)論。第三十一頁，共七十六頁，2022年，8月28日2、密鑰的產(chǎn)生現(xiàn)在討論RSA算法中每個參數(shù)如何選擇和計算：①計算n：用戶秘密地選擇兩個大素數(shù)p和q，計算出n＝p×q②計算φ(n)：φ(n)=(p-1)×(q-1)③選擇e：用戶從[0，φ(n)-1]中選擇一個與φ(n)互素的數(shù)e作為公開的加密指數(shù)。④計算d：用戶計算出滿足（7－5）式的de×d＝1modφ(n)(7-5)（7－5）式稱為歐拉公式，它等價于e×d－1＝0modφ(n)(7-6)（7-6）式意味著e×d－1可被φ(n)整除，d即為解密指數(shù)。⑤得出所需要的公開密鑰和秘密密鑰：公開密鑰(即加密密鑰)PK＝{e，n}秘密密鑰(即解密密鑰)SK＝{d，n}第三十二頁，共七十六頁，2022年，8月28日例：設選擇了兩個素數(shù)p＝7，q＝17（這里僅就原理進行說明，沒有選取大于100位的素數(shù)）。計算出n＝p×q＝7×17＝119。計算出φ(n)=(P-1)×(q-1)＝6×16=96。從[0，95]中選擇一個與96互素的數(shù)e。我們選e＝5。然后根據(jù)(7-6)式，有：5×d-1＝0mod96解出d＝77由此可得：公開密鑰PK＝｛5，119｝秘密密鑰SK＝｛77，119｝。第三十三頁，共七十六頁，2022年，8月28日下面對明文進行加密。已知n=119，e=5，d=77，首先將明文劃分為一個個分組，使得每個明文分組的二進制值不超過n，即不超過119?，F(xiàn)在設明文x＝19。用公開密鑰加密時，先計算Xe=195=2476099。再計算Y=Xemodn，即以2476099除以119，得出商為20807，余數(shù)為66。這就是對應于明文19的密文Y的值。在用秘密密鑰SK={77，119}進行解密時，先計算Yd＝6677＝1.27…×10140。再除以119，得出商為1.06…×10138，余數(shù)為19。此余數(shù)即解密后應得出的明文X。若選p和q為大于100位十進制數(shù)，則n為大于200位十進制數(shù)或大于664位二進制數(shù)。這樣就可一次對83個字符（每字符8bit編碼）進行加密。第三十四頁，共七十六頁，2022年，8月28日

7.4報文鑒別在信息的安全領域中，對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改和偽造則要用報文鑒別(messageauthentication)的方法。報文鑒別是使接收方能夠驗證所收到的報文（包括發(fā)送者和報文內(nèi)容、發(fā)送時間、序列等）的真?zhèn)蔚倪^程。使用加密可以達到報文鑒別的目的。但在網(wǎng)絡的應用中，許多報文并不需要加密。例如，通知網(wǎng)絡上所有的用戶有關(guān)網(wǎng)絡的一些情況。對于不需要加密的報文進行加密和解密，會使計算機增加很多不必要的負擔。報文鑒別在傳送明文時應使接收者能用很簡單的方法鑒別報文的真?zhèn)巍５谌屙?，共七十六頁?022年，8月28日近年來，廣泛使用報文摘要MD（MessageDigest）來進行報文鑒別。發(fā)送端將可變長度的報文m經(jīng)過報文摘要算法運算后得出固定長度的報文摘要H(m)。然后對H(m)進行加密，得出EK(H(m))，井將其追加在報文m后面發(fā)送出去。接收端將EK(H(m))解密還原為H(m)，再將收到的報文進行報文摘要運算，看得出的是否為此H(m)。如不一樣，則可斷定收到的報文不是發(fā)送端產(chǎn)生的。報文摘要的優(yōu)點是：僅對短的定長報文摘要H(m)進行加密比對整個長報文m進行加密簡單，但對鑒別報文m來說，效果是一樣的。也就是說，報文m和EK(H(m))合在一起是不可偽造的，是可檢驗的和不可抵賴的。第三十六頁，共七十六頁，2022年，8月28日要做到不可偽造，報文摘要算法必須滿足以下兩個條件：(1)任給一個報文摘要值x，若想找到一個報文y使得H(y)=x，則在計算上是不可行的。即不能從一個已知摘要推導出報文。(2)若想找到任意兩個報文x和y，使得H(x)＝H(y)，則在計算上是不可行的。即不同的報文不能得到相同的摘要。上述的兩個條件表明：若(m，H(m))是發(fā)送者產(chǎn)生的報文和報文摘要對，則攻擊者不可能偽造出另一個報文y，使得y與x具有同樣的報文摘要。發(fā)送者可以對H(m)進行數(shù)字簽名，使報文成為可檢驗的和不可抵賴的。報文經(jīng)過散列函數(shù)運算可以看成是沒有密鑰的加密運算。在接收端不需要（也無法）將報文摘要解密還原為明文報文。滿足上述條件的散列函數(shù)稱為單向散列函數(shù)（one-wayhashfunction）或數(shù)字指紋、密碼校驗和等，它是現(xiàn)代密碼學的核心。第三十七頁，共七十六頁，2022年，8月28日報文摘要算法的一種改進算法MD5具有廣泛的應用。它可對任意長的報文進行運算，然后得出128bit的MD報文摘要代碼。MD5的算法大致的過程如下：(1)先將任意長的報文按模264計算其余數(shù)（64bit）追加在報文的后面。即最后得出的MD代碼已包含了報文長度的信息。(2)在報文和余數(shù)之間填充0—511bit，使得填充后的總長度是512的整數(shù)倍。填充比特的首位是1，后面都是0。(3)將追加和填充后的報文分割為一個個512bit的數(shù)據(jù)塊，512bit的報文數(shù)據(jù)分成4個128bit的數(shù)據(jù)塊依次送到不同的散列函數(shù)進行4輪計算。每一輪又都按32bit的小數(shù)據(jù)塊進行復雜的運算。一直到最后計算出MD5報文摘要代碼。這樣得出的MD5代碼中的每一個比特，都與原來報文中的每一個比特有關(guān)。MD5已在因特網(wǎng)上大量使用。第三十八頁，共七十六頁，2022年，8月28日7.5數(shù)字簽名數(shù)字簽名是為了解決電文傳送者的真實性和可靠性所采用的一種數(shù)字技術(shù)手段。數(shù)字簽名必須保證以下三點：

①接收者能夠核實發(fā)送者對報文的簽名；②發(fā)送者事后不能抵賴對報文的簽名；③接收者不能偽造對報文的簽名?，F(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法。但采用公開密鑰算法要比采用常規(guī)密鑰算法更容易實現(xiàn)。發(fā)送者A用秘密密鑰SKA對報文X進行簽名運算，將結(jié)果DSKA(X)傳送給接收者B。B用已知的A的公開密鑰PKA進行解密，得出EPKA(DSKA(X))＝X。因為解密密鑰PKA為A獨有，所以除A外沒有別人能產(chǎn)生密文DSKA(X)，這樣，B就相信報文X是A簽名發(fā)送的，如圖7-12所示。第三十九頁，共七十六頁，2022年，8月28日發(fā)送者A用私鑰SK對明文X進行加密，稱為數(shù)字簽名，然后將簽名后的報文DKS(X)傳送給接收者B，B用已知的A的公鑰PK進行解密運算，使報文還原，稱簽名核實。若A要抵賴曾發(fā)送報文給B，B可將X及DSKA(X)向第三者出示，第三者利用PKA可以很容易地證實A確實向B發(fā)送過報文X。反之，若B將X偽造成X’，則發(fā)送者也可以通過EPKA(DSKA(X’))≠X對原文X進行鑒別。在實際應用中，經(jīng)常將報文摘要與數(shù)字簽名配合使用，這樣可以高效實現(xiàn)對傳送消息及發(fā)送人的認證。其工作原理如圖7-13所示。DEXEPK(DSK(X))=XDSK(X)SK用私鑰進行簽名PK用公鑰核實簽名圖7-12數(shù)字簽名的實現(xiàn)發(fā)送者A接收者B第四十頁，共七十六頁，2022年，8月28日①發(fā)送方對要發(fā)送的信息生成信息摘要；圖7-13數(shù)字簽名工作原理信息摘要生成摘要單向散列函數(shù)明文明文發(fā)送方信息摘要明文單向散列函數(shù)生成摘要信息摘要解密過程比較身份認證接收方加密過程信息摘要信息摘要發(fā)送方私鑰公開密鑰②發(fā)送方使用秘密密鑰對摘要進行數(shù)字簽名；③發(fā)送方將信息連同簽名后的摘要一起發(fā)送給接收方；④接收方根據(jù)收到的信息重構(gòu)信息摘要；⑤使用公鑰對接收到的經(jīng)過簽名的摘要進行解密；⑥將解密后的摘要與重新生成的摘要進行比較，以判斷信息在傳送過程中是否被篡改。第四十一頁，共七十六頁，2022年，8月28日上述過程僅對報文X進行了簽名，對報文X本身并未加密。若采用圖7-14所示的方法，則可同時實現(xiàn)秘密通信和數(shù)字簽名。圖中ASK和BSK分別為A和B的秘密密鑰，而APK和BPK分別為A和B的公開密鑰。這一過程稱為數(shù)字信封。DEXXEBPK(DASK(X))ASK用A的私鑰簽名BPK用B的公鑰加密DBSK用B的私鑰解密EDSKA(X)APK用A的公鑰核實簽名發(fā)送者A接收者B圖7-14具有保密性的數(shù)字簽名——數(shù)字信封DASK(X)第四十二頁，共七十六頁，2022年，8月28日

7.6密鑰分配由于密碼算法是公開的，網(wǎng)絡的安全性就完全基于密鑰的安全保護上。因此在密碼學中出現(xiàn)了一個重要的分支——密鑰管理。密鑰管理包括：密鑰的產(chǎn)生、分配、注入、驗證和使用，屬于公鑰基礎設施PKI（PublicKeyInfrastructure）應用范疇。本節(jié)只討論密鑰的分配。密鑰分配是密鑰管理中最大的問題。密鑰必須通過最安全的通路進行分配。例如，可以派非?？煽康男攀箶y帶密鑰分配給互相通信的各用戶。這種方法稱為網(wǎng)外分配方式。但隨著用戶的增多和通信量的增大，密鑰更換頻繁（密鑰必須定期更換才能做到可靠），派信使的辦法將不再適用。這時應采用網(wǎng)內(nèi)分配方式，即對密鑰自動分配。常見的密鑰分配方法有：第四十三頁，共七十六頁，2022年，8月28日一、Sharmir密鑰共享基本思想是：由k個人分別持有密鑰的一部分，僅當k個人均出示各自所持部分時，密鑰才能唯一確定。為了實現(xiàn)密鑰的安全共享，必須保證即使k-1個人聯(lián)合起來也無法破解密鑰。為此，Sharmir提出了一種通過n維空間中點的表述方法，這是一種基于拉格朗日多項式插值的巧妙方法：假設密鑰是k維空間上的一個點，將這個點在k個坐標軸上映射的值作為k個子密鑰。根據(jù)這k個子密鑰可以計算出坐標點，而缺少任何一個坐標值都無法得到坐標點——密鑰。更一般地，Sharmir算法把密鑰看成是k維空間的一條曲線，增加了密鑰破解的難度。密鑰共享的思想在具體實現(xiàn)方案中，還有基于映射幾何、線性代數(shù)、孫子定理等多種解決方案。第四十四頁，共七十六頁，2022年，8月28日二、Diffie-Hellman密鑰交換Diffie-Hellman密鑰交換算法是由W.Diffie和M.Hellman于1976年提出的第一個公鑰密碼算法，其目的是使不同的用戶對之間能夠安全地交換密鑰，以獲得一個共享的會話密鑰。算法本身不能用于加、解密。算法的基本思想是：發(fā)送方和接收方各自獨立秘密地選擇一個數(shù)，如x和y，并公開確定兩個充分大的數(shù)，如g和n；利用公開的數(shù)和秘密選定的數(shù)，分別通過一個函數(shù)求出不同的函數(shù)值，并相互交換；雙方使用交換得到的函數(shù)值經(jīng)再一次計算得出相同的密鑰。即使第三方獲取了公開的g、n以及相互交換的函數(shù)值，仍不能求出密鑰。算法的安全性正是建立在求離散對數(shù)的困難性上。第四十五頁，共七十六頁，2022年，8月28日例如，假設在加密密鑰計算過程中，A、B雙方共同使用兩個整數(shù)g和n。首先，A選擇一個整數(shù)x，計算gxmodn發(fā)送給對方B。類似的，B獨立地選擇一個整數(shù)y，并將gymodn的計算結(jié)果發(fā)送給A。A在收到B送來的值后求出

k1=(gymodn)xmodn=gyxmodn同理，B依據(jù)A送來的值計算出

k2=(gXmodn)Ymodn=gxymodn根據(jù)模運算的性質(zhì)可知，gyxmodn＝

gxymodn，即：k1=k2=k，A、B雙方以k作為加密/解密密鑰。當g和n的選取足夠大時（不小于100個比特），即使竊聽者知道了g、n、

gymodn、gXmodn的值，也很難推導出密鑰k。Diffie-hellman密鑰交換過程如圖7-15所示第四十六頁，共七十六頁，2022年，8月28日Diffie-hellman密鑰算法適用于對稱加密過程。這種方法雖然不能輕易破譯密鑰k，但易受入侵者密碼替換攻擊，達到截獲信息的目的。發(fā)送g

X

modn

發(fā)送g

ymodn

選擇x并保密選擇y并保密第三方即使知道g、n、g

Xmodn

、g

ymodn，仍不能輕易得到k?圖7-15Diffie-hellman密鑰交換過程AB計算k=gyxmodn計算k=gxymodn第四十七頁，共七十六頁，2022年，8月28日三、密鑰托管常用的密鑰托管技術(shù)是由政府或相關(guān)技術(shù)部門設立密鑰分配中心KDC（KeyDistributionCenter），通過KDC來產(chǎn)生和分配密鑰。圖7-16為一種對常規(guī)密鑰進行分配的方法，我們假定用戶A和B都是KDC的注冊用戶，他們分別擁有與KDC通信的密鑰KA-KDC和KB-KDC。用戶A用戶B用戶專用主密鑰文件KB-KDCBKA-KDCA主密鑰用戶KA-KDC(A，B)KA-KDC(R1，KB-KDC(A，R1))KB-KDC(A，R1)A和B用密鑰R1進行通信圖7-16常規(guī)密鑰分配協(xié)議KDC第四十八頁，共七十六頁，2022年，8月28日密鑰分配可分為三個步驟：⑴用戶A向KDC發(fā)送用自己的密鑰KA-KDC加密的報文KA-KDC(A，B)，說明想和用戶B通信。⑵KDC用隨機數(shù)產(chǎn)生一個密鑰R1供A和B這次的通信使用，然后向A發(fā)送回答報文，此報文用A自己的密鑰KA-KDC加密，報文中有密鑰R1和請A轉(zhuǎn)給B的報文KB-KDC，被轉(zhuǎn)交的報文是用B自己的密鑰加密的，因此A無法知道報文內(nèi)容。⑶當B收到A轉(zhuǎn)來的報文KB-KDC(A，R1)后，就知道A要和他通信，同時也知道應當使用的密鑰R1。此后，A和B就可使用密鑰R1進行這次通信了。KDC可在報文中加入時間戳，以防止報文的截取者利用以前已記錄下的報文進行重放攻擊。密鑰R1是一次性的，因此保密性較高。而KDC分配給用戶的密鑰，如KA-KDC和KB-KDC，都應定期更換以減少攻擊者破譯密鑰的機會。第四十九頁，共七十六頁，2022年，8月28日

7.7鏈路加密與端到端加密從網(wǎng)絡傳輸?shù)慕嵌瓤矗ǔＳ袃煞N不同的加密策略，即鏈路加密與端到端加密。本節(jié)將分別進行討論。7.7.1鏈路加密在采用鏈路加密的網(wǎng)絡中，每條通信鏈路上的加密是獨立實現(xiàn)的。通常對每條鏈路使用不同的加密密鑰。如圖7-11所示。明文XE1明文XDKE1(X)鏈路1E2(X)鏈路2En(X)鏈路n用戶A結(jié)點1結(jié)點2用戶B密文圖7-11鏈路加密E2D1E3D2明文X明文XE3(X)密文密文密文第五十頁，共七十六頁，2022年，8月28日鏈路加密通常采用序列密碼。由于PDU中的協(xié)議控制信息和數(shù)據(jù)都被加密，這就掩蓋了源結(jié)點和目的結(jié)點的地址。若在結(jié)點間保持連續(xù)的密文序列，則PDU的頻度和長度也能得到掩蓋，這樣就能防止各種形式的通信量分析。由于不需要傳送額外的數(shù)據(jù)，采用這種技術(shù)不會減少網(wǎng)絡的有效帶寬。由于只要求相鄰結(jié)點之間具有相同的密鑰，因而密鑰管理易于實現(xiàn)。鏈路加密的功能是由通信子網(wǎng)提供的，因而對用戶來說是透明的。由于報文是以明文形式在各結(jié)點內(nèi)加密的，所以結(jié)點本身必須是安全的。鏈路加密的最大缺點是在中間結(jié)點都暴露了信息的內(nèi)容。在網(wǎng)絡互連的情況下，僅采用鏈路加密是不能實現(xiàn)通信安全的。此外，鏈路加密也不適用于廣播網(wǎng)絡，因為它的通信子網(wǎng)沒有明確的鏈路存在。若將整個PDU加密將造成無法確定接收者和發(fā)送者。由于上述原因，除非采取其他措施，否則在網(wǎng)絡環(huán)境中鏈路加密將受到很大的限制，只適用于局部數(shù)據(jù)的保護。第五十一頁，共七十六頁，2022年，8月28日7.6.2端到端加密明文XE明文XDE

(X)鏈路1E(X)鏈路2E(X)鏈路n結(jié)點0結(jié)點1結(jié)點2結(jié)點n端到端鏈路傳送的都是密文圖7-12端到端加密端到端加密是在源結(jié)點和目的結(jié)點中對傳送的PDU進行加密和解密，其過程如圖7-12所示?？梢钥闯觯瑘笪牡陌踩圆粫蛑虚g結(jié)點的不可靠而受到影響。第五十二頁，共七十六頁，2022年，8月28日端到端加密應在傳輸層或其以上各層來實現(xiàn)。若選擇在傳輸層進行加密，可以使安全措施對用戶來說是透明的。這樣可不必為每一個用戶提供單獨的安全保護，但容易遭受傳輸層以上的攻擊。當選擇在應用層實現(xiàn)加密時，用戶可根據(jù)自己的特殊要求來選擇不同的加密算法，而不會影響其他用戶。這樣，端到端加密更容易適合不同用戶的要求。端到端加密不僅適用于互連網(wǎng)環(huán)境，而且同樣也適用于廣播網(wǎng)。在端到端加密的情況下，PDU的控制信息部分（如源結(jié)點地址、目的結(jié)點地址、路由信息等）不能被加密，否則中間結(jié)點就不能正確選擇路由。這就使得這種方法易于受到通信量分析的攻擊。為了獲得更好的安全性，可將鏈路加密與端到端加密結(jié)合起來使用。鏈路加密對PDU的目的地址進行加密，而端到端加密則提供了對端到端的數(shù)據(jù)保護。第五十三頁，共七十六頁，2022年，8月28日

7.7防火墻7.7.1概述防火墻是從內(nèi)聯(lián)網(wǎng)（intranet）的角度來解決網(wǎng)絡的安全問題，內(nèi)聯(lián)網(wǎng)是一種使用因特網(wǎng)技術(shù)建立的企事業(yè)內(nèi)部的因特網(wǎng)。這里所說的因特網(wǎng)基本技術(shù)主要是指：采用因特網(wǎng)使用的TCP/IP協(xié)議和萬維網(wǎng)界面。其優(yōu)點是：建造的費用較低；人機接口界面很好，易于使用；連通性和兼容性好。內(nèi)聯(lián)網(wǎng)通常采用一定的安全措施與企業(yè)或機構(gòu)外部的因特網(wǎng)用戶相隔離，這個安全措施就是防火墻（firewall）。防火墻是一種由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個網(wǎng)絡之間實施接入控制策略。這個接入控制策略是由使用防火墻的單位自行制定的。一般將防火墻內(nèi)的網(wǎng)絡稱為“可信賴的網(wǎng)絡”，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡”。第五十四頁，共七十六頁，2022年，8月28日壞的分組丟棄防火墻技術(shù)一般分為下述兩類。（1）網(wǎng)絡級防火墻：主要用于防止整個網(wǎng)絡出現(xiàn)外來非法的入侵。屬于這類的有分組過濾和授權(quán)服務器。前者檢查所有流入本網(wǎng)絡的信息，然后拒絕不符合事先制定好的一套準則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。（2）應用級防火墻：從應用程序來進行接入控制。通常使用應用網(wǎng)關(guān)或代理服務（Proxyserver）來區(qū)分各種應用。例如，可以只允許通過訪問萬維網(wǎng)的應用，而阻止FTP應用的通過。好的分組壞的分組好的分組防火墻可信賴網(wǎng)絡不可信賴網(wǎng)絡第五十五頁，共七十六頁，2022年，8月28日為了防止內(nèi)網(wǎng)信息泄露，防火墻的訪問控制策略有兩種方式：阻止和允許?！白柚埂本褪亲柚鼓撤N類型的通信量通過防火墻（從外部網(wǎng)絡到內(nèi)部網(wǎng)絡，或反之）?！霸试S”的功能與“阻止”恰好相反，“阻止”和“允許”是通過防火墻的分組過濾（packetfiltering）功能實現(xiàn)的。例如，下面是某系統(tǒng)制定的“允許”穿越防火墻的部分策略：允許任何目的端口號為23的TCP分組流入。即允許任何用戶使用Telnet遠程登錄本系統(tǒng)。允許目的地址在防火墻允許列表中的分組通過23號端口訪問本系統(tǒng)。即允許任何用戶對本系統(tǒng)的特定主機遠程訪問。允許源地址在防火墻允許列表中的分組通過23號端口訪問本系統(tǒng)。即允許特定用戶對本系統(tǒng)的任意主機遠程訪問。允許目的地址在防火墻允許列表中的分組流出。即允許本系統(tǒng)任何用戶訪問系統(tǒng)外的特定主機。第五十六頁，共七十六頁，2022年，8月28日下面為某系統(tǒng)制定的“阻止”分組穿越防火墻的部分策略：阻止所有目的端口號為23的TCP分組流入。即禁止任何用戶使用Telnet訪問本系統(tǒng)。阻止所有源地址在防火墻列表中的分組流入。這樣的配置主要用于防止“不良站點”的入侵。阻止所有目的地址在防火墻列表中的分組流入。這是為了防止系統(tǒng)內(nèi)的一些重要站點被入侵。阻止任何源地址、目的地址在防火墻列表中的分組流入及流出。這樣配置的網(wǎng)絡具有嚴格的封閉性。防火墻的“分組過濾”功能主要工作在第三層（網(wǎng)絡層），通過路由器的配置實現(xiàn)。它通過“地址/端口/協(xié)議類型/序列號”等內(nèi)容的篩選實現(xiàn)低層的防護策略。第五十七頁，共七十六頁，2022年，8月28日分組過濾對于用戶來說具有如下優(yōu)點：保護整個網(wǎng)絡，減少暴露的風險；對用戶完全透明，不需要對客戶端作任何改動；

不需要對用戶作任何培訓；很多路由器可以作為包過濾器，不需要專門添加設備。分組過濾的主要缺點表現(xiàn)在：配置分組過濾規(guī)則比較困難；對過濾規(guī)則配置的測試很麻煩；分組過濾規(guī)則具有局限性；只能對包頭中的有限信息進行過濾。圖7-13給出了分組過濾的基本原理。應用層網(wǎng)絡層數(shù)據(jù)鏈路層物理層……應用層網(wǎng)絡層數(shù)據(jù)鏈路層物理層……應用層網(wǎng)絡層數(shù)據(jù)鏈路層物理層……決定哪個分組通過圖7－13分組過濾器的工作原理第五十八頁，共七十六頁，2022年，8月28日分組過濾對于某些特定的應用不提供靈活性。例如，在網(wǎng)絡中文件存儲管理的站點經(jīng)常性的一種服務是：通過文件傳輸協(xié)議FTP（21號端口）來下載文件，但考慮到網(wǎng)絡的安全性，必須禁止內(nèi)部用戶使用FTP上傳文件。分組過濾只能簡單地“允許”或者“拒絕”所有的FTP請求。解決的辦法是通過具有更強邏輯性的高層應用來處理，這種防火墻稱為應用網(wǎng)關(guān)（又稱代理服務器），其工作原理如圖7-14所示。應用層網(wǎng)絡層數(shù)據(jù)鏈路層物理層……應用層網(wǎng)絡層數(shù)據(jù)鏈路層物理層……應用層網(wǎng)絡層數(shù)據(jù)鏈路層物理層……連接連接決定哪個應用程序通過圖7-14應用網(wǎng)關(guān)原理第五十九頁，共七十六頁，2022年，8月28日應用網(wǎng)關(guān)通過專用服務器運行特殊的應用程序來實現(xiàn)，這個專用服務器又被稱為堡壘機。應用網(wǎng)關(guān)采用C/S工作模式，它將客戶端與服務器的連接分為兩個不同的連接：當防火墻與客戶端通信時，應用網(wǎng)關(guān)扮演服務器的角色；而與服務器通信時又作為客戶端。應用網(wǎng)關(guān)監(jiān)測所有流入/流出的應用請求，對截獲的傳輸請求進行分析，并依據(jù)防火墻策略放行或拒絕它們。例如，對于前述相同的FTP請求，可以采用這樣的網(wǎng)關(guān)策略：首先對截獲的客戶請求進行分析，如果客戶發(fā)送get請求（即下載請求），則允許該請求幀通過防火墻；而如果客戶請求為put（即上傳請求），則拒絕該請求幀穿越防火墻。第六十頁，共七十六頁，2022年，8月28日應用層網(wǎng)關(guān)的主要優(yōu)點是：支持可靠的用戶認證并提供詳細的注冊信息；用于應用層的過濾規(guī)則比分組過濾規(guī)則更容易配置和測試；過濾策略具有更大的靈活性；隱藏內(nèi)部拓撲結(jié)構(gòu)細節(jié)及IP地址；通過對互聯(lián)網(wǎng)的代理服務可以解決IP地址不足的矛盾；內(nèi)部不合法的IP通過代理可以訪問互聯(lián)網(wǎng)。應用網(wǎng)關(guān)的缺點也是比較明顯的：由于代理服務器一般只具有解釋應用層命令的功能，即只能提供某一種服務的有限的連接，所以其能夠提供的服務和可伸縮性有限；應用網(wǎng)關(guān)防火墻會造成明顯的網(wǎng)絡性能下降；每個應用程序都必須有一個代理服務程序來進行安全控制，當應用升級或改變時，一般代理服務程序也須隨之改變；此外，代理不能有效檢查底層的信息，傳統(tǒng)的代理也很少是透明的。結(jié)合分組過濾和應用網(wǎng)關(guān)的優(yōu)缺點，現(xiàn)在常見的防火墻一般都將二者配合搭建。第六十一頁，共七十六頁，2022年，8月28日7.7.2防火墻的主要優(yōu)缺點1.主要優(yōu)點：（1）通過過濾不安全的服務來降低風險，如禁止利用聯(lián)機訪問的網(wǎng)絡文件系統(tǒng)NFS協(xié)議進出內(nèi)網(wǎng)；同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊等。（2）控制對主機系統(tǒng)的訪問。例如通過對防火墻的配置，實現(xiàn)外網(wǎng)只能有選擇地對內(nèi)網(wǎng)的部分主機或服務器的有限訪問。（3）監(jiān)控和審計網(wǎng)絡訪問。防火墻通過日志記錄下所有經(jīng)由防火墻的訪問信息，并提供統(tǒng)計、報警服務。（4）防止內(nèi)部信息外泄。通過利用防火墻對內(nèi)網(wǎng)的劃分，實現(xiàn)內(nèi)網(wǎng)重點網(wǎng)段的隔離；限制重點及敏感網(wǎng)絡對外部網(wǎng)絡的暴露程度；隱蔽可能泄漏內(nèi)部細節(jié)的服務。（5）部署NAT機制。利用防火墻的網(wǎng)絡地址翻譯NAT(NetworkAddressTranslation)技術(shù)，隱藏內(nèi)網(wǎng)拓撲結(jié)構(gòu)；拒絕非法數(shù)據(jù)包對內(nèi)網(wǎng)的訪問，并可節(jié)約IP資源。第六十二頁，共七十六頁，2022年，8月28日2.主要弱點：（1）不能防范來自內(nèi)部網(wǎng)絡的攻擊。（2）不能防范不經(jīng)由防火墻的攻擊。（3）不能防范感染了病毒的軟件或文件的傳輸。（4）不能防范數(shù)據(jù)驅(qū)動式攻擊。（5）不能防范利用標準網(wǎng)絡協(xié)議中的漏洞進行攻擊。（6）不能防范新的侵襲手段的攻擊。（7）限制了網(wǎng)絡服務。第六十三頁，共七十六頁，2022年，8月28日7.7.3防火墻的基本結(jié)構(gòu)1.屏蔽路由器防火墻屏蔽路由器是防火墻最基本的構(gòu)件，它可以由專門的路由器實現(xiàn)，也可以用主機實現(xiàn)。路由器上安裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。單純由屏蔽路由器構(gòu)成的防火墻的主要缺點是：不能對高層攻擊進行隔離；不具有日志維護能力；難于發(fā)現(xiàn)被控制的路由器。Internet內(nèi)部網(wǎng)絡屏蔽路由器依據(jù)策略決定轉(zhuǎn)發(fā)/阻止數(shù)據(jù)包圖7-17屏蔽路由器第六十四頁，共七十六頁，2022年，8月28日2.雙宿主機防火墻以一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻，兩塊網(wǎng)卡分別與受保護網(wǎng)和外部網(wǎng)相連，堡壘主機上運行防火墻軟件。如圖7-18所示。Internet內(nèi)部網(wǎng)絡雙宿主機圖7-18雙宿主機結(jié)構(gòu)雙宿主機防火墻支持系統(tǒng)日志、日志備份、遠程日志等功能，具有高層攻擊的防御能力；但如果堡壘機被攻擊，使其只具有路由功能，則內(nèi)網(wǎng)可以被自由訪問。第六十五頁，共七十六頁，2022年，8月28日3.屏蔽主機防火墻屏蔽主機防火墻以易于實現(xiàn)、安全性高、造價低而被廣泛應用。它由一個與外網(wǎng)連接的分組過濾路由器和一個安裝在內(nèi)網(wǎng)上的堡壘主機構(gòu)成防火墻。路由器上設立過濾規(guī)則，并使堡壘機成為外網(wǎng)唯一可以直達的主機，以確保內(nèi)網(wǎng)不被未授權(quán)的外部用戶訪問。圖7-19給出了屏蔽主機防火墻的邏輯構(gòu)成。這種結(jié)構(gòu)的防火墻可以在協(xié)議高層和低層提供對內(nèi)網(wǎng)的保護。重點是防止攻擊者登錄到堡壘機上。Internet內(nèi)部網(wǎng)絡包過濾路由器圖7-19屏蔽主機防火墻的邏輯結(jié)構(gòu)堡壘主機（應用網(wǎng)關(guān)）第六十六頁，共七十六頁，2022年，8月28日4.屏蔽子網(wǎng)防火墻這種結(jié)構(gòu)是在內(nèi)網(wǎng)與外網(wǎng)之間建立一個被隔離的子網(wǎng)，用兩個分組過濾路由器將其與內(nèi)、外網(wǎng)分開，子網(wǎng)稱為屏蔽子網(wǎng)或非軍事區(qū)（DMZ）。邏輯結(jié)構(gòu)如圖7-20所示。這種結(jié)構(gòu)包括兩個分組過濾路由器和一個應用網(wǎng)關(guān)。這兩個路由器中的一個專門檢查進入內(nèi)聯(lián)網(wǎng)的分組，而另一個則檢查出去的。使用兩個局域網(wǎng)的原因就是使穿過防火墻的各種分組必須經(jīng)過分組過濾路由器和應用網(wǎng)關(guān)的檢查。內(nèi)部路由器外部路由器DMZ內(nèi)部網(wǎng)絡圖7-20屏蔽子網(wǎng)防火墻結(jié)構(gòu)堡壘主機（應用網(wǎng)關(guān)）Internet第六十七頁，共七十六頁，2022年，8月28日5.其他防火墻結(jié)構(gòu)（1）一個堡壘機和一個非軍事區(qū)結(jié)構(gòu)堡壘機采用雙宿主機技術(shù)，分別與內(nèi)網(wǎng)和DMZ連接。入侵者只有穿越分組過濾路由器和堡壘機才能進入內(nèi)網(wǎng)