《計算機網(wǎng)絡安全》

計算機網(wǎng)絡平安1整理課件1.網(wǎng)絡平安問題概述計算機網(wǎng)絡面臨的平安性威脅計算機網(wǎng)絡平安的內(nèi)容一般的數(shù)據(jù)加密模型2.兩類密碼體制對稱密鑰密碼體制公鑰密碼體制3.數(shù)字簽名4.鑒別報文鑒別實體鑒別5.密鑰分配對稱密鑰的分配公鑰的分配6.因特網(wǎng)使用的平安協(xié)議網(wǎng)絡層平安協(xié)議運輸層平安協(xié)議應用層的平安協(xié)議破7.系統(tǒng)平安：防火墻與入侵檢測防火墻入侵檢測系統(tǒng)2整理課件網(wǎng)絡平安問題概述

計算機網(wǎng)絡面臨的平安性威脅計算機網(wǎng)絡上的通信面臨以下兩大類威脅：一、被動攻擊。主要是截獲，即從網(wǎng)絡上竊聽他人的通信內(nèi)容。二、主動攻擊，主要有：(1)篡改——成心篡改網(wǎng)絡上傳送的報文。(2)惡意程序——包括計算機病毒、計算機蠕蟲、特洛伊木馬和邏輯炸彈等。(3)拒絕效勞——包括分布式拒絕效勞。3整理課件對網(wǎng)絡的被動攻擊和主動攻擊截獲拒絕服務被動攻擊主動攻擊目的站源站源站源站源站目的站目的站目的站篡改惡意程序4整理課件計算機網(wǎng)絡平安的內(nèi)容保密性平安協(xié)議的設計訪問控制5整理課件密碼學的一些重要概念密碼編碼學(cryptography)是密碼體制的設計學，而密碼分析學(cryptanalysis)那么是在未知密鑰的情況下從密文推演出明文或密鑰的技術。密碼編碼學與密碼分析學合起來即為密碼學(cryptology)。如果不管截取者獲得了多少密文，但在密文中都沒有足夠的信息來唯一地確定出對應的明文，那么這一密碼體制稱為無條件平安的，或稱為理論上是不可破的。如果密碼體制中的密碼不能被可使用的計算資源破譯，那么這一密碼體制稱為在計算上是平安的。6整理課件兩類密碼體制對稱密鑰密碼體制公鑰密碼體制7整理課件對稱密鑰密碼體制所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。8整理課件明文X

截獲密文Y加密模型加密密鑰K明文X密文Y截取者篡改ABE

運算加密算法D運算解密算法因特網(wǎng)解密密鑰K9整理課件數(shù)據(jù)加密標準DES數(shù)據(jù)加密標準DES屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對整個明文進行分組。每一個組長為64位。然后對每一個64位二進制數(shù)據(jù)進行加密處理，產(chǎn)生一組64位密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個的密文。使用的密鑰為64位〔實際密鑰長度為56位，有8位用于奇偶校驗)。10整理課件DES

的保密性DES的保密性僅取決于對密鑰的保密，而算法是公開的。盡管人們在破譯DES方面取得了許多進展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES是世界上第一個公認的實用密碼算法標準，它曾對密碼學的開展做出了重大奉獻。目前較為嚴重的問題是DES的密鑰的長度。現(xiàn)在已經(jīng)設計出來搜索DES密鑰的專用芯片。11整理課件公鑰密碼體制公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由加密密鑰推導出解密密鑰在計算上是不可行的〞密碼體制。公鑰密碼體制的產(chǎn)生主要是因為兩個方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問題，另一是由于對數(shù)字簽名的需求?，F(xiàn)有最著名的公鑰密碼體制是RSA體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學家Rivest,Shamir和Adleman于1976年提出并在1978年正式發(fā)表的。12整理課件公鑰密碼體制密文Y

E

運算加密算法D運算解密算法加密解密明文X明文X

ABB的私鑰SKB密文Y

因特網(wǎng)B的公鑰PKB13整理課件公鑰算法的特點發(fā)送者A用B的公鑰PKB對明文X加密〔E運算〕后，在接收者B用自己的私鑰SKB解密〔D運算〕，即可恢復出明文：

解密密鑰是接收者專用的秘鑰，對其他人都保密。加密密鑰是公開的，但不能用它來解密，即14整理課件公鑰算法的特點加密和解密的運算可以對調(diào)，即

在計算機上可容易地產(chǎn)生成對的PK和SK。從的PK實際上不可能推導出SK，即從PK到SK是“計算上不可能的〞。加密和解密算法都是公開的。15整理課件加密密鑰與解密密鑰在公鑰密碼體制中，加密密鑰(即公鑰)PK

是公開信息，而解密密鑰(即私鑰或秘鑰)SK

是需要保密的。加密算法E

和解密算法D

也都是公開的。雖然秘鑰SK

是由公鑰PK

決定的，但卻不能根據(jù)PK

計算出SK。16整理課件應當注意任何加密方法的平安性取決于密鑰的長度，以及攻破密文所需的計算量。在這方面，公鑰密碼體制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。由于目前公鑰加密算法的開銷較大，在可見的將來還看不出來要放棄傳統(tǒng)的加密方法。公鑰還需要密鑰分配協(xié)議，具體的分配過程并不比采用傳統(tǒng)加密方法時更簡單。17整理課件數(shù)字簽名數(shù)字簽名必須保證以下三點：(1)報文鑒別——接收者能夠核實發(fā)送者對報文的簽名；(2)報文的完整性——發(fā)送者事后不能抵賴對報文的簽名；(3)不可否認——接收者不能偽造對報文的簽名?，F(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法。但采用公鑰算法更容易實現(xiàn)。18整理課件數(shù)字簽名的實現(xiàn)密文D運算明文X明文

X

ABA的私鑰

SKA因特網(wǎng)簽名核實簽名E運算密文A的公鑰PKA19整理課件數(shù)字簽名的實現(xiàn)因為除A外沒有別人能具有A的私鑰，所以除A外沒有別人能產(chǎn)生這個密文。因此B相信報文X是A簽名發(fā)送的。假設A要抵賴曾發(fā)送報文給B，B可將明文和對應的密文出示給第三者。第三者很容易用A的公鑰去證實A確實發(fā)送X給B。反之，假設B將X偽造成X‘，那么B不能在第三者前出示對應的密文。這樣就證明了B偽造了報文。20整理課件具有保密性的數(shù)字簽名核實簽名解密加密簽名E

運算D運算明文X明文X

ABA的私鑰SKA因特網(wǎng)E

運算B的私鑰SKBD運算加密與解密簽名與核實簽名B的公鑰PKBA的公鑰PKA密文21整理課件密鑰分配密鑰管理包括：密鑰的產(chǎn)生、分配、注入、驗證和使用。本節(jié)只討論密鑰的分配。密鑰分配是密鑰管理中最大的問題。密鑰必須通過最平安的通路進行分配。目前常用的密鑰分配方式是設立密鑰分配中心KDC(KeyDistribution)，通過KDC來分配密鑰。22整理課件對稱密鑰的分配目前常用的密鑰分配方式是設立密鑰分配中心KDC(KeyDistributionCenter)。KDC是大家都信任的機構，其任務就是給需要進行秘密通信的用戶臨時分配一個會話密鑰〔僅使用一次〕。用戶A和B都是KDC的登記用戶，并已經(jīng)在KDC的效勞器上安裝了各自和KDC進行通信的主密鑰〔masterkey〕KA和KB?！爸髅荑€〞可簡稱為“密鑰〞。23整理課件公鑰的分配需要有一個值得信賴的機構——即認證中心CA(CertificationAuthority)，來將公鑰與其對應的實體〔人或機器〕進行綁定(binding)。認證中心一般由政府出資建立。每個實體都有CA發(fā)來的證書(certificate)，里面有公鑰及其擁有者的標識信息。此證書被CA進行了數(shù)字簽名。任何用戶都可從可信的地方獲得認證中心CA的公鑰，此公鑰用來驗證某個公鑰是否為某個實體所擁有。有的大公司也提供認證中心效勞。24整理課件對稱密鑰的分配AB密鑰分配中心KDCA,B,KABKB

……用戶專用主密鑰用戶主密鑰

A

KAB

KB

A,B,KABKABKB

KA,時間

A,B25整理課件鑒別在信息的平安領域中，對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改和偽造那么要用鑒別(authentication)。報文鑒別使得通信的接收方能夠驗證所收到的報文〔發(fā)送者和報文內(nèi)容、發(fā)送時間、序列等〕的真?zhèn)巍Ｊ褂眉用芫涂傻竭_報文鑒別的目的。但在網(wǎng)絡的應用中，許多報文并不需要加密。應當使接收者能用很簡單的方法鑒別報文的真?zhèn)巍?6整理課件實體鑒別實體鑒別和報文鑒別不同。報文鑒別是對每一個收到的報文都要鑒別報文的發(fā)送者，而實體鑒別是在系統(tǒng)接入的全部持續(xù)時間內(nèi)對和自己通信的對方實體只需驗證一次。27整理課件報文鑒別許多報文并不需要加密但卻需要數(shù)字簽名，以便讓報文的接收者能夠鑒別報文的真?zhèn)巍Ｈ欢鴮荛L的報文進行數(shù)字簽名會使計算機增加很大的負擔〔需要進行很長時間的運算。當我們傳送不需要加密的報文時，應當使接收者能用很簡單的方法鑒別報文的真?zhèn)巍?8整理課件最簡單的實體鑒別過程A發(fā)送給B的報文的被加密，使用的是對稱密鑰KAB。B收到此報文后，用共享對稱密鑰KAB進行解密，因而鑒別了實體A的身份。ABA,口令KAB29整理課件鑒別與授權不同鑒別與授權(authorization)是不同的概念。授權涉及到的問題是：所進行的過程是否被允許〔如是否可以對某文件進行讀或?qū)憽场?0整理課件報文摘要MD

(MessageDigest)A將報文X經(jīng)過報文摘要算法運算后得出很短的報文摘要H。然后然后用自己的私鑰對H進行D運算，即進行數(shù)字簽名。得出已簽名的報文摘要D(H)后，并將其追加在報文X后面發(fā)送給B。B收到報文后首先把已簽名的D(H)和報文X別離。然后再做兩件事。用A的公鑰對D(H)進行E運算，得出報文摘要H。對報文X進行報文摘要運算，看是否能夠得出同樣的報文摘要H。如一樣，就能以極高的概率斷定收到的報文是A產(chǎn)生的。否那么就不是。31整理課件報文摘要的優(yōu)點僅對短得多的定長報文摘要H進行數(shù)字簽名要比對整個長報文進行數(shù)字簽名要簡單得多，所消耗的計算資源也小得多。但對鑒別報文X來說，效果是一樣的。也就是說，報文X和已簽名的報文摘要D(H)合在一起是不可偽造的，是可檢驗的和不可否認的。32整理課件報文摘要的實現(xiàn)A比較簽名核實簽名報文X

HD

運算MACA的私鑰報文XMACB報文摘要報文XMAC發(fā)送E

運算H報文鑒別碼H報文摘要運算A的公鑰報文摘要運算報文摘要報文摘要因特網(wǎng)報文鑒別碼33整理課件報文摘要算法報文摘要算法就是一種散列函數(shù)。這種散列函數(shù)也叫做密碼編碼的檢驗和。報文摘要算法是防止報文被人惡意篡改。報文摘要算法是精心選擇的一種單向函數(shù)?？梢院苋菀椎赜嬎愠鲆粋€長報文X的報文摘要H，但要想從報文摘要H反過來找到原始的報文X，那么實際上是不可能的。假設想找到任意兩個報文，使得它們具有相同的報文摘要，那么實際上也是不可能的。34整理課件明顯的漏洞入侵者C可以從網(wǎng)絡上截獲A發(fā)給B的報文。C并不需要破譯這個報文〔因為這可能很花很多時間〕而可以直接把這個由A加密的報文發(fā)送給B，使B誤認為C就是A。然后B就向偽裝是A的C發(fā)送應發(fā)給A的報文。這就叫做重放攻擊(replayattack)。C甚至還可以截獲A的IP地址，然后把A的IP地址冒充為自己的IP地址〔這叫做IP欺騙〕，使B更加容易受騙。35整理課件應對重放攻擊：使用不重數(shù)為了對付重放攻擊，可以使用不重數(shù)(nonce)。不重數(shù)就是一個不重復使用的大隨機數(shù)，即“一次一數(shù)〞。36整理課件使用不重數(shù)進行鑒別ABA,RARBKABRARBKAB,時間37整理課件中間人攻擊AB我是A中間人C我是ARBRBSKC請把公鑰發(fā)來PKCRBRBSKA請把公鑰發(fā)來PKADATAPKCDATAPKA時間38整理課件中間人攻擊說明A向B發(fā)送“我是A〞的報文，并給出了自己的身份。此報文被“中間人〞C截獲，C把此報文原封不動地轉發(fā)給B。B選擇一個不重數(shù)RB發(fā)送給A，但同樣被C截獲后也照樣轉發(fā)給A。中間人C用自己的私鑰SKC對RB加密后發(fā)回給B，使B誤以為是A發(fā)來的。A收到RB后也用自己的私鑰SKA對RB加密后發(fā)回給B，中途被C截獲并丟棄。B向A索取其公鑰，此報文被C截獲后轉發(fā)給A。C把自己的公鑰PKC冒充是A的發(fā)送給B，而C也截獲到A發(fā)送給B的公鑰PKA。B用收到的公鑰PKC〔以為是A的〕對數(shù)據(jù)加密發(fā)送給A。C截獲后用自己的私鑰SKC解密，復制一份留下，再用A的公鑰PKA對數(shù)據(jù)加密后發(fā)送給A。A收到數(shù)據(jù)后，用自己的私鑰SKA解密，以為和B進行了保密通信。其實，B發(fā)送給A的加密數(shù)據(jù)已被中間人C截獲并解密了一份。但A和B卻都不知道。39整理課件因特網(wǎng)使用的平安協(xié)議

網(wǎng)絡層平安協(xié)議IPsec協(xié)議網(wǎng)絡層保密是指所有在IP數(shù)據(jù)報中的數(shù)據(jù)都是加密的。40整理課件其中最主要的兩個局部鑒別首部AH(AuthenticationHeader)：AH鑒別源點和檢查數(shù)據(jù)完整性，但不能保密。封裝平安有效載荷ESP(EncapsulationSecurityPayload)：ESP比AH復雜得多，它鑒別源點、檢查數(shù)據(jù)完整性和提供保密。41整理課件平安關聯(lián)SA

(SecurityAssociation)在使用AH或ESP之前，先要從源主機到目的主機建立一條網(wǎng)絡層的邏輯連接。此邏輯連接叫做平安關聯(lián)SA。IPsec就把傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡層轉換為具有邏輯連接的層。42整理課件平安關聯(lián)的特點平安關聯(lián)是一個單向連接。它由一個三元組唯一地確定，包括：(1)平安協(xié)議〔使用AH或ESP〕的標識符(2)此單向連接的源IP地址(3)一個32位的連接標識符，稱為平安參數(shù)索引SPI(SecurityParameterIndex)對于一個給定的平安關聯(lián)SA，每一個IPsec數(shù)據(jù)報都有一個存放SPI的字段。通過此SA的所有數(shù)據(jù)報都使用同樣的SPI值。43整理課件路由器R1到R2的平安關聯(lián)SA公司總部分公司因特網(wǎng)SAR1R2IPsec數(shù)據(jù)報H1H244整理課件IPsec數(shù)據(jù)報的格式ESP首部運輸層報文段或IP數(shù)據(jù)報ESPMACIPsec首部ESP尾部協(xié)議=50加密的部分鑒別的部分SPI序號

填充填充長度下一個首部IPsec數(shù)據(jù)報45整理課件IPsec數(shù)據(jù)報有以下

兩種不同的工作方式一、運輸方式(transportmode)：在整個運輸層報文段的后面和前面分別添加一些控制字段，構成IPsec數(shù)據(jù)報，把整個運輸層報文段都保護起來，很適合于主機到主機之間的平安傳送，但這需要使用IPsec的主機都運行IPsec協(xié)議。二、隧道方式(tunnelmode)：在IP數(shù)據(jù)報的后面和前面分別添加一些控制字段，構成IPsec數(shù)據(jù)報。這需要在IPsec數(shù)據(jù)報所經(jīng)過的所有路由器都運行IPsec協(xié)議。隧道方式常用來實現(xiàn)虛擬專用網(wǎng)VPN。46整理課件運輸層平安協(xié)議現(xiàn)在廣泛使用的有以下兩個協(xié)議：平安套接字層SSL(SecureSocketLayer)運輸層平安TLS(TransportLayerSecurity)。47整理課件SSL/TLS的位置在發(fā)送方，SSL接收應用層的數(shù)據(jù)〔如HTTP或IMAP報文〕，對數(shù)據(jù)進行加密，然后把加了密的數(shù)據(jù)送往TCP套接字。在接收方，SSL從TCP套接字讀取數(shù)據(jù)，解密后把數(shù)據(jù)交給應用層。因特網(wǎng)IP應用層（HTTP）網(wǎng)絡接口層TCPSSL/TLSIP應用層（HTTP）網(wǎng)絡接口層TCPSSL/TLS48整理課件SSL平安會話建立過程如下瀏覽器A效勞器BA支持的加密算法B選定的加密算法B的數(shù)字證書用B的公鑰加密的秘密數(shù)會話密鑰的產(chǎn)生完成數(shù)據(jù)傳輸〔用會話密鑰加密〕協(xié)商加密算法用CA的公鑰鑒別B的證書產(chǎn)生秘密數(shù)用秘密數(shù)產(chǎn)生會話密鑰用秘密數(shù)產(chǎn)生會話密鑰協(xié)商加密算法tt顧客銷售商49整理課件應用層的平安協(xié)議

PGP(PrettyGoodPrivacy)PGP是一個完整的電子郵件平安軟件包，包括加密、鑒別、電子簽名和壓縮等技術。PGP并沒有使用什么新的概念，它只是將現(xiàn)有的一些算法如MD5，RSA，以及IDEA等綜合在一起而已。雖然PGP已被廣泛使用，但PGP并不是因特網(wǎng)的正式標準。50整理課件用PGP進行加密A的私鑰X散列H加密摘要報文鑒別碼MAC

X一次性密鑰加密B的公鑰

加密A郵件發(fā)送A有三個密鑰：自己的私鑰、B的公鑰自己生成的一次性密鑰。B有兩個密鑰：自己的私鑰和A的公鑰。51整理課件用PGP進行解密A的公鑰散列X一次性密鑰B的私鑰加密的郵件及其摘要解密加密的密鑰解密解