計(jì)算機(jī)網(wǎng)絡(luò)的安全.ppt

1、計(jì)算機(jī)網(wǎng)絡(luò),第 9 章 計(jì)算機(jī)網(wǎng)絡(luò)的安全,第 9 章 計(jì)算機(jī)網(wǎng)絡(luò)的安全,*9.1 網(wǎng)絡(luò)安全問題概述 9.1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅 9.1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容 9.1.3 一般的數(shù)據(jù)加密模型 *9.2 常規(guī)密鑰密碼體制 9.2.1 替代密碼與置換密碼 9.2.2 數(shù)據(jù)加密標(biāo)準(zhǔn) DES,第 9 章 計(jì)算機(jī)網(wǎng)絡(luò)的安全（續(xù)）,*9.3 公開密鑰密碼體制 9.3.1 公開密鑰密碼體制的特點(diǎn) 9.3.2 RSA 公開密鑰密碼體制 9.3.3 數(shù)字簽名 *9.4 報(bào)文鑒別 *9.5 密鑰分配,第 9 章 計(jì)算機(jī)網(wǎng)絡(luò)的安全（續(xù)）,9.6 電子郵件的加密 9.6.1 PGP 9.6.2 PEM

2、9.7 鏈路加密與端到端加密 9.7.1 鏈路加密 9.7.2 端到端加密,第 9 章 計(jì)算機(jī)網(wǎng)絡(luò)的安全（續(xù)）,9.8 因特網(wǎng)商務(wù)中的加密 9.8.1 安全插口層 SSL 9.8.2 安全電子交易 SET 9.9 因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議族 IPsec *9.10 防火墻,9.1 網(wǎng)絡(luò)安全問題概述 9.1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅,計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅： (1) 截獲從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。 (2) 中斷有意中斷他人在網(wǎng)絡(luò)上的通信。 (3) 篡改故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。 (4) 偽造偽造信息在網(wǎng)絡(luò)上傳送。 截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕用戶使用資源的攻擊

3、稱為主動(dòng)攻擊。,對網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊,截獲,篡改,偽造,中斷,被動(dòng)攻擊,主 動(dòng) 攻 擊,目的站,源站,源站,源站,源站,目的站,目的站,目的站,被動(dòng)攻擊和主動(dòng)攻擊,在被動(dòng)攻擊中，攻擊者只是觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元 PDU 而不干擾信息流。 主動(dòng)攻擊是指攻擊者對某個(gè)連接中通過的 PDU 進(jìn)行各種處理。 更改報(bào)文流 拒絕報(bào)文服務(wù) 偽造連接初始化,(1) 防止析出報(bào)文內(nèi)容； (2) 防止通信量分析； (3) 檢測更改報(bào)文流； (4) 檢測拒絕報(bào)文服務(wù)； (5) 檢測偽造初始化連接。,計(jì)算機(jī)網(wǎng)絡(luò)通信安全的目標(biāo),有可能發(fā)生 分組丟失,(1) 計(jì)算機(jī)病毒會(huì)“傳染”其他程序的程序，“傳染”是通過修

4、改其他程序來把自身或其變種復(fù)制進(jìn)去完成的。 (2) 計(jì)算機(jī)蠕蟲通過網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序。 (3) 特洛伊木馬一種程序，它執(zhí)行的功能超出所聲稱的功能。 (4) 邏輯炸彈一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其他特殊功能的程序。,惡意程序(rogue program),9.1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容,保密性 安全協(xié)議的設(shè)計(jì) 接入控制,9.1.3 一般的數(shù)據(jù)加密模型,E 加密算法,D 解密算法,加密密鑰 K,解密密鑰 K,明文 X,明文 X,密文 Y = EK(X),截取者,截獲,篡改,密鑰源,安全信道,一些重要概念,密碼編碼學(xué)(cryptography)是

5、密碼體制的設(shè)計(jì)學(xué)，而密碼分析學(xué)(cryptanalysis)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)(cryptology)。 如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來惟一地確定出對應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。 如果密碼體制中的密碼不能被可使用的計(jì)算資源破譯，則這一密碼體制稱為在計(jì)算上是安全的。,9.2 常規(guī)密鑰密碼體制,所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制。 這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。我們先介紹在常規(guī)密鑰密碼體制中的兩種最基本的密碼。,9.2.1 替代密碼與置

6、換密碼,替代密碼(substitution cipher)的原理可用一個(gè)例子來說明。（密鑰是 3）,abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC,caesar cipher,FDHVDU FLSKHU,明文 密文,明文 c 變成了密文 F,9.2.1 替代密碼與置換密碼,替代密碼(substitution cipher)的原理可用一個(gè)例子來說明。（密鑰是 3）,abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC,caesar cipher,FDHVDU FLSKHU,明文 密文

7、,明文 a 變成了密文 D,9.2.1 替代密碼與置換密碼,替代密碼(substitution cipher)的原理可用一個(gè)例子來說明。（密鑰是 3）,abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC,caesar cipher,FDHVDU FLSKHU,明文 密文,明文 e 變成了密文 H,CIPHER 145326 attack begins atfour,置換密碼,置換密碼(transposition cipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。,密鑰 順序 明文,根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們

8、可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對先后順序?yàn)?145326。,CIPHER 145326 attack begins atfour,置換密碼,置換密碼(transposition cipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。,密鑰 順序 明文,根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對先

9、后順序?yàn)?145326。,CIPHER 145326 attack begins atfour,置換密碼,置換密碼(transposition cipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。,密鑰 順序 明文,根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對先后順序?yàn)?145326。,CIPHER 145326 attack begins atfour,置換密碼,置換密碼(transposition cipher)則是按

10、照某一規(guī)則重新排列消息中的比特或字符順序。,密鑰 順序 明文,根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對先后順序?yàn)?145326。,CIPHER 145326 attack begins atfour,置換密碼,置換密碼(transposition cipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。,密鑰 順序 明文,根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有

11、 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對先后順序?yàn)?145326。,CIPHER 145326 attack begins atfour,置換密碼,置換密碼(transposition cipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。,密鑰 順序 明文,根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對先后順序?yàn)?145326。,CIPHER 145326 a

12、ttack begins atfour,密文的得出,密鑰 順序 明文,先讀順序?yàn)?1 的明文列，即 aba,CIPHER 145326 attack begins atfour,密文的得出,密鑰 順序 明文,再讀順序?yàn)?2 的明文列，即 cnu,CIPHER 145326 attack begins atfour,密文的得出,密鑰 順序 明文,再讀順序?yàn)?3 的明文列，即 aio,CIPHER 145326 attack begins atfour,密文的得出,密鑰 順序 明文,再讀順序?yàn)?4 的明文列，即 tet,CIPHER 145326 attack begins atfour,密文的得

13、出,密鑰 順序 明文,再讀順序?yàn)?5 的明文列，即 tgf,CIPHER 145326 attack begins atfour,密文的得出,密鑰 順序 明文,最后讀順序?yàn)?6 的明文列，即 ksr,因此密文就是：abacnuaiotettgfksr,CIPHER 145326 attack begins atfour,接收端收到密文后按列寫下,密鑰 順序 明文,先寫下第 1 列密文 aba,收到的密文：abacnuaiotettgfksr,CIPHER 145326 attack begins atfour,接收端收到密文后按列寫下,密鑰 順序 明文,再寫下第 2 列密文 cnu,收到的密文

14、：abacnuaiotettgfksr,CIPHER 145326 attack begins atfour,接收端收到密文后按列寫下,密鑰 順序 明文,再寫下第 3 列密文 aio,收到的密文：abacnuaiotettgfksr,CIPHER 145326 attack begins atfour,接收端收到密文后按列寫下,密鑰 順序 明文,再寫下第 4 列密文 tet,收到的密文：abacnuaiotettgfksr,CIPHER 145326 attack begins atfour,接收端收到密文后按列寫下,密鑰 順序 明文,再寫下第 5 列密文 tgf,收到的密文：abacnuai

15、otettgfksr,CIPHER 145326 attack begins atfour,接收端收到密文后按列寫下,密鑰 順序 明文,最后寫下第 6 列密文 ksr,收到的密文：abacnuaiotettgfksr,CIPHER 145326 attack begins atfour,接收端從密文解出明文,密鑰 順序 明文,最后按行讀出明文,收到的密文：abacnuaiotettgfksr,CIPHER 145326 attack begins atfour,接收端從密文解出明文,密鑰 順序 明文,最后按行讀出明文,收到的密文：abacnuaiotettgfksr,CIPHER 145326

16、 attack begins atfour,接收端從密文解出明文,密鑰 順序 明文,最后按行讀出明文,收到的密文：abacnuaiotettgfksr,得出明文：attackbeginsatfour,序列密碼與分組密碼,序列碼體制是將明文 X 看成是連續(xù)的比特流(或字符流)x1x2，并且用密鑰序列 K k1k2中的第 i 個(gè)元素 ki 對明文中的 xi 進(jìn)行加密，即,序列密碼體制,密鑰序列產(chǎn)生器,種子 I0,發(fā)端,ki,密鑰序列產(chǎn)生器,種子 I0,收端,ki,密文序列,明文序列,明文序列,xi,xi,yi,yi,在開始工作時(shí)種子 I0 對密鑰序列產(chǎn)生器進(jìn)行初始化。 按照模 2 進(jìn)行運(yùn)算，得出：

17、,(9-1),序列密碼體制,密鑰序列產(chǎn)生器,種子 I0,發(fā)端,ki,密鑰序列產(chǎn)生器,種子 I0,收端,ki,密文序列,明文序列,明文序列,xi,xi,yi,yi,在收端，對 yi 的解密算法為：,(9-2),序列密碼又稱為密鑰流密碼。,序列密碼體制的保密性,序列密碼體制的保密性完全在于密鑰的隨機(jī)性。 如果密鑰是真正的隨機(jī)數(shù)，則這種體制就是理論上不可破的。這也可稱為一次一密亂碼本體制。 嚴(yán)格的一次一密亂碼本體制所需的密鑰量不存在上限，很難實(shí)用化。 密碼學(xué)家試圖模仿這種一次一密亂碼本體制。目前常使用偽隨機(jī)序列作為密鑰序列。關(guān)鍵是序列的周期要足夠長，且序列要有很好的隨機(jī)性（這很難尋找）。,分組密碼,

18、它將明文劃分成固定的 n 比特的數(shù)據(jù)組，然后以組為單位，在密鑰的控制下進(jìn)行一系列的線性或非線性的變化而得到密文。這就是分組密碼。 分組密碼一次變換一組數(shù)據(jù)。 分組密碼算法的一個(gè)重要特點(diǎn)就是：當(dāng)給定一個(gè)密鑰后，若明文分組相同，那么所變換出密文分組也相同。 分組密碼的一個(gè)重要優(yōu)點(diǎn)是不需要同步,分組密碼體制,輸入,輸出,加密 算法,密鑰,明文,輸入,輸出,解密 算法,密鑰,明文,n bit,n bit,n bit,n bit,密文,密文,9.2.2 數(shù)據(jù)加密標(biāo)準(zhǔn) DES,數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于常規(guī)密鑰密碼體制，是一種分組密碼。 在加密前，先對整個(gè)明文進(jìn)行分組。每一個(gè)組長為 64 bit。 然后對

19、每一個(gè) 64 bit 二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組 64 bit 密文數(shù)據(jù)。 最后將各組密文串接起來，即得出整個(gè)的密文。 使用的密鑰為 64 bit（實(shí)際密鑰長度為 56 bit，有 8 bit 用于奇偶校驗(yàn))。,DES 加密標(biāo)準(zhǔn),L0,R0,L1 = R0,IP,L2 = R1,L15 = R14,R1 = L0 f (R0, K1),R2 = L1 f (R1, K2),R15 = L14 f (R14, K15),L16 = R15,R16 = L15 f (R15, K16),IP1,f,f,f,輸出,密文 Y (64 bit),明文 X (64 bit),輸入,K16 (48 b

20、it),K2 (48 bit),K1 (48 bit),X0 的左半邊 (32 bit),X0 (64 bit),X0 的右半邊 (32 bit),R16L16 (64 bit),DES 的明顯缺點(diǎn),DES 實(shí)際上就是一種單字符替代，而這種字符的長度是 64 bit。 也就是說，對于 DES 算法，相同的明文就產(chǎn)生相同的密文。這對 DES 的安全性來說是不利的。 為了提高 DES 的安全性，可采用加密分組鏈接的方法。,加密分組的鏈接,X0,Y0,X1,Y1,X2,Y2,X3,Y3,X0,Y0,X1,Y1,X2,Y2,X3,Y3,初始 向量,初始 向量,密鑰,密鑰,明文,明文,密文,密文,加密,

21、解密,E,E,E,E,D,D,D,D,DES 的保密性,DES 的保密性僅取決于對密鑰的保密，而算法是公開的。盡管人們在破譯 DES 方面取得了許多進(jìn)展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。 DES 是世界上第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)，它曾對密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。 目前較為嚴(yán)重的問題是 DES 的密鑰的長度。 現(xiàn)在已經(jīng)設(shè)計(jì)出來搜索 DES 密鑰的專用芯片。,三重 DES (Triple DES),三重 DES 使用兩個(gè)密鑰，執(zhí)行三次 DES 算法。下圖中的方框 E 和 D 分別表示執(zhí)行加密和解密算法。因此加密時(shí)是 E-D-E，解密時(shí)是 D-E-D。,E,D,E,K1,K2,K1

22、,明文,密文,D,E,D,K1,K2,K1,密文,明文,加密,解密,9.3 公開密鑰密碼體制9.3.1 公開密鑰密碼體制的特點(diǎn),公開密鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。 公開密鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問題，另一是由于對數(shù)字簽名的需求。 現(xiàn)有三種公開密鑰密碼體制，其中最著名的是RSA 體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學(xué)家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式發(fā)表的。,加密密鑰與解密密鑰,在公開密鑰密碼

23、體制中，加密密鑰(即公開密鑰) PK 是公開信息，而解密密鑰(即秘密密鑰) SK 是需要保密的。 加密算法 E 和解密算法 D 也都是公開的。 雖然秘密密鑰 SK 是由公開密鑰 PK 決定的，但卻不能根據(jù) PK 計(jì)算出 SK。,應(yīng)當(dāng)注意,任何加密方法的安全性取決于密鑰的長度，以及攻破密文所需的計(jì)算量。在這方面，公開密鑰密碼體制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。 由于目前公開密鑰加密算法的開銷較大，在可見的將來還看不出來要放棄傳統(tǒng)的加密方法。公開密鑰還需要密鑰分配協(xié)議，具體的分配過程并不比采用傳統(tǒng)加密方法時(shí)更為簡單。,公開密鑰算法的特點(diǎn),(1) 發(fā)送者用加密密鑰 PK 對明文 X 加密后，在接

24、收者用解密密鑰 SK 解密，即可恢復(fù)出明文，或?qū)憺椋?DSK(EPK(X) X (9-5) 解密密鑰是接收者專用的秘密密鑰，對其他人都保密。 此外，加密和解密的運(yùn)算可以對調(diào)，即 EPK(DSK(X) X,公開密鑰算法的特點(diǎn),(2) 加密密鑰是公開的，但不能用它來解密，即 DPK(EPK(X) X (9-6) (3) 在計(jì)算機(jī)上可容易地產(chǎn)生成對的 PK 和 SK。 (4) 從已知的 PK 實(shí)際上不可能推導(dǎo)出 SK，即從 PK 到 SK 是“計(jì)算上不可能的”。 (5) 加密和解密算法都是公開的。,公開密鑰密碼體制,接收者,發(fā)送者,E 加密算法,D 解密算法,加密密鑰 PK,解密密鑰 SK,明文 X

25、,密文 Y = EPK(X),密鑰對 產(chǎn)生源,明文 X = DSK(EPK(X),9.3.2 RSA 公開密鑰密碼體制,RSA 公開密鑰密碼體制所根據(jù)的原理是：根據(jù)數(shù)論，尋求兩個(gè)大素?cái)?shù)比較簡單，而將它們的乘積分解開則極其困難。 每個(gè)用戶有兩個(gè)密鑰：加密密鑰 PK e, n 和解密密鑰 SK d, n。 用戶把加密密鑰公開，使得系統(tǒng)中任何其他用戶都可使用，而對解密密鑰中的 d 則保密。 N 為兩個(gè)大素?cái)?shù) p 和 q 之積（素?cái)?shù) p 和 q 一般為 100 位以上的十進(jìn)數(shù)），e 和 d 滿足一定的關(guān)系。當(dāng)敵手已知 e 和 n 時(shí)并不能求出 d。,(1) 加密算法,若用整數(shù) X 表示明文，用整數(shù) Y

26、 表示密文（X 和 Y 均小于 n），則加密和解密運(yùn)算為： 加密：Y Xe mod n (9-7) 解密：X Yd mod n (9-8),(2) 密鑰的產(chǎn)生, 計(jì)算 n。用戶秘密地選擇兩個(gè)大素?cái)?shù) p 和 q，計(jì)算出 n pq。n 稱為 RSA算法的模數(shù)。明文必須能夠用小于 n 的數(shù)來表示。實(shí)際上 n 是幾百比特長的數(shù)。 計(jì)算(n)。用戶再計(jì)算出 n 的歐拉函數(shù) (n) (p 1)(q 1) (9-9) (n) 定義為不超過 n 并與 n 互素的數(shù)的個(gè)數(shù)。 選擇 e。用戶從0, (n) 1中選擇一個(gè)與 (n)互素的數(shù) e 作為公開的加密指數(shù)。,(2) 密鑰的產(chǎn)生（續(xù)）, 計(jì)算 d。用戶計(jì)算出滿

27、足下式的 d ed 1 mod (n) (9-10) 作為解密指數(shù)。 得出所需要的公開密鑰和秘密密鑰： 公開密鑰（即加密密鑰）PK e, n 秘密密鑰（即解密密鑰）SK d, n,(3) 正確性的例子說明,設(shè)選擇了兩個(gè)素?cái)?shù)，p 7, q 17。 計(jì)算出 n pq 7 17 119。 計(jì)算出 (n) (p 1)(q 1) 96。 從0, 95中選擇一個(gè)與 96 互素的數(shù)e。 選 e 5。然后根據(jù)(9-10)式， 5d 1 mod 96 解出 d。不難得出，d 77, 因?yàn)?ed 5 77 385 4 96 1 1 mod 96。 于是，公開密鑰 PK (e, n) 5, 119, 秘密密鑰 SK

28、 77, 119。,(3) 正確性的例子說明（續(xù)）,對明文進(jìn)行加密。先把明文劃分為分組，使每個(gè) 明文分組的二進(jìn)制值不超過 n, 即不超過 119。 設(shè)明文 X 19。用公開密鑰加密時(shí)，先計(jì)算 Xe 195 2476099。 再除以 119，得出商為 20807，余數(shù)為 66。這就是對應(yīng)于明文 19 的密文 Y 的值。 在用秘密密鑰 SK 77, 119進(jìn)行解密時(shí)，先計(jì)算 Yd 6677 1.27. 10140。 再除以 119，得出商為 1.06. 10138，余數(shù)為 19。 此余數(shù)即解密后應(yīng)得出的明文 X。,RSA 算法舉例,明文 19,19 = = 20807,公開密鑰 = 5, 119,

29、加密,5,2476099,119,及余數(shù) 66,密文 66,66 = = 1.0610,秘密密鑰 = 77, 119,解密,77,1.27. 10,119,及余數(shù) 19,明文 19,140,138,9.3.3 數(shù)字簽名,數(shù)字簽名必須保證以下三點(diǎn)： (1) 接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名； (2) 發(fā)送者事后不能抵賴對報(bào)文的簽名； (3) 接收者不能偽造對報(bào)文的簽名。 現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法。但采用公開密鑰算法要比采用常規(guī)密鑰算法更容易實(shí)現(xiàn)。,數(shù)字簽名的實(shí)現(xiàn),D,SK,PK,用公開密鑰 核實(shí)簽名,用秘密密鑰 進(jìn)行簽名,X,發(fā)送者 A,接收者 B,DSK(X),X,E,數(shù)字簽名的實(shí)現(xiàn)

30、,B 用已知的 A 的公開加密密鑰得出 EPKA(DSKA(X) X。因?yàn)槌?A 外沒有別人能具有 A 的解密密鑰 SKA，所以除 A 外沒有別人能產(chǎn)生密文 DSKA(X)。這樣，B 相信報(bào)文 X 是 A 簽名發(fā)送的。 若 A 要抵賴曾發(fā)送報(bào)文給 B，B 可將 X 及DSKA(X)出示給第三者。第三者很容易用 PKA去證實(shí) A 確實(shí)發(fā)送 X 給 B。反之，若 B 將 X 偽造成 X，則 B 不能在第三者前出示DSKA(X)。這樣就證明了 B 偽造了報(bào)文。,具有保密性的數(shù)字簽名,D,SKA,PKA,用公開密鑰 核實(shí)簽名,用秘密密鑰 簽名,X,發(fā)送者 A,接收者 B,DSKA(X),X,E,E,P

31、KB,用公開密鑰 加密,EPKB(DSKA(X),D,SKB,用秘密密鑰 解密,DSKA(X),密文,9.4 報(bào)文鑒別(message authentication),在信息的安全領(lǐng)域中，對付被動(dòng)攻擊的重要措施是加密，而對付主動(dòng)攻擊中的篡改和偽造則要用報(bào)文鑒別。 報(bào)文鑒別使得通信的接收方能夠驗(yàn)證所收到的報(bào)文（發(fā)送者和報(bào)文內(nèi)容、發(fā)送時(shí)間、序列等）的真?zhèn)巍?使用加密就可達(dá)到報(bào)文鑒別的目的。但在網(wǎng)絡(luò)的應(yīng)用中，許多報(bào)文并不需要加密。應(yīng)當(dāng)使接收者能用很簡單的方法鑒別報(bào)文的真?zhèn)巍?報(bào)文摘要 MD (Message Digest),發(fā)送端將報(bào)文 m 經(jīng)過報(bào)文摘要算法運(yùn)算后得出固定長度的報(bào)文摘要 H(m)。然

32、后對 H(m) 進(jìn)行加密，得出EK(H(m)，并將其追加在報(bào)文 m 后面發(fā)送出去。 接收端將 EK(H(m) 解密還原為 H(m)，再將收到的報(bào)文進(jìn)行報(bào)文摘要運(yùn)算，看得出的是否為此 H(m)。 如不一樣，則可斷定收到的報(bào)文不是發(fā)送端產(chǎn)生的。 報(bào)文摘要的優(yōu)點(diǎn)就是：僅對短得多的定長報(bào)文摘要 H(m)進(jìn)行加密比對整個(gè)長報(bào)文 m 進(jìn)行加密要簡單得多。 M 和 EK(H(m) 合在一起是不可偽造的，是可檢驗(yàn)的和不可抵賴的。,報(bào)文摘要算法必須滿足以下兩個(gè)條件,任給一個(gè)報(bào)文摘要值 x，若想找到一個(gè)報(bào)文 y 使得 H(y) = x，則在計(jì)算上是不可行的。 若想找到任意兩個(gè)報(bào)文 x 和 y，使得 H(x) =

33、H(y)，則在計(jì)算上是不可行的。,報(bào)文摘要的實(shí)現(xiàn),明 文 M,MD,經(jīng)過報(bào)文 摘要運(yùn)算 H,密鑰 K,MD,H,比較 （是否一致？）,發(fā)送,明 文 M,明 文 M,得出報(bào)文摘要,加密的報(bào)文摘要,加密的報(bào)文摘要 附加在明文后面,密鑰 K,得出解密的報(bào)文摘要,發(fā)端,收端,收端算出的 報(bào)文摘要,9.5 密鑰分配,密鑰管理包括：密鑰的產(chǎn)生、分配、注入、驗(yàn)證和使用。本節(jié)只討論密鑰的分配。 密鑰分配是密鑰管理中最大的問題。密鑰必須通過最安全的通路進(jìn)行分配。 目前常用的密鑰分配方式是設(shè)立密鑰分配中心 KDC (Key Distribution)，通過 KDC 來分配密鑰。,常規(guī)密鑰分配協(xié)議,用戶B,用戶 主

34、密鑰 A KA B KB,用戶私有主密鑰文件,KDC,用戶A,9.6 電子郵件的加密 9.6.1 PGP (Pretty Good Privacy),PGP 是一個(gè)完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名和壓縮等技術(shù)。 PGP 并沒有使用什么新的概念，它只是將現(xiàn)有的一些算法如 MD5，RSA，以及 IDEA 等綜合在一起而已。 雖然 PGP 已被廣泛使用，但 PGP 并不是因特網(wǎng)的正式標(biāo)準(zhǔn)。,PGP 的加密過程,MD5,RSA,ZIP,IDEA,base 64,RSA,A 的 明文 P,P,P1,P1.Z,KM,至因特網(wǎng),ASCII 文本,B 的 RSA 公開密鑰 EB,KM：IDE

35、A 的加密密鑰（一次一密）,：拼接,P 與 H 拼接,H,壓縮后的 P1,用密鑰 KM 加密后的 P1.Z 與 用密鑰 EB 加密后的 KM 拼接,A 的 RSA 秘密密鑰 DA,PGP 的報(bào)文格式,EB 的 標(biāo) 識(shí) 符,MD5 散列 函數(shù),KM,EA 的 標(biāo) 識(shí) 符,簽 字 首 部,時(shí) 間,類 型,報(bào) 文 首 部,文 件 名,時(shí) 間,報(bào) 文,報(bào)文部分,簽字部分,密鑰 部分,IDEA 加密，壓縮,Base64 編碼的 PGP 報(bào)文,用 DA 加密,用 EB 加密,9.6.2 PEM(Privacy Enhanced Mail),PEM 是因特網(wǎng)的郵件加密建議標(biāo)準(zhǔn)，由四個(gè) RFC 文檔來描述：

36、(1) RFC 1421：報(bào)文加密與鑒別過程 (2) RFC 1422：基于證書的密鑰管理 (3) RFC 1423：PEM 的算法、工作方式和 標(biāo)識(shí)符 (4) RFC 1424：密鑰證書和相關(guān)的服務(wù),PEM 的主要特點(diǎn),PEM 的功能和 PGP 的差不多，都是對基于RFC 822的電子郵件進(jìn)行加密和鑒別。 每個(gè)報(bào)文都是使用一次一密的方法進(jìn)行加密，并且密鑰也是放在報(bào)文中一起在網(wǎng)絡(luò)上傳送。對密鑰還必須加密?？梢允褂?RSA 或三重 DES。 PEM 有比 PGP 更完善的密鑰管理機(jī)制。由證書管理機(jī)構(gòu)(Certificate Authority)發(fā)布證書。,9.7 鏈路加密與端到端加密9.7.1

37、鏈路加密,在采用鏈路加密的網(wǎng)絡(luò)中，每條通信鏈路上的加密是獨(dú)立實(shí)現(xiàn)的。通常對每條鏈路使用不同的加密密鑰。,D1,E2,明文 X,結(jié)點(diǎn) 1,D2,E3,明文 X,結(jié)點(diǎn) 2,Dn,明文 X,用戶 B,E1,明文 X,用戶 A,E1(X) 鏈路 1,E2(X) 鏈路 2,En(X) 鏈路 n,E3(X),密文,密文,密文,密文,相鄰結(jié)點(diǎn)之間具有相同的密鑰，因而密鑰管理易于實(shí)現(xiàn)。鏈路加密對用戶來說是透明的，因?yàn)榧用艿墓δ苁怯赏ㄐ抛泳W(wǎng)提供的。,鏈路加密,由于報(bào)文是以明文形式在各結(jié)點(diǎn)內(nèi)加密的，所以結(jié)點(diǎn)本身必須是安全的。 所有的中間結(jié)點(diǎn)(包括可能經(jīng)過的路由器)未必都是安全的。因此必須采取有效措施。 鏈路加密的

38、最大缺點(diǎn)是在中間結(jié)點(diǎn)暴露了信息的內(nèi)容。 在網(wǎng)絡(luò)互連的情況下，僅采用鏈路加密是不能實(shí)現(xiàn)通信安全的。,9.7.2 端到端加密,端到端加密是在源結(jié)點(diǎn)和目的結(jié)點(diǎn)中對傳送的 PDU 進(jìn)行加密和解密，報(bào)文的安全性不會(huì)因中間結(jié)點(diǎn)的不可靠而受到影響。,結(jié)點(diǎn) 1,結(jié)點(diǎn) 2,DK,明文 X,結(jié)點(diǎn) n,EK,明文 X,結(jié)點(diǎn) 0,EK(X) 鏈路 1,EK(X) 鏈路 2,EK(X) 鏈路 n,端到端鏈路傳送的都是密文,在端到端加密的情況下，PDU 的控制信息部分(如源結(jié)點(diǎn)地址、目的結(jié)點(diǎn)地址、路由信息等)不能被加密，否則中間結(jié)點(diǎn)就不能正確選擇路由。,9.8 因特網(wǎng)商務(wù)中的加密9.8.1 安全插口層 SSL,SSL 又

39、稱為安全套接層 (Secure Socket Layer)，可對萬維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別。 SSL 在雙方的聯(lián)絡(luò)階段協(xié)商將使用的加密算法和密鑰，以及客戶與服務(wù)器之間的鑒別。 在聯(lián)絡(luò)階段完成之后，所有傳送的數(shù)據(jù)都使用在聯(lián)絡(luò)階段商定的會(huì)話密鑰。 SSL 不僅被所有常用的瀏覽器和萬維網(wǎng)服務(wù)器所支持，而且也是運(yùn)輸層安全協(xié)議 TLS (Transport Layer Security)的基礎(chǔ)。,安全插口層 SSL 的位置,TCP,應(yīng)用層,安全插口層,運(yùn)輸層,HTTP IMAP,SSL 功能 標(biāo)準(zhǔn)插口,在發(fā)送方，SSL 接收應(yīng)用層的數(shù)據(jù)（如 HTTP 或 IMAP 報(bào)文），對數(shù)據(jù)進(jìn)行

40、加密，然后將加了密的數(shù)據(jù)送往 TCP 插口。 在接收方，SSL 從 TCP 插口讀取數(shù)據(jù)，解密后將數(shù)據(jù)交給應(yīng)用層。,SSL 提供以下三個(gè)功能,(1) SSL 服務(wù)器鑒別 允許用戶證實(shí)服務(wù)器的身份。具有 SS L功能的瀏覽器維持一個(gè)表，上面有一些可信賴的認(rèn)證中心 CA (Certificate Authority)和它們的公開密鑰。 (2) 加密的 SSL 會(huì)話 客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密。 (3) SSL 客戶鑒別 允許服務(wù)器證實(shí)客戶的身份。,9.8.2 安全電子交易 SET (Secure Electronic Transaction),安全電子交易 SET 是專

41、為在因特網(wǎng)上進(jìn)行安全支付卡交易的協(xié)議。 SET 的主要特點(diǎn)是： (1) SET 是專為與支付有關(guān)的報(bào)文進(jìn)行加密的。 (2) SET 協(xié)議涉及到三方，即顧客、商家和商業(yè)銀行。所有在這三方之間交互的敏感信息都被加密。 (3) SET 要求這三方都有證書。在 SET 交易中，商家看不見顧客傳送給商業(yè)銀行的信用卡號碼。,9.9 因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議族 IPsec1. IPsec 與安全關(guān)聯(lián) SA,IPsec 就是“IP安全(Security)協(xié)議”的縮寫。 網(wǎng)絡(luò)層保密是指所有在 IP 數(shù)據(jù)報(bào)中的數(shù)據(jù)都是加密的。此外，網(wǎng)絡(luò)層還應(yīng)提供源站鑒別，即當(dāng)目的站收到 IP 數(shù)據(jù)報(bào)時(shí)，能確信這是從該數(shù)據(jù)報(bào)的源IP

42、地址的主機(jī)發(fā)來的。,IPsec 中最主要的兩個(gè)部分,鑒別首部 AH (Authentication Header)： AH提供源站鑒別和數(shù)據(jù)完整性，但不能保密。 封裝安全有效載荷 ESP (Encapsulation Security Payload)：ESP 比 AH 復(fù)雜得多，它提供源站鑒別、數(shù)據(jù)完整性和保密。,安全關(guān)聯(lián) SA(Security Association),在使用 AH 或 ESP 之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián) SA。 IPsec 就將傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。,安全關(guān)聯(lián),安全關(guān)聯(lián)是一個(gè)單向連接。它由一個(gè)三元組惟一地確定，包括： (1) 安全協(xié)議（使用 AH 或 ESP）的標(biāo)識(shí)符 (2) 此單向連接的源 IP 地址 (3) 一個(gè) 32 bit 的連接標(biāo)