網(wǎng)絡安全I密碼學基礎.ppt

第18章網(wǎng)絡安全I 密碼學基礎 1 網(wǎng)絡安全基本概念安全服務對安全的攻擊Internet上常見的攻擊 IP欺騙 IPspoofing 服務拒絕 denialofservice 密碼學基礎 1 網(wǎng)絡安全基本概念 安全服務 安全服務 國際標準化組織ISO在提出開放系統(tǒng)互連參考模型OSI之后 在1989年提出網(wǎng)絡安全體系結構SA SecurityArchitecture 稱為OSI SA 它定義了五類安全服務 身份認證 authentication 驗證通信參與者的身份與其申明的一致 不是冒名頂替者 認證服務是向接收方保證消息確實來自所聲稱的源 身份認證是其它服務 如訪問控制的前提 網(wǎng)絡安全基本概念 安全服務 續(xù) 訪問控制 accesscontrol 保證網(wǎng)絡資源 主機系統(tǒng) 應用程序 不被未經授權的用戶使用 訪問權限包括讀 寫 刪 執(zhí)行等 在用戶進程被授予權限訪問資源前 必須首先通過身份認證 訪問權限一般由目標系統(tǒng)控制 數(shù)據(jù)機密性 dataconfidentiality 通過加密 保護數(shù)據(jù)免遭泄漏 防止信息被未授權用戶獲取 包括防分析 網(wǎng)絡安全基本概念 安全服務 續(xù) 不可抵賴 non repudiation 防止通信參與者事后否認曾參與通信 有兩種不可抵賴服務 發(fā)送的不可抵賴 防止數(shù)據(jù)發(fā)送者否認曾發(fā)送過此數(shù)據(jù) 接收的不可抵賴 防止數(shù)據(jù)接收者否認曾收到此數(shù)據(jù) 例 簽名函 掛號信 數(shù)據(jù)完整性 dataintegrity 確保收到的信息在傳遞過程中沒有被插入 篡改 刪除 重放 目前討論安全服務 常常增加 可用性 availability 防止或恢復因攻擊造成系統(tǒng)的不可用 對安全的攻擊 假冒 fabrication 非授權用戶假冒合法用戶 甚至特權用戶的身份進行通信 這是對身份認證和訪問控制的攻擊 它還包括在網(wǎng)絡中插入偽造的報文 截取通信雙方交換的信息進行重放攻擊等 正常通信 假冒 對安全的攻擊 續(xù) 截取 interception 非授權用戶截獲了對某資源的訪問 這是對訪問控制的攻擊 例如通過監(jiān)控網(wǎng)絡或搭線竊聽以獲取數(shù)據(jù) 截取 對安全的攻擊 續(xù) 篡改 modification 非授權用戶不僅獲得了對某資源的訪問 而且篡改了某資源 這是對數(shù)據(jù)完整性的攻擊 例如篡改文件 程序 在網(wǎng)絡中傳輸?shù)男畔热莸?篡改 對安全的攻擊 續(xù) 破壞 interruption 破壞系統(tǒng)資源 使系統(tǒng)不能使用或不可訪問 如破壞通信設備 切斷通信線路 破壞文件系統(tǒng)等 破壞性攻擊還包括對特定目標發(fā)送大量信息流 使目標超載以至癱瘓 破壞 對安全的攻擊 續(xù) 對網(wǎng)絡的攻擊又分主動攻擊和被動攻擊 被動攻擊 是在傳輸中的偷聽或監(jiān)視 目的是截取在網(wǎng)上傳輸?shù)闹匾舾行畔?包括消息內容析取和通信量分析 在局域網(wǎng)如以太網(wǎng)上監(jiān)聽是很容易的 在用telnet作遠程登錄時 用戶的標識名和口令也是一個個字符封裝傳輸 被動攻擊檢測困難 主要通過加密防止其成功 主動攻擊 包括假冒 重放 篡改 破壞 杜絕主動攻擊很困難 要對所有設施保護 主要是靠檢測 及時發(fā)現(xiàn)和恢復 IP欺騙 IPspoofing IP欺騙是指攻擊者在IP層假冒一個合法的主機 攻擊者只要用偽造的源IP地址生成IP數(shù)據(jù)報 就可以進行IP欺騙了 IP欺騙常和其它攻擊 如服務拒絕 結合使用 攻擊者利用IP欺騙隱瞞自己的真實地址 攻擊者可以使用竊聽和協(xié)議分析確定TCP連接的狀態(tài)和數(shù)據(jù)片序號 當某個連接建立后 在客戶和服務器之間進行的數(shù)據(jù)片交換過程中 攻擊者可利用IP欺騙冒充該客戶方 插入自己的數(shù)據(jù)片 這種攻擊稱TCP會話劫持 Telnet 服務拒絕 denialofservice 所謂服務拒絕是一種破壞性攻擊 是對某特定目標發(fā)送大量或異常信息流 使該目標無法提供正常服務 這類攻擊有 PingO Death SYNflooding 等 pingA 是向主機A發(fā)送ICMP的 回答請求 報文 它封裝在IP數(shù)據(jù)報中 IP數(shù)據(jù)報最大長度是216 1 65535字節(jié) 若攻擊者發(fā)送ICMP 回答請求 報文 且總長度超過65535字節(jié) IP層在發(fā)送此報文會分段 目標主機在段重組時會因緩沖區(qū)溢出而癱瘓 這就是 PingO Death 服務拒絕 續(xù) TCP連接的建立需要三次握手 它以發(fā)起方的同步數(shù)據(jù)片SYN開始 并以發(fā)起方的確認數(shù)據(jù)片ACK結束 攻擊者向某目標的某TCP端口發(fā)送大量的同步數(shù)據(jù)片SYN 但在收到目標方的ACK和SYN后 不發(fā)送作為第三次握手的ACK片 這樣使大量TCP連接處于半建立狀態(tài) 最終將超過TCP接收方設定的上限 而使它拒絕后面的連接請求 直至前面的連接過程超時 這就是 SYN泛濫 flooding 攻擊 服務拒絕 續(xù) 2002年10月21日 有人針對DNS的13臺根服務器發(fā)動了 服務拒絕 攻擊 攻擊持續(xù)了1個小時 13臺中的9臺受到影響 由于根服務器中設有安全措施 數(shù)據(jù)備份 全世界Internet用戶對此毫無覺察 11月5日美國域名管理公司VERISIGN對其掌控的兩臺根服務器中的一臺安裝到公司內部網(wǎng) 密碼學基礎 1 概念傳統(tǒng)密碼體系 conventionalcryptography 傳統(tǒng)密碼的經典技術傳統(tǒng)加密的現(xiàn)代技術 密碼學基礎 概念 迄今為止 網(wǎng)絡和通信安全的最重要的工具是加密 身份認證 數(shù)據(jù)機密性 數(shù)字簽名等都是以密碼學為基礎的 明文 plaintext 原始 可理解 有意義的消息 密文 ciphertext 經過 加密 處理的 表面上是一串雜亂 無規(guī)則 無意義的數(shù)據(jù) 加密 encryption 從明文變換成密文的過程 解密 decryption 從密文恢復成明文的過程 加密或解密變換由算法和密鑰組成 傳統(tǒng)密碼體系 傳輸密文C 明文 明文 加密算法 解密算法 共享密鑰K 傳統(tǒng)密碼系統(tǒng)模型 加密變換 解密變換 P P 傳統(tǒng)密碼體系 特點 加密變換由算法和密鑰組成 記作C EK P 密鑰獨立于明文 它控制算法 同一明文用相同算法 不同的密鑰將產生不同的密文 改變密鑰就改變了算法的輸出 解密算法是加密算法的逆過程 記作P DK C 解密和加密使用同一密鑰 傳統(tǒng)密碼體系也稱對稱密鑰密碼體系 symmetrickeycryptography 對稱密鑰是通信雙方共享的 也稱共享密鑰 sharedkey 傳統(tǒng)密碼體系 續(xù) 加密算法基于兩個基本原理 替代 substitution 明文中每個元素 比特 字母 比特組 字符組 被映射為另一個元素 置換 transposition 明文中的元素被重排列 對它們的基本要求是不丟失信息 即所有操作是可逆的 多數(shù)系統(tǒng)包括多個階段的替代和置換 傳統(tǒng)密碼經典技術 凱撒密碼 凱撒密碼 CaesarCipher 最早 最簡單的替代密碼 substitutioncipher 是JuliusCaesar所使用的密碼 明文的每個字母用 字母表中 其后第3個字母來替換 注意字母循環(huán)排列 Z后是A abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC例明文 meetusafterthedinner密文 PHHWXVDIWHUWKHGLQQHU 傳統(tǒng)密碼經典技術 凱撒密碼 續(xù) 為每個字母指定數(shù)字 a 0 b 1 等 則算法 C E3 P P 3 mod26 P D3 C C 3 mod26 更通用的Caesar算法 C EK P P K mod26 P DK C C K mod26 凱撒密碼是一種單字母表密碼 monoalphabeticcipher 即一個明文字母對應的密文字母是確定的 它對頻率分析攻擊很脆弱 因消息中字母出現(xiàn)的頻率和前后連綴關系有一定的統(tǒng)計規(guī)律 例如英文文本中e出現(xiàn)頻率最高 此外密鑰只有25個不同的值 非常不安全 傳統(tǒng)密碼經典技術 Vigenere密碼 Vigenere密碼 Vigenere是法國密碼專家 以他命名的密碼算法是一種最簡單的多字母表密碼 polyalphabeticcipher 設密鑰K k1k2 kn 明文P p1p2 pn 其中ki pi都是字母 字母a z編碼為0 25 編碼后還是記作ki pi 則密文C c1c2 cn 其中ci pi ki mod26注意密鑰的長短與明文長短沒有關系 對于長度為n 個字母 的密鑰K 可以把明文P分成n 個字母 長的段 一段一段進行加密 傳統(tǒng)密碼經典技術 Vigenere密碼 續(xù) 例如 K bdcsig 若P money 則C NRPWG 若P internet 則C JQVWZTFW Vigenere密碼可以看作是26個Caesar密碼組成的 一組單字母表替代規(guī)則 每個密碼由密鑰的一個字母表示 多字母表密碼方法的共同特點是 使用一組相關的單字母表替代規(guī)則 密鑰確定變換中選擇哪些特定規(guī)則 傳統(tǒng)密碼算法的安全性 加密算法必須足夠強大 僅根據(jù)密文破譯出明文是不切實際的 傳統(tǒng)密碼算法的安全性取決密鑰的安全性 不是算法的安全性 知道密文和加密 解密算法 不知道密鑰 要破譯出明文是不現(xiàn)實的 所以不必保密算法 只需保密密鑰 密鑰的窮舉猜測攻擊不可避免 密鑰必須足夠長 足夠隨機 例密鑰長256位 密鑰空間為2256 約1077 若計算機每秒能對密鑰空間進行1億次搜索 全部搜索一遍需1061年以上 傳統(tǒng)加密的現(xiàn)代技術 流密碼和塊密碼現(xiàn)代密碼設計基礎數(shù)據(jù)加密標準DES DES算法 DES的雪崩效應 DES的強度 DES的操作模式三重DES 流密碼和塊密碼 流密碼 streamcipher 對數(shù)字數(shù)據(jù)流一次加密一個比特或一個字節(jié) 經典流密碼的例子是Vigenere密碼 塊密碼 blockcipher 明文分塊 一個明文塊被作為一個整體處理 產生一個等長的密文塊 通常使用的塊大小是64位 現(xiàn)代密碼設計基礎 ClaudeShannon1949年的論文 communicationTheoryofSecrecySystems 奠定了密碼學的理論基礎 假設密碼攻擊者對明文的統(tǒng)計特性有所了解 如字母頻率分布等 若這些統(tǒng)計特性以某種方式反映在密文中 則攻擊者就可以推測出密鑰 Shannon提出用擾亂 confusion 和擴散 diffusion 交替的方法構造密碼 目的是挫敗基于統(tǒng)計分析的密碼破譯 現(xiàn)代密碼設計基礎 續(xù) 所謂擴散 明文的統(tǒng)計結構被擴散 消失到密文的長程統(tǒng)計特性中 即每個密文數(shù)字被許多明文數(shù)字影響 擴散機制使明文和密文之間的統(tǒng)計關系盡量復雜 所謂擾亂 使密文的統(tǒng)計特性與加密密鑰的值之間的關系盡量復雜 Feistel基于Shannon的設想 提出用替代和置換交替方式構造密碼 提出Feistel塊密碼結構 當前用的幾乎所有對稱加密算法都基于此結構 Feistel密碼結構 明文 2w比特 F L0w比特 w比特R0 K1 L1 R1 第1輪 Feistel密碼結構 續(xù) F Ki Li Ri 第i輪 Li 1 Ri 1 Feistel密碼結構 續(xù) F Kn Ln Rn 密文 2w比特 第n輪 Feistel密碼結構設計特點 塊大小 塊越大安全性越高 但加密 解密速度越慢 64比特的塊大小是合理的折衷 在塊密碼設計中這幾乎是通用的值 密鑰長度 密鑰越長安全性越高 但加密 解密速度越慢 64比特或更短的密鑰長度現(xiàn)在廣泛認為不夠安全 128比特是常用的密鑰長度 循環(huán)次數(shù) 一次循環(huán)不夠安全 多次循環(huán)可增加安全性 典型的循環(huán)次數(shù)是16 子密鑰Ki的生成算法 算法越復雜密碼分析越困難 Feistel密碼結構設計特點 續(xù) 輪函數(shù)F F越復雜則抗擊密碼分析能力越強 在密碼設計中還要考慮 快速的軟件加密 解密 在很多情況下加密被嵌入到應用程序中 以至無法用硬件實現(xiàn) 所以要考慮算法執(zhí)行速度 便于分析 雖然希望算法難以破譯 但使算法容易分析卻有好處 若算法能簡明地解釋 就可以通過分析算法找到其弱點 進行強化 DES的功能原理就不容易分析 Feistel解密算法 Feistel解密過程和加密過程實質是相同的 解密規(guī)則 以密文作為算法輸入 以相反的次序使用子密鑰Ki 即第一輪使用Kn 第二輪使用Kn 1 最后一輪使用K1 這個特點使得加密 解密使用同一算法 相反的密鑰次序就行 這容易證明 數(shù)據(jù)加密標準DES 是IBM開發(fā) 在1977年被美國標準局NBS 美國標準技術局NIST的前身 采納為第46號聯(lián)邦信息處理標準 是非絕密計算機數(shù)據(jù)的加密標準 DES是塊密碼算法 數(shù)據(jù)被分成64位的塊進行加密 密鑰56位 批評者擔心56位密鑰不足以抵御窮舉式攻擊 DES實際上很成功 它在工商業(yè)界廣泛采用 特別是金融領域 1992年底NIST把聯(lián)邦政府使用DES的有效期又延長了5年 1997年NIST公開征集新算法來取代DES DES算法 初始排列IP 排列PC 1 迭代1 迭代1 迭代16 迭代16 32位交換 逆初始排列 64位明文 56位密鑰 64位密文 K1 K16 1 3 2 4 5 DES算法 續(xù) DES加密算法 1 對64位明文進行初始排列IP 第1位是原來的第58位 第2位是原來的第50位等 按IP表進行 2 對56位密鑰進行PC 1排列 密鑰分為8組 每組7位 每組再加1個奇校驗位 所以共64位 排列按PC 1表進行 輸出56位 3 明文初始排列后與密鑰經PC 1排列后的結果進行16次迭代 DES算法 續(xù) 密鑰迭代結果分別為48位的Ki i 1 16 稱為子密鑰 4 將16次迭代后64位輸出值的左 右32位交換 5 對交換后的64位結果再做一次排列 它是初始排列的逆 即IP 1 第1位換為第58位 第2位換為第50位等 按IP 1表進行 就得到密文 DES解密與加密使用相同算法 只是使用密文作為輸入 而且以逆序使用密鑰Ki 即第1次迭代使用K16 第16次迭代使用K1 DES算法 初始排列IP表 DES算法 迭代 迭代第 i 1 次迭代產生64位中間結果 記為LiRi 其中Li Ri分別是其左 右各32位 第 i 1 次迭代既產生56位的密鑰 記為CiDi 其中Ci Di分別是密鑰的左28位和右28位 也產生48位的子密鑰記為Ki 一次迭代過程如下圖所示 DES算法 迭代 續(xù) Li 1 Ri 1 Ci 1 Di 1 擴展排列E 循環(huán)左移 循環(huán)左移 P排列 Ri Li Ci Di S替換 壓縮排列PC 2 Ki 48位 F 32位 28位 DES算法 迭代 續(xù) 1 關于F中的運算下面介紹 2 密鑰的循環(huán)左移 Ci 1和Di 1分別循環(huán)左移1或2位 i 1 2 9 16時左移1位 i為其它值時左移2位 移位后的值作為下次迭代的輸入Ci和Di 3 密鑰的壓縮排列PC 2 利用PC 2表從56位的CiDi構造48位的符號串 作為迭代的子密鑰Ki 此運算不僅重排列 也從中選擇 稱排列選擇 4 將Li 1和F運算的結果進行異或后作為Ri 原Ri 1作Li DES算法 F運算 R 32位 擴展排列E 48位 K 48位 S1 S2 S8 S7 P排列 32位 DES算法 F運算 續(xù) 1 擴展排列E 利用表E將右半部分從32位擴展到48位符號串 Ri 1的第1位排到第2位和第48位 第4位排到第5和7位等 所以稱擴展排列 這個運算有兩個目的 產生和子密鑰相同長度數(shù)據(jù)進行異或 在S替換運算時進行壓縮 但從密碼學看由于輸入的一位將影響兩個替換位 輸出對輸入依賴性將傳播更快 這叫雪崩效應 2 將擴展排列E的48位結果和48位子密鑰Ki進行異或運算 即按位做模2加 DES算法 F運算 續(xù) 3 S盒替換 將第2步的48位結果分成8組 每組6位分別按表S1 S2 S8替換為4位 在替換Si中 設6位輸入為A a1a2a3a4a5a6 令c a2a3a4a5 r a1a6 作為十進制數(shù) 0 c 15 0 r 3 在Si表的第r行 第c列查出一個數(shù)B 0 B 15 可用4個二進制數(shù)表示為B b1b2b3b4 它就是替換Si的輸出 每6位都替換為4位 因此合成32位 注意S盒替換是非線性的 它比DES的其它任何一步提供更好安全性 DES算法 F運算 續(xù) 4 P排列 將S替換后的32位結果按下表再排列 P排列的目的是增強算法的擴散特性 DES的雪崩效應 加密算法應有的一個特性是明文或密鑰的一點小變動應該使密文發(fā)生大變化 這稱雪崩效應 avalancheeffect DES具有很強的雪崩效應 例設兩個明文塊只差1位 一個64位全0 一個首位為1其余全為0 密鑰 00000011001011010010011000100011100001100000111000110010在僅2次循環(huán)后兩個數(shù)據(jù)塊就有21位不同 見表 a DES的雪崩效應 續(xù) DES的雪崩效應 續(xù) 假設兩個密鑰有一位不同密鑰1 11100101111011110111100110000011101000010001100011101110密鑰2 01100101111011110111100110000011101000010001100011101110明文 0110100010000101001011100111101000010011011101101110101110100100從表 b 看 雪崩效應同樣在幾輪循環(huán)后就很明顯 DES的強度 RSA在1997年1月29日發(fā)起一個破譯DES密鑰的競賽 獎金1萬美元 要求在給定密文和部分明文的情況下找到密鑰 明文開始的3個塊包含24字符的短