第8章 網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)第8章網(wǎng)絡(luò)安全第8章網(wǎng)絡(luò)安全8.1密碼學(xué)8.2對(duì)稱密鑰算法8.3公開密鑰算法8.4數(shù)字簽名8.5公鑰的管理8.6通信安全8.7認(rèn)證安全8.8電子郵件安全8.9Web安全8.1密碼學(xué)密碼(cipher)是指逐個(gè)字符或者逐個(gè)位的進(jìn)行變換，它不涉及到消息的語(yǔ)言結(jié)構(gòu)。編碼(code)則是指用一個(gè)詞或符號(hào)來(lái)代替另一個(gè)詞。8.1.1密碼學(xué)簡(jiǎn)介明文(plaintext)：待加密的消息。密文(ciphertext)：密文經(jīng)過(guò)密鑰(key)為參數(shù)的函數(shù)變換所得到的輸出結(jié)果。圖8.2加密模型(假定使用了對(duì)稱密鑰密碼)8.1.1密碼學(xué)簡(jiǎn)介標(biāo)記：明文：P密文：C密鑰：KC=Ek(P)表示用密鑰K加密明文P得到密文C。P=Ek(C)表示用密鑰K解密密文C得到明文P。＝>Dk(Ek(P))=P8.1.2置換密碼在置換密碼(substitutioncipher)中，每個(gè)字母或者每一組被另一個(gè)字母或另一組字母來(lái)取代，從而將原來(lái)的字母掩蓋起來(lái)。最古老的置換密碼－凱撒密碼(Caesarcipher)：方法：將a變成D，b變成E，c變成F，...z變成C。abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC例子：attack－>DWWDFN8.1.2置換密碼凱撒密碼改進(jìn)：明文：abcdefghijklmnopqrstuvwxyz密文：QWERTYUIOPASDFGHJKLZXCVBNM這種“符號(hào)對(duì)符號(hào)”進(jìn)行置換的通用系統(tǒng)被稱為單字母表置換。缺點(diǎn)：容易被破解破解方法：利用自然語(yǔ)言的統(tǒng)計(jì)特性。例如：在英語(yǔ)中，e是最常見的字母，其次是t、o、a、n、i，等。最常見的兩字母組合是th、in、er、an。最常見的三字母組合是the、ing、and、ion。8.1.3轉(zhuǎn)置密碼轉(zhuǎn)置密碼(transpositioncipher)重新對(duì)字母進(jìn)行排序，但不偽裝明文。圖8.3一個(gè)轉(zhuǎn)置密碼8.1.4一次一密一次一密：每發(fā)送一個(gè)消息就使用一個(gè)不同的密碼。理論上非常有意義，但在實(shí)踐中有許多缺點(diǎn)。圖8.4一次一密加密方法的用法舉例，換用其他一次性密碼來(lái)解密密文可以得到任何可能的明文。8.1.4一次一密量子密碼學(xué)(quantumcrytography)圖8.5一個(gè)量子密碼系統(tǒng)示例8.1.5兩條基本的密碼學(xué)原則冗余度新鮮度密碼學(xué)原則1：消息必須包含一定的冗余度。密碼學(xué)原則2：需要采取某種方法來(lái)對(duì)抗重放攻擊。8.2對(duì)稱密鑰算法對(duì)稱密鑰算法(symmetric-keyalgorithm)：使用同樣的密鑰來(lái)完成加密和解密操作。P盒：實(shí)現(xiàn)轉(zhuǎn)置操作。S盒：實(shí)現(xiàn)置換操作。圖8.6乘積密碼的基本元素(a)P盒；(b)S盒；(c)乘積8.2.1DES-數(shù)據(jù)加密標(biāo)準(zhǔn)1977年1月，美國(guó)政府采納了IBM開發(fā)的一個(gè)乘積密碼作為無(wú)密級(jí)信息的官方加密標(biāo)準(zhǔn)，即DES(DataEncrptionStandard)。圖8.7數(shù)據(jù)加密標(biāo)準(zhǔn)(a)一般性結(jié)構(gòu)；(b)每次迭代的細(xì)節(jié)。帶圓圈的＋表示異或8.2.1DES-數(shù)據(jù)加密標(biāo)準(zhǔn)三重DES1979年初，IBM意識(shí)到DES的密鑰長(zhǎng)度太短，于是涉及三重加密來(lái)有效地增加密鑰長(zhǎng)度。該方法使用兩個(gè)密鑰。三重DES加密步驟：第一步按照常規(guī)的方式用密鑰K1加密；第二步用K2以DES解密方式運(yùn)行；第三步再次用K1執(zhí)行DES加密。8.2.1DES-數(shù)據(jù)加密標(biāo)準(zhǔn)三重DES兩個(gè)問(wèn)題：第一，為什么使用兩個(gè)密鑰，而不是三個(gè)？第二，為什么使用EDE(加密-解密-加密)模式，而不是EEE(加密-加密-加密)模式？圖8.8(a)使用DES的三重加密；(b)解密8.2.2高級(jí)加密標(biāo)準(zhǔn)AESAES(AdvancedEncryptionStandard)協(xié)議規(guī)則：它必須是一個(gè)對(duì)稱的塊加密算法。必須公開所有的設(shè)計(jì)。必須支持128、192、256位密鑰長(zhǎng)度。軟件實(shí)現(xiàn)和硬件實(shí)現(xiàn)必須都是有可能的。算法必須是公開的，或者毫無(wú)歧視地授權(quán)給大眾使用。圖8.9Rijndael的代碼結(jié)構(gòu)圖8.10state和rk數(shù)組8.2.3密碼算法的使用模式電子代碼簿模式圖8.11一個(gè)文件的明文被當(dāng)作16個(gè)DES塊進(jìn)行加密8.2.3密碼算法的使用模式密碼塊鏈接模式圖8.12密碼塊鏈接模式(a)加密；(b)解密8.2.3密碼算法的使用模式密碼反饋模式圖8.13密碼反饋模式(a)加密；(b)解密8.2.3密碼算法的使用模式流密碼模式圖8.14一個(gè)流密碼(a)加密；(b)解密8.2.3密碼算法的使用模式計(jì)數(shù)器密碼圖8.15使用計(jì)數(shù)器模式的加密過(guò)程8.2.4其他密碼算法圖8.16一些常見的對(duì)稱密鑰密碼算法8.2.5密碼分析密碼分析領(lǐng)域中的4個(gè)進(jìn)展：第一個(gè)是差分密碼分析。第二個(gè)是線性密碼分析。第三個(gè)是通過(guò)對(duì)電子功率消耗的分析來(lái)找到秘密密鑰。第四個(gè)是時(shí)間分析。8.3公開密鑰算法密碼學(xué)者總是認(rèn)為加密密鑰和解密密鑰是一樣的(或者很容易由一個(gè)推導(dǎo)出另外一個(gè))。1976年，斯坦福大學(xué)的兩位研究人員Diffie和Hellman提出了一種全新的密碼系統(tǒng)，該系統(tǒng)加密密鑰和解密密鑰并不相同，而且不可能輕易的從加密密鑰推導(dǎo)出解密密鑰。在它們的提案中，(受密鑰控制的)加密算法E和解密算法D必須滿足三個(gè)要求：D(E(P))=P。從E推斷出D及其困難。用選擇明文攻擊不可能破解E。8.3公開密鑰算法公開密鑰密碼系統(tǒng)(public-keycryptography)公開密鑰密碼系統(tǒng)要求每個(gè)用戶擁有兩個(gè)密鑰：一個(gè)公開密鑰(簡(jiǎn)稱公鑰)，一個(gè)私有密鑰(簡(jiǎn)稱私鑰)。當(dāng)其他人給某個(gè)用戶發(fā)送加密消息的時(shí)候，他們使用該用戶的公鑰；當(dāng)這個(gè)用戶需要解密消息的時(shí)候，他(或她)使用自己的私鑰。8.3.1RSA1978年，MIT的一個(gè)小組發(fā)現(xiàn)的RSA(Rivest、Shamir、Adleman)RSA是比較好的公開密鑰密碼系統(tǒng)。RSA主要缺點(diǎn)：要想達(dá)到好的安全性，key要求至少1024位長(zhǎng)度。RSA數(shù)學(xué)理論：選擇兩個(gè)大的素?cái)?shù)p和q(典型情況下為1024位)。計(jì)算n=p×q和z=(p-1)×(q-1).選擇一個(gè)于z互素的數(shù)，將它稱為d。找到e，使其滿足e×d=1(modz)。這種方法的安全性建立在分解大數(shù)的困難度基礎(chǔ)上。8.3.1RSA由于RSA加密大量的數(shù)據(jù)速度太慢，因此，在實(shí)踐中，大多數(shù)基于RSA的系統(tǒng)主要利用公開密鑰算法來(lái)分發(fā)一次性會(huì)話密鑰，再將這些會(huì)話密鑰用于某一個(gè)對(duì)稱密鑰算法，比如AES或者三重DES。圖8.17RSA算法的一個(gè)例子8.3.2其他的公開密鑰算法第一個(gè)公開密鑰算法是背包算法(MerkleandHellman，1978)。兩大類主要算法：建立在“分解大數(shù)的困難度”基礎(chǔ)上的算法。建立在“以大數(shù)為模來(lái)計(jì)算離散對(duì)數(shù)的困難度”基礎(chǔ)上的算法。8.4數(shù)字簽名需要設(shè)計(jì)一個(gè)系統(tǒng)，為了能夠用計(jì)算機(jī)化的消息系統(tǒng)來(lái)代替紙和筆墨文檔的物理傳輸系統(tǒng)，必須找到一種方法來(lái)對(duì)文檔進(jìn)行簽名，并且文檔的簽名不可被偽造。在這樣的系統(tǒng)中，其中一方向另一方發(fā)送的簽名信息必須滿足以下的條件：接收方可以驗(yàn)證發(fā)送方所宣稱的身份。發(fā)送方以后不能否認(rèn)該消息的內(nèi)容。接收方不可能自己編造這樣的消息。8.4.1對(duì)稱密鑰簽名Alice發(fā)出KA(B，RA，t，P)B是Bob的標(biāo)識(shí)RA是Alice選擇的一個(gè)隨機(jī)數(shù)t是一個(gè)時(shí)間戳P是要發(fā)送的明文圖8.18通過(guò)BigBrother(BB)的數(shù)字簽名8.4.2公開密鑰數(shù)字簽名首先假定公開密鑰的加密算法和解密算法除了具有常規(guī)的D(E(P))=P屬性以外，還具有E(D(P))=P的屬性。同時(shí)假設(shè)Alice向Bob發(fā)送的簽名信息為EB(DA(P))。Alice私鑰為DA，公鑰為EA；Bob私鑰為DB，公鑰為EB。圖8.19利用公開密鑰密碼技術(shù)的數(shù)字簽名8.4.2公開密鑰數(shù)字簽名Bob展示P和DA(P)即可證明Alice向他發(fā)送了消息。問(wèn)題：如果Alice丟失或改變了DA會(huì)出現(xiàn)什么問(wèn)題？如何處理？8.4.3消息摘要簽名方法的一個(gè)特點(diǎn)是將兩種不相同的功能耦合在一起：認(rèn)證和保密。消息摘要只認(rèn)證不保密。該算法以單向散列函數(shù)的思想作為基礎(chǔ)，這里的單向散列函數(shù)接受一個(gè)任意長(zhǎng)度的明文作為輸入，并且根據(jù)此明文計(jì)算出一個(gè)固定長(zhǎng)度的位串。消息摘要MD(messagedigest)的四個(gè)特性：給定P，很容易計(jì)算MD(P)。給定MD(P)，要想找到P在實(shí)踐中是不可能的。在給定P的情況下，沒(méi)有人能夠找到滿足MD(P’)=MD(P)的P’。在輸入明文中即使只有1位的變化，也會(huì)導(dǎo)致完全不同的輸出。8.4.3消息摘要MD5(Rivest，1992)圖8.20使用消息摘要的數(shù)字簽名8.4.3消息摘要SHA-1(SecureHashAlgorithm1)(NIST，1993)圖8.21利用SHA-1和RSA對(duì)非保密的消息進(jìn)行簽名8.4.3消息摘要圖8.22(a)一個(gè)消息被填補(bǔ)至512位的倍數(shù)；(b)輸出的變量；(c)字?jǐn)?shù)組8.5公鑰的管理公鑰加密問(wèn)題圖8.23Trudy破壞公鑰加密機(jī)制的一種方法8.5.1證書證書的作用：證明每個(gè)公鑰屬于個(gè)人、公司或者其他的組織。CA(CertificationAuthority)即證書權(quán)威機(jī)構(gòu)：證明公鑰所屬權(quán)的組織。圖8.24一個(gè)可能的證書和簽過(guò)名的散列值8.2.5X.509X.509協(xié)議被ITU采納，用于統(tǒng)一各種不同證書的格式。圖8.25X.509證書的基本域8.5.3公開密鑰基礎(chǔ)設(shè)施PKI(PublicKeyInfrastructure)是另一種證明公鑰身份的方法。一個(gè)PKI有多個(gè)部件，包括用戶、CA、證書和目錄。PKI所做的事情是提供一種方法將這些部件有序地組織起來(lái)，并且定義了各種文檔和協(xié)議的標(biāo)準(zhǔn)。最頂級(jí)的CA、即層次的根，它的責(zé)任是證明第二級(jí)的CA，這種CA稱為RA(RegionalAuthority，區(qū)域權(quán)威機(jī)構(gòu))，它可能覆蓋某一個(gè)區(qū)域。8.5.3公開密鑰基礎(chǔ)設(shè)施圖8.26(a)一個(gè)層次狀的PKI；(b)證書鏈8.6通信安全通信安全，也就是說(shuō)，如何將數(shù)據(jù)位秘密地、未被篡改地從源端傳送到目標(biāo)端，以及如何將有害的數(shù)據(jù)位排除在門外。網(wǎng)絡(luò)環(huán)境下的安全不僅僅是通信安全，但這個(gè)一個(gè)很好的學(xué)習(xí)起點(diǎn)。8.6.1IPSec解決網(wǎng)絡(luò)安全性方法之一加密和完整性檢查必須是端到端的(即位于應(yīng)用層之上)。該方法問(wèn)題：要求改變所有應(yīng)用系統(tǒng)，用戶能夠感知到安全特性的存在。解決網(wǎng)絡(luò)安全性方法之二IPSec(IPsecurity，IP安全)在網(wǎng)絡(luò)層上實(shí)施加密操作，并沒(méi)有妨礙哪些了解安全性的用戶正確地使用這些安全特性，而且多多少少可以幫助哪些對(duì)安全性一無(wú)所知的用戶。完整的IPSec設(shè)計(jì)方案是一個(gè)多服務(wù)、多算法和多粒度的框架8.6.1IPSecIPSec兩種使用模式：傳輸模式(transportmode)，在該模式中，IPSec頭直接插在IP頭的后面。IP頭中的Protocol域也被做了修改，以表明有一個(gè)IPSec頭緊跟在普通IP頭的后面(但在TCP頭的前面)。隧道模式(tunnelmode)，在該模式中，整個(gè)IP分組，連同頭部和所有的數(shù)據(jù)一起被封裝到一個(gè)新的IP分組的數(shù)據(jù)體中，并且這個(gè)IP分組有一個(gè)全新的IP頭。8.6.1IPSec圖8.27在IPv4的傳輸模式中的IPSec認(rèn)證頭8.6.1IPSec圖8.28(a)傳輸模式中的ESP；(b)隧道模式中的ESP8.6.2防火墻圖8.29由兩個(gè)分組過(guò)濾器和一個(gè)應(yīng)用網(wǎng)關(guān)組成的防火墻8.6.2防火墻分組過(guò)濾器(packetfilter)應(yīng)用網(wǎng)關(guān)(applicationsgateway)DoS(DenialofService，拒絕服務(wù))DDoS(DistributedDenialofService，分布式拒絕服務(wù))8.6.3虛擬私有網(wǎng)絡(luò)VPN(VirtualPrivateNetworks，虛擬私有網(wǎng)絡(luò))，VPN是建立在公共網(wǎng)絡(luò)之上的層疊網(wǎng)絡(luò)，但是具有私有網(wǎng)絡(luò)的絕大多數(shù)特性。圖8.30(a)通過(guò)租用線路建立起來(lái)的私有網(wǎng)絡(luò)；(b)一個(gè)虛擬私有網(wǎng)絡(luò)8.6.4無(wú)線網(wǎng)絡(luò)安全802.11安全性WEP(WiredEquivalentPrivacy，相當(dāng)于有線網(wǎng)絡(luò)的保密性)是一個(gè)數(shù)據(jù)鏈路層安全協(xié)議，它的設(shè)計(jì)目標(biāo)是使得無(wú)線LAN能夠具有像有線LAN那樣好的安全性。當(dāng)802.11安全功能啟用之后，每個(gè)無(wú)線站和基站共享一個(gè)秘密密碼。WEP使用一個(gè)基于RC4的流密碼算法。在WEP中，RC4生成一個(gè)密鑰流，然后這個(gè)密鑰流與明文異或(XOR)在一起而形成密文。8.6.4無(wú)線網(wǎng)絡(luò)安全802.11安全性圖8.31WEP中的分組加密8.7認(rèn)證協(xié)議認(rèn)證(Authentication)：指一個(gè)進(jìn)程通過(guò)認(rèn)證過(guò)程來(lái)驗(yàn)證它的通信對(duì)方是否是它所期望的實(shí)體而不是假冒者。授權(quán)(authorization)與認(rèn)證(authentication)認(rèn)證所針對(duì)的問(wèn)題是，你是否真的在跟一個(gè)特定的進(jìn)程進(jìn)行通信。授權(quán)關(guān)注的是，允許這個(gè)進(jìn)程做什么樣的事情。在實(shí)踐中，處于性能上的原因，所有的數(shù)據(jù)流量都是用對(duì)稱密鑰密碼算法(通常為DES和AES)來(lái)加密的，不過(guò)，公開密鑰密碼算法被廣泛應(yīng)用于認(rèn)證協(xié)議本身，同時(shí)也被建立會(huì)話密鑰。8.7.1基于共享秘密密鑰的認(rèn)證第一個(gè)基于共享秘密密鑰的認(rèn)證協(xié)議質(zhì)詢-回應(yīng)(challenge-response)協(xié)議基于以下原理：一方給另一方發(fā)送隨機(jī)數(shù)，然后后者將這個(gè)隨機(jī)數(shù)做一個(gè)特殊的變換，再把結(jié)果返回給前者。圖8.32使用質(zhì)詢-回應(yīng)協(xié)議的雙向認(rèn)證過(guò)程8.7.1基于共享秘密密鑰的認(rèn)證圖8.33縮減之后的