計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)通信七

1、數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)（七） 胡駿 2015.4.1 第七講 網(wǎng)絡(luò)安全問(wèn)題概述 密碼體制 數(shù)字簽名 鑒別 密鑰分配 加密 防火墻 2 網(wǎng)絡(luò)安全問(wèn)題概述-四種威脅 計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅 (1) 截獲從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容。 (2) 中斷有意中斷他人在網(wǎng)絡(luò)上的通信。 (3) 篡改故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。 (4) 偽造偽造信息在網(wǎng)絡(luò)上傳送。 截獲信息的攻擊稱(chēng)為被動(dòng)攻擊，而更改信息和拒 絕用戶使用資源的攻擊稱(chēng)為主動(dòng)攻擊。 3 網(wǎng)絡(luò)安全問(wèn)題概述-被動(dòng)攻擊和主動(dòng)攻擊 4 截獲篡改偽造中斷 被動(dòng)攻擊主 動(dòng) 攻 擊 目的站源站源站源站源站目的站目的站目的站 網(wǎng)絡(luò)安全問(wèn)題概述-被動(dòng)攻擊和主動(dòng)

2、攻擊 在被動(dòng)攻擊中，攻擊者只是觀察和分析某一個(gè)協(xié) 議數(shù)據(jù)單元 PDU 而不干擾信息流。 主動(dòng)攻擊是指攻擊者對(duì)某個(gè)連接中通過(guò)的 PDU 進(jìn)行各種處理。 更改報(bào)文流 拒絕報(bào)文服務(wù) 偽造連接初始化 5 概述-計(jì)算機(jī)網(wǎng)絡(luò)通信安全的目標(biāo) (1) 防止析出報(bào)文內(nèi)容； (2) 防止通信量分析； (3) 檢測(cè)更改報(bào)文流； (4) 檢測(cè)拒絕報(bào)文服務(wù)； (5) 檢測(cè)偽造初始化連接。 6 概述-惡意程序(rogue program) (1) 計(jì)算機(jī)病毒會(huì)“傳染”其他程序的程序，“傳 染”是通過(guò)修改其他程序來(lái)把自身或其變種復(fù)制 進(jìn)去完成的。 (2) 計(jì)算機(jī)蠕蟲(chóng)通過(guò)網(wǎng)絡(luò)的通信功能將自身從 一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)

3、運(yùn)行的程序。 (3) 特洛伊木馬一種程序，它執(zhí)行的功能超出 所聲稱(chēng)的功能。 (4) 邏輯炸彈一種當(dāng)運(yùn)行環(huán)境滿足某種特定條 件時(shí)執(zhí)行其他特殊功能的程序。 7 計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容 保密性 安全協(xié)議的設(shè)計(jì) 訪問(wèn)控制 8 一般的數(shù)據(jù)加密模型 9 明文 X 截獲 密文 Y 加密密鑰 K 明文 X 密文 Y 截取者 篡改 AB E 運(yùn)算 加密算法 D 運(yùn)算 解密算法 因特網(wǎng) 解密密鑰 K 重要概念 密碼編碼學(xué)(cryptography)是密碼體制的設(shè)計(jì)學(xué) ，而密碼分析學(xué)(cryptanalysis)則是在未知密鑰 的情況下從密文推演出明文或密鑰的技術(shù)。密碼 編碼學(xué)與密碼分析學(xué)合起來(lái)即為密碼學(xué) (cryp

4、tology)。 如果不論截取者獲得了多少密文，但在密文中都 沒(méi)有足夠的信息來(lái)唯一地確定出對(duì)應(yīng)的明文，則 這一密碼體制稱(chēng)為無(wú)條件安全的，或稱(chēng)為理論上 是不可破的。 如果密碼體制中的密碼不能被可使用的計(jì)算資源 破譯，則這一密碼體制稱(chēng)為在計(jì)算上是安全的。 10 兩類(lèi)密碼體制-對(duì)稱(chēng)密鑰密碼體制 所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰 是相同的密碼體制。 這種加密系統(tǒng)又稱(chēng)為對(duì)稱(chēng)密鑰系統(tǒng)。 11 數(shù)據(jù)加密標(biāo)準(zhǔn) DES 數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于常規(guī)密鑰密碼體制，是一 種分組密碼。 在加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長(zhǎng) 為 64 位。 然后對(duì)每一個(gè) 64 位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理， 產(chǎn)生一組 6

5、4 位密文數(shù)據(jù)。 最后將各組密文串接起來(lái)，即得出整個(gè)的密文。 使用的密鑰為 64 位（實(shí)際密鑰長(zhǎng)度為 56 位，有 8 位用于奇偶校驗(yàn))。 12 DES 的保密性 DES 的保密性僅取決于對(duì)密鑰的保密，而算法是 公開(kāi)的。盡管人們?cè)谄谱g DES 方面取得了許多進(jìn) 展，但至今仍未能找到比窮舉搜索密鑰更有效的 方法。 DES 是世界上第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)， 它曾對(duì)密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。 目前較為嚴(yán)重的問(wèn)題是 DES 的密鑰的長(zhǎng)度。 現(xiàn)在已經(jīng)設(shè)計(jì)出來(lái)搜索 DES 密鑰的專(zhuān)用芯片。 13 兩類(lèi)密碼體制-公鑰密碼體制 公鑰密碼體制使用不同的加密密鑰與解密密鑰， 是一種“由已知加密密鑰推導(dǎo)出解

6、密密鑰在計(jì)算上 是不可行的”密碼體制。 公鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因 ，一是由于常規(guī)密鑰密碼體制的密鑰分配問(wèn)題， 另一是由于對(duì)數(shù)字簽名的需求。 現(xiàn)有最著名的公鑰密碼體制是RSA 體制，它基于 數(shù)論中大數(shù)分解問(wèn)題的體制，由美國(guó)三位科學(xué)家 Rivest, Shamir 和 Adleman 于 1976 年提出并 在 1978 年正式發(fā)表的。 14 加密密鑰與解密密鑰 在公鑰密碼體制中，加密密鑰(即公鑰) PK 是公開(kāi) 信息，而解密密鑰(即私鑰或秘鑰) SK 是需要保密 的。 加密算法 E 和解密算法 D 也都是公開(kāi)的。 雖然秘鑰 SK 是由公鑰 PK 決定的，但卻不能根據(jù) PK 計(jì)算

7、出 SK。 15 注意 任何加密方法的安全性取決于密鑰的長(zhǎng)度，以及 攻破密文所需的計(jì)算量。在這方面，公鑰密碼體 制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。 由于目前公鑰加密算法的開(kāi)銷(xiāo)較大，在可見(jiàn)的將 來(lái)還看不出來(lái)要放棄傳統(tǒng)的加密方法。公鑰還需 要密鑰分配協(xié)議，具體的分配過(guò)程并不比采用傳 統(tǒng)加密方法時(shí)更簡(jiǎn)單。 16 公鑰算法的特點(diǎn)-1 17 發(fā)送者 A 用 B 的公鑰 PKB 對(duì)明文 X 加密（E 運(yùn)算） 后，在接收者 B 用自己的私鑰 SKB 解密（D 運(yùn)算）， 即可恢復(fù)出明文： 解密密鑰是接收者專(zhuān)用的秘鑰，對(duì)其他人都保密。 加密密鑰是公開(kāi)的，但不能用它來(lái)解密，即 XXEDYD PKSKSK )(

8、)( BBB XXED PKPK )( BB 公鑰算法的特點(diǎn)-2 18 加密和解密的運(yùn)算可以對(duì)調(diào)，即 在計(jì)算機(jī)上可容易地產(chǎn)生成對(duì)的 PK 和 SK。 從已知的 PK 實(shí)際上不可能推導(dǎo)出 SK，即從 PK 到 SK 是“計(jì)算上不可能的”。 加密和解密算法都是公開(kāi)的。 XXEDXDE BBBB PKSKSKPK )()( 公鑰密碼體制 19 密文Y E 運(yùn)算 加密算法 D 運(yùn)算 解密算法 加密解密 明文 X明文 X AB B 的私鑰 SKB 密文Y 因特網(wǎng) B 的公鑰 PKB 數(shù)字簽名 數(shù)字簽名必須保證以下三點(diǎn)： (1) 報(bào)文鑒別接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽 名； (2) 報(bào)文的完整性發(fā)送者事后

9、不能抵賴對(duì)報(bào)文的 簽名； (3) 不可否認(rèn)接收者不能偽造對(duì)報(bào)文的簽名。 現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法。但采用 公鑰算法更容易實(shí)現(xiàn)。 20 數(shù)字簽名的實(shí)現(xiàn) 21 密文 )( A XDSK D 運(yùn)算 明文 X明文 X AB A 的私鑰 SKA 因特網(wǎng) 簽名 核實(shí)簽名 E 運(yùn)算 密文 )( A XDSK A 的公鑰 PKA 數(shù)字簽名的實(shí)現(xiàn) 因?yàn)槌?A 外沒(méi)有別人能具有 A 的私鑰，所以除 A 外沒(méi)有別人能產(chǎn)生這個(gè)密文。因此 B 相信報(bào)文 X 是 A 簽名發(fā)送的。 若 A 要抵賴曾發(fā)送報(bào)文給 B，B 可將明文和對(duì)應(yīng) 的密文出示給第三者。第三者很容易用 A 的公鑰 去證實(shí) A 確實(shí)發(fā)送 X 給 B

10、。 反之，若 B 將 X 偽造成 X，則 B 不能在第三者 前出示對(duì)應(yīng)的密文。這樣就證明了 B 偽造了報(bào)文 。 22 具有保密性的數(shù)字簽名 23 )( A XDSK)( A XDSK 核實(shí)簽名解密 加密 簽名 E 運(yùn)算D 運(yùn)算 明文 X明文 X AB A 的私鑰 SKA 因特網(wǎng) E 運(yùn)算 B 的私鑰 SKB D 運(yùn)算 加密與解密 簽名與核實(shí)簽名 )( AB XDE SKPK B 的公鑰 PKB A 的公鑰 PKA 密文 鑒別 在信息的安全領(lǐng)域中，對(duì)付被動(dòng)攻擊的重要措施 是加密，而對(duì)付主動(dòng)攻擊中的篡改和偽造則要用 鑒別(authentication) 。 報(bào)文鑒別使得通信的接收方能夠驗(yàn)證所收到的

11、報(bào) 文（發(fā)送者和報(bào)文內(nèi)容、發(fā)送時(shí)間、序列等）的 真?zhèn)巍?使用加密就可達(dá)到報(bào)文鑒別的目的。但在網(wǎng)絡(luò)的 應(yīng)用中，許多報(bào)文并不需要加密。應(yīng)當(dāng)使接收者 能用很簡(jiǎn)單的方法鑒別報(bào)文的真?zhèn)巍?鑒別與授權(quán)(authorization)是不同的概念。授權(quán) 涉及到的問(wèn)題是：所進(jìn)行的過(guò)程是否被允許（如 是否可以對(duì)某文件進(jìn)行讀或?qū)懀?24 報(bào)文鑒別 許多報(bào)文并不需要加密但卻需要數(shù)字簽名，以便 讓報(bào)文的接收者能夠鑒別報(bào)文的真?zhèn)巍?然而對(duì)很長(zhǎng)的報(bào)文進(jìn)行數(shù)字簽名會(huì)使計(jì)算機(jī)增加 很大的負(fù)擔(dān)（需要進(jìn)行很長(zhǎng)時(shí)間的運(yùn)算）。 當(dāng)我們傳送不需要加密的報(bào)文時(shí)，應(yīng)當(dāng)使接收者 能用很簡(jiǎn)單的方法鑒別報(bào)文的真?zhèn)巍?25 報(bào)文摘要 MD (Me

12、ssage Digest) A 將報(bào)文 X 經(jīng)過(guò)報(bào)文摘要算法運(yùn)算后得出很短的 報(bào)文摘要 H。然后用自己的私鑰對(duì) H 進(jìn)行 D 運(yùn) 算，即進(jìn)行數(shù)字簽名。得出已簽名的報(bào)文摘要 D(H)后，并將其追加在報(bào)文 X 后面發(fā)送給 B。 B 收到報(bào)文后首先把已簽名的 D(H) 和報(bào)文 X 分 離。然后再做兩件事。 用A的公鑰對(duì) D(H) 進(jìn)行E運(yùn)算，得出報(bào)文摘要 H 。 對(duì)報(bào)文 X 進(jìn)行報(bào)文摘要運(yùn)算，看是否能夠得出同樣的報(bào) 文摘要 H。如一樣，就能以極高的概率斷定收到的報(bào)文 是 A 產(chǎn)生的。否則就不是。 26 報(bào)文摘要的優(yōu)點(diǎn) 僅對(duì)短得多的定長(zhǎng)報(bào)文摘要 H 進(jìn)行數(shù)字簽名要比 對(duì)整個(gè)長(zhǎng)報(bào)文進(jìn)行數(shù)字簽名要簡(jiǎn)單得多

13、，所耗費(fèi) 的計(jì)算資源也小得多。 但對(duì)鑒別報(bào)文 X 來(lái)說(shuō)，效果是一樣的。也就是說(shuō) ，報(bào)文 X 和已簽名的報(bào)文摘要 D(H) 合在一起是 不可偽造的，是可檢驗(yàn)的和不可否認(rèn)的。 27 報(bào)文摘要算法 報(bào)文摘要算法就是一種散列函數(shù)。這種散列函 數(shù)也叫做密碼編碼的檢驗(yàn)和。報(bào)文摘要算法是 防止報(bào)文被人惡意篡改。 報(bào)文摘要算法是精心選擇的一種單向函數(shù)。 可以很容易地計(jì)算出一個(gè)長(zhǎng)報(bào)文 X 的報(bào)文摘要 H，但要想從報(bào)文摘要 H 反過(guò)來(lái)找到原始的報(bào) 文 X，則實(shí)際上是不可能的。 若想找到任意兩個(gè)報(bào)文，使得它們具有相同的 報(bào)文摘要，那么實(shí)際上也是不可能的。 28 報(bào)文摘要的實(shí)現(xiàn) 29 A 比較 簽名 核實(shí)簽名 報(bào)文

14、X HD 運(yùn)算D(H) A 的私鑰 報(bào)文 XD(H) B 報(bào)文摘要 報(bào)文 XD(H) 發(fā)送 E 運(yùn)算 H 簽名的報(bào)文摘要 H 報(bào)文摘要 運(yùn)算 A 的公鑰 報(bào)文摘要 運(yùn)算 報(bào)文摘要 報(bào)文摘要 因特網(wǎng) 實(shí)體鑒別 實(shí)體鑒別和報(bào)文鑒別不同。 報(bào)文鑒別是對(duì)每一個(gè)收到的報(bào)文都要鑒別報(bào)文的 發(fā)送者，而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí) 間內(nèi)對(duì)和自己通信的對(duì)方實(shí)體只需驗(yàn)證一次。 30 最簡(jiǎn)單的實(shí)體鑒別過(guò)程 A 發(fā)送給 B 的報(bào)文的被加密，使用的是對(duì)稱(chēng)密鑰 KAB。 B 收到此報(bào)文后，用共享對(duì)稱(chēng)密鑰 KAB 進(jìn)行解密 ，因而鑒別了實(shí)體 A 的身份。 31 AB A, 口令 KAB 明顯的漏洞 入侵者 C 可以從網(wǎng)

15、絡(luò)上截獲 A 發(fā)給 B 的報(bào)文。C 并不需要破譯這個(gè)報(bào)文（因?yàn)檫@可能很花很多時(shí) 間）而可以直接把這個(gè)由 A 加密的報(bào)文發(fā)送給 B ，使 B 誤認(rèn)為 C 就是 A。然后 B 就向偽裝是 A 的 C 發(fā)送應(yīng)發(fā)給 A 的報(bào)文。 這就叫做重放攻擊(replay attack)。C 甚至還可 以截獲 A 的 IP 地址，然后把 A 的 IP 地址冒充為 自己的 IP 地址（這叫做 IP 欺騙），使 B 更加容 易受騙。 32 使用不重?cái)?shù)進(jìn)行鑒別 為了對(duì)付重放攻擊，可以使用不重?cái)?shù)(nonce)。不重?cái)?shù)就是 一個(gè)不重復(fù)使用的大隨機(jī)數(shù)，即“一次一數(shù)”。 33 AB A, RA RB KAB RA RB KAB

16、 , 時(shí)間 中間人攻擊 34 AB 我是 A 中間人 C 我是 A RB RB SKC 請(qǐng)把公鑰發(fā)來(lái) PKC RB RB SKA 請(qǐng)把公鑰發(fā)來(lái) PKA DATA PKC DATA PKA 時(shí)間 中間人攻擊說(shuō)明 A 向 B 發(fā)送“我是 A”的報(bào)文，并給出了自己的身份。此報(bào)文被“ 中間人” C 截獲，C 把此報(bào)文原封不動(dòng)地轉(zhuǎn)發(fā)給 B。B 選擇一個(gè) 不重?cái)?shù) RB 發(fā)送給 A，但同樣被 C 截獲后也照樣轉(zhuǎn)發(fā)給 A。 中間人 C 用自己的私鑰 SKC 對(duì) RB 加密后發(fā)回給 B，使 B 誤以為 是 A 發(fā)來(lái)的。A 收到 RB 后也用自己的私鑰 SKA 對(duì) RB 加密后發(fā) 回給 B，中途被 C 截獲并丟棄

17、。B 向 A 索取其公鑰，此報(bào)文被 C截獲后轉(zhuǎn)發(fā)給 A。 C 把自己的公鑰 PKC 冒充是 A 的發(fā)送給 B，而 C 也截獲到 A 發(fā) 送給 B 的公鑰 PKA。 B 用收到的公鑰 PKC（以為是 A 的）對(duì)數(shù)據(jù)加密發(fā)送給 A。C 截獲后用自己的私鑰 SKC 解密，復(fù)制一份留下，再用 A 的公鑰 PKA 對(duì)數(shù)據(jù)加密后發(fā)送給 A。A 收到數(shù)據(jù)后，用自己的私鑰 SKA 解密，以為和B進(jìn)行了保密通信。其實(shí)，B發(fā)送給A的加密數(shù)據(jù)已 被中間人 C 截獲并解密了一份。但 A 和 B 卻都不知道。 35 密鑰分配 密鑰管理包括：密鑰的產(chǎn)生、分配、注入、驗(yàn)證 和使用。本節(jié)只討論密鑰的分配。 密鑰分配是密鑰管理

18、中最大的問(wèn)題。密鑰必須通 過(guò)最安全的通路進(jìn)行分配。 目前常用的密鑰分配方式是設(shè)立密鑰分配中心 KDC (Key Distribution)，通過(guò) KDC 來(lái)分配密鑰 。 36 對(duì)稱(chēng)密鑰的分配 目前常用的密鑰分配方式是設(shè)立密鑰分配中心 KDC (Key Distribution Center)。 KDC 是大家都信任的機(jī)構(gòu)，其任務(wù)就是給需要進(jìn) 行秘密通信的用戶臨時(shí)分配一個(gè)會(huì)話密鑰（僅使 用一次）。 用戶 A 和 B 都是 KDC 的登記用戶，并已經(jīng)在 KDC 的服務(wù)器上安裝了各自和 KDC 進(jìn)行通信的 主密鑰（master key）KA 和 KB。 “主密鑰”可簡(jiǎn) 稱(chēng)為“密鑰”。 37 對(duì)稱(chēng)密鑰

19、的分配 38 AB 密鑰 分配中心 KDC A, B, KAB KB 用戶專(zhuān)用主密鑰 用戶 主密鑰 A KA B KB A, B, KABKAB KB KA , 時(shí)間 A, B 公鑰的分配 需要有一個(gè)值得信賴的機(jī)構(gòu)即認(rèn)證中心CA (Certification Authority)，來(lái)將公鑰與其對(duì)應(yīng)的 實(shí)體（人或機(jī)器）進(jìn)行綁定(binding)。 認(rèn)證中心一般由政府出資建立。每個(gè)實(shí)體都有CA 發(fā)來(lái)的證書(shū)(certificate)，里面有公鑰及其擁有者 的標(biāo)識(shí)信息。此證書(shū)被 CA 進(jìn)行了數(shù)字簽名。任 何用戶都可從可信的地方獲得認(rèn)證中心 CA 的公 鑰，此公鑰用來(lái)驗(yàn)證某個(gè)公鑰是否為某個(gè)實(shí)體所 擁有。

20、有的大公司也提供認(rèn)證中心服務(wù)。 39 鏈路加密 在采用鏈路加密的網(wǎng)絡(luò)中，每條通信鏈路上的加 密是獨(dú)立實(shí)現(xiàn)的。通常對(duì)每條鏈路使用不同的加 密密鑰。 40 D1E2 明文 X 結(jié)點(diǎn) 1 D2E3 明文 X 結(jié)點(diǎn) 2 Dn 明文 X 用戶 B E1 明文 X 用戶 A E1(X) 鏈路 1 E2(X) 鏈路 2 En(X) 鏈路 n E3(X) 密文密文密文密文 相鄰結(jié)點(diǎn)之間具有相同的密鑰，因而密鑰管理易于實(shí) 現(xiàn)。鏈路加密對(duì)用戶來(lái)說(shuō)是透明的，因?yàn)榧用艿墓δ?是由通信子網(wǎng)提供的。 鏈路加密 由于報(bào)文是以明文形式在各結(jié)點(diǎn)內(nèi)加密的，所以 結(jié)點(diǎn)本身必須是安全的。 所有的中間結(jié)點(diǎn)(包括可能經(jīng)過(guò)的路由器)未必都 是安全的。因此必須采取有效措施。 鏈路加密的最大缺點(diǎn)是在中間結(jié)點(diǎn)暴露了信息的 內(nèi)容。 在網(wǎng)絡(luò)互連的情況下，僅采用鏈路加密是不能實(shí) 現(xiàn)通信安全的。 41 端到端加密 端到端加密是在源結(jié)點(diǎn)和目的結(jié)點(diǎn)中對(duì)傳送的 PDU 進(jìn)行加密和解密，報(bào)文的安全性不會(huì)因中間 結(jié)點(diǎn)的不可靠而受到影響。 42 結(jié)點(diǎn) 1結(jié)點(diǎn) 2 DK 明文 X 結(jié)點(diǎn) n EK 明文 X 結(jié)點(diǎn) 0 EK(X) 鏈路 1 EK(X) 鏈路 2 EK(X) 鏈路 n 端到端鏈路傳送的都是密文 在端到