1、課件謝希仁計算機網絡第 5 版第 7 章 網絡平安課件謝希仁第 7 章 網絡平安 7.1 網絡平安問題概述 7.1.1 計算機網絡面臨的平安性要挾 7.1.2 計算機網絡平安的內容 7.1.3 普通的數據加密模型7.2 兩類密碼體制 7.2.1 對稱密鑰密碼體制 7.2.2 公鑰密碼體制課件謝希仁第 7 章 網絡平安續7.3 數字簽名7.4 鑒別 7.4.1 報文鑒別 7.4.2 實體鑒別7.5 密鑰分配 7.5.1 對稱密鑰的分配 7.5,2 公鑰的分配課件謝希仁第 7 章 網絡平安續7.6 因特網運用的平安協議 7.6.1 網絡層平安協議 7.6.2 運輸層平安協議 7.6.3 運用層的平

2、安協議破7.7 鏈路加密與端到端加密 7.7.1 鏈路加密 7.7.2 端到端加密7.8 防火墻課件謝希仁7.1 網絡平安問題概述 7.1.1 計算機網絡面臨的平安性要挾 計算機網絡上的通訊面臨以下的四種要挾： (1) 截獲從網絡上竊聽他人的通訊內容。 (2) 中斷有意中斷他人在網絡上的通訊。 (3) 篡改故意篡改網絡上傳送的報文。 (4) 偽造偽造信息在網絡上傳送。截獲信息的攻擊稱為被動攻擊，而更改信息和回絕用戶運用資源的攻擊稱為自動攻擊。課件謝希仁對網絡的被動攻擊和自動攻擊 截獲篡改偽造中斷被動攻擊主 動 攻 擊目的站源站源站源站源站目的站目的站目的站課件謝希仁被動攻擊和自動攻擊在被動攻擊

3、中，攻擊者只是察看和分析某一個協議數據單元 PDU 而不干擾信息流。自動攻擊是指攻擊者對某個銜接中經過的 PDU 進展各種處置。更改報文流 回絕報文效力 偽造銜接初始化 課件謝希仁(1) 防止析出報文內容；(2) 防止通訊量分析；(3) 檢測更改報文流；(4) 檢測回絕報文效力；(5) 檢測偽造初始化銜接。計算機網絡通訊平安的目的 課件謝希仁(1) 計算機病毒會“傳染其他程序的程序，“傳染是經過修正其他程序來把本身或其變種復制進去完成的。(2) 計算機蠕蟲經過網絡的通訊功能將本身從一個結點發送到另一個結點并啟動運轉的程序。(3) 特洛伊木馬一種程序，它執行的功能超出所聲稱的功能。(4) 邏輯炸

4、彈一種當運轉環境滿足某種特定條件時執行其他特殊功能的程序。 惡意程序(rogue program) 課件謝希仁7.1.2 計算機網絡平安的內容嚴密性平安協議的設計 訪問控制 課件謝希仁明文 X 截獲密文 Y7.1.3 普通的數據加密模型 加密密鑰 K明文 X密文 Y截取者篡改ABE 運算加密算法D 運算解密算法因特網解密密鑰 K課件謝希仁一些重要概念 密碼編碼學(cryptography)是密碼體制的設計學，而密碼分析學(cryptanalysis)那么是在未知密鑰的情況下從密文推上演明文或密鑰的技術。密碼編碼學與密碼分析學合起來即為密碼學(cryptology)。假設不論截取者獲得了多少密文

5、，但在密文中都沒有足夠的信息來獨一地確定出對應的明文，那么這一密碼體制稱為無條件平安的，或稱為實際上是不可破的。假設密碼體制中的密碼不能被可運用的計算資源破譯，那么這一密碼體制稱為在計算上是平安的。 課件謝希仁7.2 兩類密碼體制 7.2.1 對稱密鑰密碼體制 所謂常規密鑰密碼體制，即加密密鑰與解密密鑰是一樣的密碼體制。這種加密系統又稱為對稱密鑰系統。課件謝希仁數據加密規范 DES數據加密規范 DES 屬于常規密鑰密碼體制，是一種分組密碼。在加密前，先對整個明文進展分組。每一個組長為 64 位。然后對每一個 64 位 二進制數據進展加密處置，產生一組 64 位密文數據。最后將各組密文串接起來，

6、即得出整個的密文。運用的密鑰為 64 位實踐密鑰長度為 56 位，有 8 位用于奇偶校驗)。 課件謝希仁DES 的嚴密性DES 的嚴密性僅取決于對密鑰的嚴密，而算法是公開的。雖然人們在破譯 DES 方面獲得了許多進展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES 是世界上第一個公認的適用密碼算法規范，它曾對密碼學的開展做出了艱苦奉獻。目前較為嚴重的問題是 DES 的密鑰的長度。如今曾經設計出來搜索 DES 密鑰的公用芯片。 課件謝希仁7.2.2 公鑰密碼體制公鑰密碼體制運用不同的加密密鑰與解密密鑰，是一種“由知加密密鑰推導出解密密鑰在計算上是不可行的密碼體制。 公鑰密碼體制的產生主要是由

7、于兩個方面的緣由，一是由于常規密鑰密碼體制的密鑰分配問題，另一是由于對數字簽名的需求。現有最著名的公鑰密碼體制是RSA 體制，它基于數論中大數分解問題的體制，由美國三位科學家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式發表的。課件謝希仁加密密鑰與解密密鑰 在公鑰密碼體制中，加密密鑰(即公鑰) PK 是公開信息，而解密密鑰(即私鑰或秘鑰) SK 是需求嚴密的。加密算法 E 和解密算法 D 也都是公開的。雖然秘鑰 SK 是由公鑰 PK 決議的，但卻不能根據 PK 計算出 SK。 課件謝希仁該當留意 任何加密方法的平安性取決于密鑰的長度，以及攻破密文

8、所需的計算量。在這方面，公鑰密碼體制并不具有比傳統加密體制更加優越之處。 由于目前公鑰加密算法的開銷較大，在可見的未來還看不出來要放棄傳統的加密方法。公鑰還需求密鑰分配協議，詳細的分配過程并不比采用傳統加密方法時更簡單。 課件謝希仁公鑰算法的特點 發送者 A 用 B 的公鑰 PKB 對明文 X 加密E 運算后，在接納者 B 用本人的私鑰 SKB 解密D 運算，即可恢復出明文： (7-4) 解密密鑰是接納者公用的秘鑰，對其他人都嚴密。加密密鑰是公開的，但不能用它來解密，即 (7-5)課件謝希仁公鑰算法的特點續加密和解密的運算可以對調，即 在計算機上可容易地產生成對的 PK 和 SK。從知的 PK

9、 實踐上不能夠推導出 SK，即從 PK 到 SK 是“計算上不能夠的。加密和解密算法都是公開的。7-6課件謝希仁公鑰密碼體制 密文Y E 運算加密算法D 運算解密算法加密解密明文 X明文 X ABB 的私鑰 SKB密文Y 因特網B 的公鑰 PKB課件謝希仁7.3 數字簽名數字簽名必需保證以下三點：(1) 報文鑒別接納者可以核實發送者對報文的簽名；(2) 報文的完好性發送者事后不能抵賴對報文的簽名；(3) 不可否認接納者不能偽造對報文的簽名。如今已有多種實現各種數字簽名的方法。但采用公鑰算法更容易實現。 課件謝希仁密文 數字簽名的實現 D運算明文 X明文 X ABA 的私鑰 SKA因特網簽名 核

10、實簽名E運算密文 A 的公鑰 PKA課件謝希仁數字簽名的實現由于除 A 外沒有他人能具有 A 的私鑰，所以除 A 外沒有他人能產生這個密文。因此 B 置信報文 X 是 A 簽名發送的。假設 A 要抵賴曾發送報文給 B，B 可將明文和對應的密文出示給第三者。第三者很容易用 A 的公鑰去證明 A 確實發送 X 給 B。反之，假設 B 將 X 偽呵斥 X，那么 B 不能在第三者前出示對應的密文。這樣就證明了 B 偽造了報文。 課件謝希仁具有嚴密性的數字簽名 核實簽名解密 加密 簽名 E 運算D 運算明文 X明文 X ABA 的私鑰 SKA因特網E 運算B 的私鑰 SKBD 運算加密與解密簽名與核實簽

11、名B 的公鑰 PKBA 的公鑰 PKA密文課件謝希仁7.4 鑒別在信息的平安領域中，對付被動攻擊的重要措施是加密，而對付自動攻擊中的篡改和偽造那么要用鑒別(authentication) 。報文鑒別使得通訊的接納方可以驗證所收到的報文發送者和報文內容、發送時間、序列等的真偽。運用加密就可到達報文鑒別的目的。但在網絡的運用中，許多報文并不需求加密。該當使接納者能用很簡單的方法鑒別報文的真偽。 課件謝希仁鑒別與授權不同鑒別與授權(authorization)是不同的概念。授權涉及到的問題是：所進展的過程能否被允許如能否可以對某文件進展讀或寫。 課件謝希仁7.4.1 報文鑒別 許多報文并不需求加密但

12、卻需求數字簽名，以便讓報文的接納者可以鑒別報文的真偽。然而對很長的報文進展數字簽名會使計算機添加很大的負擔需求進展很長時間的運算。當我們傳送不需求加密的報文時，該當使接納者能用很簡單的方法鑒別報文的真偽。課件謝希仁報文摘要 MD (Message Digest)A 將報文 X 經過報文摘要算法運算后得出很短的報文摘要 H。然后然后用本人的私鑰對 H 進展 D 運算，即進展數字簽名。得出已簽名的報文摘要 D(H)后，并將其追加在報文 X 后面發送給 B。 B 收到報文后首先把已簽名的 D(H) 和報文 X 分別。然后再做兩件事。用A的公鑰對 D(H) 進展E運算，得出報文摘要 H 。對報文 X

13、進展報文摘要運算，看能否可以得出同樣的報文摘要 H。如一樣，就能以極高的概率斷定收到的報文是 A 產生的。否那么就不是。 課件謝希仁報文摘要的優點僅對短得多的定長報文摘要 H 進展數字簽名要比對整個長報文進展數字簽名要簡單得多，所耗費的計算資源也小得多。但對鑒別報文 X 來說，效果是一樣的。也就是說，報文 X 和已簽名的報文摘要 D(H) 合在一同是不可偽造的，是可檢驗的和不可否認的。 課件謝希仁報文摘要算法報文摘要算法就是一種散列函數。這種散列函數也叫做密碼編碼的檢驗和。報文摘要算法是防止報文被人惡意篡改。 報文摘要算法是精心選擇的一種單向函數。可以很容易地計算出一個長報文 X 的報文摘要

14、H，但要想從報文摘要 H 反過來找到原始的報文 X，那么實踐上是不能夠的。假想象找到恣意兩個報文，使得它們具有一樣的報文摘要，那么實踐上也是不能夠的。 課件謝希仁報文摘要的實現 A比較簽名 核實簽名報文 XHD 運算D(H)A 的私鑰報文 XD(H)B報文摘要報文 XD(H)發送 E 運算H簽名的報文摘要H報文摘要運算A 的公鑰報文摘要運算報文摘要報文摘要因特網課件謝希仁7.4.2 實體鑒別 實體鑒別和報文鑒別不同。報文鑒別是對每一個收到的報文都要鑒別報文的發送者，而實體鑒別是在系統接入的全部繼續時間內對和本人通訊的對方實體只需驗證一次。 課件謝希仁最簡單的實體鑒別過程 A 發送給 B 的報文

15、的被加密，運用的是對稱密鑰 KAB。B 收到此報文后，用共享對稱密鑰 KAB 進展解密，因此鑒別了實體 A 的身份。 ABA, 口令KAB課件謝希仁明顯的破綻入侵者 C 可以從網絡上截獲 A 發給 B 的報文。C 并不需求破譯這個報文由于這能夠很花很多時間而可以直接把這個由 A 加密的報文發送給 B，使 B 誤以為 C 就是 A。然后 B 就向偽裝是 A 的 C 發送應發給 A 的報文。這就叫做重放攻擊(replay attack)。C 甚至還可以截獲 A 的 IP 地址，然后把 A 的 IP 地址冒充為本人的 IP 地址這叫做 IP 欺騙，使 B 更加容易上當。 課件謝希仁運用不重數為了對付

16、重放攻擊，可以運用不重數(nonce)。不重數就是一個不反復運用的大隨機數，即“一次一數。 課件謝希仁運用不重數進展鑒別 ABA, RARBKABRARBKAB,時間課件謝希仁中間人攻擊 AB我是 A中間人 C我是 ARBRBSKC請把公鑰發來PKCRBRBSKA請把公鑰發來PKADATAPKCDATAPKA時間課件謝希仁中間人攻擊闡明A 向 B 發送“我是 A的報文，并給出了本人的身份。此報文被“中間人 C 截獲，C 把此報文原封不動地轉發給 B。B 選擇一個不重數 RB 發送給 A，但同樣被 C 截獲后也照樣轉發給 A。中間人 C 用本人的私鑰 SKC 對 RB 加密后發回給 B，使 B

17、誤以為是 A 發來的。A 收到 RB 后也用本人的私鑰 SKA 對 RB 加密后發回給 B，中途被 C 截獲并丟棄。B 向 A 索取其公鑰，此報文被 C截獲后轉發給 A。C 把本人的公鑰 PKC 冒充是 A 的發送給 B，而 C 也截獲到 A 發送給 B 的公鑰 PKA。B 用收到的公鑰 PKC以為是 A 的對數據加密發送給 A。C 截獲后用本人的私鑰 SKC 解密，復制一份留下，再用 A 的公鑰 PKA 對數據加密后發送給 A。A 收到數據后，用本人的私鑰 SKA 解密，以為和B進展了嚴密通訊。其實，B發送給A的加密數據已被中間人 C 截獲并解密了一份。但 A 和 B 卻都不知道。 課件謝希

18、仁7.5 密鑰分配 密鑰管理包括：密鑰的產生、分配、注入、驗證和運用。本節只討論密鑰的分配。密鑰分配是密鑰管理中最大的問題。密鑰必需經過最平安的通路進展分配。目前常用的密鑰分配方式是設立密鑰分配中心 KDC (Key Distribution)，經過 KDC 來分配密鑰。 課件謝希仁7.5.1 對稱密鑰的分配目前常用的密鑰分配方式是設立密鑰分配中心 KDC (Key Distribution Center)。KDC 是大家都信任的機構，其義務就是給需求進展通訊的用戶暫時分配一個會話密鑰僅運用一次。用戶 A 和 B 都是 KDC 的登記用戶，并曾經在 KDC 的效力器上安裝了各自和 KDC 進展

19、通訊的主密鑰master keyKA 和 KB。 “主密鑰可簡稱為“密鑰。 課件謝希仁對稱密鑰的分配AB密鑰分配中心KDCA, B, KABKB用戶公用主密鑰用戶 主密鑰 A KA B KB A, B, KABKABKBKA,時間A, BABKerberosAASTGSTKAB, A, KABKBT + 1KABA, KSTKS, B,KTGA, KABKB,B, KABKSKTGKAA, KSKS, 課件謝希仁7.5.2 公鑰的分配需求有一個值得信任的機構即認證中心CA (Certification Authority)，來將公鑰與其對應的實體人或機器進展綁定(binding)。認證中心普通

20、由政府出資建立。每個實體都有CA 發來的證書(certificate)，里面有公鑰及其擁有者的標識信息。此證書被 CA 進展了數字簽名。任何用戶都可從可信的地方獲得認證中心 CA 的公鑰，此公鑰用來驗證某個公鑰能否為某個實體所擁有。有的大公司也提招認證中心效力。 課件謝希仁7.6 因特網運用的平安協議 7.6.1 網絡層平安協議 1. IPsec 與平安關聯 SA 網絡層嚴密是指一切在 IP 數據報中的數據都是加密的。 課件謝希仁IPsec 中最主要的兩個部分 鑒別首部 AH (Authentication Header)： AH鑒別源點和檢查數據完好性，但不能嚴密。封裝平安有效載荷 ESP

21、(Encapsulation Security Payload)：ESP 比 AH 復雜得多，它鑒別源點、檢查數據完好性和提供嚴密。 課件謝希仁平安關聯 SA(Security Association) 在運用 AH 或 ESP 之前，先要從源主機到目的主機建立一條網絡層的邏輯銜接。此邏輯銜接叫做平安關聯 SA。 IPsec 就把傳統的因特網無銜接的網絡層轉換為具有邏輯銜接的層。 課件謝希仁平安關聯的特點平安關聯是一個單向銜接。它由一個三元組獨一地確定，包括：(1) 平安協議運用 AH 或 ESP的標識符(2) 此單向銜接的源 IP 地址(3) 一個 32 位的銜接標識符，稱為平安參數索引 S

22、PI (Security Parameter Index)對于一個給定的平安關聯 SA，每一個 IPsec 數據報都有一個存放 SPI 的字段。經過此 SA 的一切數據報都運用同樣的 SPI 值。 課件謝希仁2. 鑒別首部協議 AH 在運用鑒別首部協議 AH 時，把 AH 首部插在原數據報數據部分的前面，同時把 IP 首部中的協議字段置為 51。在傳輸過程中，中間的路由器都不查看 AH 首部。當數據報到達終點時，目的主機才處置 AH 字段，以鑒別源點和檢查數據報的完好性。 IP 首部AH 首部TCP/UDP 報文段協議 = 51AH 首部 (1) 下一個首部(8 位)。標志緊接著本首部的下一個

23、首部的類型如 TCP 或 UDP。(2) 有效載荷長度(8 位)，即鑒別數據字段的長度，以 32 位字為單位。(3) 平安參數索引 SPI (32 位)。標志平安關聯。(4) 序號(32 位)。鑒別數據字段的長度，以32 位字為單位。(5) 保管(16 位)。為今后用。(6) 鑒別數據(可變)。為 32 位字的整數倍，它包含了經數字簽名的報文摘要。因此可用來鑒別源主機和檢查 IP 數據報的完好性。 課件謝希仁3. 封裝平安有效載荷 ESP運用 ESP 時，IP 數據報首部的協議字段置為 50。當 IP 首部檢查到協議字段是 50 時，就知道在 IP 首部后面緊接著的是 ESP 首部，同時在原

24、IP 數據報后面添加了兩個字段，即 ESP 尾部和 ESP 數據。 在 ESP 首部中有標識一個平安關聯的平安參數索引 SPI (32 位)，和序號(32 位)。課件謝希仁3. 封裝平安有效載荷 ESP續在 ESP 尾部中有下一個首部8 位，作用和 AH 首部的一樣。ESP 尾部和原來數據報的數據部分一同進展加密，因此攻擊者無法得知所運用的運輸層協議。ESP 鑒別和 AH 中的鑒別數據是一樣的。因此，用 ESP 封裝的數據報既有鑒別源站和檢查數據報完好性的功能，又能提供嚴密。課件謝希仁在 IP 數據報中的ESP 的各字段 IP 首部ESP 首部TCP/UDP 報文段運用 ESP 的 IP 數據

25、報原數據報的數據部分ESP 尾部ESP 鑒別加密的部分鑒別的部分協議 = 50課件謝希仁7.6.2 運輸層平安協議1. 平安套接層 SSL SSL 是平安套接層 (Secure Socket Layer)，可對萬維網客戶與效力器之間傳送的數據進展加密和鑒別。SSL 在雙方的聯絡階段協商將運用的加密算法和密鑰，以及客戶與效力器之間的鑒別。在聯絡階段完成之后，一切傳送的數據都運用在聯絡階段商定的會話密鑰。SSL 不僅被一切常用的閱讀器和萬維網效力器所支持，而且也是運輸層平安協議 TLS (Transport Layer Security)的根底。 課件謝希仁SSL 的位置 TCP運用層SSL運輸層

26、 IMAPSSL 功能規范套接字在發送方，SSL 接納運用層的數據如 或 IMAP 報文，對數據進展加密，然后把加了密的數據送往 TCP 套接字。在接納方，SSL 從 TCP 套接字讀取數據，解密后把數據交給運用層。 課件謝希仁SSL 提供以下三個功能 (1) SSL 效力器鑒別 允許用戶證明效力器的身份。具有 SS L 功能的閱讀器維持一個表，上面有一些可信任的認證中心 CA (Certificate Authority)和它們的公鑰。(2) 加密的 SSL 會話 客戶和效力器交互的一切數據都在發送方加密，在接納方解密。(3) SSL 客戶鑒別 允許效力器證明客戶的身份。課件謝希仁2. 平安

27、電子買賣 SET (Secure Electronic Transaction)平安電子買賣 SET 是專為在因特網上進展平安支付卡買賣的協議。 SET 的主要特點是：(1) SET 是專為與支付有關的報文進展加密的。(2) SET 協議涉及到三方，即顧客、商家和商業銀行。一切在這三方之間交互的敏感信息都被加密。(3) SET 要求這三方都有證書。在 SET 買賣中，商家看不見顧客傳送給商業銀行的信譽卡號碼。 課件謝希仁7.6.3 運用層的平安協議 1. PGP (Pretty Good Privacy) PGP 是一個完好的電子郵件平安軟件包，包括加密、鑒別、電子簽名和緊縮等技術。PGP 并

28、沒有運用什么新的概念，它只是將現有的一些算法如 MD5，RSA，以及 IDEA 等綜合在一同而已。雖然 PGP 已被廣泛運用，但 PGP 并不是因特網的正式規范。 課件謝希仁2. PEM(Privacy Enhanced Mail) PEM 是因特網的郵件加密建議規范，由四個 RFC 文檔來描畫：(1) RFC 1421：報文加密與鑒別過程(2) RFC 1422：基于證書的密鑰管理(3) RFC 1423：PEM 的算法、任務方式和 標識符(4) RFC 1424：密鑰證書和相關的效力課件謝希仁PEM 的主要特點PEM 的功能和 PGP 的差不多，都是對基于 RFC 822 的電子郵件進展加密和鑒別。PEM 有比 PGP 更加完善的密鑰管理機制。由認證中心發布證書，上面有用戶姓名、公鑰以及密鑰的運用期限。每個證書有一個獨一的序號。證書還包括用認證中心秘鑰簽了名的 MD5 散列函數。 課件謝希仁7.7 鏈路加密與端到端加密7.7.1 鏈路加密 在采用鏈路加密的網絡中，每條通訊鏈路上的加密是獨立實現的。通常對每條鏈路運用不同的加密密鑰。 D1E2明文 X結點 1D2E3明文 X結點 2Dn明文 X用戶 BE1明文 X用戶 A E1(X)鏈路 1 E2(X)鏈路 2 En(X)鏈路 n E3(X)密文密文密文密文相鄰結點之間具有一樣的密鑰，因此密鑰管理易于