《網(wǎng)絡(luò)安全》PPT課件 (2).ppt

,第八章 網(wǎng)絡(luò)安全,本章主要內(nèi)容,關(guān)于網(wǎng)絡(luò)安全 加密算法：對(duì)稱密鑰算法，公開(kāi)密鑰算法 消息鑒別 數(shù)字簽名 公鑰管理 通信安全：IPSec，VPN，防火墻 鑒別服務(wù) 電子郵件安全 Web安全,1 關(guān)于網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全從本質(zhì)上說(shuō)就是網(wǎng)絡(luò)上的信息安全。 廣義地說(shuō)，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全要研究的領(lǐng)域。,OSI安全體系,OSI安全體系包括三個(gè)部分的內(nèi)容： 安全攻擊：任何損害信息安全的行為。 安全機(jī)制：用于檢測(cè)和預(yù)防安全攻擊或從安全攻擊中恢復(fù)的任何機(jī)制。 安全服務(wù)：用于增強(qiáng)信息系統(tǒng)安全性及信息傳輸安全性的服務(wù)。,安全攻擊,被動(dòng)攻擊： 試圖從系統(tǒng)中獲取信息，但不影響系統(tǒng)資源。 兩種類(lèi)型： 偷聽(tīng)：為了獲得正在傳輸?shù)膬?nèi)容。 流量分析：為了從通信頻度、消息長(zhǎng)度等流量模式來(lái)推斷通信的性質(zhì)。 對(duì)付被動(dòng)攻擊的最好方法是預(yù)防而不是檢測(cè)，如可用加密來(lái)保護(hù)正在傳輸?shù)男畔ⅲㄟ^(guò)制造一些虛假的流量來(lái)防止流量分析。,安全攻擊（續(xù)）,主動(dòng)攻擊： 試圖改變系統(tǒng)資源或影響系統(tǒng)的操作。 四種類(lèi)型： 偽裝：一個(gè)實(shí)體假冒另一個(gè)實(shí)體。 重放：從網(wǎng)絡(luò)中被動(dòng)地獲取一個(gè)數(shù)據(jù)單元，經(jīng)過(guò)一段時(shí)間后重新發(fā)送到網(wǎng)絡(luò)中。 消息修改：改變消息的部分內(nèi)容、推遲發(fā)送消息或改變消息的發(fā)送順序。 拒絕服務(wù)：阻止通信設(shè)施的正常使用或管理。 對(duì)付主動(dòng)攻擊的主要方法是檢測(cè)攻擊，然后設(shè)法從攻擊造成的破壞中恢復(fù)。,常見(jiàn)的一些安全機(jī)制,加密：使用數(shù)學(xué)算法對(duì)數(shù)據(jù)進(jìn)行變換，使其不易理解。 鑒別：通過(guò)消息交換確信一個(gè)實(shí)體的身份，以防假冒。 數(shù)據(jù)完整性：用于保護(hù)數(shù)據(jù)單元或數(shù)據(jù)單元流的完整性，以防消息修改。 數(shù)字簽名：附加在一個(gè)數(shù)據(jù)單元后面的數(shù)據(jù)，用來(lái)證明數(shù)據(jù)單元的起源及完整性，以防偽造及抵賴。 流量填充：在數(shù)據(jù)流間隙中插入比特，以挫敗流量分析的企圖。 訪問(wèn)控制：通過(guò)授權(quán)機(jī)制限制用戶對(duì)資源的訪問(wèn)，防止越權(quán)。,2 加密技術(shù),密碼學(xué)的一些基本術(shù)語(yǔ)： 明文（plaintext）：欲加密的數(shù)據(jù)，一般用P表示。 密文（ciphertext）：明文經(jīng)加密算法作用后的輸出，一般用C表示。 密鑰（key）：加密和解密時(shí)需要使用的參數(shù)，一般用k表示。 密碼分析（cryptanalysis）：破譯密文。 密碼學(xué)（cryptology）：設(shè)計(jì)密碼和破譯密碼的技術(shù)統(tǒng)稱為密碼學(xué)。,加密模型,密碼的安全性,密碼學(xué)的基本原則： 加密與解密的算法是公開(kāi)的，只有密鑰是需要保密的。 一個(gè)加密算法被稱為是計(jì)算安全的，如果由該算法產(chǎn)生的密文滿足以下兩個(gè)條件之一： 破譯密文的代價(jià)超過(guò)信息本身的價(jià)值 破譯密文所需的時(shí)間超過(guò)信息的有效生命期 現(xiàn)代密碼學(xué)中，密碼的安全性是通過(guò)算法的復(fù)雜性和密鑰的長(zhǎng)度來(lái)保證的。,加密算法的分類(lèi),按照加密密鑰與解密密鑰是否相同，加密算法分為： 對(duì)稱加密（秘密密鑰）算法：加密密鑰與解密密鑰相同 非對(duì)稱加密（公開(kāi)密鑰）算法：加密密鑰與解密密鑰不同 按照明文被處理的方式，加密算法分為： 塊加密：每次處理一個(gè)明文塊，生成一個(gè)密文塊。 流加密：處理連續(xù)輸入的明文流，并生成連續(xù)輸出的密文流。,（1）傳統(tǒng)加密方法,替換密碼 用密文字母替換明文字母，但字母位置不變。 例子：循環(huán)移動(dòng)字母表、單字母表替換、多字母表替換等。 換位密碼 保留明文字母不變，但改變字母的位置。 例子：列換位密碼。,列換位密碼的例子,替換和換位的硬件實(shí)現(xiàn),P盒、S盒和乘積密碼,（2）數(shù)據(jù)加密標(biāo)準(zhǔn)DES,Data Encryption Standard（DES）： DES是一種塊加密算法，每次處理64比特的明文塊，輸出64比特的密文塊。 算法使用一個(gè)56比特的主密鑰，包括16次迭代過(guò)程，每次迭代使用一個(gè)不同的48比特子密鑰，子密鑰從主密鑰中生成。 DES是一種對(duì)稱密鑰算法，其加密和解密使用相同的函數(shù)，兩者的不同只是子密鑰的次序剛好相反。,DES處理過(guò)程,Triple DES（3DES）,DES的缺點(diǎn)： 密鑰長(zhǎng)度不夠長(zhǎng)，迭代次數(shù)不夠多，存在破譯的可能。 3DES使用兩個(gè)密鑰進(jìn)行三輪DES計(jì)算： 第一輪使用密鑰K1對(duì)明文P進(jìn)行加密 第二輪令DES設(shè)備工作于解碼模式，使用密鑰K2對(duì)第一輪的輸出進(jìn)行變換 第三輪令DES設(shè)備工作于加密模式，再用密鑰K1對(duì)第二輪的輸出進(jìn)行變換，輸出密文。,有關(guān)3DES的幾個(gè)問(wèn)題,為什么使用兩個(gè)密鑰而不是三個(gè)密鑰？ 112比特的密鑰已經(jīng)足夠長(zhǎng)。 為什么不使用兩重DES（EE模式）而是三重DES？ 考慮采用EE模式的兩重DES，且攻擊者已經(jīng)擁有了一個(gè)匹配的明文密文對(duì)（P1，C1），即有C1EK2 (EK1 (P1 ) )。 令XEK1(P1)DK2(C1)。攻擊者分別計(jì)算EK1(P1)和DK2(C1)，并尋找使它們相等的K1和K2，則窮盡整個(gè)密鑰空間只需256的攻擊量而不是2112。 以上攻擊方式稱為中途攻擊。,有關(guān)3DES的問(wèn)題（續(xù)）,為什么是EDE而不是EEE？ 為了與單次DES兼容。3DES用戶解密單次DES用戶加密的數(shù)據(jù)，只需令K1K2就行了。,（4）公開(kāi)（不對(duì)稱）密鑰算法,算法思想：加密密鑰與解密密鑰不同，且從加密密鑰推導(dǎo)不出解密密鑰，因此加密密鑰可以公開(kāi)。 公開(kāi)密鑰算法必須滿足的條件： 從計(jì)算上說(shuō)，生成一對(duì)加密密鑰和解密密鑰是容易的； 從計(jì)算上說(shuō)，已知加密密鑰，從明文計(jì)算出密文是容易的； 從計(jì)算上說(shuō)，已知解密密鑰，從密文計(jì)算出明文是容易的； 從計(jì)算上說(shuō)，從加密密鑰推出解密密鑰是不可能的； 從計(jì)算上說(shuō)，從加密密鑰和密文計(jì)算出原始明文是不可能的。,公開(kāi)密鑰算法的使用,加密和解密： 每個(gè)希望接收秘密報(bào)文的用戶生成一對(duì)加密密鑰和解密密鑰，并將加密密鑰放在一個(gè)公開(kāi)的文件中發(fā)布，解密密鑰妥善保管。 當(dāng)A希望向B發(fā)送一個(gè)加密報(bào)文P時(shí)，A從公開(kāi)的文件中查到B的加密密鑰，用B的加密密鑰加密報(bào)文P，發(fā)送給B 。 B用自己的解密密鑰解密報(bào)文，其他任何人不可能解密該報(bào)文。 公開(kāi)密鑰和私有密鑰： 公開(kāi)密鑰：即加密密鑰，由其他人用來(lái)發(fā)送加密信息。 私有密鑰：即解密密鑰，用來(lái)解密消息。,RSA算法,密鑰計(jì)算方法： 選擇兩個(gè)大素?cái)?shù)和（典型值為大于10100） 計(jì)算 npq 和 z(p-1) (q-1) 選擇一個(gè)與 z 互質(zhì)的數(shù)，令其為 d 找到一個(gè) e 使?jié)M足 ed1 (mod z) 公開(kāi)密鑰為 (e, n)，私有密鑰為 (d, n) 加密方法： 將明文看成是一個(gè)比特串，將其劃分成一個(gè)個(gè)數(shù)據(jù)塊P，且有0Pn 。 對(duì)每個(gè)數(shù)據(jù)塊P，計(jì)算CPe (mod n)，C即為P的密文。 解密方法： 對(duì)每個(gè)密文塊C，計(jì)算PCd (mod n)，P即為要求的明文。,RSA算法舉例（1）,密鑰計(jì)算： 取p3，q11 則有n33，z20 7和20沒(méi)有公因子，可取d7 解方程7e1(mod 20)，得到e3 公鑰為（3, 33），私鑰為（7, 33） 加密： 若明文P4，則密文CPe (mod n)43 (mod 33)31。 解密： 計(jì)算PCd (mod n)317(mod 33)4，恢復(fù)出原文。,RSA的特點(diǎn),優(yōu)點(diǎn)： 安全性好。RSA的安全性建立在難于對(duì)大數(shù)提取因子的基礎(chǔ)上，這是目前數(shù)學(xué)家尚未解決的難題。 使用方便，免除了傳遞密鑰的麻煩。 缺點(diǎn)： 計(jì)算開(kāi)銷(xiāo)大，速度慢。 RSA的應(yīng)用： RSA一般用來(lái)加密少量數(shù)據(jù)，如用于鑒別、數(shù)字簽名或發(fā)送一次性會(huì)話密鑰等。,3 消息鑒別,一個(gè)消息被稱為是可信的，如果它是真實(shí)的并且來(lái)自聲稱的源。 消息鑒別： 允許通信各方檢驗(yàn)收到的消息是否可信的過(guò)程。 消息鑒別涉及兩個(gè)方面： 數(shù)據(jù)起源鑒別 數(shù)據(jù)完整性檢查,使用常規(guī)加密算法進(jìn)行消息鑒別,如果發(fā)送方和接收方共享一個(gè)秘密密鑰，使用常規(guī)加密算法進(jìn)行消息鑒別是可能的： 發(fā)送方用共享的密鑰加密整個(gè)消息，發(fā)送給接收方。 如果接收方能夠正確解密收到的消息，則消息必是可信的。 這種方法的缺點(diǎn)： 混淆了加密和鑒別兩個(gè)概念，有時(shí)我們只想知道消息是否可信，而消息本身并不需要保密。 加密整個(gè)消息會(huì)帶來(lái)不必要的計(jì)算開(kāi)銷(xiāo)。,將消息鑒別與數(shù)據(jù)保密分開(kāi),設(shè)想： 發(fā)送者用明文發(fā)送消息，并在消息后面附上一個(gè)標(biāo)簽，允許接收者利用這個(gè)標(biāo)簽來(lái)鑒別消息的真?zhèn)巍?用于鑒別消息的標(biāo)簽必須滿足兩個(gè)條件： 能夠驗(yàn)證消息的完整性，即能辨別消息是否被修改 不可能被偽造 問(wèn)題： 如何驗(yàn)證消息的完整性？ 如何保證鑒別消息的標(biāo)簽不被偽造?,消息摘要與消息的完整性,消息摘要（數(shù)字指紋）： 將一個(gè)散列函數(shù)作用到一個(gè)任意長(zhǎng)的消息m上，生成一個(gè)固定長(zhǎng)度的散列值H(m)，這個(gè)散列值稱為該消息的數(shù)字指紋，也稱消息摘要（message digest，MD）。 使用消息摘要驗(yàn)證消息的完整性： 發(fā)送者對(duì)發(fā)送的消息計(jì)算一個(gè)消息摘要，和消息一起發(fā)給接收者。 接收者對(duì)收到的消息也計(jì)算一個(gè)消息摘要，和收到的消息摘要進(jìn)行比較。,如何保證消息摘要不被修改？,方法一： 發(fā)送方先計(jì)算報(bào)文的消息摘要，然后用與接收方共享的秘密密鑰加密消息摘要，形成消息鑒別標(biāo)簽。 方法二： 發(fā)送方先計(jì)算報(bào)文的消息摘要，然后用發(fā)送方的私鑰加密消息摘要，形成消息鑒別標(biāo)簽。（這得到的其實(shí)是數(shù)字簽名）,使用加密散列函數(shù)的消息鑒別,為什么要開(kāi)發(fā)一個(gè)不需要加密算法的消息鑒別技術(shù)？ 加密軟件通常運(yùn)行得很慢，即使只加密少量的數(shù)據(jù) 加密硬件的代價(jià)是不能忽略的 加密算法可能受專(zhuān)利保護(hù)（如RSA），因而使用代價(jià)很高 加密算法可能受到出口控制（如DES），因此有些組織可能無(wú)法得到加密算法 使用加密散列函數(shù)（cryptographic hash function）的消息鑒別： 使用加密散列函數(shù)計(jì)算消息摘要時(shí)需要包含一個(gè)密鑰，但它并不用來(lái)做加密運(yùn)算。 發(fā)送方用雙方共享的一個(gè)秘密密鑰KAB添加到消息前，然后計(jì)算消息摘要：MD = H ( KAB | m )。,用于消息鑒別的散列函數(shù),用于消息鑒別的散列函數(shù)H必須滿足以下特性： H能夠作用于任意長(zhǎng)度的數(shù)據(jù)塊，并生成固定長(zhǎng)度的輸出。 對(duì)于任意給定的數(shù)據(jù)塊x，H(x)很容易計(jì)算。 對(duì)于任意給定的值h，要找到一個(gè)x滿足H(x)=h，在計(jì)算上是不可能的（單向性）。（這一點(diǎn)對(duì)使用加密散列函數(shù)的消息鑒別很重要） 對(duì)于任意給定的數(shù)據(jù)塊x，要找到一個(gè)yx并滿足H(y) = H(x)，在計(jì)算上是不可能的。（這一點(diǎn)對(duì)使用加密算法計(jì)算消息鑒別標(biāo)簽的方法很重要） 要找到一對(duì)（x, y）滿足H(y) = H(x)，在計(jì)算上是不可能的。（抵抗生日攻擊） 滿足前四個(gè)特性的散列函數(shù)稱為弱散列函數(shù)，滿足所有五個(gè)特性的散列函數(shù)稱為強(qiáng)散列函數(shù)。,散列函數(shù)標(biāo)準(zhǔn),目前使用最多的兩種散列函數(shù)： MD5：散列碼長(zhǎng)度為128比特。 SHA-1：美國(guó)聯(lián)邦政府的標(biāo)準(zhǔn)，散列碼長(zhǎng)度為160比特。 目前獲得最多支持的加密散列函數(shù)方案為HMAC（Hashed Message Authentication Code），已應(yīng)用到許多安全協(xié)議中。,4 數(shù)字簽名,一個(gè)可以替代手寫(xiě)簽名的數(shù)字簽名必須滿足以下三個(gè)條件： 接收方通過(guò)文件中的簽名能夠鑒別發(fā)送方的身份（起源鑒別） 發(fā)送方過(guò)后不能否認(rèn)發(fā)送過(guò)簽名的文件（防抵賴） 接收方不可能偽造文件的內(nèi)容,使用公開(kāi)密鑰算法的數(shù)字簽名,若使用公開(kāi)密鑰算法進(jìn)行數(shù)字簽名，則該公開(kāi)密鑰算法還必須滿足： E ( D ( P ) )P。 發(fā)送方先計(jì)算報(bào)文的消息摘要，然后用自己的私鑰加密消息摘要，形成數(shù)字簽名。數(shù)字簽名附加在消息后面一起發(fā)送。 接收方用發(fā)送方的公鑰得到原始的消息摘要，然后對(duì)收到的消息計(jì)算消息摘要，如果兩者相符，表明消息的真實(shí)性。,5 公鑰管理,對(duì)稱密鑰體系需要通信雙方事先協(xié)商好他們的共享密鑰，在一個(gè)不可靠的網(wǎng)絡(luò)中安全地分發(fā)密鑰是一個(gè)復(fù)雜的過(guò)程。 公開(kāi)密鑰體系避免了密鑰分發(fā)的問(wèn)題，卻需要解決如何安全地獲取公鑰的問(wèn)題。,公鑰認(rèn)證與證書(shū)機(jī)制,為使公鑰密碼體系有實(shí)際應(yīng)用，每個(gè)實(shí)體必須能夠確定它得到的公鑰確實(shí)來(lái)自聲稱的實(shí)體。 解決方案是引入證書(shū)機(jī)制： 使用證書(shū)（certificate）來(lái)證明某個(gè)主體（principal）擁有某個(gè)公鑰。 證書(shū)由一個(gè)可信任的第三方機(jī)構(gòu)頒發(fā)，該機(jī)構(gòu)稱為認(rèn)證權(quán)威CA（certification authority）。 證書(shū)包含主體的公鑰和CA的簽名，任何人無(wú)法篡改證書(shū)的內(nèi)容。 當(dāng)一個(gè)主體獲得證書(shū)后，可將其放在任何一個(gè)可公開(kāi)訪問(wèn)的地方。,X.509證書(shū),目前最常用的證書(shū)標(biāo)準(zhǔn)是X.509，它定義了證書(shū)的結(jié)構(gòu)和基于公鑰證書(shū)的鑒別協(xié)議。 X.509建立在公開(kāi)密鑰算法和數(shù)字簽名的基礎(chǔ)上： CA對(duì)證書(shū)內(nèi)容先進(jìn)行SHA-1散列，然后用CA的私鑰對(duì)消息摘要加密，形成數(shù)字簽名。 為驗(yàn)證公鑰證書(shū)的真實(shí)性： 驗(yàn)證方用CA的公鑰解開(kāi)證書(shū)的簽名，得到證書(shū)內(nèi)容的消息摘要。 對(duì)收到的證書(shū)內(nèi)容計(jì)算消息摘要，并與解密得到的消息摘要進(jìn)行比較，兩者相同表明這是合法的公鑰證書(shū)。,X.509證書(shū)格式,如何管理公鑰和證書(shū)？,使用一個(gè)CA簽發(fā)全世界所有的證書(shū)是不合適的。（流量壓力，單故障點(diǎn)） 由一個(gè)組織運(yùn)行多個(gè)CA也不可行。（密鑰泄露，信任問(wèn)題） 公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，它包含由不同組織運(yùn)行的CA，每個(gè)CA擁有自己的私鑰，負(fù)責(zé)為一部分用戶簽發(fā)證書(shū)。,CA的一種組織結(jié)構(gòu),(a) A hierarchical PKI. (b) A chain of certificates.,信任錨與信任鏈,信任錨（trust anchor）： 信任錨是信任的起點(diǎn)，系統(tǒng)中所有實(shí)體都以根CA的公鑰作為它們的信任錨，信任錨必須通過(guò)安全的物理途徑獲取。 信任鏈（chain of trust）： 也稱證書(shū)路徑（certification path ），指從葉結(jié)點(diǎn)到根CA的證書(shū)系列。 根CA的選擇： 實(shí)際中有許多根CA，每個(gè)根CA都有自己的一個(gè)分級(jí)結(jié)構(gòu)，所有根CA間可以進(jìn)行交叉認(rèn)證。 用戶可以自行決定信任哪個(gè)根CA。 實(shí)際上，許多根CA的公鑰被預(yù)裝在瀏覽器上，這些根CA由瀏覽器廠商認(rèn)證并嵌入到軟件中，隨軟件一起發(fā)布。,證書(shū)的撤銷(xiāo),每個(gè)證書(shū)都有有效期，過(guò)期后證書(shū)自動(dòng)失效。 CA也可以顯式地撤銷(xiāo)證書(shū)，這要求CA定期地發(fā)布證書(shū)撤銷(xiāo)列表（Certificate Revocation List，CRL），表中給出已經(jīng)撤銷(xiāo)的證書(shū)序列號(hào)。 每個(gè)用戶在使用一個(gè)證書(shū)前都要去獲取CRL，檢查該證書(shū)是否在CRL中。,證書(shū)目錄,證書(shū)存放在哪里？ 使用DNS作為證書(shū)目錄，該方案的標(biāo)準(zhǔn)為DNSSEC。 使用專(zhuān)門(mén)的目錄服務(wù)器存放證書(shū)，該方案的標(biāo)準(zhǔn)為L(zhǎng)DAP。 證書(shū)撤銷(xiāo)列表通常與證書(shū)存放在一起，CA定期地將CRL推進(jìn)目錄，由目錄負(fù)責(zé)將CRL中列出的證書(shū)清除掉。,6 通信安全,通信安全涉及將數(shù)據(jù)秘密而完整地從發(fā)送端傳送到接收端。 本節(jié)主要內(nèi)容： IP安全協(xié)議（IPSec） 虛擬專(zhuān)用網(wǎng)（VPN） 防火墻（Firewall）,6.1 IP安全協(xié)議,IP安全是整個(gè)TCP/IP安全的基礎(chǔ)，是因特網(wǎng)安全的核心。 IPv4在設(shè)計(jì)時(shí)沒(méi)有考慮安全性： 缺乏對(duì)通信雙方身份的鑒別能力，容易遭受地址欺騙攻擊。 缺乏對(duì)網(wǎng)絡(luò)中數(shù)據(jù)的完整性和機(jī)密性的保護(hù)，數(shù)據(jù)很容易被監(jiān)聽(tīng)、修改甚至劫持。 IPSec（IP Security）是指IETF以RFC形式公布的一組安全I(xiàn)P協(xié)議集，其目標(biāo)是把安全特征集成到IP層，以便對(duì)因特網(wǎng)中的安全業(yè)務(wù)提供低層的支持。,IPSec提供了一個(gè)安全體系框架,IPSec提供了一個(gè)用于集成多種安全服務(wù)、加密算法及安全控制粒度的安全體系框架。 IPSec提供的安全服務(wù)主要包括訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)起源認(rèn)證、抗重放攻擊、機(jī)密性等。 IPSec的安全機(jī)制獨(dú)立于算法，因此在選擇和改變算法時(shí)不會(huì)影響其它部分的實(shí)現(xiàn)。 IPSec提供多種安全控制粒度，包括一條TCP連接上的通信，一對(duì)主機(jī)間的通信，一對(duì)安全路由器之間的所有通信。 用戶可以為自己的數(shù)據(jù)通信選擇合適的安全服務(wù)、算法、協(xié)議和控制粒度。,IPSec的組成,從技術(shù)上說(shuō)，IPSec主要包括兩個(gè)部分: IPSec安全協(xié)議：包括AH和ESP兩個(gè)安全協(xié)議，定義了用于安全通信的IP擴(kuò)展頭和字段以提供機(jī)密性、完整性和源鑒別服務(wù)。 密鑰管理協(xié)議：定義了通信實(shí)體間進(jìn)行身份鑒別、協(xié)商加密算法以及生成共享會(huì)話密鑰的方法。 將以上兩部分綁定在一起的是稱為安全關(guān)聯(lián)（SA）的抽象。,Security Association（SA）,SA是通信對(duì)等實(shí)體之間對(duì)某些要素的協(xié)定，如使用的安全協(xié)議、協(xié)議的操作模式、使用的密碼算法、密鑰及密鑰的生存期等。 SA是兩個(gè)通信端點(diǎn)間的一個(gè)單工連接，由一個(gè)安全參數(shù)索引（SPI）唯一標(biāo)識(shí)，如果在兩個(gè)方向都需要安全通信，則需要建立兩個(gè)SA。 SPI攜帶在數(shù)據(jù)包中，由數(shù)據(jù)包的處理進(jìn)程用來(lái)查找密鑰及相關(guān)信息。 SA可以建立在一對(duì)主機(jī)之間、一臺(tái)主機(jī)與一個(gè)安全網(wǎng)關(guān)之間、或一對(duì)安全網(wǎng)關(guān)之間。,IPSec的使用模式,傳輸模式：IPSec頭被插入到原始IP頭和傳輸層頭之間，路由器根據(jù)原始IP頭轉(zhuǎn)發(fā)數(shù)據(jù)包。 隧道模式：原始數(shù)據(jù)包被封裝在一個(gè)新的IP包中，IPSec頭被放在新的IP頭和原始IP頭之間，路由器根據(jù)外層IP頭的信息轉(zhuǎn)發(fā)數(shù)據(jù)包。隧道的端點(diǎn)（外層IP頭中的地址）通常是一個(gè)支持IPSec的安全網(wǎng)關(guān)。,兩種模式的比較,傳輸模式比隧道模式占用較少的帶寬。 隧道模式更安全： 可隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)（原始IP頭不可見(jiàn)）。 內(nèi)部網(wǎng)絡(luò)上的主機(jī)可以不運(yùn)行IPSec，它們的安全性由安全網(wǎng)關(guān)來(lái)保證。 隧道模式可以將一對(duì)端點(diǎn)間的通信聚合成一個(gè)加密流，從而有效地防止入侵者進(jìn)行流量分析。,鑒別頭（Authentication Header）協(xié)議,SPI：32比特的數(shù)，和端地址合起來(lái)唯一標(biāo)識(shí)數(shù)據(jù)報(bào)的SA。 SeqNum：對(duì)SA上發(fā)送的數(shù)據(jù)包進(jìn)行編號(hào)，供接收端檢測(cè)重放攻擊。一個(gè)SA上的序號(hào)不能重用，因此在傳輸?shù)臄?shù)據(jù)包數(shù)量達(dá)到232之前，必須協(xié)商一個(gè)新的SA和新的密鑰。 Authentication Data：包含消息鑒別碼的可變長(zhǎng)度域。所有AH實(shí)現(xiàn)必須支持HMAC-MD5-96和HMAC-SHA-1-96。,AH頭在傳輸模式和隧道模式中的位置,傳輸模式,隧道模式,AH協(xié)議提供的安全服務(wù),AH協(xié)議提供無(wú)連接完整性、數(shù)據(jù)起源認(rèn)證和抗重放攻擊，但不提供機(jī)密性服務(wù)。 HMAC覆蓋數(shù)據(jù)包的載荷部分，因而可提供無(wú)連接完整性服務(wù)。 HMAC覆蓋原始IP頭中的不變域（傳輸模式）或整個(gè)原始IP頭（隧道模式），因而可提供數(shù)據(jù)起源認(rèn)證。 AH頭中有序號(hào)，且被HMAC覆蓋，因而可抵抗重放攻擊。,封裝安全載荷（Encapsulating Security Payload）,ESP數(shù)據(jù)包大致分為以下幾個(gè)部分： ESP頭：包含SPI和SeqNum。 載荷：原始數(shù)據(jù)包中被加密部分的密文。 ESP尾：包括填充（需要的話）、填充長(zhǎng)度和下一個(gè)頭，ESP尾也要被加密。 鑒別數(shù)據(jù)：覆蓋ESP頭、載荷和ESP尾的消息鑒別標(biāo)簽。,傳輸模式和隧道模式下的ESP封裝形式,(a) ESP in transport mode. (b) ESP in tunnel mode.,ESP協(xié)議提供的安全服務(wù),ESP協(xié)議提供數(shù)據(jù)機(jī)密性、無(wú)連接完整性、抗重放攻擊、數(shù)據(jù)起源鑒別和有限的數(shù)據(jù)流機(jī)密性服務(wù)： 原始數(shù)據(jù)包的載荷部分被加密，因而可提供數(shù)據(jù)機(jī)密性服務(wù)。 HMAC覆蓋數(shù)據(jù)包的載荷部分，可提供無(wú)連接完整性服務(wù)。 ESP頭中有序號(hào)，且被HMAC覆蓋，可抵抗重放攻擊。 ESP隧道模式中，原始IP頭也被HMAC覆蓋，因而ESP隧道模式可提供數(shù)據(jù)起源鑒別。 ESP隧道模式中，原始IP頭也被加密，路由器只能看到外層IP頭，因而ESP隧道模式可提供數(shù)據(jù)流機(jī)密性服務(wù)。,AH協(xié)議和ESP協(xié)議的安全性,ESP隧道模式的安全性強(qiáng)于ESP傳輸模式。 就鑒別服務(wù)而言： ESP隧道模式的鑒別服務(wù)，安全性強(qiáng)于AH。 ESP傳輸模式的鑒別服務(wù)，安全性不如AH。,6.2 虛擬專(zhuān)用網(wǎng),專(zhuān)用網(wǎng)： 通過(guò)電信專(zhuān)線將分散在各地的計(jì)算機(jī)（網(wǎng)絡(luò)）連接而成的網(wǎng)絡(luò)。 安全性好，但代價(jià)高。 虛擬專(zhuān)用網(wǎng)（Virtual Private Network）： 建立在公用網(wǎng)上的一個(gè)覆蓋網(wǎng)絡(luò)（overlay），具有專(zhuān)用網(wǎng)的大部分特性。,專(zhuān)用網(wǎng)和虛擬專(zhuān)用網(wǎng),(a) A leased-line private network. (b) A virtual private network.,虛擬專(zhuān)用網(wǎng)的實(shí)現(xiàn),VPN的典型結(jié)構(gòu)： 在每個(gè)局域網(wǎng)上設(shè)置一個(gè)安全網(wǎng)關(guān)，在每一對(duì)安全網(wǎng)關(guān)間創(chuàng)建一條穿過(guò)因特網(wǎng)的隧道，在隧道中使用IPSec。 系統(tǒng)建立時(shí)，每一對(duì)安全網(wǎng)關(guān)必須協(xié)商它們的SA參數(shù)，此后在它們之間傳輸?shù)臄?shù)據(jù)流就綁定到這個(gè)SA上。,VPN的優(yōu)點(diǎn),可以在一對(duì)局域網(wǎng)間提供完整性控制及機(jī)密性服務(wù)，甚至對(duì)流量分析也有相當(dāng)?shù)牡钟芰Α?對(duì)因特網(wǎng)中的路由器及用戶軟件是透明的，只要系統(tǒng)管理員設(shè)置好安全網(wǎng)關(guān)就可以了，安全網(wǎng)關(guān)會(huì)自動(dòng)建立和管理SA。 防火墻、VPN和IPSec（特別是隧道模式下的ESP）是實(shí)踐中最常見(jiàn)的組合。,6.3 防火墻（Firewall）,防火墻： 在可信的內(nèi)部網(wǎng)絡(luò)（專(zhuān)用網(wǎng)絡(luò)）與不可信的外部網(wǎng)絡(luò)（公用網(wǎng)絡(luò)）之間執(zhí)行訪問(wèn)控制策略的一個(gè)硬件或軟件系統(tǒng)，目的是保護(hù)內(nèi)部網(wǎng)絡(luò)免受來(lái)自外部網(wǎng)絡(luò)的攻擊。 防火墻提供可控的通信過(guò)濾服務(wù)。 防火墻的設(shè)計(jì)目標(biāo)： 所有進(jìn)出網(wǎng)絡(luò)的流量必須通過(guò)防火墻 只允許合法的流量通過(guò)防火墻 從理論上說(shuō)，防火墻是穿不透的,防火墻的典型結(jié)構(gòu),防火墻的典型結(jié)構(gòu)（續(xù)）,由兩個(gè)分組過(guò)濾路由器和一個(gè)應(yīng)用網(wǎng)關(guān)組成： 分組過(guò)濾路由器：利用 IP頭及傳輸層報(bào)頭的某些域（IP地址、端口、協(xié)議類(lèi)型等）過(guò)濾分組。 應(yīng)用網(wǎng)關(guān)：根據(jù)應(yīng)用層的信息（應(yīng)用層協(xié)議的域、報(bào)文內(nèi)容等）過(guò)濾分組。 兩個(gè)分組過(guò)濾路由器分別位于外網(wǎng)和內(nèi)網(wǎng)上并通過(guò)應(yīng)用網(wǎng)關(guān)相連，迫使每個(gè)分組必須通過(guò)應(yīng)用網(wǎng)關(guān)的檢查。 應(yīng)用網(wǎng)關(guān)通常運(yùn)行在一個(gè)獨(dú)立的計(jì)算機(jī)系統(tǒng)（稱堡壘主機(jī)）上。堡壘主機(jī)必須是非常安全的，其操作系統(tǒng)必須具有較高的安全級(jí)別，并只安裝必需的網(wǎng)絡(luò)服務(wù)。,防火墻的基本機(jī)制（1）,分組過(guò)濾（packet filtering）： 分組過(guò)濾路由器按照配置的訪問(wèn)控制列表（Access Control List，ACL）轉(zhuǎn)發(fā)或丟棄分組。 分組過(guò)濾通?；诜纸M的以下域進(jìn)行：源/目的IP地址，源/目的傳輸層端口，協(xié)議字段。 優(yōu)點(diǎn)：運(yùn)行速度快。 缺點(diǎn)： 控制粒度粗，無(wú)法基于用戶身份或消息內(nèi)容進(jìn)行過(guò)濾。 內(nèi)部主機(jī)地址暴露。,防火墻的基本機(jī)制（2）,應(yīng)用代理（application proxy）： 代理是運(yùn)行在堡壘主機(jī)上的特定應(yīng)用程序或服務(wù)程序，其作用是在用戶與外部服務(wù)器之間中繼應(yīng)用層流量。 用戶并不與外部服務(wù)器建立直接的TCP連接，用戶只與堡壘主機(jī)建立連接，而堡壘主機(jī)與外部服務(wù)器建立連接。 優(yōu)點(diǎn)： 外部服務(wù)器只能看到堡壘主機(jī)，內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)對(duì)外是完全屏蔽的。 能夠?qū)崿F(xiàn)基于用戶身份和內(nèi)容的過(guò)濾。 除公共可訪問(wèn)的服務(wù)器外，其余內(nèi)部主機(jī)可以使用私有地址。 缺點(diǎn)： 必須為每一個(gè)支持的應(yīng)用安裝代理，每一個(gè)應(yīng)用會(huì)話都必須被代理，處理開(kāi)銷(xiāo)大，對(duì)網(wǎng)絡(luò)速度的影響較大。,防火墻的局限性,防火墻不能抵抗以下攻擊： 偽造數(shù)據(jù)包的源地址，以逃過(guò)地址過(guò)濾。 對(duì)文件進(jìn)行加密或?qū)⑽募呙璩蒍PEG文件，以逃過(guò)字符過(guò)濾器的檢查。 來(lái)自防火墻內(nèi)部的攻擊 拒絕服務(wù)（DoS）攻擊 ,6.4 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）,網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation）技術(shù)允許在網(wǎng)絡(luò)內(nèi)部使用專(zhuān)用地址，而僅使用全局地址訪問(wèn)因特網(wǎng)。,網(wǎng)絡(luò)地址轉(zhuǎn)換器（NAT box）,NAT box負(fù)責(zé)在兩種地址之間進(jìn)行轉(zhuǎn)換： 對(duì)于外出的分組：將分組的源地址替換為自己的全局地址。 對(duì)于進(jìn)入的分組：將分組的目的地址更換為相應(yīng)節(jié)點(diǎn)的專(zhuān)用地址。,如何確定進(jìn)入分組的目的地址？,靜態(tài)地址轉(zhuǎn)換（NAT box使用一個(gè)IP地址）： 通信必須由專(zhuān)用網(wǎng)發(fā)起，NAT box 記錄外出分組的，然后轉(zhuǎn)換源地址。 收到進(jìn)入分組時(shí)，NAT box 用分組的源地址查找地址轉(zhuǎn)換表，確定目的地址。 這種方法只允許同時(shí)有一臺(tái)內(nèi)部主機(jī)連接到一臺(tái)特定的外部主機(jī)上。,只使用一個(gè)IP地址的NAT方案,動(dòng)態(tài)地址轉(zhuǎn)換,NAT box使用有N個(gè)全局地址的地址池： 通信由專(zhuān)用網(wǎng)發(fā)起，NAT box 從地址池中選擇一個(gè)作為源地址，進(jìn)行源地址轉(zhuǎn)換，并在相應(yīng)的地址轉(zhuǎn)換表中記錄地址綁定。地址池中的每個(gè)地址使用一個(gè)地址轉(zhuǎn)換表。 收到進(jìn)入分組時(shí)，NAT box 用分組的目的地址確定要查找的地址轉(zhuǎn)換表，然后用分組的源地址確定目的地址。 最多允許有N臺(tái)內(nèi)部主機(jī)同時(shí)連接到一臺(tái)外部主機(jī)上。,NAT和ISP,將客戶分組，每一組對(duì)應(yīng)一個(gè)全局地址，每一組使用一個(gè)地址轉(zhuǎn)換表。,端口地址轉(zhuǎn)換,NAT box將請(qǐng)求分組的源地址和源端口號(hào)轉(zhuǎn)換為一個(gè)全局IP地址和大于1024的端口號(hào)，在端口地址轉(zhuǎn)換表中記錄該綁定。 NAT box利用響應(yīng)分組中的目的地址和目的端口號(hào)查表，找到對(duì)應(yīng)的內(nèi)部地址和端口號(hào)，進(jìn)行轉(zhuǎn)換。 允許專(zhuān)用網(wǎng)主機(jī)和外部服務(wù)器程序之間有多對(duì)多的關(guān)系。,7 鑒別服務(wù),鑒別服務(wù)主要用于鑒別通信雙方的身份，并傳遞一個(gè)會(huì)話密鑰。 目前有兩種主要的鑒別協(xié)議： Kerberos：基于對(duì)稱加密技術(shù)的鑒別協(xié)議，目前已獲得廣泛支持并用于許多系統(tǒng)中。 X.509：提供基于公鑰加密技術(shù)的鑒別服務(wù)。,X.509的鑒別服務(wù),X.509定義了三種鑒別程序，供不同的應(yīng)用選擇： 單向鑒別：涉及一個(gè)用戶到另一個(gè)用戶的一次消息傳輸。 雙向鑒別：允許通信的雙方相互鑒別。 三向鑒別：允許通信雙方相互鑒別，并提供消息同步機(jī)制。,單向鑒別（one-way authentication）,AB：tA |rA| IDB | sgnData | EKUbKab | signatureA 說(shuō)明： tA：時(shí)間戳，由消息的產(chǎn)生時(shí)間和到期時(shí)間組成，供接收者判斷消息是否過(guò)時(shí)。 rA：A隨機(jī)選擇的一個(gè)序號(hào)，供接收者檢測(cè)重放攻擊。 IDB：B的標(biāo)識(shí)，指示消息的接收者。 sgnData：消息中包含的信息，被簽名覆蓋以保證真實(shí)性和完整性。 Kab ：若sgnData需要保密，則Kab為A加密sgnData使用的密鑰。 KUb ：B的公開(kāi)密鑰，用于加密會(huì)話密鑰Kab。 signatureA ：A的數(shù)字簽名，對(duì)tA、rA、IDB和sgnData的明文生成。 B用自己的私鑰解出Kab，用Kab解密sgnData，計(jì)算前面4個(gè)部分的消息摘要，用自己的公鑰從簽名中得到原始的消息摘要。,雙向鑒別和三向鑒別,雙向鑒別（two-way authentication）： AB：tA | rA | IDB | sgnData | EKUb Kab | signatureA BA：tB | rB | IDA | rA| sgnData | EKUaKba | signatureB 三向鑒別（three-way authentication）： AB：tA | rA | IDB | sgnData | EKUb Kab | signatureA BA：tB | rB | IDA | rA| sgnData | EKUaKba | signatureB AB：rB | signatureA,8 電子郵件安全,電子郵件的安全包括真實(shí)性和機(jī)密性兩個(gè)方面。 目前最流行的兩個(gè)安全電子郵件協(xié)議： PGP：一個(gè)開(kāi)放源碼的安全電子郵件軟件包，提供對(duì)郵件的保密、鑒別、數(shù)字簽名和壓縮服務(wù)。PGP較多地用于個(gè)人電子郵件安全。 S/MIME：基于公鑰加密技術(shù)對(duì)MIME所做的安全擴(kuò)充。S/MIME較可能作為一種工業(yè)標(biāo)準(zhǔn)被商業(yè)組織或一些機(jī)構(gòu)使用。,8.1 Pretty Good Privacy（PGP）,PGP提供五種服務(wù)： 鑒別，機(jī)密性，壓縮，兼容電子郵件，分段 鑒別： PGP使用基于公開(kāi)密鑰的數(shù)字簽名提供鑒別服務(wù)。 過(guò)程： 發(fā)送方創(chuàng)建電子郵件（消息）。 用SHA-1計(jì)算郵件的消息摘要，然后用發(fā)送者的私鑰加密消息摘要，形成數(shù)字簽名。 將數(shù)字簽名附在消息的前面，與消息一起發(fā)送： Sgn | Data。,PGP的機(jī)密性服務(wù),PGP使用對(duì)稱密鑰算法保護(hù)郵件的機(jī)密性。一次性會(huì)話密鑰用接收方的公鑰加密后，與消息一起發(fā)送給接收方。 僅使用機(jī)密性服務(wù)的過(guò)程： 發(fā)送方（A）生成一個(gè)消息和一個(gè)隨機(jī)的128比特?cái)?shù)（會(huì)話密鑰）。 先用會(huì)話密鑰加密消息，再用接收方（B）的公鑰加密會(huì)話密鑰。 將加密后的會(huì)話密鑰放在消息前面，與消息一起發(fā)送： EKUb(KAB) | EKAB(Data),鑒別 + 機(jī)密性服務(wù),同時(shí)使用鑒別和機(jī)密性服務(wù)的過(guò)程： 發(fā)送方對(duì)明文消息計(jì)算一個(gè)簽名，將簽名加在消息的前面。 用會(huì)話密鑰對(duì)簽名和明文消息一起加密。 用接收方的公鑰加密會(huì)話密鑰，放在消息的前面： EKUb(KAB) | EKAB (Sgn | Data),PGP的壓縮服務(wù),缺省地，PGP在完成簽名之后、在加密消息之前對(duì)消息進(jìn)行壓縮，壓縮算法采用ZIP： EKUb(KAB) | EKAB (Zip (Sgn | Data) 在壓縮消息之前計(jì)算數(shù)字簽名，是為了方便日后對(duì)消息的驗(yàn)證。 在加密消息之前進(jìn)行壓縮，一方面可以減少要加密的數(shù)據(jù)量，另一方面壓縮后的消息冗余很少，增加密碼分析的困難。,PGP的兼容電子郵件服務(wù),PGP使用Base64編碼將二進(jìn)制數(shù)據(jù)流轉(zhuǎn)換成可打印ASCII文本，以解決郵件的傳輸問(wèn)題。 PGP可被配置為僅對(duì)消息中的某些部分（如簽名部分）進(jìn)行Base64編碼轉(zhuǎn)換。,鑒別 + 機(jī)密性 + 壓縮 + 兼容性,同時(shí)使用以上四種服務(wù)的過(guò)程： 發(fā)送方先對(duì)明文消息計(jì)算簽名，將簽名放在消息前面。 簽名與明文一起被壓縮。 用會(huì)話密鑰對(duì)壓縮后的數(shù)據(jù)塊進(jìn)行加密。 用接收方的公鑰加密會(huì)話密鑰，放在消息的前面。 將整個(gè)數(shù)據(jù)塊轉(zhuǎn)換成Base64編碼格式： EncodeBase64(EKUb(KAB) | EKAB (Zip (Sgn | Data),PGP的郵件分段服務(wù),許多電子郵件系統(tǒng)能夠接收的最大消息長(zhǎng)度不超過(guò)50,000字節(jié)。 PGP在完成對(duì)消息的全部處理后，自動(dòng)將超過(guò)長(zhǎng)度的消息分成小塊傳輸，會(huì)話密鑰和簽名只在第一個(gè)片段中出現(xiàn)。 接收端去掉每個(gè)片段的信頭，然后將所有的片段重新組裝成一個(gè)數(shù)據(jù)塊。,使用PGP發(fā)送一個(gè)消息,PGP的密鑰管理,PGP使用4種密鑰： 一次性會(huì)話密鑰，公開(kāi)密鑰，私有密鑰，基于短語(yǔ)的對(duì)稱密鑰。 對(duì)密鑰的要求： 一次性會(huì)話密鑰必須是不可預(yù)測(cè)的。 用戶可以同時(shí)擁有多個(gè)公鑰/私鑰對(duì)，因而需要有一種方法來(lái)標(biāo)識(shí)不同的密鑰。,一次性會(huì)話密鑰的產(chǎn)生,PGP一般使用CAST-128加密算法加密消息，一次性會(huì)話密鑰由CAST-128自己產(chǎn)生： 將一個(gè)128比特的密鑰和兩個(gè)64比特的數(shù)據(jù)塊輸入一個(gè)隨機(jī)數(shù)生成器，這兩個(gè)64比特的數(shù)據(jù)塊作為明文被加密，生成的兩個(gè)64比特密文塊串接在一起形成128比特的會(huì)話密鑰。 作為明文的128比特?cái)?shù)據(jù)來(lái)自用戶鍵盤(pán)輸入產(chǎn)生的隨機(jī)數(shù)流。 這個(gè)隨機(jī)輸入與CAST-128前一次輸出的會(huì)話密鑰相結(jié)合，形成隨機(jī)數(shù)生成器使用的加密密鑰。,密鑰標(biāo)識(shí),PGP用公鑰的最低64比特作為該公鑰的ID，用戶ID和密鑰ID（幾乎）可以唯一地標(biāo)識(shí)一個(gè)密鑰。 實(shí)際上，消息的簽名部分包括4個(gè)字段： 生成簽名的時(shí)間戳 數(shù)字簽名 消息摘要的前兩個(gè)字節(jié) 發(fā)送者公鑰的ID 消息的會(huì)話密鑰也包含2個(gè)字段： 用接收者公鑰加密的會(huì)話密鑰 接收者公鑰的ID,密鑰環(huán)（key ring）,PGP在每個(gè)節(jié)點(diǎn)上用私鑰環(huán)和公鑰環(huán)保存密鑰。 私鑰環(huán) 保存用戶自己的公鑰/私鑰對(duì)，由用戶ID或密鑰ID索引。 私鑰用CAST-128（或IDEA，3DES）加密后放入私鑰環(huán)。 公鑰環(huán) 用于保存其他用戶的公鑰，由用戶ID或密鑰ID索引。 每一項(xiàng)對(duì)應(yīng)一個(gè)公鑰證書(shū)。,私鑰的存儲(chǔ),私鑰加密后放入私鑰環(huán)： 當(dāng)系統(tǒng)生成一個(gè)公鑰/私鑰對(duì)時(shí)，要求用戶輸入一個(gè)用于加密私鑰的短語(yǔ)。 用戶選擇一個(gè)短語(yǔ)，系統(tǒng)用SHA-1得到該短語(yǔ)的散列碼（160比特），將短語(yǔ)丟棄。 系統(tǒng)用散列碼中的128比特作為密鑰，采用某種加密算法對(duì)私鑰進(jìn)行加密，然后將散列碼丟棄。 當(dāng)用戶想從密鑰環(huán)獲取一個(gè)私鑰時(shí)，他必須提供相應(yīng)的短語(yǔ)；PGP計(jì)算短語(yǔ)的散列碼，從中得到密鑰，然后解密私鑰。,公鑰管理,PGP使用一種以用戶為中心的