計算機網(wǎng)絡(luò)（第32講）第9章 網(wǎng)絡(luò)安全

1、9.2 密碼學(xué)基礎(chǔ) 密碼學(xué)保證在新的信息社會中的授權(quán)、認(rèn)證、完整性、機密性以及所有通信和數(shù)據(jù)交換的不可否認(rèn)性。這些保證是建立在以下安全服務(wù)的基礎(chǔ)之上： 機密性通過加密實現(xiàn)認(rèn)證通過數(shù)字簽名和數(shù)字證書實現(xiàn)誠信用公鑰解密數(shù)字簽名以獲取消息摘要，對消息進(jìn)行哈希處理創(chuàng)建第二個摘要，如果摘要相同則說明該消息是真實的，簽名者的身份得到證明不可否認(rèn)性哈希處理過的消息的數(shù)字簽名利用發(fā)件人的秘鑰加密結(jié)果，將數(shù)字簽名與發(fā)生的消息綁定起來不可重放加密，哈希和數(shù)字簽名明文 X 截獲密文 Y1、一般的數(shù)據(jù)加密模型 加密密鑰 K明文 X密文 Y截取者篡改ABE 運算加密算法D 運算解密算法因特網(wǎng)解密密鑰 K一些重要概念 密

2、碼編碼學(xué)(cryptography)是密碼體制的設(shè)計學(xué)，而密碼分析學(xué)(cryptanalysis)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)(cryptology)。如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來唯一地確定出對應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。如果密碼體制中的密碼不能被可使用的計算資源破譯，則這一密碼體制稱為在計算上是安全的。 2、密碼系統(tǒng)的組成一個密碼系統(tǒng)由如下4個基本組成部分：明文P將被發(fā)送的原信息。密碼系統(tǒng)或一種密碼由數(shù)學(xué)的加密E和解密D算法所組成。密文C在將原文件發(fā)送給收件人之前

3、應(yīng)用加密算法對原始信息加密后的結(jié)果。密鑰K在加密和解密過程中被兩種數(shù)學(xué)算法使用的比特串。3、加密類型密碼可以是序列密碼也可以是分組密碼。序列密碼依賴于密鑰序列函數(shù)派生出來的密鑰流。然后將密鑰和算法一次一個地應(yīng)用到每一個比特上。分組密碼將信息分解成塊，并且每一塊結(jié)合了一個密鑰?；诿荑€的加密算法可以是對稱的，即通常所謂的傳統(tǒng)加密，也可以是不對稱的加密算法，也被稱為公共密鑰加密。對稱算法實際上是基于秘密密鑰的，這里加密算法和解密算法使用相同的密鑰進(jìn)行加密和解密。非對稱或公共密鑰算法與對稱的不同，使用不同的密鑰進(jìn)行加密和解密，而解密密鑰不能從加密密鑰中推導(dǎo)出來。 9.2.1 對稱密鑰密碼體制 所謂常

4、規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。1、數(shù)據(jù)加密標(biāo)準(zhǔn) DES數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對整個明文進(jìn)行分組。每一個組長為 64 位。然后對每一個 64 位 二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組 64 位密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個的密文。使用的密鑰為 64 位（實際密鑰長度為 56 位，有 8 位用于奇偶校驗)。 DES 的保密性DES 的保密性僅取決于對密鑰的保密，而算法是公開的。盡管人們在破譯 DES 方面取得了許多進(jìn)展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES 是世界上第一

5、個公認(rèn)的實用密碼算法標(biāo)準(zhǔn)，它曾對密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。目前較為嚴(yán)重的問題是 DES 的密鑰的長度?，F(xiàn)在已經(jīng)設(shè)計出來搜索 DES 密鑰的專用芯片。 2、其他的對稱加密算法3DES從最初的由56比特有效密鑰和8比特奇偶校驗位組成的64比特密碼DES發(fā)展而來， 3DES按8字節(jié)塊加密數(shù)據(jù)，經(jīng)過16次不同的迭代復(fù)雜移位，異或，替代并沿著64比特數(shù)據(jù)分組密鑰擴展組成。其他的對稱加密算法包括：美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST提出了高級加密標(biāo)準(zhǔn)AES，用來取代DES。IDEA (國際數(shù)據(jù)加密標(biāo)準(zhǔn))，Blowfish，Rivest Cipher 4 (RC4)，RC5和CAST-128。9.2.2 公鑰

6、密碼體制公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計算上是不可行的”密碼體制。 公鑰密碼體制的產(chǎn)生主要是因為兩個方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問題，另一是由于對數(shù)字簽名的需求。現(xiàn)有最著名的公鑰密碼體制是RSA 體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學(xué)家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式發(fā)表的。加密密鑰與解密密鑰 在公鑰密碼體制中，加密密鑰(即公鑰) PK 是公開信息，而解密密鑰(即私鑰或秘鑰) SK 是需要保密的。加密算法 E 和解密算法 D 也都是公開的。雖然秘鑰 S

7、K 是由公鑰 PK 決定的，但卻不能根據(jù) PK 計算出 SK。 應(yīng)當(dāng)注意 任何加密方法的安全性取決于密鑰的長度，以及攻破密文所需的計算量。在這方面，公鑰密碼體制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。 由于目前公鑰加密算法的開銷較大，在可見的將來還看不出來要放棄傳統(tǒng)的加密方法。公鑰還需要密鑰分配協(xié)議，具體的分配過程并不比采用傳統(tǒng)加密方法時更簡單。 公鑰算法的特點 發(fā)送者 A 用 B 的公鑰 PKB 對明文 X 加密（E 運算）后，在接收者 B 用自己的私鑰 SKB 解密（D 運算），即可恢復(fù)出明文： (7-4) 解密密鑰是接收者專用的秘鑰，對其他人都保密。加密密鑰是公開的，但不能用它來解密，即 (

8、7-5)公鑰算法的特點（續(xù)）加密和解密的運算可以對調(diào)，即 在計算機上可容易地產(chǎn)生成對的 PK 和 SK。從已知的 PK 實際上不可能推導(dǎo)出 SK，即從 PK 到 SK 是“計算上不可能的”。加密和解密算法都是公開的。（7-6）公鑰密碼體制 密文Y E 運算加密算法D 運算解密算法加密解密明文 X明文 X ABB 的私鑰 SKB密文Y 因特網(wǎng)B 的公鑰 PKB公鑰加密算法公鑰加密有多種算法，包括RSA，DSA，PGP和EI Gamal等。9.3 數(shù)字簽名數(shù)字簽名必須保證以下三點：(1) 報文鑒別接收者能夠核實發(fā)送者對報文的簽名；(2) 報文的完整性發(fā)送者事后不能抵賴對報文的簽名；(3) 不可否認(rèn)

9、接收者不能偽造對報文的簽名?，F(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法。但采用公鑰算法更容易實現(xiàn)。 密文 數(shù)字簽名的實現(xiàn)過程 D運算明文 X明文 X ABA 的私鑰 SKA因特網(wǎng)簽名 核實簽名E運算密文 A 的公鑰 PKA數(shù)字簽名的實現(xiàn)因為除 A 外沒有別人能具有 A 的私鑰，所以除 A 外沒有別人能產(chǎn)生這個密文。因此 B 相信報文 X 是 A 簽名發(fā)送的。若 A 要抵賴曾發(fā)送報文給 B，B 可將明文和對應(yīng)的密文出示給第三者。第三者很容易用 A 的公鑰去證實 A 確實發(fā)送 X 給 B。反之，若 B 將 X 偽造成 X，則 B 不能在第三者前出示對應(yīng)的密文。這樣就證明了 B 偽造了報文。 具有保密性的數(shù)

10、字簽名 核實簽名解密 加密 簽名 E 運算D 運算明文 X明文 X ABA 的私鑰 SKA因特網(wǎng)E 運算B 的私鑰 SKBD 運算加密與解密簽名與核實簽名B 的公鑰 PKBA 的公鑰 PKA密文9.4 鑒別在信息的安全領(lǐng)域中，對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改和偽造則要用鑒別(authentication) 。報文鑒別使得通信的接收方能夠驗證所收到的報文（發(fā)送者和報文內(nèi)容、發(fā)送時間、序列等）的真?zhèn)?。使用加密就可達(dá)到報文鑒別的目的。但在網(wǎng)絡(luò)的應(yīng)用中，許多報文并不需要加密。應(yīng)當(dāng)使接收者能用很簡單的方法鑒別報文的真?zhèn)巍?鑒別與授權(quán)不同鑒別與授權(quán)(authorization)是不同的

11、概念。授權(quán)涉及到的問題是：所進(jìn)行的過程是否被允許（如是否可以對某文件進(jìn)行讀或?qū)懀?9.4.1 報文鑒別 許多報文并不需要加密但卻需要數(shù)字簽名，以便讓報文的接收者能夠鑒別報文的真?zhèn)巍Ｈ欢鴮荛L的報文進(jìn)行數(shù)字簽名會使計算機增加很大的負(fù)擔(dān)（需要進(jìn)行很長時間的運算。當(dāng)我們傳送不需要加密的報文時，應(yīng)當(dāng)使接收者能用很簡單的方法鑒別報文的真?zhèn)巍笪恼?MD (Message Digest)A 將報文 X 經(jīng)過報文摘要算法運算后得出很短的報文摘要 H。然后然后用自己的私鑰對 H 進(jìn)行 D 運算，即進(jìn)行數(shù)字簽名。得出已簽名的報文摘要 D(H)后，并將其追加在報文 X 后面發(fā)送給 B。 B 收到報文后首先把已

12、簽名的 D(H) 和報文 X 分離。然后再做兩件事。用A的公鑰對 D(H) 進(jìn)行E運算，得出報文摘要 H 。對報文 X 進(jìn)行報文摘要運算，看是否能夠得出同樣的報文摘要 H。如一樣，就能以極高的概率斷定收到的報文是 A 產(chǎn)生的。否則就不是。 報文摘要的優(yōu)點僅對短得多的定長報文摘要 H 進(jìn)行數(shù)字簽名要比對整個長報文進(jìn)行數(shù)字簽名要簡單得多，所耗費的計算資源也小得多。但對鑒別報文 X 來說，效果是一樣的。也就是說，報文 X 和已簽名的報文摘要 D(H) 合在一起是不可偽造的，是可檢驗的和不可否認(rèn)的。 報文摘要算法報文摘要算法就是一種散列函數(shù)。這種散列函數(shù)也叫做密碼編碼的檢驗和。報文摘要算法是防止報文被

13、人惡意篡改。 報文摘要算法是精心選擇的一種單向函數(shù)?？梢院苋菀椎赜嬎愠鲆粋€長報文 X 的報文摘要 H，但要想從報文摘要 H 反過來找到原始的報文 X，則實際上是不可能的。若想找到任意兩個報文，使得它們具有相同的報文摘要，那么實際上也是不可能的。 報文摘要的實現(xiàn) A比較簽名 核實簽名報文 XHD 運算D(H)A 的私鑰報文 XD(H)B報文摘要報文 XD(H)發(fā)送 E 運算H簽名的報文摘要H報文摘要運算A 的公鑰報文摘要運算報文摘要報文摘要因特網(wǎng)9.4.2 實體鑒別 實體鑒別和報文鑒別不同。報文鑒別是對每一個收到的報文都要鑒別報文的發(fā)送者，而實體鑒別是在系統(tǒng)接入的全部持續(xù)時間內(nèi)對和自己通信的對方

14、實體只需驗證一次。 最簡單的實體鑒別過程 A 發(fā)送給 B 的報文的被加密，使用的是對稱密鑰 KAB。B 收到此報文后，用共享對稱密鑰 KAB 進(jìn)行解密，因而鑒別了實體 A 的身份。 ABA, 口令KAB明顯的漏洞入侵者 C 可以從網(wǎng)絡(luò)上截獲 A 發(fā)給 B 的報文。C 并不需要破譯這個報文（因為這可能很花很多時間）而可以直接把這個由 A 加密的報文發(fā)送給 B，使 B 誤認(rèn)為 C 就是 A。然后 B 就向偽裝是 A 的 C 發(fā)送應(yīng)發(fā)給 A 的報文。這就叫做重放攻擊(replay attack)。C 甚至還可以截獲 A 的 IP 地址，然后把 A 的 IP 地址冒充為自己的 IP 地址（這叫做 IP

15、 欺騙），使 B 更加容易受騙。 使用不重數(shù)為了對付重放攻擊，可以使用不重數(shù)(nonce)。不重數(shù)就是一個不重復(fù)使用的大隨機數(shù)，即“一次一數(shù)”。 使用不重數(shù)進(jìn)行鑒別 ABA, RARBKABRARBKAB,時間中間人攻擊 AB我是 A中間人 C我是 ARBRBSKC請把公鑰發(fā)來PKCRBRBSKA請把公鑰發(fā)來PKADATAPKCDATAPKA時間中間人攻擊說明A 向 B 發(fā)送“我是 A”的報文，并給出了自己的身份。此報文被“中間人” C 截獲，C 把此報文原封不動地轉(zhuǎn)發(fā)給 B。B 選擇一個不重數(shù) RB 發(fā)送給 A，但同樣被 C 截獲后也照樣轉(zhuǎn)發(fā)給 A。中間人 C 用自己的私鑰 SKC 對 RB

16、 加密后發(fā)回給 B，使 B 誤以為是 A 發(fā)來的。A 收到 RB 后也用自己的私鑰 SKA 對 RB 加密后發(fā)回給 B，中途被 C 截獲并丟棄。B 向 A 索取其公鑰，此報文被 C截獲后轉(zhuǎn)發(fā)給 A。C 把自己的公鑰 PKC 冒充是 A 的發(fā)送給 B，而 C 也截獲到 A 發(fā)送給 B 的公鑰 PKA。B 用收到的公鑰 PKC（以為是 A 的）對數(shù)據(jù)加密發(fā)送給 A。C 截獲后用自己的私鑰 SKC 解密，復(fù)制一份留下，再用 A 的公鑰 PKA 對數(shù)據(jù)加密后發(fā)送給 A。A 收到數(shù)據(jù)后，用自己的私鑰 SKA 解密，以為和B進(jìn)行了保密通信。其實，B發(fā)送給A的加密數(shù)據(jù)已被中間人 C 截獲并解密了一份。但 A

17、 和 B 卻都不知道。 9.5 密鑰分配 密鑰管理包括：密鑰的產(chǎn)生、分配、注入、驗證和使用。本節(jié)只討論密鑰的分配。密鑰分配是密鑰管理中最大的問題。密鑰必須通過最安全的通路進(jìn)行分配。目前常用的密鑰分配方式是設(shè)立密鑰分配中心 KDC (Key Distribution)，通過 KDC 來分配密鑰。 9.5.1 對稱密鑰的分配目前常用的密鑰分配方式是設(shè)立密鑰分配中心 KDC (Key Distribution Center)。KDC 是大家都信任的機構(gòu)，其任務(wù)就是給需要進(jìn)行秘密通信的用戶臨時分配一個會話密鑰（僅使用一次）。用戶 A 和 B 都是 KDC 的登記用戶，并已經(jīng)在 KDC 的服務(wù)器上安裝了各自和 KDC 進(jìn)行通信的主密鑰（master key）KA 和 KB。 “主密鑰”可簡稱為“密鑰”。 對稱密鑰的分配AB密鑰分配中心KDCA, B, KABKB用戶專用主密鑰用戶 主密鑰 A KA B KB A, B, KABKABKBKA,時間A, BABKerberosAASTGSTKAB, A, KABKBT +