1、第11章 網 絡 安 全,網絡安全和威脅,報文保密性： 對稱密鑰密碼體制,報文保密性： 不對稱密鑰加密法,報文完整性： 采用報文摘要,報文鑒別：防偽造,實 體 鑒 別,網絡層安全,運輸層安全,應用層的安全,防火墻：防止非法接入,11.1 網絡安全和威脅,先來討論網絡安全的3個目標：保密性、完整性和有效性。 上述3個安全目標可能會受到安全攻擊的威脅，圖11.1所示為攻擊的分類。,11.1 網絡安全和威脅,1威脅保密性的攻擊 一般來說，有兩種類型的攻擊會威脅到信息的保密性：竊取和通信量分析。 2威脅完整性的攻擊 數據的完整性可能會受到多種類型的攻擊：更改、偽裝、重放和否認。 3威脅有效性的攻擊 拒

2、絕服務（DoS）是一種很常見的攻擊。它會使一個系統的服務變得越來越慢，甚至完全中斷服務。,11.2 報文保密性：對稱密鑰密碼體制,11.2.1 對稱密鑰密碼體制 所謂對稱密鑰密碼體制，即加密密鑰與解密密鑰采用相同的密碼體制。,11.2.2 DES對稱密鑰密碼體制,DES是一種分組密碼。在加密前，先對整個明文進行分組。 每一個組為64位長的二進制數據。然后對每一個64位二進制數據進行加密處理，產生一組64位密文數據。 最后將各組密文串接起來，即得出整個密文。 使用的密鑰為64位（實際密鑰長度為56位，有8位用于奇偶校驗）。,11.2.3 對稱密鑰協商,生成一個對稱密鑰之前，雙方需要選擇兩個數p和

3、g。 這兩個數可以通過因特網發送，是可公開的。,11.2.3 對稱密鑰協商,【例11.1】假設g=7且p=23（實際情況這個數應當很大），計算對稱會話密鑰。 步驟如下： （1）A選擇一個隨機的大數s，讓0spl，并計算R1=gs mod p。 （2）A把R1發送給B。 （3）B選擇另一個隨機的大數t，讓0tpl，并計算R2=gt mod p。 （4）B把R2發送給A。 （5）A計算K=(R2)s mod p=43 mod 23=18。 B也計算K=(R1)t mod p=216 mod 23=18。 K就是這次會話使用的對稱密鑰，A和B得出的K值是相同的，因為： A計算K=(R2)s mod

4、p=(gt mod p)s mod p=gst mod p B計算K=(R1)t mod p=(gs mod p)t mod p=gst mod p 而K=gst mod p=736 mod 23=18,11.2.4 密鑰分配中心：KDC,把整個世界劃分為幾個區，每個區都可以有一個或多個KDC，這些KDC可以分為本地KDC、國家KDC和國際KDC。 圖11.4描繪了分級的多KDC的配置。,11.2.5 KDC生成會話密鑰,為了建立會話密鑰，人們已經提出了多種不同的方法。,11.3 報文保密性：不對稱密鑰加密法,11.3.1 不對稱密鑰加密法 不對稱密鑰加密術使用了兩個獨立的密鑰：一個私鑰和一個

5、公鑰。,11.3.2 不對稱密鑰加密系統：RSA,1RSA公鑰算法 B選擇兩個較大的數p和q，計算： n=pq，=(p1)(q1) 2加密解密 任何人（包括A）都可以用Y=Xe mod n來對報文加密，并把密文發送給B。只有B能夠用X=Yd mod n來解密這個報文。,11.3.2 不對稱密鑰加密系統：RSA,【例11.2】 假設B選擇7和11作為p和q，并計算n=711=77。另一個值(n)= (71)(111)=60。如果他選擇e為13，那么d為37。請注意，（ed）mod 60=1。現在假設A希望發送明文5給B，他用公鑰13作為指數來為5加密。,11.3.3 公鑰分配,1認證管理機構 最

6、常見的分配公鑰的方式就是建立公鑰證書。B希望人們知道他的公鑰，同時又希望沒有人會把偽造的公鑰當成是他的。 可以采用的方法如圖11.7所示。,11.3.3 公鑰分配,2X.509 X.509是用結構化的形式描述證書的一種方法，它使用了一種熟知的稱為ASN.1（抽象語法記法1）的協議。,11.4 報文完整性：采用報文摘要,1報文摘要 為了保護一個報文的完整性，A對這個報文經過一個稱為加密散列函數算法的處理。這個函數為報文產生一個壓縮的印記，稱為摘要。 B為了檢查報文或文檔的完整性，也要運行相同的加密散列函數，產生摘要。,11.4 報文完整性：采用報文摘要,2散列函數 加密散列函數以任意長度的報文作

7、為輸入，并產生固定長度的報文摘要。 安全散列算法（SHA）是由美國國家標準和技術學會（NIST）開發的一個標準，它也經歷了多個版本，有一些散列算法是由Ron Rivest設計的，最新版本為MD5，其中MD代表“報文摘要”。 報文摘要算法MD5可對任意長的報文進行運算，然后得出128位的MD5報文摘要代碼。,11.5 報文鑒別：防偽造,11.5.1 報文鑒別碼 為了確保報文的完整性以及實現數據來源的鑒別，需要創建報文鑒別碼（MAC）。如圖11.9所示。,11.5.2 數字簽名,1數字簽名過程 圖11.10所示為數字簽名的過程。,11.5.2 數字簽名,2對報文摘要的簽名 圖11.11所示為在數字

8、簽名系統中對摘要進行簽名的過程。,11.5.2 數字簽名,3不可否認性 數字簽名可以實現報文鑒別、報文完整性和不可否認性。 一種解決辦法是引入彼此都信任的第三方，這個可信的第三方能解決很多與安全服務和密鑰交換相關的問題。如圖11.12所示。,11.6 實 體 鑒 別,11.6.1 實體和驗證 1實體鑒別和報文鑒別的比較 實體鑒別和報文鑒別之間存在兩個區別。 （1）報文鑒別不可能實時發生，而實體鑒別則有可能。 （2）報文鑒別只是對一個報文的鑒別。 2驗證類別 申請者可以通過以下3種證據來體現。 （1）一些記在腦子里的東西。這是一些只有申請者知道并能被驗證者檢查的秘密。 （2）一些拿在手里的東西。

9、這是一些能夠證實申請者身份的物件。 （3）一些與生俱來的東西。這是一些申請者天生的特點。,11.6.2 實體驗證,1口令 最簡單、最古老的實體鑒別方式就是使用口令（password），即申請者知道的某個東西。 2查問響應 在使用口令鑒別時，申請者通過出示自己知道的秘密（即口令）來證實自己的身份。 3使用對稱密鑰加密方法 有一些查問響應鑒別方式使用了對稱密鑰加密方法。 圖11.13為這種方法的說明。,11.6.2 實體驗證,4使用不對稱密鑰加密方法 采用不對稱密鑰加密方法進行實體鑒別，申請者必須表明他掌握著與公眾開放的公鑰相對應的私鑰。如圖11.14所示。,11.6.2 實體驗證,5使用數字簽名

10、 實體鑒別也可以使用數字簽名來實現，申請者用自己的私鑰進行簽名。如圖11.15所示。,11.7 網絡層安全,11.7.1 兩種方式 1運輸方式 IPSec的首部（IPSec-H）和尾部（IPSec-T）先被添加到從運輸層傳來的信息上，之后作為IP數據報的有效載荷。 發送主機用IPSec來鑒別/加密從運輸層傳來的有效載荷。接收主機用IPSec來檢查鑒別/解密這個IP分組，然后將其交付給運輸層。,11.7.1 兩種方式,2隧道方式 使用隧道方式時，IPSec在整個IP分組上應用IPSec安全方法，然后再增加新的IP首部，如圖11.17所示。新的IP首部與原始的IP首部相比有一些不同的信息。,11.

11、7.2 IPSec安全協議,1鑒別首部 鑒別首部協議是為了鑒別源主機的身份并確保IP分組所攜帶的有效載荷的完整性。AH放在IP首部后邊，包含的內容格式如圖11.18所示。,11.7.2 IPSec安全協議,2封裝安全有效載荷 封裝安全有效載荷（ESP）可以提供發送源的鑒別、數據完整性以及保密性。ESP添加了首部和尾部。,11.7.3 虛擬專用網應用,IPSec的一個應用就是虛擬專用網（VPN），如圖11.20所示。,11.8 運輸層安全,目前提供了運輸層安全的協議有安全套接層（SSL）協議和運輸層安全（TLS）協議，TLS與SSL類似，如圖11.21所示。,11.8.1 SSL的體系結構,1服

12、務 SSL把數據劃分為長度小于或等于214字節的數據分片。數據分片通過使用一種由客戶和服務器協商好的無損壓縮方式進行壓縮。這個服務是可選的。 2加密解密 （1）密鑰交換算法：為了交換經過鑒別和保密的報文，客戶和服務器程序各需要一組加密用的密鑰/參數。 （2）加密/解密算法：客戶和服務器程序還需要協商同意使用一組加密和解密算法。 （3）散列算法：SSL使用散列算法來提供報文完整性（報文的鑒別）。為此已定義了幾種散列算法。 （4）壓縮算法：在SSL中，壓縮是可選的，它沒有定義具體的壓縮算法。 （5）加密參數的生成：為了實現報文的完整性和保密性，SSL需要6個加密用的密鑰/參數：4個密鑰和兩個IV（

13、初始向量）。客戶需要一個用于報文鑒別的密鑰、一個用于加密的密鑰，以及一個在計算時用于初始塊的IV。,11.8.1 SSL的體系結構,（1）客戶和服務器先交換兩個隨機數：一個由客戶生成（CR），另一個由服務器生成（SR）。 （2）客戶和服務器使用預先定義的密鑰交換算法來交換一個前主密（PM）。 （3）通過應用兩個散列函數（SHA-1和MD5），從前主密中生成48字節的主密，如圖11.22所示。,11.8.1 SSL的體系結構,（4）通過應用同一組散列函數以及在主密（M）的前面附加不同常量的辦法，可以從這個主密中產生變長的密鑰材料，如圖11.23所示。,11.8.1 SSL的體系結構,（5）從這個

14、密鑰材料中提取6個不同的密鑰/參數，如圖11.24所示。,11.8.1 SSL的體系結構,3會話和連接 SSL區分連接和會話。會話是客戶和服務器之間的關聯。在會話建立后，雙方就具有一些共同的信息，比如會話標識符、各自的鑒別證書（如有必要）、壓縮方法（如有必要）、密碼族以及用于產生報文鑒別密鑰和加密密鑰的一個主密。,11.8.2 4個協議,SSL定義了兩層共4個協議來完成自己的任務，如圖11.25所示。,11.8.2 4個協議,1握手協議 握手協議通過報文來協商將要使用的加密方法族、為客戶鑒別服務器以及為服務器鑒別客戶（如有必要），并交換那些用于建立加密用密鑰/參數的信息。 握手過程分為4個階段

15、，如圖11.26所示。,11.8.2 4個協議,2改變加密規約協議 加密方法族的協商和加密用密鑰/參數在握手協議期間交換，但在改變加密規約協議中定義。因為發送方和接收方需要有兩個狀態，而不是一個狀態。其中一個狀態是等待狀態，用于跟蹤密碼參數和密鑰，另一個狀態是活躍狀態，它掌握著記錄協議在簽名/驗證或加密/解密報文時要使用的參數和密鑰。 3告警協議 SSL通過告警協議來報告差錯和異常狀態。它只使用了一個報文，這個報文描述了問題及其嚴重程度（僅僅是警告的，還是不可挽救的）。,11.8.2 4個協議,4記錄協議 記錄協議運載來自上一層（握手協議、改變加密規約協議、告警協議或應用層）的報文。這個報文經

16、過分片和壓縮（可選）處理，再用協商后的散列算法來計算得到MAC，并將其添加到壓縮后的報文上。 圖11.27所示為發送方的處理過程，接收方的處理過程就是它的逆過程。,11.9 應用層的安全,11.9.1 電子郵件的安全 1加密算法 電子郵件是即時的行為，雙方之間不存在會話，也就沒有握手的過程來協商在加密/解密和散列過程中使用的算法。所以，協議為每種操作定義了一組算法（例如，A可以選擇用DES進行加密/解密，并選擇用MD5進行散列）。 2加密的密鑰 加密算法在使用加密密鑰時也存在同樣的問題。因為沒有協商過程，目前的電子郵件安全協議要求使用對稱密鑰算法進行加密/解密，并且這個一次性的密鑰要跟隨報文一

17、起發送。 3證書 要實現電子郵件的安全就必須使用某些公鑰算法。例如，我們需要對密鑰加密或者對報文簽名。,11.9.2 相當好的保密（PGP）,下面說明發送電子郵件報文的幾種情況： （1）A向B發送明文電子郵件報文不能夠保證報文的完整性和保密性。 （2）A產生一個報文摘要并用自己的私鑰對它簽名后跟隨電子郵件，當B收到這個報文時，他要用A的公鑰來驗證報文摘要。 （3）對這個報文進行壓縮以使分組更加緊湊。圖11.28描繪了這一情況。,11.9.2 相當好的保密（PGP）,（4）使用一次性會話密鑰的加密，圖11.29描繪了這種情況。,11.9.3 S/MIME,1加密的報文語法（CMS） 為了能夠在M

18、IME內容類型中增加像保密性和完整性這樣的安全服務，S/MIME定義了加密的報文語法（CMS），這個語法逐個地定義了用于每一種內容類型的明確編碼機制。 2報文的類型 下面所描述的是報文的類型以及從這些報文中產生出來的不同子類型。 （1）數據內容類型。這是一個任意的字符串，產生的對象稱為data（數據）。 （2）簽名的數據內容類型。此類型僅提供數據的完整性，它包含任意類型以及零到多個簽名值。這種編碼的結果是稱為signedData（簽名的數據）的對象。,11.9.3 S/MIME,圖11.30描繪了生成此類型對象的過程。,11.9.3 S/MIME,圖11.31描繪了產生此類型對象的過程。,11

19、.9.3 S/MIME,（4）摘要的數據內容類型。此類型用于提供報文的完整性。結果被用做包裝的數據內容類型中的內容。這種編碼的結果是稱為digestedData（摘要的數據）的對象，圖11.32描繪了產生此類型對象的過程。,11.9.3 S/MIME,（6）鑒別的數據內容類型。此類型用于提供數據的鑒別，這種對象稱為authenticatedData（鑒別的數據）。圖11.33描繪了它的產生過程。,11.9.3 S/MIME,3密鑰管理 S/MIME中的密鑰管理綜合了X.509和PGP所使用的密鑰管理機制。S/MIME使用由認證中心簽發的公鑰證書。但是它又像PGP定義的那樣，由用戶負責維護信任關系網來驗證簽名。 【例11.3】 content-Type: applic