《计算机网络教程第3版电子教案CH7 网络 安全》由会员分享,可在线阅读,更多相关《计算机网络教程第3版电子教案CH7 网络 安全(75页珍藏版)》请在金锄头文库上搜索。
1、,计算机网络教程(第 3 版),第 7 章 网络安全,第 7 章 网络安全,7.1 网络安全概述 7.1.1 安全威胁 7.1.2 安全服务 7.2 机密性与密码学 7.2.1 对称密钥密码体制 7.2.2 公钥密码体制,第 7 章 网络安全(续),7.3 报文完整性 7.3.1 报文摘要和报文鉴别码 7.3.2 数字签名 7.4 实体鉴别 7.5 密钥分发和认证 7.5.1 对称密钥的分发 7.5.2 公钥的认证,第 7 章 网络安全(续),7.6 网络安全协议 7.6.1 网络层安全协议:IPsec 7.6.2 运输层安全协议:SSL/TLS 7.6.3 应用层的安全协议:PGP 7.7
2、系统安全:防火墙与入侵检测 7.7.1 防火墙 7.7.2 入侵检测系统,7.1 网络安全概述 7.1.1 安全威胁,计算机网络上的通信面临以下的四种威胁: (1) 截获从网络上窃听他人的通信内容。 (2) 中断有意中断他人在网络上的通信。 (3) 篡改故意篡改网络上传送的报文。 (4) 伪造伪造信息在网络上传送。 截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,被动攻击和主动攻击,攻击者只是观察和分析网络中传输的数据流而不干扰数据
3、流本身。 主动攻击是指攻击者对传输中的数据流进行各种处理。 更改报文流 拒绝服务攻击 恶意程序攻击,(1) 计算机病毒会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 (2) 计算机蠕虫通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 (3) 特洛伊木马一种程序,它执行的功能超出所声称的功能。 (4) 逻辑炸弹一种当运行环境满足某种特定条件时执行其他特殊功能的程序。,恶意程序(rogue program),7.1.2 安全服务,机密性(confidentiality) 确保计算机系统中的信息或网络中传输的信息不会泄漏给非授权用户。这是计算
4、机网络中最基本的安全服务。 报文完整性(message intergrity) 确保计算机系统中的信息或网络中传输的信息不被非授权用户篡改或伪造。后者要求对报文源进行鉴别。 。,7.1.2 安全服务,不可否认性(nonrepudiation) 防止发送方或接收方否认传输或接收过某信息。在电子商务中这是一种非常重要安全服务。 实体鉴别(entity authentication) 通信实体能够验证正在通信的对端实体的真实身份,确保不会与冒充者进行通信。,7.1.2 安全服务,访问控制(access control) 系统具有限制和控制不同实体对信息源或其他系统资源进行访问的能力。系统必须在鉴别实
5、体身份的基础上对实体的访问权限进行控制。 可用性(availability) 确保授权用户能够正常访问系统信息或资源。拒绝服务攻击是可用性的最直接的威胁。,7.2 机密性与密码学,机密性应该是密码学最早的应用领域,但我们在后面几节将会看到密码学技术和鉴别、报文完整性以及不可否认性等是紧密相关的,可以说密码学是计算机网络安全的基础。,明文 X,截获,密文 Y,数据加密的一般模型,加密密钥 KA,明文 X,密文 Y,截取者,篡改,A,B,E 运算 加密算法,D 运算 解密算法,因特网,解密密钥 KB,Y = EKA(X) DKB(Y) = DKB(EKA(X) = X,一些重要概念,如果不论截取者
6、获得了多少密文,但在密文中都没有足够的信息来唯一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论上是不可破的。 如果密码体制中的密码不能被可使用的计算资源破译,则这一密码体制称为在计算上是安全的。,7.2.1 对称密钥密码体制,所谓对称密钥密码体制是一种加密密钥与解密密钥相同的密码体制。 在这种加密系统中两个参与者共享同一个秘密密钥,如果用一个特定的密钥加密一条消息,也必须要使用相同的密钥来解密该消息。 该系统又称为对称密钥系统。,数据加密标准 DES,数据加密标准 DES 属于常规密钥密码体制,是一种分组密码。 数据加密标准DES (Data Encryption Standa
7、rd)是对称密钥密码的典型代表,由IBM公司研制,于1977年被美国定为联邦信息标准后,在国际上引起了极大的重视。ISO曾把DES作为数据加密标准。 DES使用的密钥为64位(实际密钥长度为56位,有8位用于奇偶校验)。,DES 的保密性,DES 的保密性仅取决于对密钥的保密,而算法是公开的。尽管人们在破译 DES 方面取得了许多进展,但至今仍未能找到比穷举搜索密钥更有效的方法。 DES 是世界上第一个公认的实用密码算法标准,它曾对密码学的发展做出了重大贡献。 目前较为严重的问题是 DES 的密钥的长度。 现在已经设计出来搜索 DES 密钥的专用芯片。,三重DES,为解决DES密钥太短的问题,
8、人们提出了三重DES。,7.2.2 公钥密码体制,公钥密码体制使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 公钥密码体制的产生主要是因为两个方面的原因,一是由于常规密钥密码体制的密钥分配问题,另一是由于对数字签名的需求。 现有最著名的公钥密码体制是RSA 体制,它基于数论中大数分解问题的体制,由美国三位科学家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式发表的。,加密密钥与解密密钥,在公钥密码体制中,加密密钥(即公钥) PK 是公开信息,而解密密钥(即私钥或秘钥) SK 是需要保密的。 加密算法
9、 E 和解密算法 D 也都是公开的。 虽然秘钥 SK 是由公钥 PK 决定的,但却不能根据 PK 计算出 SK。,公钥算法的特点,发送方用加密密钥 PK 对明文 X 加密(E 运算)后,在接收方用解密密钥 SK 解密(D 运算),即可恢复出明文: (7-3) 解密密钥是接收者专用的秘钥(私钥),对其他人都保密。 加密密钥是公开(公钥)的,但不能用它来解密,即,(7-4),公钥算法的特点(续),加密和解密的运算可以对调,即 在计算机上可容易地产生成对的 PK 和 SK。 从已知的 PK 实际上不可能推导出 SK,即从 PK 到 SK 是“计算上不可能的”。 加密和解密算法都是公开的。,(7-5)
10、,应当注意,任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量。在这方面,公钥密码体制并不具有比传统加密体制更加优越之处。 公钥密码体制有许多很好的特性,但公钥密码算法比对称密码算法要慢好几个数量级。因此,对称密码被用于绝大部分加密,而公钥密码则通常用于会话密钥的建立。,7.3 报文完整性,有时,通信双方并不关心通信的内容是否会被人窃听,而只关心通信的内容是否被人篡改或伪造,这就是报文完整性问题。 报文完整性又称为报文鉴别,既鉴别报文的真伪。 例如,路由器之间交换的路由信息不一定要求保密,但要求能检测出被篡改或伪造的路由信息。,7.3.1报文摘要和报文鉴别码,使用加密就可达到报文鉴
11、别的目的。但对于不需要保密,而只需要报文鉴别的网络应用,对整个报文的加密和解密,会使计算机增加很多不必要的负担。 更有效的方法是使用报文摘要MD (Message Digest)来进行报文鉴别。,用报文摘要进行报文鉴别,发送方将可变长度的报文m经过报文摘要算法运算后得出固定长度的报文摘要H(m)。 然后对H(m)进行加密,得出EK(H(m),并将其附加在报文m后面发送出去。 接收方把EK(H(m)解密还原为H(m),再把收到的报文进行报文摘要运算,看结果是否与收到的H(m)一样。,密码散列函数,报文摘要和差错检验码都是多对一(many-to-one)的散列函数(hash function)的例
12、子。但要抵御攻击者的恶意篡改,报文摘要算法必须满足以下两个条件: 任给一个报文摘要值x,若想找到一个报文y使得H(y) = x,则在计算上是不可行的。 若想找到任意两个报文x和y,使得H(x) = H(y),则在计算上是不可行的。 满足以上条件的散列函数称为密码散列函数,密码散列函数,差错检验码通常并不满足以上条件。 例如,很容易找到两个不同的字符串:“IOU100.99BOB”和“IOU900.19BOB”的校验和是完全一样的。 虽然差错检验码可以检测出报文的随机改变,但却无法抵御攻击者的恶意篡改,因为攻击者可以很容易地找到差错检验码与原文相同的其他报文,从而达到攻击目的。,广泛应用的报文摘
13、要算法,目前广泛应用的报文摘要算法有MD5 RFC 1321和安全散列算法1(Secure Hash Algorithm, SHA-1)。 MD5输出128位的摘要,SHA-1输出160位的摘要。 SHA-1比MD5更安全些,但计算起来比MD5要慢。,报文鉴别码,利用密码散列函数无需对报文摘要加密就可以实现对报文的鉴别,前提是双方共享一个称为鉴别密钥的秘密比特串s。 发送方计算散列H(m+s)。H(m+s)被称为报文鉴别码(Message Authentication Code, MAC)。 将MAC与报文m一起发送给接收方。接收方利用收到的s和m重新计算MAC,与接收到的MAC进行比较,从而
14、实现鉴别。,报文鉴别码,7.3.2 数字签名,数字签名必须保证以下三点: (1) 接收方能够核实发送方对报文的数字签名。 (2) 发送方事后不能抵赖对报文的数字签名。 (3) 任何人包括接收方都不能伪造对报文的签名。 现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。,密文,数字签名的实现,D 运算,明文 X,明文 X,A,B,A 的私钥 SKA,因特网,签名,核实签名,E 运算,密文,A 的公钥 PKA,数字签名的实现,因为除 A 外没有别人能具有 A 的私钥,所以除 A 外没有别人能产生这个密文。因此 B 相信报文 X 是 A 签名发送的。 若 A 要抵赖曾发送报文给 B,B
15、可将明文和对应的密文出示给第三者。第三者很容易用 A 的公钥去证实 A 确实发送 X 给 B。 反之,若 B 将 X 伪造成 X,则 B 不能在第三者前出示对应的密文。这样就证明了 B 伪造了报文。,数字签名的实现,公钥密码算法的计算代价非常大,对整个报文进行数字签名是一件非常耗时的事情。更有效的方法是仅对报文摘要进行数字签名。,具有保密性的数字签名,核实签名,解密,加密,签名,E 运算,D 运算,明文 X,明文 X,A,B,A 的私钥 SKA,因特网,E 运算,B 的私钥 SKB,D 运算,加密与解密,签名与核实签名,B 的公钥 PKB,A 的公钥 PKA,密文,7.4 实体鉴别,实体鉴别就
16、是鉴别通信对端实体的身份,即验证正在通信的对方确实是所认为的通信实体,这需要使用鉴别协议。 鉴别协议通常在两个通信实体运行其他协议(例如,可靠数据传输协议、路由选择协议或电子邮件协议)之前运行。,最简单的实体鉴别过程,A 发送给 B 的报文的被加密,使用的是对称密钥 KAB。 B 收到此报文后,用共享对称密钥 KAB 进行解密,因而鉴别了实体 A 的身份。,A,B,A, 口令,KAB,明显的漏洞,入侵者 C 可以从网络上截获 A 发给 B 的报文。C 并不需要破译这个报文(因为这可能很花很多时间)而可以直接把这个由 A 加密的报文发送给 B,使 B 误认为 C 就是 A。然后 B 就向伪装是 A 的 C 发送应发给 A 的报文。 这就叫做重放攻击(replay attack)。C 甚至还可以截获 A 的 IP 地址,然后把 A 的 IP
