存在大量的半开连接Read课件

Chapter10网络安全10.1概述10.2密码学基础知识10.3数字签名与认证10.4网络安全协议10.5网络攻击和防范1Chapter10网络安全10.1概述110.1概述1.常见的不安全因素物理因素：物理设备的不安全，电磁波泄漏等系统因素：系统软、硬件漏洞，病毒感染，入侵网络因素：网络协议漏洞，会话劫持、数据篡改，网络拥塞，拒绝服务管理因素：管理员安全意识淡漠，误操作210.1概述1.常见的不安全因素22.网络的潜在威胁非授权访问（unauthorizedaccess）：非授权用户的入侵。信息泄露（disclosureofinformation）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人。拒绝服务（denialofservice）：使得系统难以或不可能继续执行任务。32.网络的潜在威胁非授权访问（unauthorizeda3.网络安全服务鉴别（Authentication）:提供某个实体的身份保证机密性（Confidentiality）:保护信息不被泄露完整性（Integrity）:保护信息以防止非法篡改不可否认性（No-repudiation）:防止参与通信的一方事后否认43.网络安全服务鉴别（Authentication）:提供某4.安全性、功能性和易用性

真正“安全”的机器是没有联网并且深埋在地下的机器。安全性功能性易用性54.安全性、功能性和易用性真正“安全”的机器是没有联网并且10.2密码学基础知识1.基本概念明文（plaintext)：作为加密输入的原始信息密文（ciphertext):明文加密后的结果加密（encryption）：是一组含有参数的变换，将明文变为密文的过程加密算法：对明文进行加密时采用的规则解密（decryption）：由密文恢复出明文的过程解密算法：对密文进行解密时采用的规则密钥(key):参与变换的参数，分别有加密密钥和解密密钥610.2密码学基础知识1.基本概念62.柯克霍夫斯原则(Kerchoffs)密码系统中的算法即使为密码分析员所知，也应该无助于用来推导出明文或者密钥72.柯克霍夫斯原则(Kerchoffs)密码系统中的算法即使3.密码算法分类按发展进程或体制分古典密码:基于字符替换的密码，现在已很少使用了，但是它代表了密码的起源对称密钥体制（SymmetricSystem）:加密密钥和解密密钥相同，这些算法也叫作单钥密码体制（one-keysystem)非对称密钥体制(AsymmetricSystem)：加密密钥和解密密钥不同，也叫公钥密码体制（publickeysystem)或双钥密码体制（two-keysystem）按加密模式分序列密码（streamcipher)：序列密码按位或字节加密，也可以称为流密码，序列密码是手工和机械密码时代的主流。分组密码(blockcipher)：分组密码将明文分成固定长度的块，用同一密钥和算法对每一块加密，输出也是固定长度的密文。83.密码算法分类按发展进程或体制分84.经典密码置换密码明文：abcdefghijklmnopqrst…密文：fghijklmnopqrstuvwxy… hello->mjqqt转置密码密钥：MEGABUCK，按到字母表中起始字母的距离对列进行编号94.经典密码置换密码95.对称加密算法数据加密标准(DES：DataEncryptionStandard)高级加密标准(AES：AdvancedEncryptionStandard)国际数据加密算法(IDEA：InternationalDataEncryptionAlgorithm)105.对称加密算法数据加密标准(DES：DataEncryp4.DES算法背景1949年，E.C.Shannon在“秘密系统的通信理论”中指出通信和信息加密的一般特征，以及将信息论用到密码学的基本方法1974年，IBM的Tuchman和Meyers发明Luciffer加密算法，该算法是DES算法的前身1975年，美国国家标准局NBS公布IBM提供的密码算法，并且以标准建议的形式征求意见1977年7月15日，NBS正式颁布DESDES是一种对二元数据进行加密的算法，数据分组长度为64位，密文分组长度也是64位，使用的密钥为64位，有效密钥长度为56位，有8位用于奇偶校验，解密时的过程和加密时相似，但密钥的顺序正好相反，DES的整个体制是公开的，系统的安全性完全靠密钥的保密。114.DES算法背景11乘积密码（productciper）乘积密码的基本元素(a)P盒（P-box）(b)S盒（S-box）(c)乘积P盒：转置操作S盒：置换操作DES算法由一系列的P盒和S盒组成，是一种分组乘积密码算法12乘积密码（productciper）乘积密码的基本元素1通过初始转置IP，将输入的64位明文次序打乱对结果数据和密钥进行相同的迭代操作16次左右32位交换通过逆初始转置IP-1得到64位的密文输出DES算法过程13通过初始转置IP，将输入的64位明文次序打乱DES算法过程1迭代操作细节（1）结果数据被分成左半部分和右半部分，每部分32位，以Li-1和Ri-1表示，那么经过一次跌代后，结果为：Li=Ri-1Ri=Li-1xorf(Ri-1，Ki)14迭代操作细节（1）结果数据被分成左半部分和右半部分，每部分3迭代操作细节（2）f(Ri-1，Ki)根据固定的转置和复制规则，将32位Ri-1扩展得到48位E(Ri-1)E(Ri-1)xorKi=B1B2…B8每个6位的Bj作为S盒Sj的输入，输出为4位Sj(Bj)然后通过一个P盒，得到P(S1(B1)…S8(B8))，即函数f(Ri-1，Ki)的输出15迭代操作细节（2）f(Ri-1，Ki)15迭代操作细节（3）Ki迭代过程密钥K为64位，其中有8位用于奇偶校验，分别位于每个字节的最后一位去掉密钥K的奇偶校验位，得到56位的有效密钥，并且执行转置操作每次跌代前，密钥被分为两个28位单元，每个单元向左循环移位，移位的位数取决于当前的跌代号最后执行另一个56位转置即可导出Ki16迭代操作细节（3）Ki迭代过程16DES算法的破解DES使用了近25年时间，它具有很强的抗密码分析能力，但它的有效密钥长度只有56比特，56-bit密钥有256=72,057,584,037,927,936≈7.2亿亿之多，随着计算机运算能力的增加，56比特有效长度的密码系统显得不安全了1997年，RSA公司发起破译RC4、RC5、MD2、MD5，以及DES的活动，破译DES奖励10000美金由RocheVerse牵头的工程小组动用了70000多台通过因特网连接起来的计算机系统，花费了96天找到了密钥。1998年7月，电子前沿基金会花费25万美圆制造的一台机器在不到3天的时间里攻破了DES。美国已决定在1998年12月以后不再使用DES1999年在超级计算机上只要22小时!17DES算法的破解DES使用了近25年时间，它具有很强的抗密三重DES使用三（或两）个不同的密钥对数据分组进行三次（或两次）加密，三重DES的强度大约和168-bit(三个不同密钥)/112-bit(两个不同密钥)的密钥强度相当，三重DES有四种模型：DES-EEE3使用三个不同密钥顺序进行三次加密变换DES-EDE3使用三个不同密钥依次进行加密-解密-加密变换DES-EEE2其中密钥K1=K3顺序进行三次加密变换DES-EDE2其中密钥K1=K3依次进行加密-解密-加密变换EEEPCK1K2K3EDEPCK1K2K318三重DES使用三（或两）个不同的密钥对数据分组进行三次（或两5.公钥密码体制对称密钥体制问题：密钥管理量大，两两分别用一对密钥，当用户量增大时，密钥空间急剧增大。对称算法无法实现抗否认需求非对称密钥体制/公钥密码体制的基本原则加密能力与解密能力是分开的密钥分发简单需要保存的密钥量大大减少可满足不相识的人之间保密通信可以实现数字签名—抗否认加密速度慢，常用于数字签名或加密对称密钥195.公钥密码体制对称密钥体制问题：19两种密码系统的比较20两种密码系统的比较20公钥密码体制基本思想公钥密码体制又称为双钥密码体制或者非对称密钥体制是1976年由Diffie和Hellman在其“密码学新方向”一文中提出的。公钥密码体制是基于单向陷门函数的概念。单向函数是一些易于计算但难于求逆的函数，而单向陷门函数就是在已知一些额外信息的情况下易于求逆的单向函数，这些额外信息就是所谓的陷门。21公钥密码体制基本思想公钥密码体制又称为双钥密码体制或者非对称单向陷门函数(1)给定x，计算y=f(x)是容易的(2)给定y，计算x，使y=f(x)是困难的(3)存在δ，已知δ时，对给定的任何y，若相应的x存在，则计算x使y=f(x)是容易的22单向陷门函数(1)给定x，计算y=f(x)是容易的22RSA密码体制基本原理RSA是MIT的Rivest,Shamir和Adlemar开发的第一个公钥密码体制。A.密钥的生成选择p,q，p,q为互异素数，计算n=p*q,φ(n)=(p-1)(q-1),选择整数e与φ(n)互素，即gcd(φ(n),e)=1,1<e<φ(n),计算d,使d=e-1(modφ(n))),公钥Pk={e,n};私钥Sk={d,n}B.加密(用e,n)，明文是以分组方式加密的，每一个分组的比特数应小于n的二进制表示，即每一个分组的长度应小于log2n明文M<n，密文C=Me(modn).C.解密(用d,n)密文C，明文M=Cd（modn)23RSA密码体制基本原理RSA是MIT的Rivest,Sha例：p＝5，q=7，n=pq=35，φ(n)=4x6=24 选e=11，则d=11，m=2 C=memodn=211mod35=18 M=Cdmodn=1811mod35=2例：p=53，q=61，n=pq=3233， φ(n)＝52x60=3120 令e=71，则d=791 令m=RENAISSANC 即m=17041300081818001302 170471mod3233=3106，…， C=31060100093126911984RSA算法实例24例：p＝5，q=7，n=pq=35，φ(n)=4x6=RSA的安全分析选取的素数p,q要足够大，使得给定了它们的乘积n，在不知道p,q情况下分解n在计算上是不可行的。1999年，一个292台计算机组成的网络花了5.2个月时间分解了一个155位的十进制数（512比特）。基于短期安全性考虑，要求n的长度至少应为1024比特，而长期安全性则需n至少为2048比特。25RSA的安全分析选取的素数p,q要足够大，使得给定了它们的乘其它公钥密码算法ElGamal密码1985年ElGamal设计的密码算法，该算法是基于有限域上离散对数问题求解的困难性。椭圆曲线密码1985年N.Koblitz和V.Miller分别独立提出了椭圆曲线密码体制(ECC)，其依据就是定义在椭圆曲线点群上的离散对数问题的难解性。26其它公钥密码算法ElGamal密码2610.3数字签名与认证数字签名，实现消息的不可否认性接收方可以验证发送方所宣称的身份发送方以后不能否认发送该消息的内容接收方不可能自己编造这样的消息认证保证消息的完整性，发送方发送的消息如果被恶意篡改，接收方能够知道恶意用户无法向网络中发送伪造消息需要注意的是这里的认证是指认证的算法，而不是认证协议，在认证协议中使用了这些认证算法2710.3数字签名与认证数字签名，实现消息的不可否认性需要注意1.数字签名公钥密码体制的一个重要应用就是数字签名，数字签名就是利用私钥生成签名，而用公钥验证签名。由于无法识别数字签名与其拷贝之间的差异，所以，在数字签名前应加上时间戳。数字签名标准（DSS）DSA（数字签名算法，是ElGamal公钥算法的一种变体）Bob的私钥DBAlice的公钥EAAlice的私钥DABob的公钥EBMMAlice的主机Bob的主机传输线DA(M)EB(DA(M))DA(M)281.数字签名公钥密码体制的一个重要应用就是数字签名，数字签名2.单向散列函数单向散列函数（hash，杂凑函数）可以从一段很长的消息中计算出一个固定长度的比特串，该比特串通常称为消息摘要（MD：MessageDigest）单向散列函数有以下特性：给定M，易于计算出消息摘要MD（M）只给出MD（M），几乎无法找出M无法生成两条具有同样相同摘要的消息常用单向散列函数MD5：消息任意长度，消息摘要128比特SHA-1：消息任意长度，消息摘要160比特292.单向散列函数单向散列函数（hash，杂凑函数）可以从一段单向散列函数举例MD5：MessageDigest5计算过程：消息填充为512比特长度的整数倍变换变换变换512比特512比特512比特。。。初始向量（摘要）

IV30单向散列函数举例MD5：MessageDigest5变换认证算法MD5、SHA-1等单向散列函数无法用于消息认证，因为任何人都可以根据消息计算消息摘要HMAC：带密钥的单向散列函数通信双方共享一个密钥计算结果为消息认证码（MAC：MessageAuthenticationCode），可用于消息认证可以使用任何单向散列函数31认证算法MD5、SHA-1等单向散列函数无法用于消息认证，因HMAC计算过程K+ipadXORSiY0YL-1…bbitsbbits单向散列函数初始化向量(摘要)nbitsnbits填充到

bbits单向散列函数初始化向量(摘要)nbitsnbitsopadK+XORS0HMACK(M)b:单向散列函数操作块长度L:消息M的块数K+:密钥K填充到bbitsipad:重复00110110到bbitsopad:重复01011010到bbits32HMAC计算过程K+ipadXORSiY0YL-1…bbi使用单向散列函数的RSA签名单向散列函数单向散

列函数Alice的私钥DAMAlice的主机Bob的主机传输线MD(M)<M,DA(MD(M))>Alice的公钥EA比较DA(MD(M))M不需要对增条消息进行加密,只是对消息的摘要进行加密33使用单向散列函数的RSA签名单向散单向散

列函数Alice的10.4网络安全协议链路层：链路隧道协议PPTP/L2TPPPTP:PointtoPointTunnelingProtocolL2TP:Layer2TunnelingProtocol网络层：IPsec系列协议IPsec:IPsecurity传输层：SSL/TLS协议SSL:SecureSocketLayerTLS:TransportLayerSecurity应用层：SHTTP、S/MIMESHTTP:SecureHTTPS/MIME:SecureMlMEHTTPS与SHTTP是不同的:HTTPS是HTTPoverTLS,它依赖于TLS来提供安全的传输服务,HTTP本身没有变化，而SHTTP则是一个应用层安全协议,在HTTP的基础增加了安全性3410.4网络安全协议链路层：链路隧道协议PPTP/L2TPH网络安全协议层次IPsec35网络安全协议层次IPsec35IPsecIPsec系列协议主要在RFC4301~RFC4309中描述IPsec组成安全服务协议认证头标AH(AuthenticationHeader)封装安全净荷ESP(EncapsulatingSecurityPalyload)密钥协商和管理Internet安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)SA:安全关联36IPsecIPsec系列协议主要在RFC4301~RFC安全关联SA

(SecurityAssocation)一组用来加密特定数据流的算法和参数(例如密钥)，为了实现两个主机之间的安全通信，对于每个方向上数据流都有一个SASA保含了执行AH和ESP的安全服务所需要的算法、密钥等信息，每个分组根据安全参数索引SPI(SecurityParametersIndex)和目的IP地址来查找相应的SAISAKMP定义建立、协商、修改和删除SA的过程和分组格式，它建议使用IKE(InternetKeyExchange)协议来实现通信主机之间的密钥交换37安全关联SA

(SecurityAssocation)一组AH协议保证消息完整性，抗重播攻击，但不提供机密性保护安全参数索引SPI（SecurityParametersIndex）：此32比特域被用来指定此分组的SA。将目的IP地址和SPI组合即确定该分组所对应的SA序列号：单调增加的计数器，每个分组都有不同的序列号，包括重传分组，抗重播攻击认证数据：整个分组执行HMAC运算后的消息认证码，所使用的散列算法和密钥由SA指定38AH协议保证消息完整性，抗重播攻击，但不提供机密性保护安全参ESP协议除了保证消息完整性，抗重播攻击，还保证消息的机密性，机密性可以采用3DES等对称加密算法来实现与AH不同，认证范围不包括IP头标！39ESP协议除了保证消息完整性，抗重播攻击，还保证消息的机密性IPsec工作模式传输模式：IPsec头标直接插在IP头标后面，保护某个IP净荷的上层协议隧道模式：在两个安全网关之间保护整个IP分组40IPsec工作模式传输模式：IPsec头标直接插在IP头标414110.5网络攻击和防范网络攻击端口扫描技术(PortScanning)拒绝服务攻击DoS(DenyofService)TCPSYNFlood防范技术防火墙(Firewall)4210.5网络攻击和防范网络攻击42端口扫描原理：TCPconnect扫描防范通过日志文件分析异常连接禁止外部发起到网络内部的连接43端口扫描原理：TCPconnect扫描防范43端口扫描原理：TCPSYN扫描防范禁止外部发起到网络内部的连接44端口扫描原理：TCPSYN扫描防范44端口扫描原理：TCPFIN扫描防范无论端口开放与否，对于无效的FIN都响应RST45端口扫描原理：TCPFIN扫描防范45拒绝服务攻击DoSDoS定义过量使用资源而致使其他合法用户无法访问DoS类型发送少量的分组使一个系统或网络瘫痪，修复需要人工干预，一般针对系统或者协议漏洞发送大量的分组使一个系统或网络无法响应正常的请求，恢复系统可能不需要人工干预特点简单有效，难以防范46拒绝服务攻击DoSDoS定义46原理：TCP连接的三次握手和半开连接DoS实例：TCPSYNFlood客户端服务器端客户端服务器端正常过程半开连接SYNSYN/ACKACKSYNSYN/ACKSYN/ACKSYNTimeout47原理：TCP连接的三次握手和半开连接DoS实例：TCPSY攻击者：发送大量伪造的用于TCP连接请求的SYN数据段，源IP地址常常是伪造的目标机：存在大量的半开连接，耗尽系统资源而无法处理正常连接建立请求TCPSYNFlood攻击过程48攻击者：发送大量伪造的用于TCP连接请求的SYN数据段，源ITCPSYNFlood防御缩短SYNTimeout时间，例如设置为20秒以下限制在给定的时间内TCP半开连接的数量SYNProxy原理：客户只有在和服务器前端的防火墙完成三步握手连接建立以后，才能与服务器建立连接1）防火墙拦截客户端发往服务器的SYN数据段，并且回应SYN/ACK2）如果收到客户端发送的ACK，则构造SYN发往服务器，建立真正的TCP连接本质上是由防火墙来承担SYNFlood攻击SYNCookie原理：客户只有在完成三步握手连接建立以后，在服务器端才分配资源1）收到SYN后，服务器端把对客户端的IP和端口号、服务器的IP和端口号等信息进行散列运算得到的cookie作为SYN/ACK的序列号，并且不分配任何资源2）如果收到来自客户端的ACK，则采用和步骤1相同的方法计算cookie，以验证ACK中的序列号是否正确，如果正确，则建立TCP连接服务器需要计算cookie，消耗资源目前对于TCPSYNFlood攻击还没有行之有效的解决方案，只能缓解，不能从根本上消除49TCPSYNFlood防御缩短SYNTimeout时间DMZFirewallInternetIntranetAttacks防范技术防火墙是最常用的抵挡各种网络攻击的防范技术DMZ：停火区，一般放置Internet上主机能够访问的web服务器、FTP服务器等Intranet：受保护的内部网络，禁止Internet上的主机直接访问50DMZFirewallInternetIntranetAtt防火墙定义防火墙是在两个网络（内部和外部）之间强制实行访问控制策略的一个系统或者一组系统防火墙由多个部件组成，并具有以下特性：所有的从内部到外部或者从外部到内部的通信都必须经过它只有内部访问策略授权的通信才允许通过系统本身具有高可靠性51防火墙定义防火墙是在两个网络（内部和外部）之间强制实行访问控防火墙功能过滤不安全的服务和禁止非法访问控制对特殊站点的访问，可以允许受保护网络的一部分主机被外部访问，而其它部分则禁止提供访问记录和审计等功能52防火墙功能过滤不安全的服务和禁止非法访问52防火墙分类分组过滤防火墙仅根据分组中的信息（地址、端口号、协议）执行相应的过滤规则，每个分组的处理都是独立的状态检测防火墙不仅根据分组中的信息，而且还根据记录的连接状态、分组传出请求等来进行过滤TCP：为建立连接的SYN分组建立状态，只允许对该SYN的应答分组进入。连接建立后，允许该连接的分组进入。UDP：具有相同的地址和端口号的分组可以等效为一个连接代理型防火墙通过对网络服务的代理，检查进出网络的各种服务53防火墙分类分组过滤防火墙53小结了解常用安全算法的原理，例如DES、RSA、MD5等数字签名和认证IPsec系列协议，主要是AH和ESP。IPsec中SA的概念端口扫描原理、TCPSYNFlood攻击与防御54小结了解常用安全算法的原理，例如DES、RSA、MD5等54Chapter10网络安全10.1概述10.2密码学基础知识10.3数字签名与认证10.4网络安全协议10.5网络攻击和防范55Chapter10网络安全10.1概述110.1概述1.常见的不安全因素物理因素：物理设备的不安全，电磁波泄漏等系统因素：系统软、硬件漏洞，病毒感染，入侵网络因素：网络协议漏洞，会话劫持、数据篡改，网络拥塞，拒绝服务管理因素：管理员安全意识淡漠，误操作5610.1概述1.常见的不安全因素22.网络的潜在威胁非授权访问（unauthorizedaccess）：非授权用户的入侵。信息泄露（disclosureofinformation）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人。拒绝服务（denialofservice）：使得系统难以或不可能继续执行任务。572.网络的潜在威胁非授权访问（unauthorizeda3.网络安全服务鉴别（Authentication）:提供某个实体的身份保证机密性（Confidentiality）:保护信息不被泄露完整性（Integrity）:保护信息以防止非法篡改不可否认性（No-repudiation）:防止参与通信的一方事后否认583.网络安全服务鉴别（Authentication）:提供某4.安全性、功能性和易用性

真正“安全”的机器是没有联网并且深埋在地下的机器。安全性功能性易用性594.安全性、功能性和易用性真正“安全”的机器是没有联网并且10.2密码学基础知识1.基本概念明文（plaintext)：作为加密输入的原始信息密文（ciphertext):明文加密后的结果加密（encryption）：是一组含有参数的变换，将明文变为密文的过程加密算法：对明文进行加密时采用的规则解密（decryption）：由密文恢复出明文的过程解密算法：对密文进行解密时采用的规则密钥(key):参与变换的参数，分别有加密密钥和解密密钥6010.2密码学基础知识1.基本概念62.柯克霍夫斯原则(Kerchoffs)密码系统中的算法即使为密码分析员所知，也应该无助于用来推导出明文或者密钥612.柯克霍夫斯原则(Kerchoffs)密码系统中的算法即使3.密码算法分类按发展进程或体制分古典密码:基于字符替换的密码，现在已很少使用了，但是它代表了密码的起源对称密钥体制（SymmetricSystem）:加密密钥和解密密钥相同，这些算法也叫作单钥密码体制（one-keysystem)非对称密钥体制(AsymmetricSystem)：加密密钥和解密密钥不同，也叫公钥密码体制（publickeysystem)或双钥密码体制（two-keysystem）按加密模式分序列密码（streamcipher)：序列密码按位或字节加密，也可以称为流密码，序列密码是手工和机械密码时代的主流。分组密码(blockcipher)：分组密码将明文分成固定长度的块，用同一密钥和算法对每一块加密，输出也是固定长度的密文。623.密码算法分类按发展进程或体制分84.经典密码置换密码明文：abcdefghijklmnopqrst…密文：fghijklmnopqrstuvwxy… hello->mjqqt转置密码密钥：MEGABUCK，按到字母表中起始字母的距离对列进行编号634.经典密码置换密码95.对称加密算法数据加密标准(DES：DataEncryptionStandard)高级加密标准(AES：AdvancedEncryptionStandard)国际数据加密算法(IDEA：InternationalDataEncryptionAlgorithm)645.对称加密算法数据加密标准(DES：DataEncryp4.DES算法背景1949年，E.C.Shannon在“秘密系统的通信理论”中指出通信和信息加密的一般特征，以及将信息论用到密码学的基本方法1974年，IBM的Tuchman和Meyers发明Luciffer加密算法，该算法是DES算法的前身1975年，美国国家标准局NBS公布IBM提供的密码算法，并且以标准建议的形式征求意见1977年7月15日，NBS正式颁布DESDES是一种对二元数据进行加密的算法，数据分组长度为64位，密文分组长度也是64位，使用的密钥为64位，有效密钥长度为56位，有8位用于奇偶校验，解密时的过程和加密时相似，但密钥的顺序正好相反，DES的整个体制是公开的，系统的安全性完全靠密钥的保密。654.DES算法背景11乘积密码（productciper）乘积密码的基本元素(a)P盒（P-box）(b)S盒（S-box）(c)乘积P盒：转置操作S盒：置换操作DES算法由一系列的P盒和S盒组成，是一种分组乘积密码算法66乘积密码（productciper）乘积密码的基本元素1通过初始转置IP，将输入的64位明文次序打乱对结果数据和密钥进行相同的迭代操作16次左右32位交换通过逆初始转置IP-1得到64位的密文输出DES算法过程67通过初始转置IP，将输入的64位明文次序打乱DES算法过程1迭代操作细节（1）结果数据被分成左半部分和右半部分，每部分32位，以Li-1和Ri-1表示，那么经过一次跌代后，结果为：Li=Ri-1Ri=Li-1xorf(Ri-1，Ki)68迭代操作细节（1）结果数据被分成左半部分和右半部分，每部分3迭代操作细节（2）f(Ri-1，Ki)根据固定的转置和复制规则，将32位Ri-1扩展得到48位E(Ri-1)E(Ri-1)xorKi=B1B2…B8每个6位的Bj作为S盒Sj的输入，输出为4位Sj(Bj)然后通过一个P盒，得到P(S1(B1)…S8(B8))，即函数f(Ri-1，Ki)的输出69迭代操作细节（2）f(Ri-1，Ki)15迭代操作细节（3）Ki迭代过程密钥K为64位，其中有8位用于奇偶校验，分别位于每个字节的最后一位去掉密钥K的奇偶校验位，得到56位的有效密钥，并且执行转置操作每次跌代前，密钥被分为两个28位单元，每个单元向左循环移位，移位的位数取决于当前的跌代号最后执行另一个56位转置即可导出Ki70迭代操作细节（3）Ki迭代过程16DES算法的破解DES使用了近25年时间，它具有很强的抗密码分析能力，但它的有效密钥长度只有56比特，56-bit密钥有256=72,057,584,037,927,936≈7.2亿亿之多，随着计算机运算能力的增加，56比特有效长度的密码系统显得不安全了1997年，RSA公司发起破译RC4、RC5、MD2、MD5，以及DES的活动，破译DES奖励10000美金由RocheVerse牵头的工程小组动用了70000多台通过因特网连接起来的计算机系统，花费了96天找到了密钥。1998年7月，电子前沿基金会花费25万美圆制造的一台机器在不到3天的时间里攻破了DES。美国已决定在1998年12月以后不再使用DES1999年在超级计算机上只要22小时!71DES算法的破解DES使用了近25年时间，它具有很强的抗密三重DES使用三（或两）个不同的密钥对数据分组进行三次（或两次）加密，三重DES的强度大约和168-bit(三个不同密钥)/112-bit(两个不同密钥)的密钥强度相当，三重DES有四种模型：DES-EEE3使用三个不同密钥顺序进行三次加密变换DES-EDE3使用三个不同密钥依次进行加密-解密-加密变换DES-EEE2其中密钥K1=K3顺序进行三次加密变换DES-EDE2其中密钥K1=K3依次进行加密-解密-加密变换EEEPCK1K2K3EDEPCK1K2K372三重DES使用三（或两）个不同的密钥对数据分组进行三次（或两5.公钥密码体制对称密钥体制问题：密钥管理量大，两两分别用一对密钥，当用户量增大时，密钥空间急剧增大。对称算法无法实现抗否认需求非对称密钥体制/公钥密码体制的基本原则加密能力与解密能力是分开的密钥分发简单需要保存的密钥量大大减少可满足不相识的人之间保密通信可以实现数字签名—抗否认加密速度慢，常用于数字签名或加密对称密钥735.公钥密码体制对称密钥体制问题：19两种密码系统的比较74两种密码系统的比较20公钥密码体制基本思想公钥密码体制又称为双钥密码体制或者非对称密钥体制是1976年由Diffie和Hellman在其“密码学新方向”一文中提出的。公钥密码体制是基于单向陷门函数的概念。单向函数是一些易于计算但难于求逆的函数，而单向陷门函数就是在已知一些额外信息的情况下易于求逆的单向函数，这些额外信息就是所谓的陷门。75公钥密码体制基本思想公钥密码体制又称为双钥密码体制或者非对称单向陷门函数(1)给定x，计算y=f(x)是容易的(2)给定y，计算x，使y=f(x)是困难的(3)存在δ，已知δ时，对给定的任何y，若相应的x存在，则计算x使y=f(x)是容易的76单向陷门函数(1)给定x，计算y=f(x)是容易的22RSA密码体制基本原理RSA是MIT的Rivest,Shamir和Adlemar开发的第一个公钥密码体制。A.密钥的生成选择p,q，p,q为互异素数，计算n=p*q,φ(n)=(p-1)(q-1),选择整数e与φ(n)互素，即gcd(φ(n),e)=1,1<e<φ(n),计算d,使d=e-1(modφ(n))),公钥Pk={e,n};私钥Sk={d,n}B.加密(用e,n)，明文是以分组方式加密的，每一个分组的比特数应小于n的二进制表示，即每一个分组的长度应小于log2n明文M<n，密文C=Me(modn).C.解密(用d,n)密文C，明文M=Cd（modn)77RSA密码体制基本原理RSA是MIT的Rivest,Sha例：p＝5，q=7，n=pq=35，φ(n)=4x6=24 选e=11，则d=11，m=2 C=memodn=211mod35=18 M=Cdmodn=1811mod35=2例：p=53，q=61，n=pq=3233， φ(n)＝52x60=3120 令e=71，则d=791 令m=RENAISSANC 即m=17041300081818001302 170471mod3233=3106，…， C=31060100093126911984RSA算法实例78例：p＝5，q=7，n=pq=35，φ(n)=4x6=RSA的安全分析选取的素数p,q要足够大，使得给定了它们的乘积n，在不知道p,q情况下分解n在计算上是不可行的。1999年，一个292台计算机组成的网络花了5.2个月时间分解了一个155位的十进制数（512比特）。基于短期安全性考虑，要求n的长度至少应为1024比特，而长期安全性则需n至少为2048比特。79RSA的安全分析选取的素数p,q要足够大，使得给定了它们的乘其它公钥密码算法ElGamal密码1985年ElGamal设计的密码算法，该算法是基于有限域上离散对数问题求解的困难性。椭圆曲线密码1985年N.Koblitz和V.Miller分别独立提出了椭圆曲线密码体制(ECC)，其依据就是定义在椭圆曲线点群上的离散对数问题的难解性。80其它公钥密码算法ElGamal密码2610.3数字签名与认证数字签名，实现消息的不可否认性接收方可以验证发送方所宣称的身份发送方以后不能否认发送该消息的内容接收方不可能自己编造这样的消息认证保证消息的完整性，发送方发送的消息如果被恶意篡改，接收方能够知道恶意用户无法向网络中发送伪造消息需要注意的是这里的认证是指认证的算法，而不是认证协议，在认证协议中使用了这些认证算法8110.3数字签名与认证数字签名，实现消息的不可否认性需要注意1.数字签名公钥密码体制的一个重要应用就是数字签名，数字签名就是利用私钥生成签名，而用公钥验证签名。由于无法识别数字签名与其拷贝之间的差异，所以，在数字签名前应加上时间戳。数字签名标准（DSS）DSA（数字签名算法，是ElGamal公钥算法的一种变体）Bob的私钥DBAlice的公钥EAAlice的私钥DABob的公钥EBMMAlice的主机Bob的主机传输线DA(M)EB(DA(M))DA(M)821.数字签名公钥密码体制的一个重要应用就是数字签名，数字签名2.单向散列函数单向散列函数（hash，杂凑函数）可以从一段很长的消息中计算出一个固定长度的比特串，该比特串通常称为消息摘要（MD：MessageDigest）单向散列函数有以下特性：给定M，易于计算出消息摘要MD（M）只给出MD（M），几乎无法找出M无法生成两条具有同样相同摘要的消息常用单向散列函数MD5：消息任意长度，消息摘要128比特SHA-1：消息任意长度，消息摘要160比特832.单向散列函数单向散列函数（hash，杂凑函数）可以从一段单向散列函数举例MD5：MessageDigest5计算过程：消息填充为512比特长度的整数倍变换变换变换512比特512比特512比特。。。初始向量（摘要）

IV84单向散列函数举例MD5：MessageDigest5变换认证算法MD5、SHA-1等单向散列函数无法用于消息认证，因为任何人都可以根据消息计算消息摘要HMAC：带密钥的单向散列函数通信双方共享一个密钥计算结果为消息认证码（MAC：MessageAuthenticationCode），可用于消息认证可以使用任何单向散列函数85认证算法MD5、SHA-1等单向散列函数无法用于消息认证，因HMAC计算过程K+ipadXORSiY0YL-1…bbitsbbits单向散列函数初始化向量(摘要)nbitsnbits填充到

bbits单向散列函数初始化向量(摘要)nbitsnbitsopadK+XORS0HMACK(M)b:单向散列函数操作块长度L:消息M的块数K+:密钥K填充到bbitsipad:重复00110110到bbitsopad:重复01011010到bbits86HMAC计算过程K+ipadXORSiY0YL-1…bbi使用单向散列函数的RSA签名单向散列函数单向散

列函数Alice的私钥DAMAlice的主机Bob的主机传输线MD(M)<M,DA(MD(M))>Alice的公钥EA比较DA(MD(M))M不需要对增条消息进行加密,只是对消息的摘要进行加密87使用单向散列函数的RSA签名单向散单向散

列函数Alice的10.4网络安全协议链路层：链路隧道协议PPTP/L2TPPPTP:PointtoPointTunnelingProtocolL2TP:Layer2TunnelingProtocol网络层：IPsec系列协议IPsec:IPsecurity传输层：SSL/TLS协议SSL:SecureSocketLayerTLS:TransportLayerSecurity应用层：SHTTP、S/MIMESHTTP:SecureHTTPS/MIME:SecureMlMEHTTPS与SHTTP是不同的:HTTPS是HTTPoverTLS,它依赖于TLS来提供安全的传输服务,HTTP本身没有变化，而SHTTP则是一个应用层安全协议,在HTTP的基础增加了安全性8810.4网络安全协议链路层：链路隧道协议PPTP/L2TPH网络安全协议层次IPsec89网络安全协议层次IPsec35IPsecIPsec系列协议主要在RFC4301~RFC4309中描述IPsec组成安全服务协议认证头标AH(AuthenticationHeader)封装安全净荷ESP(EncapsulatingSecurityPalyload)密钥协商和管理Internet安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)SA:安全关联90IPsecIPsec系列协议主要在RFC4301~RFC安全关联SA

(SecurityAssocation)一组用来加密特定数据流的算法和参数(例如密钥)，为了实现两个主机之间的安全通信，对于每个方向上数据流都有一个SASA保含了执行AH和ESP的安全服务所需要的算法、密钥等信息，每个分组根据安全参数索引SPI(SecurityParametersIndex)和目的IP地址来查找相应的SAISAKMP定义建立、协商、修改和删除SA的过程和分组格式，它建议使用IKE(InternetKeyExchange)协议来实现通信主机之间的密钥交换91安全关联SA

(SecurityAssocation)一组AH协议保证消息完整性，抗重播攻击，但不提供机密性保护安全参数索引SPI（SecurityParametersIndex）：此32比特域被用来指定此分组的SA。将目的IP地址和SPI组合即确定该分组所对应的SA序列号：单调增加的计数器，每个分组都有不同的序列号，包括重传分组，抗重播攻击认证数据：整个分组执行HMAC运算后的消息认证码，所使用的散列算法和密钥由SA指定92AH协议保证消息完整性，抗重播攻击，但不提供机密性保护安全参ESP协议除了保证消息完整性，抗重播攻击，还保证消息的机密性，机密性可以采用3DES等对称加密算法来实现与AH不同，认证范围不包括IP头标！93ESP协议除了保证消息完整性，抗重播攻击，还保证消息的机密性IPsec工作模式传输模式：IPsec头标直接插在IP头标后面，保护某个IP净荷的上层协议隧道模式：在两个安全网关之间保护整个IP分组94IPsec工作模式传输模式：IPsec头标直接插在IP头标954110.5