中国科技大学 薛开平 网络安全协议 第一章

网络安全协议

NetworkSecurityProtocols薛开平（XueKaiping）信息网络实验室（电三楼305）kpxue@/~kpxue教科书和参考书Textbook&Reference教科书WilliamStallings,NetworkSecurityEssentials:ApplicationsandStandards,5thEdition，PrenticeHall，2010英文影印版4th

，清华大学出版社，2010中文版5th，清华大学出版社，2014参考教材1.荆继武等，PKI技术，科学出版社，20082.何泾沙译，Linux防火墙第三版，机械出版社，20063.CharlieKaufman等著，许剑卓、左英男等译“网络安全——公众世界中的秘密通信”，第二版，电子工业出版社，2004WilliamStallings,CryptographyandNetworkSecurity:PrinciplesandPractice(5thEdition),2010BehrouzA.Forouzan著，马振晗等译，密码学与网络安全，清华大学出版社，2009课程主页：

/course课程讨论QQ群：413524611课程助教：李威(lwz159@)，电三楼313课程安排和成绩评定课程安排：48学时授课+6学时研讨+2学时复习成绩评定：期末考试60%平时作业25%(大作业15%，课程小作业10%)课堂等平时表现5%+课堂测试10%ContentsoftheCourse第一章：网络安全综述第二章：公钥基础设施PKI第三章：IPSec-AH和ESP第四章：IPSec-IKE第五章：SSL/TLS基本协议第六章：防火墙与NAT第七章：虚拟专用网VPN第八章：应用层安全协议第九章：无线局域网安全第一章网络安全综述1.1网络安全概述1.2网络参考模型与安全模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准组织引入:现实中的举例电子门钥认证挂窗帘 防止外人偷窥（保密）加锁（防盗锁）防小偷（保密）养狗 拒绝不受欢迎之客（访问控制、防火墙）安装警报系统，摄像头检测不速之客（入侵检测）物业，门卫审查，授权（权限管理、访问控制）网络安全事件——网络监听？服务器正常连接网络监听者屏幕输入用户名：abcde密码：12345屏幕显示用户名：abcde密码：12345信息被截获网络安全事件——假冒站点？服务器A网址浏览者与服务器A连接，访问站点服务器B假冒,cn当假冒服务器出现时当浏览者输入时，且不被访问者察觉时，实际访问的是服务器B，这样他的私人信息就可能被B非法获取网络安全事件——不安全EmailABEmail偷盗者邮件在传送过程中被截取偷盗者篡改邮件后以甲的身份重新发送1.如果偷盗者截取Email后不发给乙，怎么办？2.如果偷盗者直接假冒甲的身份给乙发了假邮件，怎么办？乙收到该Email甲给乙发出Email网络安全事件——抵赖？甲给乙发送了一封Email甲否认发送过甲通过商家的网站购买了某些商品，并通过网络支付了所需的货款商家否认收到过来自甲的购货款网络安全概述网络安全的重要性政务、商务、金融、军事等网络安全是一个跨多门学科的综合性科学包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学等在理论上，网络安全是建立在密码学以及协议设计的基础上的从技术上，网络安全取决于两个方面：网络设备的硬件和软件的安全，以及设备的访问控制常见的不安全因素物理因素：物理设备的不安全，电磁波泄漏等系统因素：系统软、硬件漏洞，病毒感染，入侵网络因素：网络协议漏洞，会话劫持、数据篡改，网络拥塞，拒绝服务管理因素：管理员安全意识淡漠，误操作不安全的原因自身的缺陷：系统软硬件缺陷，网络协议的缺陷开放性系统开放：计算机及计算机通信系统是根据行业标准规定的接口建立起来的。标准开放：网络运行的各层协议是开放的，并且标准的制定也是开放的。业务开放：用户可以根据需要开发新的业务。黑客攻击基于兴趣的入侵基于利益的入侵信息战常见攻击手段社会工程：攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息从而提高攻击成功率口令破解：攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令地址欺骗：攻击者可通过伪装成被信任的IP地址，邮件地址等方式来骗取目标的信任连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而

假冒被接管方与对方通信网络窃听：网络的开放性使攻击者可通过直接或间接窃听获取所需信息数据篡改：攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性常见攻击手段（续）恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞，进而发起攻击基础设施破坏：攻击者可通过破坏DNS或路由信息等基础设施，使目标陷于孤立数据驱动攻击：攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标拒绝服务：攻击者可直接发动攻击，也可通过控制其它主机发起攻击，使目标瘫痪，如发送大量的数据洪流阻塞目标常见攻击小结中断（Interruption）〈-〉可用性（Availability）窃听（Interception）〈-〉机密性（Confidentiality）修改（Modification）〈-〉完整性（Integrity）伪造（Fabrication）〈-〉可认证性（Authenticity）网络安全的特征机密性 信息不泄漏给非授权的用户、实体或者过程的特性。完整性数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏的特性。可用性可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。可认证性确保通信实体就是它所声称的那个实体信息安全分类网络安全的主要任务保障网络与系统安全、可靠、高效、可控、持续地运行和被访问保障信息机密、完整、不可否认、可认证地传输和使用需要保护的对象硬件服务器、路由器、主机（PC&工作站等）等软件操作系统、应用软件等数据电子邮件、电子商务、电子政务、信息发布等第一章网络安全综述1.1网络安全概述1.2网络参考模型与安全模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准组织1.2网络参考模型与安全模型网络的体系结构采用分层原则层与协议的集合网络参考模型ISO-OSI（国际标准化组织-开放系统互连）模型TCP/IP模型（IETF）安全体系结构：ITU-T的X.800（ISO安全框架）和IETF的RFC2828安全攻击安全机制安全服务安全模型网络安全模型：涉及信息在网络传输中的安全（公网上的私有性保护）网络访问安全模型：涉及网络本身的安全（访问控制）ISO-OSI模型分组帧PDU:ProtocolDataUnit协议数据单元物理层：缆线，信号的编码，网络接插件的电、机械接口数据链路层：成帧，差错控制、流量控制，物理寻址，媒体访问控制网络层：路由、转发，拥塞控制传输层：为会话层提供与下面网络无关的可靠消息传送机制表示层：在两个应用层之间的传输过程中负责数据的表示语法应用层：处理应用进程之间所发送和接收的数据中包含的信息内容。数据的封装OSImnemonicsAllPeopleSeemToNeedDataProcessingPleaseDoNotThrowSausagePizzaAway应用层表示层会话层传输层网络层数据链路层物理层TCP/IP模型HTTPSMTPDNSRTPTCPUDPIP网络层链路+物理层传输层应用层………网络接口1网络接口2网络接口3OSI与TCP/IP模型的比较相同点：1.都是基于独立的协议栈概念。2.两者都有功能相似的应用层、传输层、网络层。不同点：1.在OSI模型中，严格地定义了服务、接口、协议；在TCP/IP模型中，并没有严格区分服务、接口与协议。2.OSI模型支持非连接和面向连接的网络层通信，但在传输层只支持面向连接的通信；TCP/IP模型只支持非连接的网络层通信，但在传输层有支持非连接和面向连接的两种协议可供用户选择。3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。安全体系结构RFC2828(InternetSecurityGlossary)X.800(SecurityArchitectureforOSI)安全攻击：损害机构所拥有信息的安全的任何行为。安全机制：设计用于检测、预防安全攻击或者恢复系统的机制。安全服务：系统提供的对资源进行特殊保护的进程或者通信服务。用一种或多种安全机制来实现安全服务，安全服务致力于抵御安全攻击。安全体系结构——安全攻击主动攻击(passiveattack):更改数据流，或伪造假的数据流。伪装（masquerade)重放(replay)篡改(modification)拒绝服务(denialofservice)被动攻击(activeattack):对传输进行偷听与监视，获得传输信息。窃听攻击(eavesdrop)流量分析(trafficanalysis)安全体系结构——安全机制特定的安全机制加密：用加密算法对信息加密。保护信息的机密性数字签名：用签名算法对信息进行计算，计算结果附加于信息单元。用于身份认证、数据完整性和非否认服务访问控制：用于实施资源访问权限的机制数据完整性：用于确保信息的完整性认证交换：确保信息交换的实体是所声称的实体，通过信息交换以确保实体身份，包括公知密码、特征、位置信息等流量填充：填充信息，防止流量分析路由控制：能够为特定数据选择特定路由公证：采用可信任的第三方以确保一些信息交换的性质另外有其他5种普通的安全技术：可信功能、安全标记、事件检测、安全审计跟踪、安全恢复。安全体系结构——安全服务认证（Authentication）:提供某个实体的身份保证对等实体认证、数据源认证访问控制（Accesscontrol）:保护资源，防止对它的非法使用和操纵数据机密性（Dataencryption）:保护信息不被泄露连接保密性、无连接保密性、选择域保密性、流量保密性数据完整性（Integrity）:保护信息以防止非法篡改具有恢复功能的连接完整性、无恢复功能的连接完整性、选择与连接完整性、无连接完整性、选择域无连接完整性不可否认性（No-repudiation）:防止参与通信的一方事后否认源点的不可否认性、信宿的不可否认性X.800定义了五类共14种安全服务安全服务与攻击的关系攻击服务报文分析流量分析伪装重放篡改拒绝服务对等实体认证Y数据源认证Y访问控制Y机密性Y流量机密性Y数据完整性YY非否认服务可用性Y安全服务与机制的关系安全机制安全服务加密数字签名访问控制完整性认证流量填充路由控制公证对等实体认证YYY数据源认证YY访问控制Y机密性YY流量机密性YYY数据完整性YYY非否认服务YYY可用性YY网络安全模型：实现端到端的安全通信算法机制协议身份认证信息的机密性、完整性、不可否认性网络访问安全模型:保护信息系统免遭恶意访问FirewallsandSecurityGatewaysIDSVPN保证网络的可用性、可控性第一章网络安全综述1.1网络安全概述1.2网络参考模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准组织1.3网络各层的相关安全协议链路层：链路隧道协议、加密技术网络层：包过滤机制、NAT、IPsec协议、VPN传输层/会话层

：SSL/TLS协议应用层：SHTTP、HTTPS、PGP、S/MIME等SecurityProtocolLayers第一章网络安全综述1.1网络安全概述1.2网络参考模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准组织1.4密码学基础知识1.密码学分类2.古典密码3.对称密码4.非对称密码5.Diffie-Hellman密钥交换1.密码算法分类按发展进程或体制分古典密码:基于字符替换的密码，现在已很少使用了，但是它代表了密码的起源对称密钥体制（SymmetricSystem）:加密密钥和解密密钥相同，这些算法也叫作单钥密码体制（one-keysystem)非对称密钥体制(AsymmetricSystem)：加密密钥和解密密钥不同，也叫公钥密码体制（publickeysystem)或双钥密码体制（two-keysystem）按加密模式分序列密码（streamcipher)：序列密码按位或字节加密，也可以称为流密码，序列密码是手工和机械密码时代的主流。分组密码(blockcipher)：分组密码将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。2.对称密码算法DES（数据加密标准，DataEncryptionStandard）背景1973年，NBS(后来的NIST,NationalInstituteofStandardsandTechnology)美国国家标准局征集数据加密标准方案1974年，IBM的Tuchman和Meyers发明Luciffer加密算法,NBS公布了IBM公司提供的该密码算法，以标准建议的形式在全国范围内征求意见1977年1月15日,DES正式颁布，供商业界和非国防性政府部门使用，同年7月15日生效。DES是一种对二元数据进行加密的算法，数据分组长度为64位，密文分组长度也是64位，使用的密钥为64位，有效密钥长度为56位，有8位用于奇偶校验，解密时的过程和加密时相似，但密钥的顺序正好相反，DES的整个体制是公开的，系统的安全性完全靠密钥的保密。DES算法的过程是在一个初始置换(IP，InitialPermutation)后，明文组被分成左半部分和右半部分，每部分32位，以L0和R0表示，然后是16轮迭代的乘积变换，称为函数f，将数据和密钥结合起来。16轮之后，左右两部分进行一次交换，再经过一个初始逆置换IP-1

，算法结束。初始置换与初始逆置换在密码意义上作用不大，他们的作用在于打乱原来输入x的ASCII码字划分关系，并将原来明文的校验位变成置换输出的一个字节。DES算法流程SingleRoundofDESAlgorithmDES算法的破解DES使用了近25年时间，它具有很强的抗密码分析能力，但它的密钥长度只有56比特，56-bit密钥有256=72,057,584,037,927,936≈7.2亿亿之多，随着计算机运算能力的增加，56比特长度的密码系统显得不安全了。1997年，RSA公司发起破译RC4、RC5、MD2、MD5，以及DES的活动，破译DES奖励10000美金。由RocheVerse牵头的工程小组动用了70000多台通过因特网连接起来的计算机系统，花费了96天找到了密钥。1998年7月，电子前沿基金会花费25万美圆制造的一台机器在不到3天的时间里攻破了DES。1999年在超级计算机上只要22小时!对称密码的性能安全性能密钥长度分组长度轮数密钥编排函数对密码分析的抵抗能力实现性能计算开销内存利用对加密系统的攻击未知算法攻击：仅从密文进行破译仅知密文攻击：根据加解密算法和密文进行破译已知明文攻击：攻击者拥有部分密文和对应的明文，根据算法寻找密钥选择明文攻击：有选择地使用任意明文和与之对应的密文信息，根据算法寻找密钥选择密文攻击：有选择地使用密文和与之对应的明文信息，根据算法寻找密钥其他算法三重DES使用三个密钥对数据块进行三次DES操作，三重DES有四种模型：DES-EEE3使用三个不同密钥顺序进行三次加密变换DES-EDE3使用三个不同密钥依次进行加密-解密-加密变换(3DES标准)DES-EEE2其中密钥K1=K3顺序进行三次加密变换DES-EDE2其中密钥K1=K3依次进行加密-解密-加密变换其他算法-续3DES问题所在算法开销采用64bits分组长度AES的出现1997年NIST征集高级加密标准要求与3DES等同或者更高的安全强度，且效率显著提高。要求块长度为128位，密钥长度可以是128、192、256位2001年，两轮评估，最终选择比利时密码学家提出的Rijndael算法，成为正式标准。其他算法-续IDEAIDEA是国际数据加密算法（InternationalDataEncryptionAlgorithm）的缩写，是1990年由瑞士联邦技术学院X.J.Lai和Massey提出的建议标准算法，称作PES（ProposedEncryptionStandard），Lai和Massey在1992年进行了改进，强化了抗差分分析的能力，改称为IDEA，它也是对64bit大小的数据块加密的分组加密算法，密钥长度为128位，它基于“相异代数群上的混合运算”设计思想算法，用硬件和软件实现都很容易，它比DES在实现上快得多。被推荐使用在PGP中64位明文经128位密钥加密成64位密文，穷举分析需要1038次试探，按每秒100万次计算说，则需要1013年。加密密钥与解密密钥不同，但是从一个主密钥派生出来，因此仍是对称的加密体制，目前尚无可验证的破译方法。算法本身倾向于软件实现，加密速度快。其他分块加密算法-续Blowfish1993年开发，密钥长度可变，最长可达448位，实际中常采用128位，块长度64RC5提出者：RonaldL.Rivest1994年开发，可变轮数，可变长密钥其后续版本RC6是作为AES的候选方案之一RC4是流密码算法（密钥生成伪随机比特流，与明文按bit异或）CAST-128密钥长度40-128bits可变，每轮的函数互相不同，CAST-256提供更长的密钥长度几种对称加密算法的比较算法密钥长度轮数数学计算应用DES5616异或、固定S盒SET，KerberosTripleDES112或16848异或、固定S盒PGP，S/MIMEIDEA1288异或、加法、乘法PGPBlowfish可变至44816异或、变长S盒、加法RC5可变至2048可变至255加法、减法、异或、旋转CAST-12840至12816加法、减法、异或、旋转、固定S盒PGP分组密码的工作模式分组密码一次处理一个数据分组。对于较长的明文，在分解成若干个分组之后，采用相同的密钥进行加密，NIST定义了5种工作模式电码本（ECB，ElectronicCodebook）模式密码分组链接（CBC，Cipher-blockchaining）模式密码反馈（CFB，Cipherfeedback）模式输出反馈（OFB，OutputFeedback）模式计数器（CRT，

Counter）模式分组密码的工作模式电码本（ECB：ElectronicCodebook）模式直接应用密码算法的工作模式给定明文x=x1x2···,将它分为b比特长的xi，ek是加密算法，产生密文分组ci=ek(xi)，完整的密文c按次序将ci连接起来：即c=c1c2···。分组密码的工作模式-续密码分组链接（CBC）模式给定明文的一个比特串x=x1x2···,

xi是b比特分组，IV是一个初始向量。c1=ek(x1⊕IV)，c2=ek(x2⊕c1)，ci=ek(xi⊕ci-1)分组密码的工作模式-续密码反馈（CFB）模式给定明文的一个比特串x=x1x2···,

xi是s比特分组，IV是一个初始向量。z1=ek(IV)，c1=x1⊕z1的s位z2=ek(IV

移位||c1的s位)，c2=x2⊕z2的s位zi=ek(上个移位寄存器内容移位||ci-1的s位)，ci=xi⊕zi的s位分组密码的工作模式-续输出反馈（OFB）模式z1=ek(IV)，c1=x1⊕z1zi=ek(zi-1)，ci=xi⊕zi分组密码的工作模式-续计数器（CRT）模式给定计算器初始值counterz1=ek(couter)，c1=x1⊕z1z2=ek(counter+1)，c2=x2⊕z2zi=ek(counter+i-1)，

ci=xi⊕zi3.公开密钥算法对称密码算法问题：密钥管理量问题：两两分别用一对密钥，当用户量增大时，密钥空间急剧增大。对称算法无法实现抗否认需求——数字签名非对称密码体制的基本原则加密能力与解密能力是分开的密钥分发简单需要保存的密钥量大大减少，N个用户只需要N个可满足不相识的人之间保密通信可以实现数字签名公开密钥算法基本思想公钥密码又称为双钥密码和非对称密码，1976年由Diffie和Hellman在其“密码学新方向”一文中提出的。RSA是1978年MIT的Rivist,Shamir和Adlemar开发的第一个公钥密码体制，最早提出的满足要求的公钥算法之一。（2002年图灵奖，2011年RSA2011终生成就奖）RSA密码体制基本原理A.密钥的生成选择p,q，p,q为互异素数，计算n=p*q,φ(n)=(p-1)(q-1),选择整数e与φ(n)互素，即gcd(φ(n),e)=1,1<e<φ(n)计算d,使d=e-1(modφ(n)),公钥Pk={e,n};私钥Sk={d,n}B.加密(用e,n)，明文是以分组方式加密的，每一个分组的比特数应小于n的二进制表示，即每一个分组的长度应小于log2n明文M<n，密文C=Me(modn).C.解密(用d,n)密文C，明文M=Cd（modn)模运算性质1.[(amodn)+(bmodn)]modn=(a+b)modn2.[(amodn)-(bmodn)]modn=(a-b)modn3.[(amodn)*(bmodn)]modn=(a*b)modn例：

887mod187=[(884mod187)x(882mod187)x(88mod187)] mod187 882mod187=7744mod187=77 884mod187=[(882mod187)*(882mod187)]mod187=(77x*77)mod187=132 887mod187=(132*77*88)mod187=11例：p＝5，q=7，n=35，φ(n)=24

选d=11，则e=inv(11,24)=11，m=2 C=memodn=211mod35=18 M=Cdmodn=1811mod35=2例：p=53，q=61，n=pq=3233，

φ(n)＝52*60=3120

令d=791，则e=71

令m=RENAISSANCE

即m=170413000818180013020426 170471mod3233=3106，…，

C=310601000931269119842927RSA的安全分析选取的素数p,q要足够大，使得给定了它们的乘积n，在不知道p,q情况下分解n在计算上是不可行的。1999年，一个292台计算机组成的网络花了5.2个月时间分解了一个155位的十进制数（512比特）。基于短期安全性考虑，要求n的长度至少应为1024比特，而长期安全性则需n至少为2048比特。其它公钥算法ELGamal密码1985年ELGamal设计的密码算法，该算法是基于有限域上离散对数问题求解的困难性。椭圆曲线密码1985年N.Koblitz和V.Miller分别独立提出了椭圆曲线密码体制(ECC)，其依据就是定义在椭圆曲线点群上的离散对数问题的难解性。Diffie-Hellman密钥交换4.Diffie-Hellman密钥交换(YB)

modp=K (YA)modp=KXBXAPrivateValue,

XAPublicValue,

YAPrivateValue,

XBPublicValue,

YBAliceBobYAYBYB

=g

modpXBYA

=g

modpXA中间人攻击AliceEveBobAliceEveBobYAYA’YBYB’第一章网络安全综述1.1网络安全概述1.2网络参考模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准组织1.5数字签名与认证通信中潜在的威胁消息伪造内容篡改延迟或重播否认数字签名-消息的不可否认性消息认证-消息的完整性1.数字签名公钥密码学的一个重要应用就是数字签名，数字签名就是利用私钥生成签名，而用公钥验证签名。一个数字签名方案时是由签名算法和验证算法组成签名算法利用私钥生成签名，称消息m的签名为sig（m），然后将（m，sig（m））发给接收方验证算法利用签名者的公钥对sig（m）进行解密，如果解密输出与m一致，则为合法数据。由于无法识别数字签名与其拷贝之间的差异，所以，在数字签名前应加上时间戳。数字签名标准（DSS）DSA（数字签名算法，是Elgamal公钥算法的一种变体）RSA2.消息认证可用来做认证的函数有三类：(1)加密函数用对称密钥加密，信息的完整作为对信息的认证用公钥密码中的私钥加密，但加密速度太