《永不消失的责任》一个思维敏锐

第11讲

网络信息服务平台的安全性基本概念:

什么是安全性?密码术报文鉴别信息安全性密钥发放和确认实用安全技术:PGP电子商务：SSL,SET防火墙技术参考教科书：第11章聚划算

/1敌友之间:Alice,Bob,Trudy三位网络安全领域里的“知名人士”Bob,Alice(恋人!)需要进行“私密”的通信Trudy,则是“侵入者”有可能对他人的通信进行截获、删改活动Figure7.1goeshere2什么是网络安全?安全性:

只有发送方,意欲中的接收方能够“理解”报文内容发送方加密报文接收方解密报文报文鉴别:

收发双方需要证实对方的身份

报文完整性:

收发双方需要保证报文不被篡改(在传输过程中,或传输完毕以后)，不被探测3网络上的主动攻击和被动攻击截获--被动攻击(主要的对应策略为加密传输)中断--主动攻击(主要的对应策略为信道冗余，防火墙的等)篡改--主动攻击(主要的对应策略为报文鉴别)伪造--主动攻击(主要的对应策略为报文鉴别)4因特网的安全隐患(1)分组泄漏（Packetsniffing）:

广播介质间谍NIC可以读出所有传输的分组即可以读出所有未加密的数据(e.g.passwords)e.g.:C在“嗅“B的分组ABCsrc:Bdest:Apayload5因特网安全隐患(2)IP欺骗（Spoofing）:

可以应用程序中产生“原始”的IP分组,将任意的值植入IP信源字段接受方往往分辨不出信源地址的真假e.g.:C假装成BABCsrc:B

dest:Apayload6因特网安全隐患(3)拒绝服务(Denialofservice,DOS)

:

发送“洪水”分组将接受方“淹死”分布式DOS(DDOS):多个协调的信源向接受端发起攻击e.g.,C和远程主机同步攻击AABCSYNSYNSYNSYNSYNSYNSYN7密码术的术语对称密钥加密:收发双方密钥完全相同公共密钥加密:加密密钥公开,解密密钥保密

注：密码术是被动攻击主要防护策略Figure7.3goeshereplaintextplaintextciphertextKAKB8常规密钥密码体制--对称密钥加密术替代密码:

使用一种符号来替代另一种单字符密码:用一个字母来替换另一个明文:abcdefghijklmnopqrstuvwxyz密文:mnbvcxzasdfghjklpoiuytrewqPlaintext:bob.iloveyou.aliceciphertext:nkn.sgktc

wky.mgsbcE.g.:Q:

这样的简单密码的解码难度如何?bruteforce(howhard?)other?9解码难度分析惟秘文攻击：只有密文，不知道内容的背景。统计分析对分析加密方案有用。已知明文攻击：已知某些明文和密文选择明文攻击：选择明文信息并且得到相应的秘文10常规密钥密码体制:DESDES:DataEncryptionStandard美国加密标准[NIST1993]56-bit对称密钥,64bit明文输入DES安全性如何?DES挑战赛:对使用56-bit密钥的短语(“Strongcryptographymakestheworldasaferplace”)进行的解码(bruteforce)花费了4个月尚未找到“后门”解码方法让DES更安全对每个数据块顺序使用三层DES(3-DES)使用块状密码链(usecipher-blockchaining)11对称密钥密码术:DES初始置换16轮相同的运算,每次使用不同的48bits密钥最终置换DES运算12公开密钥密码术对称密码密码术要求收发双方约定共享的密钥Q:

如何进行密钥的约定(特别是在从未“谋面”的情况下)?公开密钥密码术完全不同于对称密钥的加密方法[Diffie-Hellman76,RSA78]收发双方不共享密钥加密的密钥匙公开的(公诸于世)解码密钥是保密的(只有接收方知道)13公共密钥密码术Figure7.7goeshere14公共密钥加密算法需要加密d()和解密e()d(e(m))=m

BBBmm为d()和e()选取公开密钥和秘密密钥mm两个相关的要求:12RSA:

Rivest,Shamir,Adelson

算法BBB15RSA:选择密钥1.

选取两个大质数p,q.(e.g.,每个1024bit)

2.

计算n=pq,z=(p-1)(q-1)3.

选择一个e(e<n)

并且与z没有公约数.(e,z

互质).4.

找到一个数d

并且ed-1可以为

z整除.(换言之:edmodz=1).5.

则公钥数对为(n,e).密钥数对为(n,d).16RSA:加密,解密0.

假设(n,e)和(n,d)如前述方法计算1.

则加密过程为,设加密的位流为

m,则可计算出c=mmodne(i.e.,也就是m为n除后所得余数)e2.

若对接收到的位流

c进行解密,则可计算出m=cmodnddm=(mmodn)e

modndMagichappens!(i.e.,也就是c

为n除后所得余数)17RSA举例:Bob选择p=5,q=7.Thenn=35,z=24.e=5(e,z

互质).d=29(且ed-1

可为z整除)

字母mmec=mmodnel12152483217cm=cmodnd1748196857210675091509141182522307200012cd字母l加密:解密:18RSA:原理:m=(mmodn)e

modnd(mmodn)e

modn=mmodnded数论结果:

如果p,q

互质,n=pq,那么xmodn=xmodnyymod(p-1)(q-1)=mmodnedmod(p-1)(q-1)=mmodn1=m(使用上述数论结果)(由于我们

选择ed

可为(p-1)(q-1)所除且余数为1)19报文鉴别目的:Bob要求Alice“证明”其身份Protocolap1.0:

Alice说：“IamAlice”为什么会失败??20认证:再试一次Protocolap2.0:

Alice说“IamAlice”并

发送其IP地址进行证明为什么会失败??21认证:又试一次Protocolap3.0:

Alice说“IamAlice”并发送口令证明.为什么会失败?22认证:再试Protocolap3.1:

Alice说“IamAlice”并发送

其加密的口令进行证明.为什么会失败?IamAliceencrypt(password)23认证:再试目的:

避免回放攻击失败,缺点?Figure7.11goeshere杜撰字(nonce):

number(R)的结果只用一次ap4.0:

为证明Alice是否处于“激活”状态,Bob给Alice发送nonce,R.Alice必须回送R,同时使用共享密钥对R进行加密24Figure7.12goeshere认证:ap5.0ap4.0要求共享对称密钥问题:Bob,Alice如何才能在共享秘钥上达成一致我们能否使用公开密钥机进行身份验证?ap5.0:

使用nonce,公开密钥加密技术25Figure7.14goeshereap5.0:安全漏洞中间人攻击:Trudy对Alice假扮Bob而对Bob假扮Alice结论：需要“资质认证的”公钥26数字签名

模拟手签的加密技术.发送方(Bob)对文件进行数字签名,确定他是文件的拥有者和创建者.可供鉴定,不可否认证据:接受方(Alice)可以确认这是Bob发送的文件.对报文进行简单的数字签名:Bob使用其私钥dB对m加密,创建了签过名的报文,dB(m).Bob将原始报文m和数字签名dB(m)发给Alice.27数字签名(续)假设Alice收到了原始报文m,和数字签名

dB(m)Alice核对m报文的签名过程是使用Bob的公钥

eB

对数字签名档dB(m)进行解密，然后确认是否eB(dB(m))=m.如果eB(dB(m))=m,那么无论是谁签署了原始报文m

，必定使用了Bob的私钥。Alice即可确认:Bob签署了原始报文m.不会是他人签署的m.Bob签署的就是m而不是

m’.不可否认:Alice可以将原始报文m,和数字签名dB(m)

提交法庭作为Bob签署了报文m的证据.

28报文摘要对长报文进行公钥加密计算成本非常昂贵目的:

固定长度,产生容易计算的数字签名,“指纹”应用散列函数H()

可以对报文m进行处理,得到固定长度的报文摘要,H(m).理想散列函数的特点:多对一(Many-to-1)产生固定长度的报文摘要(指纹)假设有一个报文摘要x,但是如果想通过计算得到报文m的摘要并使x=H(m)是不可能的使用计算方法想找出两个报文m和m’并使得H(m)=H(m’)也是不可能的29数字签名=签过的报文摘要Bob发数字签名报文:Alice对所收报文的签名和报文完整性进行核对30哈希函数算法因特网校验和可以看成性能很差的报文摘要.要找到两个相同的校验和十分容易.MD5散列函数得到了广泛的使用.

通过4个步骤计算128位报文摘要.任意的128位串x,如果要构造一个报文m使得其MD5散列结果等于x至少是十分困难的.SHA-1也有应用.US标准160-bit报文摘要31具有公信力的中介（TrustedIntermediaries）问题:如何解决两个实体通过网络实现对称密钥的共享?解决办法:具有公信力的密钥分发中心（keydistributioncenter(KDC)）来作为诸多实体间的中介问题:当Alice获取Bob的公钥时(可以从网站、e-mail,甚至软盘),如何能够使她相信这就是Bob的公钥,而不是Trudy的?解决办法:具有公信力的认证机构（certificationauthority(CA)）32KeyDistributionCenter,KDC工作原理Alice,Bob需要共享对称密钥.KDC:

为每个注册的用户提供不同的密钥服务.Alice,Bob在KDC注册后，获取了自己的对称密钥,KA-KDCKB-KDC.Alice与KDC联系,取得了会话密钥R1,andKB-KDC(A,R1)Alice给Bob发送

KB-KDC(A,R1),Bob取出R1Alice,Bob现在共享R1.33认证机构（CA)工作原理认证机构(CA)为特定的实体管理公开密钥.

实体(个人,路由器,etc.)可以在CA注册公开密钥.实体提供“身份证明”给CA.CA创建信任状将实体与公开密钥进行绑定.由CA对信任状进行数字签名.当Alice需要Bob的公开密钥时:获取Bob信任状(从Bob或其他什么地方).把CA提供的公开密钥对Bob的信任状进行认证和解码,从而得到Bob的公钥34Securee-mail(保密邮件)

产生一个随机的对称密钥,KS.

使用KS

对报文进行加密

同时使用Bob的公钥对KS

进行加密.

同时将KS(m)和eB(KS)两项内容发给Bob.

Alice要发送保密邮件报文,m,给Bob.35Securee-mail(保密邮件

)（续）如果Alice需要提供发送方身份认证和报文完整性.

Alice对报文进行数字签名.

并同时发送两个报文(明文和数字签名).36Securee-mail

(保密邮件

)（续）

如果Alice要提供保密、发送方认证和报文完整性.注意:

Alice既用了她的私钥，也使用了Bob的公钥，还有一个对称密钥37Prettygoodprivacy(PGP)因特网e-mail的加密机制,一项既成事实的标准（ade-factostandard）.使用了前述的对称密钥加密术,公开密钥加密术,哈希函数,和数字签名技术提供了保密、发送方认证和报文完整性Inventor,PhilZimmerman,wastargetof3-yearfederalinvestigation.---BEGINPGPSIGNEDMESSAGE---Hash:SHA1Bob:Myhusbandisoutoftowntonight.Passionatelyyours,Alice---BEGINPGPSIGNATURE---Version:PGP5.0Charset:noconvyhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2---ENDPGPSIGNATURE---具备PGP签署的报文:38安全插口层(Securesocketslayer,SSL)PGP为特定的网络应用项目提供安全性保证.SSL则工作在传输层.为任何使用TCP传输服务的应用程序或协议提供安全保障.SSL:可以用在WWW浏览器,服务器之间为电子商务服务(shttp/https).SSL安全服务包括:服务器认证数据加密客户端认证(可选)服务器认证:SSL使得浏览器可以使用来自CA的公钥.浏览器可以请求由CA发布的服务器信用状.浏览器通过CA的公钥来获取信用状上服务器的公钥.查看你的浏览器，有关CA的内容39安全插口层(SSL)(续)加密的SSL会话:浏览器产生对称的会话密钥,再使用服务器的公钥加密后,将会话密钥发给服务器.服务器使用它保存的私钥将会话密钥进行解密.浏览器,服务器由此将下一步的报文交流的加密密钥取得一致.所有送入TCP插口的数据(无论是客户端还是服务器)全部使用对称密钥进行加密.SSL:成为IETF的传输层安全性(TLS)的基石.SSL可以用在非Web应用程序,e.g.,IMAP.客户端认证可以通过客户端信用状(clientcertificates)解决.40SSL的局限性SSL比较简单而且发展较早,应用广泛SSL为付帐卡交易提供了一个通用平台SSL不是专门为支付卡交易设计的SSL缺少电子商务协议中要求的许多功能

41SSL的局限性（续）再次考虑Bob通过SSL从Alice公司购物的过程Bob从Alice接收到的签名证书可以证明确实在与AliceCo.进行交易一般证书不能够表明AliceCo.是否被授权接受支付卡交易以及公司是否是可靠(可能产生欺骗)客户端身份认证也有类似问题。即使启用SSL客户端身份认证，也不能够将Bob和特定授权的支付卡联系在一起(可能产生信用卡盗用)42安全电子事务(

Secureelectronictransactions,SET)协议为在因特网上使用信用卡业务专门设计.在交易的三方间提供安全服务:客户商家商家的结算银行三方都必须具备证书.SET定义了各类证书的法律含义.划清各方的责任界限客户的卡号直接送到商家的结算银行，而商家看不到客户的卡号（明文）.防止了商家的滥用或泄露客户的卡号.三个软件/部件:浏览器钱包商家服务器收单银行的支付网关(Acquirergateway)43SET交易过程假设Bob想通过因特网和SET从AliceCo购物Bob向Alice表明他需要进行信用卡购物Alice向Bob发送发货清单和惟一的交易标识符Alice向Bob发送商业证书和商家公钥。Alice还要发她的银行证书和银行的公钥。两个证书都用CA的私钥加密Bob用CA的公钥对两个证书解密。Bob现在有了AliceCo.和银行的公钥44SET交易过程(续)Bob产生两个信息包：订单信息(0I)

和购买指令(PI),发送给AliceCo.OI是给AliceCo.的，其中包含交易标识符和使用的卡的种类。但并不包括Bob的卡号。PI是给Alice的银行的，包含交易标识符、卡号和Bob的购物价值。OI和PI的加密是不同的；OI是用Alice的公钥加密，而PI是用Alice银行的公钥加密(确切地说，OI和PI是用客户—商商家的会话密钥和客户-银行的会话密钥加密)45SET交易过程(续)Alice为支付卡支付请求生成授权请求，其中包含交易标识符Alice将用银行的公钥加密的报文发送给银行(实际上使用会话密钥)。这个报文包括授权请求、来自Bob的PI包和Alice

Co.的证书Alice的银行接收到报文并且拆解。银行检查其完整性。它也确定在授权请求中的交易标识符和Bob的PI包中的相同Alice的银行通过传统的银行卡通道向Bob的支付卡银行发送支付授权请求46SET交易过程(续)一旦Bob的银行授权了这笔支付，Alice的银行向Alice发送响应，这个响应包含交易标识符。如果这笔交易通过了，Alice向Bob发送她的响应报文。这个报文是一个收据，通知Bob支付被接受了,商品将要交付。47防火墙两种类型的防火墙:分组过滤器应用网关为防止“拒绝服务”类攻击:SYNflooding:攻击者启动许多虚假的TCP连接，占据了主机上的TCP缓存资源，从而阻止了主机有效的服务.为防止非法修改内部数据.e.g.,攻击者使用其他网页来替换网站原有的主页为防止入侵者获取主机上的机密数据.将某个组织的内部网络与外