计算机网络与通信第10章课件

第10章网络安全10.1概述10.2两种密码体制10.3数字签名和报文摘要10.4身份认证和密钥分发10.5Internet网络安全技术10.1概述对网络的攻击可分为下面几类：截取(interception)篡改(Modification)伪造(fabrication)中断(interruption)网络安全结构SA(SecurityArchitecture)：身份认证（authentication）访问控制

(accesscontrol)数据保密（dataconfidentiality）数据完整

(dataintegrity)不可否认（nonrepudiation）10.2两种密码体制10.2.1密码学基础10.2.2对称密钥密码体制与DES算法10.2.3公开密钥密码体制与RSA算法10.2.1密码学基础例子，使用密钥bridge对明文timebombwillblowupatfive进行加密：密钥:bridge顺序:165243明文:timebombwillblowupatfive

10.2.1密码学基础现代密码学对称密钥密码体制(symmetrickeycryptography),典型算法是DES公开密钥密码体制(publickeycryptography)，典型算法是RSAKerckoff原则（Kerckoff’sprinciple）加密和解密算法是公开的，而密钥是保密的。密钥的穷举猜测是一种重要攻击手段

计算上不可破译:实用的密码体制一般是计算上不可破译的，而不是理论上不破译的。

10.2.2对称密钥密码体制与DES算法对称密钥密码体制

特点是解密时使用的解密密钥和加密时使用的加密密钥是通信双方共享的同一密钥，它称为共享密钥(sharedkey)。C=EK(P)P=DK(C)DK(EK(P))=P10.2.2对称密钥密码体制与DES算法

DES算法

10.2.2对称密钥密码体制与DES算法(1)

初始置换IP(InitialPermutation)

IP(P)将64比特的排列顺序变换，打乱ASCII码字划分的关系。

10.2.2对称密钥密码体制与DES算法(2)16次迭代加密：

Ki是48比特密钥，从原64比特的种子密钥经过变换生成。1）计算：

①将32b的Ri－1经扩展变换E()，扩展为48b的E(Ri－1)②将E(Ri－1)与密钥Ki（均48b）进行模2加，得结果B，并将B顺序地划分为8个6b长的组B1~B8:

10.2.2对称密钥密码体制与DES算法

③将B1~B8经S()变换分别转换为4b的组G1~G8，即：

S盒（S-box）：固定的4×16矩阵，元素为0~15的整数，例如S1()：10.2.2对称密钥密码体制与DES算法 由Sj()矩阵的第p行第q列元素就得到Gj，4比特长度。得到32b的G=G1G2G3G4G5G6G7G8。

对于Bj

=b1b2b3b4b5b6,由它求Gj：

④将G进行一次P()置换:至此，函数变换f()完成。10.2.2对称密钥密码体制与DES算法

P()置换

10.2.2对称密钥密码体制与DES算法10.2.2对称密钥密码体制与DES算法

解密过程和加密过程使用的算法相同，输入密文C，但以逆顺序生成16个密钥，即K16K15…K1,输出将是明文P。

DES算法主要使用异或、位循环、替代置换等初级运算，运算很快，可以用于大量数据的加密。

10.2.2对称密钥密码体制与DES算法IP逆置换

10.2.2对称密钥密码体制与DES算法（2）三重DES(TripleDES)使用两个密钥，长度共112bit

加密:C=EK1（DK2（EK1（P）））

解密：P=DK1（EK2（DK1（C）））对称密钥密码体制的其它加密算法

国际数据加密算法IDEA：128比特的密钥Rijndael：128~256比特的密钥10.2.3公开密钥密码体制与RSA算法公开密钥密码体制

使用一对不相同的加密密钥与解密密钥，也称为非对称密钥密码体制(asymmetrickeycryptography)。

公钥PK（PublicKey），私钥（PrivateKey），记为SK。

DSK(EPK(P))＝P

公开密钥密码体制的特点：加密密钥是公开的，但不能解密，即：DPK(EPK(P))≠P；解密密钥是接收者专用的秘密密钥，对其他人必须保密；加密和解密算法都是公开的；加密和解密的运算可以对调，即：EPK(DSK(P))＝P；在计算机上可以容易地产生PK和SK对；从已知的PK推导出SK在计算上是不可能的。10.2.3公开密钥密码体制与RSA算法公开密钥密码体制10.2.3公开密钥密码体制与RSA算法(2)密钥的生成

①计算n:秘密地选择两个大素数p和q，计算出n=pq；②计算φ(n):欧拉函数φ(n)=(p－1)(q－1)；③选择e:从[0,φ(n)－1]中选择一个与φ(n)互素的数e；④计算d:d应满足：

e×d=1Modφ(n)上式表示e×d和1对模φ(n)同余。⑤得出密钥:PK＝{e,n}，SK＝{d,n}。10.2.3公开密钥密码体制与RSA算法RSA算法的例子：①选择p=3,q=11，计算出n=pq=33；②计算φ(n)=(p－1)（q－1）=20；③从[0,φ(n)－1]=[0,19]中选择一个与20互素的数

e=7；④7d＝1Mod20，可求得一个d=3；⑤PK＝{e,n}={7,33},SK＝{d,n}={3,33}。

10.3数字签名和报文摘要数字签名满足上述三点要求：

因为P要用A的PK-A才能解密，所以报文是用A的加密密钥SK-A加密的，因此，B可以认证P一定是A签发的。因为P只能用A的私钥SK-A进行签名，中途窃取者和接收者无法进行篡改和伪造。若A欲否认曾签发P给B，B可将P及DSK-A(P)出示给第三者,第三者很容易用PK-A由DSK-A(P)得到P,证实是A签发了P，A无法否认。10.3数字签名和报文摘要具有加密的数字签名：

10.3数字签名和报文摘要报文摘要

数字签名存在问题：加密和解密处理花费时间长，有时应用中某些报文并无加密要求(但也需防止篡改、伪造和否认)。

报文摘要MD(MessageDigest，整个报文映射的一个短的位串，是一种单向的散列函数（one-wayHashfunction）。MD(P)一般是128~512比特。为使MD(P)可以充分地代表P，MD算法应具有如下特点：给定一个报文P,容易计算MD(P)，但反过来，给定一个报文摘要X,由X找到一个报文P使得MD(P)=X，在计算上是不可行的；若想找到任意两个报文P和P’，使得MD(P)=MD(P’)，在计算上也是不可行的。

10.3数字签名和报文摘要报文认证码MAC(MessageAuthenticationCode)MAC=DSK-A(MD(P))报文摘要算法保证了MD(P)能充分地代表，对报文P来说，同样也起到了数字签名安全性的3个作用，相当于没有加密的数字签名。它却有一个非常明显的优点：仅对短的报文摘要MD(P)而不是对整个报文P进行数字签名，可以大大节省处理时间。MD5，128比特的MAC，散列算法SHA(SecureHashAlgorithm)，MAC为160比特，新版本是SHA-1。10.3数字签名和报文摘要使用报文摘要的数字签名

10.4身份认证和密钥分发身份认证简介

身份认证（authentication）也称身份鉴别，是识别通信对方身份的技术。

身份认证和报文认证有所区别:后者是指对每一个收到的报文的发送者都要认证，而前者是指通过一次通信过程对对方进行一次身份认证，一般是在数据传输前进行认证。

简单的认证可以通过用户名和口令实现。但口令是可重用的，容易被攻击者窃听。

身份认证系统需要解决的一个重要问题是如何在网上安全地分发密钥。10.4身份认证和密钥分发基于对称密钥的身份认证和密钥分发密钥分发与密钥分发中心

网外分发方式

网内分发方式

密钥分发中心KDC(KeyDistributionCenter):为通信双方生成和分发密钥。基于对称密钥的身份认证和密钥分发机制

Needham-Schroeder协议:基于质询-响应（challenge-response）方式。10.4身份认证和密钥分发基于KDC的Needham-Schroeder身份认证和密钥分发

10.4身份认证和密钥分发

一次性随机数(nonce,numberonce):可以防止窃听者利用以前截取的报文进行重放攻击（replayattack）。

会话密钥（sessionkey）:一次一密，由机器随机产生，一般使用速度快的对称密码体制。基于公钥的身份认证和公钥分发基于公钥的认证

基于如下质询-响应方式：

10.4身份认证和密钥分发公钥分发

公钥基础设施PKI(PublicKeyInfrastructure)

公钥证书(PKcertificate):基本功能就是将一个公钥与安全体的名字绑定在一起。证书中不包含私钥。

PKIX基于所谓的证书权威机构CA(CertificationAuthority)。CA负责生成和签发电子公钥证书。CA用自己的私钥对公钥证书进行数字签名，用户使用CA的公钥验证其他用户证书上CA的签名，以核实证书的有效性。这样，通信双方就可以使用对方证书上的公钥认证对方的身份。

10.4身份认证和密钥分发X.509版本3公钥证书结构

版本号序列号签名算法颁发者有效期主体主体公钥信息颁发者标识符主体标识符扩展签名10.5Internet网络安全技术10.5.1防火墙10.5.2网际层安全技术10.5.3传输层安全技术10.5.4应用层安全技术10.5.1防火墙(firewall)防火墙技术包过滤技术：由包过滤路由器（packetfilteringrouter）实现IP级防火墙。包过滤路由器位于内部和外部网络的连接处，根据IP包的源地址、目的地址、源端口号、目的端口号等对IP包进行过滤，结构和实现简单。只能控制到IP地址和端口级，无法做到用户级的身份认证和访问控制。代理服务技术：由应用网关(applicationgateway)实现应用级防火墙。通过应用代理服务程序对应用层数据进行安全控制和信息过滤，还有用户级的认证、日志、计费等功能。只能针对特定的应用构建，内部网络通常需要有多个应用网关。

10.5.1防火墙(firewall)两种防火墙技术可以组合在一起，形成某种结构的火墙系统。

防火墙的例子10.5.1防火墙(firewall)防火墙系统结构

防火墙系统的结构主要分为以下4种：

(1)

包过滤防火墙（packetfilteringfirewall）

(2)双穴主机网关防火墙(dual-homedgatewayfirewall)

(3)屏蔽主机网关防火墙(screenedhostgatewayfirewall)

(4)屏蔽子网防火墙(screenedsubnetfirewall)

堡垒主机（bastionhost）

10.5.1防火墙(firewall)(1)包过滤防火墙

10.5.1防火墙(firewall)(2)双穴主机网关防火墙10.5.1防火墙(firewall)(3)屏蔽主机网关防火墙

10.5.1防火墙(firewall)

非军事区DMZ(DeMilitarzedZone):

作为一个额外的缓冲区以进一步隔离内部网络和外部网络。企业对外信息服务器，如Web、Email服务器等可放在DMZ,包含重要内部信息的服务器等则放在内部网络。

(4)屏蔽子网防火墙

10.5.2网际层安全技术IP安全(IPSec)

IP协议存在很大的安全隐患：没有提供数据源的认证没有为数据提供强有力的完整性保护没有为数据提供加密性保护还存在着针对IP协议的其他攻击IPSec主要包括以下几个部分：安全协议:认证首部AH(AuthenticationHeader)和封装安全载荷ESP(EncapsulatingSecurityPayload);安全关联SA(SecurityAssociation);密钥交换IKE（InternetKeyExchange）;认证和加密算法。

10.5.2网际层安全技术安全协议AH和ESP

AH:提供IP数据报的源站身份认证和完整性校验，但不提供数据报加密。AH对IP数据报（除传输中会发生变化的字段）计算报文摘要后再进行数字签名，即MAC,也称为完整性校验值ICV(IntegrityCheckValue)，ICV存于AH的一个字段中，供对方进行校验。AH标准规定必须支持报文摘要算法MD5和SHA-1。

ESP:可以实现IP数据报的源站身份认证和完整性校验，还可以实现数据报的加密。

10.5.2网际层安全技术AH和ESP格式

10.5.2网际层安全技术

IPsec的两种使用模式：传输模式和隧道模式传输模式中的AH和ESP

10.5.2网际层安全技术隧道模式中的AH和ESP

10.5.2网际层安全技术安全关联(SA)

SA指定进行安全通信的参数。使用AH/ESP之前，要通过密钥交换IKE在通信双方方之间协商建立SA。在它们的安全关联数据库SAD中存储SA的参数。

SAD中的SA参数主要有：序号计数器用于生成AH/ESP首部中的序号；AH认证算法和所需的密钥；ESP认证算法和所需的密钥；ESP加密算法、密钥、初始向量IV；IPSec协议操作模式(传输模式/隧道模式)；SA的生存期TTL（TimeToLive）。安全策略数据库SPD（SecurityPolicyDatabase）

10.5.2网际层安全技术因特网密钥交换(IKE)

IKE是自动进行SA的创建、管理和删除的协议。

IKE是一个混合型的协议，因特网安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)以及Oakley和SKEME两个密钥交换协议构成了IKE的基础。

IKE的密钥协商分为两个阶段：第1阶段：对IPSec对等方进行认证并生成会话密钥供后续使用，在IPSec两个端点生成ISAKMPSA。第2阶段：在ISAKMPSA的保护下，双方协商IPSec安全服务，建立IPSecSA。

10.5.2网际层安全技术DH（Diff