网络信息服务平台的安全性

网络信息服务平台的安全性第1页/共49页基本概念:

什么是安全性?密码术报文鉴别信息安全性密钥发放和确认实用安全技术:PGP电子商务：SSL,SET防火墙技术2第9章

网络信息服务平台的安全性第2页/共49页三位网络安全领域里的“知名人士”Bob,Alice(恋人!)需要进行“私密”的通信Trudy,则是“侵入者”有可能对他人的通信进行截获、删改活动3敌友之间:Alice,Bob,TrudyFigure7.1goeshere第3页/共49页安全性:

只有发送方,意欲中的接收方能够

“理解”报文内容发送方加密报文接收方解密报文报文鉴别:

收发双方需要证实对方的身份

报文完整性:

收发双方需要保证报文不被篡改(在传输过程中,或传输完毕以后)，不被探测4什么是网络安全?第4页/共49页截获--被动攻击(主要的对应策略为加密传输)中断--主动攻击(主要的对应策略为信道冗余，防火墙的等)篡改--主动攻击(主要的对应策略为报文鉴别)伪造--主动攻击(主要的对应策略为报文鉴别)5网络上的主动攻击和被动攻击第5页/共49页分组泄漏（Packetsniffing）:

广播介质间谍NIC可以读出所有传输的分组即可以读出所有未加密的数据(e.g.passwords)e.g.:C在“嗅“B的分组6因特网的安全隐患(1)ABCsrc:Bdest:Apayload第6页/共49页IP欺骗（Spoofing）:

可以应用程序中产生“原始”的IP分组,将任意的值植入IP信源字段接受方往往分辨不出信源地址的真假e.g.:C假装成B7因特网安全隐患(2)ABCsrc:Bdest:Apayload第7页/共49页拒绝服务(Denialofservice,DOS)

:

发送“洪水”分组将接受方“淹死”分布式DOS(DDOS):多个协调的信源向接受端发起攻击e.g.,C和远程主机同步攻击A8因特网安全隐患(3)ABCSYNSYNSYNSYNSYNSYNSYN第8页/共49页对称密钥加密:收发双方密钥完全相同公共密钥加密:加密密钥公开,解密密钥保密

注：密码术是被动攻击主要防护策略9密码术的术语Figure7.3goeshereplaintextplaintextciphertextKAKB第9页/共49页替代密码:

使用一种符号来替代另一种单字符密码:用一个字母来替换另一个10常规密钥密码体制--对称密钥加密术明文:abcdefghijklmnopqrstuvwxyz密文:mnbvcxzasdfghjklpoiuytrewqPlaintext:bob.iloveyou.aliceciphertext:nkn.sgktcwky.mgsbcE.g.:Q:

这样的简单密码的解码难度如何?bruteforce(howhard?)other?第10页/共49页惟秘文攻击：只有密文，不知道内容的背景。统计分析对分析加密方案有用。已知明文攻击：已知某些明文和密文选择明文攻击：选择明文信息并且得到相应的秘文11解码难度分析第11页/共49页DES:DataEncryptionStandard美国加密标准[NIST1993]56-bit对称密钥,64bit明文输入DES安全性如何?DES挑战赛:对使用56-bit密钥的短语(“Strongcryptographymakestheworldasaferplace”)进行的解码(bruteforce)花费了4个月尚未找到

“后门”

解码方法让DES更安全对每个数据块顺序使用三层DES(3-DES)使用块状密码链(usecipher-blockchaining)12常规密钥密码体制:DES第12页/共49页初始置换16轮相同的运算,每次使用不同的48bits密钥最终置换13对称密钥密码术:DESDES运算第13页/共49页对称密码密码术要求收发双方约定共享的密钥Q:

如何进行密钥的约定(特别是在从未“谋面”的情况下)?14公开密钥密码术公开密钥密码术完全不同于对称密钥的加密方法[Diffie-Hellman76,RSA78]收发双方不共享密钥加密的密钥匙公开的(公诸于世)解码密钥是保密的(只有接收方知道)第14页/共49页Figure7.7goeshere15公共密钥密码术第15页/共49页需要加密d()和解密e()16公共密钥加密算法d(e(m))=m

BBBmm为d()和e()选取公开密钥和秘密密钥mm两个相关的要求:12RSA:Rivest,Shamir,Adelson算法BBB第16页/共49页17RSA:选择密钥1.

选取两个大质数p,q.(e.g.,每个1024bit)

2.

计算n=pq,z=(p-1)(q-1)3.

选择一个e(e<n)

并且与z没有公约数.(e,z

互质).4.

找到一个数d

并且ed-1可以为

z整除.(换言之:edmodz=1).5.

则公钥数对为(n,e).密钥数对为(n,d).第17页/共49页18RSA:加密,解密0.

假设(n,e)和(n,d)如前述方法计算1.

则加密过程为,设加密的位流为

m,则可计算出c=mmodne(i.e.,也就是m为n除后所得余数)e2.

若对接收到的位流

c进行解密,则可计算出m=cmodnddm=(mmodn)e

modndMagichappens!(i.e.,也就是c

为n除后所得余数)第18页/共49页19RSA举例:Bob选择p=5,q=7.Thenn=35,z=24.e=5(e,z

互质).d=29(且ed-1

可为z整除)

字母mmec=mmodnel12152483217cm=cmodnd1748196857210675091509141182522307200012cd字母l加密:解密:第19页/共49页20RSA:原理:m=(mmodn)e

modnd(mmodn)e

modn=mmodnded数论结果:

如果p,q

互质,n=pq,那么xmodn=xmodnyymod(p-1)(q-1)=mmodnedmod(p-1)(q-1)=mmodn1=m(使用上述数论结果)(由于我们

选择ed

可为(p-1)(q-1)所除且余数为1)第20页/共49页目的:Bob要求Alice“证明”其身份21报文鉴别Protocolap1.0:

Alice说：“IamAlice”为什么会失败??第21页/共49页22认证:再试一次Protocolap2.0:

Alice说“IamAlice”并

发送其IP地址进行证明为什么会失败??第22页/共49页23认证:又试一次Protocolap3.0:

Alice说“IamAlice”并发送口令证明.为什么会失败?第23页/共49页24认证:再试Protocolap3.1:

Alice说“IamAlice”并发送

其加密的口令进行证明.为什么会失败?IamAliceencrypt(password)第24页/共49页25认证:再试目的:

避免回放攻击失败,缺点?Figure7.11goeshere杜撰字(nonce):

number(R)的结果只用一次ap4.0:

为证明Alice是否处于“激活”状态,Bob给Alice发送nonce,R.Alice必须回送R,同时使用共享密钥对R进行加密第25页/共49页ap4.0要求共享对称密钥问题:Bob,Alice如何才能在共享秘钥上达成一致我们能否使用公开密钥机进行身份验证?ap5.0:

使用nonce,公开密钥加密技术26认证:ap5.0Figure7.12goeshere第26页/共49页中间人攻击:Trudy对Alice假扮Bob而对Bob假扮Alice27ap5.0:安全漏洞Figure7.14goeshere结论：需要“资质认证的”公钥第27页/共49页模拟手签的加密技术.发送方(Bob)对文件进行数字签名,确定他是文件的拥有者和创建者.可供鉴定,不可否认证据:接受方(Alice)可以确认这是Bob发送的文件.对报文进行简单的数字签名:Bob使用其私钥dB对m加密,创建了签过名的报文,dB(m).Bob将原始报文m和数字签名dB(m)发给Alice.28数字签名

第28页/共49页假设Alice收到了原始报文m,和数字签名

dB(m)Alice核对m报文的签名过程是使用Bob的公钥

eB

对数字签名档dB(m)进行解密，然后确认是否eB(dB(m))=m.如果eB(dB(m))=m,那么无论是谁签署了原始报文m

，必定使用了Bob的私钥。Alice即可确认:Bob签署了原始报文m.不会是他人签署的m.Bob签署的就是m而不是

m’.不可否认:Alice可以将原始报文m,和数字签名dB(m)

提交法庭作为Bob签署了报文m的证据.

29数字签名(续)第29页/共49页对长报文进行公钥加密计算成本非常昂贵目的:

固定长度,产生容易计算的数字签名,“指纹”应用散列函数H()可以对报文m进行处理,得到固定长度的报文摘要,H(m).理想散列函数的特点:多对一(Many-to-1)产生固定长度的报文摘要(指纹)假设有一个报文摘要x,但是如果想通过计算得到报文m的摘要并使x=H(m)是不可能的使用计算方法想找出两个报文m和m’

并使得H(m)=H(m’)也是不可能的30报文摘要第30页/共49页Bob发数字签名报文:Alice对所收报文的签名和报文完整性进行核对31数字签名=签过的报文摘要第31页/共49页因特网校验和可以看成性能很差的报文摘要.要找到两个相同的校验和十分容易.MD5散列函数得到了广泛的使用.

通过4个步骤计算128位报文摘要.任意的128位串x,如果要构造一个报文m使得其MD5散列结果等于x至少是十分困难的.SHA-1也有应用.US标准160-bit报文摘要32哈希函数算法第32页/共49页问题:如何解决两个实体通过网络实现对称密钥的共享?解决办法:具有公信力的密钥分发中心（keydistributioncenter(KDC)）来作为诸多实体间的中介问题:当Alice获取Bob的公钥时(可以从网站、e-mail,甚至软盘),如何能够使她相信这就是Bob的公钥,而不是Trudy的?解决办法:具有公信力的认证机构（certificationauthority(CA)）33具有公信力的中介（TrustedIntermediaries）第33页/共49页Alice,Bob需要共享对称密钥.KDC:

为每个注册的用户提供不同的密钥服务.Alice,Bob在KDC注册后，获取了自己的对称密钥,KA-KDCKB-KDC.34KeyDistributionCenter,KDC工作原理Alice与KDC联系,取得了会话密钥R1,andKB-KDC(A,R1)Alice给Bob发送

KB-KDC(A,R1),Bob取出R1Alice,Bob现在共享R1.第34页/共49页认证机构(CA)为特定的实体管理公开密钥.

实体(个人,路由器,etc.)可以在CA注册公开密钥.实体提供“身份证明”给CA.CA创建信任状将实体与公开密钥进行绑定.由CA对信任状进行数字签名.当Alice需要Bob的公开密钥时:获取Bob信任状(从Bob或其他什么地方).把CA提供的公开密钥对Bob的信任状进行认证和解码,从而得到Bob的公钥35认证机构（CA)工作原理第35页/共49页36Securee-mail(保密邮件)

产生一个随机的对称密钥,KS.

使用KS

对报文进行加密

同时使用Bob的公钥对KS

进行加密.

同时将KS(m)和eB(KS)两项内容发给Bob.

Alice要发送保密邮件报文,m,给Bob.第36页/共49页37Securee-mail(保密邮件

)（续）如果Alice需要提供发送方身份认证和报文完整性.

Alice对报文进行数字签名.

并同时发送两个报文(明文和数字签名).第37页/共49页38Securee-mail

(保密邮件

)（续）

如果Alice要提供保密、发送方认证和报文完整性.注意:

Alice既用了她的私钥，也使用了Bob的公钥，还有一个对称密钥第38页/共49页因特网e-mail的加密机制,一项既成事实的标准（ade-factostandard）.使用了前述的对称密钥加密术,公开密钥加密术,哈希函数,和数字签名技术提供了保密、发送方认证和报文完整性Inventor,PhilZimmerman,wastargetof3-yearfederalinvestigation.---BEGINPGPSIGNEDMESSAGE---Hash:SHA1Bob:Myhusbandisoutoftowntonight.Passionatelyyours,Alice---BEGINPGPSIGNATURE---Version:PGP5.0Charset:noconvyhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2---ENDPGPSIGNATURE---39Prettygoodprivacy(PGP)具备PGP签署的报文:第39页/共49页PGP为特定的网络应用项目提供安全性保证.SSL则工作在传输层.为任何使用TCP传输服务的应用程序或协议提供安全保障.SSL:可以用在WWW浏览器,服务器之间为电子商务服务(shttp/https).SSL安全服务包括:服务器认证数据加密客户端认证(可选)服务器认证:SSL使得浏览器可以使用来自CA的公钥.浏览器可以请求由CA发布的服务器信用状.浏览器通过CA的公钥来获取信用状上服务器的公钥.查看你的浏览器，有关CA的内容40安全插口层(Securesocketslayer,SSL)第40页/共49页加密的SSL会话:浏览器产生对称的会话密钥,再使用服务器的公钥加密后,将会话密钥发给服务器.服务器使用它保存的私钥将会话密钥进行解密.浏览器,服务器由此将下一步的报文交流的加密密钥取得一致.所有送入TCP插口的数据(无论是客户端还是服务器)全部使用对称密钥进行加密.SSL:成为IETF的传输层安全性(TLS)的基石.SSL可以用在非Web应用程序,e.g.,IMAP.客户端认证可以通过客户端信用状(clientcertificates)解决.41安全插口层(SSL)(续)第41页/共49页SSL比较简单而且发展较早,应用广泛SSL为付帐卡交易提供了一个通用平台SSL不是专门为支付卡交易设计的SSL缺少电子商务协议中要求的许多功能

42SSL的局限性第42页/共49页再次考虑Bob通过SSL从Alice公司购物的过程Bob从Alice接收到的签名证书可以证明确实在与AliceCo.进行交易一般证书不能够表明AliceCo.是否被授权接受支付卡交易以及公司是否是可靠(可能产生欺骗)客户端身份认证也有类似问题。即使启用SSL客户端身份认证，也不能够将Bob和特定授权的支付卡联系在一起(可能产生信用卡盗用)43SSL的局限性（续）第43页/共49页两种类型的防火墙:分组过滤器应用网关44防火墙为防止“拒绝服务”类攻击:SYNflooding:攻击者启动许多虚假的TCP连接，占据了主机上的TCP缓存资源，从而阻止了主机有效的服务.为防止非法修改内部数据.e.g.,攻击者使用其他网页来替换网站原有的主页为防止入侵者获取主机上的机密数据.将某个组织的内部网络与外部因特网隔离，允许某些分组通过，而阻止另外一部分.firewall第44页/共49页内部网络通过路由器连接到因特网.路由器厂商提供了分组过滤的选项，其依据是:源IP地址宿IP地址TCP/UDP