网络与信息安全

第一章1.1计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里信息数据的保密性、完整性及可使用性受到保护。网络安全的主要目标是要确保经网络传送的信息，在达到目的站时没有任何增加、改变、丢失或被非法读取。网络的信息安全，一般有以下4项要求：（1） 机密性：即消息只有合法的接收者才能读出，其他人即使收到也读不出（2） 真实性：即消息的确是由宣称的发送者发送的，如冒名顶替则会被发现（3） 完整性：即消息在传输过程中如果篡改则会被发现（4） 抗抵赖：即消息的发送者在发送后不能否认他发送过该消息被网络安全界广泛采用的是著名的“木桶理论”：整个系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节。1.2网络安全威胁的动机1.商业间谍2.经济利益3.报复或引人注意4.恶作剧5.无知1.3网络安全的层次结构主要包括物理安全（是指在物理介质层次上对存储和传输的网络信息的安全保护）、安全控制（是指在网络信息系统中对存储和传输信息的操作和进程进行控制和管理，重点是在网络信息处理层次上对信息进行初步的安全保护）和安全服务（是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别，以满足用户的安全需求，防止和抵御各种安全威胁和攻击）1.4国际标准化组织在网络安全体系的设计标准中，定义了5大安全服务功能：身份认证服务（确保会话对方的资源（人或计算机）同其声称的相一致）、数据保密服务（确保敏感信息不被非法获取）、数据完整性服务（系统只允许授权的用户修改信息，以保证所提供给用户的信息是完整无缺的）、不可否认服务（确保任何发生的交互在事后可以被证实，即所谓的不可抵赖性）和访问控制服务（确保会话双方（人或计算机）有权做其所声称的事情）。安全恢复：恢复动作可能有三种：1.立即的2.暂时的3.长期的第二章2.1密码学是以研究数据保密为目的，对存储和传输的信息进行秘密变换以防止第三者窃取信息的科学。被变换的信息称为明文，它可以是任何一段有意义的文字或数据；变换后的形式称为密文，密文应该是乱码，从字面上看没有任何意义。从明文到密文的转换过程称为加密，将密文还原成明文的过程称为解密密码学的基本原理：凯撒密码对称秘钥密码和非对称秘钥密码：对称算法有时又叫传统密码算法，就是加密秘钥能够从解密秘钥中推算出来，反过来也成立。在大多数对称算法中，加/解密秘钥是相同的，这些算法也叫秘密秘钥算法或单秘钥算法，它要求发送者和接收者在安全通信之前，商定一个秘钥。对称算法的安全性依赖于秘钥，泄露秘钥就意味着任何人都能对消息进行加密/解密对称秘钥密码算法有两种：分组密码和流密码。分组密码一次处理一个输入块，每个输入块生成一个输出块，而流密码对单个输入元素进行连续处理，同时产生连续单个输出元素。分组密码将明文消息划分成固定长度的分组，各分组分别在秘钥的控制下变换成等长度的密文分组。非对称算法的设计原理为：用做加密的秘钥不同于用做解密的秘钥，而且解密秘钥不能根据加密秘钥计算出来（至少在合理假定的有限时间内）。非对称算法也叫做公开秘钥算法，是因为加密秘钥能够公开，即陌生者能用加密秘钥加密信息，但只有用相应的解密秘钥才能解密信息。在这些系统中，加密秘钥叫做公开秘钥（简称公钥），解密密钥叫做秘密秘钥（简称私钥）。密码分析攻击有4类：1.唯密文攻击（密码分析者有一些消息的密文，这些消息都用同一加密算法加密，密码分析者的任务是恢复尽可能多的明文，或者最好是能推算出加密消息的密钥来，以便可采用相同的密钥解出其他被加密的消息）2.已知明文攻击（密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文。分析者的任务就是用加密信息推出用来加密的密钥）3.选择明文攻击（分析者不仅可得到一些消息的密文和相应的明文，而且他们也可选择被加密的明文，这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密，那些块可能产生更多关于密钥的信息。分析者的任务是推出用来加密消息的密钥）4.自适应选择明文攻击（这是选择明文攻击的特殊情况。密码分析者不仅能选择被加密的明文，而且也能基于以前加密的结果修正这个选择。他可选取较小的明文块，然后再基于第一块的结果选择另一明文块，依此类推）2.2数据加密标准（DES）（重点，计算）DES加密算法的密钥长度为56位，但一般表示为64位，其中，每个第8位用于奇偶检验。应注意DES在最后一轮后，左半部分和右半部分不再交换2.3IDEA即国际数据加密算法，IDEA是一个分组长度为64位的分组密码算法，密钥长度为128位IDES的加密过程包括两部分：（1）输入的64位明文组分成4个16位子分组：上_、上：、.〔；、「」。4个子分组作为算法第一轮的输入，总共进行8轮迭代运算，产生64位的密文输出。（2）输入的128位会话秘钥产生8轮迭代所需要的52个子秘钥，8轮运算中每轮需要6个，还有4个用于输出变换。2.4高级加密标准（AES）对AES的基本要求是：比三重DES快，至少与三重DES一样安全，数据分组长度为128bit，秘钥长度为128/192256bit1998年8月12日，在首届AES会议上公布了AES的15个候选算法。1999年3月，在第二届AES会议上经过对全球各密码机构和个人对候选算法分析结果的讨论，从15个候选算法中选出5个。2.5序列密码原理：序列密码加密时将明文划分成字符（如单个字母）或其编码的基本单元（如0、1），然后将其与密钥流进行运算（通常为异或），解密时以同步产生的相同密钥流实现解密。序列密码中有一种迄今为止在理论上不可破的加密方案，叫做一次一密乱码本。其基本思想是让秘钥和明文一样长，秘钥称为乱码本，用一次便不再用，永不重复。序列密码的加密原理如图：第三章3.1单向散列函数的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段（通常更小）密文，也可以简单地理解为取一串输入码（称为消息），并把它们转化为长度较短、位数固定的输出序列即散列值（也称为消息摘要）的过程。散列函数值可以说可以说是对明文的一种“指纹”或是“摘要”，是明文的压缩版，是明文的映射，可看成是明文的代表，就是用小的散列值代表大的明文。单向散列函数（又称哈希函数，杂凑函数）是将任意长度的消息M映射成一个固定长度散列值h（设长度为m）的函数H：h=H（M）SHA-1与MD5的比较特征项SHA-1MD5Hash值的长度160位128位分组处理的长度512位512位步数80（即4*20）64（即4*16）最大消息长度W况位不限非线性函数个数3（第2、4轮相同）4常数个数464根据各项特征，简要说明它们之间的不同。（1） 安全性：SHA-1所产生的摘要较MD5长32位。若两种散列函数在结构上没有任何问题的话，SHA-1比MD5更安全。（2） 速度：两种方法都考虑了以32位处理器为基础的系统结构，但SHA-1的运算步骤较MD5多了16步，而且SHA-1记录单元的长度比MD5多了32位。因此若是以硬件来实现SHA-1，其速度大约较MD5慢25%。（3） 简易性:两种方法都相当简单，在实现上不需要很复杂的程序或是大量的存储空间。然而总体上来讲，SHA-1每一步的操作都比MD5简单。3.4消息认证码（MAC）用户认证用于鉴别用户的身份是否合法;消息认证就是验证所收到的消息确实是来自真正的发送方且未被修改，也可以验证消息的顺序和及时性。消息认证实际上是对消息本身产生一个冗余的信息一一MAC附加在消息后面，其组成是消息、+消息认证码，用来认证消息的完整性。与密钥相关的单向散列函数通常称为MAC，用公式表示为：二二=•二、3.5对单向散列函数的攻击，最主要的两种是字典攻击（穷举攻击也属于字典攻击）和生日攻击。第四章（计算题）4.1美国斯坦福大学的W.Diffie和M.Hellman在1976年提出了公钥密码体系通信保密：将公钥作为加密密钥，私钥作为解密密钥，通信双方不需要交换密钥就可以实现保密通信。数字签名：将私钥作为加密密钥，公钥作为解密密钥，可实现由一个用户对数据加密，而由多个用户解读。密钥交换：通信双方交换会话密钥，以加密通信双方以后所传输的信息。每次逻辑连接使用一个新的会话密钥，用完就丢弃。RSA算法（大题）RSA密码系统的安全性基于大数分解的困难性。Diffie-Hellman算法（大题）的安全性在于有限域上的计算离散对数非常困难。4.4数字签名概述：（1）签名是可信的。文件的接收者相信签名者是慎重地在文件上签字的。（2） 签名不可伪造。证明是签字者而不是其他人在文件上签字。（3） 签名不可重用。签名是文件的一部分，不法之徒不可能将签名移到不同的文件上。（4） 签名的文件是不可改变的。在文件签名后，文件不能改变。（5） 签名是不可抵赖的。签名和文件是物理的东西，签名者事后不能声称他没有签过名。公钥密码学使得数字签名称为可能。用私钥加密信息，这时就称为对信息进行数字签名。将密文附在原文后，称为数字签名。其他人用相应的公钥去解密密文，将解出的明文与原文相比较，如果相同则验证成功，这称为验证签名。为了节约时间，数字签名协议经常和单向散列函数一起使用。Alice并不对整个文件签名，只对文件的散列值签名，在这个协议中，单向散列函数和数字签名算法是事先就协商好了的。（1） Alice产生文件的散列值（2） Alice用她的私钥对散列值加密，凭此表示对文件签名。（3） Alice将文件和散列签名送给Bob（4） Bob用Alice发送的文件产生文件的散列值，然后用Alice的公钥对签名的散列值解密。如果解密的散列值与自己产生的散列值相同，签名就是有效的。带加密的数字签名通过把公钥密码和数字签名结合起来，我们能够产生一个协议，可把数字签名的真实性和加密的安全性合起来。消息M9用Alice的私钥签名今用Bob的公钥加密今乙％「•，’-W"今用Bob的私钥解密今用Alice的公钥验证今消息M（1） Alice用她的私钥对信息签名:*（2） Alice用Bob的公钥对签名的信息加密，然后发送给Bob：乙二*八（3） Bob用他的私钥解密：二二「■:-=\■■■（4） Bob用Alice的公钥验证并且恢复出信息：二％■■- =■■■4.5数字签名算法用于数字签名标准DSS的数字签名算法DSARSA签名方案（重点）RSA算法也可以用于数字签名。我们可以获得私钥d，公钥e和n，则对消息m签名有：r=sig（m）=其中，H（m）计算消息m的散列值，可用SHA-1或MD5；r即为对消息的签名。验证签名时采用下面公式：H（m）=remodn若上式成立，则签名有效。以上部分为消息的签名过程，下半部分为验证过程，分述如下：（1）消息的签名过程。首先计算消息的哈希值，然后签名者用自己的私钥对哈希值签名，将签名后的消息（包括原消息和消息的哈希值签名）发给验证方。（2）消息的验证过程。首先用签名者的公钥对消息的哈希值签名进行验证，得到哈希值1,然后计算消息的哈希值，得到哈希值2,若果哈希值1和哈希值2相等则验证成功，否则不成功。习题：8.考虑一个常用质数q=11，本原根a=2的Diffif-Hellman方案。（1） 如果用户A的公钥为YA=9，则A的私钥XA为多少？（2） 如果用户B的公钥为YB=3，则共享的密钥K为多少？解I二二二则x=8共享密钥=% K=39.用Diffif-Hellman方案进行四方密钥交换要经过多少步？写出交换的过程和步骤。若有n方需要交换秘钥，又要经过多少步？解：12步子-t步第六章6.1信息隐藏，即将关键信息秘密地隐藏于一般的载体中（图像、声音、视频或一般的文档），或发行或通过网络传递。信息隐藏技术和传统密码技术的区别在于：密码仅仅隐藏了信息的内容，而信息隐藏不但隐藏了信息的内容而且隐藏了信息的存在。信息隐藏系统的特征1.鲁棒性（指不因宿主文件的某种改动而导致隐藏信息丢失的能力）2.不可检测性（指隐蔽宿主与原始宿主具有一致的特性）3.透明性（利用人类视觉系统或人类听觉系统的特性，经过一系列隐藏处理，使目标数据没有明显的降质现象，而隐藏的数据却无法人为地看见或听见）4.安全性（隐藏的信息内容应是安全的，最好经过某种加密后再隐藏，同时隐藏的具体位置也是安全的，至少不会因格式变换而遭到破坏）5.自恢复性（由于经过一些操作变换后，可能会使原图产生较大的破坏。如果只从留下的片段数据，就能恢复隐藏信息，而且恢复过程中不需要宿主信息，这就是所谓的自恢复性）6.可纠错性（为了保证隐藏信息的完整性，使其在经过各种操作和变换后仍能很好地恢复，通常米取纠错编码方法）6.2数字水印系统包含嵌入器和检测器两大部分数字水印的主要特征：1.不可见性（透明性）2.健壮性3.确定性4.安全性5.数据容量6.计算复杂度数字水印的分类：1.可见水印和不可见水印2.脆弱水印、半脆弱水印和健壮水印3.时/空域数字水印和频域数字水印4.非盲水印和盲水印5.私有水印和公开水印6.对称水印和非对称水印数字水印的主要应用领域：1.版权保护2.加指纹3.标题与注释4.篡改提示5.使用控制第七章PKI意为公钥基础设施。其作用是提供信息安全服务，可利用它保证网络中的信息安全。PKI是利用公钥密码技术提供一套安全基础平台的技术和规范证书权威通常简称CA，是可信任的第三方。CA的功能和组成CA是PKI的核心，CA负责管理PKI结构下的所有用户（包括各种计算机设备甚至是某个应用程序）的证书，把用户的公钥和用户的身份信息捆绑在一起，在网上验证用户的身份。CA还要负责用户证书的撤销列表登记和证书撤销列表发布。概括地说，CA的基本功能有证书发放、证书更新和证书撤销大型CA除自身外，还有许多远程的代理机构——注册中心RA签名秘钥对和加密密钥对，这两类密钥有不同的管理要求。（1） 签名秘钥对：签名密钥对由签名私钥和验证公钥组成。签名私钥具有日常生活中公章、私章、手写签名的作用，为了保持其唯一性，签名私钥绝对不能再CA做备份和存档。如果丢失只须重新生成新的密钥对，原来的签名仍可以使用旧公钥来进行验证。验证公钥（实际上存在于证书中）是需要存档的，用于验证旧的数字签名。用来做数字签名的这一对密钥一般可以有较长的生命期。（2） 加密密钥对：加密密钥对由加密公钥和解密私钥组成。为了防止私钥丢失时无法解密数据，解密私钥应该在CA进行备份和存档，以便在任何时候解密历史密文数据。另外，根据法律规定，需要时警方可以申请从CA取得用户私钥解密的相关数据。智能卡和USBKey很多网上银行都使用USBKey来保存用户的私钥，安全性比在硬盘上保存私钥高得多。7.3数字证书和CRL:数字证书类似于现实生活中的个人身份证。证书（和相关的私钥）可以提供诸如身份认证、完整性、机密性和不可否认性等安全服务，证书中的公钥可用于加密数据或验证对应私钥的签名。ASN.1是描述证书的语言X.509证书，ITU-T发布X.509标准定义了标准证书格式（现在使用的）CRL意为证书撤销列表OCSP在线证书状态协议7.4证书链：在CA的证书里，受限要验证CA的证书是否有效，然后再验证本证书是否有效，因此这是一个递归的过程。CA证书也许是另一个较大的CA签发的，那就要验证较大CA的证书，较大CA的证书也许是另一个更大CA签发的，那就要验证更大CA的证书，一直进行下去，直到最后一个CA，它的证书是自己给自己签发的。这种CA称为根CA，它的证书称为自颁发或自签名证书。这样就会形成一个证书链。顶端是根CA的自签名证书，中间是中级CA的证书，最后才是一般用户的证书。信任模型：1.层次模型2.对等模型和网状模型3.混合模型第八章8.2用户名和口令认证:通过用户名和口令进行身份认证是最简单，也是最常见的认证方式，但是认证的安全强度不高。根据处理方式的不同，有