网络安全笔记VIP

网络安全——技术与实践第1章 网络安全概论信息安全3个基本目标：（1）保密性（2）完整性（3）可用性1.1对网络安全的需求1.1.1网络安全发展态势（1）计算机病毒层出不穷，肆虐全球，并且逐渐呈现新的传播态势和特点。（2）黑客对全球网络的恶意攻击势头逐年攀升。（3）由于技术和设计上的不完备，导致系统存在缺陷或安全漏洞。（4）世界各国军方都在加紧进行信息战的研究。1.1.2敏感信息对安全的需求根据多级安全模型，通常将信息的密级由低到高划分为秘密级、机密级和绝密级，以确保每一级的信息仅能让那些具有高于或等于该权限的人使用。1.1.3网络应用对安全的需求1.2安全威胁与防护措施1.2.1基本概念安全威胁，是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。攻击就是安全威胁的具体实施。防护措施，是指保护资源免受威胁的一些物理的控制、机制、策略和过程。脆弱性是指在实施保护措施中或缺少防护措施时，系统所具有的弱点。风险，是对某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。安全威胁可以分为故意的和偶然的。故意的威胁又可以进一步分为被动攻击和主动攻击。被动攻击只对信息进行监听，而不对其进行修改。主动攻击却对信息进行故意的修改。威胁分析的3个阶段：首先对基本的威胁加以区分；其次，对主要的可实现的威胁进行分类；最后，对潜在的威胁进行分类。1.2.2安全威胁的来源1.基本威胁（1）信息泄露（2）完整性破坏（3）拒绝服务（4）非法使用2.主要的可实现威胁主要的渗入类型的威胁：（1）假冒（2）旁路控制（3）授权侵犯主要的植入威胁：（1）特洛伊木马（2）陷阱门3.潜在威胁（1）窃听（2）流量分析操作（3）操作人员的不慎所导致的信息泄露（4）媒体废弃物所导致的信息泄露1.2.3安全防护措施（1）物理安全（2）人员安全（3）管理安全（4）媒体安全（5）辐射安全（6）生命周期控制1.3网络安全策略安全策略，是指在某个安全域内，用于所有与安全相关活动的一套规则。安全策略等级：（1）安全策略目标：它是一个机构对于所保护的资源要达到的安全目标而进行的描述。（2）机构安全策略：它是一套法律、规则及实际操作方法，用于规范一个机构如何管理、保护和分配资源，以便达到安全策略所规定的安全目标。（3）系统安全策略：它描述如何将一个特定的信息系统付诸工程实现，以支持此机构的安全策略要求。1.3.1授权是指主体对客体的支配权利，它等于规定了谁可以对什么做些什么。1.3.2访问控制策略（1）基于身份的策略（2）基于任务的策略（3）多等级策略1.3.3责任1.4安全攻击的分类1.4.1被动攻击被动攻击的特性是对说传输的信息进行窃听和监测。第一种被动攻击是信息泄露攻击。第二种被动攻击是流量分析1.4.2主动攻击主动攻击包括对数据流进行篡改或伪造数据流。可以分成四类：（1）伪装攻击（2）重发攻击（3）消息篡改（4）拒绝服务1.5网络攻击的常见形式1.5.1口令窃取口令猜测攻击有3种基本方式：第一种方式是利用已知的或假定的口令尝试登陆。第二种方式是根据窃取的口令文件进行猜测。第三种方式是通过窃听某次合法的终端之间的会话，记录所使用的口令。1.5.2欺骗攻击1.5.3缺陷和后门攻击网络蠕虫传播的方式之一是通过向finger后台程序发送新的代码来实现的。缓冲器溢出攻击也称为“堆栈粉碎”攻击。常采用的一种扰乱程序的攻击方法。缺陷，是指程序中的某些代码并不能满足特定的要求。（1）在编写网络服务器软件的时候，要充分考虑对黑客的攻击行为采取措施。（2）必须要对输入语法做出正确的定义（3）必须遵守“最小特权”原则1.5.4认证失效1.5.5协议缺陷1.5.6信息泄露1.5.7指数攻击——病毒和蠕虫1.5.8拒绝服务攻击4种防御措施：（1）寻找一种办法来过滤掉这些不良的数据包（2）提高对接收数据进行处理的能力（3）追查并关闭那些发动攻击的站点（4）增加硬件设备或提高网络容量以从容处理正常的负载和攻击数据流量1.6开放系统互联安全体系结构研究目的，就是将普遍性安全体系原理与信息系统的实际相结合，形成满足信息系统安全需求的安全体系结构。应用目的，就是从管理上和技术保证完整、准确地实现安全策略，满足安全需求。1.6.1安全服务1.认证2.访问控制3.数据保证性4.数据完整性5.不可否认性6.可用性服务1.6.2安全机制1.6.3安全服务与安全机制的关系1.6.4在OSI层中的服务配置第2章 低层协议的安全性2.1基本协议2.1.1IPIP数据包是一组数据，这些数据构成了TCP/IP协议族的基础。每个数据包含有源地址和目标地址以及一些选项，如此特位、头校验和数据净荷等。2.1.2作用是发送包含目标IP地址的以太网广播数据包，目标主机或其他系统将对此作出响应，发回一个含有IP地址和以太地址对的数据包。2.1.3TCP每个TCP消息都含有发送消息的主机地址和端口号，也包含目标主机地址和端口号。2.1.4SCTP称为流控制传输协议2.1.5UDP用户数据报协议2.1.6ICMP低层通信机制，用来影响TCP和UDP连接的行为。2.2地址和域名管理2.2.1路由协议是一种动态寻找恰当路径的机制。2.2.2域名系统是一个分布式数据库系统，用来实现主机名到IP地址或IP地址到主机名的映射。2.2.3BOOTP和DHCP动态主机配置协议用来分配IP地址，并提供启动计算机的其他信息。2.3IPv62.3.1IPv6简介IPv6由一个简化的、长度固定的基本报头和多个可选的扩展报头组成。头部没有校验和字段。2.3.2IPv6地址IPv6采用一种称为冒号分十六进制的表示格式，即128位地址按16位分成若干分组，每个分组以4个十六进制数表示，中间用冒号风格。2.3.3IPv6地址配置提供两种地址自动配置机制：无状态地址自动配置和状态地址自动配置2.3.4邻居发现协议ND协议取代IPv4中的ARP协议，ND协议含有可达性检测功能，目的是确认相应IP地址代表的主机或路由器是否还能继续收发数据包。2.3.5移动IPv6移动IP的基本目标就是移动点从家乡链路移动到外地链路后（以及在移动过程中）仍然可以用其家乡地址与其他结点通信。移动IPv6的基本操作包括移动检测、家乡代理注册、三角路由以及路由优化等。2.3.6IPv6的安全性IPv6通过IPSec协议来保证IP层安全，并且IPSec是IPv6的一个组成部分，IPv6协议把AH和ESP作为两个可选的扩展头部。2.4网络地址转换器NAT：它们监听某个接口，并对外出的数据包重写其源地址和端口号。外出数据包的源地址使用为另一个接口分配的公开源IP地址。对于返回的数据包，它们实行相反的操作。2.5无线网的安全最常见形式采用IEEE802.11b，又称为WiFi，为了防止随意和偶然地访问这些网络，增加了有线等效保密（WEP）的对称密钥加密算法。第3章 高层协议的安全性3.1消息发送3.1.1SMTP简单邮件传输协议3.1.2MIME多用途网际邮件扩展协议3.1.3PostOfficeProtocol3即邮局协议的第3个版本3.1.4IMAP4网际消息访问协议3.1.5即时消息InstantMessaging(IM)IRC(InternetRelayChat)3.2互联网电话3.2.1H.323是ITU的因特网电话协议3.2.2SIP一个通信协议，它使用户的通信系统更为开放、更好地保持连续、使用更方便、选择更多也更为个性化。3.3基于RPC的协议3.3.1RPC与Rpcbind（Remoteprocedurecall，RPC）远程过程调用Rpcbind来登记说分派的端口号。3.3.2NIS网络信息服务3.3.3NFS网络文件系统3.3.4（AndrewFileSystem）可以与NFS进行互操作。主要用途是对某个机构或整个因特网提供一个独立可升级的、全球化的、位置独立的文件系统。3.4TFTP和FTP3.4.1TFTP一个简单的基于UDP的文件传输协议3.4.2FTP文件传输协议支持文本和二进制文件的传输和字符集翻译3.4.3SMB协议服务消息块3.5远程登录协议3.5.1Telnet提供简单终端到每台主机的访问3.5.2“r”命令依赖于BSD认证机制3.5.3SSHSecureShell.称为安全壳协议，是一种基于安全会话目的的应用程序。3.6SNMP简单网络管理协议3.7NTP网络时间协议主要用于调节系统时钟，从而与外部时间源达到同步。3.8信息服务3.8.1Finger——用户查询服务Finger功能可以帮助用户查询系统中某一个用户的细节。3.8.2Whois——数据库查询服务运行于各域名注册机构3.8.3LDAP轻量级目录访问协议3.8.4WWW服务3.8.5NNTP——网络消息传输协议网络消息通常通过网络消息传输协议进行传输。3.8.6多播及MBone多播是单播和广播概念的广义化。3.9专有协议3.9.1RealAudio最常用的实现方案：一个客户端使用TCP协议连接到一个RealAudio服务器上，音频数据通过UDP数据包，并随机使用一些高标号端口发送回来。3.9.2Oracle的SQL*Net提供了对数据库服务器的访问，该访问通常来自某个Web服务器。3.9.3其他专用服务3.10对等实体联网P2P直接将人们联系起来，让人们通过因特网直接交互。P2P直接连接到其他用户的计算机、交换文件，而不是像过去那样连接到服务器去游览与下载。3.11X11视窗系统X11是在UNIX系统中占统治地位的视窗系统。当应用程序希望与用户会话时，这些应用程序就向X11服务器发出呼叫。X11保护机制：第一个X11保护机制是基于主机地址的认证。服务器恢复应用程序的网络源地址，并把它与允许的源地址列表进行比较。那些来自于未授权主机的连接请求将被拒绝，服务器通常不会给该用户发任何提示信息。第二个X11安全机制使用了magiccookie。应用程序和服务器之间共享一个秘密8位字符串；没有这个字符串的进程不能连接到服务器。第三个X11安全机制使用了一种密码学上的“询问/应答”机制。目前，使用X11最好的方式是对其施加限制，只允许他访问本地工作站，或者使用ssh或IPSec打通X11隧道。3.12其他小的服务第4章 单（私）钥加密体制单钥加密体制也称为私钥加密体制，通信双方采用的密钥相同时也称其为对称加密体制。可以按照其加解密运算的特点，将其分为流密码和分组密码。4.1密码体制的定义密码体制的语法定义：明文消息空间M：某个字母表上的串集；密文消息空间C：可能的密文消息集；加密密钥空间K：可能的加密密钥集；解密密钥空间K’：可能的解密密钥集；有效的密钥生成算法ζ：N→K×K’；有效的加密算法ε：M×K→C；有效的解密算法υ：C×K’→M。对于整数ll，ζ（ll）输出长为l的密钥对（ke，kd）∈K×K’，对于ke∈K和m∈M,将加密变换表示为c=εke(m)读作“c是m在密钥ke下的加密”；将解密变换表示为m=υkd（c）读作“m是c在密钥kd下的解密”。对于所有的m∈M和所有的ke∈K，一定存在kd∈K’；υkd（εke（m））=m对好的密码体制总结：算法ε和υ不包含秘密的成分或设计部分；ε将有意义的消息相当均匀地分布在整个密文消息空间中，甚至可以由ε得某些随机的内部运算来获得随机的分布；使用正确的密钥，ε和υ是实际有效的；不使用正确的密钥，要由密文恢复出相应的明文是一个有密钥参数的大小惟一决定的困难问题，通常取长为s的密钥，使得解这个问题所要求计算资源的量级超过p（s），p是任意多项式。4.2古典密码4.2.1代换密码1.简单的代换密码2.多表密码3.弗纳姆密码和一次一密4.2.2换位密码通过重新排列消息中元素的位置而不改变元素本身来变换一个消息的密码称作换位密码（也称置换密码）4.2.3古典密码的安全性古典密码两个基本工作原理：代换和换位。4.3流密码的基本概念流密码是将明文划分成字符，或其编码的基本单元，字符分别与密码流作用进行加密，解密时以同步产生的同样的密钥流实现。4.3.1流密码框图和分类令m=m1m2…mi是待加密消息流，其中mi∈M。密文流c=c1c2…ci…=Ek1(m1)Ek2(m2)…Eki(mi)…,ci∈C。其中{ki加法流密码同步流密码自同步流密码4.3.2密钥流生成器的结构和分类Rupeppel用一个更清楚的框图，将密钥生成器分成两个主要组成部分，即驱动部分和组合部分4.3.3密钥流的局部统计检验对于密钥流生成器输出的密钥序列，必须进行必要的统计检验，以确保密钥序列的伪随机性和安全性，常用的方法有频度检验、序偶或联码检验、扑克（图样分布）检验、游程或串长分布检验、自相关特性检验和局部复杂性检验等。4.3.4随机数与密钥流在网络安全系统中，如交互认证协议中Nonce（一次性随机数）、密钥分配系统的会话密钥等，需要一种一次性且不要求在收端重新同步产生的随机数。4.4快速软、硬件实现的流密码算法4.4.1A5是欧洲数字蜂窝移动电话系统中采用的加密算法，用于电话手机到基站线路上的加密。4.4.2加法流密码生成器1.加法生成器2.FISH算法3.PIKE算法4.Mush算法4.4.3RC4密钥长度可变流密码4.4.4SEALSEAL是一种适合软件实现的流密码算法。预先计算好一组表可以加速加解密运算4.4.5PKZIP算法广泛用于文档数据压缩，其中融入了R.Schlafiy设计的加密算法是一种按字节加密的流密码。该算法有3个32b变量，即96b存储。4.5分组密码概述分组密码易于构造拟随机数生成器、流密码、消息认证码（MAC）和杂凑函数等，还可进而成为消息认证技术、数据完整性机构、实体认证协议以及单钥数字签名体制的核心组成部分。4.6数据加密标准4.6.1DES介绍DES是分组密码，其中的消息被分成定长的数据分组，每一分组称为M或C中的一个消息。4.6.2DES的核心作用：消息的随机非线性分布DES的核心部分是在“S盒函数”f中。正是在这里，DES实现了明文消息在密文消息空间上的随机非线性分布。4.6.3DES的安全性DES的主要缺点：DES的密钥长度较短。4.7高级加密标准AES4.7.1Rijndael密码概述Rijndael是分组长度和密钥长度均可变的分组密码，密钥长度和分组长度可以独立指定位128比特或256比特。4.7.2Rijndael密码的内部函数Rijndael密码的4个内部函数，因为每个内部函数都是可逆的，为了实现Rijndael的解密，只需要在相反的方向使用他们各自的逆就可以了。Rijndael密码中，一个消息分组（一个状态）和一个密钥分组被分成字节。 1.内部函数SubBytes（State） 2.内部函数ShiftRows（State） 3.内部函数MixColumns（State） 4.内部函数AddRoundKey（State，RoundKey） 5.解密运算4.7.3Rijndael内部函数的功能小结（1）SubBytes目的是为了得到一个非线性的代换密码。（2）ShiftRows和MixColumns目的是获得明文消息分组的在不同位置上的字节的混合。（3）AddRoundKey给出了消息分布所需的秘密随机性4.7.4几个积极的变化：首先，随着AES的出现，多重加密，加长的可变的密钥及128，192和256比特的数据分组长度为各种应用要求提供了大范围可选的安全强度。其次，AES的广泛使用将导致同样强度的新的杂凑函数的出现。4.8其他重要的分组密码算法国际数据加密算法IDEA4.8.1IDEA 1.算法原理 2.加密过程 3.解密过程 4.安全性 5.变形4.8.2SAFERK-64非专用分组密码算法，算法明文密文数据分组为64b。面向直接运算，K-64的密钥为64b，K-128b的密钥为128b。 1.算法描述SAFERK-1282.SAFERK1283.SAFERK-64的安全性4.8.3RC5是一种分组长(为两倍字长wb)、密钥长（按字节数计）和迭代轮数r都可变的一种分组迭代密码体制1.算法描述2.实现3.安全性4.9分组密码的工作模式分组密码将消息作为数据分组处理（加密或解密）4.9.1电码本模式电码本模式（ECB）对一系列连续排列的消息段进行加密（或解密）的一个最直接方式就是对它们逐个加密（或解密）。4.9.2密码分组链接模式密码分组链接（CBC）运行模式是用于一般数据加密的一个普通的分组密码算法。使用CBC模式，输出是n比特密码分组的一个序列，这些密码分组链接在一起使得每个密码分组不仅依赖于所对应的原文分组，而且依赖于所有以前的分组。4.9.3密码反馈模式密码反馈（CFB）运行模式的特点在于反馈相继的密码分段，这些分段从模式的输出返回作为基础分组密码算法的输入。4.9.4输出反馈模式输出反馈（OFB）运算模式的特点是将基本分组密码的连续输出分组回送回去。这些反馈分组构成了一个比特串，被用作弗纳姆密码的密钥集的比特串，就是密钥流与明文分组相异或。4.9.5计数器模式计算器（CTR）模式的特征是，将计数器从初始值开始计数所得到的值馈送给基础分组密码算法第5章 双（公）钥密码体制最大的特点是在采用两个密钥将加密和解密能力分开：一个公开作为加密密钥；一个为用户专用，作为解密密钥，通信双方无需事先交换密钥就可进行保密通信。5.1双钥密码体制的基本概念5.1.1单向函数定义5-1令函数f是集A到集B的映射，用f：A→B表示。若对任意x1≠x2,x1,x2∈A，有f（x1）≠f(x2),则称f为单射，或1-1映射，或可逆的函数。F为可你的充要条件是，存在函数g：B→A，使对所有x∈A有g[f(x)]=x定义5-2一个可逆函数f：A→B，若它满足：(1)对所有x∈A，易于计算f（x）；(2)对“几乎所有x∈A”由f(x)求x“极为困难”，以至于实际上不可能做到，则称f为一单向函数5.1.2陷门单向函数定义5.3馅门单向函数是一类满足：fz：Az→Bz,z∈Z,Z是馅门信息集5.1.3公钥系统定义5-4对z∈Z和任意x∈X,Fi(x)→y∈Y=X。若Fj（Fi(x)）=Fi(Fj(x))5.1.4用于构造双钥密码的单向函数1.多项式求根2.离散对数DL3.大整数分解FAC4.背包问题5.Diffie-Hellman问题（DHP）6.二次剩余问题7.模n的平方根问题5.2RSA密码体制5.2.1体制5.2.2RSA的安全性1.分解模数n2.其他途径3.迭代攻击法4.选择明文攻击5.公用模攻击6.低加密指数攻击7.定时攻击法8.消息隐匿问题5.2.3RSA的参数选择1.n的确定2.e的选取原则3.d的选择5.2.4RSA体制实用中的其他问题1.不可用公共模2.明文熵要尽可能地大3.用于签名时，要采用Hash函数5.2.5RSA的实现5.2.6RSA体制的推广5.3背包密码体制利用背包问题构造双钥密码，只适用于加密，修正后才可用于签名。5.3.1背包问题5.3.2简单背包5.3.3MerkleHellman陷门背包.5背包体制的缺陷5.3.6其他背包体制5.4Rabin密码体制5.4.1Rabin体制5.4.2Williams体制5.5ElGamal密码体制5.5.1方案5.5.2加密5.5.3安全性5.6椭圆曲线密码体制与RSA相比，ECC的主要优点是可以使用比RSA更短的密钥获得相同水平的安全性，其计算量大大减少5.6.1实数域上的椭圆曲线椭圆曲线并不是椭圆。之所以称为椭圆曲线，是因为他们与计算椭圆周长的方程相似，也用三次方程来表示5.6.2有限域Zp上的椭圆曲线椭圆曲线密码体制使用的是变元和系数均为有限域中元素的椭圆曲线。5.6.3GF(2m有限域GF(2m)由25.6.4椭圆曲线密码将ECC中的加密算法运算与RSA中的模乘运算相对应，将ECC中的乘法运算与RSA中的模幂运算相对应。5.6.5椭圆曲线的安全性5.6.6ECC的实现5.6.7当前ECC的标准化工作1.IEEEP13632.ANSIX93.ISO/IEC4.AISO/IEC5.ATM5.6.8椭圆曲线上的RSA密码体制5.6.9用圆锥曲线构造双钥密码体制有人提出用圆锥曲线构造双钥密码体制，但由于圆锥曲线是二次的，以证明存在有亚指数分解算法，在其上求离散对数的困难程度等价于Fp上的离散对数5.7其他双钥密码体制5.7.1McEliece密码体制提出利用纠错码构造公钥密码体制。由于纠错码依赖多余度从而造成数据扩展，同时，又由于其密钥量太大，致使这类体制未能得到广泛研究。5.7.2LUC密码体制5.7.3有限自动机体制5.7.4概率加密体制概率加密的基本想法是使公钥体制的信息泄露为0，即从密文不能推出有关明文或密钥的任何信息。5.7.5秘密共享密码体制5.7.6多密钥公钥密码体制5.8公钥密码体制的分析主动攻击3种方式：（1）选择明文攻击（CPA）（2）选择密文攻击（CCA）（3）适用性选择密文攻击（CCA2）第6章 消息认证与杂凑函数6.1认证函数6.1.1消息加密1.对称加密2.公钥加密6.1.2消息认证码消息认证码又称MAC，也是一种认证技术，它利用密钥来生成一个固定长度的短数据块，并将该数据块附加在消息之后6.1.3杂凑函数杂凑函数是将任意长的数字串M映射成一个较短的定长输出数字串H的函数，以h表示，h（M）易于计算，称H=h（M）为M的杂凑值，也称杂凑码、杂凑结果等或简称杂凑。6.1.4杂凑函数的性质混合变换抗碰撞攻击抗原象攻击实用有效性6.2消息认证码MAC也称为密码校验和6.2.1对MAC的要求为了获得保密性，可用对称或非对称密码对整个消息加密，这种方法的安全性一般依赖于密钥的位长。除了算法中本身的弱点外，攻击者可以对所有可能的密钥进行穷举攻击。6.2.2基于密钥杂凑函数的MAC密码杂凑函数自然而然地称为数据完整性的一种密码原型。在共享密钥的情况下，杂凑函数将密钥作为它的一部分输入，另一部分输入为需要认证的消息。6.2.3基于分组加密算法的MAC构造密钥杂凑函数的标准方法是使用分组密码算法的CBC运行模式。6.3杂凑函数6.3.1单向杂凑函数6.3.2杂凑函数在密码学中的应用6.3.3分组迭代单向杂凑算法的层次结构6.3.4迭代杂凑函数的构造方法6.3.5基本迭代函数的选择1.将分组密码算法作为迭代函数2.用RSA来构造迭代函数3.背包法4.基于胞元自动机的算法5.专门设计的具有数据压缩的单向迭代函数6.矩阵单向迭代函数7.以FFT构造单向迭代函数8.以有限域中元素的指数运算构造迭代函数9.IBC-HASH算法10.用流密码构造杂凑函数6.3.6应用杂凑函数的基本方式杂凑算法可与加密及数字签名结合使用，实现系统的有效、安全、保密与认证。6.4MD-4和MD-5该算法特别适于软、硬件快速实现。输入消息可任意长，压缩后输出为128b6.4.1算法步骤6.4.2MD-5的安全性6.4.3MD-5的实现速度：用32b软件易于高速实现简洁与紧致性：描述简单，短程序可实现，易于对其安全性进行评估6.4.4MD-4与MD-5算法差别MD-5较MD-4复杂，且较慢，但安全性较高。6.4.5MD-2和MD-36.5安全杂凑算法6.5.1算法1.主环路2.SHA的基本运算6.5.2SHA的安全性SHA与MD-4很相似，主要变化是增加了扩展变换，将前一轮输出加到下一轮，以加速雪崩效应。6.5.3SHA与MD-4，MD-5的比较6.6其他杂凑算法6.6.1RIPEMD-160修正了MD-4的旋转和消息的次序。6.6.2SNEFRU算法对于长杂凑值，差值分析也优于穷举法6.6.3GOST杂凑算法它是利用64bGOST28147-89分组密码构造的256b杂凑算法，密钥k、消息分组Mi和杂凑值的长度均为256b，是GOST34.10.94的一个重要组成部分。6.6.4HAVAL算法是一种变长杂凑函数，是MD-5的一种修正形式。以8个32b连接变量，两倍于MD-5的杂凑值，轮数也可变。6.6.5RIPE-MAC首先将消息填充为64b的倍数，然后划分成64b的组，最后在钥匙的控制下对消息进行杂凑6.6.6其他利用模n运算构造的杂凑算法，如MASH-1已作为ISO/IEC标准（草案）6.7HMACHMAC将杂凑函数看做是“黑匣子”第一，实现HMAC时可将现有杂凑函数作为一个模块，这样可以对许多HMAC代码预先封装，并在需要时直接使用；第二，若希望替代HMAC中的杂凑函数，则只需要删去现有的杂凑函数模块。第7章 数字签名7.1数字签名基本概念数字签名两种：一种是对整体消息的签名，他是消息经过密码变换的被签消息整体；一种是对压缩消息的签名，他是附加在被签名消息之后或某一特定位置上的一段签名图样。若按明、密文的对应关系划分，每一种又可分为两个子类：一类是确定性数字签名，其明文与密文一一对应，它对一特定消息的签名不变化；另一类是随机化或概率式数字签名，它对同一消息的签名是随机变化的，取决于签名算法中的随机参数的取值。7.2RSA签名体制1.体制参数2.签名过程3.验证过程4.安全性7.3Rabin签名体制1.体制参数2.签名过程3.验证过程4.安全性7.4ElGamal签名体制1.体制参数2.签名过程3.验证过程4.安全性7.5Schnorr签名体制1.体制参数2.签名过程3.验证过程4.Schnorr签名与ElGamal签名的不同点7.6DSS签名标准7.6.1概况DSS中采用的算法简记为DSA这类签名标准具有较好的兼容性和适应性，已成为网中安全体系的基本构件之一7.6.2签名和验证签名的基本框图7.6.3算法描述7.6.4DSS签名、验证框图7.6.5公众反应7.6.6实现速度7.7GOST签名标准1.体制参数2.签名过程3.验证过程4.安全性5.性能7.8ESIGN签名体制1.体制参数2.签名过程3.验证过程4.安全性7.9Okamoto签名体制1.体制参数2.签名过程7.10OSS签名体制1.体制参数2.签名过程3.验证过程4.安全性7.11其他数字签名体制7.11.1离散对数签名体制ElGamal，DSA，GOST，ESIGH，Okamoto等签名体制都是基于离散对数问题。这些体质都可以归结为离散对数签名体制的特例有关一般离散对数签名也称为广义ElGamal签名7.11.2不可否认签名其中最本质的是在无签名者合作的条件下不可能验证签名，从而可以防止复制或散布他所签文件的可能性，这一性质使产权拥有者可以控制产品的散发。7.11.3防失败签名这是一种强化安全性的数字签名，可防范有充足计算资源的攻击者。当A的签名受到攻击，甚至分析出A的秘密钥条件下，也难于伪造Ａ的签名，Ａ也难以对自己的签名进行抵赖。7.11.4盲签名有时需要对一个文件签名，但又不让他知道文件内容，把这种签名称为盲签名7.11.5群签名它是研究面向社团或群体中所有成员需要的密码体制。在群体密码中，有一个公用的公钥，群体外面的人可以用它像群体发送加密消息，密文收到后，由群体内部成员的子集共同进行解密。特点：只有群中成员能代表群体签名；接收到签名的人可以用公钥验证群签名，但不可能知道到由群体中哪个成员所签；发生争议时，由群体中的成员或可信赖机构识别群签名的签名者。7.11.6代理签名代理签名是某人授权其代理进行的签名。有时可能需要更强的可识别性，即任何人可以从委托签名确定出代理签名人的身份。7.11.7指定证实人的签名一个机构中指定一个人负责证实所有人的签名，任何成员所签的文件都具有不可否认性，但证实工作均由指定人完成，这种签名称作指定证实人的签名，它是普通数字签名和不可否认数字签名的折中。7.11.8一次性数字签名若数字签名机构至多只能对一个消息进行签名，否则签名就可被伪造，这种签名被称作一次性签名体制。在公钥签名体制中，它要求对每个消息都要用一个新的公钥作为验证参数。一次性数字签名的优点是产生和证实都较快，特别适用于要求计算复杂定低的芯片卡。7.11.9双有理签名方案7.11.10数字签名的应用第8章 密码协议8.1协议的基本概念协议指两个或两个以上的参与者为完成某项特定的任务而采取的一系列步骤。这个定义包涵层含义：第一，协议自始至终是有序的过程，每一步骤必须依次执行。在前一步没有执行完之前，后面的步骤不可能执行。第二，协议至少需要两个参与者。一个人可以通过执行一系列的步骤来完成某项任务，但它不构成协议。第三，通过执行协议必须能够完成某项任务。8.1.1仲裁协议仲裁者是某个公正的第三方。8.1.2裁决协议由于在协议中引入仲裁人会增加系统的造价，所以在实际应用中引入另外一种协议，称为仲裁协议8.1.3自动执行协议这种协议不需要仲裁者的参与，也不需要裁决者来解决争端。如果协议中的一方试图欺骗另一方，那么另一方会立刻检测到该欺骗的发生，并停止执行协议。8.2安全协议分类及基本密码协议8.2.1密钥建立协议1.采用单钥体制的密钥建立协议2.采用双钥体制的密钥交换协议3.中间人攻击4.联锁协议5.采用数字签名的密钥交换6.密钥和消息传输7.密钥和消息广播8.Diffie-Hellman密钥交换协议8.2.2认证建立协议1.采用单向函数的认证协议2.字典攻击和掺杂3.SKEY认证程序4.采用双钥体制的认证5.采用联锁协议的双向认证6.SKID身份识别协议7.消息认真8.2.3认证的密钥建立协议1.大嘴青蛙协议2.Yahalom协议3.Needham-Schroeder协议4.Otway-Rees协议5.Kerberos协议6.Neuman-Stubblebine协议7.DASS8.Denning-Sacco协议9.Woo-Lam协议10.EKE协议8.3秘密分拆协议8.4秘密广播协议和会议密钥分配8.4.1秘密广播协议8.4.2会议密钥分配协议8.4.3Tatebayashi-Matsuzaki-Newman协议8.5密码协议的安全性安全漏洞的原因：（1）协议设计者有可能误解了所采用的技术，或者不适当地照搬了已有的协议的某些特性（2）人们对某一特定的通信环境及其安全需求研究不够8.5.1对协议的攻击常用的方法是对协议施加各种可能的攻击来测试其安全度密码攻击目标：第一是协议中采用的密码算法第二是算法和协议中采用的密码技术第三是协议本身对协议的攻击可以分为被动攻击和主动攻击被动攻击是指协议外部的实体对协议执行的部分或整个过程实施窃听主动攻击对密码协议来说具有更大的危险性1.已知明文攻击2.选择密文攻击3.预言者会话攻击4.并行会话攻击8.5.2密码协议的安全性分析1.攻击检验方法2.形式语言逻辑分析法第9章 PKI与PMI9.1PKI的组成1.安全策略2.认证系统3.密钥管理9.1.1实施PKI服务的实体用数字签名的数字证书实现身份；用对称密码算法对要传输的信息进行加密，然后用非对称密码算法对对称密码加密再进行传输，以实现数据的保密性；用数字签名和数字时间戳的方法实现不可否认性1.好密钥的安全生成2.初始身份的确认3.证书的颁发、更新和终止4.证书有效性的检查5.证书和相关信息的分发6.密钥的安全存档和恢复7.数字签名和数字时间戳的产生8.信任关系的建立和管理9.1.2认证中心1.认证中心的组成（1）签名和加密服务器（2）密钥管理服务器（3）证书管理服务器（4）证书发布和CRL发布服务器（5）再现证书状态查询服务器（6）We服务器2.认证中心功能的实现（1）证书发放（2）证书更新[1]最重实体证书更新[2]CA证书更新（3）证书注销（4）证书验证9.1.3注册中心1.注册中心简介2.RA的功能3.证书注册的实现（1）初始化（2）初始信任（3）注册要求（4）私钥拥有者确认4.技术方案5.基础设施6.动作管理9.2证书工要证书是将证书持有者的身份信息和其所拥有的公钥进行绑定的文件。证书文件还包含签发证书的权威机构认证中心CA对该证书的签名。9.2.1X.509证书1.密钥用途2.扩展密钥用途3.证书策略4.申请者可选名9.2.2证书扩展项1.关键扩展的概念CA必须支持密钥标识符、基本约束、密钥应用和证书策略扩展2.扩展项的真实含义分为两类：一种是约束和限制型扩展项；另一种是符带额外通知信息的扩展项。3.策略扩展CA策略，策略实际上是对上面讨论的问题增加额外的解释9.3属性证书和漫游证书9.3.1属性证书PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。9.3.2漫游证书将用户的证书和私钥放在一个安全的中央服务器上，当用户登录到一个本地系统时，从服务其安全地检索出公钥/私钥对，并将其放在本地系统的内存中以备后用，当用户完成工作并从本地系统注销后，该软件自动删除存放在本地系统中的用户证书和私钥。9.4PKI/CA认证系统实例由以下子系统构成：签发系统密钥管理中心系统申请注册系统证书发布系统在线证书状态查询系统9.5PMI介绍9.5.1PMI的理论是完全成熟的，目前在相关应用支撑技术方面已经具备，很快将有相应的标准公布，产品应用已经提到日程上来了。9.5.2权限管理基础设施1.PMI的定义PMI即权限管理基础设施或授权管理基础设施，是属性证书、属性权威、属性证书库等部件的集合体，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI实际提出了一个新的信息保护基础设施，能够与PKI和目录服务紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行了系统的定义和描述，完整地提供了授权服务所需过程建立在PKI基础上的PMI，已向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制，极大地简化应用中访问控制和权限管理系统的开发与维护，并减少管理成本和复杂定。2.为什么不是PKI3.PKI和PML的关系PKI主要进行身份鉴别，证明用户身份，即“你是谁”；PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么”。9.5.3属性权威9.5.4权限管理1.属性证书的特点2.PMI模型9.5.5访问控制框架DACACLRBAC9.5.6策略规则策略主要包含：访问者，目标，动作，权限信任源，访问规则9.5.7基于PMI建立安全应用1.PMI应用结构2.应用方式3.建立访问控制系统4.访问控制流程第10章 网络加密与密钥管理10.1网络加密的方式及实现1.链路加密2.结点加密3.端到端加密10.2硬件加密、软件加密及有关问题10.2.1硬件加密的优点（1）长期以来一直采用硬件实现加解密，主要原因是其加密速度快（2）硬件安全性好（3）硬件易于安装10.2.2硬件种类（1）自配套加密模块（2）通信用加密盒（3）PC插件版10.2.3软件加密任何加密算法都可用软件实现，缺点是速度慢，占用一些计算和存储资源，且易被移植。优点是灵活、轻便、可安装与多种机器上，且可将几个软件组合成一个系统。10.2.4存储数据加密的特点10.2.5文件删除10.3密钥管理基本概念密钥匙加密算法中的可变部分。采用密码技术保护的现代信息系统，其安全性取决于对密钥的保护，而不是对算法或硬件本身的保护。10.3.1密钥管理密钥管理是处理密钥自产生到最终销毁的整个过程中的有关问题，包括系统的初始化，密钥的产生、存储、备份与恢复、装入、分配、保护、更新、吊销、控制、丢失、吊销和销毁等内容。10.3.2密钥的种类（1）基本密钥，或称初始密钥（2）会话密钥（3）密钥加密密钥（4）主机主密钥（5）在双钥体制下10.4密钥的长度与安全性10.4.1密钥必须足够长10.4.2密钥长度与穷举破译时间和成本估计10.4.3软件攻击10.4.4密钥多长合适10.4.5双钥体制的密钥长度10.5密钥生成10.5.1选择密钥方式不当会影响安全性1.使密钥空间减小2.差的选择方式易受字典式攻击10.5.2好的密钥10.5.3不同等级的密钥产生的方式不同10.5.4双钥体制下的密钥生成10.6密钥分配10.6.1基本方法1.利用安全信道实现2.利用数学上求逆的困难性，即各种双钥体制所建立的安全信道实现3.利用物理现象实现10.6.2密钥分配的基本工具认证技术和协议技术是分配密钥的基本工具。认证技术是安全分配密钥的保障，协议技术是实现认证必须遵循的流程10.6.3密钥分配系统的基本模式10.6.4TTP可信赖第三方（TTP）可按协调、联机和脱机3种方式参与。10.6.5协议的选用一个密钥管理系统常常选用单钥和双钥体制混合的协议，还要与大量的单钥体制加密、双钥签名、数据完整性和密钥管理进行适当地组合10.6.6密钥注入（1）主机主密钥的注入（2）终端机主密钥的注入（3）会话密钥的获取10.7密钥的证实在密钥分配过程中，需要对密钥进行认证，以确保密钥被正确无误地送给了指定的用户，防止伪装信使递送假密钥套取信息，并防止密钥分配中的差错。10.7.1单钥证书单钥证书可以向KTC提供一种工具，KTC利用此证书可以避免对用户秘密的安全数据库维护，在多服务器下复制这类数据库，或根据传送要求从库中检索这类密钥。10.7.2公钥的证实技术(1)通过可信赖信道实现点-点间递送(2)直接访问可信赖公钥文件(3)利用联机可信赖服务器(4)采用脱机服务器和证书(5)采用可隐含保证公钥参数真实性的系统10.7.3公钥认证树认证书可以提供一种可证实公开数据的真实性的方法，以树形结构结合合适的杂凑函数、认证根值等实现10.7.4公钥证书公钥证书是一个载体，用于存储公钥10.7.5基于身份的公钥系统是一种非对称系统，其中每个实体的公开身份信息起着它的公钥的作用，作为可信赖者T的输入的组成部分，用于计算实体专用密钥时不仅要用该实体的身份信息，而且还要用只有T知道的一些特殊信息10.7.6隐式证实公钥在隐式证实公钥的系统中，不是直接传送用户的公钥，而是传送可以从中重构公钥的数据隐式证实公钥分为两类：一类是基于身份的公钥，另一类是自证实公钥10.8密钥的保护、存储与备份10.8.1密钥的保护（1）终端密钥的保护（2）主机密钥的保护（3）密钥分级保护管理法10.8.2密钥的存储密钥存储时必须保证密钥的机密性、认证性和完整性，防止泄露和修改。（1）每个用户都有一个用户加密文件以备后用（2）存入ROM钥卡或磁卡中（3）难以记忆的密钥可用加密形式存储，利用密钥加密密钥来做（4）若利用确定性算法来生成密钥，则每次需要时，用易于记忆的口令，启动密钥产生器对数据进行加密10.8.3密钥的备份10.9密钥的泄露、吊销、过期与销毁10.9.1泄露与吊销密钥的安全是协议、算法和密码技术设备安全的基本条件。10.9.2密钥的有效期密钥的有效期或保密期是指合法用户可以合法使用密钥的期限10.9.3密钥销毁不用的旧密钥必须销毁，否则可能造成损害，别人可用它来读原来曾用它加密的文件，且旧密钥有利于分析密码体制10.10密钥控制密码控制是对密钥的使用进行限制，以保证按预定的方式使用密钥单钥体制中的密钥控制技术（1）密钥标签（2）密钥变形（3）密钥偏移（4）密钥公证（5）控制矢量10.11多个管区的密钥管理1.可信赖对称密钥2.可信赖公钥10.12密钥托管和密钥恢复密钥托管系统是具有备份解密和恢复密钥能力的加密系统，它允许授权者包括用户、企业职员、政府官员在特定的条件下，借助于一个以上持有专用于数据恢复密钥的、可信赖的委托方所提供的信息来解密密文。10.12.1密钥托管体制的基本组成1.用户安全分量（USC）2.密钥托管分量（KEC）3.数据恢复分量（DRC）10.12.2密钥托管体制实例——EES1.密钥分量2.芯片初始化编程3.密钥生成算法4.会话密钥Ks交换5.加解密运算6.法律实施访问字段7.五人专家组评估意见8.反对意见9.CAPSTON10.12.3其他密钥托管体制10.13密钥管理系统密钥的生存期4各阶段，预运行阶段，此时密钥尚不能正常使用；运行阶段，密钥可正常使用；后运行阶段，密钥不再提供正常使用，但为了特殊目的可以脱机下接入；报废阶段，将有关被吊销密钥从所有记录中删去，这类密钥不可能再用。12个工作步骤（1）用户注册（2）用户初始化（3）密钥生成（4）密钥输入（5）密钥注册（6）正常使用（7）密钥备份（8）密钥更新（9）密钥档案（10）密钥注销与销毁（11）密钥恢复（12）密钥吊销第11章 无线网络安全11.1无线蜂窝网络技术11.1.1无线传输系统11.1.2高级移动电话系统AMPS是美国的模拟蜂窝电话标准11.1.3时分多址TDMA是一种数字传输技术，多个使用者可以使用时间段同时传输或者接受信号。TDMA将分配给它的频宽划分成一系列的信道，每个信道划分为多个时段，信道中的每个会话被分配到这些时段里11.1.4全球移动通信系统GSM与TDMA技术类似。它使用200kHz宽的信道，每个信道容纳8名用户和13Kb/s的音码率11.1.5蜂窝式数字分组数据CDPD是一个运行在AMPS网络上，基于TCP/IP分组的数据服务11.1.6个人数字蜂窝PDC11.1.7CDMA主要特点包括高质量、小的蜂窝半径、特殊编码方式和扩谱技术。它是在数字技术的分支——扩谱通信技术上发展起来的一种崭新而成熟的无线通信技术。CDMA技术的原理是基于谱技术，即将需要传送的具有一定带宽的数据信号，用一个带宽远大于此信号带宽的高速伪随机码进行调制，使原数据信号的带宽被扩展，再经载波调制并发出去。接收端使用完全相同的伪随机码，与接受的带宽信号做相关处理，把宽带信号转换成原来的窄带信号，即解扩，以实现数据通信。11.1.8第2.5代技术1.高速线路交换数据（HSCSD）2.通用分组无线业务（GPRS）3.增强型数据速率（EDGE）11.1.9第3代技术1.IMT-2000项目2.统一移动通信系统3.CDMA2000、WCDMA和TD-SCDMA11.2无线数据网络技术11.2.1扩谱技术扩谱技术采用一种比窄带传输消耗更多带宽的传输模式，但却能够产生更强、更能被其他设备接收到的信号。因此，扩展技术牺牲了效率，却带来安全、传输完整性和可靠性方面的增长。1.直接序列扩谱（DSSS）2.跳频扩谱（FHSS）11.2.2正交频分复用使用多载波调制，将所要传输的数据流分解成多个比特流，并且用这些数据流去并行调制多个载波，然后发送给接收方。显然，在多载波调制的子信道中，数据传输速率降低了，符号持续时间加长了，因而对时延扩展有较强的抵抗力，减小了符号间干扰的影响。11.2.3IEEE制定的无线局域网标准IEEE指定的无线局域网协议族802.11定义了移动设备客户端与基站或者两个客户端之间的通信接口。11.2.4802.11无线网络的工作模式（1）点对点模式（2）集中模式11.2.5IEEE制定的无线城域网络标准802.16是另一个IEEE802工作组，它的目的是建立无线城域网络标准，也称为无线宽带接入标准。主的两方面工作：一是将802.16a和802.16c并入原先的802.16-2001标准中，形成802.16-2004标准；二是制定802.16e，提供对移动结点的支持，最终的标准将能同时提供对移动和固定结点的全面支持。11.2.6中国无线局域网国家标准WAPI此标准的一个重要组成部分就是由宽带无线IP标准工作组制定的新的安全机制——无线局域网认证和保密基础设施11.2.7蓝牙蓝牙是将多个消费类移动设备透明连接起来的点对点协议。蓝牙采用低能耗科技，传输距离可以达到30ft（英尺），速率能够达到1Mb/s。蓝牙使用的FHSS技术每秒钟跳转1600次，它能够运行在有很多噪声的环境中。11.2.8HomeRF技术11.2.9无线应用协议WAPWAP源于OSI模型，共有5层：应用层、会话层、事务处理层、安全层和传输层。11.3无线蜂窝网络的安全性11.3.1GSM安全性分析1.GSM网络体系结构2.GSM的安全性3.SS7标准4.GSM认证过程5.GSM的保密性11.3.2CDMA的安全性分析CDMA网络的安全性同样也建立在对称密钥体系结构上。1.CDMA认证2.CDMA的保密性11.3.3第3代移动通信系统的安全性分析1.第3代移动通信系统的安全原则2.2G系统的安全缺陷3.3G系统新业务特征及其安全特性4.3G系统安全目标5.针对3G系统的攻击6.3G的安全结构7.3G安全算法11.4无线数据网络的安全性11.4.1有线同等保密协议WEP用来保护无线局域网的数据流的安全性1.WEP加密过程2.WEP解密过程3.WEP采用的RC4算法4.WEP认证方法5.WEP密钥管理11.4.2802.1x协议介绍为认证和密钥分发提供了一个整体框架。他利用了很多拨号网络的完全机制，为每个用户和每个网络会话提供了独一无二的加密密钥，同时支持128b的密钥。11.4.3802.11i标准介绍1.TKIP加密模式2.CCMP加密模式3.上层认证协议11.4.4802.16标准的安全性1.802.16简介802.16定义了基站与客户端之间的物理层和介质访问控制层的规范。基站与客户端之间通过数据帧传输数据，下联数据帧的帧头包含了两个槽映射图，一个给下联，一个给上联，这些映射图显示了在上联和下联的数据帧中所有的槽的位置、大小和编码方式。2.安全子层（1）安全子层（2）X.509证书应包括的内容（3）PKM授权协议（4）机密性和密钥管理（5）数据加密11.4.5WAP协议的安全性WAPI标准中的安全机制由认证基础设施WAI和保密基础设施WPI两部分组成，WAI和WPI分别实现对用户身份的认证和对传输数据的加密。WAPI特点：全新的高可靠性安全认证与保密体制、更可靠的二层（链路层）以下的安全系统、完整的“用户接入点”双向认证、集中式或分布集中式认证管理、证书密钥双认证、灵活多样的证书管理与分发体制、可控的会话协商动态密钥、高强度的加密算法、可扩展或升级的全嵌入式认证与算法模块、支持带安全的越区切换、支持SNMP网络管理。11.4.6WAP协议的安全性1.WAP网络架构2.WAP安全架构3.基于WAP网关的端到端安全4.WTLS记录协议11.5无线网络面临的安全威胁1.窃听2.通信阻断3.数据的注入和篡改4.中间人攻击5.客户端伪装6.接入点伪装7.匿名攻击8.客户端对客户端的攻击9.隐匿无线信道10.服务区标识符的安全问题11.漫游造成的问题11.6针对安全威胁的解决方案11.6.1采用安全策略安全策略中必须明确规定无线网络归谁管理、接入点的物理安全、网络访问控制、加密、审计和对安全事故的应急处理。无线网络与远程接入网络类似，终端设备的数量未知，甚至客户端都不属于本企业，这两种网络可以合并起来进行集中管理控制，也可以共享网络资源，如认证服务器或者交换机等。11.6.2用户安全教育11.6.311.6.4SSID问题解决方案明智的做法是不允许广播SSID，如果必须广播，也得先将出场默认值修改后才行。11.6.5天线的选择11.6.6VLAN和防火墙的使用应把接入点放置在单独的网段或VLAN里，最好是一个接入点使用一个VLAN，通过防火墙或交换机上的访问控制列表将该VLAN与网络的其他部分隔离开来。在交换机上设置物理端口安全功能，控制哪些接入点可以接到哪个交换机端口上。11.6.7虚拟专用网可以应用在无线网络上，无线网络与有线网络之间采用防火墙隔离，防火墙只允许VPN数据流入到有线网络，这样使得非授权用户不能访问企业内部网络。无线网络和有线网络之间的所有数据均通过IPSEC加密，防止了窃听攻击。VPN设备可以作为无线网络到有线网络的网关，从而补充了WEP协议加密和认证的功能。11.6.8入侵监测系统能够很容易地查找出非法接入点，Branch等提到了一种在合法客户端和基站上安装探测器，通过审计服务器定位非法接入点的方法，同时它也可以记录无线网络上的扫描行为，或者针对RADIUS服务器或VPN网关的攻击行为，并保持用户访问的完整记录便于事后追查。11.6.9针对802.11网络中对等模式下伪造路由协议报文的攻击第12章 防火墙原理与设计（1）对计算机的攻击发起点数量剧增（2）攻击方式更多，破坏性更强（3）网络也暴露了计算机的可传递信任问题防火墙是架设在内部网络和外部网络之间的屏障，它限制内部和外部网络数据的自由活动。12.1防火墙概述防火墙是由软件和硬件组成的，它采用有系统管理员定义的规则，对一个安全网络和一个不安全的网络之间的数据流施加控制。防火墙至于两个网络之间，从一个网络到另一个网络的所有数据流都要流经防火墙。基于安全策略，防火墙要么允许数据流通过，要么拒绝数据流通过，或者将这些数据流丢掉。12.2防火墙的类型和结构第一代至第五代12.2.1防火墙分类按照其在网络协议栈进行过滤的层次不同，把防火墙分为3种主要类型：包过滤防火墙、电路级网关防火墙和应用层网关防火墙。包含结构：静态包过滤动态包过滤电路级网关应用层网关状态检查包过滤切换代理空气隙12.2.2网络地址翻译（NAT）是指进行网络地址转换时，是一一对应的关系。12.3静态包过滤器静态包过滤能够提供廉价的和一定水平的网关安全性。12.3.1工作原理静态数据包过滤发生在网络层上，也就是OSI模型的第三层对于静态包过滤防火墙来说，决定接受还是拒绝一个数据包取决于对数据包中的IP头和协议头的特定区域的检查，这些特定区域包括数据源地址、目的地址、应用或协议、源端口号和目的端口号。12.3.2设计与实现12.3.3静态包过滤器的优缺点优点：（1）对网络性能有较小的影响（2）成本较低缺点：（1）仅工作于网络层，提供较低水平的安全性（2）缺少状态感知（3）容易遭受IP欺骗攻击（4）创建规则比较困难12.4电路级网关12.4.1工作原理电路级网关又称线路级网关，它工作在会话层。它在两个主机首次建立TCP连接时创建一个电子屏障。他作为服务器接受外来请求，转发请求；与被保护的主机连接时则担当客户机角色、起代理服务的作用。12.4.2电路级网关的优缺点（1）优点对网络性能有低度到适中程度的影响：由于工作的层次比包过滤防火墙高，因此性能比包过滤稍差，但是比应用代理防火墙的性能要好很多。切断了外部网络到防火墙后面的服务器的直接连接比静态或动态包过滤防火墙具有更高的安全性（2）缺点具有一些包过滤固有的缺陷仅提供低度到中等程度的安全性12.5应用层网关必须为特定的应用编写特定的程序。这些程序的集合称为“代理服务”，他们在网关内部分别以客户机和服务器的形式存在。12.5.1工作原理应用级网关截获出入网络的数据包，运行代理程序来复制和传递信息穿过网关，因此它的作用像代理服务器。这样们就避免了可信服务器或客户机与外部网络中某个不可信主机之间的直接连接。与电路级网关相比，应用级的两个重要区别：（1）代理是针对应用的（2）代理能够检查整个数据包，因此可以在OSI模型的应用层上对数据包进行过滤。优点：它容易记录和控制所有流入和流出的数据流缺点：对于大多数所提供的服务来说，他需要专门的用户程序和不同的用户接口。12.5.2应用网关的优缺点（1）优点在已有的安全模型中安全性较高强大的认证功能超强的日志功能防火墙规则配置比较简单（2）缺点灵活性极差，每种应用需要一种代理用户配置繁琐，增加了管理工作量性能低下，有可能影响网络应用12.6动态包过滤防火墙其目标是允许所有的客户端软件不加修改就可以运行，而网络管理员仍然可以对数据流加以控制。12.6.1动态包过滤防火墙原理典型的动态包过滤防火墙也和静态包过滤防火墙一样，都是工作在网络层，即OSI模型的第3层。更先进的动态包过滤防火墙可以达到传输层，即OSI模型的第4层，以收集另外的状态信息。典型的动态包过滤防火墙能够感觉到一个新建连接与一个已建连接之间的差别。一旦建立起一个连接，它就会被写入位于RAM中的一个表单。后续的数据包便与RAM中的此表单进行比较，比较是由操作系统内核层的软件来执行的。当发现数据包是已有的连接，防火墙就会允许直接通过而不做任何检查。12.6.2设计实现12.6.3动态包过滤防火墙的优缺点（1）优点当防火墙的设计完全兼容SMP的时候，对网络性能的影响非常小安全性比简单包过滤高“状态感知”能力可以带来非常可观的性能提高（2）缺点仅工作于网络层，因而仅检查IP头和TCP头对数据包的净荷部分没有感知，因此具有较低的安全性容易遭受IP欺骗攻击难于创建规则，必须要注意规则的前后次序如果连接在建立时没有循环RFC建立的3方握手协议，就会引入额外的风险，很可能导致防火墙在DoS攻击时耗尽所有资源而停止响应。12.7状态检测防火墙状态监测包过滤防火墙具有速度快、安装和配置灵活的优点，因此受到广泛应用。是在动态包过滤防火墙基础上增加了状态检测机制而形成的12.7.1工作原理通过验证转发数据包的序号以及窗口信息等来确定数据包是否合法。12.7.2设计与实现（1）序号（SEQ）的上下边界（2）应答（ACK）的上下边界12.7.3状态检测防火墙的优缺点（1）优点具备动态包过滤的所有优点，同时具有更高的安全性：因为增加了状态检测机制，所以能够抵御利用协议细节进行的攻击行为。（2）缺点检测的层次仅限于网络层与传输层，无法对应用层内容进行检测，也就无法防范应用层攻击。性能比动态包过滤稍差：因为检测更多的内容，对性能方面难免有一定的影响。12.8切换代理（CutoffProxy）12.8.1工作原理切换代理首先作为电路及代理来验证RFC建议的3步握手，然后再切换到动态包过滤的运行模式。因此切换代理首先工作与OSI的会话层，当连接完成后，再切换到动态包过滤模式，即工作于OSI的第3层。12.8.2设计与实现需要对一些基本的服务进行认证；需要检查3步握手；不需要打破客户机、服务器模式，那么切换代理就是一个非常合适的选择。12.8.3切换代理的优缺点（1）优点相比传统的电路级网关，它对网络性能所造成的影响要小；由于对3步握手进行了验证，所以降低了IP欺骗的风险。（2）缺点他不是一个电路网关；他仍然具有动态包过滤器许多遗留的缺陷；由于没有检查数据包的净荷部分，因此具有较低的安全性；难于创建规则（受先后次序的影响）；由于厂商的夸大其辞，容易造成对其安全性的误解，即认为它的安全性等价于传统的电路级网关。12.9空气隙防火墙（AirGap）12.9.1工作原理空气隙技术分享的是一个公共的SCSIE-disk，而应用网关技术分享的是一个共同的RAM。另外，空气隙防火墙由于采用了外部进程（SCSI驱动），所以性能上受到限制；应用网关防火墙是在内核的存储空间上运行，在同样安全性的情况下，性能却大大地提高了。12.9.2空气隙防火墙的优缺点（1）优点切断了与防火墙后面服务器的直接连接，消除了隐信道攻击的风险；强应用代理能够对协议头的长度进行检测，因此能够消除缓冲器溢出攻击的风险；当与应用网关一起使用时，空气隙防火墙能潜在地提供很高的安全性。（2）缺陷理论上它能对网络性能造成很大的负面影响；它的性能目前还没有得到权威的第三方的验证。12.10分布式防火墙12.10.1工作原理分布式防火墙通常由3个部分组成，分别是网络防火墙、主机防火墙和管理中心。网络防火墙用于内部网与外部网之间，以及内部网各子网之间的防护。它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就明显得更加全面可靠。主机防火墙用于对网络中的服务器和桌面机进行防护。管理中心是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。12.10.2分布式防火墙的优缺点（1）优点增强了系统安全性提高了系统性能系统的扩展性实施主机策略（2）缺点系统部署时间比较长、复杂度高，后期的维护工作量较大。软件实现的主机防火墙有可能受到来自系统内部的攻击，或者受到系统自身安全性的影响。12.11关于防火墙其他问题的思考12.11.1硬件化基于ASIC和基于网络处理器12.11.2多功能化12.11.3安全性第13章 入侵检测系统13.1IDS的概述13.1.1IDS的历史1.概念的诞生2.模型的发展3.里程碑的产生13.1.21.基于主机的入侵监测系统（HIDS）2.基于网络的入侵检测系统（NIDS）3.分布式入侵监测系统（DIDS）13.1.3通过检测和记录网络中的攻击事件，阻断攻击行为，防止入侵事件的发生；检测其他未授权操作或安全违规行为；统计分析黑客在攻击前的探测行为，预先给管理员发出警报；报告计算机系统或网络中存在的安全威胁；提供有关攻击的详细信息，帮助管理员诊断和修补网站中存在的安全弱点；在大型复杂的计算机网络中部署入侵检测系统，提高网络安全管理的质量。13.1.41.信息收集（1）系统和网络的日志文件（2）目录和文件中的不期望改变（3）程序执行中的不期望行为（4）物理形式的入侵信息2.信息分析(1)模式匹配(2)统计分析(3)完整性分析3.安全响应13.1.5（1）对网络流量的跟踪与分析功能（2）对已知攻击特征的识别功能（3）对异常行为的分析、统计与响应功能（4）特征库的在线和离线升级功能（5）数据文件的完整性检查功能（6）自定义的响应功能（7）系统漏洞的预报警功能（8）IDS探测器集中管理功能13.1.包含3个方面：性能测试、功能测试和用户可用性测试。13.1.7在网络中部署IDS时，可以使用多个NIDS和HIDS，这完全根据网络的实际情况和自己的需求。13.2IDS的设计13.2.1CIDF的模型入侵系统分为以下组件：事件产生器事件分析器响应单元事件数据库CIDF将入侵监测系统需要分析的数据统称为事件，他可以是基于网络的入侵检测系统中网络中的数据包，也可以是基于主机的入侵检测系统从系统日志等其他途径得到的信息。它对各部件之间的信息传递格式、通信方法和标准API进行了标准化。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。DIDS通常采用探测器/控制台结构。网络引擎和主机代理属于CIDF中的事件产生器。存储系统的作用是用来存储事件产生器捕获的原始数据、分析结果等重要数据。分析系统是对事件发生器捕获的原始信息、其他入侵检测系统提供的可疑信息进行统一分析和处理的系统。响应系统是对确认的入侵行为采取相应措施的子系统。控制台是整个入侵检测系统和用户交互的界面。用户可以提供控制台配置系统中的各个部分，也通过控制台了解各部分的运行情况。13.2.2NIDS的设计基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出报警甚至直接切断此网络连接。目前，大部分入侵检测产品是基于网络的。1.Snort的特性Snort是一个轻量级的入侵检测系统，它具有截取网络数据报文，进行网络数据实时分析、报警以及记录日志的能力。2.数据包嗅探引擎数据包嗅探引擎模块将网络接口设置为混杂模式，将网络上传输的数据包截取下来，供预处理模块和检测引擎使用。3.预处理模块预处理程序代码在探测引擎被调用之前运行，但在数据包译码之后。通过这个机制，数据包可以通过额外的方法被修改或分析。（1）数据包分片重组及数据流重组（2）协议编码（3）协议异常检测4.检测引擎（1）规则描述规则被分成两个逻辑部分：规则头和规则选项。（2）模式匹配算法模式匹配算法是检测引擎的关键，它直接影响系统的实时性能。在网络数据包搜索入侵特征时，需要一个有效地字符串搜索算法。（3）协议分析协议分析的功能是辨别数据报的协议类型，以便使用相应的数据分析程序来检测数据包。5.报警日志输出插件在Snort的报警日志模块被调用时运行，在于处理程序和探测引擎之后。13.2.3NIDS的关键技术1.IP碎片重组技术（1）基本的重组问题（2）碎片重组问题2.TCP流重组技术TCP协议提供了足够的信息帮助目标系统判断数据的有效性和数据在连接中的位置。TCP协议的重传机制可以确保数据准确到达，如果在一定的时间内没有收到接受方的响应信息，发送方会自动重传数据。（1）基本的重组问题（2）高级重组问题（3）数据重组问题3.TCP状态检测技术4.协议分析技术优点：（1）性能提高（2）准确性提高（3）基于状态的分析（4）反规避能力大大增强（5）系统资源开销小5.HTTP解码技术(1)URL编码问题(2)网络中斜线问题(3)增加目录问题(4)不规则方式问题(5)命令问题(6)会话组合问题(7)长URL（LongURL）问题(8)虚假的请求结束问题(9)大小写敏感问题6.零复制技术零复制基本思想是在数据报从网络设备到用户程序空间传递的过程中，减少数据复制次数，减少系统调用，实现CPU的零参与，彻底消除CPU在这方面的负载。实现零复制用到的最主要技术是DMA数据传输技术和内存区域映射技术。7.蜜罐技术主要目的是收集和分析现有威胁的信息。将这种技术集成到IDS中，可以发现新的黑客工具，确定攻击模式，研究攻击者的动机。（1）蜜糖技术的实现蜜糖如同是情报收集系统。蜜网是指另外采用了各种入侵检测和安全审计技术的蜜罐。（2）蜜罐技术的优势他们大大减少了所要分析的数据。蜜罐进出的数据大部分是攻击流量。13.2.4HIDS的设计HIDS能够检测系统文件、进程和日志文件来寻找可疑活动。HIDS代理能够分析不同形式的数据包和不同特征的攻击行为。HIDS扫描操作系统和应用程序日志文件，查找恶意行为的痕迹；检测文件系统，查看敏感文件是否被非法访问或被篡改；检测进出主机的网络传输流，发现攻击。13.2.5HIDS的关键技术扮演者检测引擎的角色，根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断，并把告警日志发送给控制端程序，由管理员集中管理。安全策略问题包括账号策略、本地策略、共钥策略和IP安全策略。系统中违反安全策略的行为都作为事件发送给系统安全日志。主机入侵检测可以根据安全日志分析判断入侵行为。1.文件和注册表保护技术2.网络安全防护技术3.IIS保护技术（1）HTTP请求类型（2）缓冲区溢出（3）关键字（4）物理目录4．文件完整性分析技术优势是它可以根据结果来进行判断。判断之一就是关键系统文件是否在未经允许的情况下被修改，包括访问时间、文件大小和MD-5密码校验值。HIDS一般使用特征码函数进行文件完整性分析。所谓特征码函数就是使用任意的文件作为输入，产生一个固有大小的数据（特征码）的函数。入侵者如果对文件进行了修改，即使文件大小变化，也会破坏文件的特征码。因此，这些函数可以用于数据完整性检测，而且这些特征码函数一般是单向的。13.2.6控制台的设计控制台通过直观方便的操作界面，管理远程探测器，汇总各个探测器报告的告警事件，并实现日志检索、备份、恢复、报表等功能。控制台的设计重点是日志检索、探测器管理、规则管理、日志报表及用户管理等。1.日志检索2.探测器管理3.规则管理4.日志报表5.用户管理13.2.7自身安全设计1.系统安全2.认证和审计3.通信安全13.3IDS的发展方向入侵技术的发展与演化：（1）入侵或攻击的综合化与复杂化（2）入侵主体对象的间接化（3）入侵或攻击的规模扩大（4）入侵或攻击技术的分布话（5）攻击对象的转移未来发展趋势：（1）宽带高速实时的检测技术（2）大规模分布式的检测技术（3）数据挖掘技术（4）更先进的检测算法（5）入侵响应技术第14章 VPN的设计与实现14.1VPN概述14.1.1VPN概念虚拟专用网络（VPN）是指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网，并采用认证、访问控制、机密性、数据完整性等在公用网络上构建专用网络的技术，使得数据通过安全的“加密管道”在公用网络中传播。14.1.2VPN的特点(1)费用低(2)安全保障(3)服务质量保证（QoS）(4)可扩充性和灵活性(5)可管理性14.1.3VPN的分类