计算机网络安全原理（第2版）全套教学课件

计算机网络安全原理

第二版第1章绪论第2章密码学基础知识第3章消息认证与身份认证第4章PKI与数字证书第5章无线网络安全第6章IP与路由安全第7章传输层安全第8章DNS安全第9章Web应用安全第10章电子邮件安全第11章拒绝服务攻击及防御第12章网络防火墙第13章入侵检测与网络欺骗第14章恶意代码第15章网络安全新技术全套可编辑PPT课件163第一章绪论内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信主机：计算机和非计算机设备信道：有线与无线网络设备：集线器、交换机、路由器等计算机网络计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信互联网（internet或internetwork）因特网（Internet）计算机网络因特网：多层次ISP结构的网络计算机网络结构和组成第一层ISP大公司本地ISP大公司大公司公司本地ISP本地ISP校园网局域网局域网局域网第二层ISP第二层ISPIXPIXP第一层ISP第二层ISP本地ISP本地ISP本地ISP本地ISP第一层ISP第一层第二层第三层本地ISP第二层ISP本地ISP本地ISP本地ISP本地ISP第二层ISP本地ISP本地ISP第二层ISP企业用户住宅用户单位用户主机B主机A校园用户因特网：边缘部分+核心部分计算机网络结构和组成核心部分边缘部分主机网络路由器接入网边缘部分：主机+接入网计算机网络结构和组成核心部分：大量网络+路由器计算机网络结构和组成H1H5H2H4H3H6发送的分组路由器AEDBC网络核心部分主机网络的体系结构(architecture)：计算机网络的各层及其协议的集合协议（protocol）：为网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定，三要素：语法、语义、同步网络体系结构网络体系结构从网络体系结构上分析分组交换、认证与可追踪性、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子计算机网络的脆弱性计算机网络的脆弱性问题一：分组交换Internet是基于分组交换的，这使得它比电信网（采用电路交换）更容易受攻击：所有用户共享所有资源，给予一个用户的服务会受到其它用户的影响；攻击数据包在被判断为是否恶意之前都会被转发到受害者！(很容易被DoS攻击)；路由分散决策，流量无序。计算机网络的脆弱性问题二：认证与可追踪性Internet没有认证机制，任何一个终端接入即可访问全网（而电信网则不是，有UNI、NNI接口之分），这导致一个严重的问题就是IP欺骗：攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通常情况下，路由器不具备数据追踪功能（Why？），因此没有现实的方法验证一个数据包是否来自于其所声称的地方。攻击者通过IP欺骗隐藏来源。计算机网络的脆弱性问题三：尽力而为(best-effort)因特网采取的是尽力而为策略：把网络资源的分配和公平性完全寄托在终端的自律上是不现实的（DDoS利用的就是这一点）计算机网络的脆弱性问题四：匿名与隐私普通用户无法知道对方的真实身份，也无法拒绝来路不明的信息（如邮件）有人提出新的体系：终端名字与地址分离OntheInternet,nobodyknowsyouareadog;OntheInternet,allknowsyouarenotadog!计算机网络的脆弱性计算机网络的脆弱性计算机网络的脆弱性问题五：对全球网络基础实施的依赖全球网络基础设施不提供可靠性、安全性保证，这使得攻击者可以放大其攻击效力：一些不恰当的协议设计导致一些（尤其是畸形的）数据包比其它数据包耗费更多的资源（如TCPSYN包比其它的TCP包占用的目标资源更多）；Internet是一个大“集体”，其中有很多的不安全的系统计算机网络的脆弱性问题六：无尺度网络无尺度网络的典型特征是网络中的大部分结点只和很少结点连接，而有极少数结点与非常多的结点连接。这种关键结点（称为“枢纽”或“集散结点”）的存在使得无尺度网络对意外故障有强大的承受能力（删除大部分网络结点而不会引发网络分裂），但面对针对枢纽结点的协同性攻击时则显得脆弱（删除少量枢纽结点就能让无尺度网络分裂成微小的孤立碎片）。CDNLoop攻击计算机网络的脆弱性问题七：互联网的级联特性互联网是一个由路由器将众多小的网络级联而成的大网络。当网络中的一条通讯线路发生变化时，附近的路由器会通过“边界网关协议(BGP)”向其邻近的路由器发出通知。这些路由器接着又向其他邻近路由器发出通知，最后将新路径的情况发布到整个互联网。也就是说，一个路由器消息可以逐级影响到网络中的其它路由器，形成“蝴蝶效应”。“网络数字大炮”计算机网络的脆弱性问题八：中间盒子（MiddleBox）违背了“端到端原则”，从源端到目的端的数据分组的完整性无法被保证，互联网透明性逐渐丧失中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子清华大学段海新教授团队关于中间盒子主要研究成果中间盒子清华大学段海新教授：中间盒子从具体的网络协议上分析（将在后续章节中介绍）TCP/IP体系中的很多协议，如ARP、IP、ICMP、TCP、UDP、HTTP、DNS等，也存在可被攻击者利用的缺陷计算机网络的脆弱性内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6定义：是指计算机网络中的硬件资源和信息资源的安全性，它通过网络信息的产生、存储、传输和使用过程来体现，包括：网络设备（包括设备上运行的网络软件）的安全性，使其能够正常地提供网络服务；网络中信息的安全性，即网络系统的信息安全。其目的是保护网络设备、软件、数据，使其能够被合法用户正常使用或访问，同时要免受非授权的使用或访问计算机网络安全网络是否安全主要通过“安全属性”来评估安全属性的种类（一般都包括：机密性、完整性和可用性）、名称、内涵并不统一，不同的人、不同时期、不同领域会有所差别网络安全属性（1/7）机密性（Confidentiality或Security）也称为“保密性”，对信息资源开放范围的控制，不让不应知晓的人知道秘密。机密性的保护措施主要包括：信息加密、解密；信息划分密级，对用户分配不同权限，对不同权限的用户访问的对象进行访问控制；防止硬件辐射泄露、网络截获和窃听等安全属性（2/7）完整性（Integrity）包括系统完整性和数据完整性。系统完整性是指系统不被非授权地修改；数据完整性是使信息保持完整、真实或未受损状态，任何篡改、伪造信息应用特性或状态等行为都会破坏信息的完整性。保护措施主要包括：严格控制对系统中数据的写访问，只允许许可的当事人进行更改。安全属性（3/7）可用性（Availability）资源只能由合法的当事人使用。资源可以是信息，也可以是系统。大多数情况下，可用性主要是指系统的可用性可用性的保护措施主要有：在坚持严格的访问控制机制的条件下，为用户提供方便和快速的访问接口，提供安全的访问工具安全属性（4/7）不可否认性（Non-repudiation）也称为“不可抵赖性”，是指通信双方在通信过程中，对于自己所发送或接收的消息不可抵赖。数据收发双方都不能伪造所收发数据的证明：信息发送者无法否认已发出的信息，信息接收者无法否认已经接收的信息保护措施主要包括：数字签名、可信第三方认证技术。安全属性（5/7）其它安全属性可靠性（Reliability）可信性（DependabilityorTrusty）：不统一，主流观点：可靠+安全安全属性（6/7）安全属性(7/7)（方滨兴院士）属性空间以保护信息为主的属性以保护系统为主的属性可用性可控性机密性可鉴别性可用性：系统可以随时提供给授权者使用：系统运行稳定（稳定性）、可靠（可靠性）、易于维护（可维护性），在最坏情况下至少要保证系统能够为用户提供最核心的服务（可生存性）可鉴别性：保证信息的真实状态是可以鉴别的，即信息没有被篡改（完整性）、身份是真实的（真实性）、对信息的操作是不可抵赖的（不可抵赖性）机密性：保证信息在产生、传输、处理和存储的各个环节中不被非授权获取以及非授权者不可理解的属性可控性：系统对拥有者来说是可掌控的，管理者能够分配资源（可管理性），决定系统的服务状态（可记账性），溯源操作的主体（可追溯性），审查操作是否合规（可审计性）定义：信息系统安全、信息自身安全和信息行为安全的总称，目的是保护信息和信息系统免遭偶发的或有意的非授权泄露、修改、破坏或失去处理信息的能力，实质是保护信息的安全属性，如机密性、完整性、可用性和不可否认性等信息安全定义：指计算机硬件、软件以及其中的数据的安全性（机密性、完整性、可用性、可控性等）不受自然和人为有害因素的威胁和危害计算机安全网络空间（Cyberspace）网络空间安全网络空间（Cyberspace）俄罗斯：信息空间中的一个活动范围，其构成要素包括互联网和其它电信网络的通信信道，还有确保其正常运转以及确保在其上所发生的任何形式的人类（个人、组织、国家）活动的技术基础设施。按此定义，网络空间包含设施、承载的数据、人以及操作网络空间安全网络空间（Cyberspace）网络空间安全网络空间（Cyberspace）网络空间安全网络空间（Cyberspace）网络空间安全网络空间安全（CyberspaceSecurity）网络空间安全网络空间安全（CyberspaceSecurity）方滨兴：在信息通信技术的硬件、代码、数据、应用4个层面，围绕着信息的获取、传输、处理、利用4个核心功能，针对网络空间的设施、数据、用户、操作4个核心要素来采取安全措施，以确保网络空间的机密性、可鉴别性、可用性、可控性4个核心安全属性得到保障，让信息通信技术系统能够提供安全、可信、可靠、可控的服务，面对网络空间攻防对抗的态势，通过信息、软件、系统、服务方面的确保手段、事先预防、事前发现、事中响应、事后恢复的应用措施，以及国家网络空间主权的行使，既要应对信息通信技术系统及其所受到的攻击，也要应对信息通信技术相关活动的衍生出政治安全、经济安全、文化安全、社会安全与国防安全的问题网络空间安全网络空间安全（CyberspaceSecurity）网络空间安全网络空间安全网络空间安全一级学科论证报告给出的网络空间安全知识体系网络空间安全美国NICE列出的网络空间安全知识体系计算机网络安全、网络安全、信息安全、网络信息安全、计算机安全、网络空间安全这些概念的内涵和外延在不同文献中有差异同样的内容，不同高校的专业（或课程或学科方向）名称、教材（或著作）名称可能不同，百花齐放！讨论：几个概念的关系内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6网络安全威胁因素

环境和灾害因素温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等，均会破坏数据和影响信息系统的正常工作人为因素：多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的有意：人为的恶意攻击、违纪、违法和犯罪无意：工作疏忽造成失误（配置不当等），会对系统造成严重的不良后果网络安全威胁因素

系统自身因素计算机系统硬件系统的故障软件组件：操作平台软件、应用平台软件和应用软件网络和通信协议系统自身的脆弱和不足是造成信息系统安全问题的内部根源，攻击者正是利用系统的脆弱性使各种威胁变成现实网络安全威胁因素在系统的设计、开发过程中有如下因素会导致系统、软件漏洞：系统基础设计错误导致漏洞编码错误导致漏洞安全策略实施错误导致漏洞实施安全策略对象歧义导致漏洞系统设计／实施时相关人员刻意留下后门网络安全威胁因素漏洞不仅存在，而且层出不穷，Why?方案的设计可能存在缺陷从理论上证明一个程序的正确性是非常困难的一些产品测试不足，匆匆投入市场为了缩短研制时间，厂商常常将安全性置于次要地位系统中运行的应用程序越来越多，相应的漏洞也就不可避免地越来越多网络安全威胁因素漏洞不仅存在，而且层出不穷，Why?网络安全威胁因素漏洞不仅存在，而且层出不穷，Why?网络攻击是指采用技术或非技术手段，利用目标网络信息系统的安全缺陷，破坏网络信息系统的安全属性的措施和行为，其目的是窃取、修改、伪造或破坏信息或系统，以及降低、破坏网络和系统的使用效能网络攻击要求：了解每种具体攻击的含义，破坏的安全属性，基本的防御策略/思想网络攻击从发起攻击的来源来分，可将攻击分为三类：外部攻击、内部攻击和行为滥用

网络攻击分类（1）从攻击对被攻击对象的影响来分，可分为被动攻击和主动攻击被动攻击：攻击者监听网络通信时的报文流，从而获取报文内容或其它与通信有关的秘密信息，主要包括内容监听（或截获）和通信流量分析监听：针对通信内容通信流量（/通信量/信息量）分析：针对通信形式

网络攻击分类（2）从攻击对被攻击对象的影响来分，可分为被动攻击和主动攻击主动攻击：指攻击者需要对攻击目标发送攻击报文，或者中断、重放、篡改目标间的通信报文等手段来达到欺骗、控制、瘫痪目标，劫持目标间的通信链接，中断目标间的通信等目的针对通信的主动攻击：中断，伪造、重放、修改（或篡改）通信报文针对网络或信息的主动攻击：扫描、缓冲区溢出、拒绝服务攻击、恶意代码……

网络攻击分类（2）Stallings：网络攻击分类网络攻击分类（3）截获篡改伪造中断消极攻击积极攻击目的站源站源站源站源站目的站目的站目的站被动攻击主动攻击Icove分类：基于经验术语分类方法网络攻击分类（4）病毒和蠕虫资料欺骗拒绝服务非授权资料拷贝侵扰软件盗版特洛伊木马隐蔽信道搭线窃听会话截持

IP欺骗口令窃听越权访问扫描逻辑炸弹陷门攻击隧道伪装电磁泄露服务干扰

一般攻击过程足迹追踪：TargetFootprinting远端扫描：RemoteScaning资源列举：ResourceEnumerating权限获取：AccessGaining权限提升：PrivilegeEscalating设置后门：BackdoorsCreating毁踪灭迹：TracksCovering一般攻击过程英国皇家国防研究所于2020年9月发布报告，提出了“网络空间作战和防御反应框架”，将网络空间作战分为七类：侦察/企图渗透；渗透和权限升级；持续监视与间谍活动；数据过滤；数据操纵或破坏；系统危害(虚拟)；物理效应。网络空间作战美军将“计算机网络作战（ComputerNetworkOperations,CNO）”分为：①计算机网络攻击（CNA），是指通过计算机网络扰乱、否认、功能或性能降级、损毁计算机和计算机网络内的信息、计算机或网络本身的行为；②计算机网络利用（CNE），是指从目标信息系统或网络收集信息并加以利用的行为；③计算机网络防御（CND），是指使用计算机网络分析、探测、监控和阻止攻击、入侵、扰乱以及对网络的非授权访问。网络空间作战内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6网络安全保障体系组织管理体系技术防护体系系统运行体系组织机构人员编制制度标准教育培训系统建设系统运维物理安全防护电磁安全防护信息安全防护网络、计算环境、基础设施、应用系统应急响应网络安全模型以建模的方式给出解决安全问题的过程和方法，主要包括：准确描述构成安全保障机制的要素以及要素之间的相互关系；准确描述信息系统的行为和运行过程；准确描述信息系统行为与安全保障机制之间的相互关系

网络安全模型DoD提出：防护（Protection）、检测（Detection）、恢复（Recovery）、响应（Response）

PDRR模型加密机制数字签名机制访问控制机制认证机制信息隐藏防火墙技术入侵检测系统脆弱性检测数据完整性检测攻击性检测数据备份数据恢复系统恢复应急策略应急机制应急手段入侵过程分析安全状态评估防护检测响应恢复ISC提出

P2DR模型

P2DR2模型保护(Protection)检测(Detection)响应(Response)备份(Recovery)策略(Policy)时间TimeIATF从整体、过程的角度看待信息安全问题，认为稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施，其代表理论为“深度防护战略”。IATF强调人、技术、操作三个核心要素，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施，为建设信息保障系统及其软硬件组件定义了一个过程，依据纵深防御策略，提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全

IATF框架IATF定义的三要素中，人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，同时也是最脆弱的。人是第一位的要素：安全管理的重要性针对人的攻击：社会工程学攻击

IATF框架CGS框架内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6ISO于1988年发布了ISO7498-2标准，即开放系统互联(OSI，OpenSystemInterconnection)安全体系结构标准，该标准等同于国家标准的GB/T9387.2-1995。1990年，ITU决定采用ISO7498-2作为其X.800推荐标准。因此，X.800和ISO7498-2标准基本相同。1998年，RFC2401给出了Internet协议的安全结构，定义了IPsec适应系统的基本结构，这一结构的目的是为IP层传输提供多种安全服务网络安全体系结构提供了安全服务和安全机制的一般性描述（这些安全服务和安全机制都是网络系统为保证安全所配置的哪些部分、哪些位置必须配备哪些安全服务和安全机制），指明在网络系统中，并规定如何进行安全管理安全体系结构ISO安全机制与安全服务ISO7498-2定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制，确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置、OSI安全体系的管理。定义：指加强数据处理系统和信息传输的安全性的处理过程或通信服务，主要利用一种或多种安全机制对攻击进行反制来实现安全服务鉴别（authentication）或认证提供通信中的对等实体和数据来源的鉴别，是最基本的安全服务，是对付假冒攻击的有效方法。鉴别可以分为对等实体鉴别和数据源鉴别

5种安全服务（1/5）访问控制（AccessControl）访问控制就是对某些确认了身份（即进行了身份认证）的实体，在其访问资源时进行控制，是实现授权（authorization）的一种主要方式用于防止在未得到授权的情况下使用某一资源

5种安全服务（2/5）数据机密性服务保护信息（数据）不泄露或不泄露给那些未授权掌握这一信息的实体两类：数据机密性服务，使攻击者想要从某个数据项中推导出敏感信息十分困难；业务流机密性服务，使得攻击者很难通过观察通信系统的业务流来获得敏感信息。

5种安全服务（3/5）数据完整性服务用于防止数据在存储、传输等处理过程中被非授权修改，主要包括3种类型：连接完整性服务、无连接完整性服务及选择字段完整性服务

5种安全服务（4/5）抗抵赖（不可抵赖或不可否认）服务有数据原发证明的抗抵赖。为数据的接收者提供数据的原发证据，使发送者不能抵赖发送过这些数据或否认发送过这些内容；有交付证明的抗抵赖。为数据的发送者提供数据交付证据，使接收者不能抵赖收到过这些数据或否认接收内容。

5种安全服务（5/5）定义：用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程（或实现该过程的设备、系统、措施或技术）安全机制加密对网络通信中的数据进行密码变换以产生密文。通常情况下，加密机制需要有相应的密钥管理机制配合。加密可为数据或业务流信息提供机密性，并且可以作为其他安全机制的一部分或对安全机制起补充作用。对称加密与非对称（公开）加密8种特定安全机制(1/8)数字签名附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种附加数据或变换可以用来供接收者确认数据来源（真实性）、数据完整性，防止发送方抵赖，包括签名内容、时间（不可抵赖性），并保护数据，防止被人（例如接收者）伪造（真实性和完整性）两个过程：签名与验证签名8种特定安全机制(2/8)访问控制一种对资源访问或操作进行限制的安全机制。利用某个经鉴别的实体身份（主体）、关于该实体的信息（如在某个已知实体集里的资格）或该实体的权标，确定并实施实体的访问目标（客体）权限（操作）。还可以支持数据的机密性、完整性、可用性及合法使用等安全目标常见机制：DAC、MAC、RBAC8种特定安全机制(3/8)数据完整性保护避免未授权的数据乱序、丢失、重放、插入和篡改，包括两个方面：单个数据或字段的完整性，数据单元流或字段流的完整性常见机制：检验和、散列码、消息认证码（MAC）、现时（Nonce）8种特定安全机制(4/8)认证交换向验证方传递认证所需的信息，驱动实体认证。如果得到否定结果，则会导致连接拒绝或终止，也可产生一条安全审计记录或产生告警。可用于认证交换的信息主要包括：使用认证信息（如口令）；使用密码技术；使用该实体的特征或独一无二的物体（如指纹、虹膜）8种特定安全机制(5/8)通信业务填充也称为“流量填充”，是一种反通信业务分析技术，通过将一些虚假数据填充到协议数据单元中，达到抗通信业务分析的目的。这种机制只有在通信业务填充受到保护（如加密）时才有效。8种特定安全机制(6/8)路由选择机制使路由能动态地或预定地选取，使敏感数据只在具有适当保护级别的路由上传输。8种特定安全机制(7/8)公证保证在两个或多个实体之间通信的数据安全性，有时必须有可信任的第三方参与，如数据抗抵赖性等服务。第三方公证人掌握必要的信息，为通信实体所信任，以一种可证实方式向通信实体提供所需的保证。常见公证机制：数字证书认证中心（CA）、密钥分配中心（KDC）等8种特定安全机制(8/8)普遍性安全机制不是为任何特定的服务而特设的安全机制可信功能度安全标记事件检测安全审计安全恢复5种普遍性安全机制可信功能度5种普遍性安全机制安全标记5种普遍性安全机制事件检测与安全审计5种普遍性安全机制安全恢复5种普遍性安全机制ISO安全机制与安全服务ISO安全机制与安全服务说明：上述概念主要是ISO7498-2中的定义，主要针对的是OSI/RM中的通信安全，与本章前面介绍的网络安全属性中的一些同名概念（如完整性、机密性、不可抵赖性）略有差别，但核心思想是一致的安全机制与服务2020年4月发布的国家标准《GB/T25066-2020信息安全技术信息安全产品类别与代码》六大类：物理环境安全、通信网络安全、区域边界安全、计算环境安全、安全管理支持、其他思考所学到的网络安全知识点会在那类安全产品中出现网络安全产品内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6安全消息消息安全消息消息秘密信息秘密信息安全相关变换安全相关变换发送方接收方可信第三方（如仲裁者、秘密信息的分配者）信息通道攻击者网络通信安全模型安全消息消息安全消息消息秘密信息秘密信息安全相关变换安全相关变换发送方接收方可信第三方（如仲裁者、秘密信息的分配者）信息通道攻击者第4章PKI与数字证书第2章密码学基础知识KDC,CA加密第3章消息认证与身份认证散列MAC签名消息认证（源认证、完整性、真实性）、不可否认（数字签名）

IPsec/VPN

SSL/TLS/VPN

HTTPS/QUIC

DNSSEC

PGP

第6章IP及路由安全第7章传输层安全第8章DNS安全第9章Web应用安全第10章电子邮件安全第5章无线网络安全

WEP/WPA

安全传输解密验证（散列，MAC，签名）安全协议安全协议网络通信安全模型看门人访问通道操作者人（如黑客）软件（如病毒、木马、蠕虫）计算资源数据处理软件网络安全控制信息系统网络访问安全模型看门人访问通道操作者人（如黑客）软件（如病毒、木马、蠕虫）计算资源数据处理软件网络安全控制信息系统第3章消息认证与身份认证身份认证第12章网络防火墙边界控制第13章入侵检测与网络欺骗攻击检测第14章恶意代码恶意代码检测第9章Web应用安全第10章电子邮件安全电子邮件防护Web应用防护第11章拒绝服务攻击及防御拒绝服务攻击防御网络访问安全模型

第15章网络安全新技术移动目标防御(MovingTargetingDefense,MTD)网络空间拟态防御(CyberMimicDefense,CMD)零信任安全(ZeroTrust,ZT)软件定义网络安全（Software-DefinedNetwork,SDN）网络安全新技术第15章网络安全新技术

网络接口层域名解析系统(DNS)物理硬件传输层UDP应用层ICMPIPv4

/

IPv6RARPARP与各种网络接口网络层IGMPBGPOSPFWeb应用(HTTP)电子邮件(SMTP/POP3/IMAP)第2章密码学基础知识第3章消息认证与身份认证对称密码公开密码

IPsec/VPN

SSL/TLS/VPN

HTTPS/QUIC

DNSSEC

PGP

第6章IP及路由安全第7章传输层安全第8章DNS安全第9章Web应用安全第10章电子邮件安全第5章无线网络安全第1章概述消息认证数字签名公钥基础设施TCP网络安全协议公钥分发第12章网络防火墙第13章入侵检测与网络欺骗第11章拒绝服务攻击及防御第14章恶意代码

WEP/WPA/移动第4章PKI与数字证书无线接入网网络安全基础网络安全防护技术TCP/IP协议栈身份认证第15章网络安全新技术第9章第10章RIP第4章PKI与数字证书第2章密码学基础知识第3章消息认证与身份认证第6章IP及路由安全第7章传输层安全第8章DNS安全第9章Web应用安全第10章电子邮件安全第5章无线网络安全第1章概述第12章网络防火墙第13章入侵检测与网络欺骗第14章恶意代码第11章拒绝服务攻击及防御机密性可鉴别性可用性可控性真实性完整性不可否认性概念基本算法保障技术实现机制秘钥管理安全协议安全协议安全协议安全协议安全协议安全协议保障技术保障技术保障技术保障技术本章小结作业安全属性及保障机制的不同观点补充材料观点来源安全属性及其保障机制安全属性及其保障机制可用性第二章密码学基础知识内容提要密码学概述1典型对称密码系统234典型公开密码系统国密算法5密码分析密码案例1942年6月，在关系到日美太平洋战争转折点的中途岛海战中，日军出现了两起严重泄密事件：一是在战役发起前夕，日海军第二联合特别陆战队的一个副官，用低等级密码发电说：六月五日以后，本部队的邮件请寄到中途岛。二是日军军港的一个后勤部门，用简易密码与担任进攻中途岛任务的部队联系淡水供应问题。结果，以上两电均被设在珍珠港的美国海军破译，从而掌握了日军进攻中途岛的日期和兵力，致使日军在战役中遭到惨败。密码技术密码技术通过对信息的变换或编码，将机密的敏感信息变换成攻击者难以读懂的乱码型信息，以此达到两个目的：使攻击者无法从截获的信息中得到任何有意义信息；使攻击者无法伪造任何信息。密码技术不仅可以解决网络信息的保密性，而且可用于解决信息的完整性、可用性及不可否认性，是网络安全技术的核心和基石，是攻防都需了解的技术。概念：密码系统密码系统(Cryptosystem)，也称为密码体制，用数学符号描述为：S={M,C,K,E,D}M是明文空间，表示全体明文集合。明文是指加密前的原始信息，即需要隐藏的信息；C是密文空间，表示全体密文的集合。密文是指明文被加密后的信息，一般是毫无识别意义的字符序列；K是密钥或密钥空间。密钥是指控制加密算法和解密算法得以实现的关键信息，可分为加密密钥和解密密钥，两者可相同也可不同；密码算法是指明文和密文之间的变换法则，其形式一般是计算某些量值或某个反复出现的数学问题的求解公式，或者相应的程序。E是加密算法，D是解密算法。解密算法是加密算法的逆运算，且其对应关系是唯一的。典型密码系统组成发送者加密器c=E(k1,m)解密器m=D(k2,

c)接收者密钥产生器非法侵入者密码分析员（窃听者）密钥信道mccmm’=h(c)k1k2主动攻击被动攻击密钥信道概念：密码学密码学(cryptology)：是一门关于发现、认识、掌握和利用密码内在规律的科学，由密码编码学(cryptography)和密码分析学(cryptanalysis)组成。密码编码学对信息进行编码实现信息隐藏的一门学科。主要依赖于数学知识。主要方法有：换位、代换、加乱密码系统的安全策略密码系统可以采用的两种安全策略：基于算法保密和基于密码保护。基于算法保密的策略有没有什么不足之处？？算法的开发非常复杂。一旦算法泄密，重新开发需要一定的时间；不便于标准化：由于每个用户单位必须有自己的加密算法，不可能采用统一的硬件和软件产品；不便于质量控制：用户自己开发算法，需要好的密码专家，否则对安全性难于保障。密码系统的设计要求设计要求：系统即使达不到理论上不可破译，也应该是实际上不可破译的(也就是说，从截获的密文或某些已知的明文和密文对，要决定密钥或任意明文在计算上是不可行的)；加密算法和解密算法适用于所有密钥空间的元素；系统便于实现和使用方便；系统的保密性不依赖于对加密体制或算法的保密，而依赖于密钥（著名的Kerckhoff原则，现代密码学的一个基本原则）。密码体制分类密码体制从原理上分为两类：单钥密码体制(One-keySystem)或对称密码体制（SymmetricCryptosystem）双钥密码体制(Two-KeySystem)或公开密码体制（PublicKeyCryptosystem）密码学发展简史(1/4)一般来说，密码学的发展划分为三个阶段：第一阶段为从古代到1949年。这一时期可以看作是科学密码学的前夜时期，这阶段的密码技术可以说是一种艺术，而不是一种科学，密码学专家常常是凭知觉和信念来进行密码设计和分析，而不是推理和证明。密码学发展简史(2/4)一般来说，密码学的发展划分为三个阶段：第二阶段为从1949年到1975年。1949年Shannon发表的“保密系统的信息理论”为私钥密码系统建立了理论基础，从此密码学成为一门科学，但密码学直到今天仍具有艺术性，是具有艺术性的一门科学。这段时期密码学理论的研究工作进展不大，公开的密码学文献很少。密码学发展简史(3/4)一般来说，密码学的发展划分为三个阶段：第三阶段为从1976年至今。1976年diffie和hellman发表的文章“密码学的新动向”一文导致了密码学上的一场革命。他们首先证明了在发送端和接受端无密钥传输的保密通讯是可能的，从而开创了公钥密码学的新纪元。密码学发展简史(4/4)在密码学发展史上有两个重要因素：战争的刺激和科学技术的发展推动了密码学的发展。信息技术的发展和广泛应用为密码学开辟了广阔的天地。一、对称密码系统对称密码体制：概述对称密码体制（symmetriccryptosystem）的加密密钥和解密密钥相同，也叫单钥密码体制或者秘密密码体制。发送者加密器c=E(k

,m)解密器m=D(k,

c)接收者密钥产生器密钥信道mcmkk密钥信道对称密码体制：概述对称密码算法的设计思想：古典密码：以代换（或代替，Substitution）和置换（Permutation）运算为基础现代对称密码：多以混乱（confusion）和扩散（diffusion）运算为基础古典密码思想：代换与置换置换对明文字符按某种规律进行位置的交换而形成新的排列代换将明文字母替换成其他字母、数字或符号的方法扩散所谓扩散，就是将算法设计得使每一比特明文的变化尽可能多地影响到输出密文序列的变化，以便隐蔽明文的统计特性；将每一位密钥的影响也尽可能迅速地扩展到较多的输出密文比特中去。扩散的目的是希望密文中的任一比特都要尽可能与明文、密文相关联，或者说，明文和密钥中任何一比特的改变，对密文的每个比特都有影响，能够以50%的概率改变密文的每个比特扩散的举例说明无扩散技术的加密

p1:00000000c1:00000010p2:00000001c2:00000011有扩散技术的加密

p1:00000000c1:01011010p2:00000001c2:11101011混乱所谓混乱，是指在加密变换过程中使得明文、密钥以及密文之间的关系尽可能地复杂化，以防密码破译者采用统计分析法进行破译攻击。混乱可以用“搅拌机”来形象地解释，将一组明文和一组密钥输入到算法中，经过充分混合，最后变成密文。执行这种“混乱”作业的每一步都必须是可逆的，即明文混乱以后能得到密文，反之，密文经过逆向的混乱操作以后能恢复出明文。对称密码体制：概述对称密码体制对明文加密有两种方式：序列密码（或流密码，StreamCipher）分组密码(BlockCipher)序列密码（1/2）主要原理：以明文的比特为加密单位，用某一个伪随机序列作为加密密钥，与明文进行异或运算，获得密文序列；在接收端，用相同的随机序列与密文进行异或运算便可恢复明文序列。=10111101…---------------=00110010…

10001111…

00110010…=

10111101…密钥序列产生算法密钥序列种子密钥密钥序列产生算法密钥序列种子密钥序列密码（2/2）序列密码算法的安全强度完全取决于伪随机序列的好坏，因此关键问题是：伪随机序列发生器的设计。优点：错误扩散小（一个码元出错不影响其它码元）；速度快、实时性好；安全程度高。缺点：密钥需要同步分组密码（1/3）主要原理：在密钥的控制下一次变换一个明文分组；将明文序列以固定长度进行分组，每一组明文用相同的密钥和加密函数进行运算。加密算法解密算法密钥K=(k0,k1,…,kL-1)密钥K=(k0,k1,…,kL-1)明文X=(x0,x1,…,xm-1)明文X=(x0,x1,…,xm-1)密文Y=(y0,y1,…,ym-1)工作模式电码本模式(ElectronicCodebookMode，ECB)密码分组链接模式(CipherBlockChaining，CBC)密码反馈模式(CipherFeedback，CFB)计数器模式(Counter，CTR)输出反馈模式

(OutputFeedback，OFB)实际应用时，分组密码名称中常带上工作模式，如DES-CBC分组密码（2/3）分组密码（3/3）优缺点：容易检测出对信息的篡改，且不需要密钥同步，具有很强的适应性；（与序列密码相比）分组密码在设计上的自由度小。最典型分组密码是DES数据加密标准，它是单钥密码体制的最成功的例子。二、公开密码系统公开密码体制1976年，Diffie、Hellmann在论文“Newdirectionsincryptography”提出了双钥密码体制（奠定了公钥密码系统的基础），每个用户都有一对密钥：一个是公钥（PK），可以像电话号码一样进行注册公布；另一个是私钥（SK），由用户自己秘密保存；两个密钥之间存在某种算法联系，但由一个密钥无法或很难推导出另一个密钥。又称为公钥密码体制或非对称密码体制（asymmetriccryptosystem）。发送者加密器c=E(m,k1)解密器m=D(c,k2)接收者密钥产生器密钥信道mcmk1k2密钥信道公开密码体制：特点整个系统的安全性在于：从对方的公钥PK和密文中要推出明文或私钥SK在计算上是不可行的公开密码体制的主要特点是将加密和解密能力分开，可以实现：多个用户加密的消息只能由一个用户解读：保密通信；只由一个用户加密消息而使多个用户可以解读：数字签名认证。公开密码体制：实现技术根据其所依据的数学难题可分为4类：大整数分解问题类：RSA密码体制（最著名的双钥密码体制）椭圆曲线类（椭园曲线上的离散对数问题）离散对数问题类（基于有限域乘法群上的离散对数问题）背包问题三、对称和公开的混合使用链式加密对称和非对称结合内容提要密码学概述1典型对称密码系统234典型公开密码系统国密算法5密码分析一、DESDES密码体制DES是IBM公司于1970年研制的DES(DataEncryptionStandard)算法。该算法于1977年1月15日被美国国家标准局NBS颁布为商用数据加密标准，每5年被评估1次。DES加密过程64bit明文数据初始置换IP乘积变换（16次迭代）逆初始置换IP-164bit密文数据64bit密钥子密钥生成输入输出初始置换初始置换对输入的比特位置进行调整。通过初始置换表实现初始置换的功能举例来看，输入为8位01110010初始置换表为：则输出为：10001101输入位12345678输出位35612487DES加密过程64bit明文数据初始置换IP乘积变换（16次迭代）逆初始置换IP-164bit密文数据64bit密钥子密钥生成输入输出通过64bit密钥产生16个不同的子密钥，每个子密钥为48bit，在每一轮中使用。子密钥产生有专门的算法，图4.1416次迭代通过初始置换得到X0，X0被分为左右两部分，即X0

=L0R0

16次迭代：i=1,2,…,16

Xi-1=Li-1Ri-1，Li=Ri-1，Ri=Li-1

F(Ri-1,Ki)Li-1Ri-1F+LiRiKi每次迭代只对右边的32bit进行一系列的加密变换：扩展运算E、密钥加密运算、选择压缩运算S、置换运算T及左右异和运算。F(Ri-1,Ki)=P(S(E(Ri-1)Ki))每次迭代的最后，把左边的32bit与右边变换得到的32bit逐位模2加，作为下一轮迭代时右边的段将变换前的右边的段直接送到左边的寄存器中作为下一轮迭代时左边的段S是一组八个变换S1，S2，S3，…，S8，称为S盒，每个盒以6位输入，4位输出，S盒构成了DES安全的核心。S盒替换共8个S盒S盒的规则S-盒2S-盒3S-盒4S-盒6S-盒7S-盒8S-盒1S-盒5S-盒的构造P盒置换保证上一轮某个s盒的输出对下一轮多个s盒产生影响DES解密解密方法：把子密钥的顺序颠倒过来，即把K1～K16换为K16～K1,再输入密文，采用与加密同样的算法，就可还原明文DES的安全性DES系统的保密性主要取决于什么？密钥的安全性。穷举法破解有人认为S盒可能含有某种“陷门”，美国国家安全机关可以解密。如何将密钥安全、可靠地分配给通信双方，在网络通信条件下就更为复杂，包括密钥产生、分配、存储、销毁等多方面的问题，统称为密钥管理。密钥管理是影响DES等单钥密码体制安全的关键因素。因为即使密码算法再好，若密钥管理处理不当，也很难保证系统的安全性。DES的56位密钥可能太小1998年7月，EFE宣布攻破了DES算法，他们使用的是不到25万美元的特殊的“DES破译机”，这种攻击只需要不到3天的时间。以现有网络计算能力，破解非常容易DES的迭代次数可能太少（16次恰巧能抵抗差分分析）DES的安全性DES破解器1998年，电子前哨基金会（EFF）制造了一台DES破解器，它使用多个DeepCrack芯片搭成而成，造价约$250,000，包括1,856个自定义的芯片，在56个小时内利用穷尽搜索的方法破译了56位密钥长度的DES2024/7/22176二、3DES3DES在DES算法的基础上，于1985年提出了TripleDES（3DES）加密算法，在1999年被加入到DES系统当中。原理：3个密钥或2个密钥执行3次常规的DES加密。c=E(k3,D(k2,E(k1,m)))m=D(k1,E(k2,D(c,k3)))优点：3DES的密钥长度是192位，其中去除校验位的有效密钥长度为168位，足够抵抗穷举攻击。缺点：算法较慢，相当于执行3遍DES。3DES三、AESAES1997年4月15日美国国家标准技术研究所(NIST)发起征集AES（AdvancedEncryptionStandards）算法的活动，并专门成立了AES工作组基本要求：AES应该像DES和TDES那样是一个块加密方法，并且至少像TDES一样安全，但是其软件实现应该比TDES更加有效NIST指定AES必须：公开算法；分组大小为128比特的分组密码，支持密钥长度为128、192和256比特；通用性对AES候选方案的评审标准有3条：（1）全面的安全性，这是最为重要的指标。（2）性能，特别是软件实现的处理性能。（3）算法的知识产权等特征。

AES1998年确定第一轮15个候选者1999年确定第二轮五个候选者

MARSRC6RijndaelSerpentTwofishAES经过多轮评估、测试，NIST于2000年10月2日正式宣布选中比利时密码学家JoanDaemen和VincentRijmen提出的密码算法RijndaelNIST于2001年11月26日发布于FIPSPUB197，并在2002年5月26日成为有效的标准AESRijndael汇聚了安全、效率、易用、灵活等优点，使它能成为AES最合适选择不属于Feistel结构加密、解密相似但不完全对称支持128/192/256(/32=Nb)数据块大小支持128/192/256(/32=Nk)密钥长度有较好的数学理论作为基础结构简单、速度快AESAES算法与Rijndael算法常常将DES算法称为Rijndael算法严格地讲，Rijndael算法和AES算法并不完全一样，因为Rijndael算法是数据块长度和加密密钥长度都可变的迭代分组加密算法，其数据块和密钥的长度可以是128位、192位和256位。尽管如此，在实际应用中二者常常被认为是等同的AESRijndael算法采用替换/转换网络，每一轮包含三层非线性层：字节替换，由16个S-盒并置而成，主要作用是字节内部混淆；线性混合层：通过列混合变换和行移位变换确保多轮密码变换之后密码的整体混乱和高度扩散；轮密钥加层：简单地将轮（子）密钥矩阵按位异或到中间状态矩阵上S-盒选取的是有限域GF（28）中的乘法逆运算AES算法描述预处理：先对要加密的数据块进行预处理，使其成为一个长方形的字阵列，每个字含4个字节，占一列，每列4行存放该列对应的4个字节，每个字节含8bit信息。Nb表示分组中字的个数（也就是列的个数），Nk表示密钥中字的个数AES算法描述预处理：先对要加密的数据块进行预处理，使其成为一个长方形的字阵列，每个字含4个字节，占一列，每列4行存放该列对应的4个字节，每个字节含8bit信息。Nb表示分组中字的个数（也就是列的个数），Nk表示密钥中字的个数AES算法描述预处理多轮迭代：明文分组进入多轮迭代变换，迭代的轮数Nr由Nb和Nk共同决定，可查表AES加解密过程AES最后一轮不做列混合运算安全性：Rijndael算法进行8轮以上即可对抗线性密码分析、差分密码分析，亦可抵抗专门针对Square算法提出的Square攻击。当密钥长度分别为128比特、192比特和256比特时，对应的运算量分别为2127、2191和2255灵活性：Rijndael的密钥长度可根据不同的加密级别进行选择。Rijndael的循环次数允许在一定范围内根据安全要求进行修正。AES四、IDEAIDEA国际数据加密算法(IDEA,InternationalDataEncryptionalgorithm)中国学者来学嘉博士与著名密码学家JamesMassey于1990年提出的一种分组密码算法定义了三种基本运算：异或，整数加密，整数乘数，并设计了具有良好扩散功能的MA乘加结构IDEAIDEA安全性1992年进行了改进：抗差分攻击密钥为128bit，穷举攻击要试探2128个密钥，若用每秒100万次加密的速度进行试探，大约需要1013年。分组密码算法比较算法密钥长度分组长度循环次数DES566416三重DES112/1686448IDEA128648AES128/192/256128/192/25610/12/14五、流密码RC4RC4（RivestCipher4）是一种流密码算法，由RonRivest在1987年设计出的密钥长度可变的加密算法簇。起初该算法是商业机密，直到1994年，才公诸于众RC4基本概念RC4算法过程RC4算法过程RC4算法过程RC4安全性分析当密钥长度超过128位时，以当前的技术而言，RC4是很安全的，RC4也是唯一对2011年TLS1.0BEAST攻击免疫的常见密码。近年来RC4爆出多个漏洞，安全性有所下降。例如，2015年比利时鲁汶大学的研究人员MathyVanhoef与FrankPiessens，公布了针对RC4加密算法的新型攻击方法，可在75小时内取得cookie的内容。因此，2015年IETF发布了RFC7465，禁止在TLS中使用RC4，NIST也禁止在美国政府的信息系统中使用RC4。著名的分布式代码管理网站Github从2015年1月5日起也停止对RC4的支持RC4单钥密码体制的优缺点单钥密码技术可以用来做什么？加密和认证单钥密码体制具有加解密算法简便高效，加解密速度快、安全性很高的优点，应用非常广泛；存在一些问题，而且靠自身无法解决：密钥分配困难；需要密钥量大（n个用户之间互相进行保密通信，需要n(n-1)/2个密钥）内容提要密码学概述1典型对称密码系统234典型公开密码系统国密算法5密码分析一、RSARSA密码体制RSA公钥体制是1978年由麻省理工学院3位年青数学家：Rivest,Shamir,Adleman提出的基于数论的双钥密码体制。（开始被称作“MIT体制”）RSA体制基于“大数分解和素数检测”这一著名数论难题：将两个大素数相乘十分容易，但将该乘积分解为两个大素数因子却极端困难；素数检测就是判定一个给定的正整数是否为素数。209整数的因子分解问题（1/3）整数的因子分解问题：将两个素数11927和20903相乘，可以很容易地得出249310081。但是将它们的积249310081分解因子得出上述两个素数却要困难得多。即使最大型的计算机将一个大的乘积数分解还原为组成此数的两个素数也要很长时间。从一个公钥和密文中恢复出明文的难度等价于分解两个大素数之积。整数的因子分解问题（2/3）Rivest，Shamir，Adleman提出，分解一个130位的两个素数的乘积数需要几百万年的时间，为了证明这一点，他们找到1个129位数，并向世界挑战找出它的两个因子。RSA129：11431862575788886766923577997614661201021829672124236256256184293570693524573389783059712356395870558989075147599290026879543541整数的因子分解问题（3/3）世界各地600多个研究人员和爱好者通过Internet协调各自计算机的工作向这个129位数发动了进攻。花费了近一年的时间，终于分解出了这个数的两个素数，其中一个长64位，另一个长65位，这两个素数分别为：349052951084765094914784961990389813341776463849338784399082057732769132993266709549961988190834461413177642967992942539539798288533

说明两个问题：（1）整数的因子分解问题是一个计算开销非常大的问题；（2）Internet协同计算能力的强大。RSA密钥产生过程产生过程如下：生成两个大素数p

和q；计算这两个素数的乘积n=p*q；计算小于n并且与n互质的整数的个数，即欧拉函数φ(n)=(p-1)*(q-1)；随机选择一个加密密钥e，使e满足1<e<φ(n)，并且e和φ(n)互质；利用欧几里德扩展算法计算e的逆元d，以满足：

e*d

≡1modφ(n)公钥PK={e,n}；对应的私钥SK={d}欧拉函数在数论中，对正整数n，欧拉函数是小于或等于n的数中与n互质的数的数目。此函数以其首名研究者欧拉命名，它又称为Euler’stotientfunction、φ函数、欧拉商数等，例如：φ(1)=1，唯一和1互质的数就是1本身；φ(8)=4，因为1,3,5,7均和8互质。欧拉函数给定一个正整数n，用ψ(n)表示比n小且与n互为素数的正整数的个数，称ψ(n)为欧拉函数ψ(n)＝r1a1-1(r1-1)r2a2-1(r2-1)…rnan-1(rn-1)

其中n=r1a1r2a2…rnan例如：

24=23*31

ψ(24)=23-1(2-1)*31-1(3-1)=8{1,5,7,11,13,17,19,23}

欧拉定理若整数a和n互素，则aψ(n)

=1(modn)举例说明：ψ(24)=8{1,5,7,11,13,17,19,23}是小于24并与24互素的数18=1mod24即：1ψ(24)=1mod2458=1mod24即：5ψ(24)=1mod2478=1mod24即：7ψ(24)=1mod24……RSA密钥产生过程产生过程如下：生成两个大素数p

和q；计算这两个素数的乘积n=p*q；计算小于n并且与n互质的整数的个数，即欧拉函数φ(n)=(p-1)*(q-1)；随机选择一个加密密钥e，使e满足1<e<φ(n)，并且e和φ(n)互质；利用欧几里德扩展算法计算e的逆元d，以满足：

e*d≡1modφ(n)公钥PK={e,n}；对应的私钥SK={d}欧几里德扩展算法欧几里德算法又称辗转相除法，用于计算两个整数a,b的最大公约数。其计算原理依赖于下面的定理：gcd(a,b)=gcd(b,amodb)RSA密钥产生过程产生过程如下：生成两个大素数p

和q；计算这两个素数的乘积n=p*q；计算小于n并且与n互质的整数的个数，即欧拉函数φ(n)=(p-1)*(q-1)；随机选择一个加密密钥e，使e满足1<e<φ(n)，并且e和φ(n)互质；利用欧几里德扩展算法计算e的逆元d，以满足：

e*d≡1modφ(n)公钥PK={e,n}；对应的私钥SK={d}RSA密钥产生的实例选择素数:p=17，q=11计算n=p*q=17*11=187计算φ(n)=(p–1)*(q-1)=16*10=160选择

e：gcd(e,160)=1；选择e=7确定d：d*e=1mod160andd<160；d=23因为23*7=161=1*160+1公钥PK={7,187}私钥SK={23}RSA的加解密操作为了对消息内容M进行加密，发送者:获得接收者的公钥PK={e,n}计算:C=Memodn为了解密密文C，接收者：使用自己的私钥SK={d}计算:M=Cd

modnRSA加解密操作实例假定：接收方公钥PK={7,187}接收方私钥SK={23}

给定消息M=88加密:C=887mod187=11解密:M=1123mod187=88应用一：加密通信用户将自己的公钥登记在一个公开密钥库或实时公开，私钥则被严格保密。信源为了向信宿发送信息，去公开密钥库查找对方的公开密钥，或临时向对方索取公钥，将要发送的信息用这个公钥加密后在公开信道上发送给对方。对方收到信息（密文）后，则用自己的私钥解密密文，从而读取信息。优点：省去了从秘密信道传递密钥的过程RSA的应用应用二：数字签名RSA的应用RSA公钥体制的优缺点优点：保密强度高密钥分配及管理简便可以用于数字签名实现身份认证缺点：运算复杂，速度慢：硬件实现时，RSA比DES要慢大约1000倍，软件实现时，RSA比DES要慢大约100倍。很多实际系统中，只用RSA来交换DES的密钥，而用DES来加密主体信息。RSA公钥体制的安全性依赖于未被证明的“整数的因子分解问题”假若数学理论进一步发展，发现“整数的因子分解问题”是一个可以快速解决的问题？以RSA为代表的公钥体制的加密操作是公开的，任何人都可以选择明文，并利用公开的公钥来攻击RSA公钥体制。明文空间必须足够大才能够防止穷尽搜索明文空间攻击；如果用公钥体制加密会话密钥，会话密钥必须足够的长。RSA攻击方法穷举攻击：尝试所有可能的密钥数学攻击：对两个素数乘积的因子分解（FAC问题）计时攻击：依赖于解密算法的运行时间选择密文攻击：利用了RSA算法的性质RSA安全性数学攻击RSA安全性计时攻击RSA安全性RSA安全性二、Diffie-Hellman密钥交换算法Diffie-Hellman密钥交换算法（简称为“DH算法”或“DH交换”）由WhitfieldDiffie和MartinHellman于1976提出，是最早的密钥交换算法之一，它使得通信的双方能在非安全的信道中安全的交换密钥，用于加密后续的通信消息。该算法被广泛应用于安全领域，如TLS和IPsec协议DHDiffie-Hellman算法的有效性依赖于计算离散对数的难度DH算法过程DH示例：假定素数q=97，取97的一个原根a=5。A和B分别选择私有密钥XA=36和XB=58，各自计算得到公钥分别为：YA=50，YB=44，秘密密钥K=75DH示例DH优点仅当需要时才生成密钥，减小了将密钥存储很长一段时间而致使遭受攻击的机会除对全局参数的约定外，密钥交换不需要事先存在的基础设施DH缺点没有提供双方身份的任何信息，因此易受中间人攻击。这一缺陷可以通过数字签名和公钥证书来解决容易遭受阻塞性攻击。由于算法是计算密集性的，如果攻击者请求大量的密钥，被攻击者将花费大量计算资源来求解无用的幂系数而不是在做真正的工作DHDH三、ElGamal公钥密码体制ElGamal公钥密码体制是由T.ElGamal于1984年提出，算法既能用于数据加密也能用于数字签名。与Diffie-He