网络攻防原理与技术 第4版 课件汇 吴礼发 第1-6章 绪论 - 拒绝服务攻击

本PPT是机械工业出版社出版的教材《网络攻防原理与技术（第3版）》配套教学PPT（部分内容的深度和广度比教材有所扩展），作者：吴礼发，洪征，李华波本PPT可能会直接或间接采用了网上资源或公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。声明第一章绪论内容提纲网络空间与网络空间安全2网络攻击3网络防护4网络战时代1黑客51993年，美国兰德公司的两位学者首次提出“网络战”的概念。网络战是为干扰、破坏敌方网络信息系统，并保证己方网络信息系统的正常运行而采取的一系列网络攻防行动，正在成为高技术战争的一种日益重要的作战样式。它可以破坏敌方的指挥控制、情报信息和防空等军用网络系统，甚至可以悄无声息地破坏、瘫痪、控制敌方的商务、政务等民用网络系统，不战而屈人之兵网络战各国网络战部队建设情况网络战2009年6月：美国国防部长盖茨宣布正式成立网络战司令部，将于2030年左右完成网络战部队的全面组建由攻击代替防御，实现网络威慑战略全面发展“先发制人”的网络攻击能力2013年3月：美国网络战司令部司令亚历山大在国会宣布，新增40支网络

战部队(13支：用来进攻)网络战部队：美国2018.5：隶属于美军战略司令部的网络战司令部正式升格为独立的作战司令部2018.6：美军颁布了新的非保密版的《网络空间作战》联合条令（JointPublication3-12）

2018.6：特朗普宣布取消奥巴马时期的“网络中立（NetworkNeutrality）”原则网络战部队：美国2020年9月，美国空军正式对支撑美国赛博司令部的部队进行了改组，并对任务重点进行了调整，主要的改组内容有：成立第67赛博空间联队下设的第867赛博空间作战小组；部分情报、监视和侦察（ISR）联队改编或迁移至赛博联队，从而为美国赛博空间作战提供更统一的作战部署，提升美国空军信息战作战效能网络战部队：美国英国于2020年6月1日正式成立首个专用网络军团（第13信号团），保护国防网络，并将与皇家海军和皇家空军合作，为所有军事通信提供安全的网络。英国政府11月宣布成立“国家网络部队”（NCF），由攻击性黑客组成，计划在未来十年内将人员增加至3000人左右网络战部队：英国2017年2月27日，俄国防部长绍伊古宣布组建信息作战部队对网络作战行动进行集中统一管理；保护俄罗斯军用网络和节点、军事指挥系统和通信系统免受黑客攻击；确保实现可靠的信息传递通道；检验俄军的网络能力，拓展其在网络空间的行动能力；对抗西方的反俄信息/心理宣传和渗透等网络战部队：俄罗斯以色列国防军第8200部队（Unit8200）网络战部队：以色列朝鲜人民军第121局：由朝鲜军方主持的121局全员均为朝鲜国内极为出色的计算机专家组成，不仅要经过严苛地培训，而且选拔淘汰率超过了98%，只有精英中的精英才能最终进入121局。据韩媒报道，朝鲜“黑客”能力已达美国中央情报局水准，此前索尼娱乐惨遭大规模网络攻击事件，就可能出自第121局。网络战部队：朝鲜日本防卫省在2011年建立了一支专门的“网络空间防卫队”，其重要作战思想是通过掌握“制网权”让敌人的作战系统瘫痪。网络战部队：日本APTAPT:AdvancedPersistentThreat,高级持续性威胁（攻击）。针对特定对象，长期、有计划、有组织的网络攻击行为：潜伏性、持续性、复杂性网络战时代的重要标志APT内容提纲网络空间与网络空间安全2网络攻击3网络防护4网络战时代1黑客5网络空间（Cyberspace）网络空间网络空间（Cyberspace）俄罗斯：信息空间中的一个活动范围，其构成要素包括互联网和其它电信网络的通信信道，还有确保其正常运转以及确保在其上所发生的任何形式的人类（个人、组织、国家）活动的技术基础设施。按此定义，网络空间包含设施、承载的数据、人以及操作网络空间网络空间（Cyberspace）网络空间网络空间（Cyberspace）网络空间网络空间（Cyberspace）网络空间网络空间安全（CyberspaceSecurity）网络空间安全网络是否安全主要通过“安全属性”来评估安全属性的种类（一般都包括：机密性、完整性和可用性）、名称、内涵并不统一，不同的人、不同时期、不同领域会有所差别网络安全属性（1/7）机密性（Confidentiality或Security）也称为“保密性”，对信息资源开放范围的控制，不让不应知晓的人知道秘密。机密性的保护措施主要包括：信息加密、解密；信息划分密级，对用户分配不同权限，对不同权限的用户访问的对象进行访问控制；防止硬件辐射泄露、网络截获和窃听等安全属性（2/7）完整性（Integrity）包括系统完整性和数据完整性。系统完整性是指系统不被非授权地修改；数据完整性是使信息保持完整、真实或未受损状态，任何篡改、伪造信息应用特性或状态等行为都会破坏信息的完整性。保护措施主要包括：严格控制对系统中数据的写访问，只允许许可的当事人进行更改。安全属性（3/7）可用性（Availability）资源只能由合法的当事人使用。资源可以是信息，也可以是系统。大多数情况下，可用性主要是指系统的可用性可用性的保护措施主要有：在坚持严格的访问控制机制的条件下，为用户提供方便和快速的访问接口，提供安全的访问工具安全属性（4/7）不可否认性（Non-repudiation）也称为“不可抵赖性”，是指通信双方在通信过程中，对于自己所发送或接收的消息不可抵赖。数据收发双方都不能伪造所收发数据的证明：信息发送者无法否认已发出的信息，信息接收者无法否认已经接收的信息保护措施主要包括：数字签名、可信第三方认证技术。安全属性（5/7）其它安全属性可靠性（Reliability）可信性（DependabilityorTrusty）：不统一，主流观点：可靠+安全安全属性（6/7）安全属性(7/7)（方滨兴院士）属性空间以保护信息为主的属性以保护系统为主的属性可用性可控性机密性可鉴别性可用性：系统可以随时提供给授权者使用：系统运行稳定（稳定性）、可靠（可靠性）、易于维护（可维护性），在最坏情况下至少要保证系统能够为用户提供最核心的服务（可生存性）可鉴别性：保证信息的真实状态是可以鉴别的，即信息没有被篡改（完整性）、身份是真实的（真实性）、对信息的操作是不可抵赖的（不可抵赖性）机密性：保证信息在产生、传输、处理和存储的各个环节中不被非授权获取以及非授权者不可理解的属性可控性：系统对拥有者来说是可掌控的，管理者能够分配资源（可管理性），决定系统的服务状态（可记账性），溯源操作的主体（可追溯性），审查操作是否合规（可审计性）网络空间安全（CyberspaceSecurity）方滨兴：在信息通信技术的硬件、代码、数据、应用4个层面，围绕着信息的获取、传输、处理、利用4个核心功能，针对网络空间的设施、数据、用户、操作4个核心要素来采取安全措施，以确保网络空间的机密性、可鉴别性、可用性、可控性4个核心安全属性得到保障，让信息通信技术系统能够提供安全、可信、可靠、可控的服务，面对网络空间攻防对抗的态势，通过信息、软件、系统、服务方面的确保手段、事先预防、事前发现、事中响应、事后恢复的应用措施，以及国家网络空间主权的行使，既要应对信息通信技术系统及其所受到的攻击，也要应对信息通信技术相关活动的衍生出政治安全、经济安全、文化安全、社会安全与国防安全的问题网络空间安全网络空间安全（CyberspaceSecurity）网络空间安全网络空间安全网络空间安全一级学科论证报告给出的网络空间安全知识体系网络空间安全美国NICE列出的网络空间安全知识体系本课程主要介绍网络空间安全知识体系中的网络攻击与防护技术以及这些技术所依赖的部分密码学基础知识，重点在于网络空间中的“计算机网络”的攻防技术（以攻击技术为主）。网络空间安全定义：是指计算机网络中的硬件资源和信息资源的安全性，它通过网络信息的产生、存储、传输和使用过程来体现，包括：网络设备（包括设备上运行的网络软件）的安全性，使其能够正常地提供网络服务；网络中信息的安全性，即网络系统的信息安全。其目的是保护网络设备、软件、数据，使其能够被合法用户正常使用或访问，同时要免受非授权的使用或访问相关概念：计算机网络安全定义：信息系统安全、信息自身安全和信息行为安全的总称，目的是保护信息和信息系统免遭偶发的或有意的非授权泄露、修改、破坏或失去处理信息的能力，实质是保护信息的安全属性，如机密性、完整性、可用性和不可否认性等相关概念：信息安全定义：指计算机硬件、软件以及其中的数据的安全性（机密性、完整性、可用性、可控性等）不受自然和人为有害因素的威胁和危害相关概念：计算机安全计算机网络安全、网络安全、信息安全、网络信息安全、计算机安全、网络空间安全这些概念的内涵和外延在不同文献中有差异同样的内容，不同高校的专业（或课程或学科方向）名称、教材（或著作）名称可能不同，百花齐放！讨论：几个概念的关系内容提纲网络空间与网络空间安全2网络攻击3网络防护4网络战时代1黑客5网络攻击是指采用技术或非技术手段，利用目标网络信息系统的安全缺陷，破坏网络信息系统的安全属性的措施和行为，其目的是窃取、修改、伪造或破坏信息或系统，以及降低、破坏网络和系统的使用效能网络攻击美军将计算机网络攻击（ComputerNetworkAttack,CNA）定义为：通过计算机网络扰乱（Disrupt）、否认（Deny）、功能或性能降级（Degrade）、损毁（Destroy）计算机和计算机网络内的信息或网络本身的行为网络攻击要求：了解每种具体攻击的含义，破坏的安全属性，基本的防御策略/思想网络攻击从发起攻击的来源来分，可将攻击分为三类：外部攻击、内部攻击和行为滥用

网络攻击分类（1）从攻击对被攻击对象的影响来分，可分为被动攻击和主动攻击被动攻击：攻击者监听网络通信时的报文流，从而获取报文内容或其它与通信有关的秘密信息，主要包括内容监听（或截获）和通信流量分析监听：针对通信内容通信流量（/通信量/信息量）：针对通信形式

网络攻击分类（2）从攻击对被攻击对象的影响来分，可分为被动攻击和主动攻击主动攻击：指攻击者需要对攻击目标发送攻击报文，或者中断、重放、篡改目标间的通信报文等手段来达到欺骗、控制、瘫痪目标，劫持目标间的通信链接，中断目标间的通信等目的针对通信的主动攻击：中断，伪造、重放、修改（或篡改）通信报文针对网络或信息的主动攻击：扫描、缓冲区溢出、恶意代码……

网络攻击分类（2）Stallings：基于攻击实施手段的网络攻击分类网络攻击分类（3）截获篡改伪造中断消极攻击积极攻击目的站源站源站源站源站目的站目的站目的站被动攻击主动攻击Icove分类：基于经验术语分类方法网络攻击分类（4）病毒和蠕虫资料欺骗拒绝服务非授权资料拷贝侵扰软件盗版特洛伊木马隐蔽信道搭线窃听会话截持

IP欺骗口令窃听越权访问扫描逻辑炸弹陷门攻击隧道伪装电磁泄露服务干扰

从网络战的角度看，美军将“计算机网络作战（ComputerNetworkOperations,CNO）”分为：①计算机网络攻击（ComputerNetworkAttack,CNA），是指通过计算机网络扰乱（Disrupt）、否认（Deny）、功能或性能降级（Degrade）、损毁（Destroy）计算机和计算机网络内的信息、计算机或网络本身的行为；网络攻击分类（5）从网络战的角度看，美军将“计算机网络作战（ComputerNetworkOperations,CNO）”分为：②计算机网络利用（ComputerNetworkExploitation,CNE），是指从目标信息系统或网络收集信息并加以利用的行为；网络攻击分类（5）从网络战的角度看，美军将“计算机网络作战（ComputerNetworkOperations,CNO）”分为：③计算机网络防御（ComputerNetworkDefense,CND），是指使用计算机网络分析、探测、监控和阻止攻击、入侵、扰乱以及对网络的非授权访问网络攻击分类（5）一般攻击过程足迹追踪：TargetFootprinting远端扫描：RemoteScaning资源列举：ResourceEnumerating权限获取：AccessGaining权限提升：PrivilegeEscalating设置后门：BackdoorsCreating毁踪灭迹：TracksCovering一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程APT攻击过程APT攻击过程本课程介绍的攻击技术主要包括：网络侦察、网络扫描、溢出攻击、拒绝服务攻击、恶意代码（包含病毒、蠕虫和木马）、口令攻击、网络监听、Web网站攻击、社会工程学本课程介绍的攻击技术内容提纲网络空间与网络空间安全2网络攻击3网络防护4网络战时代1黑客5网络防护是指为保护己方网络和系统正常工作以及信息的安全而采取的措施和行动，其目的是保证己方网络、系统、信息的安全属性不被破坏网络防护网络安全保障体系组织管理体系技术防护体系系统运行体系组织机构人员编制制度标准教育培训系统建设系统运维物理安全防护电磁安全防护信息安全防护网络、计算环境、基础设施、应用系统应急响应网络安全模型以建模的方式给出解决安全问题的过程和方法，主要包括：准确描述构成安全保障机制的要素以及要素之间的相互关系；准确描述信息系统的行为和运行过程；准确描述信息系统行为与安全保障机制之间的相互关系

网络安全模型DoD提出：防护（Protection）、检测（Detection）、恢复（Recovery）、响应（Response）

PDRR模型加密机制数字签名机制访问控制机制认证机制信息隐藏防火墙技术入侵检测系统脆弱性检测数据完整性检测攻击性检测数据备份数据恢复系统恢复应急策略应急机制应急手段入侵过程分析安全状态评估防护检测响应恢复ISC提出

P2DR模型

P2DR2模型保护(Protection)检测(Detection)响应(Response)备份(Recovery)策略(Policy)时间TimeIATF从整体、过程的角度看待信息安全问题，认为稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施，其代表理论为“深度防护战略”。IATF强调人、技术、操作三个核心要素，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施，为建设信息保障系统及其软硬件组件定义了一个过程，依据纵深防御策略，提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全

IATF框架IATF定义的三要素中，人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，同时也是最脆弱的。人是第一位的要素：安全管理的重要性针对人的攻击：社会工程学攻击

IATF框架CGS框架ISO于1988年发布了ISO7498-2标准，即开放系统互联(OSI，OpenSystemInterconnection)安全体系结构标准，该标准等同于国家标准的GB/T9387.2-1995。1990年，ITU决定采用ISO7498-2作为其X.800推荐标准。因此，X.800和ISO7498-2标准基本相同。1998年，RFC2401给出了Internet协议的安全结构，定义了IPsec适应系统的基本结构，这一结构的目的是为IP层传输提供多种安全服务网络安全体系结构提供了安全服务和安全机制的一般性描述（这些安全服务和安全机制都是网络系统为保证安全所配置的哪些部分、哪些位置必须配备哪些安全服务和安全机制），指明在网络系统中，并规定如何进行安全管理安全体系结构ISO安全机制与安全服务ISO7498-2定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制，确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置、OSI安全体系的管理。定义：指加强数据处理系统和信息传输的安全性的处理过程或通信服务，主要利用一种或多种安全机制对攻击进行反制来实现安全服务鉴别（authentication）或认证提供通信中的对等实体和数据来源的鉴别，是最基本的安全服务，是对付假冒攻击的有效方法。鉴别可以分为对等实体鉴别和数据源鉴别

5种安全服务（1/5）访问控制（AccessControl）访问控制就是对某些确认了身份（即进行了身份认证）的实体，在其访问资源时进行控制，是实现授权（authorization）的一种主要方式用于防止在未得到授权的情况下使用某一资源

5种安全服务（2/5）数据机密性服务保护信息（数据）不泄露或不泄露给那些未授权掌握这一信息的实体两类：数据机密性服务，使攻击者想要从某个数据项中推导出敏感信息十分困难；业务流机密性服务，使得攻击者很难通过观察通信系统的业务流来获得敏感信息。

5种安全服务（3/5）数据完整性服务用于防止数据在存储、传输等处理过程中被非授权修改，主要包括3种类型：连接完整性服务、无连接完整性服务及选择字段完整性服务

5种安全服务（4/5）抗抵赖（不可抵赖或不可否认）服务有数据原发证明的抗抵赖。为数据的接收者提供数据的原发证据，使发送者不能抵赖发送过这些数据或否认发送过这些内容；有交付证明的抗抵赖。为数据的发送者提供数据交付证据，使接收者不能抵赖收到过这些数据或否认接收内容。

5种安全服务（5/5）定义：用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程（或实现该过程的设备、系统、措施或技术）安全机制加密对网络通信中的数据进行密码变换以产生密文。通常情况下，加密机制需要有相应的密钥管理机制配合。加密可为数据或业务流信息提供机密性，并且可以作为其他安全机制的一部分或对安全机制起补充作用。对称加密与非对称（公开）加密8种特定安全机制(1/8)数字签名附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种附加数据或变换可以用来供接收者确认数据来源（真实性）、数据完整性，防止发送方抵赖，包括签名内容、时间（不可抵赖性），并保护数据，防止被人（例如接收者）伪造（真实性和完整性）两个过程：签名与验证签名8种特定安全机制(2/8)访问控制一种对资源访问或操作进行限制的安全机制。利用某个经鉴别的实体身份（主体）、关于该实体的信息（如在某个已知实体集里的资格）或该实体的权标，确定并实施实体的访问目标（客体）权限（操作）。还可以支持数据的机密性、完整性、可用性及合法使用等安全目标常见机制：DAC、MAC、RBAC8种特定安全机制(3/8)数据完整性保护避免未授权的数据乱序、丢失、重放、插入和篡改，包括两个方面：单个数据或字段的完整性，数据单元流或字段流的完整性常见机制：检验和、散列码、消息认证码（MAC）、现时（Nonce）8种特定安全机制(4/8)认证交换向验证方传递认证所需的信息，驱动实体认证。如果得到否定结果，则会导致连接拒绝或终止，也可产生一条安全审计记录或产生告警。可用于认证交换的信息主要包括：使用认证信息（如口令）；使用密码技术；使用该实体的特征或独一无二的物体（如指纹、虹膜）8种特定安全机制(5/8)通信业务填充也称为“流量填充”，是一种反通信业务分析技术，通过将一些虚假数据填充到协议数据单元中，达到抗通信业务分析的目的。这种机制只有在通信业务填充受到保护（如加密）时才有效。8种特定安全机制(6/8)路由选择机制使路由能动态地或预定地选取，使敏感数据只在具有适当保护级别的路由上传输。8种特定安全机制(7/8)公证保证在两个或多个实体之间通信的数据安全性，有时必须有可信任的第三方参与，如数据抗抵赖性等服务。第三方公证人掌握必要的信息，为通信实体所信任，以一种可证实方式向通信实体提供所需的保证。常见公证机制：数字证书认证中心（CA）、密钥分配中心（KDC）等8种特定安全机制(8/8)普遍性安全机制不是为任何特定的服务而特设的安全机制可信功能度安全标记事件检测安全审计跟踪安全恢复5种普遍性安全机制可信功能度5种普遍性安全机制安全标记5种普遍性安全机制事件检测与安全审计5种普遍性安全机制安全恢复5种普遍性安全机制ISO安全机制与安全服务说明：上述概念主要是ISO7498-2中的定义，主要针对的是OSI/RM中的通信安全，与本章前面介绍的网络安全属性中的一些同名概念（如完整性、机密性、不可抵赖性）略有差别，但核心思想是一致的安全机制与服务网络防护技术发展过程安全技术发展的三个阶段第1代安全技术（阻止入侵）第2代安全技术（入侵检测，限制破坏）第3代安全技术（入侵容忍）入侵将出现一些攻击将成功

访问控制及物理安全

密码技术

防火墙(Firewalls)

入侵检测系统(IDS)

虚拟专用网(VPN)

公钥基础结构(PKI)

实时状况感知及响应

实时性能、功能、安全调整

容侵技术第一代安全技术目的：以“保护”为目的的第一代网络安全技术，主要针对系统的保密性和完整性。方法：通过划分明确的网络边界，利用各种保护和隔离技术手段，如用户鉴别和认证，访问控制、权限管理和信息加解密等，试图在网络边界上阻止非法入侵，达到信息安全的目的。第一代安全技术（续）问题：通用的商用产品对安全技术的支持不够（特别是在操作系统这一层次），因而也限制了安全技术在军事中的应用。对一些攻击行为如计算机病毒、用户身份假冒、系统漏洞攻击等显得无能为力，于是出现了第二代安全技术。第二代安全技术目的：以检测技术为核心，以恢复技术为后盾，融合了保护、检测、响应、恢复四大技术。它通过检测和恢复技术，发现网络系统中异常的用户行为，根据事件的严重等级，提示系统管理员，采取相应的措施。基本假定：如果挡不住敌人，至少要能发现敌人和敌人的破坏。例如，能够发现系统死机，发现有人扫描网络，发现网络流量异常。通过发现，可以采取一定的响应措施，当发现严重情况时，可以采用恢复技术，恢复系统原始的状态。第二代安全技术(续)广泛应用于军民各领域的技术或产品：防火墙入侵检测系统虚拟专用网公钥基础设施安全操作系统审计系统，漏洞扫描，防病毒等第二代安全技术(续)问题：依赖于检测结论，检测系统的性能就成为信息保障技术中最为关键的部分。挑战：检测系统能否检测到全部的攻击？要发现全部的攻击不可能准确区分正确数据和攻击数据不可能准确区分正常系统和有木马的系统不可能准确区分有漏洞的系统和没有漏洞的系统不可能第三代安全技术第三代安全技术是一种信息生存技术，即系统在攻击、故障和意外事故已发生的情况下，在限定时间内完成全部或关键使命的能力。第三代安全技术与前两代安全技术的最重要差别在于设计理念上：它假定我们不能完全正确地检测、阻止对系统的入侵行为。核心：入侵容忍技术第三代安全技术(续)由于安全漏洞是因系统中的程序存在错误所致，而人们又不可能发现并修正系统中存在的所有错误，因此，必须设计一种能够容忍漏洞存在的系统体系结构（称为顽存系统体系结构），当入侵和故障突然发生时，能够利用“容忍”技术来解决系统的“生存”问题，以确保信息系统的机密性、完整性、可用性面临的挑战通用计算机设备的计算能力越来越强带来的挑战，特别是对加密技术计算环境日益复杂多样带来的挑战：万物互联信息技术发展本身带来的问题：人工智能、云计算网络与系统攻击的复杂性和动态性仍较难把握：国家力量参与的APT攻击现在呢？对策网络安全服务化、云化、智能化、自动化、人性化？现在呢？内容提纲网络空间与网络空间安全2网络攻击3网络防护4网络战时代1黑客5（一）认识“黑客”(1/4)试图闯入计算机并试图造成破坏的人？（一）认识“黑客”(2/4)黑客（hacker）Hack:“劈，砍”，引伸为“干了一件非常漂亮工作”Hacker:apersonwhousescomputersforahobby,esp.togainunauthorizedaccesstodata.起源：20世纪50年代MIT的实验室：早期MIT俚语：“恶作剧”，尤指手法巧妙、技术高明的恶作剧。60年代，极富褒义：独立思考、智力超群、奉公守法的计算机迷，“熟悉操作系统知识、具有较高的编程水平、热衷于发现系统漏洞并将漏洞公开与他人共享的一类人”日本的《新黑客字典》：“喜欢探索软件程序奥秘、并从中增长其个人才干的人。”现指：电脑系统的非法入侵者。（一）认识“黑客”(3/4)其它相关词汇：飞客（Phreak）：早期攻击电话网的青少年，研究各种盗打电话而不用付费的技术。骇客（Cracker）：闯入计算机系统和网络试图破坏和偷窃个人信息的个体，与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。快客（Whacker）：从事黑客活动但没有黑客技能的人，whacker是穿透系统的人中，在技术和能力上最不复杂的一类。武士（Samurai）：被他人雇佣的帮助他人提高网络安全的黑客，武士通常被公司付给薪金来攻击网络。幼虫（Lara）：一个崇拜真正黑客的初级黑客（一）认识“黑客”(4/4)其它相关词汇（Cont.）欲望蜜蜂（Wannabee）：处于幼虫的初始阶段的黑客的称呼，他们急于掌握入侵技术，但由于他们没有经验，因此即使没有恶意也可能造成很大危险黑边黑客（Dark-Side）：是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客半仙（Demigod）：一个具有多年经验在黑客团体具有世界级声誉的黑客。入侵者（Intruder）:有目的的破坏者。极客（Geek）(二）黑客的成长余弦：问：相要成为黑客，如何入门？答：如果你连门都入不了，还想成为黑客？问：黑客细分领域太多，知识大爆炸，怎么办？答：聚焦，所谓精而悟道……(二）黑客的成长除了技术，还有什么？(二）黑客的成长余弦：黑客攻击是一门艺术，哪怕粗暴也是一种美学(二）黑客的成长余弦：原则－－守正出奇且具备创新力(二）黑客的成长余弦：规则－－这个世界有规则，但却是用来打破的，为了更好的创新力(二）黑客的成长余弦：在黑客眼里，能打破规则的就是漏洞(二）黑客的成长余弦：黑掉你，根本不在你认为的那个点上！（三）黑客的未来很多为政府和公司服务，提高单位网络的安全性。被政府“招安”成为有名的安全专家ISS公司创始人ChristopherKlaus作为少年黑客，曾进入美国国防部和NASA信息战需要更多高水平的“黑客”本章小结电影中的黑客攻击讨论作业参考资料网络防御：计算机、网络或信息通信系统所有者（或经所有者授权的人员）和相应使用者，利用特定工具，为保护该[计算机、网络或系统本身，或其存储、处理、传输的数据，或其控制的基础设施]，而进行的计划、行动。美《第20号总统政策指令》网络恶意活动：未经授权或违反本国法律，为了达到以下目标，对特定计算机、信息通信系统、网络采取的攻击行为。窃取计算机、信息通信系统、网络中存储、处理、传输的信息；控制计算机、信息通信系统、网络的运行；破坏[计算机、信息通信系统、网络本身或其控制的有形或无形的基础设施]美《第20号总统政策指令》网络效应：[计算机、信息通信系统、网络本身或其存储、处理、传输的数据，或其控制的基础设施]，被他人控制、运行中断、拒绝执行指令、性能降级，甚至完全破坏网络行动：网络情报收集、防御性网络效应行动（包括非入侵性防御措施）、进攻性网络效应行动美《第20号总统政策指令》网络情报收集：在用户不知情的情况下，美国政府直接或间接侵入计算机、信息通信系统、网络收集情报信息。情报收集过程中，美国政府或其授权人将采取必要措施达到目的，即便该措施可能对网络空间产生负面影响。美《第20号总统政策指令》防御性网络效应行动（DCEO）：在网络防御和网络情报收集之外，美国政府直接或间接对除美国政府网络以外的网络空间采取特定行动，使其产生网络效应，旨在对抗网络攻击和恶意网络活动，消除来自国内外网络空间的紧迫威胁。非入侵性防御措施（NDCM）采用本措施消除网络威胁时，无须入侵特定计算机、信息通信系统、网络，可将网络效应降低到最低限度。（优先使用）美《第20号总统政策指令》指令规定：在未获得总统批准的情况下，美国政府不得在境内实施产生网络效应的DCEO和OCEO，但在紧急网络行动时除外。指令还规定：美国政府应当通过国土安全部、商务部以及其他部门，与私营机构合作，共同保护关键基础设施，尽量减少利用DCEO应对恶意网络活动的频次.但是，美国政府仍保留实施DCEO的权利，将其作为保护关键基础设施的手段之一。美国政府应当协调国土安全部、执法机构以及其他相关部门各机构，征得网络、计算机所有者的同意，让美国政府代表他们实施DCEO，打击恶意网络活动。但是如果美国政府行使自卫权，或经政策审查无须征得使用者同意，则可直接实施DCEO进攻性网络效应行动（OCEO）：在网络防御、网络情报收集以及DCEO之外，美国政府直接或间接对除美国政府网络以外的网络空间采取特定行动，使其产生网络效应。OCEO提供独特和非常规的行动能力，在事先几乎不对敌人或攻击目标发出警告的情况下，实施不同程度网络破坏效果，从而推动美国在世界各地的利益目标政府应当确定OCEO的潜在攻击目标，这些目标关系重在国家利益，而且在实现这些目标时，OCEO能较好地实现效果与风险之间的平衡（与其它国家强力手段相较）美《第20号总统政策指令》美国政府实施DCEO和OCEO时，应当事先获得实施该行动的计算机或系统所在国（境外实施行动的情况下）和网络效应产生国的同意。以下情况除外：

(1)经总统批准实施军事行动时，国防部部长可在未经网络效应产生国同意的情况下实施DCEO和OCEO;

(2)美国行使国际法规定的自卫权时实施的DCEO.严重后果：生命损失、针对美国的严重报复活动、重大财产损失、严重的外交和经济影响。美国国家利益：指对美国至关重要的利益，包括国家安全、公共安全、国家经济安全、“关键基础设施”的安全可靠运行、“关键资源”的控制权美《第20号总统政策指令》由部门或机构负责人决定实施的，可能造成“严重后果”的网络行动（包括网络情报收集、DCEO、OCEO）必须获得总统的专项批准。紧急网络行动：情急情况下，为了应对即将损害美国国家利益的紧迫威胁或网络攻击，相关部门或机构负责人认为采取网络行动是必须且符合本指令规定的，可立即采取该行动，无须获得总统事先批准。其他情况下，网络行动必须经总统事先批准。可能在境内产生网络效应的紧急网络行动应当获得总统的批准，并依照程序和要求实施。美《第20号总统政策指令》依据国家自卫权实施紧急网络行动，以避免人员伤亡或严重损害。该严重损害对国家应急能力、关键基础设施、关键资源、军事力量产生持续性影响。时间紧迫，采取一般网络防御和执法措施不足以或无法达到目的，其他获得事先批准的应急措施并不比DCEO更合适。该紧急网络行动引发严重后果的可能性很小。该紧急网络行动的目的、过程、结果均不具致命性。该紧急网络行动的强度、范围、持续时间将控制在消除网络威胁、遏制网络攻击所必须的限度内。本PPT是机械工业出版社出版的教材《网络攻防原理与技术（第3版）》配套教学PPT（部分内容的深度和广度比教材有所扩展），作者：吴礼发，洪征，李华波本PPT可能会直接或间接采用了网上资源或公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。声明第二章密码学基础知识内容提要密码学概述1对称密码体制234公开密码体制散列函数5密钥管理6密码分析密码案例1942年6月，在关系到日美太平洋战争转折点的中途岛海战中，日军出现了两起严重泄密事件：一是在战役发起前夕，日海军第二联合特别陆战队的一个副官，用低等级密码发电说：六月五日以后，本部队的邮件请寄到中途岛。二是日军军港的一个后勤部门，用简易密码与担任进攻中途岛任务的部队联系淡水供应问题。结果，以上两电均被设在珍珠港的美国海军破译，从而掌握了日军进攻中途岛的日期和兵力，致使日军在战役中遭到惨败。密码技术密码技术通过对信息的变换或编码，将机密的敏感信息变换成攻击者难以读懂的乱码型信息，以此达到两个目的：使攻击者无法从截获的信息中得到任何有意义信息；使攻击者无法伪造任何信息。密码技术不仅可以解决网络信息的保密性，而且可用于解决信息的完整性、可用性及不可否认性，是网络安全技术的核心和基石，是攻防都需了解的技术。概念：密码系统密码系统(Cryptosystem)，也称为密码体制，用数学符号描述为：S={M,C,K,E,D}M是明文空间，表示全体明文集合。明文是指加密前的原始信息，即需要隐藏的信息；C是密文空间，表示全体密文的集合。密文是指明文被加密后的信息，一般是毫无识别意义的字符序列；K是密钥或密钥空间。密钥是指控制加密算法和解密算法得以实现的关键信息，可分为加密密钥和解密密钥，两者可相同也可不同；密码算法是指明文和密文之间的变换法则，其形式一般是计算某些量值或某个反复出现的数学问题的求解公式，或者相应的程序。E是加密算法，D是解密算法。解密算法是加密算法的逆运算，且其对应关系是唯一的。典型密码系统组成发送者加密器c=E(k1,m)解密器m=D(k2,

c)接收者密钥产生器非法侵入者密码分析员（窃听者）密钥信道mccmm’=h(c)k1k2主动攻击被动攻击密钥信道概念：密码学密码学(cryptology)：是一门关于发现、认识、掌握和利用密码内在规律的科学，由密码编码学(cryptography)和密码分析学(cryptanalysis)组成。密码编码学对信息进行编码实现信息隐藏的一门学科。主要依赖于数学知识。主要方法有：换位、代换、加乱密码系统的安全策略密码系统可以采用的两种安全策略：基于算法保密和基于密码保护。基于算法保密的策略有没有什么不足之处？？算法的开发非常复杂。一旦算法泄密，重新开发需要一定的时间；不便于标准化：由于每个用户单位必须有自己的加密算法，不可能采用统一的硬件和软件产品；不便于质量控制：用户自己开发算法，需要好的密码专家，否则对安全性难于保障。密码系统的设计要求设计要求：系统即使达不到理论上不可破译，也应该是实际上不可破译的(也就是说，从截获的密文或某些已知的明文和密文对，要决定密钥或任意明文在计算上是不可行的)；加密算法和解密算法适用于所有密钥空间的元素；系统便于实现和使用方便；系统的保密性不依赖于对加密体制或算法的保密，而依赖于密钥（著名的Kerckhoff原则，现代密码学的一个基本原则）。密码体制分类密码体制从原理上分为两类：单钥密码体制(One-keySystem)或对称密码体制（SymmetricCryptosystem）双钥密码体制(Two-KeySystem)或公开密码体制（PublicKeyCryptosystem）公开与对称结合：链式加密（数字信封）两种密码体制的综合应用密码学发展简史(1/4)一般来说，密码学的发展划分为三个阶段：第一阶段为从古代到1949年。这一时期可以看作是科学密码学的前夜时期，这阶段的密码技术可以说是一种艺术，而不是一种科学，密码学专家常常是凭知觉和信念来进行密码设计和分析，而不是推理和证明。密码学发展简史(2/4)一般来说，密码学的发展划分为三个阶段：第二阶段为从1949年到1975年。1949年Shannon发表的“保密系统的信息理论”为私钥密码系统建立了理论基础，从此密码学成为一门科学，但密码学直到今天仍具有艺术性，是具有艺术性的一门科学。这段时期密码学理论的研究工作进展不大，公开的密码学文献很少。密码学发展简史(3/4)一般来说，密码学的发展划分为三个阶段：第三阶段为从1976年至今。1976年diffie和hellman发表的文章“密码学的新动向”一文导致了密码学上的一场革命。他们首先证明了在发送端和接受端无密钥传输的保密通讯是可能的，从而开创了公钥密码学的新纪元。密码学发展简史(4/4)在密码学发展史上有两个重要因素：战争的刺激和科学技术的发展推动了密码学的发展。信息技术的发展和广泛应用为密码学开辟了广阔的天地。内容提要密码学概述1对称密码体制234公开密码体制散列函数5密钥管理6密码分析对称密码体制：概述对称密码体制（symmetriccryptosystem）的加密密钥和解密密钥相同，也叫单钥密码体制或者秘密密码体制。发送者加密器c=E(k

,m)解密器m=D(k,

c)接收者密钥产生器密钥信道mcmkk密钥信道对称密码体制：概述对称密码体制对明文加密有两种方式：序列密码（或流密码，StreamCipher）分组密码(BlockCipher)序列密码（1/2）主要原理：以明文的比特为加密单位，用某一个伪随机序列作为加密密钥，与明文进行异或运算，获得密文序列；在接收端，用相同的随机序列与密文进行异或运算便可恢复明文序列。=10111101…---------------=00110010…

10001111…

00110010…=

10111101…密钥序列产生算法密钥序列种子密钥密钥序列产生算法密钥序列种子密钥序列密码（2/2）序列密码算法的安全强度完全取决于伪随机序列的好坏，因此关键问题是：伪随机序列发生器的设计。优点：错误扩散小（一个码元出错不影响其它码元）；速度快、实时性好；安全程度高。缺点：密钥需要同步分组密码（1/3）主要原理：在密钥的控制下一次变换一个明文分组；将明文序列以固定长度进行分组，每一组明文用相同的密钥和加密函数进行运算。加密算法解密算法密钥K=(k0,k1,…,kL-1)密钥K=(k0,k1,…,kL-1)明文X=(x0,x1,…,xm-1)明文X=(x0,x1,…,xm-1)密文Y=(y0,y1,…,ym-1)工作模式电码本模式(ElectronicCodebookMode，ECB)密码分组链接模式(CipherBlockChaining，CBC)密码反馈模式(CipherFeedback，CFB)计数器模式(Counter，CTR)输出反馈模式

(OutputFeedback，OFB)GCM模式（GaloisCounterMode）实际应用时，分组密码名称中常带上工作模式，如DES-CBC分组密码（2/3）分组密码（3/3）优缺点：容易检测出对信息的篡改，且不需要密钥同步，具有很强的适应性；（与序列密码相比）分组密码在设计上的自由度小。最典型分组密码是DES数据加密标准，它是单钥密码体制的最成功的例子。一、DESDES密码体制DES是IBM公司于1970年研制的DES(DataEncryptionStandard)算法。该算法于1977年1月15日被美国国家标准局NBS颁布为商用数据加密标准，每5年被评估1次。DES加密过程64bit明文数据初始置换IP乘积变换（16次迭代）逆初始置换IP-164bit密文数据64bit密钥子密钥生成输入输出初始置换初始置换对输入的比特位置进行调整。通过初始置换表实现初始置换的功能举例来看，输入为8位01110010初始置换表为：则输出为：10001101输入位12345678输出位35612487DES加密过程64bit明文数据初始置换IP乘积变换（16次迭代）逆初始置换IP-164bit密文数据64bit密钥子密钥生成输入输出通过64bit密钥产生16个不同的子密钥，每个子密钥为48bit，在每一轮中使用。子密钥产生有专门的算法，图4.1416次迭代通过初始置换得到X0，X0被分为左右两部分，即X0

=L0R0

16次迭代：i=1,2,…,16

Xi-1=Li-1Ri-1，Li=Ri-1，Ri=Li-1

F(Ri-1,Ki)Li-1Ri-1F+LiRiKi每次迭代只对右边的32bit进行一系列的加密变换：扩展运算E、密钥加密运算、选择压缩运算S、置换运算T及左右异和运算。F(Ri-1,Ki)=P(S(E(Ri-1)Ki))每次迭代的最后，把左边的32bit与右边变换得到的32bit逐位模2加，作为下一轮迭代时右边的段将变换前的右边的段直接送到左边的寄存器中作为下一轮迭代时左边的段S是一组八个变换S1，S2，S3，…，S8，称为S盒，每个盒以6位输入，4位输出，S盒构成了DES安全的核心。DES解密解密方法：把子密钥的顺序颠倒过来，即把K1～K16换为K16～K1,再输入密文，采用与加密同样的算法，就可还原明文DES的安全性DES系统的保密性主要取决于什么？密钥的安全性。穷举法破解有人认为S盒可能含有某种“陷门”，美国国家安全机关可以解密。如何将密钥安全、可靠地分配给通信双方，在网络通信条件下就更为复杂，包括密钥产生、分配、存储、销毁等多方面的问题，统称为密钥管理。密钥管理是影响DES等单钥密码体制安全的关键因素。因为即使密码算法再好，若密钥管理处理不当，也很难保证系统的安全性。DES的56位密钥可能太小1998年7月，EFE宣布攻破了DES算法，他们使用的是不到25万美元的特殊的“DES破译机”，这种攻击只需要不到3天的时间。以现有网络计算能力，破解非常容易DES的迭代次数可能太少（16次恰巧能抵抗差分分析）DES的安全性DES破解器1998年，电子前哨基金会（EFF）制造了一台DES破解器，它使用多个DeepCrack芯片搭成而成，造价约$250,000，包括1,856个自定义的芯片，在56个小时内利用穷尽搜索的方法破译了56位密钥长度的DES2025/1/14170二、3DES3DES在DES算法的基础上，于1985年提出了TripleDES（3DES）加密算法，在1999年被加入到DES系统当中。原理：3个密钥或2个密钥执行3次常规的DES加密。c=E(k3,D(k2,E(k1,m)))m=D(k1,E(k2,D(c,k3)))优点：3DES的密钥长度是192位，其中去除校验位的有效密钥长度为168位，足够抵抗穷举攻击。缺点：算法较慢，相当于执行3遍DES。3DES三、AESAES1997年4月15日美国国家标准技术研究所(NIST)发起征集AES（AdvancedEncryptionStandards）算法的活动，并专门成立了AES工作组基本要求：AES应该像DES和TDES那样是一个块加密方法，并且至少像TDES一样安全，但是其软件实现应该比TDES更加有效NIST指定AES必须：公开算法；分组大小为128比特的分组密码，支持密钥长度为128、192和256比特；通用性对AES候选方案的评审标准有3条：（1）全面的安全性，这是最为重要的指标。（2）性能，特别是软件实现的处理性能。（3）算法的知识产权等特征。

AES1998年确定第一轮15个候选者1999年确定第二轮五个候选者

MARSRC6RijndaelSerpentTwofishAES经过多轮评估、测试，NIST于2000年10月2日正式宣布选中比利时密码学家JoanDaemen和VincentRijmen提出的密码算法RijndaelNIST于2001年11月26日发布于FIPSPUB197，并在2002年5月26日成为有效的标准AESRijndael汇聚了安全、效率、易用、灵活等优点，使它能成为AES最合适选择不属于Feistel结构加密、解密相似但不完全对称支持128/192/256(/32=Nb)数据块大小支持128/192/256(/32=Nk)密钥长度有较好的数学理论作为基础结构简单、速度快AESAES算法与Rijndael算法常常将DES算法称为Rijndael算法严格地讲，Rijndael算法和AES算法并不完全一样，因为Rijndael算法是数据块长度和加密密钥长度都可变的迭代分组加密算法，其数据块和密钥的长度可以是128位、192位和256位。尽管如此，在实际应用中二者常常被认为是等同的AESRijndael算法采用替换/转换网络，每一轮包含三层非线性层：字节替换，由16个S-盒并置而成，主要作用是字节内部混淆；线性混合层：通过列混合变换和行移位变换确保多轮密码变换之后密码的整体混乱和高度扩散；轮密钥加层：简单地将轮（子）密钥矩阵按位异或到中间状态矩阵上S-盒选取的是有限域GF（28）中的乘法逆运算AES算法描述预处理：先对要加密的数据块进行预处理，使其成为一个长方形的字阵列，每个字含4个字节，占一列，每列4行存放该列对应的4个字节，每个字节含8bit信息。Nb表示分组中字的个数（也就是列的个数），Nk表示密钥中字的个数AES算法描述预处理：先对要加密的数据块进行预处理，使其成为一个长方形的字阵列，每个字含4个字节，占一列，每列4行存放该列对应的4个字节，每个字节含8bit信息。Nb表示分组中字的个数（也就是列的个数），Nk表示密钥中字的个数AES算法描述预处理多轮迭代：明文分组进入多轮迭代变换，迭代的轮数Nr由Nb和Nk共同决定，可查表AES加解密过程AES最后一轮不做列混合运算安全性：Rijndael算法进行8轮以上即可对抗线性密码分析、差分密码分析，亦可抵抗专门针对Square算法提出的Square攻击。当密钥长度分别为128比特、192比特和256比特时，对应的运算量分别为2127、2191和2255灵活性：Rijndael的密钥长度可根据不同的加密级别进行选择。Rijndael的循环次数允许在一定范围内根据安全要求进行修正AES四、IDEAIDEA国际数据加密算法(IDEA,InternationalDataEncryptionalgorithm)中国学者来学嘉博士与著名密码学家JamesMassey于1990年提出的一种分组密码算法1992年进行了改进：抗差分攻击密钥为128bit，穷举攻击要试探2128个密钥，若用每秒100万次加密的速度进行试探，大约需要1013年。分组密码算法比较算法密钥长度分组长度循环次数DES566416三重DES112/1686448IDEA128648AES128/192/256128/192/25610/12/14五、流密码RC4RC4（RivestCipher4）是一种流密码算法，由RonRivest在1987年设计出的密钥长度可变的加密算法簇。起初该算法是商业机密，直到1994年，才公诸于众RC4基本概念RC4算法过程RC4算法过程RC4算法过程RC4安全性分析当密钥长度超过128位时，以当前的技术而言，RC4是很安全的，RC4也是唯一对2011年TLS1.0BEAST攻击免疫的常见密码。近年来RC4爆出多个漏洞，安全性有所下降。例如，2015年比利时鲁汶大学的研究人员MathyVanhoef与FrankPiessens，公布了针对RC4加密算法的新型攻击方法，可在75小时内取得cookie的内容。因此，2015年IETF发布了RFC7465，禁止在TLS中使用RC4，NIST也禁止在美国政府的信息系统中使用RC4。著名的分布式代码管理网站Github从2015年1月5日起也停止对RC4的支持RC4单钥密码体制的优缺点单钥密码技术可以用来做什么？加密和认证单钥密码体制具有加解密算法简便高效，加解密速度快、安全性很高的优点，应用非常广泛；存在一些问题，而且靠自身无法解决：密钥分配困难；需要密钥量大（n个用户之间互相进行保密通信，需要n(n-1)/2个密钥）内容提要密码学概述1对称密码体制234公开密码体制散列函数5密钥管理6密码分析公开密码体制1976年，Diffie、Hellmann在论文“Newdirectionsincryptography”提出了双钥密码体制（奠定了公钥密码系统的基础），每个用户都有一对密钥：一个是公钥（PK），可以像电话号码一样进行注册公布；另一个是私钥（SK），由用户自己秘密保存；两个密钥之间存在某种算法联系，但由一个密钥无法或很难推导出另一个密钥。又称为公钥密码体制或非对称密码体制（asymmetriccryptosystem）。发送者加密器c=E(m,k1)解密器m=D(c,k2)接收者密钥产生器密钥信道mcmk1k2密钥信道公开密码体制：特点整个系统的安全性在于：从对方的公钥PK和密文中要推出明文或私钥SK在计算上是不可行的公开密码体制的主要特点是将加密和解密能力分开，可以实现：多个用户加密的消息只能由一个用户解读：保密通信；只由一个用户加密消息而使多个用户可以解读：数字签名认证。公开密码体制：实现技术根据其所依据的数学难题可分为3类：大整数分解问题类：RSA密码体制（最著名的双钥密码体制）椭圆曲线类离散对数问题类一、RSARSA密码体制RSA公钥体制是1978年由麻省理工学院3位年青数学家：Rivest,Shamir,Adleman提出的基于数论的双钥密码体制。（开始被称作“MIT体制”）RSA体制基于“大数分解和素数检测”这一著名数论难题：将两个大素数相乘十分容易，但将该乘积分解为两个大素数因子却极端困难；素数检测就是判定一个给定的正整数是否为素数。205整数的因子分解问题（1/3）整数的因子分解问题：将两个素数11927和20903相乘，可以很容易地得出249310081。但是将它们的积249310081分解因子得出上述两个素数却要困难得多。即使最大型的计算机将一个大的乘积数分解还原为组成此数的两个素数也要很长时间。从一个公钥和密文中恢复出明文的难度等价于分解两个大素数之积。整数的因子分解问题（2/3）Rivest，Shamir，Adleman提出，分解一个130位的两个素数的乘积数需要几百万年的时间，为了证明这一点，他们找到1个129位数，并向世界挑战找出它的两个因子。RSA129：11431862575788886766923577997614661201021829672124236256256184293570693524573389783059712356395870558989075147599290026879543541整数的因子分解问题（3/3）世界各地600多个研究人员和爱好者通过Internet协调各自计算机的工作向这个129位数发动了进攻。花费了近一年的时间，终于分解出了这个数的两个素数，其中一个长64位，另一个长65位，这两个素数分别为：349052951084765094914784961990389813341776463849338784399082057732769132993266709549961988190834461413177642967992942539539798288533

说明两个问题：（1）整数的因子分解问题是一个计算开销非常大的问题；（2）Internet协同计算能力的强大。RSA密钥产生过程产生过程如下：生成两个大素数p

和q；计算这两个素数的乘积n=p*q；计算小于n并且与n互质的整数的个数，即欧拉函数φ(n)=(p-1)*(q-1)；随机选择一个加密密钥e，使e满足1<e<φ(n)，并且e和φ(n)互质；利用欧几里德扩展算法计算e的逆元d，以满足：

e*d

≡1modφ(n)公钥PK={e,n}；对应的私钥SK={d}欧拉函数在数论中，对正整数n，欧拉函数是小于或等于n的数中与n互质的数的数目。此函数以其首名研究者欧拉命名，它又称为Euler’stotientfunction、φ函数、欧拉商数等，例如：φ(1)=1，唯一和1互质的数就是1本身；φ(8)=4，因为1,3,5,7均和8互质。RSA密钥产生过程产生过程如下：生成两个大素数p

和q；计算这两个素数的乘积n=p*q；计算小于n并且与n互质的整数的个数，即欧拉函数φ(n)=(p-1)*(q-1)；随机选择一个加密密钥e，使e满足1<e<φ(n)，并且e和φ(n)互质；利用欧几里德扩展算法计算e的逆元d，以满足：

e*d≡1modφ(n)公钥PK={e,n}；对应的私钥SK={d}欧几里德扩展算法欧几里德算法又称辗转相除法，用于计算两个整数a,b的最大公约数。其计算原理依赖于下面的定理：gcd(a,b)=gcd(b,amodb)RSA密钥产生过程产生过程如下：生成两个大素数p

和q；计算这两个素数的乘积n=p*q；计算小于n并且与n互质的整数的个数，即欧拉函数φ(n)=(p-1)*(q-1)；随机选择一个加密密钥e，使e满足1<e<φ(n)，并且e和φ(n)互质；利用欧几里德扩展算法计算e的逆元d，以满足：

e*d≡1modφ(n)公钥PK={e,n}；对应的私钥SK={d}RSA密钥产生的实例选择素数:p=17，q=11计算n=p*q=17*11=187计算φ(n)=(p–1)*(q-1)=16*10=160选择

e：gcd(e,160)=1；选择e=7确定d：d*e=1mod160andd<160；d=23因为23*7=161=1*160+1公钥PK={7,187}私钥SK={23}RSA的加解密操作为了对消息内容M进行加密，发送者:获得接收者的公钥PK={e,n}计算:C=Memodn为了解密密文C，接收者：使用自己的私钥SK={d}计算:M=Cd

modnRSA加解密操作实例假定：接收方公钥PK={7,187}接收方私钥SK={23}

给定消息M=88加密:C=887mod187=11解密:M=1123mod187=88应用一：加密通信用户将自己的公钥登记在一个公开密钥库或实时公开，私钥则被严格保密。信源为了向信宿发送信息，去公开密钥库查找对方的公开密钥，或临时向对方索取公钥，将要发送的信息用这个公钥加密后在公开信道上发送给对方。对方收到信息（密文）后，则用自己的私钥解密密文，从而读取信息。优点：省去了从秘密信道传递密钥的过程RSA的应用应用二：数字签名RSA的应用利用RSA实现普通的数字签名DSKAPKA用公开密钥核实签名

用秘密密钥进行签名M发送者A接收者BD(SKA,M)ME除了A之外，没有其他人知道A的私钥；能用A的公钥解密的内容，必定是利用A的私钥所加密的。因此，可以推断信息内容来源于A。PKA={e,n}，SKA={d}A对M的签名：

SA=D(SKA,M)=Mdmodn验证签名：

E(PKA,SA)=(Md)emodn=M这种签名有什么问题吗？效率低，通常是对消息的特征码（如散列码）进行签名RSA公钥体制的优缺点优点：保密强度高密钥分配及管理简便可以用于数字签名实现身份认证缺点：运算复杂，速度慢：硬件实现时，RSA比DES要慢大约1000倍，软件实现时，RSA比DES要慢大约100倍。很多实际系统中，只用RSA来交换DES的密钥，而用DES来加密主体信息。RSA公钥体制的安全性依赖于未被证明的“整数的因子分解问题”假若数学理论进一步发展，发现“整数的因子分解问题”是一个可以快速解决的问题？以RSA为代表的公钥体制的加密操作是公开的，任何人都可以选择明文，并利用公开的公钥来攻击RSA公钥体制。明文空间必须足够大才能够防止穷尽搜索明文空间攻击；如果用公钥体制加密会话密钥，会话密钥必须足够的长。二、Diffie-Hellman密钥交换算法Diffie-Hellman密钥交换算法（简称为“DH算法”或“DH交换”）由WhitfieldDiffie和MartinHellman于1976提出，是最早的密钥交换算法之一，它使得通信的双方能在非安全的信道中安全的交换密钥，用于加密后续的通信消息。该算法被广泛应用于安全领域，如

TSL和IPsec协议DHDiffie-Hellman算法的有效性依赖于计算离散对数的难度DH算法过程DH