计算机安全技术基础.PPT.ppt

1、万秋成 石河子大学商学院,计算机安全技术基础,希腊人与斯巴达人的棍子加密法 恺撒密码 隐写术 常规加密技术 公开密钥技术 ,密码学历史,教学内容安排,1,3,2,常规加密技术,公开密钥加密技术,鉴别和数字签名,4,鉴别应用,教学内容安排,1,3,2,常规加密技术,公开密钥加密技术,鉴别和数字签名,4,鉴别应用,常规加密模型,一个对称加密模型由五要素组成： 明文 密钥 加密算法 密文 解密算法 安全依赖于密钥的保密而不依赖于算法的保密 又称保密密钥算法或对称加密算法,对称加密原理,替代技术（恺撒密码） 置换技术（棍子加密） 分组密码（以一个明文分组为整体进行操作） 流密码（一次加密一个bit）,

2、几个基本概念,由IBM的Feistel于1973年提出 几乎所有的对称加密算法都基于这种结构实现,Feistel分组密码结构,分组大小：分组越大安全性越高，一般为64bits 密钥大小：密钥长度越长安全性越高，目前一般为128bits 循环次数：循环次数越多安全性越高，一般为16 子密钥产生算法：算法越复杂破译难度越高 函数F：复杂性越高则破译难度越高,Feistel分组密码特点,1977年被采纳为美国国家数据加密标准 目前使用最广泛的加密方法 采用分组加密 以64bits为单位分组 密钥长度为56bits,DES数据加密标准,DES加密算法描述,每个循环的过程描述,具有很强的雪崩效应 具有较

3、强的抗破译强度，只能用穷举法进行攻击 在Internet时代，仅仅56bits的密码开始显得不够安全。1999年的一个试验表明，利用Internet上的分布式体系结构于22小时内破译了密码,DES算法的特点,三重DES,利用加密解密加密序列来完成数据加密 其中：C密文；P明文 有效密码长度增加到56X3168 利用K3K2或K1K2可提供对DES算法的向后兼容 在许多基于Internet应用中采用，如PGP和S/MIME,三重DES,C = EK3DK2EK1P,基于Feistel结构实现 64bits分组 128bits密钥 已被PGP采用,IDEA算法,基于Feistel结构实现，但在每一

4、个循环中对数据的两半部分都进行加密操作 S盒子依赖于密钥，更难被破译 支持密钥长度可从32bit到448bit 实现简单 加密速度快 可在小于5k内存下运行,Blowfish算法,只使用常见的初等计算操作，适合于硬件和软件实现 实现简单、快速 一个字中的比特数由参数设置，对不同字长的处理器有适应性 可变的循环次数（0到255） 可变长度密钥（0到2040） 内存要求低 高安全性,RC5算法,电子密码本（ECB）方式,密码分组链接（CBC）方式,教学内容安排,1,3,2,常规加密技术,公开密钥加密技术,鉴别和数字签名,4,鉴别应用,公开密钥加密在防范密码攻击上比常规加密更安全 实际上，两者都依赖

5、于密钥长度和解密的计算工作量，互相之间都不比对方优越 公开密钥加密使得常规加密过时 实际上，公开密钥加密在计算上相对的巨大开销，使得公开密钥加密仅限于密钥管理和数字签名应用,澄清公开密钥加密算法的两个误解,密码的分配和共享问题 数字签名问题,公开密钥加密要解决的两个难题,公开密钥加密模型,公开密钥鉴别模型,一个公开密钥模型由六要素组成： 明文 公开和私有密钥 加密算法 密文 解密算法 又称非对称加密 公开密钥加密的核心在于基于一个单向函数（one-way function，函数计算很容易，但逆运算不可行）设计算法,公开密钥加密原理,加密/解密：发送方用接收方的公开密钥加密报文 数字签名：发送方

6、用自己的私有密钥签署报文 密钥交换：双方合作以便交换会话密钥,公开密钥加密应用的三个领域,参与方B容易通过计算产生出一对密钥（公开密钥KUb ，私有密钥KRb ） 发送方A很容易计算产生密文 接收方B通过计算解密密文 敌对方即使知道公开密钥KUb ，要确定私有密钥KRb 在计算上是不可行的 敌对方即使知道公开密钥KUb 和密文C，要确定明文M在计算上是不可行的 密码对互相之间可以交换使用,对公开密钥加密的要求,1977年由MIT的Rivest, Shamir和Adleman 三人提出 是一个分组加密方法 目前被最广泛地采用 采用的单向函数是大素数相乘，相乘很容易，但因子分解很困难 基于数论中的

7、欧拉定理实现,RSA算法,选择两个素数p7、q17 计算n=p*q119 计算n的欧拉函数 选择一个整数e5 计算d77，7753854961 公开密钥KU = e,n5,119 私有密钥KR = d,n=77,119,RSA算法密码的生成过程,加解密过程根据欧拉定理得到 加密过程： 明文：Mn 密文： C = Me (mod n) 解密过程： 密文： C 明文： M = Cd (mod n),RSA算法加解密过程,一个RSA算法的具体实例,穷举攻击 数学攻击：等效于因子分解 目前情况看，选用1024到2048bits较为合理 比常规加密算法具有更大的计算复杂度,对RSA算法的攻击分析,采用的

8、单向函数是计算离散对数 找到两个公开的数字：一个素数q和一个整数 只能用于密码交换,Diffie-Hellman密钥交换,将常规加密算法的数据处理速度和公开密钥算法对密钥的保密功能相结合 利用常规加密算法加密传输数据 利用公开密钥算法交换密码 适用于需要交流大批量数据的场合 安全套接层（SSL）采用了这种解决方案,混合加密系统,教学内容安排,1,3,2,常规加密技术,公开密钥加密技术,鉴别和数字签名,4,鉴别应用,确认如下目标： 信息确实是从认定的源和作者传送过来的 发送的信息内容未被更改过 某些情况下，还必须确认信息以一种特定的时间和顺序发送 对抗主动攻击,鉴别的需求,利用常规加密手段,可以

9、实现加密 仅发送方和接收方共享密钥K 提供一定程度的鉴别 仅来自发送方 传输过程中不会被更改 不提供签名 接收方可以伪造报文 发送方可以否认报文,利用常规加密手段的分析,利用公开密钥加密手段,报文鉴别码（MAC）技术,利用单向Hash函数实现MAC,在做Hash操作前加入秘密值，传输前移去秘密值,利用单向Hash函数实现MAC,Hash函数的目标是为数据产生“指纹” Hash函数H必须具有以下性质： H能用于任何大小的数据分组 H产生定长输出 对任何给定的x，H(x)要易于计算 单向性质：对于给定的码h，寻找x使得H(x)h在计算上不可行 对任何给定的x，寻找不等于x的y，使得H(x)H(y)

10、在计算上不可行 寻找任何的(x,y)对，使得H(x)H(y)在计算上不可行,Hash函数的需求,一个改进的简单方法是对每个分组获得的Hash码进行循环移位,简单Hash函数,Hash函数的基本结构,安全散列算法（SHA1）,步骤1：附加填充比特，填充比特串的最高数为1，其余各位均为0，长度与448模512同余 步骤2：附加长度值，64位 步骤3：初始化MD缓存 步骤4：处理512bit的分组序列，处理过程见下图 步骤5：输出。所有L个512bit的分组都处理完成后，最终输出即为160bit的报文摘要,SHA-1逻辑步骤,单个512bit分组的SHA1处理过程,几种常见Hash函数的比较,鉴别可

11、以保护通信双方免受第三方的攻击，但无法防止通信双方的互相攻击 数字签名的需求： 必须能证实作者签名和签名的日期和时间 在签名时必须能对内容进行鉴别 签名必须能被第三方证实以便解决争端,数字签名的需求,签名必须依赖于要签名报文的比特模式 签名必须使用对发送方来说是唯一的信息，以防伪造和抵赖 数字签名的产生必须相对简单 数字签名的识别和证实必须相对简单 伪造一个数字签名在计算上是不可行的 保留一个数字签名的备份在存储上是可行的,数字签名的性质,美国国家标准，数字签名标准DSS，于1991年提出 利用了SHA1方法 是一种公开密钥技术 不能被用作加密或密钥交换,DSS,两种数字签名方法的比较,DSS

12、的签名和验证,教学内容安排,1,3,2,常规加密技术,公开密钥加密技术,鉴别和数字签名,4,鉴别应用,希腊神话里看护地域之门的三头狗,KERBEROS,解决的问题是：在一个分布式环境中，用户希望获取服务器上提供的服务。服务器能限制授权用户的访问，并能对服务请求进行鉴别 处理三种威胁： 用户伪装成另一个用户访问服务器 用户更改工作站的网络地址 用户窃听报文交换过程，利用重放攻击进入服务器,KERBEROS,提供一个集中的鉴别服务器，实现服务器与用户间的互相鉴别 基于常规加密实现，没有采用公开密钥加密 存在两个版本：4和5 版本4利用了DES算法,KERBEROS,术语： C客户 AS鉴别服务器（

13、存放着所有用户及用户口令信息） V服务器 IDc 在C上的用户标识符 IDv V的标识符 Pc在C上的用户口令 ADcC的网络地址 KvAS和V共享的加密密钥,KERBEROS第4版,一个简单的鉴别对话,（1）C AS: IDc | Pc | IDv （2）AS C:Ticket （3）C V: IDc | Ticket Ticket = EKvIDc | ADc | IDv,要求用户频繁地输入口令 申请不同的服务，用户需要新的票据 口令是明文传送的，敌对方可能窃听到口令 敌对方窃听到Ticket，摹仿C进行重放攻击,存在的问题,一个改进的鉴别对话,用户登录时获取票据许可票： （1）C AS:

14、 IDc | IDtgs （2）AS C: EKc Tickettgs,请求某种服务类型时获取服务许可票： C TGS: IDc |IDv|Tickettgs (4) TGS C: Ticketv,获取服务： (5) C V: IDc|Ticketv TickettgsEKtgsIDc|ADc|IDtgs|TS1|Lifetime1 TicketvEkvIDc|ADc|IDv|TS2|Lifetime2,增加一个票据许可服务器TGS,每一张ticket的有效期限设置 如果太短，要求用户频繁地输入口令 如果太长，更多的机会遭受到重放攻击 敌对方可能偷窃ticket，在它过期之前进行使用 服务器如

15、何向用户鉴别自己,存在的问题,Kerberos4的鉴别对话,用户登录时获取票据许可票： （1）C AS: IDc | IDtgs |TS1 （2）AS C: EKc Kc,tgs|IDtgs|TS2|Lifetime2|Tickettgs,请求某种服务类型时获取服务许可票： C TGS: IDv|Tickettgs |Authenticatorc TGS C: EKc,tgsKc,v|IDv|TS4|Ticketv Authenticatorc EKc,tgsIDc |ADc|TS3,获取服务： (5) C V: Ticketv |Authenticatorc (6) V C: EKc,vTS

16、5+1 TickettgsEKtgs Kc,tgs| IDc |ADc|IDtgs|TS2|Lifetime2 TicketvEkvKc,v|IDc|ADc|IDv|TS4|Lifetime4 Authenticatorc EKc,vIDc |ADc|TS5,KERBEROS概述,一个完整的Kerberos环境包含一个Kerberos服务器、许多客户和许多应用服务器。满足以下需求： 所有用户都向Kerberos服务器注册 所有服务器都向Kerberos服务器注册 上述这样的一个环境称为一个领域（realm） 跨领域的鉴别机制还需要满足第三个需求：两个Kerberos服务器间必须相互注册，相互信

17、任,KERBEROS领域,请求另一个领域的服务,C AS: IDc | IDtgs |TS1 AS C: EKc Kc,tgs|IDtgs|TS2|Lifetime2|Tickettgs C TGS: IDtgsrem|Tickettgs |Authenticatorc TGS C: EKc,tgsKc,tgsrem|IDtgsrem|TS4|Tickettgsrem C TGSrem: IDvrem|Tickettgsrem |Authenticatorc TGSrem C: EKc,tgsremKc,vrem|IDvrem|TS6|Ticketvrem C Vrem: Ticketvrem

18、 |Authenticatorc,步骤说明,加密系统的依赖性。第4版依赖于DES，第5版则允许选择使用其它加密技术 Internet协议的依赖性。第4版只对IP协议起作用，第5版则允许使用其它类型的网络地址 报文字节序的依赖性。 票据有效期。第4版最长有效期为1280分钟，第5版则允许则允许任意长度 鉴别转发。第5版允许鉴别转发 领域间鉴别。减少安全密钥交换的个数。,第4版和第5版的差异,保存用户信息数据库的一个服务器或一组分布式服务器 每个证书包含用户的公开密钥和用可信证书权威机构的私人密钥的签名 用于S/MIME、IPSec、SSL/TLS和SET 基于公开密钥加密和数字签名技术实现,X.509鉴别服务（CA）,X.509格式,版本号 序列号，保证唯一 签名算法标识符，与尾部签名字段内容重复 颁发者名字：创建和签名这个证书的CA机构的名字 有效期：保护证书的有效起始时间和结束时间 主体名：持有该证书的用户名 主体的公开密钥信息：主体的公开密钥算法算法的相关参数 颁发者的唯一标识符（第2版加入） 主体的唯一标识符（第2版加入） 扩展（第3版加入） 签名：用CA私有密钥加密的其它字段加密算法算法的相关参数,X.509格式说明,由CA产生的用户证书具有以下特点： 任何有CA公开密钥的用户都可以恢复该证书主体的公开密钥 除了CA，没有任何一方能不被察觉地更改该证书,获取一个用