第2章 基本网络安全技术

Page1第二章基本网络安全技术2.1密码学基础2.2数据完整性服务2.3数据鉴别技术2.4数字签名技术与PKIPage2密码学定义密码学是研究信息系统安全保密的科学，它包括两个分支即密码编码学和密码分析学。密码学是对这两门分支学进行综合分析，系统研究的科学，是保护信息安全最主要的手段之一。Page3加密流程加密解密明文密文原始明文Page4密码算法和密钥密码算法（algorithm）也叫密码（cipher），是用于加密和解密的数学函数。（通常情况下有两个相关的函数，一个用来加密，一个用来解密）如果数据的保密性是基于保持算法的秘密，这种算法称为受限制的（restricted）算法。受限制的算法不可能进行质量控制或标准化。每个用户和组织必须由他们自己唯一的算法。Page5密码算法和密钥(续)现代密码学用密钥（key）解决了这个问题:加密解密明文密文原始明文加密密钥解密密钥加密后数据的安全性是基于密钥的安全性；而不是基于算法的安全性。算法可以公开，也可以被分析，只要密钥不泄露，加密数据就无法被破解。密码系统（cryptosystem）由算法以及所有可能的明文、密文和密钥组成。Page6密钥算法分类基于密钥的算法通常有两类：对称算法(单密钥算法,秘密密钥算法)非对称算法(双密钥算法,公开密钥算法)。Page7对称密钥算法对称算法（symmetricalgorithm）：加密密钥能够从解密密钥推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，密钥必须保密。Page8公开密钥算法系统中：加密和解密使用不同的密钥；加密密钥可公开，称为公钥（publickey），解密密钥需保密，称为私钥（privatekey）；即使用公钥加密，私钥解密。即任何人均可知晓公钥并能公钥加密信息，但只有用相应的私钥（保密）才能解密由该公钥加密的信息。算法条件：由公钥不能推导出私钥。较对称密码算法的优势:克服了分发私钥带来的不安全性。缺点:加、解密速度慢。Page9密码协议密码协议（cryptographicprotocol）是使用密码学的协议。参与该协议的伙伴可能是朋友和完全信任的人，或者也可能是敌人和互相完全不信任的人。密码协议包括特定密码算法。Page10密码协议(续)所谓协议，就是两个或者两个以上的参与者为完成某项特定的任务而采取的一系列步骤。这个定义包含三层含义：1)协议自始至终是有序的过程，每一个步骤必须执行，在前一步没有执行完之前，后面的步骤不可能执行；2)协议至少需要两个参与者；3)通过协议必须能够完成某项任务。Page11常用密码协议分类1)密钥交换协议如用于建立在一次通信中所使用的会话密钥。可以采用对称密码体制，也可以采用非对称密码体制，例如Diffie-Hellman密钥交换协议。2)认证协议包括实体认证（身份认证）协议、消息认证协议、数据源认证和数据目的认证协议等3)认证和密钥交换协议将认证和密钥交换协议结合在一起，如Needham-Schroeder协议、分布认证安全服务（DASS）协议、ITU-TX.509认证协议等等。Page12使用对称密码学通信密钥必须秘密地分配:如果密钥被损害了，攻击者就能解密所有消息，并可以假装是其中一方。假设网络中每对用户使用不同的密钥，那么密钥总数随着用户的增加而迅速增加:n个用户需要的密钥总数=n(n-1)/2100个用户需要4950个不同的密钥Page13公钥密码学的基础——单向陷门函数单向陷门函数（trapdoorone-wayfunction）：除非知道某种附加的信息，否则这样的函数在一个方向上容易计算，而在另外的方向上要计算是不可行的。单向陷门函数是公钥密码通信的基础：除非知道密钥，否则只能加密，解密非常困难。Page14使用公钥密码学通信Alice和Bob选用一个公开密钥密码系统Bob将他的公开密钥EB传送给AliceAlice用Bob的公开密钥加密她的消息，然后传送给BobBob用他的私人密钥DB解密Alice的消息。AliceBobEBEB(Ma)DBMaPage15公钥加密的条件D（E（P））=P从E导出D极其困难从一段明文和密文不易破译出DPage16密码分析密码分析学是在不知道密钥的情况下，恢复出明文的科学。密码分析也可以发现密码体制的弱点。常见的密码分析可分为：密文攻击（ciphertext-onlyattack）密码分析者拥有一些密文，试图通过分析密文破译密码。明文攻击（know-plaintextattack）密码分析者不仅可以得到一些消息的密文，而且也知道这些消息的明文。Page17密码分析（续）破译算法可以分为不同的级别：全部破译（totalbreak）：找出密钥全部推导（globaldeduction）：找出替代算法实例推导（instancededuction）：找出明文信息推导（informationdeduction）：获得一些有关密钥或明文的信息。Page18密码分析攻击方法的复杂性可以用不同的方式来衡量攻击方法的复杂性：数据复杂性（datacomplexity）用作攻击输入所需要的数据量处理复杂性（processingcomplexity）完成攻击所需要的时间存储需求（storagerequirement）进行攻击所需要的数据量。Page19常见密码（加、解密）算法DES是最通用的计算机加密算法。DES是美国和国际标准，它是对称算法，加密和解密的密钥是相同的。IDEA（InternationalDataEncryptionAlgorithm）:对DES的改进，增强了安全性。RSA是最流行的公开密钥算法，它能用作加密和数字签名。DSA是另外一种公开密钥算法，它不能用作加密，只能用作数字签名。Page20DES（对称）DES是第一个得到广泛应用的密码算法；DES是一种分组加密算法，输入的明文为64位，密钥为56位，生成的密文为64位；DES基本上被认为不再安全；（对称）XuejiaLai和JamesMassey提出；IDEA是对称、分组密码算法，输入明文为64位，密钥为128位，生成的密文为64位；IDEA是一种相对较新的算法，虽有坚实的理论基础，但仍应谨慎使用(尽管该算法已被证明可对抗差分分析和线性分析)；IDEA是一种专利算法(在欧洲和美国)，专利由Ascom-TechAG拥有;PGP中已实现了IDEA；Page22AES高级加密标准(AES)是美国标准与技术研究院针对电子数据的加密所制定的规范，它将要成为公认的数字信息（包括财务数据、电信数据和政府数据）加密方法。AES是可以使用128、192和256位密钥的迭代式对称密钥块密码，并且可以对128位（16个字节）的数据块进行加密和解密。由块密码返回的加密数据与输入数据具有相同的位数。迭代式密码使用循环结构来针对输入数据反复执行排列和置换运算。Page23RSA（非对称）RonRivest,AdiShamir和LenAdleman于1977年研制并于1978年首次发表；一种分组密码，基础：一种特殊的可逆模幂运算。其安全性基于分解大整数的困难性；可用于加密和数字签名，已得到广泛采用；已被许多标准化组织(如ISO、ITU、IETF和SWIFT等)接纳；RSA-155(512bit),RSA-140于1999年分别被分解；Page24DH/DSA（非对称）Diffie-Hellman(DH)是第一个公钥算法，其安全性基于在有限域中计算离散对数的难度；DH可用于密钥分发（交换或协商），但不能用于加/解密报文；DH算法已得到广泛应用，并为许多标准化组织(IETF等)接纳；DSA是NIST于1991年提出的数字签名标准(DSS),该标准于1994年5月19日被颁布；DSA是Schnorr和Elgemal签名算法的变型,DSA只能用于数字签名不能用于加密；Page25密钥对的用法用于加密的密钥对用公钥加密（对方的）用私钥解密（自己的）用私钥签名（自己的）用公钥验证（对方的）用于签名的密钥对Page26第二章基本网络安全技术2.1密码学基础2.2数据完整性服务2.3数据鉴别技术2.4数字签名技术Page27数据完整性服务MAC（MessageAuthenticationCode）码Hash函数MD5Page28消息鉴别码MACPage29MKMAC函数域：任意长度的报文值域：所有可能的MAC和所有可能的密钥Page30散列函数hashfunctionPage31散列函数的定义散列函数：M:变长报文H(M):定长的散列值，称为消息摘要(MessageDigest）；主要用于为文件、报文或其它分组数据产生指纹()hHMPage32散列函数H(M):H(M)是消息M的所有位的函数并提供错误检测能力：消息中的任何一位或多位的变化都将导致该散列值的变化H(M)又称为：哈希函数、数字指纹（Digitalfingerprint)、压缩（Compression)函数、数据鉴别码（Dataauthenticationcode）等Page33散列函数基本用法kAB:E[MH(M)]提供鉴别－加密保护H(M)提供保密－仅A和B共享密钥kPage34散列函数的要求H能用于任意大小的分组H能产生定长的输出对任何给定的x，H(x)要相对易于计算，使得硬件和软件实现成为实际可能对任何给定的码h，寻找x使得H(x)=h在计算上是不可行的，即单向性(无法从消息的散列值中恢复出原消息)对任何给定的分组x，寻找不等于x的y，使得H(x)=H(y)在计算上是不可行的，即弱抗冲突性(无法找到两个相等的消息,其散列值相等)寻找对任何的(x,y)对使得H(x)=H(y)在计算上是不可行的，即强抗冲突性Page35HashvsMACMAC需要对全部数据进行加密MAC速度慢Hash是一种直接产生鉴别码的方法Page36MD5Page37MD5描述Merkle于1989年提出hashfunction模型RonRivest于1990年提出MD41992年,RonRivest完成MD5(RFC1321)在最近数年之前,MD5是最主要的hash算法现行美国标准SHA-1以MD5的前身MD4为基础较早被标准化组织IETF接纳，并已获得广泛应用Page38MD5描述输入：任意长度的报文输入分组长度：512bit输出：128bit报文Page39MD5的安全性Berson表明，对单循环MD5，使用密码分析可能在合理的时间内找出能够产生相同摘要的两个报文。Boer和Bosselaers显示，MD5对单个512bit分组的执行可能得到相同的输出(伪冲突）MD5被认为是易受攻击的，逐渐被SHA-1和RIPEMD-160替代,,()()xyxyHxHy、但Page40其它常用Hash算法SHA-1RIPEMD-160HMACPage41SHA和SHA-1NIST为配合DSS（数字签名标准）的使用，设计了安全杂凑标准(SHS)，其算法为SHA，修改的版本被称为SHA-1。SHA/SHA-1采用了与MD4相似的设计准则，其结构也类似于MD4，但其输出为160bit。目前还没有针对SHA有效的攻击。Page42RIPE-MD欧共体的RIPE[RACE1992]计划下开发的杂凑算法，为MD4的变型，是针对已知的密码攻击而设计的，杂凑值为128bit;RIPE-MD的改进型为RIPEMD-160；Page43HMACHashMAC:利用hash函