信息与网络安全(1).ppt

《信息与网络安全(1).ppt》由会员分享，可在线阅读，更多相关《信息与网络安全(1).ppt（324页珍藏版）》请在三一办公上搜索。

1、信息与网络安全,中山大学信息与网络中心李磊 博士2007年8月,主要参考文献,李磊，网络工程师考前辅导，清华大学出版社，2007祝晓光，网络安全设备与技术，清华大学出版社，2004Andrews S.Tanenbaum，计算机网络（第4版），清华大学出版社，2004阙喜戎、孙锐、龚向阳、王纯编著，信息安全原理及应用，清华大学出版社，2003卢昱、林琪，网络安全技术，中国物资出版社，2001齐丁，计算机信息系统安全等级保护基本知识介绍，广东省公安厅网监处，内部资料,目录,信息与网络安全概论信息加密技术消息摘要实体认证数字签名与数字水印数字证书密钥管理网络安全的体系结构网络接口层安全协议,网际层安

2、全协议传输层安全协议应用层安全协议虚拟专用网VPN防火墙入侵检测网络安全标准安全策略的制定与实施计算机病毒,信息与网络安全概述,信息与网络安全概述,信息与网络安全的本质和内容计算机网络的脆弱性信息安全的六大目标网络安全的主要威胁网络安全的攻击手段网络安全的八大机制,信息与网络安全的本质和内容,网络安全从其本质上来讲就是网络上的信息安全。信息安全是对信息的保密性、完整性和可用性的保护，包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设施安全等。网络安全主要涉及网络安全威胁的主要类型、网络攻击的手段、网络安全机制、网络安全技术以及信息安全等级标准等方面内容。,信息与网络安全的目标,进不

3、来,拿不走,看不懂,改不了,跑不了,信息安全概念与技术的发展,信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。,单机系统的信息保密阶段,网络信息安全阶段,信息保障阶段,网络信息安全阶段,该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术（被动防御）：安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。,信息保障阶段,信息保障（IA）概念与思想是20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战

4、行动，包括综合利用保护、探测和反应能力以恢复系统的功能。美国国家安全局制定的信息保障技术框架IATF，提出“纵深防御策略”DiD（Defense-in-Depth Strategy）。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。,计算机网络的脆弱性,体系结构的脆弱性。网络体系结构要求上层调用下层的服务，上层是服务调用者，下层是服务提供者，当下层提供的服务出错时，会使上层的工作受到影响。网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障，然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。网络操作系统的脆弱性。目前的

5、操作系统，无论是Windows、UNIX还是Netware都存在安全漏洞，这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。网络应用系统的脆弱性。随着网络的普及，网络应用系统越来越多，网络应用系统也可能存在安全漏洞，这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏，应用系统瘫痪，甚至威胁到整个网络的安全。网络管理的脆弱性。在网络管理中，常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等，这种人为造成的安全漏洞也会威胁到整个网络的安全。,信息安全的六大目标,信 息 安 全,可靠性可用性真实性保密性完整性不可抵赖性,可靠性,可靠性是网络信息系统能够

6、在规定条件下和规定的时间内完成规定的功能的特性。可靠性包括：硬件可靠性软件可靠性通讯可靠性人员可靠性环境可靠性,可用性,可用性即网络信息系统在需要时，允许授权用户或实体使用的特性；或者是网络信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。,真实性,确保网络信息系统的访问者与其声称的身份是一致的；确保网络应用程序的身份和功能与其声称的身份和功能是一致的；确保网络信息系统操作的数据是真实有效的数据。,保密性,保密性是防止信息泄漏给非授权个人或实体，只允许授权用户访问的特性。保密性是一种面向信息的安全性，它建立在可靠性和可用性的基础之上，是保障网络信息系统安全的基本要求。,完整性

7、,完整性是信息在未经合法授权时不能被改变的特性，也就是信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输。,不可抵赖性,不可抵赖性也称作不可否认性，即在网络信息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。,网络安全的主要威胁,主 要 威 胁,内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主

8、机和合法用户。)流量分析攻击(分析通信双方通信流量的大小，以期获得相关信息。)其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等),信息与网络安全的攻击手段,物理破坏窃听数据阻断攻击数据篡改攻击数据伪造攻击数据重放攻击盗用口令攻击中间人攻击缓冲区溢出攻击,分发攻击野蛮攻击SQL注入攻击计算机病毒蠕虫后门攻击欺骗攻击拒绝服务攻击特洛伊木马,网络攻击,被动攻击窃听或者偷窥流量分析,被动攻击非常难以检测，但可以防范,源,目的,sniffer,网络攻击,主动攻击可以检测，但难以防范,主动攻击：指攻击者对某个连接的中的PDU进行各种处理(更改、删除、迟延、复制、伪造等),阻断攻击,篡改攻击,

9、伪造攻击,重放攻击,拒绝服务攻击,物理破坏,攻击者可以直接接触到信息与网络系统的硬件、软件和周边环境设备。通过对硬件设备、网络线路、电源、空调等的破坏，使系统无法正常工作，甚至导致程序和数据无法恢复。,窃听,一般情况下，攻击者侦听网络数据流，获取通信数据，造成通信信息外泄，甚至危及敏感数据的安全。其中的一种较为普遍的是sniffer 攻击（sniffer attack）。sniffer是指能解读、监视、拦截网络数据交换并且阅读数据包的程序或设备。,数据阻断攻击,攻击者在不破坏物理线路的前提下，通过干扰、连接配置等方式，阻止通信各方之间的数据交换。,阻断攻击,数据篡改攻击,攻击者在非法读取数据后

10、，进行篡改数据，以达到通信用户无法获得真实信息的攻击目的。,篡改攻击,数据伪造攻击,攻击者在了解通信协议的前提下，伪造数据包发给通讯各方，导致通讯各方的信息系统无法正常的工作，或者造成数据错误。,伪造攻击,数据重放攻击,攻击者尽管不了解通信协议的格式和内容，但只要能够对线路上的数据包进行窃听，就可以将收到的数据包再度发给接收方，导致接收方的信息系统无法正常的工作，或者造成数据错误。,重放攻击,盗用口令攻击,盗用口令攻击（password-based attacks）攻击者通过多种途径获取用户合法账号进入目标网络，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置；增加、

11、篡改和删除数据等等。,中间人攻击,中间人攻击（man-in-the-middle attack）是指通过第三方进行网络攻击，以达到欺骗被攻击系统、反跟踪、保护攻击者或者组织大规模攻击的目的。中间人攻击类似于身份欺骗，被利用作为中间人的的主机称为Remote Host（黑客取其谐音称之为“肉鸡”）。网络上的大量的计算机被黑客通过这样的方式控制，将造成巨大的损失，这样的主机也称做僵尸主机。,缓冲区溢出攻击,缓冲区溢出（又称堆栈溢出）攻击是最常用的黑客技术之一。攻击者输入的数据长度超过应用程序给定的缓冲区的长度，覆盖其它数据区，造成应用程序错误，而覆盖缓冲区的数据恰恰是黑客的入侵程序代码，黑客就可以

12、获取程序的控制权。,后门攻击,后门攻击（backdoor attack）是指攻击者故意在服务器操作系统或应用系统中制造一个后门，以便可以绕过正常的访问控制。攻击者往往就是设计该应用系统的程序员。,欺骗攻击,欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真实信息，欺骗对方，以达到攻击的目的。,拒绝服务攻击,DoS（Denial of Service，拒绝服务攻击）的目的是使计算机或网络无法提供正常的服务。常见的方式是：使用极大的通信量冲击网络系统，使得所有可用网络资源都被消耗殆尽，最后导致网络系统无法向合法的用户提供服务。如果攻击者组织多个攻击点对一个或多个目标

13、同时发动DoS攻击，就可以极大地提高DoS攻击的威力，这种方式称为DDoS（Distributed Denial of Service，分布式拒绝服务）攻击。,分发攻击,攻击者在硬件和软件的安装配置期间，利用分发过程去破坏；或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料。,野蛮攻击,野蛮攻击包括字典攻击和穷举攻击。字典攻击是使用常用的术语或单词列表进行验证，攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令，字典攻击的成功率往往很高。如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始，按长度递增进行尝试攻击。,SQ

14、L注入攻击,攻击者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击，入侵者通过提交一段数据库查询代码，根据程序返回的结果获得攻击者想得知的数据，从而达到攻击目的。,计算机病毒与蠕虫,计算机病毒（Computer Virus）是指编制者编写的一组计算机指令或者程序代码，它能够进行传播和自我复制，修改其他的计算机程序并夺取控制权，以达到破坏数据、阻塞通信及破坏计算机软硬件功能的目的。蠕虫也是一种程序，它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他的计算机系统，但它在复制、传播时，不寄生于病毒宿主之中。蠕虫病毒是能够是寄生于被感染主机的蠕虫程序，具有病毒的全部特成，通常利用计算机系

15、统的漏洞在网络上大规模传播。,特洛伊木马,特洛伊木马简称木马，它由两部分组成：服务器程序和控制器程序，当主机被装上服务器程序，攻击者就可以使用控制器程序通过网络来控制主机。木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将服务器程序安装到主机上的。,网络安全的八大机制,数据加密机制访问控制机制数据完整性机制数字签名机制实体认证机制业务填充机制路由控制机制公证机制,数据加密机制,密码技术是保障信息安全的核心技术。消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密。加了密的消息称为密文。而把密文转变为明文的过程称为解密。信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。信息加

16、密也是现代密码学主要组成部分。,访问控制机制,访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问，限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。访问控制采用最小特权原则：即在给用户分配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给用户赋予其工作范围之外的任何权力。自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）,数据完整性机制,是保护数据，以免未授权的数据乱序、丢失、重放、插入和纂改。数据完整性机制的两个方面单个数

17、据单元或字段的完整性（不能防止单个数据单元的重放）数据单元串或字段串的完整性,还要加上顺序号、时间标记和密码链,数字签名机制,传统签名的基本特点:能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证数字签名是传统签名的数字化，基本要求:能与所签文件“绑定”签名者不能否认自己的签名 签名不能被伪造 容易被自动验证,实体认证机制,用于认证交换的技术认证信息，如口令密码技术被认证实体的特征为防止重放攻击，常与以下技术结合使用时间戳两次或三次握手数字签名,路由控制机制,路由控制机制可使信息发送者选择特殊的路由，以保证连接、传输的安全。其基本功能为：路由选择 路由可以动态

18、选择，也可以预定义，以便只用物理上安全的子网、中继或链路进行连接和/或传输；路由连接 在监测到持续的操作攻击时，端系统可能同志网络服务提供者另选路由，建立连接；安全策略 携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告，要求回避某些特定的子网、中继或链路进行连接和/或传输。,业务填充机制,所谓的业务填充即使在业务闲时发送无用的随机数据，增加攻击者通过通信流量获得信息的困难，是一种制造假的通信、产生欺骗性数据单元或在数据单元中产生数据的安全机制。该机制可用于提供对各种等级的保护，用来防止对业务进行分析，同时也增加了密码通讯的破译难度。发送的随

19、机数据应具有良好的模拟性能，能够以假乱真。该机制只有在业务填充受到保密性服务时才有效。可利用该机制不断地在网络中发送伪随机序列,使非法者无法区分有用信息和无用信息。,公证机制,有关在两个或多个实体之间通信的数据的性质,如完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证。每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信和公证方进行通信,普适性安全机制,安全标签事件检测审计跟踪安全恢复,信息加密技术,信息加

20、密技术,密码学基础传统基础加密方法现代密码体制分类联邦数据加密标准DES欧洲加密标准IDEARSA公钥加密算法其他加密算法密码分析,密码学发展历程,密码学是一门古老的科学，大概自人类社会出现战争便产生了密码，以后逐渐形成一门独立的学科。密码学的发展历史大致可以分为三个阶段：在1949年之前，是密码发展的第一阶段古典密码体制。古典密码体制是通过某种方式的文字置换进行，这种置换一般是通过某种手工或机械变换方式进行转换，同时简单地使用了数学运算。虽然在古代加密方法中已体现了密码学的若干要素，但它只是一门艺术，而不是一门科学。,密码学发展历程,从1949年到1975年，是密码学发展的第二阶段。1949

21、年Shannon发表了题为保密通信的信息理论的著名论文，把密码学置于坚实的数学基础之上，标志着密码学作为一门学科的形成，这是密码学的第一次飞跃。然而，在该时期密码学主要用在政治、外交、军事等方面，其研究是在秘密地进行，密码学理论的研究工作进展不大，公开的发表的密码学论文很少。,密码学发展历程,1976年，WDiffie和MHellman在密码编码学新方向一文中提出了公开密钥的思想，这是密码学的第二次飞跃。1977年美国数据加密标准（DES）的公布使密码学的研究公开，密码学得到了迅速地发展。1994年美国联邦政府颁布的密钥托管加密标准（EES）和数字签名标准（DSS）以及2001年颁布的高级数据

22、加密标准（AES），都是密码学发展史上一个个重要的里程碑。,密码学基本概念,密码学包括两个方面：密码编码学(Cryptography)和密码分析学(Cryptanalytics)。密码编码学就是研究对数据进行变换的原理、手段和方法的技术和科学。密码分析学是为了取得秘密的信息，而对密码系统及其流动的数据进行分析，是对密码原理、手段和方法进行分析、攻击的技术和科学。,密码学基本概念,伪装（变换）之前的信息是原始信息，称为明文（plain text）；伪装之后的信息，看起来是一串无意义的乱码，称为密文（cipher text）。把明文伪装成密文的过程称为加密（encryption），该过程使用的数学

23、变换就是加密算法；将密文还原为明文的过程称为解密（decryption），该过程使用的数学变换称为解密算法。加密与解密通常需要参数控制，该参数称为密钥，有时也称密码。加、解密密钥相同称为对称性或单钥型密钥，不同时就成为不对称或双钥型密钥。,密码算法和密钥空间,密码算法也叫密码，是用于加密和解密的数学函数。通常情况下，有两个相关的函数：一个用作加密，另一个用作解密。现代密码学用密钥解决了这个问题，密钥用K表示。K可以是很大范围的数值里的任意值。密钥K的可能值的范围叫做密钥空间。加密和解密运算都需要使用密钥（即运算都依赖于密钥，并用K作为下标表示）。,对称密码体制和非对称密码体制,当加/解密函数使

24、用相同的密钥时，可以将它们表示为：EK(M)=C加密函数DK(C)=M解密函数其中，M表示明文，C表示密文，K表示密钥，Ek表示加密算法，Dk表示解密算法。对称密码体制具有以下特征：DK(EK(M)=M当加/解密函数使用不同的密钥时，可以将它们表示为：EK1(M)=C加密函数DK2(C)=M解密函数其中，M表示明文，C表示密文，K1表示加密密钥，K2表示解密密钥，Ek表示加密算法，Dk表示解密算法非对称密码体制具有以下特征：DK2(EK1(M)=M,加密体制的分类,按照保密的内容分：基于算法的加密方法：数据保密性基于保持算法的秘密基于密钥的加密方法：数据保密性基于对密钥的保密按照对明文的处理方

25、式分组密码算法：将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出是固定长度的密文。序列密码算法：又称流密码，每次加密一位或一字节明文。,安全性评价,无条件安全性若密文中不含明文的任何信息，则认为该密码体制是安全的，否则就认为是不安全的。已经证明，达到这样高等级（完善）的安全性，仅当所用密钥的长度不短于加密的发送消息的总长度才有可能。有条件安全性把搭线者提取明文信息的可能性改为搭线者提取明文信息的可行性，这种安全性称为有条件安全性，即搭线者在一定的计算资源条件下，他不能从密文恢复出明文。,安全性评价,攻击复杂性的度量数据复杂性，为攻击所需数据的攻击量。处理复杂性，执行攻击所须的时间，又

26、称工作因子。存储需求，做攻击所须的存储量。加密算法的安全准则破译该密码的成本超过被加密信息的价值。破译该密码的时间超过该信息有用的生命周期。,安全性评价,1883年Kerchoffs第一次明确提出了编码的原则：加密算法应建立在算法的公开不影响明文和密钥的安全的基础上。这一原则已得到普遍承认，成为判定密码强度的衡量标准，实际上也成为古典密码和现代密码的分界线。违背Kerchoffs原则（不公开密码算法）兼容性必须信任某个可信方（如密码提供商）一旦泄密，后果严重公开算法经历众人的分析、时间的考验，不会有太严重的缺陷,传统基础加密方法,置换密码（Substitution Cipher）换位密码（Tr

27、ansposition Cipher）,置换密码,在置换密码中，每个字母或每一组字母被另一个字母或另一组字母来取代，从而将明文中的字母掩盖起来，也就是在密文中将明文伪装起来。一种常用的方法是将明文字母表移动k个字母，例如k为3，即A变成D，B变成E，C变成F，Z变成C，此时k就是这种循环移动字母表的通用加密方法的密钥。根据映像方式的不同，可分为单表置换密码和多表置换密码。典型的置换密码：福尔摩斯探案集中的跳舞的小人,换位密码,换位密码又称代换密码，它不更改保持明文的字母，但是重新对字母进行排序，形成新的密文序列。典型的置换密码：美国南北战争时期（1861-1865年），军队中曾经使用过的“栅栏

28、”式密码（rail fence cipher),现代加密体制分类,对称密钥体制非对称钥码体制混合密钥体制,对称密钥算法的优缺点,优点：加解密速度快。缺点：网络规模扩大后，密钥管理很困难；无法解决消息确认问题；缺乏自动检测密钥泄露的能力。,非对称密钥算法的优缺点,优点：可以适用网络的开放性要求，密钥管理相对简单；可以实现数字签名功能。缺点：算法一般比较复杂，加解密速度慢。,混合密钥体制,第一步，数据发送者A用对称密钥把需要发送的数据加密。第二步，A用B的公开密钥将对称密钥加密，形成数字信封，然后一起把加密数据和数字信封传给B。第三步，B收到A的加密数据和数字信封后，用自己的私钥将数字信封解密，获

29、取A加密数据时的对称密钥。第四步B使用A加密的对称密钥把收到的加密数据解开。,联邦数据加密标准DES,DES（Data Encryption Standard，数据加密标准）是由IBM公司研制的一种加密算法，美国国家标准局于1977年把它作为非机要部门使用的数据加密标准。近三十年来，它一直活跃在国际保密通信的舞台上，扮演了十分重要的角色，并经过不断的改进，形成一套较为完整的密码标准。DES是一个分组加密算法，它以64位为分组对数据加密。同时DES也是一个对称算法，即加密和解密用的是同一个算法。它的密钥长度是56位（因为每个分组第8位都用作奇偶校验），可以是任意的56位的数，而且可以任意时候改变

30、。虽然有极少量的数被认为是弱密钥，但是很容易避开。,DES算法,DES对64位的明文分组M进行操作，M经过一个初始转置被分成左半部分和右半部分M=(L0,R0)，两部分都是32位长。然后使用函数f对两部分进行16轮完全相同的迭代运算，在运算过程中将数据与密钥相结合。经过16轮迭代运算后，再将左、右两部分合在一起经过一个末置换，就产生了密文。,3DES简介,DES的分组长度太短（仅64位）、密钥长度更短（仅56位），可以通过穷举（也称野蛮攻击）的方法在较短时间内破解。1978年初，IBM意识到DES的密钥太短，于是设计了一种方法，利用三重加密来有效增加密钥长度，加大解密代价，称为3DES。3DE

31、S 是DES算法扩展其密钥长度的一种方法，可使加密密钥长度扩展到128位（112位有效）或192位（168位有效）。其基本原理是将128位的密钥分为64位的两组，对明文多次进行普通的DES加解密操作，从而增强加密强度。,3DES的模式,3DES有三种不同的模式DES-EEE3，使用3个不同的密钥进行加密；DES-EDE3，使用3个不同的密钥，对数据进行加密、解密、再加密。DES-EEE2和DES-EDE2，与前面模式相同，只是第1次和第3次使用同一个密钥。最常用的3DES是DES-EDE2。,IDEA简介,IDEA（International Data Encryption Algorithm

32、，国际数据解密算法）是瑞士联邦理工学院的中国学者赖学嘉与著名的密码学专家James Massey等人提出的加密算法，在密码学中属于数据块加密算法（Block Cipher）类。IDEA使用长度为128位的密钥，数据块大小为64位。从理论上讲，IDEA属于强加密算法，至今还没有出现对IDEA进行有效攻击的算法。早在1990年，赖学嘉等人在EuroCrypt90年会上提出了PES（Proposed Encryption Standard，分组密码建议）。在EuroCrypt91年会上，赖学嘉等人又提出了PES的修正版IPES（Improved PES）。目前IPES已经商品化，并改名为IDEA。I

33、DEA已由瑞士的Ascom公司注册专利，以商业目的使用IDEA算法必须向该公司申请许可，因此其推广受到限制。,RSA简介,RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在MIT（美国麻省理工学院）开发的，1978年首次公布。RSA是目前最有影响的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。公开密钥密码体制，是由Whitfield Diffie 和Martin Hel

34、lman 1976年在国际计算机会议上首次提出来的，并进一步阐述了非对称密钥的思路：加密使用专门的加密密钥，解密使用专门的解密密钥；从其中一个密钥不可能导出另外一个密钥；使用选择明文攻击不能破解出加密密钥。,RSA的缺点,产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密运行速度慢为保证安全性，n 至少也要 600 bits 以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级，一般来说只用于少量数据加密；随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。目前，SET(Secure Electronic Transaction，安全电子交易)协议中要求CA

35、采用比特长的密钥,其它加密算法,AES（Advanced Encryption Standard，高级加密标准）ECC（Elliptic Curves Cryptography，椭圆曲线密码算法）NTRU（Number Theory Research Unit）,密码分析,密码分析：截收者在不知道解密密钥及通信者所采用的加密体制的细节条件下，对密文进行分析试图获取机密信息。密码分析在外交、军事、公安、商业等方面都具有重要作用，也是研究历史、考古、古语言学和古乐理论的重要手段之一。密码设计和密码分析是共生的、又是互逆的，两者密切有关但追求的目标相反。两者解决问题的途径有很大差别。,密码分析,密码

36、设计是利用数学来构造密码，而密码分析除了依靠数学、工程背景、语言学等知识外，还要靠经验、统计、测试、眼力、直觉判断能力，有时还靠点运气。密码分析过程通常经验,统计(统计截获报文材料)、假设、推断和证实等步骤。破译(Break)或攻击(Attack)密码的方法：穷举破译法，又称作蛮力法分析法，有确定性和统计性两类,穷举破译法,是对截收的密报依次用各种可解的密钥试译，直到得到有意义的明文；或在不变密钥下，对所有可能的明文加密直到得到与截获密报一致为止，此法又称为完全试凑法。只要有足够多的计算时间和存储容量，原则上穷举法总是可以成功的。但实际中，任何一种能保障安全要求的实用密码都会设计得使这一方法在

37、实际上是不可行的。为了减少搜索计算量，可以采用较有效的改进试凑法。它将密钥空间划分成几个(例如，q个)等可能的子集，对密钥可能落入哪个子集进行判断，至多需进行q次试验。关键在于如何实现密钥空间的等概子集的划分。,蛮力攻击 PK 密钥长度,分析法,确定性分析法利用一个或几个已知量(比如，已知密文或明文-密文对)用数学关系式表示出所求未知量(如密钥等)。已知量和未知量的关系视加密和解密算法而定，寻求这种关系是确定性分析法的关键步骤。例如，以n级线性移存器序列作为密钥流的流密码，就可在已知2n bit密文下，通过求解线性方程组破译。统计分析法利用明文的已知统计规律进行破译的方法。密码破译者对截收的密

38、文进行统计分析，总结出其间的统计规律，并与明文的统计规律进行对照比较，从中提取出明文和密文之间的对应或变换信息。,密码分析,密码分析之所以能够破译密码，最根本的是依赖于明文中的多余度，这是Shannon 1949年用他开创的信息论理论第一次透彻地阐明的密码分析的基本问题。根据密码分析者可获取的信息量来分类，可将破译密码的类型分为以下四种（下页）,密码分析的类型,根据密码分析者所能获得的信息的类型，可将密码分析分成下列几类：唯密文攻击（cipher text only attack）攻击者只有密文串，想求出明文或密钥。已知明文攻击（known plaintext attack）攻击者知道明文串及

39、对应的密文串，想求出密钥或解密变换。选择明文攻击（chosen plaintext attack）攻击者不仅知道明文串及其对应密文串，而且可选择用于加密的明文，想求出密钥及解密变换。选择密文攻击（chosen cipher text attack）攻击者不仅知道明文串及对应密文串，且密文串由攻击者选择，想求出密钥及解密变换。,消息摘要,消息摘要,消息摘要的作用单向散列函数MD5算法SHA安全散列算法,消息摘要的作用,在网络安全目标中，要求信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失，因此需要一个较为安全的标准和算法，以保证数据的完整性。常见的消

40、息摘要算法有：Ron Rivest设计的MD（Standard For Message Digest，消息摘要标准）算法NIST设计的SHA（Secure Hash Algorithm，安全散列算法）,单向散列函数,消息摘要算法采用单向散列（hash）函数从明文产生摘要密文。摘要密文又称为哈希函数、数字指纹（Digital Fingerprint）、压缩（Compression）函数、紧缩（Contraction）函数、数据认证码DAC（Data authentication code）、篡改检验码MDC（Manipulation detection code）。散列函数的输出值有固定的长度，

41、该散列值是消息M的所有位的函数并提供错误检测能力，消息中的任何一位或多位的变化都将导致该散列值的变化。从散列值不可能推导出消息M，也很难通过伪造消息M来生成相同的散列值。,单向散列函数的特点,单向散列函数 H(M)作用于一个任意长度的数据M，它返回一个固定长度的散列h，其中h的长度为m，h称为数据M的摘要。单向散列函数有以下特点：给定M，很容易计算h；给定h，无法推算出M；除了单向性的特点外，消息摘要还要求散列函数具有“防碰撞性”的特点：给定M，很难找到另一个数据N，满足H(M)=H(N)。,单向散列函数的抗碰撞性,抗碰撞性的能力体现出单向散列函数对抗生日攻击和伪造的能力。弱抗碰撞性（Weak

42、 collision resistance）：对于任意给定的M，找到满足MN且H(M)=H(N)的N，在计算上是不可行的；强抗碰撞性（Strong collision resistance）：找到任何满足H（x）=H（y）的偶对（x，y）在计算上是不可行的。,哈希函数分类,根据安全水平弱无碰撞强无碰撞注：强无碰撞自然含弱无碰撞！根据是否使用密钥带秘密密钥的Hash函数：消息的散列值由只有通信双方知道的秘密密钥K来控制，此时散列值称作MAC(Message Authentication Code)不带秘密密钥的Hash函数：消息的散列值的产生无需使用密钥，此时散列值称作MDC(Message D

43、etection Code),哈希函数-生日攻击,如果采用传输加密的散列值和不加密的报文M，攻击者需要找到M-，使得H(M-)=H(M)，以便使用替代报文来欺骗接收者。一种基于生日悖论的攻击可能做到这一点，生日问题：一个教室中，最少应有多少个学生，才使至少有两人具有相同生日的概率不小于1/2？概率结果与人的直觉是相违背的。实际上只需23人，即任找23人，从中总能选出两人具有相同生日的概率至少为1/2,生日攻击实例,A准备两份合同M和M-，一份B会同意，一份会取走他的财产而被拒绝A对M和M-各做32处微小变化（保持原意），分别产生232个64位hash值根据前面的结论，超过0.5的概率能找到一个

44、M和一个M-，它们的hash值相同A提交M，经B审阅后产生64位hash值并对该值签名，返回给AA用M-替换M结论：Hash必须足够长（128，160，224，256，）,MD5算法,Merkle于1989年提出hash function模型Ron Rivest于1990年提出MD41992年，Ron Rivest提出MD5（RFC 1321）在最近数年之前，MD5是最主要的hash算法现行美国标准SHA-1以MD5的前身MD4为基础输入：任意长度消息输出：128bit消息摘要处理：以512bit输入数据块为单位,SHA安全散列算法,1992年NIST制定了SHA（128位）1993年SHA成

45、为标准（FIPS PUB 180）1994年修改产生SHA-1（160位）1995年SHA-1成为新的标准，作为SHA-1（FIPS PUB 180-1/RFC 3174），为兼容AES的安全性，NIST发布FIPS PUB 180-2，标准化SHA-256，SHA-384和SHA-512输入：消息长度264输出：160bit消息摘要处理：以512bit输入数据块为单位基础是MD4,消息认证的局限性,消息认证可以保护信息交换双方不受第三方的攻击，但是它不能处理通信双方的相互攻击信宿方可以伪造消息并称消息发自信源方，信源方产生一条消息，并用和信源方共享的密钥产生认证码，并将认证码附于消息之后信源

46、方可以否认曾发送过某消息，因为信宿方可以伪造消息，所以无法证明信源方确实发送过该消息在收发双方不能完全信任的情况下，引入数字签名来解决上述问题数字签名的作用相当于手写签名,实体认证,实体认证（身份认证）,身份认证的作用基于共享密钥的认证基于公钥的认证身份认证协议,实体认证的作用,认证分为实体认证和消息认证。实体认证是对通信主体的认证，目的是识别通信方的真实身份，防止假冒，常用数字签名的方法；消息认证是对通信数据的认证，目的是验证消息在传送或存储过程中是否被篡改，一般用消息摘要的方法。,常见实体认证方法,主体特征认证。目前已有的方法包括：视网膜扫描、声音验证、指纹和手型识别器。这些识别系统能够检

47、测指纹、签名、声音、零售图案这样的物理特征。口令机制。口令是相互约定的代码，假设只有用户和系统知道。口令可有用户选择或系统分配。验证时。用户先输入某标志信息（如用户名），系统可以为用户生成一个一次性口令的清单。一次性口令。一次性口令系统允许用户每次登录时使用不同的口令。系统在用户登录时给用户提供一个随机数，用户将这个随机数送入口令发生器，口令发生器以用户的密钥对随机数加密，然后用户再将口令发生器输出的加密口令送入系统。系统再进行同样方法计算出一个结果，比较两个结果决定是否该身份有效。智能卡。访问不但需要口令，也需要物理智能卡。在允许进入系统之前需要检查其智能卡。智能卡内有微处理器和存储器，可已

48、加密的形式保存卡的ID及其他身份认证数据。身份认证协议。通过网络协议对通信主体进行身份认证。不同的身份认证协议对于窃听、窜扰、重放和冒充等攻击手段具有不同的防御能力。,实体认证的模型,身份认证协议,PAPCHAPKerberosX.509,基于共享密钥的认证,基于共享密钥的认证方式是：通信双方以共享密钥作为相互通信的依据，在相互通信过程中，为每一个新连接选择一个随机生成的会话密钥。主要通信数据采用会话密钥来加密，尽可能减少使用共享密钥加密的数据量，以减少窃听者获得的使用共享密钥加密的消息数量，降低共享密钥被破译的可能性。基于共享密钥的常见认证协议有：质询回应协议使用密钥分发中心的认证协议Nee

49、dham-Schroeder认证协议Otway-Rees认证协议,质询回应协议,（1）A向B发送一个消息TA，表示想和B通话。（2）B无法判断这个消息是来自A还是其他人，因此B回应一个质询RB。RB是一个随机数。（3）A用与B共享的密钥KAB加密RB，得到密文KAB(RB)，再发送给B；B收到密文KAB(RB)，用自己同样拥有的KAB加密RB，对比结果，如果相同就确认了A的身份。此时B已完成了对A的单向认证。（4）A同样需要确定B的身份，于是发送一个质询RA给B。RA也是一个随机数。（5）B用与A共享的密钥KAB加密RA，得到密文KAB(RA)，再发送给A；A收到密文KAB(RA)，用自己同样

50、拥有的KAB加密RA，对比结果，如果相同就确认了B的身份，完成了双向认证。（6）A确认B的身份之后，选取一个会话密钥KS，并且用KAB加密之后发送给B。,使用密钥分发中心的认证协议,通信双方A和B依靠密钥分发中心KDC（Key Distribution Center）实现身份认证。KDC拥有A的密钥KA和B的密钥KB。（1）A准备一个会话信息，其中指明了B的身份标识及会话密钥KS，使用A的密钥KA对会话信息进行加密，然后再连同A的身份标识一起发给KDC。（2）KDC收到消息后，根据A的身份标识找出A的密钥KA，解开会话信息获得B的身份标识及会话密钥KS；（3）KDC将A的身份标识及会话密钥KS