网络安全的通用定义模板课件.pptx

1、什么是网络安全？网络安全的通用定义：r网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠地运行，网络服务不中断。8-1谢谢观赏2019-5-98-2网络中的通信安全r机密性: m报文内容的机密性m通信活动的机密性r端点鉴别：m发送者和接收者能够证实对方的身份 r报文完整性: m报文来自真实的源，且传输过程中未被修改r运行安全性：m网络不受攻击，网络服务可用谢谢观赏2019-5-9安全攻击的类型：被动攻击r试图从系统中获取信息，但不对系统产生影响r两种类型：m偷听：监听并记录网络中传输的内容m流量分析：从通信频度、报文长度等流量

2、模式推断通信的性质8-3谢谢观赏2019-5-9安全攻击的类型：主动攻击r试图改变系统资源或影响系统的操作r四种类型：m伪装：一个实体假冒另一个实体m重放：从网络中被动地获取一个数据单元，经过一段时间后重新发送到网络中m报文修改：改变报文的部分内容、推迟发送报文或改变报文的发送顺序m拒绝服务：阻止通信设施的正常使用或管理8-4谢谢观赏2019-5-9常见的安全机制r加密：使用数学算法对数据进行变换，使其不易理解r鉴别：通过报文交换确信一个实体的身份，以防假冒r数据完整性：用于保护数据单元或数据单元流的完整性，以防报文修改r数字签名：附加在一个数据单元后面的数据，用来证明数据单元的起源及完整性，

3、以防伪造及抵赖 r流量填充：在数据流间隙中插入比特，以挫败流量分析的企图r访问控制：通过授权机制限制用户对资源的访问，防止越权8-5谢谢观赏2019-5-9谢谢观赏8-6Chapter 8 roadmap8.1 What is network security?8.2 Principles of cryptography8.3 Message integrity and Digital Signature8.4 End point authentication8.5 Securing e-mail8.6 Securing TCP connections: SSL8.7 Network laye

4、r security: IPsec8.8 Securing wireless LANs8.9 Operational security: firewalls and IDS2019-5-9密码学术语r明文（plaintext）：欲加密的原始数据r密文（ciphertext）：明文经加密算法作用后的输出r密钥（key）：加密和解密时需要使用的参数r密码分析（cryptanalysis）：破译密文r密码学（cryptology）：设计密码和破译密码的技术统称为密码学8-7谢谢观赏2019-5-9谢谢观赏8-8密码学术语（图示）明文 m明文 m=KB(KA(m)密文 KA(m)KAA加密算法解密算法

5、Alice的加密密钥Bob的解密密钥KB2019-5-9加密算法的分类r按照加密密钥与解密密钥是否相同，加密算法分为：m对称加密算法：加密密钥与解密密钥相同m非对称加密算法：加密密钥与解密密钥不同r按照明文被处理的方式，加密算法分为：m块密码（分组密码） ：每次处理一个明文块，生成一个密文块m流密码：处理连续输入的明文流，并生成连续输出的密文流8-9谢谢观赏2019-5-9传统加密方法:替换r替换密码：m用密文字母替换明文字母，但字母位置不变m例子：凯撒密码，单字母表替换，多字母表替换单字母表替换的例子：密钥：字母映射表plaintext: abcdefghijklmnopqrstuvwxyz

6、ciphertext: mnbvcxzasdfghjklpoiuytrewq8-10谢谢观赏2019-5-9传统加密方法：换位r换位密码：m保留明文字母不变，但改变字母的位置m例子：列换位密码谢谢观赏8-112019-5-9密码的安全性r传统加密方法的安全性建立在算法保密的基础上r现代加密方法也使用替换和换位两种基本手段，但现代密码学的基本原则是：m加密与解密的算法是公开的，只有密钥是需要隐藏的加密与解密的算法是公开的，只有密钥是需要隐藏的r一个加密算法被称为是计算安全计算安全的，如果由该算法产生的密文满足以下两个条件之一：m破译密文的代价超过信息本身的价值m破译密文所需的时间超过信息的有效生

7、命期r现代密码学中，密码的安全性是通过算法的复杂性和密钥密码的安全性是通过算法的复杂性和密钥的长度来保证的的长度来保证的8-12谢谢观赏2019-5-9针对加密系统的密码分析攻击r惟密文攻击：m密码分析者仅能根据截获的密文进行分析，以得到明文或密钥（对密码分析者最不利的情况）r已知明文攻击：m密码分析者除了有截获的密文外，还有一些已知的“明文-密文对”来帮助破译密码，以得出密钥r选择明文攻击：m密码分析者可以任意选择一定数量的明文，用被攻击的加密算法加密，得到相应的密文，以利于将来更有效地破解由同样加密算法及相关密钥加密的信息r一个安全的加密系统必须能抵御选择明文攻击一个安全的加密系统必须能抵

8、御选择明文攻击谢谢观赏8-132019-5-9谢谢观赏8-14现代密码学：对称密钥算法DES: Data Encryption Standardr1997年成为美国的数据加密标准rDES是一种块加密算法，每次以64比特的明文块作为输入，输出64比特的密文块rDES是基于迭代的算法，每一轮迭代执行相同的替换和换位操作，但使用不同的密钥rDES使用一个56比特的主密钥，每一轮迭代使用的子密钥（48比特）由主密钥产生rDES是一种对称加密算法，加密和解密使用相同的函数是一种对称加密算法，加密和解密使用相同的函数，两者的不同只是子密钥的次序刚好相反，两者的不同只是子密钥的次序刚好相反r缺点：密钥长度不

9、够长，迭代次数不够多2019-5-9谢谢观赏8-15DES的计算过程r首先进行一次初始换位（permute）r然后进行16轮相同的迭代，每轮迭代使用一个不同的子密钥（由主密钥生成）r最后再进行一次换位（与初始换位相反）2019-5-9Triple DES（3DES）r3DES使用两个密钥进行三轮DES计算：m第一轮令DES设备工作于加密模式，使用密钥K1对明文进行变换m第二轮令DES设备工作于解码模式，使用密钥K2对第一轮的输出进行变换m第三轮令DES设备工作于加密模式，用密钥K1对第二轮的输出进行变换，输出密文8-16谢谢观赏2019-5-9有关3DES的三个问题r为什么使用两个密钥而不是三

10、个密钥？m112比特的密钥已经足够长r为什么不使用两重DES（EE模式）而是三重DES？m考虑采用EE模式的两重DES，且攻击者已经拥有了一个匹配的明文-密文对（P1, C1），即有C1EK2 (EK1 (P1 ) )m令XEK1(P1)DK2(C1)。攻击者分别计算EK1(P1)和DK2(C1)，并寻找使它们相等的K1和K2，则穷尽整个密钥空间只需256的攻击量而不是2112。（中途攻击）r为什么是EDE而不是EEE？m为了与单次DES兼容。3DES用户解密单次DES用户加密的数据，只需令K1K2就行了。8-17谢谢观赏2019-5-9谢谢观赏8-18AES: Advanced Encryp

11、tion Standardr2001年11月成为新的对密加密标准，代替DESr每次处理128比特明文块，输出128比特密文块r密钥长度可以是128、192或256比特r如果使用强力方法破解，假设破解DES需要1秒，则破解AES（128比特密钥）需要149万亿年！2019-5-9谢谢观赏8-19密码块链接（Cipher Block Chaining）r若每个明文块被独立加密，相同的明文块生成相同的密文块，容易被重放攻击利用。t=1m(1) = “HTTP/1.1”blockcipherc(1) = “k329aM02”密码块链接（密码块链接（CBC）: r发送方生成一个随机的初始向量c(0)，用

12、明文发送给接收者r每一个明文块加密前，先与前一个密文块进行异或，然后再加密：r第一个明文块与c(0)异或r相同的明文块几乎不可能得到相同的密文块+m(i)c(i)t=17m(17) = “HTTP/1.1”blockcipherc(17) = “k329aM02”blockcipherc(i-1)2019-5-9谢谢观赏8-20现代密码学：非对称加密对称加密算法：r要求发送者和接收者使用同一个密钥存在密钥传递问题：r发送方选择了一个密钥后，如何将密钥安全地传递给接收方？非对称加密算法：r发送者和接收者不共享密钥r发送者使用加密密钥r接收者使用解密密钥不存在密钥传递问题：r加密密钥是公开的r解密

13、密钥是私有的2019-5-9公开密钥算法的使用r每个用户生成一对加密密钥和解密密钥：m加密密钥放在一个公开的文件中，解密密钥妥善保管r当Alice希望向Bob发送一个加密信息时：mAlice从公开的文件中查到Bob的加密密钥，用Bob的加密密钥加密信息，发送给BobrBob用自己的解密密钥解密信息r公开密钥和私有密钥：m公开密钥：加密密钥，由发送者使用m私有密钥：解密密钥，由接收者使用8-21谢谢观赏2019-5-9谢谢观赏8-22公开密钥算法的使用示例明文 m密文加密算法解密算法Bob的公钥 明文K (m)B+K B+Bob的私钥 K B-m = K (K (m)B+B-给定公钥K , 不可

14、能计算出私钥K BB要求: 12K (K (m) = m BB-+-2019-5-9公开密钥算法应满足的条件r从计算上说，m生成一对加密密钥和解密密钥是容易的m已知加密密钥，从明文计算出密文是容易的m已知解密密钥，从密文计算出明文是容易的m从加密密钥推出解密密钥是不可能的m从加密密钥和密文计算出原始明文是不可能的8-23谢谢观赏2019-5-9RSA算法：生成密钥r选择两个大素数和（典型值为大于10100）r计算 npq 和 z(p-1) (q-1)r选择一个与 z 互质的数，令其为 dr找到一个 e 使满足 ed1 (mod z)r公开密钥为 (e, n)，私有密钥为 (d, n)8-24谢

15、谢观赏2019-5-9RSA算法：加密和解密 r加密方法：m将明文看成是一个比特串，将其划分成一个个数据块M，且有0Mn m对每个数据块M，计算CMe (mod n)，C即为M的密文r解密方法：m对每个密文块C，计算MCd (mod n)，M即为要求的明文8-25谢谢观赏2019-5-9RSA算法举例r密钥计算：m取p3，q11m则有n33，z20m7和20没有公因子，可取d7m解方程7e1(mod 20)，得到e3m公钥为（3, 33），私钥为（7, 33）r加密：m若明文M4，则密文CMe (mod n)43 (mod 33)31r解密：m计算MCd (mod n)317(mod 33)4

16、，恢复出原文8-26谢谢观赏2019-5-9谢谢观赏8-27RSA: 另一个重要的特性这个特性在数字签名中将会很有用:K (K (m) = m BB-+K (K (m) BB+-=先用公钥再用私钥先用私钥再用公钥结果相同！结果相同！ 2019-5-9RSA的特点r优点：m安全性好：RSA的安全性建立在难以对大数提取因子的基础上，这是目前数学家尚未解决的难题m使用方便：免除了传递密钥的麻烦r缺点：m计算开销大，速度慢rRSA的应用：mRSA一般用来加密少量数据，如用于鉴别、数字签名或发送一次性会话密钥等8-28谢谢观赏2019-5-9谢谢观赏8-29Chapter 8 roadmap8.1 Wh

17、at is network security?8.2 Principles of cryptography8.3 Message integrity and Digital Signature8.4 End point authentication8.5 Securing e-mail8.6 Securing TCP connections: SSL8.7 Network layer security: IPsec8.8 Securing wireless LANs8.9 Operational security: firewalls and IDS2019-5-9报文完整性（报文鉴别）r报文

18、完整性（又称报文鉴别）：m用于验证一个报文是否可信的技术r一个报文是可信的，如果它来自声称的源并且没有被修改r报文鉴别涉及两个方面：m起源鉴别：报文是否来自声称的源m完整性检查：报文是否被修改过8-30谢谢观赏2019-5-9方法一：对整个报文加密r如果发送方和接收方有一个共享的密钥，可以通过加密报文来提供报文鉴别：m发送方用共享的密钥加密整个报文，发送给接收方m如果接收方能够正确解密收到的报文，则报文必是可信的r这种方法的缺点：m混淆了机密性和报文鉴别两个概念，有时我们只想知道报文是否可信，而报文本身并不需要保密m加密整个报文会带来不必要的计算开销8-31谢谢观赏2019-5-9将报文鉴别与

19、数据机密性分开r设想：m发送者用明文发送报文，并在报文后附上一个标签，允许接收者利用这个标签来鉴别报文的真伪r用于鉴别报文的标签必须满足两个条件：m能够验证报文的完整性（是否被修改）m不能被伪造r问题：m如何验证报文的完整性？m如何保证鉴别报文的标签不被伪造? 8-32谢谢观赏2019-5-9数据完整性和报文摘要r报文摘要（数字指纹）：m将一个散列函数作用到一个任意长的报文m上，生成一个固定长度的散列值H(m)，这个散列值称为该报文的报文摘要（message digest），也称数字指纹。r使用报文摘要验证报文的完整性：m发送者对发送的报文计算一个报文摘要，作为标签和报文一起发给接收者m接收者

20、对收到的报文也计算一个报文摘要，和收到的标签（发送方计算的报文摘要）进行比较8-33谢谢观赏2019-5-9如何保证报文摘要不被修改？r报文鉴别之方法二：m发送方计算报文摘要，然后用与接收方共享的密钥加密报文摘要，形成报文鉴别标签（也称报文鉴别码）m接收方用共享的密钥解密报文鉴别码，得到发送方计算的报文摘要，与自己计算的报文摘要进行比较r缺点：m需要使用加密算法8-34谢谢观赏2019-5-9方法三：密码散列函数r为什么要开发一个不需要加密算法的报文鉴别技术？m加密软件通常运行得很慢，即使只加密少量的数据m加密硬件的代价是不能忽略的m加密算法可能受专利保护（如RSA），因而使用代价很高m加密算

21、法可能受到出口控制（如DES），因此有些组织可能无法得到加密算法r使用密码散列函数（cryptographic hash function）生成报文鉴别码：m使用密码散列函数计算报文摘要时需要包含一个密钥，但它并不用来做加密运算m发送方用双方共享的一个秘密密钥KS添加到报文m之前，然后计算报文摘要H ( KS | m )形成报文鉴别码8-35谢谢观赏2019-5-9谢谢观赏8-36报文鉴别码：Message Authentication Code（MAC）ms共享密钥报文H(.)H(m+s)publicInternetappendmH(m+s)scomparemH(m+s)H(.)H(m+s)

22、共享密钥2019-5-9散列函数H应满足的特性rH能够作用于任意长度的数据块，并生成固定长度的输出r对于任意给定的数据块x，H(x)很容易计算r对于任意给定的值h，要找到一个 x 满足H(x)=h，在计算上是不可能的（单向性）：m该特性对于使用密码散列函数的报文鉴别很重要m如果根据 H(KS|m)=h 可以找到一个 x，使得H(x)=h，那么根据 x 和 m 可以推出KS8-37谢谢观赏2019-5-9散列函数H应满足的特性（续）r对于任意给定的数据块x，要找到一个 yx 并满足H(y)=H(x)，在计算上是不可能的：m该特性对于使用加密算法的报文鉴别很重要m如果能找到一个不同于x的数据块y，

23、使得H(y)=H(x)，那么就可以用y替换x而不被接收方察觉r要找到一对（x, y）满足H(y) = H(x)，在计算上是不可能的。（抵抗生日攻击）r满足前四个特性的散列函数称为弱散列函数，满足所有五个特性的散列函数称为强散列函数。谢谢观赏8-382019-5-9散列函数标准r目前使用最多的两种散列函数：mMD5 RFC 1321 ：散列码长度为128比特mSHA-1：美国联邦政府的标准，散列码长度为160比特r目前获得最多支持的密码散列函数方案为HMAC（Hashed Message Authentication Code），已应用到许多安全协议中8-39谢谢观赏2019-5-9数字签名r一

24、个可以替代手写签名的数字签名必须满足以下三个条件：m接收方通过文档中的数字签名能够鉴别发送方的身份（起源鉴别）m发送方过后不能否认发送过签名的文档（防抵赖）m接收方不可能伪造被签名文档的内容8-40谢谢观赏2019-5-9数字签名：用私钥加密报文摘要r发送方先计算报文摘要，然后用自己的私钥加密报文摘要形成数字签名，数字签名附加在报文后面一起发送。r接收方拷贝一份数字签名，妥善保存，以备将来需要时使用r接收方用发送方的公钥得到原始的报文摘要，对收到的报文计算摘要，如果两者相符，表明报文是真实的。8-41谢谢观赏2019-5-9谢谢观赏8-42报文mH: 散列函数H(m)加密函数Bob的私钥K B

25、-+Bob发送签名的报文：Alice检验签名和报文的完整性：KB(H(m)-加密后的报文摘要KB(H(m)-加密后的报文摘要报文mH:散列函数H(m)加密函数H(m)Bob的公钥K B+equal ?Digital signature = signed MAC2019-5-9谢谢观赏8-43如何可靠地获取公钥？r考虑下面的例子：mBob将公钥EB发布在自己的主页上mAlice获取Bob主页的请求被Trudy截获，Trudy将假冒的Bob主页发送给Alice，主页中的公钥是Trudy的公钥ETmAlice使用Trudy的公钥加密会话密钥，发送给BobmTrudy截获会话密钥，用Bob的公钥加密后

26、再发送给BobmAlice和Bob之间通信的报文都被Trudy破译r问题：m当Alice从公开的途径得到Bob的公钥后，Alice如何确认她得到的就是Bob的公钥，而不是其他人的公钥？2019-5-9公钥证书r为使公钥密码体系有实际应用，每个实体必须能够确认它得到的公钥确实来自声称的实体。r解决方案是引入证书机制：m使用证书（certificate）来证明某个主体（principal）拥有某个公钥m证书由一个可信任的第三方机构颁发，该机构称为认证权威CA（certification authority）m证书包含主体的公钥和CA的签名，任何人无法伪造或篡改证书的内容m当一个主体获得其公钥证书后

27、，可将证书放在任何一个可公开访问的地方8-44谢谢观赏2019-5-9谢谢观赏8-45证书的获取rBob向CA注册其公钥：mBob向CA提供身份证明 mCA验证了Bob的身份后创建证书，绑定Bob及其公钥m证书包含Bob的公钥，并有CA的签名Bob的公钥K B+Bob的身份证明信息digitalsignature(encrypt)CA的私钥K CA-K B+由CA签名的Bob的公钥证书2019-5-9谢谢观赏8-46证书的验证r当Alice需要Bob的公钥时:m获取Bob的证书m使用CA的公钥验证Bob的证书，得到Bob的公钥Bob的公钥K B+digitalsignature(decrypt

28、)CA的公钥K CA+K B+2019-5-9X.509证书r目前最常用的证书标准是X.509rX.509建立在公钥算法和数字签名的基础上：mCA对证书内容先进行SHA-1散列，然后用CA的私钥对报文摘要加密，形成数字签名。r为验证公钥证书的真实性：m验证方用CA的公钥解开证书的签名，得到证书内容的报文摘要m对收到的证书内容计算报文摘要，并与解密得到的报文摘要进行比较，两者相同表明这是合法的公钥证书8-47谢谢观赏2019-5-9X.509证书格式字段含义VersionX.509版本号Serial number证书序列号，与CA名字一起唯一标识一个证书Signature algorithm签名

29、该证书使用的算法及相关参数（与Signature重复）Issuer签发该证书的CA的名字Valid period证书有效期的起止时间Subject name主体名字，证书被颁给的对象Public key与主体绑定的公钥、使用该公钥的算法名字及相关参数Issuer ID唯一标识CA的一个可选的IDSubject ID唯一标识主体的一个可选的IDExtensions一个或多个扩展字段（X.509v3才有）Signature签发该证书使用的算法、相关参数及证书签名。证书签名覆盖证书的所有内容8-48谢谢观赏2019-5-9如何管理公钥和证书？r问题：谁可以运行CA？世界上有几个CA？ r使用一个CA

30、签发全世界所有的证书?m流量压力，单点失效r由一个组织运行多个CA?m密钥泄露，信任问题r分布式公钥基础设施（Public Key Infrastructure，PKI）m提供公钥加密和数字签名服务的系统或平台m包含不同组织运行的CA，每个CA拥有自己的私钥，负责为一部分用户签发证书m用户自已决定使用哪一个CA8-49谢谢观赏2019-5-9CA的一种组织结构(a) A hierarchical PKI. (b) A chain of certificates.8-50谢谢观赏2019-5-9信任锚与信任链r信任锚（trust anchor）：m信任的起点，系统中的所有实体都以根CA的公钥作为

31、它们的信任锚，信任锚必须通过安全的物理途径获取。r信任链（chain of trust）：m从叶结点到根CA的证书序列r根CA的选择：m有许多根CA，每个根CA都有自己的一个分级结构，所有根CA间可以进行交叉认证m用户自行决定信任哪个根CAm实际上，许多根CA的公钥被预装在浏览器上，这些根CA由浏览器厂商认证并嵌入到软件中，随软件一起发布8-51谢谢观赏2019-5-9证书的撤销r每个证书都有有效期，过期后证书自动失效rCA也可以显式地撤销证书，这要求CA定期地发布证书撤销列表（Certificate Revocation List，CRL），表中给出已经撤销的证书序列号r每个用户在使用一个证

32、书前都要去获取CRL，检查该证书是否在CRL中8-52谢谢观赏2019-5-9证书目录r证书存放在哪里？m使用DNS作为证书目录，该方案的标准为DNSSECm使用专门的目录服务器存放证书，该方案的标准为LDAPr证书撤销列表通常与证书存放在一起，CA定期地将CRL推进目录服务器，由目录服务器负责将CRL中列出的证书清除掉8-53谢谢观赏2019-5-9谢谢观赏8-54Chapter 8 roadmap8.1 What is network security?8.2 Principles of cryptography8.3 Message integrity and Digital Signa

33、ture8.4 End point authentication8.5 Securing e-mail8.6 Securing TCP connections: SSL8.7 Network layer security: IPsec8.8 Securing wireless LANs8.9 Operational security: firewalls and IDS2019-5-9谢谢观赏8-55鉴别（Authentication）Goal: Bob希望Alice“证明”她的身份Protocol ap1.0: Alice says “I am Alice”Failure scenario?

34、“I am Alice”2019-5-9谢谢观赏8-56鉴别（Authentication）Goal: Bob希望Alice“证明”她的身份Protocol ap1.0: Alice says “I am Alice”在网络中，Bob“看”不到Alice, 因此Trudy可以声称她就是Alice“I am Alice”2019-5-9谢谢观赏8-57Authentication: another tryProtocol ap2.0: Alice用自己的IP地址进行证明Failure scenario?“I am Alice”Alices IP address2019-5-9谢谢观赏8-58Au

35、thentication: another tryProtocol ap2.0: Alice用自己的IP地址进行证明Trudy用Alice的IP地址创建一个数据包（IP地址欺骗）“I am Alice”Alices IP address2019-5-9谢谢观赏8-59Authentication: another tryProtocol ap3.0: Alice向Bob发送口令证明自己Failure scenario?“Im Alice”Alices IP addrAlices passwordOKAlices IP addr2019-5-9谢谢观赏8-60Authentication: an

36、other tryProtocol ap3.0: Alice向Bob发送口令证明自己Trudy监听到Alice发送的明文口令，过后发送给Bob“Im Alice”Alices IP addrAlices passwordOKAlices IP addr“Im Alice”Alices IP addrAlices password2019-5-9谢谢观赏8-61Authentication: yet another tryProtocol ap3.1: Alice将口令加密，发送给BobFailure scenario?“Im Alice”Alices IP addrencrypted pass

37、wordOKAlices IP addr2019-5-9谢谢观赏8-62Authentication: another tryProtocol ap3.1: Alice将口令加密，发送给BobTrudy截获数据包，过后发送给Bob（重放攻击）“Im Alice”Alices IP addrencryptedpasswordOKAlices IP addr“Im Alice”Alices IP addrencryptedpassword2019-5-9谢谢观赏8-63Authentication: yet another tryGoal: 避免重放攻击缺点：需要一个共享的对称密钥 Nonce:

38、只用一次的数（不重数）ap4.0: Bob向Alice发送不重数R，Alice用共享密钥加密R，回送给Bob。“I am Alice”RK (R)A-B只有Alice知道加密不重数的密钥，所以肯定是Alice!2019-5-9谢谢观赏8-64Authentication: ap5.0ap5.0: 采用公开密钥算法加密不重数“I am Alice”RBob计算：K (R)A-“send me your public key”K A+(K (R) = RA-K A+只有Alice拥有这个私钥，因而一定是Alice！ 2019-5-9X.509的鉴别服务rX.509定义了三种鉴别程序，供不同的应用选

39、择：m单向鉴别：涉及一个用户到另一个用户的一次报文传输（接收方鉴别发送方）m双向鉴别：通信双方相互鉴别m三向鉴别：通信双方相互鉴别，并提供报文同步机制8-65谢谢观赏2019-5-9单向鉴别（one-way authentication） AB：tA |rA| IDB | Data | Kb+(Ka-b) | signatureA r说明：mtA：时间戳，由报文的产生时间和到期时间组成mrA：A随机选择的一个不重数，供接收者检测重放攻击mIDB：B的标识，指示报文的接收者mData：报文中包含的数据信息mKa-b ：若Data需要保密，则Ka-b为A加密Data使用的对称密钥mKb+ ：B的公

40、开密钥，用于加密对称密钥Ka-bmsignatureA ：A的数字签名，对tA、rA、IDB和Data的明文生成r接收方鉴别：mB用自己的私钥解出Ka-b，用Ka-b解密Data，计算前面4个部分的报文摘要mB用A的公钥从签名中得到原始的报文摘要，进行比较8-66谢谢观赏2019-5-9双向鉴别和三向鉴别r双向鉴别（two-way authentication）： AB：tA | rA | IDB | Data | Kb+ (Ka-b) | signatureA BA：tB | rB | IDA | rA| Data | Ka+(Kb-a) | signatureBr三向鉴别（three-wa

41、y authentication）： AB：tA | rA | IDB | Data | Kb+ (Ka-b) | signatureA BA：tB | rB | IDA | rA| Data | Ka+(Kb-a) | signatureB AB：rB | signatureA8-67谢谢观赏2019-5-9谢谢观赏8-68Chapter 8 roadmap8.1 What is network security?8.2 Principles of cryptography8.3 Message integrity and Digital Signature8.4 End point aut

42、hentication8.5 Securing e-mail8.6 Securing TCP connections: SSL8.7 Network layer security: IPsec8.8 Securing wireless LANs8.9 Operational security: firewalls and IDS2019-5-9电子邮件安全r电子邮件安全包括真实性和机密性两个方面r目前最流行的两个安全电子邮件协议：mPGP：一个开放源码的安全电子邮件软件包，提供对邮件的保密、鉴别、数字签名和压缩服务。PGP较多地用于个人电子邮件安全。（因特网安全电子邮件的事实标准）mS/MIM

43、E：基于公钥加密技术对MIME所做的安全扩展。S/MIME较可能作为一种工业标准被商业组织或一些机构使用。8-69谢谢观赏2019-5-9Pretty Good Privacy（PGP）rPGP提供五种服务：m鉴别，机密性，压缩，兼容电子邮件，分段r鉴别：mPGP使用基于公开密钥算法的数字签名提供鉴别服务m生成可供鉴别的电子邮件： 发送方创建电子邮件（报文） 用SHA-1计算邮件的报文摘要，然后用发送者的私钥加密报文摘要，形成数字签名 将数字签名附在报文的前面，与报文一起发送： Sgn | Data8-70谢谢观赏2019-5-9PGP的机密性服务rPGP使用对称密钥算法保护邮件的机密性：m发

44、送方将选择的一次性会话密钥用接收方的公钥加密，与报文一起发送给接收方r仅使用机密性服务的过程：m发送方（A）生成一个报文和一个随机的128比特数（一次性会话密钥）m先用会话密钥加密报文，再用接收方（B）的公钥加密会话密钥m将加密后的会话密钥放在报文前面，与报文一起发送： KB+(KA-B) | KA-B(Data)8-71谢谢观赏2019-5-9PGP的压缩服务r缺省地，PGP在完成签名之后、在加密报文之前对报文进行压缩，压缩算法采用ZIP： KB+(KA-B) | KA-B (Zip (Sgn | Data)r在压缩报文之前计算数字签名，是为了方便日后对报文的验证。r在加密报文之前进行压缩，

45、一方面可以减少要加密的数据量，另一方面压缩后的消息冗余很少，增加密码分析的困难。8-72谢谢观赏2019-5-9PGP的兼容电子邮件服务rPGP使用Base64编码将二进制数据流转换成可打印ASCII文本，以解决邮件的传输问题。rPGP可被配置为仅对报文中的某些部分（如签名部分）进行Base64编码转换。8-73谢谢观赏2019-5-9鉴别 + 机密性 + 压缩 + 兼容性r同时使用以上四种服务的过程：m发送方先对明文报文计算签名，将签名放在报文前面m签名与明文一起被压缩m用会话密钥对压缩后的数据块进行加密m用接收方的公钥加密会话密钥，放在报文的前面m将整个数据块转换成Base64编码格式：

46、EncodeBase64(KB+(KA-B) | KA-B (Zip (Sgn | Data)8-74谢谢观赏2019-5-9PGP的邮件分段服务r许多电子邮件系统能够接收的最大报文长度不超过50,000字节rPGP在完成对报文的全部处理后，自动将超过长度的报文分成小块传输，会话密钥和签名只在第一个片段中出现r接收端去掉每个片段的头部，然后将所有的片段重新组装成一个数据块8-75谢谢观赏2019-5-9使用PGP发送一个邮件8-76谢谢观赏2019-5-9谢谢观赏8-77Chapter 8 roadmap8.1 What is network security?8.2 Principles o

47、f cryptography8.3 Message integrity and Digital Signature8.4 End point authentication8.5 Securing e-mail8.6 Securing TCP connections: SSL8.7 Network layer security: IPsec8.8 Securing wireless LANs8.9 Operational security: firewalls and IDS2019-5-9谢谢观赏8-78Secure sockets layer (SSL)rSSL向基于TCP的网络应用提供安全

48、的传输层服务： m如支持Web浏览器和服务器之间的安全通信（https）rSSL提供的安全服务: m服务器鉴别，数据加密，客户鉴别（可选）TCPIPTCP enhanced with SSLTCP socketApplicationTCPIP TCP APISSL sublayerApplicationSSLsocket2019-5-9SSLrSSL是涉及到两个层次的一组协议：mSSL记录协议：为各种高层协议（如HTTP）提供基本的安全服务m其它三个高层协议：用于SSL交换管理 8-79谢谢观赏2019-5-9SSL握手协议r允许服务器和客户之间相互鉴别，并协商加密算法、MAC算法及密钥等r握

49、手协议由客户和服务器之间的一系列报文交换组成：m浏览器向服务器发送建立SSL会话的请求报文，说明可支持的SSL协议最高版本、支持的加密算法（按优先级从高到低排列）和压缩方法等，以及浏览器选择的一个随机数Rc。m服务器从浏览器给出的选择中确定合适的SSL版本号、加密算法和压缩方法，与服务器选择的一个随机数Rs一起发送给浏览器。8-80谢谢观赏2019-5-9SSL握手协议（续）m服务器向浏览器发送它的公钥证书（和必要的证书链）以及其它信息m浏览器检查签发证书的CA是否在其可信CA列表中，若不在向用户警告该问题； 如果在则使用该CA的公钥验证证书，得到服务器的公钥。m如果客户也需要被鉴别（收到服务

50、器的证书请求），则浏览器向服务器发送它的公钥证书。（图中未画出）谢谢观赏8-812019-5-9SSL握手协议（续）m浏览器生成一个48字节的随机数，称预密钥，用服务器的公钥加密后发送给服务器。m客户和服务器各自从预密钥、Rc和Rs中计算加密数据需要的会话密钥，以及计算MAC需要的密钥。8-82谢谢观赏2019-5-9SSL握手协议（续）m浏览器向服务器发送一个报文，通知它后面的报文都用这个会话密钥加密，然后发送一个用协商的算法及密钥加密的报文，指示握手协议的浏览器部分完成。 m 服务器向浏览器发送一个报文，通知它后面的报文都用这个会话密钥加密，然后发送一个用协商的算法及密钥加密的报文，指示握