【正文】 用網(wǎng) VPN ?第八章：應(yīng)用層安全協(xié)議 ?第九章： WLAN的安全 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 5 第一章 網(wǎng)絡(luò)安全綜述 ? ? 網(wǎng)絡(luò)安全概述 ? ? ? ? ?、評(píng)價(jià)準(zhǔn)則 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 6 引入 : 現(xiàn)實(shí)中的舉例 ?電子門(mén)鑰 ?認(rèn)證 ?掛窗簾 ? 防止外人偷窺 ?加鎖 ? 防小偷 ?養(yǎng)狗 ? 拒絕不受歡迎之客 ?電圍墻，籬笆，門(mén)衛(wèi) ? 審查 ?安裝警報(bào)系統(tǒng)，攝像頭 ? 檢測(cè)不速之客 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 7 網(wǎng)絡(luò)安全事件 —— 網(wǎng)絡(luò)監(jiān)聽(tīng)？ 服務(wù)器 正常連接 網(wǎng)絡(luò)監(jiān)聽(tīng)者 屏幕輸入 用戶(hù)名： abcde 密碼： 12345 屏幕顯示 用戶(hù)名： abcde 密碼： 12345 信 息 被 截 獲 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 8 網(wǎng)絡(luò)安全事件 —— 假冒站點(diǎn)？ 服務(wù)器 A 網(wǎng)址 瀏覽者與服務(wù) 器 A連接，訪 問(wèn)站點(diǎn) 服務(wù)器 B 假冒 當(dāng)假冒服務(wù)器出現(xiàn)時(shí) 當(dāng)瀏覽者輸入 ， 實(shí)際訪問(wèn)的是服務(wù) 器 B， 這樣他的私 人信息就可能被 B 非法獲取 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 9 網(wǎng)絡(luò)安全事件 —— 不安全 Email A B Email偷盜者 郵件在傳送過(guò)程中被截取 偷盜者篡改郵件后以甲的身份重新發(fā)送 Email 后不發(fā)給乙，怎么辦？ 甲的身份給乙發(fā)了假 郵件，怎么辦？ 乙收到該 Email 甲 給乙發(fā)出 Email 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 10 網(wǎng)絡(luò)安全事件 —— 抵賴(lài)？ 甲給乙發(fā)送了一封 Email 甲否認(rèn)發(fā)送過(guò) 甲通過(guò)商家的 網(wǎng)站購(gòu)買(mǎi)了某些 商品，并通過(guò)網(wǎng)絡(luò) 支付了所需的貨款 商家否認(rèn)收到過(guò) 來(lái)自甲的購(gòu)貨款 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 11 網(wǎng)絡(luò)安全概述 ?網(wǎng)絡(luò)安全的重要性 ? 政務(wù)、商務(wù)、金融、軍事、社會(huì)穩(wěn)定等 ?網(wǎng)絡(luò)安全是一個(gè)跨多門(mén)學(xué)科的綜合性科學(xué) ? 包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)等 ? 在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的 ? 從技術(shù)上，網(wǎng)絡(luò)安全取決于兩個(gè)方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件的安全，以及設(shè)備的訪問(wèn)控制 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 12 1. 常見(jiàn)的不安全因素 ?物理因素：物理設(shè)備的不安全，電磁波泄漏等 ?系統(tǒng)因素：系統(tǒng)軟、硬件漏洞，病毒感染，入侵 ?網(wǎng)絡(luò)因素：網(wǎng)絡(luò)協(xié)議漏洞，會(huì)話(huà)劫持、數(shù)據(jù)篡改，網(wǎng)絡(luò)擁塞，拒絕服務(wù) ?管理因素：管理員安全意識(shí)淡漠，誤操作 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 13 2. 網(wǎng)絡(luò)不安全的原因 ?自身的缺陷：系統(tǒng)軟硬件缺陷，網(wǎng)絡(luò)協(xié)議的缺陷 ?開(kāi)放性 ? 系統(tǒng)開(kāi)放：計(jì)算機(jī)及計(jì)算機(jī)通信系統(tǒng)是根據(jù)行業(yè)標(biāo)準(zhǔn)規(guī)定的接口建立起來(lái)的。 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 17 07年網(wǎng)絡(luò)威脅的特征 ?間諜軟件危害超過(guò)電腦病毒危害 ?網(wǎng)絡(luò)釣魚(yú)事件頻出，增長(zhǎng)勢(shì)頭有增無(wú)減 ?漏洞被發(fā)現(xiàn)和漏洞病毒出現(xiàn)的時(shí)間間隔越來(lái)越短 ?病毒傳播方式和途徑更加多樣化、更加隱蔽 ?病毒與木馬的結(jié)合－ bot，帶有蠕蟲(chóng)性質(zhì)的木馬。 ?可控性 對(duì)信息的傳輸及訪問(wèn)具有控制能力 ， 訪問(wèn)控制即屬于可控性 。 、傳輸層、網(wǎng)絡(luò)層。 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 30 安全體系結(jié)構(gòu) ?RFC 2828(Inter Security Glossary) ?(Security Architecture for OSI) ? 安全攻擊： 損害 機(jī)構(gòu)所擁有 信息 的 安全 的 任何行為 。 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 31 安全體系結(jié)構(gòu) —— 安全攻擊 ?主動(dòng)攻擊 :更改數(shù)據(jù)流，或偽造假的數(shù)據(jù)流?；蛘邔?duì)截 獲的報(bào)文延遲、重新排序 阻止或占據(jù)對(duì)通信設(shè)施的正常使用或管理。 為 保 證 W W W 的 安 全 ， 由E I T ( E n t e r p r i s e I n t e g r a t i o n T e c h n o l o g y C o r p . ) 開(kāi) 發(fā) 的 協(xié) 議 。以 S S L 分 別 對(duì) S e c u r e S o c k e t s L a y e r T e l n e t ， S S L S i m p l e M a i l T r a n s f e r P r o t o c o l 和 S S L P o s t O f f i c e P r o t o c o l V e r s i o n 3 等 的 應(yīng) 用 進(jìn) 行 加 密 。 由 I E E E 標(biāo) 準(zhǔn) 化 的 具 有 加 密 簽 名 功 能 的 郵 件 系 統(tǒng) ( R F C 1 4 2 1 ~ 1 4 2 4 ) 。 P h i l i p Z i m m e r m a n n 開(kāi) 發(fā) 的 帶 加 密 及 簽 名 功 能 的 郵 件系 統(tǒng) ( R F C 1 9 9 1 ) 。防 火 墻 及 V P N 用 的 數(shù) 據(jù) 加 密 及 認(rèn) 證 協(xié) 議 。 ? 分組密碼 (block cipher)： 分組密碼將明文分成固定長(zhǎng)度的組，用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。 ?初始置換與初始逆置換在密碼意義上作用不大，他們的作用在于打亂原來(lái)輸入 x的 ASCII碼字劃分關(guān)系，并將原來(lái)明文的校驗(yàn)位變成置換輸出的一個(gè)字節(jié)。 ? 1998年 7月，電子前沿基金會(huì)花費(fèi) 25萬(wàn)美圓制造的一臺(tái)機(jī)器在不到 3天的時(shí)間里攻破了 DES。 ? 加密密鑰與解密密鑰不同，但是從一個(gè)主密鑰派生出來(lái)，因此仍是對(duì)稱(chēng)的加密體制，目前尚無(wú)破譯方法。 ? c1 = ek (x1⊕IV )， ? c2 = ek (x2⊕ c1)， ? ci = ek (xi⊕ ci1)， ?密碼反饋（ CFB）模式 ?輸出反饋（ OFB）模式 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 60 分組密碼的工作模式 續(xù) ?電碼本（ ECB）模式 ?密碼分組鏈接（ CBC）模式 ?密碼反饋（ CFB）模式 ? 給定明文的一個(gè)分組串 x=x1x2? ? ? , xi是 b比特分組， IV是一個(gè)初始向量。單向函數(shù)是一些易于計(jì)算但難于求逆的函數(shù)，而陷門(mén)單向函數(shù)就是在已知一些額外信息的情況下易于求逆的 單向函數(shù)，這些額外信息就是所謂的陷門(mén)。 ?1999年，一個(gè) 292臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)花了 個(gè)月時(shí)間分解了一個(gè) 155位的十進(jìn)制數(shù)（ 512比特）。 ?DiffieHellman密鑰交換 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 70 5. DiffieHellman密鑰交換 (YB ) mod p = K (YA ) mod p = K XB XA Private Value, XA Public Value, YA Private Value, XB Public Value, YB Alice Bob YA YB YB = g mod p XB YA =g mod p XA ?中間人攻擊 ? Alice Eve Bob ? Alice Eve Bob YA YA’ YB YB’ 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 71 第一章 網(wǎng)絡(luò)安全綜述 ? ? ? ? ? ?、評(píng)價(jià)準(zhǔn)則 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 72 數(shù)字簽名與認(rèn)證 ?通信中潛在的威脅 ? 消息偽造 ? 內(nèi)容篡改 ? 延遲或重播 ? 否認(rèn) ?數(shù)字簽名 消息的不可否認(rèn)性 ?消息認(rèn)證 消息的完整性 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 73 1. 數(shù)字簽名 ? 公鑰密碼學(xué)的一個(gè)重要應(yīng)用就是數(shù)字簽名，數(shù)字簽名就是利用私鑰生成簽名，而用公鑰驗(yàn)證簽名。 ? (2) 消息認(rèn)證碼 MAC (Message Authentication Code) 是對(duì)信源消息的一個(gè)編碼函數(shù) ? (3) 散列函數(shù) (Hash Function) 是一個(gè)公開(kāi)的函數(shù)它將任意長(zhǎng)的信息映射成一個(gè)固定長(zhǎng)度的信息 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 75 消息認(rèn)證碼 MAC ?利用函數(shù) f和密鑰 k ，對(duì)要發(fā)送的明文 x或密文 y變換成 r bit的消息認(rèn)證碼 f(k,x)(或 f(k,y)) ，將其稱(chēng)為認(rèn)證符附加在 x(或 y)之后發(fā)出，接收者收到發(fā)送的消息序列后，按發(fā)方同樣的方法對(duì)接收的數(shù)據(jù) (或解密后 )進(jìn)行計(jì)算，應(yīng)得到相應(yīng)的 r bit數(shù)據(jù) 消 息 MAC 算法 K 消息認(rèn)證碼 MAC 算法 K 比較 網(wǎng)絡(luò)安全協(xié)議 信息安全專(zhuān)業(yè) 76 散列函數(shù) ? 單向散列函數(shù)（ hash，雜湊函數(shù)）可以從一段很長(zhǎng)的報(bào)文中計(jì)算出一個(gè)固定長(zhǎng)度的比特串，這種散列函數(shù)通常稱(chēng)為報(bào)文摘要（ message digest），用于消息的完整性檢驗(yàn)。這也稱(chēng)為強(qiáng)碰撞抵抗 ? 滿(mǎn)足前 5個(gè)性質(zhì)的 hash函數(shù)稱(chēng)為弱 hash函數(shù)，如果 6條都滿(mǎn)足就稱(chēng)為強(qiáng)ha