【正文】 ly Private amp。 Confidential 數(shù)據(jù)機(jī)密性保護(hù) 撥號(hào)服務(wù)器 PSTN Inter 區(qū)域 Inter 邊界路由器 內(nèi)部工作子網(wǎng) 管理子網(wǎng) 一般子網(wǎng) 內(nèi)部 WWW 重點(diǎn)子網(wǎng) 下屬機(jī)構(gòu) DDN/FR DMZ區(qū)域 WWW Mail DNS 密文 傳輸 明文傳輸 明文傳輸 99 Strictly Private amp。 Confidential ipfw ? 基于內(nèi)核的防火墻工具 (FreeBSD) ? /etc/ firewall_enable=YES firewall_script=/etc/ firewall_type=/etc/ firewall_logging_enable=YES log_in_vain=YES tcp_restrict_rst=YES icmp_drop_redirect=YES 107 Strictly Private amp。 Confidential TCP連接的終止 主機(jī) B：服務(wù)端 主機(jī) A：客戶端 1 發(fā)送 TCP FIN分段 2 發(fā)送 TCP ACK分段 3 發(fā)送 TCP FIN分段 4 發(fā)送 TCP ACK分段 關(guān)閉 A到 B的連接 關(guān)閉 A到 B的連接 114 Strictly Private amp。 Confidential TLS記錄協(xié)議操作過程 Zxvhtyu57678597sdfsdfs… … 應(yīng)用層數(shù)據(jù) Zxvhtyu57 678597 sdfsdfs… 分段操作 8735k 壓縮操作 8735k MAC 計(jì)算消息摘要 … … … 加密操作 SSL hdr … … … 添加 SSL頭 120 Strictly Private amp。 Confidential Secure Shell(SSH)協(xié)議 ? 最常見的替代 Tel,rlogin和 rsh服務(wù)的方法 ? SSH提供兩項(xiàng)基本的服務(wù) – 數(shù)據(jù)保密 – 驗(yàn) 證 ? 從客戶端來看 ， SSH 提供兩種級(jí)別安全驗(yàn)證 – 基于口令的安全驗(yàn)證 – 基于密匙的安全驗(yàn)證 127 Strictly Private amp。 Confidential 第三階段認(rèn)證階段 SSH_CMSG_USER 聲明用戶 用戶是否存在 用戶不存在 需不需要進(jìn)行認(rèn)證？ 用戶存在 不需要認(rèn)證 需要進(jìn)行認(rèn)證 用各種不同的方法進(jìn)行認(rèn)證 SSH_SMSG_SUCCESS 成功 認(rèn)證通過 133 Strictly Private amp。 Confidential Qamp。 Confidential SSH協(xié)議體系的第二階段 加密連接建立 131 Strictly Private amp。 Confidential Linux下的 SSL實(shí)現(xiàn) ? SSL/TLS以 apache插件工作 ? Apache下實(shí)現(xiàn) SSL的組件 – mod_ssl – mod_perl – Open SSL – RSAref ? Mod_ssl是和 apache版本對(duì)應(yīng)的 125 Strictly Private amp。 會(huì)話由 Handshake Protocol創(chuàng)建 。 Confidential TCP會(huì)話連接 SYN received 主機(jī) A：客戶端 主機(jī) B：服務(wù)端 發(fā)送 TCP SYN分段 (seq=100 ctl=SYN) 1 發(fā)送 TCP SYNamp。 Confidential iptables語法使用 ? 添加一條規(guī)則 – A ? 刪除一條規(guī)則 – D ? 插入一條規(guī)則 – I ? 替換一條規(guī)則 R ? 改變默認(rèn)鏈中的規(guī)則 – P ? 清除所有鏈中規(guī)則 – F ? 執(zhí)行動(dòng)作 – j 可引發(fā) DENY/ACCEPT/DROP/REDIRECT等 iptables – t 表 – A(D) 鏈 – p 協(xié)議 – s 源地址 sport 源端口 – d 目的地址 dport 目的端口 – j 動(dòng)作 105 Strictly Private amp。 Confidential 雙機(jī)熱備 內(nèi)部網(wǎng) 外網(wǎng)或者不信任域 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 心跳線 Active Firewall Standby Firewall 檢測(cè) Active Firewall的狀態(tài) 發(fā)現(xiàn)出故障，立即接管其工作 正常情況下由主防火墻工作 主防火墻出故障以后，接管它的工作 97 Strictly Private amp。 Confidential 應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn) – 允許用戶 “ 直接 ” 訪問 Inter – 易于記錄日志 ? 缺點(diǎn) – 新的服務(wù)不能及時(shí)地被代理 – 每個(gè)被代理的服務(wù)都要求專門的代理軟件 – 客戶軟件需要修改 ， 重新編譯或者配臵 – 有些服務(wù)要求建立直接連接 ， 無法使用代理 – 代理服務(wù)不能避免協(xié)議本身的缺陷或者限制 89 Strictly Private amp。 Confidential NAT網(wǎng)關(guān)和 IP復(fù)用 Inter Host A 受保護(hù)網(wǎng)絡(luò) Host C Host D 防火墻 Eth2： Eth0： 數(shù)據(jù) IP報(bào)頭 數(shù)據(jù) IP報(bào)頭 源地址： 目地址： 源地址： 目地址： ? 隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu) ? 內(nèi)部網(wǎng)絡(luò)可以使用私有 IP地址 ? 公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供 IP復(fù)用功能 81 Strictly Private amp。 Confidential 內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問控制 進(jìn)行訪問規(guī)則檢查 發(fā)起訪問請(qǐng)求 合法請(qǐng)求則允許對(duì)外訪問 將訪問記錄寫進(jìn)日志文件 合法請(qǐng)求則允許對(duì)外訪問 發(fā)起訪問請(qǐng)求 防火墻在此處的功能： 工作子網(wǎng)與外部子網(wǎng)的物理 隔離 訪問控制 對(duì)工作子網(wǎng)做 NAT地址轉(zhuǎn)換 日志記錄 Inter 區(qū)域 Inter 邊界路由器 DMZ區(qū)域 WWW Mail DNS 內(nèi)部工作子網(wǎng) 管理子網(wǎng) 一般子網(wǎng) 內(nèi)部 WWW 重點(diǎn)子網(wǎng) 73 Strictly Private amp。 Confidential 零知識(shí)證明技術(shù) ? 定義 ? 使信息的擁有者無需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息 ? 在網(wǎng)絡(luò)身份鑒別中 ， 已經(jīng)提出了零知識(shí)技術(shù)的一些變形 – 例如 ， FFS方案 、 FS方案 、 GQ方案 66 Strictly Private amp。 Confidential 基于主體特征的身份認(rèn)證 Username Feature Permission Root Sdff R Admin 8990 R W Web 8668 R E ftp 8965 R W E Server Workstation 傳送特征信息 發(fā)起訪問請(qǐng)求 驗(yàn)證用戶特征信息 回應(yīng)訪問請(qǐng)求，允許訪問 驗(yàn)證通過 指紋識(shí)別器 讀取特征信息 獲得特征信息 61 Strictly Private amp。 Confidential 基于口令機(jī)制的實(shí)現(xiàn) Username Password Permission root ~!4 R Admin 3458r R W webmaste 234 R E dd 2342 R W E Server End user 驗(yàn)證用戶名與口令 驗(yàn)證通過 55 Strictly Private amp。 Confidential 數(shù)據(jù)原發(fā)鑒別方法 ? 加密 – 給數(shù)據(jù)項(xiàng)附加一個(gè)鑒別項(xiàng) ， 然后加密該結(jié)果 ? 封裝或數(shù)字簽名 ? 實(shí)體鑒別擴(kuò)展 – 通過完整性機(jī)制將數(shù)據(jù)項(xiàng)和鑒別交換聯(lián)系起來 47 Strictly Private amp。 Confidential 數(shù)字簽名的功能 ? 接收者能夠核實(shí)發(fā)送方對(duì)報(bào)文的簽名 ? 發(fā)送方事后不能抵賴對(duì)報(bào)文的簽名 ? 任何人不能偽造對(duì)報(bào)文的簽名 ? 保證數(shù)據(jù)的完整性 ， 防止被第三方惡意篡改 ? 對(duì)數(shù)據(jù)和信息的來源進(jìn)行保證 ， 確保發(fā)送方的身份 ? 數(shù)字簽名的速度可以滿足應(yīng)用需求 42 Strictly Private amp。 Confidential DH/DSA算法 ? DiffieHellman(DH)是第一個(gè)公鑰算法 ， 其安全性基于在有限域中計(jì)算離散對(duì)數(shù)的難度 ? DH可用于密鑰分發(fā) ， 但不能用于加 /解密報(bào)文 ? DH算法已得到廣泛應(yīng)用 ， 并為許多標(biāo)準(zhǔn)化組織 (IETF等 )接納 ? DSA是 NIST于 1991年提出的數(shù)字簽名標(biāo)準(zhǔn) (DSS),該標(biāo)準(zhǔn)于 1994年 5月 19日被頒布 ? DSA是 Schnorr和 Elgemal簽名算法的變型 ,DSA只能用于數(shù)字簽名不能用于加密 35 Strictly Private amp。 Confidential RSA算法 ? 1977年由 Ron Rivest、 Adi Shamir和 Len Adleman發(fā)明 ， 1978年公布 ? 是一種塊加密算法 – 明文和密文在 0~n1之間 ,n是一個(gè)正整數(shù) ? 應(yīng)用最廣泛的公鑰密碼算法 ? 只在美國申請(qǐng)專利 ， 且已于 2022年 9月到期 ? RSA既可用于加密 ， 又可用于數(shù)字簽名 30 Strictly Private amp。 Confidential IDEA介紹 ? Xuejia Lai和 James Massey提出 ? IDEA是對(duì)稱 、 分組密碼算法 ， 輸入明文為 64位 ， 密鑰為 128位 ， 生成的密文為 64位 ? IDEA是一種相對(duì)較新的算法 ， 雖有堅(jiān)實(shí)的理論基礎(chǔ) ， 但仍應(yīng)謹(jǐn)慎使用 (盡管該算法已被證明可對(duì)抗差分分析和線性分析 ) ? IDEA是一種專利算法 (在歐洲和美國 )， 專利由 AsTech AG擁有 ? PGP中已實(shí)現(xiàn)了 IDEA 23 Strictly Private amp。 算法決定密碼分析的難度 ? 每一步的子函數(shù) 。 Confidential Feistel分組加密算法結(jié)構(gòu)之動(dòng)機(jī) ? 分組加密算法 ， 一一映射 ? 當(dāng) n較小時(shí) ， 等價(jià)于替換變換 ? 當(dāng) n較大時(shí) ， 比如 n=64， 無法表達(dá)這樣的任意變換 。 Confidential 加密的優(yōu)勢(shì) ? 加密所能提供的四種服務(wù) – 數(shù)據(jù)的保密性 – 數(shù)據(jù)的完整性 – 身份認(rèn)證 – 不可否認(rèn)性 7 Strictly Private amp。Strictly Private amp。 Confidential 加密原理與應(yīng)用 ? 加密的類別 – 對(duì)稱加密 – 非對(duì)稱加密 – HASH加密 6 Strictly Private amp。 Confidential 涉及的幾個(gè)基本元素 ? XOR異或運(yùn)算 ? Round輪轉(zhuǎn) ? 雪崩效應(yīng) ? Feistel 網(wǎng)絡(luò) 13 Strictly Private amp。 越大安全性越高 ， 但速度下降 ， 64廣泛使用 ， 但現(xiàn)在已經(jīng)不夠用 ? 步數(shù) ， 典型 16步 ? 子鑰產(chǎn)生算法 。 Confidential DES的強(qiáng)度 ? 56位密鑰的使用 – 理論上的強(qiáng)度 ， 97年 $100000的機(jī)器可以在 6小時(shí)內(nèi)用窮舉法攻破 DES – 實(shí)際攻破的例子 ， 97年 1月提出挑戰(zhàn) ， 有人利用 Inter的分布式計(jì)算能力 ， 組織志愿軍連接了 70000多個(gè)系統(tǒng)在 96天后攻破 ? DES算法的本質(zhì) – 關(guān)鍵在于 8個(gè) SBOX ? 針對(duì) DES的密碼分析 – 差分分析法 – 線性分析法 22 Strictly Private amp。 Confidential 公鑰算法所涉及的方面 ? 涉及到的各方：發(fā)送者 、 接收者 、 攻擊者 ? 涉及到的數(shù)據(jù)：公鑰 、 私鑰 、 明文 、 密文