信息与网络安全

信息与网络平安信息与网络平安中山大学信息与网络中心李磊 博士2007年8月主要参考文献李磊，网络工程师考前辅导，清华大学出版社，2007祝晓光，网络平安设备与技术，清华大学出版社，2004Andrews S.Tanenbaum，计算机网络第4版，清华大学出版社，2004阙喜戎、孙锐、龚向阳、王纯编著，信息平安原理及应用，清华大学出版社，2003卢昱、林琪，网络平安技术，中国物资出版社，2001齐丁，计算机信息系统平安等级保护根本知识介绍，广东省公安厅网监处，内部资料目录信息与网络平安概论信息加密技术消息摘要实体认证数字签名与数字水印数字证书密钥管理网络平安的体系结构网络接口层平安协议网际层平安协议传输层平安协议应用层平安协议虚拟专用网VPN防火墙入侵检测网络平安标准平安策略的制定与实施计算机病毒信息与网络平安概述信息与网络平安概述信息与网络平安概述信息与网络平安的本质和内容计算机网络的脆弱性信息平安的六大目标网络平安的主要威胁网络平安的攻击手段网络平安的八大机制信息与网络平安的本质和内容网络平安从其本质上来讲就是网络上的信息平安。信息平安是对信息的保密性、完整性和可用性的保护，包括物理平安、网络系统平安、数据平安、信息内容平安和信息根底设施平安等。网络平安主要涉及网络平安威胁的主要类型、网络攻击的手段、网络平安机制、网络平安技术以及信息平安等级标准等方面内容。信息与网络平安的目标进不来进不来拿不走拿不走看不懂看不懂改不了改不了跑不了跑不了信息平安概念与技术的开展信息平安的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的开展而不断开展的。网络信息平安阶段该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息平安与防护技术被动防御：平安漏洞扫描技术、平安路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。信息保障阶段信息保障IA概念与思想是20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反响能力以恢复系统的功能。美国国家平安局制定的信息保障技术框架IATF，提出“纵深防御策略DiDDefense-in-Depth Strategy。信息保障阶段不仅包含平安防护的概念，更重要的是增加了主动和积极的防御观念。计算机网络的脆弱性体系结构的脆弱性。网络体系结构要求上层调用下层的效劳，上层是效劳调用者，下层是体系结构的脆弱性。网络体系结构要求上层调用下层的效劳，上层是效劳调用者，下层是效劳提供者，当下层提供的效劳出错时，会使上层的工作受到影响。效劳提供者，当下层提供的效劳出错时，会使上层的工作受到影响。网络通信的脆弱性。网络平安通信是实现网络设备之间、网络设备与主机节点之间进行信网络通信的脆弱性。网络平安通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障，然而通信协议或通信系统的平安缺陷往往危及到网络系统的整体平安。息交换的保障，然而通信协议或通信系统的平安缺陷往往危及到网络系统的整体平安。网络操作系统的脆弱性。目前的操作系统，无论是网络操作系统的脆弱性。目前的操作系统，无论是WindowsWindows、UNIXUNIX还是还是NetwareNetware都存在平安都存在平安漏洞，这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。漏洞，这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。网络应用系统的脆弱性。随着网络的普及，网络应用系统越来越多，网络应用系统也可能网络应用系统的脆弱性。随着网络的普及，网络应用系统越来越多，网络应用系统也可能存在平安漏洞，这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏，应用系统瘫痪，存在平安漏洞，这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏，应用系统瘫痪，甚至威胁到整个网络的平安。甚至威胁到整个网络的平安。网络管理的脆弱性。在网络管理中，常常会出现平安意识淡薄、平安制度不健全、岗位职网络管理的脆弱性。在网络管理中，常常会出现平安意识淡薄、平安制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等，这种人为造成的平安漏洞也会威胁责混乱、审计不力、设备选型不当和人事管理漏洞等，这种人为造成的平安漏洞也会威胁到整个网络的平安。到整个网络的平安。信息平安的六大目标信信 息息 安安 全全可靠性可用性真实性保密性完整性不可抵赖性可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性包括：硬件可靠性软件可靠性通讯可靠性人员可靠性环境可靠性可用性可用性即网络信息系统在需要时，允许授权用户或实体使用的特性；或者是网络信息系统局部受损或需要降级使用时，仍能为授权用户提供有效效劳的特性。真实性确保网络信息系统的访问者与其声称的身份是一致的；确保网络应用程序的身份和功能与其声称的身份和功能是一致的；确保网络信息系统操作的数据是真实有效的数据。保密性保密性是防止信息泄漏给非授权个人或实体，只允许授权用户访问的特性。保密性是一种面向信息的平安性，它建立在可靠性和可用性的根底之上，是保障网络信息系统平安的根本要求。完整性完整性是信息在未经合法授权时不能被改变的特性，也就是信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丧失的特性。完整性是一种面向信息的平安性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输。不可抵赖性不可抵赖性也称作不可否认性，即在网络信息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。网络平安的主要威胁主主 要要 威威 胁胁内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。)流量分析攻击(分析通信双方通信流量的大小，以期获得相关信息。)其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等)信息与网络平安的攻击手段物理破坏窃听数据阻断攻击数据篡改攻击数据伪造攻击数据重放攻击盗用口令攻击中间人攻击缓冲区溢出攻击分发攻击野蛮攻击SQL注入攻击计算机病毒蠕虫后门攻击欺骗攻击拒绝效劳攻击特洛伊木马 网络信息系统网络信息系统内部人员威胁内部人员威胁拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击计算机病毒计算机病毒信息泄漏、信息泄漏、篡改、破坏篡改、破坏后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫社会工程社会工程天灾天灾系统系统Bug网络攻击被动攻击窃听或者偷窥流量分析被动攻击非常难以检测，但可以防范源目的sniffer网络攻击主动攻击可以检测，但难以防范主动攻击：指攻击者对某个连接的中的主动攻击：指攻击者对某个连接的中的PDUPDU进行各种进行各种处理处理(更改、删除、迟延、复制、伪造等更改、删除、迟延、复制、伪造等)阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击物理破坏攻击者可以直接接触到信息与网络系统的硬件、软件和周边环境设备。通过对硬件设备、网络线路、电源、空调等的破坏，使系统无法正常工作，甚至导致程序和数据无法恢复。窃听一般情况下，攻击者侦听网络数据流，获取通信数据，造成通信信息外泄，甚至危及敏感数据的平安。其中的一种较为普遍的是sniffer 攻击sniffer attack。sniffer是指能解读、监视、拦截网络数据交换并且阅读数据包的程序或设备。数据阻断攻击攻击者在不破坏物理线路的前提下，通过干扰、连接配置等方式，阻止通信各方之间的数据交换。阻断攻击数据篡改攻击攻击者在非法读取数据后，进行篡改数据，以到达通信用户无法获得真实信息的攻击目的。篡改攻击数据伪造攻击攻击者在了解通信协议的前提下，伪造数据包发给通讯各方，导致通讯各方的信息系统无法正常的工作，或者造成数据错误。伪造攻击数据重放攻击攻击者尽管不了解通信协议的格式和内容，但只要能够对线路上的数据包进行窃听，就可以将收到的数据包再度发给接收方，导致接收方的信息系统无法正常的工作，或者造成数据错误。重放攻击盗用口令攻击盗用口令攻击password-based attacks攻击者通过多种途径获取用户合法账号进入目标网络，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改效劳器和网络配置；增加、篡改和删除数据等等。中间人攻击中间人攻击man-in-the-middle attack是指通过第三方进行网络攻击，以到达欺骗被攻击系统、反跟踪、保护攻击者或者组织大规模攻击的目的。中间人攻击类似于身份欺骗，被利用作为中间人的的主机称为Remote Host黑客取其谐音称之为“肉鸡。网络上的大量的计算机被黑客通过这样的方式控制，将造成巨大的损失，这样的主机也称做僵尸主机。缓冲区溢出攻击缓冲区溢出又称堆栈溢出攻击是最常用的黑客技术之一。攻击者输入的数据长度超过应用程序给定的缓冲区的长度，覆盖其它数据区，造成应用程序错误，而覆盖缓冲区的数据恰恰是黑客的入侵程序代码，黑客就可以获取程序的控制权。后门攻击后门攻击backdoor attack是指攻击者成心在效劳器操作系统或应用系统中制造一个后门，以便可以绕过正常的访问控制。攻击者往往就是设计该应用系统的程序员。欺骗攻击欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真实信息，欺骗对方，以到达攻击的目的。拒绝效劳攻击DoSDenial of Service，拒绝效劳攻击的目的是使计算机或网络无法提供正常的效劳。常见的方式是：使用极大的通信量冲击网络系统，使得所有可用网络资源都被消耗殆尽，最后导致网络系统无法向合法的用户提供效劳。如果攻击者组织多个攻击点对一个或多个目标同时发动DoS攻击，就可以极大地提高DoS攻击的威力，这种方式称为DDoSDistributed Denial of Service，分布式拒绝效劳攻击。分发攻击攻击者在硬件和软件的安装配置期间，利用分发过程去破坏；或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料。野蛮攻击野蛮攻击包括字典攻击和穷举攻击。字典攻击是使用常用的术语或单词列表进行验证，攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令，字典攻击的成功率往往很高。如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始，按长度递增进行尝试攻击。SQL注入攻击攻击者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击，入侵者通过提交一段数据库查询代码，根据程序返回的结果获得攻击者想得知的数据，从而到达攻击目的。计算机病毒与蠕虫计算机病毒Computer Virus是指编制者编写的一组计算机指令或者程序代码，它能够进行传播和自我复制，修改其他的计算机程序并夺取控制权，以到达破坏数据、阻塞通信及破坏计算机软硬件功能的目的。蠕虫也是一种程序，它可以通过网络等途径将自身的全部代码或局部代码复制、传播给其他的计算机系统，但它在复制、传播时，不寄生于病毒宿主之中。蠕虫病毒是能够是寄生于被感染主机的蠕虫程序，具有病毒的全部特成，通常利用计算机系统的漏洞在网络上大规模传播。特洛伊木马特洛伊木马简称木马，它由两局部组成：效劳器程序和控制器程序，当主机被装上效劳器程序，攻击者就可以使用控制器程序通过网络来控制主机。木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将效劳器程序安装到主机上的。网络平安的八大机制数据加密机制访问控制机制数据完整性机制数字签名机制实体认证机制业务填充机制路由控制机制公证机制数据加密机制密码技术是保障信息平安的核心技术。消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密。加了密的消息称为密文。而把密文转变为明文的过程称为解密。信息加密是保障信息平安的最根本、最核心的技术措施和理论根底。信息加密也是现代密码学主要组成局部。访问控制机制访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问，限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客的入侵。访问控制采用最小特权原那么：即在给用户分配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给用户赋予其工作范围之外的任何权力。自主访问控制DAC、强制访问控制MAC和基于角色的访问控制RBAC数据完整性机制是保护数据，以免未授权的数据乱序、丧失、重放、插入和纂改。数据完整性机制的两个方面单个数据单元或字段的完整性不能防止单个数据单元的重放数据单元串或字段串的完整性发送方发送方接收方接收方附加一个量附加一个量比较这个量比较这个量还要加上顺序号、时间标记和密码链还要加上顺序号、时间标记和密码链数字签名机制传统签名的根本特点:能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证数字签名是传统签名的数字化，根本要求:能与所签文件“绑定 签名者不能否认自己的签名 签名不能被伪造 容易被自动验证实体认证机制用于认证交换的技术认证信息，如口令密码技术被认证实体的特征为防止重放攻击，常与以下技术结合使用时间戳两次或三次握手数字签名路由控制机制路由控制机制可使信息发送者选择特殊的路由，以保证连接、传输的平安。其根本功能为：路由选择 路由可以动态选择，也可以预定义，以便只用物理上平安的子网、中继或链路进行连接和/或传输；路由连接 在监测到持续的操作攻击时，端系统可能同志网络效劳提供者另选路由，建立连接；平安策略 携带某些平安标签的数据可能被平安策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告，要求回避某些特定的子网、中继或链路进行连接和/或传输。业务填充机制所谓的业务填充即使在业务闲时发送无用的随机数据，增加攻击者通过通信流量获得信息的困难，是一种制造假的通信、产生欺骗性数据单元或在数据单元中产生数据的平安机制。该机制可用于提供对各种等级的保护，用来防止对业务进行分析，同时也增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能，能够以假乱真。该机制只有在业务填充受到保密性效劳时才有效。可利用该机制不断地在网络中发送伪随机序列,使非法者无法区分有用信息和无用信息。公证机制有关在两个或多个实体之间通信的数据的性质,如完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证。每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的效劳。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信和公证方进行通信普适性平安机制平安标签事件检测审计跟踪平安恢复信息加密技术信息加密技术信息加密技术密码学根底传统根底加密方法现代密码体制分类联邦数据加密标准DES欧洲加密标准IDEARSA公钥加密算法其他加密算法密码分析密码学开展历程密码学是一门古老的科学，大概自人类社会出现战争便产生了密码，以后逐渐形成一门独立的学科。密码学的开展历史大致可以分为三个阶段：在1949年之前，是密码开展的第一阶段古典密码体制。古典密码体制是通过某种方式的文字置换进行，这种置换一般是通过某种手工或机械变换方式进行转换，同时简单地使用了数学运算。虽然在古代加密方法中已表达了密码学的假设干要素，但它只是一门艺术，而不是一门科学。密码学开展历程从1949年到1975年，是密码学开展的第二阶段。1949年Shannon发表了题为?保密通信的信息理论?的著名论文，把密码学置于坚实的数学根底之上，标志着密码学作为一门学科的形成，这是密码学的第一次飞跃。然而，在该时期密码学主要用在政治、外交、军事等方面，其研究是在秘密地进行，密码学理论的研究工作进展不大，公开的发表的密码学论文很少。密码学开展历程1976年，WDiffie和MHellman在?密码编码学新方向?一文中提出了公开密钥的思想，这是密码学的第二次飞跃。1977年美国数据加密标准DES的公布使密码学的研究公开，密码学得到了迅速地开展。1994年美国联邦政府公布的密钥托管加密标准EES和数字签名标准DSS以及2001年公布的高级数据加密标准AES，都是密码学开展史上一个个重要的里程碑。密码学根本概念密码学包括两个方面：密码编码学(Cryptography)和密码分析学(Cryptanalytics)。密码编码学就是研究对数据进行变换的原理、手段和方法的技术和科学。密码分析学是为了取得秘密的信息，而对密码系统及其流动的数据进行分析，是对密码原理、手段和方法进行分析、攻击的技术和科学。密码学根本概念伪装变换之前的信息是原始信息，称为明文plain text；伪装之后的信息，看起来是一串无意义的乱码，称为密文cipher text。把明文伪装成密文的过程称为加密encryption，该过程使用的数学变换就是加密算法；将密文复原为明文的过程称为解密decryption，该过程使用的数学变换称为解密算法。加密与解密通常需要参数控制，该参数称为密钥，有时也称密码。加、解密密钥相同称为对称性或单钥型密钥，不同时就成为不对称或双钥型密钥。密码算法和密钥空间密码算法也叫密码，是用于加密和解密的数学函数。通常情况下，有两个相关的函数：一个用作加密，另一个用作解密。现代密码学用密钥解决了这个问题，密钥用K表示。K可以是很大范围的数值里的任意值。密钥K的可能值的范围叫做密钥空间。加密和解密运算都需要使用密钥即运算都依赖于密钥，并用K作为下标表示。对称密码体制和非对称密码体制当加/解密函数使用相同的密钥时，可以将它们表示为：EK(M)=C加密函数DK(C)=M解密函数其中，M表示明文，C表示密文，K表示密钥，Ek表示加密算法，Dk表示解密算法。对称密码体制具有以下特征：DK(EK(M)=M当加/解密函数使用不同的密钥时，可以将它们表示为：EK1(M)=C加密函数DK2(C)=M解密函数其中，M表示明文，C表示密文，K1表示加密密钥，K2表示解密密钥，Ek表示加密算法，Dk表示解密算法非对称密码体制具有以下特征：DK2(EK1(M)=M加密体制的分类按照保密的内容分：基于算法的加密方法：数据保密性基于保持算法的秘密基于密钥的加密方法：数据保密性基于对密钥的保密按照对明文的处理方式分组密码算法：将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出是固定长度的密文。序列密码算法：又称流密码，每次加密一位或一字节明文。平安性评价无条件平安性假设密文中不含明文的任何信息，那么认为该密码体制是平安的，否那么就认为是不平安的。已经证明，到达这样高等级完善的平安性，仅当所用密钥的长度不短于加密的发送消息的总长度才有可能。有条件平安性把搭线者提取明文信息的可能性改为搭线者提取明文信息的可行性，这种平安性称为有条件平安性，即搭线者在一定的计算资源条件下，他不能从密文恢复出明文。平安性评价攻击复杂性的度量数据复杂性，为攻击所需数据的攻击量。处理复杂性，执行攻击所须的时间，又称工作因子。存储需求，做攻击所须的存储量。加密算法的平安准那么破译该密码的本钱超过被加密信息的价值。破译该密码的时间超过该信息有用的生命周期。平安性评价1883年Kerchoffs第一次明确提出了编码的原那么：加密算法应建立在算法的公开不影响明文和密钥的平安的根底上。这一原那么已得到普遍成认，成为判定密码强度的衡量标准，实际上也成为古典密码和现代密码的分界线。违背Kerchoffs原那么不公开密码算法兼容性必须信任某个可信方如密码提供商一旦泄密，后果严重公开算法经历众人的分析、时间的考验，不会有太严重的缺陷传统根底加密方法置换密码Substitution Cipher换位密码Transposition Cipher置换密码在置换密码中，每个字母或每一组字母被另一个字母或另一组字母来取代，从而将明文中的字母掩盖起来，也就是在密文中将明文伪装起来。一种常用的方法是将明文字母表移动k个字母，例如k为3，即A变成D，B变成E，C变成F，Z变成C，此时k就是这种循环移动字母表的通用加密方法的密钥。根据映像方式的不同，可分为单表置换密码和多表置换密码。典型的置换密码：福尔摩斯探案集中的?跳舞的小人?换位密码换位密码又称代换密码，它不更改保持明文的字母，但是重新对字母进行排序，形成新的密文序列。典型的置换密码：美国南北战争时期1861-1865年，军队中曾经使用过的“栅栏式密码rail fence cipher)现代加密体制分类对称密钥体制非对称钥码体制混合密钥体制对称密钥算法的优缺点优点：加解密速度快。缺点：网络规模扩大后，密钥管理很困难；无法解决消息确认问题；缺乏自动检测密钥泄露的能力。非对称密钥算法的优缺点优点：可以适用网络的开放性要求，密钥管理相对简单；可以实现数字签名功能。缺点：算法一般比较复杂，加解密速度慢。混合密钥体制第一步，数据发送者A用对称密钥把需要发送的数据加密。第二步，A用B的公开密钥将对称密钥加密，形成数字信封，然后一起把加密数据和数字信封传给B。第三步，B收到A的加密数据和数字信封后，用自己的私钥将数字信封解密，获取A加密数据时的对称密钥。第四步B使用A加密的对称密钥把收到的加密数据解开。联邦数据加密标准DESDESData Encryption Standard，数据加密标准是由IBM公司研制的一种加密算法，美国国家标准局于1977年把它作为非机要部门使用的数据加密标准。近三十年来，它一直活泼在国际保密通信的舞台上，扮演了十分重要的角色，并经过不断的改进，形成一套较为完整的密码标准。DES是一个分组加密算法，它以64位为分组对数据加密。同时DES也是一个对称算法，即加密和解密用的是同一个算法。它的密钥长度是56位因为每个分组第8位都用作奇偶校验，可以是任意的56位的数，而且可以任意时候改变。虽然有极少量的数被认为是弱密钥，但是很容易避开。DES算法DES对64位的明文分组M进行操作，M经过一个初始转置被分成左半局部和右半局部M=(L0,R0)，两局部都是32位长。然后使用函数f对两局部进行16轮完全相同的迭代运算，在运算过程中将数据与密钥相结合。经过16轮迭代运算后，再将左、右两局部合在一起经过一个末置换，就产生了密文。3DES简介DES的分组长度太短仅64位、密钥长度更短仅56位，可以通过穷举也称野蛮攻击的方法在较短时间内破解。1978年初，IBM意识到DES的密钥太短，于是设计了一种方法，利用三重加密来有效增加密钥长度，加大解密代价，称为3DES。3DES 是DES算法扩展其密钥长度的一种方法，可使加密密钥长度扩展到128位112位有效或192位168位有效。其根本原理是将128位的密钥分为64位的两组，对明文屡次进行普通的DES加解密操作，从而增强加密强度。3DES的模式3DES有三种不同的模式DES-EEE3，使用3个不同的密钥进行加密；DES-EDE3，使用3个不同的密钥，对数据进行加密、解密、再加密。DES-EEE2和DES-EDE2，与前面模式相同，只是第1次和第3次使用同一个密钥。最常用的3DES是DES-EDE2。IDEA简介IDEAInternational Data Encryption Algorithm，国际数据解密算法是瑞士联邦理工学院的中国学者赖学嘉与著名的密码学专家James Massey等人提出的加密算法，在密码学中属于数据块加密算法Block Cipher类。IDEA使用长度为128位的密钥，数据块大小为64位。从理论上讲，IDEA属于强加密算法，至今还没有出现对IDEA进行有效攻击的算法。早在1990年，赖学嘉等人在EuroCrypt90年会上提出了PESProposed Encryption Standard，分组密码建议。在EuroCrypt91年会上，赖学嘉等人又提出了PES的修正版IPESImproved PES。目前IPES已经商品化，并改名为IDEA。IDEA已由瑞士的Ascom公司注册专利，以商业目的使用IDEA算法必须向该公司申请许可，因此其推广受到限制。RSA简介RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在MIT美国麻省理工学院开发的，1978年首次公布。RSA是目前最有影响的公钥加密算法，它能够抵抗到目前为止的所有密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。公开密钥密码体制，是由Whitfield Diffie 和Martin Hellman 1976年在国际计算时机议上首次提出来的，并进一步阐述了非对称密钥的思路：加密使用专门的加密密钥，解密使用专门的解密密钥；从其中一个密钥不可能导出另外一个密钥；使用选择明文攻击不能破解出加密密钥。RSA的缺点产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密运行速度慢为保证平安性，n 至少也要 600 bits 以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级，一般来说只用于少量数据加密；随着大数分解技术的开展，这个长度还在增加，不利于数据格式的标准化。目前，SET(Secure Electronic Transaction，平安电子交易)协议中要求CA采用比特长的密钥其它加密算法AESAdvanced Encryption Standard，高级加密标准ECCElliptic Curves Cryptography，椭圆曲线密码算法NTRUNumber Theory Research Unit密码分析密码分析：截收者在不知道解密密钥及通信者所采用的加密体制的细节条件下，对密文进行分析试图获取机密信息。密码分析在外交、军事、公安、商业等方面都具有重要作用，也是研究历史、考古、古语言学和古乐理论的重要手段之一。密码设计和密码分析是共生的、又是互逆的，两者密切有关但追求的目标相反。两者解决问题的途径有很大差异。密码分析密码设计是利用数学来构造密码，而密码分析除了依靠数学、工程背景、语言学等知识外，还要靠经验、统计、测试、眼力、直觉判断能力，有时还靠点运气。密码分析过程通常经验,统计(统计截获报文材料)、假设、推断和证实等步骤。破译(Break)或攻击(Attack)密码的方法：穷举破译法，又称作蛮力法分析法，有确定性和统计性两类穷举破译法是对截收的密报依次用各种可解的密钥试译，直到得到有意义的明文；或在不变密钥下，对所有可能的明文加密直到得到与截获密报一致为止，此法又称为完全试凑法。只要有足够多的计算时间和存储容量，原那么上穷举法总是可以成功的。但实际中，任何一种能保障平安要求的实用密码都会设计得使这一方法在实际上是不可行的。为了减少搜索计算量，可以采用较有效的改进试凑法。它将密钥空间划分成几个(例如，q个)等可能的子集，对密钥可能落入哪个子集进行判断，至多需进行q次试验。关键在于如何实现密钥空间的等概子集的划分。蛮力攻击 PK 密钥长度密钥长度（bit）密钥数量 每微秒加密1次所需时间 每微秒加密100万次所需时间 32 232=4.3 x 109 231us=35.8分 2.15微秒 56 256=7.2 x 1016 255us=1142年 10.01小时 128 2128=3.4 x 1038 2127us=5.4 x 1024年 5.4 x 1018年 26字符（排列）26!=4 x 1026 2 x 1026us=6.4 x 1012年 6.4 x 106年 分析法确定性分析法利用一个或几个量(比方，密文或明文-密文对)用数学关系式表示出所求未知量(如密钥等)。量和未知量的关系视加密和解密算法而定，寻求这种关系是确定性分析法的关键步骤。例如，以n级线性移存器序列作为密钥流的流密码，就可在2n bit密文下，通过求解线性方程组破译。统计分析法利用明文的统计规律进行破译的方法。密码破译者对截收的密文进行统计分析，总结出其间的统计规律，并与明文的统计规律进行对照比较，从中提取出明文和密文之间的对应或变换信息。密码分析密码分析之所以能够破译密码，最根本的是依赖于明文中的多余度，这是Shannon 1949年用他开创的信息论理论第一次透彻地说明的密码分析的根本问题。根据密码分析者可获取的信息量来分类，可将破译密码的类型分为以下四种下页 密码分析的类型根据密码分析者所能获得的信息的类型，可将密码分析分成以下几类：唯密文攻击cipher text only attack攻击者只有密文串，想求出明文或密钥。明文攻击known plaintext attack攻击者知道明文串及对应的密文串，想求出密钥或解密变换。选择明文攻击chosen plaintext attack攻击者不仅知道明文串及其对应密文串，而且可选择用于加密的明文，想求出密钥及解密变换。选择密文攻击chosen cipher text attack攻击者不仅知道明文串及对应密文串，且密文串由攻击者选择，想求出密钥及解密变换。消息摘要消息摘要消息摘要消息摘要的作用单向散列函数MD5算法SHA平安散列算法消息摘要的作用在网络平安目标中，要求信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丧失，因此需要一个较为平安的标准和算法，以保证数据的完整性。常见的消息摘要算法有：Ron Rivest设计的MDStandard For Message Digest，消息摘要标准算法NIST设计的SHASecure Hash Algorithm，平安散列算法单向散列函数 消息摘要算法采用单向散列hash函数从明文产生摘要密文。摘要密文又称为哈希函数、数字指纹Digital Fingerprint、压缩Compression函数、紧缩Contraction 函数、数据认证码DACData authentication code、篡改检验码MDCManipulation detection code。散列函数的输出值有固定的长度，该散列值是消息M的所有位的函数并提供错误检测能力，消息中的任何一位或多位的变化都将导致该散列值的变化。从散列值不可能推导出消息M，也很难通过伪造消息M来生成相同的散列值。单向散列函数的特点单向散列函数 H(M)作用于一个任意长度的数据M，它返回一个固定长度的散列h，其中h的长度为m，h称为数据M的摘要。单向散列函数有以下特点：给定M，很容易计算h；给定h，无法推算出M；除了单向性的特点外，消息摘要还要求散列函数具有“防碰撞性的特点：给定M，很难找到另一个数据N，满足H(M)=H(N)。单向散列函数的抗碰撞性抗碰撞性的能力表达出单向散列函数对抗生日攻击和伪造的能力。弱抗碰撞性Weak collision resistance：对于任意给定的M，找到满足MN且H(M)=H(N)的N，在计算上是不可行的；强抗碰撞性Strong collision resistance：找到任何满足Hx=Hy 的偶对x，y在计算上是不可行的。哈希函数分类根据平安水平弱无碰撞强无碰撞注：强无碰撞自然含弱无碰撞！根据是否使用密钥带秘密密钥的Hash函数：消息的散列值由只有通信双方知道的秘密密钥K来控制，此时散列值称作MAC(Message Authentication Code)不带秘密密钥的Hash函数：消息的散列值的产生无需使用密钥，此时散列值称作MDC(Message Detection Code)哈希函数-生日攻击如果采用传输加密的散列值和不加密的报文M，攻击者需要找到M-，使得H(M-)=H(M)，以便使用替代报文来欺骗接收者。一种基于生日悖论的攻击可能做到这一点，生日问题：一个教室中，最少应有多少个学生，才使至少有两人具有相同生日的概率不小于1/21/2？概率结果与人的直觉是相违背的。实际上只需2323人，即任找2323人，从中总能选出两人具有相同生日的概率至少为1/21/2生日攻击实例A准备两份合同M和M-，一份B会同意，一份会取走他的财产而被拒绝A对M和M-各做32处微小变化保持原意，分别产生232个64位hash值根据前面的结论，超过0.5的概率能找到一个M和一个M-，它们的hash值相同A提交M，经B审阅后产生64位hash值并对该值签名，返回给AA用M-替换M结论：Hash必须足够长 128，160，224，256，MD5算法Merkle于1989年提出hash function模型Ron Rivest于1990年提出MD41992年，Ron Rivest提出MD5RFC 1321在最近数年之前，MD5是最主要的hash算法现行美国标准SHA-1以MD5的前身MD4为根底输入：任意长度消息输出：128bit消息摘要处理：以512bit输入数据块为单位SHA平安散列算法1992年NIST制定了SHA128位1993年SHA成为标准FIPS PUB 1801994年修改产生SHA-1160位1995年SHA-1成为新的标准，作为SHA-1FIPS PUB 180-1/RFC 3174，为兼容AES的平安性，NIST发布FIPS PUB 180-2，标准化SHA-256，SHA-384和SHA-512输入：消息长度264输出：160bit消息摘要处理：以512bit输入数据块为单位根底是MD4消息认证的局限性消息认证可以保护信息交换双方不受第三方的攻击，但是它不能处理通信双方的相互攻击信宿方可以伪造消息并称消息发自信源方，信源方产生一条消息，并用和信源方共享的密钥产生认证码，并将认证码附于消息之后信源方可以否认曾发送过某消息，因为信宿方可以伪造消息，所以无法证明信源方确实发送过该消息在收发双方不能完全信任的情况下，引入数字签名来解决上述问题数字签名的作用相当于手写签名实体认证实体认证实体认证身份认证身份认证的作用基于共享密钥的认证基于公钥的认证身份认证协议实体认证的作用认证分为实体认证和消息认证。实体认证是对通信主体的认证，目的是识别通信方的真实身份，防止假冒，常用数字签名的方法；消息认证是对通信数据的认证，目的是验证消息在传送或存储过程中是否被篡改，一般用消息摘要的方法。常见实体认证方法主体特征认证。目前已有的方法包括：视网膜扫描、声音验证、指纹和手型识别器。这些识别系统能够检测指纹、签名、声音、零售图案这样的物理特征。口令机制。口令是相互约定的代码，假设只有用户和系统知道。口令可有用户选择或系统分配。验证时。用户先输入某标志信息如用户名，系统可以为用户生成一个一次性口令的清单。一次性口令。一次性口令系统允许用户每次登录时使用不同的口令。系统在用户登录时给用户提供一个随机数，用户将这个随机数送入口令发生器，口令发生器以用户的密钥对随机数加密，然后用户再将口令发生器输出的加密口令送入系统。系统再进行同样方法计算出一个结果，比较两个结果断定是否该身份有效。智能卡。访问不但需要口令，也需要物理智能卡。在允许进入系统之前需要检查其智能卡。智能卡内有微处理器和存储器，可已加密的形式保存卡的ID及其他身份认证数据。身份认证协议。通过网络协议对通信主体进行身份认证。不同的身份认证协议对于窃听、窜扰、重放和冒充等攻击手段具有不同的防御能力。实体认证的模型身份认证协议PAPCHAPKerberosX.509基于共享密钥的认证基于共享密钥的认证方式是：通信双方以共享密钥作为相互通信的依据，在相互通信过程中，为每一个新连接选择一个随机生成的会话密钥。主要通信数据采用会话密钥来加密，尽可能减少使用共享密钥加密的数据量，以减少窃听者获得的使用共享密钥加密的消息数量，降低共享密钥被破译的可能性。基于共享密钥的常见认证协议有：质询回应协议使用密钥分发中心的认证协议Needham-Schroeder认证协议Otway-Rees认证协议质询回应协议1A向B发送一个消息TA，表示想和B通话。2B无法判断这个消息是来自A还是其他人，因此B回应一个质询RB。RB是一个随机数。3A用与B共享的密钥KAB加密RB，得到密文KAB(RB)，再发送给B；B收到密文KAB(RB)，用自己同样拥有的KAB加密RB，比照结果，如果相同就确认了A的身份。此时B已完成了对A的单向认证。4A同样需要确定B的身份，于是发送一个质询RA给B。RA也是一个随机数。5B用与A共享的密钥KAB加密RA，得到密文KAB(RA)，再发送给A；A收到密文KAB(RA)，用自己同样拥有的KAB加密RA，比照结果，如果相同就确认了B的身份，完成了双向认证。6A确认B的身份之后，选取一个会话密钥KS，并且用KAB加密之后发送给B。使用密钥分发中心的认证协议通信双方A和B依靠密钥分发中心KDCKey Distribution Center实现身份认证。KDC拥有A的密钥KA和B的密钥KB。1A准备一个会话信息，其中指明了B的身份标识及会话密钥KS，使用A的密钥KA对会话信息进行加密，然后再连同A的身份标识一起发给KDC。2KDC收到消息后，根据A的身份标识找出A的密钥KA，解开会话信息获得B的身份标识及会话密钥KS；3KDC将A的身份标识及会话密钥KS产生一个新会话信息，使用B的密钥KB对会话信息进行加密，然后发给B。4B收到会话密钥KS后，使用KS直接和A进行平安加密通信。该协议的缺点是不能防范重放攻击。防范重发攻击的方案第一种方案是在每条消息中包含一个过期时间戳。接收者检查消息中的时间戳，如果发现过期，那么将消息丢弃。但是在网络上的时钟从来都不是精确同步的，所以时间戳的定义不好把握。定得太宽松，那么容易遭受重放攻击；定得太紧凑，那么消息容易过期。第二种方案是在每条消息之中放置一个临时值。每一方必须要记住所有此前出现过的临时值，如果某条消息中再次包含了以前用过的临时值，那么丢弃该消息。但是这样需要保存大量的临时值，而且机器有可能因某些原因丧失所有的临时值信息，从而遭受重发攻击。可以采用将时间戳和临时值结合起来，以便减少需要记录的临时值，但协议实现稍微有些复杂。第三种方式是采用较为复杂的多路质询回应协议，其中的典型是Needham-Schroeder认证协议。Needham-Schroeder认证协议1A想和B通信，首先产生一个大的随机数RA作为临时值，向KDC发送消息M(RA,A,B)；2KDC产生一个会话密钥KS，再用B的密钥KB加密(A,KS)，作为下轮A发给B的票据KB(A,KS)，然后再用A的密钥KA加密(RA,B,KS,KB(A,KS)，发送给A；3A用自己的密钥KA解密密文，获取KS和KB(A,KS)；然后产生一个新的随机数RA2，用KDC发过来的KS加密RA2，将票据KB(A,KS)和KS(RA2)发给B；4B接收到消息用自己的密钥KB解密密文KB(A,KS)得到KS，再用KS解密密文KSRA2)得到RA2；然后用KS加密(RA2-1)并产生随机数RB，再发回给A。5A收到消息后确认了B的身份，再向B发送KS(RB-1)。B收到消息后也可以确认A的身份。Otway-Rees认证协议基于公钥的认证1A首先生成质询信息RA，RA是一个随机数；接着A用B的公钥KB加密会话信息A,RA，然后发给B。2B用自己的私钥解出A,RA，再生成质询信息RB和会话密钥KS，接着B用A的公钥KA加密会话信息RA,RB,KS，然后发给A。3A用自己的私钥解出RA,RB,KS，核对RA无误后，用KS加密RB，然后发给B。B收到后用KS解出RB，核对无误后完成双向认证。身份认证协议PAPCHAPKerberosX.509数字签名与数字水印数字签名与数字水印数字签名与数字水印数字签名与数字水印消息认证的局限性数字签名的概念和作用RSA数字签名算法DSS数字签名标准盲签名与群签名数字水印消息认证的局限性消息认证可以保护信息交换双方不受第三方的攻击，但是它不能处理通信双方的相互攻击信宿方可以伪造消息并称消息发自信源方，信源方产生一条消息，并用和信源方共享的密钥产生认证码，并将认证码附于消息之后信源方可以否认曾发送过某消息，因为信宿方可以伪造消息，所以无法证明信源方确实发送过该消息在收发双方不能完全信任的情况下，引入数字签名来解决上述问题数字签名的作用相当于手写签名数字签名的概念和作用在公钥体制中，用接受者的公钥加密消息得到密文，接受者用自己的私钥解密密文得到消息。加密过程任何人都能完成，解密过程只有接受者能够完成。考虑一种相反的过程，发送者用自己的私钥“加密消息得到“密文，然后利用发送者的公钥“解密密文得到消息。很显然，加密只有发送者能够完成，而解密任何人都可以完成。所以，任何人都可相信是特定的发送者产生了该消息，这就相当于“签名，证明一个消息的所属。数字签名的概念和作用随着计算机通信网的开展，人们希望通过电子设备实现快速、远距离的交易，数字(或电子)签名法应运而生，并开始用于商业通信系统，如电子邮递、电子转账和办公自动化等系统。随着计算机网络的开展，过去依赖于手书签名的各种业务都可用这种电子数字签名代替，它是实现电子贸易、电子支票、电子货币、电子购物、电子出版及知识产权保护等系统平安的重要保证数字签名的特点传统签名的根本特点与被签的文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造容易被验证数字签名是传统签名的数字化能与所签文件“绑定签名者不能否认自己的签名容易被自动验证签名不能被伪造数字签名的主要特征数字签名必须具有下述特征收方能够确认或证实发方的签名，但不能伪造，简记为R1-条件unforgeable发方发出签名的消息给收方后，就不能再否认他所签发的消息，简记为S-条件(non-repudiation)收方对已收到的签名消息不能否认，即有收报认证，简记作R2-条件第三者可以确认收发双方之间的消息传送，但不能伪造这一过程，简记作T-条件数字签名与消息认证的区别与手书签名的区别：手书签名是模拟的，且因人而异。与手书签名的区别：手书签名是模拟的，且因人而异。数字签名是数字签名是0 0和和1 1的数字串，因消息而异。的数字串，因消息而异。与消息认证的的区别：消息认证使收方能验证消息发送与消息认证的的区别：消息认证使收方能验证消息发送者及所发消息内容是否被窜改正。当收发者之间没有利者及所发消息内容是否被窜改正。当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。但害冲突时，这对于防止第三者的破坏来说是足够了。但当收者和发者之间有利害冲突时，就无法解决他们之间当收者和发者之间有利害冲突时，就无法解决他们之间的纠纷，此时须借助满足前述要求的数字签名技术。的纠纷，此时须借助满足前述要求的数字签名技术。与消息加密区别：消息加密和解密可能是一次性的，它与消息加密区别：消息加密和解密可能是一次性的，它要求在解密之前是平安的；而一个签名的消息可能作为要求在解密之前是平安的；而一个签名的消息可能作为一个法律上的文件，如合同等，很可能在对消息签署多一个法律上的文件，如合同等，很可能在对消息签署多年之后才验证其签名，且可能需要屡次验证此签名。因年之后才验证其签名，且可能需要屡次验证此签名。因此，签名的平安性和防伪造的要求更高些，且要求证实此，签名的平安性和防伪造的要求更高些，且要求证实速度比签名速度还要快，特别是联机在线实时验证。速度比签名速度还要快，特别是联机在线实时验证。数字签名的分类根据签名的内容分对整体消息的签名对压缩消息的签名按明、密文的对应关系划分确定性(Deterministic)数字签名，其明文与密文一一对应，它对一特定消息的签名不变化，如RSA、Rabin等签名；随机化的(Randomized)或概率式数字签名数字签名常见算法普通数字签名算法RSAElGamal/DSS/DSAECDSA盲签名算法群签名算法RSA算法的签名和验证过程RSA签名方案密钥的生成同加密系统公钥Pk=e,n；私钥Sk=d,n签名过程(用私钥d,n)明文：Mn 密文：S=Md mod n验证过程(用公钥e,n)给定M，S，Ver(M,S)为真，当且仅当M=Se mod n平安性由于只有签名者知道d，其他人不能伪造签名，但可易于证实所给任意M，S对是否是消息M和相应签名构成的合法对数字签名标准DSS美国国家标准与技术研究所NIST发布的联邦信息处理标准FIPS186，称为数字签名标准DSS(Digital Signature Standard)于1991年最初提出，1994年12月1日采纳为标准DSS，2000年发布DSS的扩充版，即FIPS 186-2DSS为EIGamal和Schnorr签名方案的改进，其使用的算法记为DSADigital Signature Algorithm)。此算法由D.W.Kravitz设计。DSS使用了SHA，平安性是基于求离散对数的困难性DSS和DSA是有所不同的：前者是一个标准，后者是标准中使用的算法只能用于数字签名，不能用于加密或密钥分配平安性基于基于离散对数难题 DSS是一个产生签名比验证签名快得多的方案，验证签名太慢！DSS的签名和验证过程DSS采用的是SHA散列函数计算消息摘要D。签名方在签名时，将消息摘要D和一个随机数k一起作为签名函数的输入。签名函数使用发送方的私钥Ks和一组公共参数P，产生两个输出s，r作为签名结果。验证方就是通过比较接收到的签名结果与自己计算出来的签名结果，根据它们是否相等来判断签名的有效性。数字签名算法DSA全局公钥p，q，gp为5121024bit的大素数，q是q1的素因子，为160比特的素数g=h(p-1)/q mod p，且1 h 1用户私钥x：x为0 x Dt+RtP2DR动态可适应平安模型P2DR模型根本上表达了比较完整的信息平安体系的思想，勾画出信息平安体系建立之后一个良好的表现形态。近十年来，该模型被普遍使用。不过，P2DR也有不够完善或者说不够明确的地方，那就是对系统恢复的环节没有足够重视。在P2DR模型中，恢复Recovery环节是包含在响应Response环节中的，作为事件响应之后的一项处理措施，不过，随着人们对业务连续性和灾难恢复愈加重视，尤其是911恐怖事件发生之后，人们对P2DR模型的认识也就有了新的内容，于是，PDRR模型就应运而生了。PDRR模型PDRR模型，或者叫PPDRR或者P2DR2，与P2DR唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR模型中，平安策略、防护、检测、响应和恢复共同构成了完整的平安体系。保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息平安保障体系必须从平安的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，平安保障体系才能真正成为指导平安方案设计和建设的有力依据。PDRR模型保保护检测恢复恢复响响应信息信息保障保障采用一切手段主要指静采用一切手段主要指静态防防护手段保手段保护信息系信息系统的五大特性。的五大特性。及及时恢复系恢复系统，使其尽快正常，使其尽快正常对外提供效外提供效劳，是降低网，是降低网络攻攻击造成造成损失的有效途径失的有效途径对危及网危及网络平安的事件和行平安的事件和行为做出反响，阻止做出反响，阻止对信息系信息系统的的进一步破坏并使一步破坏并使损失降到最低失降到最低检测本地网本地网络的平安漏洞和存在的非的平安漏洞和存在的非法信息流，从而有效阻止网法信息流，从而有效阻止网络攻攻击PDRR模型PDRR也是基于时间的动态模型，其中，恢复环节对于信息系统和业务活动的生存起着至关重要的作用，组织只有建立并采用完善的恢复方案和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业务。WPDRRC模型人员人员策略策略技术技术响应响应R恢复恢复R保护保护P预警预警W检测检测D还击还击CWPDRRC平安体系模型我国863信息平安专家组博采众长推出该模型全面涵盖了各个平安因素，突出了人、策略、管理的重要性，反映了各个平安组件之间的内在联系。人核心政策包括法律、法规、制度、管理桥梁技术落实在WPDRRC六个环节的各个方面，在各个环节中起作用WPDRRC模型WarningWarning：