信息安全原理與技術ch07網絡安全協(xié)議課件

1、2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議1信息安全原理與技術信息安全原理與技術郭亞軍 宋建華 李莉2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議2第第7章章 網絡安全協(xié)議網絡安全協(xié)議 主要知識點：主要知識點： -簡單的安全認證協(xié)議簡單的安全認證協(xié)議 - Kerberos協(xié)議協(xié)議 - SSL協(xié)議協(xié)議 - IPSec協(xié)議協(xié)議 - PGP 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議3網絡安全協(xié)議網絡安全協(xié)議按照其完成的功能可以分為:（1）密鑰交換協(xié)議密鑰交換協(xié)議 :一般情況下是在參與協(xié)議的兩個或者多個實體之間建立共享的秘密，通常用于建立在一次通信中所使用的會話

2、密鑰。 （2）認證協(xié)議認證協(xié)議:認證協(xié)議中包括實體認證（身份認證）協(xié)議、消息認證協(xié)議、數(shù)據源認證和數(shù)據目的認證協(xié)議等，用來防止假冒、篡改、否認等攻擊。 （3）認證和密鑰交換協(xié)議認證和密鑰交換協(xié)議 ：這類協(xié)議將認證和密鑰交換協(xié)議結合在一起，是網絡通信中最普遍應用的安全協(xié)議。該類協(xié)議首先對通信實體的身份進行認證，如果認證成功，進一步進行密鑰交換，以建立通信中的工作密鑰，也叫密鑰確認協(xié)議。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議4 網絡層的安全協(xié)議：網絡層的安全協(xié)議：IPSecIPSec 傳輸層的安全協(xié)議：傳輸層的安全協(xié)議：SSL/TLSSSL/TLS 應用層的安全協(xié)議應用層的安全

3、協(xié)議： SHTTPSHTTP（Web安全協(xié)議） PGPPGP(電子郵件安全協(xié)議) S/MIMES/MIME(電子郵件安全協(xié)議) MOSSMOSS(電子郵件安全協(xié)議) PEMPEM(電子郵件安全協(xié)議) SSHSSH（遠程登錄安全協(xié)議） Kerberos Kerberos(網絡認證協(xié)議)等。 常見的網絡安全協(xié)議常見的網絡安全協(xié)議2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議57.17.1簡單的安全認證協(xié)議簡單的安全認證協(xié)議 Needham-Schroeder Needham-Schroeder 認證協(xié)議認證協(xié)議 是最為著名的早期的認證協(xié)議，許多廣泛使用的認證協(xié)議都是以Needham-Sc

4、hroeder協(xié)議為基礎而設計的。 Otway-ReesOtway-Rees協(xié)議協(xié)議 Otway-Rees協(xié)議的主要功能是完成身份的雙向認證，使用對稱密碼。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議67.1.1 7.1.1 Needham-Schroeder Needham-Schroeder 認證協(xié)議認證協(xié)議 Needham-Schroder協(xié)議的目的是使得通訊雙方能夠互相證實對方的身份并且為后續(xù)的加密通訊建立一個會話密鑰(session key)。 協(xié)議涉及三個主體：A和B，以及A，B信賴的可信第三方，也叫認證服務器(authentication server)S。2022

5、-3-6信息安全原理與技術ch07-網絡安全協(xié)議7 Needham和Schroeder于1978年提出的基于共享密基于共享密鑰體系的協(xié)議過程：鑰體系的協(xié)議過程： 圖7.1 Needham-Schroeder認證過程 其中，Kas是A與S之間的共享密鑰，Kbs是B與S之間的共享密鑰。Kab 是認證服務器臨時生成的密鑰，用于A、B雙方認證之后的加密通訊，稱為會話密鑰。Na和Nb分別是A和B生成的隨機量(nonce)。 ABS13452(1) A S：A,B,Na(2)S A：Na, B,Kab,Kab, AKbsKas(3) A B：Kab,AKbs(4) B A：NbKab(5) A B：Nb-

6、1Kab2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議8 Needhaul-Scllroeder Needhaul-Scllroeder共享密鑰協(xié)議的漏洞共享密鑰協(xié)議的漏洞 假定有攻擊者H記錄下A與B之間執(zhí)行Needham-Schroeder 共享密鑰協(xié)議的一輪消息，并且進而破獲了其會話密鑰Kab （如經過蠻力攻擊等），攻擊者可以在第3步冒充A利用舊的會話密鑰欺騙B。在這個攻擊中，攻擊者H首先向B發(fā)送一個他記錄的從A發(fā)出的舊消息，此消息用于向B表明是A在與B通訊并且Kab是會話密鑰。B無法知道這是不是一個A發(fā)送的正常通訊請求，也不記得他過去曾經用過Kab作為會話密鑰。遵循協(xié)議，B將向

7、A發(fā)送一個加密的新隨機量作為挑戰(zhàn)。H截獲之，并用Kab 解密得到此隨機量，然后向B返回一個響應消息，使得B相信他正在用會話密鑰 Kab與A通訊，而實際上A根本沒有參加這一輪協(xié)議的運行。除非B記住所有以前使用的與A通信的會話密鑰，否則B無法判斷這是一個重放攻擊，攻擊者由此可以隨意冒充A與B進行通訊了! 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議9 Denning協(xié)議協(xié)議使用時間戳修正了這個漏洞，改進的協(xié)議如下： 其中T表示時間戳。T記錄了認證服務器S發(fā)送消息(2)時的時間，A、B根據時間戳驗證消息的“新鮮性”，從而避免了重放攻擊。 (1) A S：A,B( 2 ) S A： B ,

8、 K a b , T ,K a b , A,TKbsKas(3) A B：Kab,A,TKbs(4) B A：NbKab(5) A B：Nb-1Kab2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議107.1.2 7.1.2 Otway-ReesOtway-Rees協(xié)議協(xié)議 圖7.2 Otway-Rees認證過程 標號1表示A產生一消息，包括用和S共享的密鑰Kas加密的一個索引號R、A的名字、B的名字和一隨機數(shù)Ra。 標號2表示B用A消息中的加密部分構造一條新消息。包括用和S共享的密鑰Kbs加密的一個索引號R、A的名字、B的名字和一新隨機數(shù)Rb。ABS12342022-3-6信息安全原

9、理與技術ch07-網絡安全協(xié)議11 標號3表示S檢查兩個加密部分中的索引號R是否相同，如果相同，就認為從B來的消息是有效的。S產生一個會話密鑰Ks用Kb和Ka分別加密后傳送給B，每條消息都包含S接收到的隨機數(shù)。 標號4表示B把用A的密鑰加密的消息連同索引號R一起傳給A。2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議127.2 7.2 KerberosKerberos協(xié)議協(xié)議 在一個開放的分布式網絡環(huán)境中，用戶通過工作站訪問服務器上提供的服務時， 一方面，工作站無法可信地向網絡服務證實用戶的身份，可能存在著以下三種威脅： 用戶可能訪問某個特定工作站，并假裝成另一個用戶在操作工作站。 用

10、戶可能會更改工作站的網絡地址，使從這個已更改的工作站上發(fā)出的請求看似來自偽裝的工作站。 用戶可能竊聽他人的報文交換過程，并使用重放攻擊來獲得對一個服務器的訪問權或中斷服務器的運行。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議13 另一方面，在開放的網絡環(huán)境中，客戶也必須防止來自服務端的欺騙。 以自動取款機ATM為例，如果存在欺騙，那么客戶將泄漏自己的帳戶信息。 如何使用一個集中的認證服務器，提供用戶對服務器的認證以及服務器對用戶的認證，這就是Kerberos要解決的問題。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議147.2.1 7.2.1 KerberosKerb

11、eros概述概述 Kerberos是由美國麻省理工學院(MIT)提出的基于可信賴的第三方的認證系統(tǒng)，它是基于Needham-Schroeder協(xié)議設計的，采用對稱密碼體制。 Kerberos一詞源自希臘神話，在希臘神話故事中，Kerberos是一種長有三個頭的狗，還有一個蛇形尾巴，是地獄之門的守衛(wèi)者?，F(xiàn)代取Kerberos這個名字意指要有三個“頭”來守衛(wèi)網絡之門，這“三頭”包括： -認證認證(authentication) -清算清算(accounting) -審計審計(audit) 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議15KerberosKerberos協(xié)議中的一些概念協(xié)

12、議中的一些概念 Principal(Principal(安全個體安全個體) ) 被鑒別的個體，有一個名字(name)和口令(password)。KDC(Key distribution centerKDC(Key distribution center，密鑰分配中心密鑰分配中心) 可信的第三方，即Kerberos服務器，提供ticket和臨時的會話密鑰。TicketTicket（訪問許可證）訪問許可證） 是一個記錄憑證，客戶可以用它來向服務器證明自己的身份，其中包括客戶的標識、會話密鑰、時間戳，以及其他一些信息。Ticket中的大多數(shù)信息都被加密，密鑰為服務器的密鑰。2022-3-6信息安全原

13、理與技術ch07-網絡安全協(xié)議16AuthenticatorAuthenticator（認證符）認證符） 是另一個記錄憑證，其中包含一些最近產生的信息，產生這些信息需要用到客戶和服務器之間共享的會話密鑰。CredentialsCredentials（證書）證書） 由一個ticket加上一個秘密的會話密鑰組成。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議177.2.2 7.2.2 KerberosKerberos協(xié)議的工作過程協(xié)議的工作過程 KerberosKerberos基本思想基本思想 采用對稱密鑰體制對信息進行加密，能正確對信息進行解密的用戶就是合法用戶。用戶在對應用服務器進

14、行訪問之前，必須先從第三方（Kerberos 服務器）獲取該應用服務器的訪問許可證（ticket）。 認證服務器認證服務器ASAS(Authentication Server) 許可證頒發(fā)服務器許可證頒發(fā)服務器TGSTGS(Ticket Granting Server)2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議187.2.2 7.2.2 KerberosKerberos協(xié)議的工作過程協(xié)議的工作過程 認證服務器認證服務器AS許可證頒發(fā)服務器許可證頒發(fā)服務器TGS用戶用戶C應用服務應用服務器器V圖7.3 Kerberos的認證過程 2022-3-6信息安全原理與技術ch07-網絡安全

15、協(xié)議19 用戶想要獲取訪問某一應用服務器的許可證時，先以明文方式向認證服務器AS發(fā)出請求，要求獲得訪問TGS的許可證。 AS以證書（credential）作為響應，證書包括訪問TGS的許可證和用戶與TGS間的會話密鑰。會話密鑰以用戶的密鑰加密后傳輸。 用戶解密得到TGS的響應，然后利用TGS的許可證向TGS申請應用服務器的許可證，該申請包括TGS的許可證和一個帶有時間戳的認證符（authenticator）。認證符以用戶與TGS間的會話密鑰加密。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議20 TGS從許可證中取出會話密鑰、解密認證符，驗證認證符中時間戳的有效性，從而確定用戶的請

16、求是否合法。TGS確認用戶的合法性后，生成所要求的應用服務器的許可證，許可證中含有新產生的用戶與應用服務器之間的會話密鑰。TGS將應用服務器的許可證和會話密鑰傳回到用戶。 用戶向應用服務器提交應用服務器的許可證和用戶新產生的帶時間戳的認證符（認證符以用戶與應用服務器之間的會話密鑰加密）。 應用服務器從許可證中取出會話密鑰、解密認證符，取出時間戳并檢驗有效性。然后向用戶返回一個帶時間戳的認證符，該認證符以用戶與應用服務器之間的會話密鑰進行加密。據此，用戶可以驗證應用服務器的合法性。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議21 KerberosKerberos的主要優(yōu)點：的主要優(yōu)

17、點： 通過對實體和服務的統(tǒng)一管理實現(xiàn)單一注冊，也就是說用戶通過在網絡中的一個地方的一次登錄就可以使用網絡上他可以獲得的所有資源。 KerberosKerberos存在的問題：存在的問題：Kerberos服務器的損壞將使得整個安全系統(tǒng)無法工作；AS在傳輸用戶與TGS間的會話密鑰時是以用戶密鑰加密的，而用戶密鑰是由用戶口令生成的，因此可能受到口令猜測的攻擊；Kerberos使用了時間戳，因此存在時間同步問題；要將Kerberos用于某一應用系統(tǒng)，則該系統(tǒng)的客戶端和服務器端軟件都要作一定的修改。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議227.3 7.3 SSLSSL協(xié)議協(xié)議 SSL

18、SSL（安全套接字層，Secure Socket Layer）協(xié)議是網景（Netscape）公司提出的基于WEB應用的安全協(xié)議，是一種用于傳輸層安全的協(xié)議。傳輸層安全協(xié)議的目的是為了保護傳輸層的安全，并在傳輸層上提供實現(xiàn)保密、認證和完整性的方法。 SSL指定了一種在應用程序協(xié)議(例如http、telnet、NNTP、FTP)和TCP/IP之間提供數(shù)據安全性分層的機制。它為TCP/IP連接提供數(shù)據加密、服務器認證、消息完整性以及可選的客戶機認證。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議237.3.1 7.3.1 SSLSSL協(xié)議概述協(xié)議概述 圖7.4 SSL的體系結構 SSL握

19、手協(xié)議SSL修改密文協(xié)議SSL告警協(xié)議HTTPSSL記錄協(xié)議TCPIP2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議24 SSL中有兩個重要概念： SSLSSL連接連接：連接是提供恰當類型服務的傳輸。SSL連接是點對點的關系，每一個連接與一個會話相聯(lián)系。 SSLSSL會話：會話：SSL會話是客戶和服務器之間的關聯(lián)，會話通過握手協(xié)議(在SSL協(xié)議的高層)來創(chuàng)建。會話定義了加密安全參數(shù)的一個集合，該集合可以被多個連接所共享。會話可以用來避免為每個連接進行昂貴的新安全參數(shù)的協(xié)商。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議257.3.2 7.3.2 SSLSSL記錄協(xié)議記錄協(xié)

20、議 SSL SSL從應用層取得的數(shù)據需要重定格式（分片、可選的壓縮、應用MAC、加密等）后才能傳給傳輸層進行發(fā)送。同樣，當SSL協(xié)議從傳輸層接收到數(shù)據后需要對其進行解密等操作后才能交給上層的應用層。這個工作是由SSL記錄協(xié)議完成的。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議26上層報文分片1分片2分片n壓縮(可選）加密增加MAC增加SSL記錄首部圖7.6 SSL記錄協(xié)議的發(fā)送方執(zhí)行的操作步驟2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議27 SSL記錄協(xié)議中發(fā)送方發(fā)送方執(zhí)行的操作步驟：從上層接受傳輸?shù)膽脠笪?；分片：將?shù)據分片成可管理的塊，每個上層報文被分成16KB或

21、更小的數(shù)據塊；進行數(shù)據壓縮(可選)：壓縮是可選的，壓縮的前提是不能丟失信息，并且增加的內容長度不能超過1024字節(jié)，缺省的壓縮算法為空；應用MAC：加入信息認證碼（MAC），這一步需要用到共享的密鑰；加密：利用IDEA、DES、3DES或其他加密算法對壓縮報文和MAC碼進行數(shù)據加密；增加SSL首部：增加由內容類型、主要版本、次要版本和壓縮長度組成的首部。將結果傳輸?shù)较聦印?2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議28 SSL記錄協(xié)議中接收方接收數(shù)據的工作過程從低層接受報文；解密； 用事先商定的MAC碼校驗數(shù)據；如果是壓縮的數(shù)據，則解壓縮；重裝配數(shù)據；傳輸信息到上層。 2022-

22、3-6信息安全原理與技術ch07-網絡安全協(xié)議297.3.3 7.3.3 SSLSSL修改密文規(guī)約協(xié)議修改密文規(guī)約協(xié)議 SSL修改密文規(guī)約協(xié)議用來發(fā)送修改密文規(guī)約協(xié)議信息。任何時候客戶都能請求修改密碼參數(shù)，比如握手密鑰交換。在修改密文規(guī)約的通告發(fā)出以后，客戶方就發(fā)出一個握手密鑰交換信息（如果可得到的話），鑒定認證信息，服務器則在處理了密鑰交換信息之后發(fā)送一個修改密文規(guī)約信息。此后，新的雙方約定的密鑰就將一直使用到下次提出修改密鑰規(guī)約請求為止。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議307.3.4 7.3.4 SSLSSL告警協(xié)議告警協(xié)議 SSL告警協(xié)議是用來將SSL有關的告警

23、傳送給對方實體的。和其他使用SSL的情況一樣，告警報文按照當前狀態(tài)說明被壓縮和加密。 SSL告警協(xié)議的每個報文由兩個字節(jié)組成。第一個字節(jié)的值用來表明警告的的級別，第二個字節(jié)表示特定告警的代碼。如果在通信過程中某一方發(fā)現(xiàn)任何異常，就需要給對方發(fā)送一條警示消息通告。 警示消息有兩種:一種是 Fatal錯誤,如傳遞數(shù)據過程中，發(fā)現(xiàn)錯誤的MAC，雙方就需要立即中斷會話，同時消除自己緩沖區(qū)相應的會話記錄；第二種是Warning消息，這種情況，通信雙方通常都只是記錄日志，而對通信過程不造成任何影響。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議317.3.5 7.3.5 SSLSSL握手協(xié)議握

24、手協(xié)議 一個SSL會話工作在不同的狀態(tài)，即會話狀態(tài)和連接狀態(tài)。 會話狀態(tài)會話狀態(tài)：會話標識符對方的證書壓縮方法密文規(guī)約主密鑰可重新開始標志 連接狀態(tài)連接狀態(tài)：服務器和客戶隨機數(shù)服務器寫MAC密鑰客戶寫MAC密鑰服務器寫密鑰客戶寫密鑰初始化向量序號2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議32 SSL握手協(xié)議用于鑒別初始化和傳輸密鑰，它使得服務器和客戶能相互鑒別對方的身份，并保護在SSL記錄中發(fā)送的數(shù)據。因此在傳輸任何應用數(shù)據前，都必須使用握手協(xié)議。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議33圖7.7 SSL握手過程 SSL客戶端SSL服務器端發(fā)送”hello”消

25、息傳送數(shù)據回復”hello”消息,發(fā)出服務器證書,服務器密鑰交換信息,證書請求,服務器HELLO DONE發(fā)送證書,客戶密鑰交換信息,證書驗證信息,結束發(fā)修改密文規(guī)約信息結束發(fā)修改密文規(guī)約信息傳送數(shù)據214352022-3-6信息安全原理與技術ch07-網絡安全協(xié)議34SSLSSL握手的詳細過程握手的詳細過程 第一步：客戶發(fā)出一個帶有客戶HELLO信息的連接請求。這信息包括：想要使用的SSL版本號。時間信息，以標準的UNIX32位格式標識的現(xiàn)時和日期。會話標識（可選），如果沒有指定的話，則服務器便重用上一次的會話標識或返回一個錯誤信息密文組（客戶方所支持的各種加密算法選項清單。包括認證碼、密鑰

26、交換方法、加密和MAC算法）。客戶方所支持的壓縮算法。隨機數(shù)。2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議35SSL握手的詳細過程 第二步：服務器評估客戶方發(fā)來的HELLO信息中的各項參數(shù)，并且返回一個服務器方的HELLO信息，其中含有服務器選來用于SSL會話的各項參數(shù)（版本號、時間信息、以標準的UNIX32位格式標識的現(xiàn)時和日期、會話標識、密文組、壓縮方法、隨機數(shù)）。 在服務器HELLO信息之后，服務器發(fā)出如下信息：服務器證書，如果服務器需要被鑒別的話。服務器密鑰交換信息，如果得不到證書或證書僅僅用作簽名的話。證書請求，如果客戶要求被鑒別的話。 最后，服務器發(fā)出一個服務器HELL

27、O DONE信息，開始等待客戶的回音。2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議36SSL握手的詳細過程 第三步：客戶發(fā)送下列信息：如果服務器發(fā)出了一個證書請求，那么客戶方必須發(fā)送一個證書或非證書信息。如果服務器發(fā)送了一個服務器密鑰交換信息，那么客戶方就發(fā)送一個基于公鑰算法的由HELLO信息決定的密鑰交換信息。如果客戶方已經發(fā)送了一個證書，那么客戶方就需驗證服務器方的證書并且發(fā)出一個證書驗證信息指明結果。 然后，客戶方發(fā)出一個結束信息，指出協(xié)商過程已經完成。客戶方還發(fā)送一個修改密文規(guī)約信息來產生共享的常規(guī)密鑰。應該注意這部分工作不是由握手協(xié)議控制，是由修改密文規(guī)約協(xié)議管理的。20

28、22-3-6信息安全原理與技術ch07-網絡安全協(xié)議37SSL握手的詳細過程 第四步：服務器發(fā)出一個結束信息指出協(xié)商協(xié)商階段完成。然后服務器發(fā)出一個密文修改規(guī)約信息。 第五步：會話雙方分別產生一個加密密鑰，然后他們再根據這些密鑰導出會話主密鑰。握手協(xié)議改變狀態(tài)至連接狀態(tài)。所有從應用層的來的數(shù)據傳輸作為特定信息傳輸給對方。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議387.3.6 7.3.6 TLSTLS協(xié)議協(xié)議 傳輸層安全TLS(Transport Layer Security)協(xié)議是IETF正在定義一種新的協(xié)議。它建立在Netscape所提出的SSL3.0協(xié)議規(guī)范基礎上。 兩個

29、互相不知其代碼的應用程序可用TLS來安全地通信。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議3.7 SSL協(xié)議應用協(xié)議應用 一個使用WEB客戶機和服務器的范例 WEB客戶機通過連接到一個支持SSL的服務器，啟動一次SSL會話。支持SSL的典型WEB服務器在一個與標準HTTP請求（默認為端口80）不同的端口（默認為443）上接受SSL連接請求。當客戶機連接到這個端口上時，它將啟動一次建立SSL會話的握手。當握手完成之后，通信內容被加密，并且執(zhí)行消息完整性檢查，直到SSL會話過期。SSL創(chuàng)建一個會話，在此期間，握手必須只發(fā)生過一次。2022-3-6信息安全原理與技術

30、ch07-網絡安全協(xié)議40 步驟1：SSL客戶機連接到SSL服務器，并要求服務器驗證它自身的身份。 步驟2：服務器通過發(fā)送它的數(shù)字證書證明其身份。這個交換還可以包括整個證書鏈，直到某個根證書權威機構(CA)。通過檢查有效日期并確認證書包含有可信任CA的數(shù)字簽名，來驗證證書。 步驟3：服務器發(fā)出一個請求，對客戶端的證書進行驗證。但是，因為缺乏公鑰體系結構，當今的大多數(shù)服務器不進行客戶端認證。2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議41 步驟4：協(xié)商用于加密的消息加密算法和用于完整性檢查的哈希函數(shù)。通常由客戶機提供它支持的所有算法列表，然后由服務器選擇最強健的加密算法。 步驟5：客

31、戶機和服務器通過下列步驟生成會話密鑰：a.客戶機生成一個隨機數(shù)，并使用服務器的公鑰（從服務器的證書中獲得）對它加密，發(fā)送到服務器上。b.服務器用更加隨機的數(shù)據（從客戶機的密鑰可用時則使用客戶機密鑰；否則以明文方式發(fā)送數(shù)據）響應。c.使用哈希函數(shù)，從隨機數(shù)據生成密鑰。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議42SSLSSL協(xié)議的優(yōu)點協(xié)議的優(yōu)點 機密性機密性 即連接是私有的。在初始握手階段，雙方建立對稱密鑰后，信息即用該密鑰加密。 完整性完整性 在信息中嵌入信息鑒別碼（MAC）來保證信息的完整性。其中使用了安全哈希函數(shù)（例如SHA和MD5）來進行MAC計算。 鑒別鑒別 在握手階段

32、，客戶鑒別服務器用不對稱密鑰或公開密鑰。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議43SSLSSL協(xié)議的不足協(xié)議的不足 SSL要求對每個數(shù)據進行加密和解密操作，因而在帶來高性能的同時，對系統(tǒng)也要求高資源開銷。 SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用Web Server方式。 SSL為帶有安全功能的TCP/IP套接字應用程序接口提供了一個替代的方法，理論上，在SSL之上可以安全方式運行任何原有TCP/IP應用程序而不需修改，但實際上，SSL目前還只是用在HTTP連接上。

33、2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議447.4 IPSec協(xié)議協(xié)議 由于協(xié)議IPv4最初設計時沒有過多地考慮安全性，缺乏對通信雙方真實身份的驗證能力，缺乏對網上傳輸?shù)臄?shù)據的完整性和機密性保護，并且由于IP地址可軟件配置等靈活性以及基于源IP地址的認證機制，使IP層存在著網絡業(yè)務流易被監(jiān)聽和捕獲、IP地址欺騙、信息泄漏和數(shù)據項被篡改等多種攻擊，而IP是很難抵抗這些攻擊的。 為了實現(xiàn)安全IP，因特網工程任務組IETF于1994年開始了一項IP安全工程，專門成立了IP安全協(xié)議工作組IPSEC，來制定和推動一套稱為IPSec的IP安全協(xié)議標準。 2022-3-6信息安全原理與技術c

34、h07-網絡安全協(xié)議45IPSecIPSec協(xié)議組協(xié)議組 網絡認證協(xié)議網絡認證協(xié)議 Authentication HeaderAuthentication Header（AHAH） 封裝安全載荷協(xié)議封裝安全載荷協(xié)議Encapsulating Security Encapsulating Security PayloadPayload（ESPESP） 密鑰管理協(xié)議密鑰管理協(xié)議Internet Key Exchange Internet Key Exchange （IKEIKE） 網絡認證及加密算法網絡認證及加密算法 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議467.4.1 IPSe

35、c7.4.1 IPSec安全體系結構安全體系結構圖7.8 IPSec安全體系結構 IPSec體系結構ESP協(xié)議AH協(xié)議加密算法DOI密鑰管理認證算法2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議47 ESP協(xié)議規(guī)定了為通信提供機密性和完整性保護的具體方案，包括ESP載荷的格式、語義、取值以及對進入分組和外出分組的處理過程等。 DOIInterpretation of Domain，DOI規(guī)定了每個算法的參數(shù)要求和計算規(guī)則，如算法的密鑰長度要求、算法強度要求以及初始向量的計算規(guī)則等。 AH協(xié)議定義了認證的應用方法，提供數(shù)據源認證和完整性保證。 IKE協(xié)議是IPSec目前唯一的正式確定的

36、密別交換協(xié)議，為AH和ESP提供密鑰交換支持，同時也支持其他機制，如密鑰協(xié)商。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議48安全關聯(lián)（安全關聯(lián)（Security Association，SA） 為了正確封裝及提取IPSec數(shù)據包，有必要采取一套專門的方案，將安全服務/密鑰與要保護的通信數(shù)據聯(lián)系到一起；同時要將遠程通信實體與要交換密鑰的IPSec數(shù)據傳輸聯(lián)系到一起。換言之，要解決如何保護通信數(shù)據、保護什么樣的通信數(shù)據以及由誰來實行保護的問題。這樣的構建方案稱為安全關聯(lián)（Security Association，SA）。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議49

37、 SA是單向的，要么對數(shù)據包進行“進入”保護，要么進行“外出”保護。也就是說，在一次通信中，IPSec 需要建立兩個SA，一個用于入站通信，另一個用于出站通信。 若某臺主機，如文件服務器或遠程訪問服務器，需要同時與多臺客戶機通信，則該服務器需要與每臺客戶機分別建立不同的SA。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議507.4.2 AH7.4.2 AH（Authentication HeaderAuthentication Header）協(xié)議協(xié)議 AH協(xié)議規(guī)定了AH頭在AH實現(xiàn)中應插入IP頭的位置、AH頭的語法格式、各字段的語義及取值方式，以及實施AH時進入和外出分組的處理過程

38、。AH機制涉及到密碼學中的核心組件鑒別算法。 AHAH的功能的功能 AHAH的兩種模式的兩種模式 AHAH的格式的格式 認證算法認證算法2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議51AHAH的功能的功能 AH協(xié)議為IP通信提供數(shù)據源認證、數(shù)據完整性和反重播保證，它能保護通信免受篡改，但不能防止竊聽，適合用于傳輸非機密數(shù)據。 AH的工作原理是在每一個數(shù)據包上添加一個身份驗證報頭。此報頭包含一個帶密鑰的hash散列（可以將其當作數(shù)字簽名，只是它不使用證書），此hash散列在整個數(shù)據包中計算，因此對數(shù)據的任何更改將致使散列無效這樣就提供了完整性保護。 AH不能提供加密服務，這就意味著分

39、組將以明文的形式傳送。由于AH的速度比ESP稍微快一點，因此僅當需要確保分組的源和完整性而不考慮機密性的時候，可以選擇使用AH。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議52AHAH的兩種模式的兩種模式 傳輸模式傳輸模式：傳輸模式用于兩臺主機之間，只對上層協(xié)議數(shù)據（傳輸層數(shù)據）和IP頭中的固定字段提供認證，主要保護傳輸層協(xié)議頭，實現(xiàn)端到端的安全； 隧道模式隧道模式：隧道模式對整個IP數(shù)據項提供認證保護，把需要保護的IP包封裝在新的IP包中，既可用于主機也可用于安全網關，并且當AH在安全網關上實現(xiàn)時，必須采用隧道模式。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議53

40、圖7.9 AH傳輸模式 圖7.10 AH隧道模式 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議54AHAH的格式的格式 圖7.11 AH報頭格式 下一個報頭長度安全參數(shù)索引(SPI)序列號認證數(shù)據(hash檢查和)AH報頭2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議55 Next Header（下一個報頭，占8字節(jié)）：識別下一個使用IP協(xié)議號的報頭，例如，Next Header值等于6時，表示緊接其后的是TCP報頭。對于UDP，它的值將是17。 Length（長度，占8字節(jié)）：AH報頭長度。 Security Parameters Index (SPI，安全參數(shù)索引，占

41、32字節(jié))： 這是一個為數(shù)據報識別安全關聯(lián)的 32 位偽隨機值。其中，SPI 值0 被保留，用來表明“沒有安全關聯(lián)存在”。2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議56 Sequence Number（序列號，占32字節(jié)）：這是一個無符號單調遞增的計數(shù)器，從1開始的32位單增序列號，不允許重復，唯一地標識了每一個發(fā)送數(shù)據包，為安全關聯(lián)提供反重播保護。接收端校驗序列號為該字段值的數(shù)據包是否已經被接收過，若是，則拒收該數(shù)據包。對于一個特定的SA，它實現(xiàn)反重傳服務。這些信息不被接收對等實體使用，但是發(fā)送方必須包含這些信息。當建立一個SA時，這個值被初始化為0。如果使用反重傳服務重傳，那

42、么這個值決不允許重復。由于發(fā)送方并不知道接受方是否使用了反重傳功能，該字段中的值不能被重復的事實就要求終止SA，并且在傳送第23個分組之前建立一個新的SA。2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議57 Authentication Data（AD，認證數(shù)據，可變長）：包含完整性檢查和。接收端接收數(shù)據包后，首先執(zhí)行hash計算，再與發(fā)送端所計算的該字段值比較，若兩者相等，表示數(shù)據完整，若在傳輸過程中數(shù)據遭修改，兩個計算結果不一致，則丟棄該數(shù)據包。通過這個值，通信雙方能實現(xiàn)對數(shù)據的完整性保護、分組級數(shù)據源鑒別以及通信的抗重放攻擊。 2022-3-6信息安全原理與技術ch07-網絡安

43、全協(xié)議58認證算法認證算法 用于計算完整性校驗值(ICV)的認證算法由SA指定，對于點到點通信，合適的認證算法包括基于對稱密碼算法(如DES)或基于單向Hash函數(shù)(如MD5或SHA-1)的帶密鑰的消息認證碼(MAC)。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議597.4.3 7.4.3 ESPESP（Encapsulating Security Encapsulating Security PayloadPayload）協(xié)議協(xié)議 ESP涉及到密碼學中的核心組件加密和鑒別算法。 ESPESP的功能的功能 ESPESP的兩種模式的兩種模式 ESPESP的格式的格式 加密算法和認證

44、算法加密算法和認證算法 ESPESP處理處理 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議60ESPESP的功能的功能 ESP為IP數(shù)據包提供完整性檢查、認證和加密，可以看作是“超級AH”，因為它提供機密性并可防止篡改。ESP服務依據建立的安全關聯(lián)（SA）是可選的。 一些限制： 完整性檢查和認證一起進行。 僅 當 與 完 整 性 檢 查 和 認 證 一 起 時 ， “ 重 播（Replay）”保護才是可選的。 “重播”保護只能由接收方選擇。 ESP的加密服務是可選的，但如果啟用加密，則也就同時選擇了完整性檢查和認證。因為如果僅使用加密，入侵者就可能偽造包以發(fā)動密碼分析攻擊。ESP可

45、以單獨使用，也可以和AH結合使用。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議61ESPESP的兩種模式的兩種模式 圖7.12 ESP傳輸模式 圖7.13 ESP隧道模式 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議62ESPESP的格式的格式 ESP協(xié)議包括ESP報頭、ESP報尾、ESP認證報尾三個部分。 圖7.14 ESP報頭、報尾和認證報尾 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議63加密算法和認證算法加密算法和認證算法 ESP所采用的加密算法由SA指定。為了提高加密效率，ESP設計使用的是對稱密碼算法。由于IP包可能會失序到達，因此每個IP包必

46、須攜帶接收者進行解密所要求的密碼同步數(shù)據(如初始化向量IV)。這個數(shù)據可以在有效負載字段中明確攜帶，也可以從包頭中推導出來。由于機密性是可選擇的，因此加密算法可以是“空”。 ESP中的認證算法同AH的認證算法一樣。由于認證算法是可選的，因此認證算法也可以是“空”。雖然加密和認證算法都可為空，但二者不能同時為空。因為這樣做不僅毫無安全保證可言，而且也為系統(tǒng)帶來了無謂的負擔。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議64ESPESP處理處理 ESP 的處理過程發(fā)生在發(fā)送時的IP分割之前以及接受時的IP重新組合之后。 發(fā)送時的處理ESP頭定位：在傳輸模式下，ESP頭插在IP頭和上一層

47、協(xié)議頭之間；在隧道模式下，ESP頭在整個源IP數(shù)據項之前。查找：只有當與此會話相關的有效的SA存在時，才進行ESP處理。包加密：把數(shù)據封裝到ESP的有效負載字段，在傳輸模式下，只封裝上層協(xié)議數(shù)據；在隧道模式下、封裝整個原IP數(shù)據項。應使用由SA指定的密鑰和加密算法對上述結果加密。2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議65 接受時的處理過程 當接收方收到一個IP數(shù)據項時，先根據包中目的IP地址、安全協(xié)議ESP和SPI查找SA，若沒有用于此會話的SA存在，則接收者必須丟棄此包，并記入日志，否則就按SA中指定的算法進行解密并重新構造原IP數(shù)據項格式。 2022-3-6信息安全原理與

48、技術ch07-網絡安全協(xié)議667.4.4 IKE（Internet Key Exchange）協(xié)議協(xié)議 IKE主要完成兩個作用：安全關聯(lián)的集中化管理，減少連接時間；密鑰的生成和管理。 IKE協(xié)議是IPSec目前唯一的正式確定的密鑰交換協(xié)議，它為AH和ESP提供密鑰交換支持，同時也支持其他機制，加密鑰協(xié)商。 IKE是由另外三種協(xié)議（ISAKMP、Oakley 和SKEME）混合而成的一種協(xié)議。 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議67 PGPPretty Good Privacy(相當好的保密)是由MIT的P.R.Zimmerrmann提出的，主要用于安全電子郵件，它可以對通

49、過網絡進行傳輸?shù)臄?shù)據創(chuàng)建和檢驗數(shù)字簽名、加密、解密以及壓縮。 7.5 PGP 2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議68表7.1 PGP的功能 功能使用的算法解釋說明保密性IDEA、CAST或三重DES， Diffie-Hellman或RSA發(fā)送者產生一次性會話密鑰，用會話密鑰以IDEA或CAST或三重DES加密消息，并用接收者的公鑰以Diffie-Hellman或RSA加密會話密鑰簽名RSA或DSS，MD5或SHA用MD5或SHA對消息散列并用發(fā)送者的私鑰加密消息摘要壓縮ZIP使用ZIP壓縮消息，以便于存儲和傳輸E-mail兼容性Radix64交換對E-mail應用提供透明性，將加密消息用Radix64變換成ASCII字符串分段功能-為適應最大消息長度限制，PGP實行分段并重組2022-3-6信息安全原理與技術ch07-網絡安全協(xié)議697.5.1鑒別鑒別 圖7.15 （a） PGP的操作過程只進行鑒別 其中，圖7.15記號的含義為：Ks: 會話密鑰 EP: 公鑰加密Kra: 用戶A的私鑰 DP: 公鑰解密KUa: 用戶A的公鑰 EC: 常規(guī)加密H: 散列函數(shù) DC: 常規(guī)解密|: 連接 Z: 用ZIP算法進行數(shù)