网络安全与数字签名技术

网络安全与数字签名技术内容摘要：

只对密码族进行认证而不加密，易被攻击者截获并删除该消息，致使通信双方将不再更新当前的密码族，即不再对传送的数据作 MAC认证或加密。 由于商定的密码族不起作用，攻击者在通信双方不知道的情况下，可以随心所欲地篡改通信数据。 为了避免该攻击，可以将 ChangeCipherSpec加人到 Finished消息的 认证计算中。 密码族降级攻击 (Cipher Suite Rollback Attacks) SSL Hell。 中的 Cipher Suite明文数据，在不被察觉的情况下让通信双方使用安全强度较弱的密码算法。 在 缺陷进行了弥补，通过 Finished消息，利用主密钥 Master Secret对握手过程中的消息进行认证。 这样，攻击者在握手过程中的任何篡改消息的行为都会被发现。 密钥交换算法欺作 服务器用 Server Key Exchange消息来发送临时公共密钥参数，客户使用这些公开参数和服务器交换密钥，获得共享的主密钥。 但是，“密钥交换算法”这个域不在服务器对公开参数的签名中，这样攻击者可以滥用服务器对 DH参数的签名来欺骗客户，而让服务器认为发送了对 RSA参数的签名。 这时，通信双方认为已经成功协商了一个密码族，而事实上它们各自认定的密码族却是不同的。 攻击者使用密码族反转攻击，使服务器使用临时的 DH密钥交换，而客户使用临时的 RSA密钥交换。 这样，客户将使用假的 RSA参数加密 Premastersecret发送给服务器。 这样，攻 击者可以容易地还原 Premastersecret，此后的通信安全将被击溃 151。 为避免这种攻击，协议实现者应当在接收到 Server Key Exchange消息时进行健全性检查，从而辨别所使用的密钥交换算法。 版本降级攻击 SSL的旧版本含有很多缺陷，例如 : exportweakened模式下，不必要地将认证密码降低为 40位。 MAC加密密钥与传输加密密钥采用同一密码，安全性差。 在块密码模式中，对填充长度没有认证保护。 因此，在新旧版本同时存在的情况下，攻击者能修改 Hell。 消息，使它看起来像 Hello消息，然后利用。 于是有人利用 RSA作为唯一的密第 12 页 共 32 页 钥交换算法的特点，设计了一个检测这种攻击的方法，即支持 RSA的 PKCS填充字节中嵌人一些固定的冗余以示支持 ，而 机的 PKCS填充。 这样 SSL新老版本既能并存工作，又能区别开来，从而防止版本降级攻击。 第 13 页 共 32 页 第四章加密 一、网络加密技术 为 了保证网络安全，我们可以采取各种防范措施和手段。 如对信息加密、设置防火墙、对用户进行认证等。 其中最重要的、也是最基础的是加密技术。 一般称被加密的信息原文为明文，用 P 表示，加密结果称为密文，用 C 表示。 加密算法用 E 表示，解密算法用 D 表示。 密钥用 K 表示。 加密过程可表示为 C=Ek (P)，解密过程可表示为 P=Dk (C)，并且 Dk (Ek(P))=P。 其基本思想就是在加密密钥的控制下，按照加密算法对明文 P 进行处理，产生密文 C，然后经过网络传输，解密则是在解密密钥的作用下，按解密算法对密文进行还原。 (如下图所示 ) 通常形成一个稳定的加密算法需要数年时间，因此它的公开性是不言而喻的。 而对于密钥我们可以秘密保存并随时更换，所以密钥的长度就决定了算法的安全性。 例如在密码锁中，二位密钥只有 100 种可能，三位密钥则有 1000 种可能，六位密钥就有 1000， 000 种可能，解密者的工作量随密钥长度按指数递增。 对于个人信息， 64 位密钥足够了，而对于国家机密则需使用 256 位以上的密钥。 传统上的加密方式主要有两种。 一种是替代加密，就是用一组字母替换另一组字母。 乍一看可能觉得这种方法很 安全。 如 26 个字母的替换共有 26 1(4*1026)种可能性。 即医门使每微秒测试一种方案仍需 1013 年。 但是若以字母、字母组合出现的频率以及常用词作为突破口，则常常是“柳暗花明又一村”。 传统加密法中的另一种是换位加密，即打破明文顺序进行重排，为破译密文解密者首先需要确定是否用了换位加密法，然后根据一常用词或词组来判断加密问距，最后确定各列的顺序。 现代加密法与传统加密思想基本相同。 但传统加密主要是使用一个简单的算法和一个非常长的密钥。 而现代加密刚好相反，一般使用一个极其复杂的算法，这样即使解密者得到 大量密文也无计可施。 目前加密算法很多，根据密钥性质，可分为私有密钥加密和公有密钥加密。 二、 私有密钥加密技术 私有密钥加密的安全性土要依赖以下几点 : 首先，加密算法必须非常强大，仅知道密文是无法解密的 :另外，必须保证密钥的安全，即使知道加、解密算法和密文仍然无法破译。 这样我们无需保密加密算法，仅 仅 保证密钥安全即可。 对于私有密钥加密，比较常用的是分组加密法，即固定长度的输入产生同样长度的输出，其中最著名的是 DES (Data Encryption Standard). 对于 任何分组加密，都可采用差异分析法 (the Differential Cryptanalysis)进行破译。 即使用一对明文块，其中仅有几个位不同，并观察 每 一步加密后的结果，这样将会导致一个可能的攻击。 在 DES 之后比较重要的算法要属 IDE(Internationa Data Encryption Algorithm). 它是由瑞士的两个研究人员设计的，这种算法的基本结构与 DES 类似，现已分第 14 页 共 32 页 别实现了 IDEA 的硬件和软件方案。 三、公开密钥密码体制 历史上，密钥分配问题一直是加密系统的薄弱环节。 一日 .密钥失窃，攻击将易如反掌。 1 9 7 6 年， Diffie 和 Hellman 提出了一种新的加密方法，使用不同的加密密钥和解密密钥，无法由加密密钥推导出解密密钥。 公开密钥算法要求每个用户持有 2 个密钥 :一个用于其他用户加密信息并发给此用户，称谓公钥 :令一个用于解密此密文，称谓私钥 .其基本步骤如下 : 网络中的每个终端系统生成一个密钥对，用于加密和解密 每个系统都将公钥公开，而将私钥秘密保存 如果 A 想和 B 通信，他使用 B 的公钥加密信息 当 B 收到信息后，他 使用私钥进行解密，其他用户无法知道 B 的私钥，因而也无法解密。 公共密钥算法和典型的代表是 RSA算法，这是发明者的名字命名的 (Rivest， Shamir， Adleman)。 RSA 算法是基于数论中大素数分解的难度问题。 还有一些公共密钥的算法基于计算独立对数的难度 (Computing Discrete Logarithms)。 加密的位 抵抗网络攻击最常用、最有效的方法就是加密，使用加密方法时，我们需要决定在什么位置，对什么内容进行加密。 有两个基本的选择 :线路加密或者端到端加密。 对于易受攻击的 线路，可采用线路加密，即在线路两端各配备一个加密设各。 因此，所有线路上的通信都是安全的，当然在一个大的网络上需要很多的加密设备。 这种方法的价值是很明了的。 然而，这种方法的一个缺点是信息每次进入包交换设备必须进行解密。 因为，节点必须读取信息头中的地址以进行转发 .这样在每个节点信息较易受到攻击 .对于公共网络，用户对节点无任何控制权时情况尤为严重。 对于端至端加密，加密过程在两个终端系统进行，源主机对信息进行加密然后传输，到达目的主机后，使用同一密钥解密数据，这种方法看起来很安全，但仍存在弱点。 综合使用两种方法，主机对用户数据进行端到端加密而整个数据包则使用线路加密。 当数据包经过网络时，每个节点对数据包使用线路加密密钥进行解密，以读取头部信息。 然后再对整个数据包进行线路加密以便转发。 这样，整个数据包都是安全的，除了在节点内存中这时数据包头是公开的。 四、认证协议 认证也称鉴别或确认，证实被认证对象的真实性和有效性，防止入侵者的主动攻击。 认证是许多应用系统安全保障的第一道防线。 认证和授权是两个不同的概念。 认证主要是处理通信双方的身份，而授权则是是否允许你执行某些操作。 下面让我们来看一下消息认 证的各种方法 : 基于共享密钥的认证 此方法假设收发双方己经共同拥有一个秘密密钥 KAB，其原理如图一所示 :设 A 为发方， B 为收方。 RI 表示 I 发出的请求。 KI 表示 I 的密钥。 KS 表示会话密钥 (Session Key)。 第 15 页 共 32 页 首先， A 向 B 发出他的身份 A， B 一石落确定 A 的来源，所以选择一个非常大的随机数 RB 并发给 A， A 收到后，以共享密钥进行加密 KAB(RB)，并将密文返回给 B， B 收到后即可确认 A 的身份，之后 A 也取一个随机数 RA，以明文形式发给 B B 返回 KAB(RA)，这样 A 也可确定 B 的身份。 A, B 互相认证后即可挑选一个 KS 进行通信。 基于 密钥分配中心的认证 (Key Distribution Center)与每个用户都建立一个共享密钥是可以实现的，但这显然非常麻烦，保密 N 个密钥不是一件简单的事。 因此，可以引进一个可信的 KDC 作为第三方参加通信。 其主要负责认证和密钥管理。 基于 Kerberoa 的认证 Kerberos 是许多实际系统中使用的认证协议。 此系统包含三个服务器 :认证服务器 ( Authentication Server)用于认证登录用户 :票据服务 (TicketGrantingServer )用于发放作为证明的“票据”。 其它应用服务器。 基于公共密钥的认证 通信双方 A. B 可以使用公共密钥技术相互认证，结束后使用秘密密钥技术讲行折 4E 选俐既 ， 伴保征安产传输 ， 全性。 五、链路加密 链路加密为经过两个网络节点之间的专用链路传输的数据提供安全保密。 采用链路加密 (也叫做线内式加密 )，所有的信息都是在加密之后才传输。 在每个节点内，输入信息被解密，然后用预定转发信息的下一条链路的密钥重新加密。 信息可经多条通信链路传送到最终目的地。 由于发送的信息在其通过的每个节点上都进行解密和重 新加密，所以凡在链路上流动的数据都加密，包括路由信息。 因此，链路加密掩蔽发送信息的源 — 目的地模式。 因为使用填充及在没有传输数据加密时连续填充字符，所以不仅可以隐蔽消息频次和长度特征，而且可以防止业务量分析攻击。 虽然链路加密是计算机网络环境中最常见的加密形式，但它并非就不存在问题。 链路加密通常用在点到点同步或异步线路上 它要求链路端的加密设备同步，接着才采用链接模式加密它们之间传送的所有数据。 这点可能会给网络性能和可管理性带来不利影响。 在可能出现间发线路 /信号损失的海外连接或卫星网络内，链路加密机经营需要 重新同步，其结果是数据丢失或重新传输。 此外，所有的发送数据都必须加密，哪怕只是其中的少量数据要求这样的安全保密。 链路加密只是在通信链路上提供安全保密。 在网络节点内部，消息以明文形式驻留。 所以，必须保证所有节点的物理安全，因为任何网络节点损害势必暴露大量的信息。 但是，维护每个节点安全的费用却很高，其支出包括雇员保护节点物理安全、频繁审计以保证安全策略和方法正确贯彻实施等日益增长的花费，以及为防备损失性安全破坏而支付的保险费。 按常规加密算法，解密消息所用密钥和加密消息所用密钥相同，这种密钥必须严格保守秘密和 定期更换。 链路加密系统的密钥分发是个很重要的问题。 因为每个节点都必须存储与之相连的每条链路的加密密钥，所以要么采用物理方法传送密钥，要么建立专用网络设施。 网络节点的地理分布疏散使过程复杂，使连续密钥分发费用增加。 六、节点加密 第 16 页 共 32 页 虽然节点加密能为网络数据提供较高的安全保密度，但节点加密的操作方式却与链路加密差不多。 节点加密和链路加密三者皆为经过通信链路发送的消息提供安全保密，而且二者也都需要在每个中间节点先解密然后再重新加密发送的消息，再加上所有的传输数据都必须加密，所以加密操作对用户保持透明。 然而，节点加密又颇有些不同于链路加密，它不允许消息以明文形式驻留在网络节点内部，而代之以在节点的保密模块内先解密，然后再用不同的密钥重新加密。 节点加密要求以明文形式传输消息和路由信息。 这样，中间节点才能读出处理消息所要求的细节。 因此，这种加密方法很容易遭到业务分析攻击。 七、端 一端加密 端一端加密允许数据以保密方式从源传输到目的地。 采用端一端加密 (也叫做分组加密或线外式加密 )方式，消息在发送时加密，一直到抵达最终目的地时才解密。 由于消息在整个传输过程中受到保护，所以即使某个节点遭到破坏。 也不会泄漏消息。 端一端加密系统少花钱、较可靠，构想、实现和维修都要比链路加密系统或节点加密系统简单得多。 而且，端一端加密系统避免了其它加密系统所固有。