9安全ch8-final.ppt

Chapter 7: Network Security Chapter goals: 理解网络安全的原理: 加密 认证 消息的完整性 密钥的分发 实践中的安全措施: firewalls 应用层、传输层、网络层、链路层的安全 内容提要 8.1 什么是网络安全? 8.2 加密的原理 8.3 身份鉴别 8.4 信息的完整性 8.5 密钥的分配与核实 8.6 接入控制：firewalls 8.7 攻击和对策 8.8 各层的安全性 What is network security? 机密性: 只有发送者和接收者能够读懂消息的意思 sender encrypts message receiver decrypts message 认证:发送者和接收者需要确定对方的身份 消息的完整性:发送者和接收者需要确保消息在传输中没有被篡改 可用性: 服务必须能够被用户使用（DOS攻击） Friends and enemies: Alice, Bob, Trudy Bob, Alice (lovers!) 需要安全（安心）的通信 Trudy (intruder) 截获、删除、增加消息 Who might Bob, Alice be? … 可能是的人! Web browser/server (e.g., on-line purchases) 网上银行 client/server DNS servers 路由器之间交换路由表 other examples? There are bad guys (and girls) out there! Q: What can a “bad guy” do? A: a lot! 偷听者（eavesdrop）: 截取消息 插入者：在他人通信中插入信息 伪装者: 冒充数据包的源地址（或者数据包中的任意字段） 劫持者: 将发送者或接收者推到一边，自己做到他的位置上 拒绝服务: 攻击服务，令其不能提供服务 (e.g., by 资源过载) 内容提要 8.1 什么是网络安全? 8.2 加密的原理 8.3 身份鉴别 8.4 信息的完整性 8.5 密钥的分配与核实 8.6 接入控制：firewalls 8.7 攻击和对策 8.8 各层的安全性 The language of cryptography 对称 加密: KA=KB 公钥加密: 用公钥加密，用私钥解密 对称密钥加密 替代法加密: 将对象替换为其他对象 单码替代加密: 单个字母的替换 对称密钥加密 symmetric key crypto: Bob and Alice 使用相同的密钥: K e.g. key 是字母替代表 Q: Bob and Alice如何协商确定密钥（偷听）? 对称密钥加密: DES DES: Data Encryption Standard US encryption standard [NIST 1993] 56-bit symmetric key, 64-bit plaintext input How secure is DES? 蛮力破解要4个月，（传说美国中央情报局可以很容易破解它） making DES more secure: use three keys sequentially (3-DES) on each datum AES: Advanced Encryption Standard new (Nov. 2001) 提出的用来替代DES 数据被划分为128 bit blocks 密钥为128, 192, or 256 bit 蛮力破解的难度是（ DES 用1秒，AES用149 万亿年） 公钥加密 对称密钥加密 要求发送者与接收者使用相同的密钥 Q: 如何在初始会面时刻交换密钥 (particularly if never “met”)? 公钥加密 公钥加密算法 need K ( ) and K ( ) such that RSA: 另一个重要特性 内容提要 8.1 什么是网络安全? 8.2 加密的原理 8.3 身份鉴别 8.4 信息的完整性 8.5 密钥的分配与核实 8.6 接入控制：firewalls 8.7 攻击和对策 8.8 各层的安全性 认证 Goal: Bob 要求 Alice 证实她的确是Alice 认证 认证: another try 认证: another try 认证: another try 认证: another try 认证: yet another try 认证: another try 认证: yet another try 认证: ap5.0 ap4.0 需要共享的密钥 能否使用公钥技术实现认证? ap5.0: 对一次性随机数采用公钥加密 ap5.0: security hole 中间人攻