《网络安全和管理(第二版)》 第4章.ppt

,网络安全与管理,第四章 密码学应用,2,学习目标,密钥的生命周期及密钥管理的概念 对称密钥体制、公钥体制的密钥管理方法 消息认证的原理和方法 PKI的原理 数字证书的应用 windows2000的证书服务,3,4.1 密钥管理,4.1.1密钥产生及管理概述 4.1.2 对称密码体制的密钥管理 4.1.3 公开密钥体制的密钥管理,4,4.1.1密钥产生及管理概述,密钥的生存期 密钥的产生 密钥的分配 启用密钥/停有密钥 替换密钥或更新密钥 撤销密钥 销毁密钥,5,4.1.1密钥产生及管理概述,（1）密钥的产生 弱密钥：姓名、生日、常用单词等 ligang1983,19820812,Hello,birthday,May 字典攻击 把最可能的密钥组成字典，利用这个方法能够破译一般计算机40%以上的口令 避开弱密钥 用标点符号分开一个词，如：splen&did 用一个长句子生成一个密钥，如： Timing Attack on Implementation of Diffie-Hellman.TaoIoDH,6,4.1.1密钥产生及管理概述,ANSI X9.17密钥的生成,Ri=Ek(Ek(Ti)Vi) Vi+1=Ek(Ek(Ti)Ri),7,4.1.1密钥产生及管理概述,密钥的存储和备份 口令和密码记在脑子里 口令和密码记在纸上 密钥存储在硬件的介质 上 密钥托管 （前提是：管理员必须是可以信任的 ） 秘密共享协议 （m,n）门限方案,8,4.1.2 对称密码体制的密钥管理,（1）密钥分配中心KDC-集中的密钥管理方式,会话密钥（Session Key）：在一个逻辑连接上使用的一个一次性的密钥来加密所有的用户数据，这个密钥我们称之为会话密钥。会话密钥在会话结束后就失效。 永久密钥（Permanent Key）：为了分配会话密钥，在两个实体之间使用永久密钥。,9,4.1.3 公开密钥体制的密钥管理,公钥证书 可信的第三方，来签发和管理证书 分布式密钥管理 PGP：通过介绍人（introducer）的密钥转介方式,10,4.2 消息认证,4.2.1 数据完整性验证 4.2.2 单向散列函数 4.2.3 消息摘要算法MD5 4.2.4 数字签名 4.2.5 签名算法DSA,11,4.2.1 数据完整性验证,保证接收者能够辨别收到的消息是否是发送者发送的原始数据,12,（1）使用对称密钥体制产生消息认证码,（2）使用散列函数来产生消息认证码 散列函数可以将任意长度的输入串转化成固定长度的输出串，将定长的输出串来做消息的认证码。,13,4.2.2 单向散列函数,单向散列函数的性质： 输入长度任意； 输出长度固定； 给定一个输入X，计算H(x)很容易 给定一个hash值h,想找到一个X，使H(X)=h非常难 给定X，求Y，使H(X)=H(Y)很难 找到（X，Y），使H(X)=H(Y)很难,14,4.2.2 单向散列函数,利用单向散列函数生成消息的指纹 不带密钥的单向散列函数， 任何人都能验证消息的散列值； 带密钥的散列函数，散列值是预映射和密钥的函数 只有拥有密钥的人才能验证散列值。,单向散列算法,Snefru算法、N-Hash算法、MD2算法、MD4算法、MD5算法，SHA-1,15,4.2.3 消息摘要算法MD5,算法的设计思想 安全性：找到两个具有相同散列值的消息在计算上是不可行的。 直接安全性：算法的安全性不基于任何假设，如因子分解的难度等。 速度：算法适于用软件实现，基于32-bit操作数的简单操作。 简单性和紧凑性：算法尽可能简单，没有大的数据结构和复杂程序。,16,4.2.3 消息摘要算法MD5,2、MD5算法描述 以512bit的分组来处理输入消息 填充消息： 在消息后面附一个1，然后填充上所需要的位数的0，然后在最后的64位上附上填充前消息的长度值，填充后长度恰为512的整数倍 每一分组又划分为16个32bit的子分组,17,4.2.3 消息摘要算法MD5,MD5主循环 ：输入为512比特分组（16个32bit字）,18,4.2.3 消息摘要算法MD5,轮运算 每一轮要进行16次操作，分别针对512bit消息分组中的16个32bit子分组进行 轮函数 FF(a,b,c,d,Mj,s,ti) 表示a=b+(a+(F(b,c,d)+Mj+ti)s) GG(a,b,c,d,Mj,s,ti) 表示a=b+(a+(G(b,c,d)+Mj+ti)s) HH(a,b,c,d,Mj,s,ti) 表示a=b+(a+(H(b,c,d)+Mj+ti)s) II(a,b,c,d,Mj,s,ti) 表示a=b+(a+(I(b,c,d)+Mj+ti)s),例如：FF（a，b，c，d，M0，7，0xd76aa478）,19,4.2.3 消息摘要算法MD5,链接变量 四个非线性函数,A=0x01234567 B=0x89abcdef C=0xfedcba98 D=0x76543210,F(X,Y,Z)=( XY)( X) Z) G(X,Y,Z)=(XZ) (Y(Z) H(X,Y,Z)=XYZ I(X,Y,Z)=Y(X (Z) (其中为异或，为与，为或，为反),20,4.2.4 数字签名,数字签名机制 作用,消息源认证： 消息的接收者通过签名可以确信消息确实来自于声明的发送者。 不可伪造： 签名应是独一无二的，其它人无法假冒和伪造。 不可重用： 签名是消息的一部分，不能被挪用到其它的文件上。 不可抵赖： 签名者事后不能否认自己签过的文件。,21,4.2.4 数字签名,1、 数字签名的基本原理 附加在数据单元上的一些数据或是对数据单元所作的密码变换 确认数据单元的来源和数据的完整性 只有通过签名者的私有信息才能产生 双方发生争议时，可由第三方仲裁,22,4.2.4 数字签名,2、 数字签名的实现方法,使用对称加密和仲裁者实现数字签名,23,4.2.4 数字签名,（2）使用公开密钥体制进行数字签名 A用他的私人密钥加密消息，从而对文件签名； A将签名的消息发送给B； B用A的公开密钥解消息，从而验证签名；,24,4.2.4 数字签名,（3）使用公开密钥体制与单向散列函数进行数字签名,25,4.2.4 数字签名,（4）加入时间标记的签名 问题：把签名和文件一起重用 ？ 把消息加上时间标记，然后再进行签名,26,4.2.4 数字签名,（5）多重签名 A用自己的私人密钥对文件的散列值进行签名； B用自己的私人密钥对文件的散列值进行签名； B把文件与自己的签名及A的签名一起发送给C； C用A的公开密钥验证A的签名，用B的公开密钥验证B的签名；,27,4.2.4 数字签名,（6）盲签名 A将消息m乘以一个随机数得到m，这个随机数通常称为盲因子，A将盲消息发给B； B在收到的消息m上签名，然后将签名Sig(m)发给A； A通过去除盲因子可从B在m上的签名Sig(m)中获得B对m的签名Sig(m)；,28,4.3 Kerberos认证交换协议,4.3.1 Kerberos模型的工作原理和步骤,4.3.2 Kerberos的优势与缺陷,29,4.3.1 Kerberos模型的工作原理和步骤,Kerberos协议 步骤,30,4.3 Kerberos认证交换协议,ClientAS的消息：c,tgs ASClient的消息：Kc,tgsKc，Tc,tgsKtgs ClientTGS的消息：Ac,sKc,tgs，Tc,tgsKtgs TGSClient的消息：Kc,sKc,tgs，Tc,sKs ClientServer的消息：Ac,sKc,s，Tc,sKs,31,4.4 公钥基础设施PKI,4.4.1 PKI的定义、组成及功能 4.4.2 CA的功能 4.4.3 PKI的体系结构,32,4.4.1 PKI的定义、组成及功能,PKI就是一个用公钥概念和技术实现的、为网络的数据和其它资源提供具有普适性安全服务的安全基础设施。 PKI概念和内容是动态的、不断发展的。 完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,33,4.4.1 PKI的定义、组成及功能,PKI具有12种功能操作： 产生、验证和分发密钥。 签名和验证： 证书的获取 证书的验证 保存证书 本地保存的证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥更新 审计 存档,34,4.4.2 CA的功能,（1）证书颁发 （2）证书更新 （3）证书撤销 （4）证书和CRL的公布 （5）证书状态的在线查询 （6）证书认证,35,4.4.3 PKI的体系结构,1、单个CA的PKI结构 PKI结构简单，容易实现，其扩展性较差 2、分层结构的PKI,36,3、网络结构的PKI系统,37,4.5 数字证书,4.5.1 数字证书的类型及格式 4.5.2 数字证书的管理 4.5.3 证书的认证 4.5.4 Windows2000 Server的证书服务,38,4.5.1 数字证书的类型及格式,目前已定义的几种数字证书标准有： X.509证书 简单PKI证书 PGP证书 属性证书,39,4.5.1 数字证书的类型及格式,X.509标准推荐的数字证书格式,40,4.5.1 数字证书的类型及格式,3、认证机构和证书机构（CA） 负责颁发和认证公钥证书的机构 颁发证书，负责维护证书库和证书撤销列表（CRL）,41,4.5.2 数字证书的管理,1、初始化阶段 实体注册： 密钥对的产生： 证书创建及分发： 密钥备份：,42,4.5.1 数字证书的类型及格式,2、应用阶段 证书检索： 证书验证： 密钥恢复： 密钥更新：,43,3、撤销阶段 证书过期； 证书撤销： 密钥历史： 密钥档案：,44,4.5.3 证书的认证,验证证书签名的是否正确有效，这需要知道签发证书的CA的真正公钥，有时可能要涉及证书路径