第八章 网络安全

1 什么是网络安全

安全通信具有的性质：

• 机密性：只有发送方和希望的接收方能否理解传输的报文内容（发送方加密报文，接收方解密报文）
• 认证（端点鉴别）：发送方和接收方需要确认对方的身份
• 报文完整性：发送方、接受方需要确认报文在传输的过程中或者事后没有被改变
• 访问控制和服务的可用性：服务可以接入以及对用户而言是可用的

入侵者能够潜在地执行下列行为：
窃听——监听并记录信道上传输的控制报文和数据报文。
修改、插入或删除报文或报文内容。
伪装：可以在分组的源地址写上伪装的地址
劫持：将发送方或者接收方踢出，接管连接
拒绝服务：阻止服务被其他正常用户使用(e.g,通过对资源的过载使用)

2 密码学原理

对称密钥密码学：发送方和接收方的密钥相同
公开密钥密码学：发送方使用接收方的公钥进行加密，接收方使用自己的私钥进行解密

2.1 对称密钥密码体制

对称密钥密码：Bob和Alice共享一个对称式的密钥K_A-B；
e.g：密钥在单码替换加密方法中是替换模式
问题：Bob和Alice如何就这个密钥达成一致呢?

替换密码：将一个事情换成另外一个事情
单码替换密码：将一个字母替换成另外一个字母

明文报文 “ bob , i love you. alice” 变成 “nkn，s gktc wky. mgsbc”
问题：破解这个密码的强度？
理论上26！（10²⁶数量级），根据入侵者所拥有的信息有三种不同的情况
唯密文攻击：入侵者只能得到截取的密文，而不了解明文报文的内容（统计分析有助于唯密文攻击）
已知明文攻击：入侵者知道（明文，密文）的一些匹配
选择明文攻击：入侵者能够选择某一明文报文并得到该明文报文对应的密文形式

DES：Data Encryption Standard，US 加密标准[NIST 1993]

• 56 bit 对称密钥，64 bit明文输入
• 使DES更安全：使用3个key，3重DES运算；密文分组成串技术
  
  初始替换，16 轮一样的函数应用，每一轮使用的不同的48bit密钥，最终替换

AES：Advanced Encryption Standard，新的对称密钥NIST标准(Nov. 2001) 用于替换DES

• 数据128bit成组加密
• 128, 192, or 256 bit keys
• 穷尽法解密如果使用1秒钟破解DES, 需要花149万亿年破解AES

1. 块密码
   
   一个循环：一个输入bit影响8个输出bit
   多重循环：每个输入比特影响所有的输出bit
   块密码：DES, 3DES, AES

2. 密码块链接（CBC）技术

• 密码块：如果输入块重复，将会得到相同的密文块（潜在地猜出其明文）
• 密码块链：异或第i轮输入m(i)与前一轮的密文 c(i-1)
  • c(0) 明文传输到接收端
    

2.2 公开密钥加密

对比：
对称密钥密码学：需要发送方和接收方对共享式对称密钥达成一致；Q：但是他们如何第一次达成一致(特别是他们永远不可能见面的情况下)?
公开密钥密码学：完全不同的方法[Diffie-Hellman76, RSA78]；发送方和接收方无需共享密钥；一个实体的公钥公诸于众；私钥只有他自己知道

1. RSA

生产RSA的公钥和私钥：

• 选择2个很大的质数p, q. (RSA 实验室推荐，p 和q 的乘积为1024 比特的数量级)
• 计算n= pq和 z = (p-1)(q-1)
• 选择一个e(要求e<n)和z 没有一个公共因子，互素
• 选择d使得ed-1正好能够被z整除. (也就是：ed mod z = 1 )
• 公钥(n,e)，私钥(n,d)

加密解密：
0.给定按照上述算法得到的(n,e) 和(n,d)
1.加密一个bit模式, m, 如此计算：c = m^e mod n ( m^e除以n的余数)
2.对接收到的密文c解密，如此计算：m = c^d mod n ( c^e除以n的余数)
m = (m ^e mod n) ^d mod n

证明：
一个有用的数论定理:如果p,q都是素数，n = pq, 那么：

3 报文完整性和数字签名

3.1 密码散列函数

• 散列函数以m 为输入，并计算得到一个称为散列的固定长度的字符串 H（m）

• 密码散列函数具有下列附加性质：

  • 找到任意两个不同的报文x和y使得H(x)= H(y)，在计算上是不可能的。（不严格的说，这种性质就意味着入侵者在计算上不可能用其他报文替换散列函数保护的报文）
    

• 举例：Internet校验和(弱的散列函数)
  Internet 校验和拥有一些散列函数的特性:

  • 产生报文m的固定长度的摘要(16-bit sum)
  • 多对1的
  • 但是给定一个散列值，很容易计算出另外一个报文具有同样的散列值
    

因此为了安全起见，需要比校验和更为强大的散列函数。如MD5散列算法（通过4步过程计算得到128比特的散列）[RFC1321]、安全散列算法SHA-1（生成一个160比特的报文摘要）[FIPS 1995]

3.2 报文鉴别码

• 如何执行报文完整性：
  • Alice生成报文m并计算散列H(m)(例如使用SHA-1)
  • 然后Alice 将H(m)附到报文m上，生成 一个扩展报文 (m,H(m)) ， 并将该扩展报文发给Bob
  • Bob接到一个扩展报文( m ，H(m)) 并 计算H( m ) 。如果H ( m ) = h ， Bob得到结论：一切正常。
• 这种方法存在明显缺陷。Trudy能够生成虚假报文m’ ，在其中声称她是Alice，计算出H(m’)并发送给Bob(m’，H(m’))。Bob无法分辨这种行为
• 因此为了执行报文完整性，除了使用密码散列函数，还需有共享密钥s。也被称为鉴别密钥。
  • Alice生成报文m，用s级联m生成m + s，并计算散列H(m+s)。H(m+s)被称为报文鉴别码（MAC）。
  • 然后Alice将MAC附加到报文m上，生成扩展报文（m,H(m+s)），并将该扩展报文发送给Bob。
  • Bob接收到一个扩展报文（m，h），由于知道s，计算出报文鉴别码H(m+s)。如果H(m+s) = h。Bob得到结论：一切正常。
    

3.3 数字签名

• 发送方(Bob) 数字签署了文件, 前提是他(她)是文件的拥有者/创建者.
• 可验证性，不可伪造性，不可抵赖性
  • 谁签署：接收方(Alice)可以向他人证明是Bob, 而不是其他人签署了这个文件(包括Alice)
  • 签署了什么：这份文件，而不是其它文件

简单的对m的数字签名：Bob使用他自己的私钥对m进行了签署，创建数字签名K_B^-(m)

对长报文进行公开密钥加密算法的实施需要耗费大量的时间

• 对m使用散列函数H，获得固定长度的报文摘要H(m).

散列函数的特性：多对1；结果固定长度；给定一个报文摘要x, 反向计算出原报文在计算上是不可行的x = H(m)

公钥认证
对称密钥问题：相互通信的实体如何分享对称式的密钥?
解决办法：trusted key distribution center (KDC) 在实体之间扮演可信赖中介的角色
公共密钥问题：当Alice获得Bob的公钥(from web site, e-mail, diskette)，她如何知道就是Bob的public key, 而不是Trudy的?
解决办法：可信赖的certification authority (CA)

• KDC
  • Alice, Bob 需要分享对称式密钥.
  • KDC:服务器和每一个注册用户都分享一个对称式的密钥(many users)
  • Alice, Bob在和KDC通信的时候，知道他们自己的对称式密钥K_A-KDCK_B-KDC.

Q: KDC如何使得Bob和Alice在和对方通信前，就对称式会话密钥达成一致?

• Certification Authorities
  • Certification authority (CA): 将每一个注册实体E和他的公钥捆绑.
  • E (person, router) 到CA那里注册他的公钥.
    • E 提供给CA，自己身份的证据“proof of identity”
    • CA创建一个证书，捆绑了实体信息和他的公钥.
    • Certificate包括了E的公钥，而且是被CA签署的（被CA用自己的私钥加了密的）–CA说“this is E’s public key”
      
  • 当Alice需要拿到Bob公钥
    • 获得Bob的证书certificate (从Bob或者其他地方).
    • 对Bob的证书，使用CA的公钥来验证
      
  • 证书包括：
    • 串号(证书发行者唯一)
    • 证书拥有者信息，包括算法和密钥值本身(不显示出来)
  • 根证书：根证书是未被签名的公钥证书或自签名的证书
    • 拿到一些CA的公钥
    • 渠道：安装OS自带的数字证书；从网上下载，你信任的数字证书
  • 信任树：
    • 信任根证书CA颁发的证书，拿到了根CA的公钥（信任了根）
    • 由根CA签署的给一些机构的数字证书，包含了这些机构的数字证书
    • 由于你信任了根，从而能够可靠地拿到根CA签发的证书，可靠地拿到这些机构的公钥

4 端点鉴别

• 端点鉴别就是一个实体经过计算机网络向另一个实体证明其身份的过程。
• 鉴别应当在报文和数据交换的基础上，作为某鉴别协议的一部分独立完成。
• 鉴别协议通常在两个通信实体运行其他协议（如可靠数据传输协议、路由选择信息交换协议、电子邮件协议）之前运行。

1. 鉴别协议ap1.0
   
   在网络上Bob看不到Alice, 因此Trudy可以简单地声称她是Alice

2. 鉴别协议ap2.0
   
   Trudy生成一个IP数据报并在IP数据报中填入Alice的周知IP地址，再通过链路层协议将生成的数据报发送到第一跳路由。（Trudy生成一个分组，包括伪造的Alice的地址）

3. 鉴别协议ap3.0
   
   重放攻击playback attack:Trudy记录Alice的分组，然后向Bob重放

4. 鉴别协议ap3.1
   Alice 说“我是Alice” ，而且传送她的加密之后的密码来证明
   Trudy记录，重放仍然有效

5. 鉴别协议ap4.0
   
   目标：避免重放攻击
   不重数（ Nonce）：一个协议的生存期只用一次的数®
   ap4.0：为了证明Alice的活跃性，Bob发送给Alice一个不重数 R. Alice 必须返回加密之后的R，使用双方约定好的key

6. 鉴别协议ap5.0
   
   ap4.0 需要双方共享一个对称式的密钥，是否可以通过公开密钥技术进行认证呢?
   ap5.0：使用nonce,公开密钥加密技术

5 安全电子邮件

5.1 安全电子邮件概述

Alice 需要发送机密的报文m 给Bob

• Alice产生随机的对称密钥 K_S；使用K_S对报文加密(为了效率)；对K_S使用Bob的公钥进行加密；发送K_S(m) 和K_B(K_S) 给Bob.
• Bob使用自己的私钥解密 K_S；使用 K_S解密 K_S(m) 得到报文

Alice 需要提供源端的可认证性和报文完整性

• Alice 数字签署文件；发送报文（明文）和数字签名

Alice 需要提供机密性，源端可认证性和报文的完整性

• Alice 使用了3个keys：自己的私钥，Bob的公钥, 新产生出的对称式密钥

5.2 PGP

• Internet e-mail加密方案，事实上的标准
• 使用前面讲述的：对称密钥加密，公开密钥加密，散列函数和数字签名（使用MD5或SHA来计算报文摘要，使用CAST、三重DES或IDEA进行对称密钥加密，使用RSA进行公开密钥加密）
• 能够提供机密性，源端的可认证性和报文完整性.
• 发明者Phil Zimmerman，是３年的犯罪调查的目标
  

6 使TCP连接安全：TLS

• 为使用SSL服务的、基于TCP的应用提供传输层次的安全性
  e.g.在WEB的浏览器和服务器之间进行电子商务的交易(https)
• 所提供的安全服务:
  • 服务器的可认证性，数据加密，客户端的可认证性(可选)
    

6.1 宏观概述

SSL 3个阶段

1. 握手
   Bob 和Alice建立TCP连接
   通过CA签署的证书认证Alice的身份
   创建，加密(采用Alice的公钥)，传输主密钥给Alice（不重数交换没有显示）
   
2. 密钥导出
   Alice， Bob使用共享的MS产生4个keys：
   E_B: Bob->Alice 数据加密key；
   E_A: Alice->Bob数据加密key；
   M_B: Bob->Alice MAC（报文鉴别编码）key；
   M_A: Alice->Bob MAC key

加密和MAC算法在Bob, Alice之间协商
为什么要4个keys？因为更安全

3. 数据传输
   

6.2 完整描述

TLS握手

1. 客户发送它支持的密码算法的列表，连同一个客户的不重数。
2. 从该列表中，服务器选择一种对称算法（例如AES ） 、一种公钥算法（例如具有特定密钥长度的RSA ） 和一种HMAC算法。它把它的选择以及证书和一个服务器不重数返回给客户。
3. 客户验证该证书，提取服务器的公钥，生成一个前主密钥（PMS），用服务器的公钥加密该PMS，并将加密的PMS发送给服务器。
4. 使用相同的密钥导出函数（就像TLS标准定义的那样），客户和服务器独立地从PMS和不重数中计算出主密钥（M S） 。然后该MS 被切片以生成两个密码和两个HMAC 密钥。
   此外，当选择的对称密码应用于CBC（例如3DES 或AES ） , 则两个初始化向量（Initialization Vector, IV）也从该MS获得，这两个IV分别用于该连接的两端。自此以后，客户和服务器之间发送的所有报文均被加密和鉴别（使用HMAC）。
5. 客户发送所有握手报文的一个HMAC。
6. 服务器发送所有握手报文的一个HMAC。
   最后两个步骤使握手免受篡改危害。
   在TLS中，不重数用于防御“连接重放”，而序号用于防御在一个进行中的会话中重放个别分组。

连接关闭
在某个时刻，Bob或者Alice 将要终止TLS 会话。
一个方法是让Bob 通过直接终止底层的TCP 连接来结束该TLS 会话，这就是说，通过让Bob 向Alice 发送一个TCP FIN 报文段。

但是这会为截断攻击创造条件，Trudy 再一次介入一 个进行中的TLS会话中，并用TCP FIN过早地结束了该会话。如果Trudy这样做的话， Alice将会认为她收到了Bob的所有数据，而实际上她仅收到了其中的一部分。

对这个问题的解决方法是，在类型字段中指出该记录是否是用于终止该TLS会话的。（尽管TLS类 型是以明文形式发送的，但在接收方使用了记录的HMAC对它进行了鉴别。）通过包括这样一个字段，如果Alice在收到一个关闭TLS记录之前突然收到了一个TCP FIN, 她可能知道正在进行着某些难以解释的事情。

7 网络层安全性：IPsec和虚拟专用网

7.1 IPsec和虚拟专用网

• 网络层次的机密性:
  • 发送端主机对IP数据报中的数据进行加密
  • 数据：TCP或者UDP的段；ICMP和SNMP 报文
• 网络层次的可认证性
  • 目标主机可以认证源主机的IP地址
• 2个主要协议
  • 认证头部(AH)协议
  • 封装安全载荷encapsulation security payload (ESP) 协议
• 不管AH 还是ESP，源和目标在通信之前要握手
  • 创建一个网络层次的逻辑通道：安全关联security association (SA)
• 每一个SA 都是单向
• 由以下元组唯一确定：安全协议(AH or ESP)；源IP地址；32-bit连接ID

7.2 AH协议和ESP协议

• 鉴别首部（Authentication Header，AH ）协议
  • 提供源端的可认证性，数据完整性，但是不提供机密性
  • 在IP头部和数据字段之间插入AH的头部
  • 协议字段：51
  • 中间的路由器按照常规处理这个数据报
  • AH 头部包括
    • 连接ID
    • 认证数据：对原始数据计算报文摘要，使用源端的私钥进行数字签名
    • 下一个字段：定义了数据的类型(e.g., TCP, UDP，ICMP)
      
• 封装安全性载荷（ESP）协议
  • 提供机密性，主机的可认证性，数据的完整性
  • 数据和ESP尾部部分被加密
  • next header字段在ESP尾部
  • ESP 认证的头部与AH类似
  • 协议号= 50
    

7.3 安全关联

• 从源实体向目的实体发送IPsec数据报之前，源和目的实体创建了一个网络层的逻辑连接。这个逻辑连接称为安全关联(Security Association，SA )。
• 一个 SA 是一个单工逻辑连接也就是说，如果两个实体要互相发送安全数据报，则需创建两个SA，每个方向一个。
• 
  路由器R1需要维护的SA的状态信息
  • SA的32比特的标识符（称为安全参数索引SPI）
  • SA的初始接口（此例中为200.168.1.100）和SA的目的接口（此例中为193.68.2.23）
  • 将使用的加密类型（如具有CBC的3DES）
  • 加密密钥
  • 完整性检查的类型（如具有MD5的HMAC）
  • 鉴别密钥
• 一个IPsec实体在它的安全关联数据库SAD中存储其所有SA的状态信息，SAD是实体操作系统内核中的一个数据结构

7.4 IPsec数据报

• IPsec有两种分组形式：隧道模式和运输模式
• 分析图8-28场景的IPsec字段。
  假设路由器R1接收到一个来自主机172.16.1.17（在总部网络中）的普通IPv4数据报，该分组的目的地是主机172.16.2.48（在分支机构网络中）。路由器R1使用下列方法将这个“普通IPv4数据报”转换成一个IPsec数据报：
  • 在初始IPv4数据报（它包括初始首部字段）后面附上一个“ESP尾部”字段。
  • 使用算法和由SA规定的密钥加密该结果。
  • 在这个加密量的前面附加上一个称为“ESP首部”的字段，得到的包称为“enchilada"
  • 使用算法和由SA规定的密钥生成一个覆盖整个enchilada的鉴别MAC。
  • 该MAC附加到enchilada的后面形成载荷。
  • 最后，生成一个具有所有经典IPv4首部字段（通常共20字节长）的全新1P首部， 该新首部附加到载荷之前。
• 

7.5 IKE：IPsec中的密钥管理

• 大型的且地理上分散的部署要求一个自动的机制来生成SA。
• IPsec使用因特网密钥交换IKE协议来实现这个机制
• IKE应用两个阶段实现
  • 在报文的第一次交换期间，两侧使用Diffie-Hellman在路由器之间生成一个双向的IKE SA
  • 在报文的第二次交换期间，两侧通过对其报文签名而透漏了他们的身份。

8 实现安全的无线局域网和4G/5G蜂窝网络

8.1 802.11（wifi）无线局域网中的鉴别和密钥协商

希望802.11网络解决的问题：

• 相互鉴别：在允许移动设备完全连接到接入点并向远程主机发送数据报之前，网络通过需要首先对设备进行鉴别（验证连接到网络的移动设备的身份，并检查该设备的访问权限），同样，移动设备需要对它所连接的网络进行鉴别。
• 加密：在实践中使用对称密钥加密，因为加密和解密必须高速执行。

AP：鉴别服务器，负责对移动设备进行鉴别，通常会为网络中的所以所有AP提供鉴别服务






WPA的核心是一个四次握手协议

EAP：可扩展鉴别协议，定义了在移动设备和鉴别服务之间交互的简单请求/响应模式中使用的端到端报文格式，并根据WPA2进行认证

8.2 4G/5G蜂窝网络中的鉴别和密钥协商

9 运行安全：防火墙和入侵

9.1 防火墙

• 防火墙：将组织内部网络和互联网络隔离开来，按照规则允许某些分组通过（进出），或者阻塞掉某些分组
• 防火墙的作用：
  • 阻止拒绝服务攻击：SYN flooding: 攻击者建立很多伪造TCP链接，对于真正用户而言已经没有资源留下了
  • 阻止非法的修改/对非授权内容的访问：e.g., 攻击者替换掉CIA的主页
  • 只允许认证的用户能否访问内部网络资源：(经过认证的用户/主机集合)
  • 2种类型的防火墙：网络级别：分组过滤器（有状态，无状态）；应用级别：应用程序网关
• 分组过滤
  • 内部网络通过配置防火墙的路由器连接到互联网上
  • 路由器对分组逐个过滤，根据以下规则来决定转发还是丢弃：
    • 源IP地址,目标IP地址
    • TCP/UDP源和目标端口
    • ICMP报文类别
    • TCP SYN 和ACK bits
  • 分组过滤-无状态
    • 例1：阻塞进出的数据报：只要拥有IP协议字段= 17，而且源/目标端口号= 23。（所有的进出UDP流以及telnet 连接的数据报都被阻塞掉）
    • 例2：阻塞进入内网的TCP段：它的ACK=0（阻止外部客户端和内部网络的主机建立TCP连接，但允许内部网络的客户端和外部服务器建立TCP连接）
      
      ACL（ Access Control Lists）规则的表格，top –bottom应用到输入的分组: (action, condition) 对
      
• 有状态分组过滤
  • 无状态分组过滤根据每个分组独立地检查和行动
  • 有状态的分组过滤联合分组状态表检查和行动
  • ACL增强：在允许分组之前需要检查连接状态表
    
    应用程序网关
• 根据应用数据的内容来过滤进出的数据报，就像根据IP/TCP/UDP字段来过滤一样
  • 检查的级别：应用层数据
• Example：允许内部用户登录到外部服务器，但不是直接登录
  • 1.需要所有的telnet用户通过网关来telnet
  • 2.对于认证的用户而言，网关建立和目标主机的telnet connection ，网关在2个连接上进行中继
  • 3.路由器过滤器对所有不是来自网关的telnet的分组全部过滤掉

防火墙和应用程序网关的局限性

• IP spoofing:路由器不知道数据报是否真的来自于声称的源地址
• 如果有多个应用需要控制，就需要有多个应用程序网关
• 客户端软件需要知道如何连接到这个应用程序
  • e.g., 必须在Web browser中配置网络代理的Ip地址
• 过滤器对UDP段所在的报文，或者全过或者全都不过
• 折中: 与外部通信的自由度，安全的级别
• 很多高度保护的站点仍然受到攻击的困扰

9.2 入侵检测系统

• 分组过滤:

  • 对TCP/IP头部进行检查
  • 不检查会话间的相关性

• IDS: intrusion detection system

  • 深入分组检查:检查分组的内容(e.g., 检查分组中的特征串已知攻击数据库的病毒和攻击串
  • 检查分组间的相关性，判断是否是有害的分组，端口扫描、网络映射、DoS攻击

• multiple IDSs: 在不同的地点进行不同类型的检查
  

• Internet 安全威胁：映射

  • 在攻击之前：“踩点”–发现在网络上实现了哪些服务
  • 使用ping来判断哪些主机在网络上有地址
  • 端口扫描：试图顺序地在每一个端口上建立TCP连接(看看发生了什么)
  • nmap (http://www.insecure.org/nmap/) mapper: “network exploration and security auditing”

• Internet 安全威胁：映射对策

  • 记录进入到网络中的通信流量
  • 发现可疑的行为(IP addresses, 端口被依次扫描)

• Internet 安全威胁：分组嗅探

  • 广播式介质
  • 混杂模式的NIC获取所有的信道上的分组
  • 可获取所有未加密的数据(e.g. passwords)
  • e.g.: C 嗅探B的分组
    

• Internet 安全威胁：分组嗅探的对策

  • 机构中的所有主机都运行能够监测软件，周期性地检查是否有网卡运行于混杂模式
  • 每一个主机一个独立的网段(交换式以太网而不是使用集线器)
    

• Internet 安全威胁：IP Spoofing欺骗

  • 可以有应用进程直接产生“raw” IP分组, 而且可以在IP源地址部分直接放置任何地址
  • 接收端无法判断源地址是不是具有欺骗性的
  • e.g. C 伪装成B
    

• Internet 安全威胁IP Spoofing：入口过滤

  • 路由器对那些具有非法源地址的分组不进行转发
    (e.g., 数据报的源地址不是路由器所在的网络地址)
  • 很好，但是入口过滤不能够在全网范围内安装
    

• Internet 安全威胁Denial of service (DOS)

  • 产生的大量分组淹没了接收端
  • Distributed DOS (DDOS): 多个相互协作的源站淹没了接收端
  • e.g., C 以及远程的主机SYN-attack A
    

• Internet 安全威胁Denial of service (DOS): 对策

  • 在到达主机之前过滤掉这些泛洪的分组(e.g., SYN) : throw out good with bad
  • 回溯到源主机(most likely an innocent, compromised machine)