清华大学计算机网络安全课件-加密技术与协议安全

清华大学计算机网络安全课件加密技术与协议安全-本课程深入探讨计算机网络安全中的核心技术，重点介绍加密技术与协议安全的理论基础与实际应用通过系统性学习密码学基础、对称加密、公钥密码、数字签名、密钥管理和网络安全协议等关键内容，学生将掌握构建安全网络环境的核心技术和方法课程涵盖从传统密码学到现代加密算法的发展历程，深入分析各种加密技术的原理、特点和应用场景同时结合大数据时代的安全挑战，探讨新兴安全技术在实际环境中的部署与实施策略课程概述密码技术与网络安全协计算机网络安全关键技议基础术深入学习密码学核心理论，掌系统了解网络安全体系架构，握对称加密、非对称加密、哈重点掌握、等IPSec SSL/TLS希函数等基础技术原理与实现主流安全协议的设计原理与部机制署方法实际应用与实践案例结合真实应用场景，分析典型安全协议漏洞，学习安全系统设计与评估的实践方法第一部分密码学基础密码学历史发展密码学在网络安全中的重要性从古代凯撒密码到现代量子密码学的演进历程，探索密码技术如作为信息安全的核心支撑技术，何随着时代发展而不断进步密码学为数据保密、完整性验证和身份认证提供根本保障基本术语与概念明文、密文、密钥、加密算法等核心概念的深入理解，为后续学习奠定坚实理论基础密码学的发展历程手工加密阶段古代密码技术以简单替换和移位为主，如凯撒密码、维吉尼亚密码等这些方法依赖人工操作，安全性相对较低，但为现代密码学奠定了基础理论机械加密阶段二战期间的机代表了机械加密的巅峰，通过机械转子实Enigma现复杂加密虽然最终被破解，但推动了密码分析学的发展，为电子密码学铺平道路计算机加密阶段现代密码学依托计算机强大计算能力，发展出、、DES AES等强加密算法量子密码学的兴起预示着密码技术将迎来RSA新的革命性突破密码学的基本概念的词源与定义Cryptography源自希腊语（隐藏）和（书写），密码学是研究如何保护信息安全传输与存储的科学技术学科kryptos graphein密码学在信息安全中的地位作为信息安全四大基本要素（保密性、完整性、可用性、不可否认性）的核心技术支撑，密码学构建了现代网络安全的技术基础现代密码学的研究方向包括量子密码学、后量子密码学、同态加密、多方安全计算等前沿领域，致力于应对未来计算技术发展带来的新挑战密码学的地位和作用信息保密的核心技术通过加密算法确保敏感信息安全传输网络安全的基础支撑为各类网络安全协议提供技术保障数据完整性与身份验证的保障确保数据未被篡改且通信双方身份可信密码学技术构成了现代信息安全体系的根基从最基础的数据完整性验证和身份认证开始，逐步构建起网络通信的安全保障机制，最终实现信息的全面保密保护这种层次化的安全架构确保了数字世界中信息资产的安全性和可信性密码学的基本术语明文与密文加密与解密明文是原始可读信息，密文是经过加密加密是将明文转换为密文的过程，解密处理的信息是逆向还原的过程密码算法与密码协议密钥与密钥空间算法定义加密规则，协议规范密钥交换密钥是控制加解密过程的参数，密钥空和使用流程间是所有可能密钥的集合密码算法的分类按加密处理单位分类分组密码逐块处理，流密码逐位处理按密钥使用方式分类对称密码共享密钥，非对称密码使用密钥对按算法公开程度分类公开算法依赖密钥保密，私有算法保密整个机制现代密码学遵循原则，即算法的安全性应该基于密钥的保密性而不是算法本身的保密性这种设计理念促进了密码算法的Kerckhoffs标准化发展，使得经过公开验证的强算法成为行业标准，为全球信息安全提供可靠保障第二部分对称密码分组密码原理将明文分割成固定长度的数据块，逐块进行加密处理，确保每个数据块都经过完整的加密变换常见对称加密算法包括、、等经典算法，以及等现代DES3DES AESChaCha20流密码算法，各有不同的设计特点和应用优势应用场景与安全性分析适用于大数据量加密、通信、数据库加密等场景，需要考VPN虑算法强度、密钥长度和实现安全性分组密码原理分组加密的基本概念分组密码将明文划分为固定长度的数据块（通常位或位），每个64128数据块作为一个整体进行加密处理这种方法确保了加密过程的规范性和可靠性，便于硬件和软件实现的优化分组密码的工作模式为处理长于单个分组的数据，设计了多种工作模式如、、ECB CBC、和每种模式都有不同的安全特性和适用场景，正确CFB OFBCTR选择工作模式对整体安全性至关重要填充机制与安全考量当最后一个数据块长度不足时，需要采用填充方案如PKCS#7填充机制的设计必须防止填充攻击，确保即使攻击者知道填充方案也无法获取有用信息算法DES数据加密标准原理安全性分析与局限性采用网络结构，通过轮复杂的替换和置换操作实的位密钥空间包含约个可能密钥，在年DES Feistel16DES

567.2×10^161970现加密每轮使用位子密钥，通过盒替换和盒置换产生雪代被认为是安全的然而随着计算能力的提升，年成48S P1998EFF崩效应，确保输入的微小变化导致输出的剧烈变化功在小时内破解，证明其密钥长度已不足以抵御暴力攻56DES击尽管位有效密钥长度在现代标准下显得不足，但的设计56DES原理和结构为后续分组密码算法的发展奠定了重要基为弥补这一缺陷，业界发展了算法，通过三次运算有Feistel3DES DES础效延长了密钥长度，提高了安全性，但同时也带来了性能开销算法AES高级加密标准特点替代置换网络结构-于年成为美国联邦将位数据组织为AES2001AES1284×4信息处理标准，采用替代置字节矩阵，通过字节替换、行-换网络结构，支持移位、列混淆和轮密钥加等四SPN128位数据块和位个步骤实现加密，设计简洁且128/192/256密钥长度，具有高效性和强安便于硬件实现全性轮函数设计与安全性根据密钥长度执行轮加密，每轮操作都经过严格的密码学分10/12/14析验证，能够有效抵御差分攻击、线性攻击等已知密码分析方法分组密码的工作模式工作模式安全特性并行处理适用场景模式相同明文产生支持并行短数据加密ECB相同密文模式密文块相互依解密可并行文件加密CBC赖模式将分组密码转完全并行网络通信CTR为流密码模式提供认证加密支持并行协议GCM TLS选择合适的工作模式对于确保系统安全性至关重要模式虽然简单但存在ECB模式泄露问题，不适合加密结构化数据模式通过链接提供了更好的安CBC全性，但需要随机初始化向量模式具有流密码特性，支持随机访问，在CTR现代应用中越来越受欢迎序列密码序列密码的生成方式通过伪随机数生成器产生密钥流，生成器的设计必须确保输出序列具有良好的流密码的基本原理随机性和足够长的周期序列密码通过生成与明文等长的密钥流，使用异或运算实现加密这种方法等常见序列密码算法RC4处理速度快，特别适合实时通信场景曾广泛应用于和早期协RC4WEP TLS议，但由于存在偏置性和相关密钥攻击等漏洞，现已逐步被等现代ChaCha20算法替代对称密码的优缺点优势特点局限性挑战加解密速度快，适合大数据量处理密钥分配困难，需要安全信道••算法设计相对简单，易于硬件实现密钥数量随用户增加呈平方增长••计算开销小，资源消耗低无法提供数字签名功能••经过长期验证，安全性可靠密钥管理复杂度高••对称加密在性能方面具有显著优势，特别适合需要高速处理大量在大规模网络环境中，对称密码面临严重的密钥管理挑战个n数据的应用场景，如数据库加密、文件系统保护等用户需要个密钥，这种指数级增长使得纯对称加密系统nn-1/2难以扩展第三部分公钥密码非对称加密基本原理使用数学上相关但不同的密钥对主流公钥密码算法、、椭圆曲线等算法体系RSA ElGamal混合加密系统结合对称和非对称加密的优势公钥密码学的出现彻底改变了密码学领域，解决了密钥分配这一长期困扰对称密码的核心问题通过巧妙的数学设计，公钥密码不仅实现了安全的密钥交换，还为数字签名、身份认证等应用奠定了基础，构成了现代信息安全体系的重要支柱公钥密码基本原理非对称密钥对概念每个用户拥有一对数学相关的密钥公钥可以公开分发，私钥必须严格保密这种设计使得无需预先共享秘密就能建立安全通信公钥与私钥的使用方式加密时使用接收方公钥，只有对应私钥才能解密；签名时使用自己私钥，任何人都可用公钥验证这种双向机制既保证保密性又实现认证性数学难题与单向函数安全性基于计算复杂性理论，如大整数分解、离散对数等数学难题正向计算容易，逆向计算在计算上不可行，形成单向陷门函数算法RSA197720483算法发明年份推荐密钥长度基本运算类型由、、三人提出当前安全标准的最小密钥位数模幂运算构成算法核心Rivest ShamirAdleman算法基于大整数分解困难性假设，通过选择两个大素数和，计算作为模数加密过程为，解密过程为，RSA pq n=p×q c=m^e modn m=c^d modn其中为公钥，为私钥算法的安全性依赖于在已知和的情况下，计算的困难性e,n d,n ne d算法不仅可用于加密，还能实现数字签名签名时使用私钥计算，验证时用公钥检验是否成立这种双重RSA s=Hm^d modn Hm=s^e modn功能使成为应用最广泛的公钥算法之一RSA算法ElGamal离散对数问题算法安全性基于在有限域上求解离散对数的困难性给定g^x，在已知、、的情况下求解在计算上不可行mod p=y gp yx算法工作原理密钥生成选择大素数和生成元，私钥为随机数，公钥为p gx加密时选择随机数，计算y=g^x mod p kc1,c2=g^k modp,m·y^k mod p与的比较RSA具有语义安全性，相同明文产生不同密文，但密文长ElGamal度是明文的两倍具有确定性，计算效率更高，但需要填RSA充方案保证安全椭圆曲线密码体制ECC椭圆曲线密码学基础的优势与特点ECC基于椭圆曲线上点群的离散对数在提供相同安全强度下，密ECC问题，曲线方程为钥长度远短于位RSA256ECC点的加法运算定密钥的安全性相当于位y²=x³+ax+b3072义了群结构，标量乘法在已密钥，大幅降低了存储、传k·P RSA知和时容易计算，但从和输和计算开销，特别适合移动设k P k·P求解极其困难备和物联网应用Pk实际应用与密钥长度选择广泛应用于协议、比特币、智能卡等领域推荐、TLS NISTP-256P-、等标准曲线，但也有安全专家建议使用等抗侧384P-521Curve25519信道攻击的替代曲线混合加密会话密钥生成密钥封装系统随机生成对称加密的会话密钥，确使用接收方公钥加密会话密钥，形成数保每次通信使用不同密钥，提高安全字信封，解决公钥加密速度慢的问题性安全传输数据加密同时传输加密的数据和数字信封，接收使用会话密钥对实际数据进行对称加方先用私钥解密会话密钥，再解密数密，兼顾安全性和效率据第四部分消息认证与完整性哈希函数原理与应用通过单向散列函数将任意长度数据映射为固定长度摘要，实现数据完整性验证和数字指纹功能数字签名技术结合哈希函数和公钥密码实现消息认证、身份确认和不可否认性，构建数字世界的信任基础完整性验证机制通过、等消息认证码技术，确保数据在传输和存MAC HMAC储过程中未被恶意篡改消息认证机制消息认证的必要性认证技术的分类在开放网络环境中，数据面临包括基于共享密钥的技MAC窃听、篡改、伪造等多种威术、基于公钥的数字签名技胁消息认证确保接收到的数术，以及基于生物特征的身份据确实来自声称的发送者且未认证技术每种技术适用于不被修改，为通信双方建立可信同的应用场景和安全需求基础与原理MAC HMAC消息认证码将消息和密钥作为输入，产生固定长度的认证标签使用哈希函数构造，通过内外两层哈希运算抵御长度扩展HMAC MAC攻击，提供更强安全保障函数Hash单向散列函数特性抗碰撞性与安全要求哈希函数将任意长度输入映射为固定长度输出，具有单向性、确密码学哈希函数必须满足三个抗碰撞性要求抗原像攻击、抗第定性和雪崩效应等关键特性相同输入必然产生相同输出，但微二原像攻击和抗碰撞攻击由于存在碰撞漏洞已被淘汰，MD5小输入变化会导致输出剧烈变化也逐步被和替代SHA-1SHA-2SHA-3计算容易，但从已知反推在计算上不可行这种单现代应用推荐使用或更强的哈希算法对于特殊需h=Hm hm SHA-256向性质使哈希函数成为密码学中的重要工具，广泛应用于完整性求，可选择、等新一代算法，它们在性能和安BLAKE2SHA-3验证和数字签名等场景全性方面都有显著提升函数的应用Hash数据完整性验证通过比较数据的哈希值检测是否被篡改文件下载时提供的哈希校验码、区块链中的默克尔树结构、数据库中的完整性约束都依赖此技术口令保护系统存储密码哈希值而非明文密码，登录时对输入密码计算哈希并与存储值比较现代系统使用加盐哈希和慢哈希函数如、bcrypt scrypt抵御彩虹表攻击数字签名与认证数字签名通常对消息哈希而非消息本身进行签名，既提高效率又保证安全证书指纹、证书链验证等都使用哈希技术确保认证过程的SSL可靠性数字签名原理数字签名的基本概念数字签名是电子文档的数学认证机制，提供身份认证、数据完整性和不可否认性三重保障签名生成与验证过程签名者使用私钥对消息哈希进行加密生成签名，验证者使用公钥验证签名的有效性不可否认性保障由于私钥的唯一性和保密性，签名者无法否认已签署的文档，为法律认定提供技术基础数字签名技术为数字世界建立了信任机制，其法律效力在全球范围内得到越来越广泛的认可通过密码学技术，数字签名不仅实现了传统手写签名的认证功能，还提供了手写签名无法比拟的安全保障和便利性，成为电子商务、电子政务等领域的核心技术支撑数字签名RSA消息哈希首先对原始消息计算哈希值，确保签名过程的效率和安全性哈希函数的选择直接影响整个签名方案的安全强度签名生成使用私钥对哈希值进行模幂运算这个过程只d s=Hm^d modn有私钥持有者能够完成，确保签名的真实性和唯一性签名验证任何人都可使用公钥验证签名检验是否成立e Hm=s^e modn验证成功则确认消息来源和完整性签名方案广泛应用于证书、软件代码签名、电子合同等领域为防御各种RSA PKI攻击，实际应用中采用等填充方案，增强PSSProbabilistic SignatureScheme签名的安全性现代实现还需考虑侧信道攻击防护，确保私钥操作的安全性与DSA ECDSA数字签名算法特点基于椭圆曲线的签名方案由美国在年提出，专门设计用于数字签名而非加将算法扩展到椭圆曲线群上，在保持相同安全强度DSA NIST1991ECDSA DSA密算法基于离散对数问题的困难性，签名过程涉及模幂运算和的前提下显著缩短了密钥和签名长度位的安全性256ECDSA模逆运算，具有良好的安全性证明相当于位，大幅提升了计算和存储效率3072RSA的签名长度固定，不会泄露私钥信息，且签名过程中使用广泛应用于比特币、以太坊等区块链系统，以及移动设DSA ECDSA随机数，相同消息每次产生不同签名，提供语义安全性但随备的安全芯片中算法实现需要特别注意随机数生成的质量和侧k机数的质量直接影响整个方案的安全性信道攻击防护第五部分密钥管理证书管理与信任模型建立层次化的信任体系公钥基础设施提供密钥生命周期管理服务密钥分配与交换安全分发和协商密钥的基础技术密钥管理是密码系统的核心环节，涵盖密钥的生成、分发、存储、更新和销毁等全生命周期过程有效的密钥管理不仅要确保密钥的安全性，还要保证系统的可操作性和可扩展性现代密钥管理依托基础设施，通过标准化的证书格式和协议，为大规模网络环境提PKI供可信的密钥管理解决方案密钥分配与密钥协商密钥分配的挑战在大规模网络中安全分发密钥面临诸多挑战如何确保密钥在传输过程中不被窃取，如何验证通信双方的身份，如何处理密钥的更新和撤销等传统的物理分发方式在网络环境中不现实，需要依靠密码学技术建立安全的密钥分发机制可信第三方介入密钥分发中心和证书颁发机构作为可信第三方，为网络中的KDC CA各个实体提供密钥管理服务负责生成和分发会话密钥，负责KDC CA颁发和管理数字证书，两者共同构建了网络安全的信任基础密钥更新机制为防止密钥被破解或泄露，系统必须定期更新密钥更新频率需要在安全性和性能之间找到平衡点现代系统通常采用前向安全性设计，即使当前密钥被泄露，也不会影响之前通信的安全性密钥协商算法Diffie-Hellman算法原理密钥协商过程DH两方各自选择私密随机数，通过公开信选择随机数，选择随机数Alice aBob道交换计算结果，最终得到共同的会话，双方分别计算和b g^a modp g^b密钥基于离散对数问题的困难性确保并交换，最终共同密钥为modpg^ab安全modp认证型算法中间人攻击风险DH通过数字证书或预共享密钥对交换进基础协议无法验证通信方身份，攻击DH DH行认证，确保密钥协商过程的真实性和者可冒充双方建立不同密钥需要结合完整性认证机制防范此类攻击公钥基础设施PKI架构与组件PKI包括证书颁发机构、注册机构、证书目录服务、密钥PKI CA RA管理中心等核心组件负责证书签发，处理证书申请，目录服CARA务提供证书查询，共同构建完整的信任基础设施证书颁发与撤销证书申请需要经过身份验证、密钥生成、证书签发等严格流程当证书泄露或用户身份变更时，必须及时撤销证书并发布证书撤销列表，维护整个信任体系的安全性CRL信任链构建通过层次化的结构建立信任链，根自签发证书，中间由上CA CA CA级签发证书，用户证书由中间签发信任关系从根向下传CACACA递，形成完整的信任体系证书标准X.509证书字段内容描述安全作用版本号证书格式版本确保兼容性序列号分配的唯一标识撤销管理CA签名算法使用的签名算法验证完整性CA颁发者的可辨识名称确认证书来源CA有效期证书生效和过期时间限制使用时间主体证书持有者信息身份绑定公钥主体的公钥信息加密和验签标准定义了数字证书的格式和验证规则，是目前应用最广泛的证书标准证X.509书通过语法编码，采用格式存储，确保跨平台兼容性现代证书还包含ASN.1DER扩展字段，支持密钥用途限制、主体替代名称等高级功能密钥托管与恢复密钥备份的必要性密钥恢复机制在商业环境中，密钥丢失可能导致重要数据永久无法访问，造成密钥恢复系统通常采用秘密分享技术，将密钥分割为多个份额，巨大经济损失因此需要建立可靠的密钥备份机制，确保在密钥分别由不同的托管代理保管只有当足够数量的代理同意时，才丢失或损坏时能够恢复访问权限能重构出原始密钥密钥备份不仅适用于加密密钥，还包括数字签名私钥的备份但恢复过程需要严格的身份认证和授权流程，包括多重身份验证、签名私钥的备份需要特殊考虑，因为这可能影响数字签名的不可管理层批准等步骤系统还应记录所有恢复操作的详细日志，用否认性于安全审计和合规检查第六部分网络安全协议协议族IPSec在网络层提供端到端安全保护，支持认证、完整性验证和加密服务，广泛应用于和企业网络安全VPN协议SSL/TLS在传输层提供安全通信服务，是安全的基础协议，保护、Web HTTP、等应用层协议的数据传输SMTP FTP安全协议分析与评估通过形式化验证、安全审计和渗透测试等方法，评估协议设计和实现的安全性，发现潜在漏洞和攻击向量协议族IPSec协议架构IPSecIPSec在网络层提供安全服务，包括认证头AH协议、封装安全载荷ESP协议和互联网密钥交换IKE协议架构设计遵循模块化原则，各协议可独立或组合使用与协议AH ESPAH协议提供数据完整性和源认证，但不加密数据ESP协议在提供AH功能基础上增加了数据保密性两个协议都支持传输模式和隧道模式，适应不同的部署需求密钥交换IKEIKE协议负责安全关联的建立和密钥管理，包括身份认证、密钥协商和安全参数协商IKEv2相比IKEv1简化了协商流程，提高了效率和安全性安全关联管理SASA定义了通信双方的安全策略和密钥信息，包括加密算法、认证算法、密钥生存期等参数SA数据库为IPSec实现提供查询和管理接口的部署模式IPSec传输模式隧道模式在传输模式下，只保护数据包的载荷部分，原始头保隧道模式将整个原始包作为载荷封装在新的包中，提供更强IPSec IP IP IPIP持不变这种模式适用于端到端通信，开销较小，常用于同一网的保护这种模式适用于网关间通信，可以隐藏内部网络拓扑，络内部的主机间通信是实现的标准方式VPN协议在传输模式下保护整个包的完整性，但由于头中的隧道模式的开销较大，因为增加了额外的头，但提供了更好的AH IPIPIP某些字段如在传输过程中会改变，实现时需要特殊处理安全性和灵活性网关可以代表内部主机进行通信，简化TTL IPSec协议只保护载荷，实现相对简单了部署和管理复杂度ESP协议SSL/TLS协议层次结构协议栈包括握手协议、密钥规格变更协议、警告协议和记录协议四个子协议TLS握手协议过程通过四次握手完成密钥协商、身份认证和密码套件选择记录协议与警告协议为上层应用提供透明的安全传输服务密码套件选择根据安全需求和性能要求选择合适的加密算法组合协议是互联网安全通信的基石，为、、等应用层协议提供透明的安全保护协议设计考虑了向后兼容性、性能优化和安全增强TLS HTTPSMTP FTP等多个方面，通过模块化架构支持多种密码算法和认证方式，满足不同应用场景的安全需求新特性TLS

1.31往返次数握手过程简化为1-RTT0RTT模式支持0-RTT早期数据传输5密码套件仅保留5个安全的密码套件100%前向安全所有密钥交换都具备前向安全性TLS

1.3相比前版本进行了重大改进，显著提升了安全性和性能协议移除了不安全的密码算法如RC

4、MD

5、SHA-1，强制使用AEAD加密模式，消除了已知的安全漏洞握手过程的优化使连接建立更加高效，0-RTT模式在某些场景下可以实现真正的零延迟通信新版本还改进了密钥导出机制，所有会话密钥都具备前向安全性，即使长期密钥泄露也不会影响过去会话的安全这些改进使TLS

1.3成为当前最安全、最高效的传输层安全协议。