网络协议基础学习(十二): 对称加密、非对称加密、数字签名、证书

2022-01-11 338 阅读18分钟

一、网络通信中面临的四种安全威胁

截获：窃听通信内容
中断：中断网络通信
篡改：篡改通信内容
伪造：伪造通信内容

1、网络层 - ARP欺骗

ARP欺骗(ARP spoofing), 又称ARP毒化(ARP poisoning)、ARP病毒、ARP攻击
ARP欺骗可以造成的效果
- 可让攻击者获取局域网上的数据包甚至可篡改数据包
- 可让网络上特定电脑之间无法正常通信(例如网络执法官这样的软件)
- 让送至特定IP地址的流量被错误送到攻击者所取代的地方
- ......

(1) ARP欺骗 - 核心步骤举例

假设主机C是攻击者, 主机A、B是被攻击者, C已经记录过A的MAC地址

C只要收到过A、B发送的ARP请求, 就会拥有A、B的IP、MAC地址, 就可以进行欺骗活动
- ① B要给A发送信息, 但是不知道A的MAC地址, 于是发送ARP广播, 获取A的MAC地址
- ② 交换机将ARP广播发送给A
- ③ 交换机将ARP广播发送给C

A收到ARP广播后, 发送一个ARP响应给B, 告知A的源MAC地址
C收到ARP广播后, 发送一个ARP响应给B, 把响应包里的源IP设为A的IP地址, 源MAC设为C的MAC地址
B收到ARP响应后, 更新它的ARP表, 把A的MAC地址(IP_A, MAC_A)改为(IP_A, MAC_C)
- ④ A发送ARP响应给B, 携带A的源IP地址和A的源MAC地址
- ⑤ C发送ARP响应给B, 携带A的源IP地址和C的源MAC地址
- ⑥ B收到A的ARP响应, 缓存A的源IP地址和A的源MAC地址
- ⑦ B收到C的ARP响应, 覆盖A的源IP地址和C的源MAC地址

当B要发送数据包给A时, 它根据ARP表来封装数据包的头部, 把目标MAC地址设为MAC_C, 而非MAC_A
当交换机收到B发送给A的数据包时, 根据此包的目标MAC地址(MAC_C)而把数据包转发给C
- ⑧ B准备给A发送信息, 但是携带的是 A的源IP地址和C的源MAC地址
- ⑨ 路由器此时记录了IP_MAC的映射关系, 于是将B发来的信息转发给了C, 于是C拿到了B发送的信息

C收到数据包后, 可以把它存起来后再发送给A, 达到窃听效果。C也可以篡改数据后才发送数据包给A
- ⑩ C收到数据后, 窃听数据, 也可以篡改数据, 然后在发送给A
- ⑪ 交换机将数据发送给A

(2) ARP欺骗 - 防护

静态ARP
DHCP Snooping
- 网络设备可借由DHCP保留网络上各电脑的MAC地址, 在伪造的ARP数据包发出时即可侦测到
利用一些软件监听ARP的不正常变动
...

2、DOS、DDOS

DoS攻击(拒绝服务攻击, Denial-of-Service attack)
- 使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问
DDoS攻击(分布式拒绝服务攻击, Distributed Denial-of-Service attack)
- 黑客使用网络上两个或以上被攻陷的电脑作为"僵尸"向特定的目标发动DoS攻击
- 2018年3月, GitHub遭到迄今为止规模最大的DDoS攻击
DoS攻击可以分为2大类
- 带宽消耗型: UDP洪水攻击、ICMP洪水攻击
- 资源消耗型: SYN洪水攻击、LAND攻击

(1) DOS、DDOS防御

防御方式通常为: 入侵检测、流量过滤、和多重验证
- 堵塞网络带宽的流量将被过滤, 而正常的流量可正常通过
防火墙
- 防火墙可以设置规则, 例如允许或拒绝特定通讯协议, 端口或IP地址
- 当攻击从少数不正常的IP地址发出时, 可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信
- 复杂攻击难以用简单规则来阻止, 例如80端口遭受攻击时不可能拒绝端口所有的通信, 因为同时会阻止合法流量
- 防火墙可能处于网络架构中过后的位置, 路由器可能在恶意流量达到防火墙前即被攻击影响
交换机: 大多数交换机有一定的速度限制和访问控制能力
路由器: 和交换机类似, 路由器也有一定的速度限制和访问控制能力
黑洞引导
- 将所有受攻击计算机的通信全部发送至一个"黑洞"(空接口或不存在的计算机地址)或者有足够能力处理洪流的网络设备商, 以避免网络受到较大影响
流量清洗
- 当流量被送到DDoS防护清洗中心时, 通过采用抗DDoS软件处理, 将正常流量和恶意流量区分开
- 正常的流量则回注回客户网站

3、传输层 - SYN洪水攻击

SYN洪水攻击（SYN flooding attack）
- 攻击者发送一系列的SYN请求到目标, 然后让目标因收不到ACK(第3次握手)而进行等待、消耗资源
攻击方法
- 跳过发送最后的ACK信息
- 修改源IP地址, 让目标送SYN-ACK到伪造的IP地址, 因此目标永不可能收到ACK(第3次握手)
防护
- 参考：RFC 4987

4、传输层 - LAND攻击

LAND攻击(局域网拒绝服务攻击，Local Area Network Denial attack)
- 通过持续发送相同源地址和目标地址的欺骗数据包, 使目标试图与自己建立连接, 消耗系统资源直至崩溃
有些系统存在设计上的缺陷, 允许设备接受并响应来自网络、却宣称来自于设备自身的数据包, 导致循环应答
防护
- 大多数防火墙都能拦截类似的攻击包, 以保护系统
- 部分操作系统通过发布安全补丁修复了这一漏洞
- 路由器应同时配置上行与下行筛选器, 屏蔽所有源地址与目标地址相同的数据包

5、应用层 - DNS劫持

DNS劫持, 又称为域名劫持
- 攻击者篡改了某个域名的解析结果, 使得指向该域名的IP变成了另一个IP
- 导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址
- 从而实现非法窃取用户信息或者破坏正常网络服务的目的
为防止DNS劫持, 可以考虑使用更靠谱的DNS服务器, 比如: 114.114.114.114
- 谷歌: 8.8.8.8、8.8.4.4
- 微软: 4.2.2.1、4.2.2.2
- 百度: 180.76.76.76
- 阿里: 223.5.5.5、223.6.6.6
HTTP劫持: 对HTTP数据包进行拦截处理, 比如插入JS代码
- 比如你访问某些网站时, 在右下角多了个莫名其妙的弹窗广告

二、HTTP协议的安全问题

HTTP协议默认是采取明文传输的，因此会有很大的安全隐患
- 常见的提高安全性的方法是：对通信内容进行加密后，再进行传输
常见的加密方式有
- 不可逆
  - 单向散列函数：MD5、SHA等
- 可逆
  - 对称加密：DES、3DES、AES等
  - 非对称加密：RSA等
- 其它
  - 混合密码系统
  - 数字签名
  - 证书
常见英文
- encrypt: 加密
- decrypt: 解密
- plaintext: 明文
- ciphertext 密文

1、如何防止窃听?

可以给传输的明文信息加密, 收到后再解密即可

这样第三方只能窃听密文, 并不能解析出来

MD5加密: www.cmd5.com/hash.aspx
MD5解密: www.cmd5.com/
其它加密:
- www.sojson.com/encrypt_des…
- tool.chinaz.com/tools/md5.a…

三、单向散列函数

单向散列函数, 可以根据根据消息内容计算出散列值
散列值的长度和消息的长度无关, 无论消息是1bit、10M、100G，单向散列函数都会计算出固定长度的散列值

1、特点

根据任意长度的消息, 计算出固定长度的散列值
- 例如SHA-1计算出来的散列值就是20个字节
计算速度快, 能快速计算出散列值
消息不同, 散列值也不同
- 哪怕只有1比特的改变, 计算出的散列值也不同

具备单向性
- 只能通过消息计算出散列值, 无法根据散列值逆算出消息

2、称呼

单向散列函数，也被称为
- 消息摘要函数
- 哈希函数
输出的散列值，也被称为
- 消息摘要
- 指纹

3、常见的几种单向散列函数

MD4、MD5
- 产生128bit的散列值, MD就是Message Digest的缩写
SHA-1
- 产生160bit的散列值
SHA-2
- SHA-256、SHA-384、SHA-512, 散列值得长度分别是256bit、384bit、512bit
SHA-3
- 全新标准

4、如何防止数据被篡改

假设昨天在系统中存放了一个文件, 但是如何保证今天的文件没有被攻击者篡改, 还和昨天的文件一致?

为了要对比昨天的文件和今天的文件, 就需要把昨天的文件做一个副本保存起来, 和今天的文件进行对比

因为文件可能会太大, 直接缓存文件会占用非常多的硬盘资源, 所以可以直接缓存文件的散列值, 然后对比散列值即可

对比散列值文件的应用
- 通常, 我们下载外网的文件时, 因为网速过慢, 下载速度极其缓慢
- 有些机构为了解决这个问题, 就在国内建立了镜像站点, 用户可以直接从镜像站点下载文件
- 但是为了保证镜像站点的文件没有被篡改过, 我们就需要计算出站点文件的散列值, 和文件官方提供的散列值对比

比如RealVNC

5、应用: 密码加密

在服务器中存储的用户密码, 一般都是用单项散列函数计算的散列值, 这是为了防止服务器数据泄露, 原始密码也会泄露的问题
- 所以, 现在的各个网站, 都是在密码丢失后, 需要重置新密码, 因为后端无法根据散列值逆推出旧密码

四、如何加密解密?

单向散列函数, 是不可逆的加密方式, 无法根据密文计算出明文
所以想要加密后再解密, 就不能使用单向散列函数, 而是要使用可逆的加密方式
AES加密

AES解密

1、对称加密

对称加密中, 加密密钥和解密密钥是相同的

2、非对称加密(公钥加密)

非对称加密中, 加密密钥和解密密钥是不同的

五、对称加密

常见的对称加密算法有
- DES
- 3DES
- AES

1、DES

DES是一种将64bit明文加密成64bit密文的对称加密算法, 密钥长度是56bit
规格上来说, 密钥长度是64bit, 但每隔7bit会设置一个用于错误检查的bit, 因此密钥长度实质上是56bit
由于DES每次只能加密64bit的数据, 遇到比较大的数据, 需要对DES加密进行迭代(反复)
目前可以在短时间内被破解, 所以不建议使用

2、3DES

3DES: 将DES重复3次所得到的的一种加密算法, 也叫做3重DES
- 3重DES并不是进行三次DES加密: 加密 -> 加密 -> 加密
- 而是: 加密 -> 解密 -> 加密
目前还被一些银行等机构使用，但处理速度不高，安全性逐渐暴露出问题
3个密钥是不同的, 也称为DES-EDE3

如果密钥1和密钥3相同, 密钥2不同, 称为DES-DEDE2

如果所有密钥都使用同一个，则结果与普通的DES是等价的

3、AES

AES: 取代DES成为新标准的一种对称加密算法，又称Rijndeal加密法
AES的密钥长度有128、192、256bit三种
目前AES已经逐步取代DES、3DES, 成为首选的对称加密算法
一般来说, 我们也不应该去使用任何自制的密码算法, 而是应该使用AES, 它经过了全世界密码学家所进行的高品质验证工作

六、密钥配送问题

在使用对称加密时, 一定会遇到密钥配送问题
如果发送将使用对称加密过的消息发给了接收者
- 只有将密钥发送给接收者, 接收者才能完成解密
- 在发送密钥过程中
  - 可能会被窃听者窃取密钥
  - 最后窃听者也能完成解密

有以下几种方式解决密钥配送问题
- 事先共享密钥(比如私下共享)
- 密钥分配中心(Key Distribution Center, 简称KDC)
- Diffie-Hellman密钥交换
- 非对称加密

七、非对称加密

在非对称加密中, 密钥分为加密密钥、解密密钥两种，它们并不是同一个密钥
加密密钥: 一般是公开的, 因此该密钥称为公钥 (public key)
- 因此, 非对称加密也被称为公钥密码 (Public-key Cryptography)
解密密钥: 由消息接收者自己保管的, 不能公开, 因此也称为私钥 (private key)

1、公钥、私钥

公钥和私钥是一一对应的, 不能单独生成
- 一对公钥和私钥统称为密钥对
由公钥加密的密文, 必须使用与该公钥对应的私钥才能解密
由私钥加密的密文, 必须使用与该私钥对应的公钥才能解密

目前使用最广泛的非对称加密算法是RSA
RSA的名字, 有它的3位开发者, 即Ron Rivest, Adi Shamir, Leonard Adleman的姓氏首字母组成

2、解决密钥配送问题

由消息的接收者，生成一对公钥、私钥
将公钥发给消息的发送者
消息的发送者使用公钥加密消息
非对称加密的加密解密速度比对称加密要慢

八、混合密码系统

对称加密的缺点
- 不能很好地解决密钥配送问题（密钥会被窃听）
非对称加密的缺点
- 加密解密速度比较慢
混合密码系统：是将对称加密和非对称加密的优势相结合的方法
- 解决了非对称加密速度慢的问题
- 并通过非对称加密解决了对称加密的密钥配送问题
网络上的密码通信所用的SSL/TLS都运用了混合密码系统

1、混合密码 - 加密

会话密钥
- 为本次通信随机生成的临时密钥
- 作为对称加密的密钥, 用于加密消息, 提高速度
加密步骤（发送消息）
- ① 首先, 消息发送者要拥有消息接收者的公钥
- ② 生成会话密钥, 作为对称加密的密钥, 加密消息
- ③ 用消息接收者的公钥, 加密会话密钥
- ④ 将前2步生成的加密结果, 一并发给消息接收者
发送出去的内容包括
- 用会话密钥加密的消息 (加密方法: 对称加密)
- 用公钥加密的会话密钥 (加密方法: 非对称加密)

2、混合密码 - 解密

解密步骤(收到消息)
- ① 消息接收者用自己的私钥解密出会话密钥
- ② 再用第①步解密出来的会话密钥, 解密消息

3、混合密码 - 加密解密流程

Alice >>>>>> Bob
发送过程(加密过程)
- ① Bob 先生成一对公钥、私钥
- ② Bob 把公钥共享给 Alice
- ③ Alice 随机生成一个会话密钥（临时密钥）
- ④ Alice 用会话密钥加密需要发送的消息（使用的是对称加密）
- ⑤ Alice 用 Bob 的公钥加密会话密钥（使用的是非对称加密）
- ⑥ Alice 把第④、⑤步的加密结果，一并发送给 Bob
接收过程(解密过程)
- ① Bob 利用自己的私钥解密会话密钥(使用的是非对称加密算法进行解密)
- ② Bob 利用会话密钥解密发送过来的消息(使用的是对称加密算法进行解密)

九、数字签名

想象以下场景

Alice 发的内容有可能是被篡改的, 或者有人伪装成 Alice 发消息, 或者就是 Alice 发的, 但她可以否认
问题来了: Bob如何确定这段消息的真实性？如何识别篡改、伪装、否认?
解决方案
- 数字签名

1、数字签名

用发送者的私钥加密信息, 接收者用发送者的公钥解密, 因为只有发送者有私钥, 所以可以确认消息是谁发的

2、数字签名 - 改进过程

因为消息的长度不定, 并且非对称加密是一件很耗时的操作, 所以需要对数字签名进行改进
先算出消息的散列值, 然后再给散列值签名即可提升效率

3、数字签名 - 交互过程

Alice >>>>>> Bob
- Alice 生成公钥和私钥, 然后将公钥发送给 Bob
- Alice 准备发送消息
- Alice 根据消息计算出消息的散列值, 然后在用私钥生成散列值得签名
- Alice 将消息+签名发送给 Bob
- Bob 收到消息+签名后, 先将消息和散列值分开
- Bob 使用 Alice的公钥解密签名得到散列值
- Bob 使用收到的消息计算出消息的散列值
- Bob 对比签名解密的散列值和消息的散列值, 如果一致, 说明是 Alice 发送过来的

4、数字签名 - 疑惑

如果有人篡改了消息内容或签名内容, 会是什么结果?
- 签名验证失败, 证明内容被篡改了
数字签名不能保证机密性?
- 数字签名的作用不是为了保证机密性, 仅仅是为了能够识别内容有没有被篡改
数字签名的作用
- 确认消息的完整性
- 识别消息是否被篡改
- 防止消息发送人否认

5、公钥、私钥总结

在非对称加密中，任何人都可以使用公钥进行加密
在数字签名中，任何人都可以使用公钥验证签名

数字签名, 其实就是将非对称加密反过来使用

	公钥	私钥
非对称加密	发送者加密时使用	接收者解密时使用
数字签名	验证者验证签名时使用	签名者生成签名时使用
谁持有密钥?	只要有需要, 任何人都可以持有	个人持有

既然是加密, 那肯定是不希望别人知道我的消息, 所以只有我才能解密
- 公钥负责加密, 私钥负责解密
既然是签名, 那肯定是不希望有人冒充我发消息, 所以只有我才能签名
- 私钥负责签名, 公钥负责验签

6、公钥的合法性

如果遭遇了中间人攻击, 那么公钥将可能是伪造的
- 主动攻击者 Mallory 拦截了 Bob 的公钥, 并向 Alice 发送自己的公钥
- 结果, 整个通信过程, 都被 Mallory 窃听

如何验证公钥的合法性?
- 证书

十、证书

说到证书
- 首先联想到的是驾驶证、毕业证、英语四六级证等等，都是由权威机构认证的
密码学中的证书，全称叫公钥证书(Public-key Certificate，PKC), 跟驾驶证类似
- 里面有姓名、邮箱等个人信息，以及此人的公钥
- 并由认证机构(Certificate Authority, CA)施加数字签名
CA就是能够认定"公钥确实属于此人"并能够生成数字签名的个人或者组织
- 有国际性组织、政府设立的组织
- 有通过提供认证服务来盈利的企业
- 个人也可以成立认证机构

1、证书 - 使用

各大CA的公钥，默认已经内置在浏览器和操作系统中
- ① Bob生成密钥对: 公钥和私钥
- ② Bob在认证机构Trent注册自己的公钥
- ③ 认证机构Trent用自己的私钥对Bob的公钥施加数字签名, 并声称证书
- ④ Alice得到带有认证机构Trent的数字签名的Bob的公钥(证书)
- ⑤ Alice使用认证机构Trent的公钥验证数字签名, 确保Bob的公钥的合法性
- ⑥ Alice用Bob的公钥加密消息并发送给Bob
- ⑦ Bob用自己的私钥解密密文得到Alice的消息

2、证书 - 注册和下载

认证机构会将证书存放到仓库中, 用户使用时可以从仓库下载证书