密碼編碼學(xué)與網(wǎng)絡(luò)安全（第五版） 向金海 01-概論.ppt

信息保障與安全 主講 郭曦華中農(nóng)業(yè)大學(xué) E mail xguo 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 2 2020 2 8 2 教材和參考書 教材 WilliamStallings Cryptographyandnetworksecurity principlesandpractice 5rdEdition密碼編碼學(xué)與網(wǎng)絡(luò)安全 原理與實(shí)踐 第五版 電子工業(yè)出版社 2012 01 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 3 2020 2 8 3 教材和參考書 參考教材 馬建峰 計(jì)算機(jī)系統(tǒng)安全 第二版 西安電子科技大學(xué)出版社 2007 盧開澄 計(jì)算機(jī)密碼學(xué) 計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全 第3版 清華大學(xué)出版社 2003 BruceSchneier AppliedCryptography Protocols algorithms andsourcecodeinC 2ndEdition 1996 中譯本 應(yīng)用密碼學(xué) 協(xié)議 算法與C源程序 機(jī)械工業(yè)出版社 2000 1 閔嗣鶴 初等數(shù)論 高等教育出版社 2003 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 4 學(xué)習(xí)目標(biāo) 理解信息安全的基本原理和技術(shù) 了解一些最新研究成果 掌握網(wǎng)絡(luò)與信息安全的理論基礎(chǔ) 具備研究與實(shí)踐的基本能力 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 5 主要安全內(nèi)容 密碼學(xué)計(jì)算機(jī)安全網(wǎng)絡(luò)安全I(xiàn)nternet安全 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 6 課程內(nèi)容 第一部分對稱密碼對稱密碼 古典算法和現(xiàn)代算法 DES和AES第二部分公鑰密碼公鑰密碼 RSA和ECC 公鑰密碼的應(yīng)用第三部分網(wǎng)絡(luò)安全密碼算法和安全協(xié)議的應(yīng)用 用戶認(rèn)證 電子郵件 IP安全和Web安全第四部分系統(tǒng)安全系統(tǒng)安全措施 入侵 病毒 蠕蟲和防火墻技術(shù) 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 7 考核方式 方式 課堂講授課外閱讀考試 閉卷考試 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 8 引言 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 9 三個(gè)關(guān)鍵概念 計(jì)算機(jī)安全 ComputerSecurity 對于一個(gè)自動化的信息系統(tǒng) 采取保護(hù)措施確保信息系統(tǒng)資源 包括硬件 軟件 固件 信息 數(shù)據(jù)和通信 的保密性 完整性 可用性 NIST 計(jì)算機(jī)安全手冊 網(wǎng)絡(luò)安全 NetworkSecurity 保護(hù)數(shù)據(jù)在傳輸中安全的方法互聯(lián)網(wǎng)安全 InternetSecurity 保護(hù)數(shù)據(jù)安全通過互聯(lián)網(wǎng)絡(luò)的方法 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 10 網(wǎng)絡(luò)安全核心需求 網(wǎng)絡(luò)安全核心地位的三個(gè)關(guān)鍵目標(biāo)保密性 Confidentiality 數(shù)據(jù)保密性隱私性完整性 Integrity 數(shù)據(jù)完整性系統(tǒng)完整性可用性 Availability 可認(rèn)證性 Authenticity 可審計(jì)性 Accountability 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 11 網(wǎng)絡(luò)安全現(xiàn)狀 Internet一方面成為人們離不開的信息工具 同時(shí)也成為公開的攻擊對象目標(biāo) 網(wǎng)絡(luò)的全球性 開放性 無縫連通性 共享性 動態(tài)性 使任何人都可以自由地接入Internet 其中有善者 也有惡者 惡意者時(shí)刻在試圖穿透別人的系統(tǒng) 搗毀別人的信箱 散布破壞性信息 傾瀉信息拉圾 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 12 Email Web ISP門戶網(wǎng)站 復(fù)雜程度 時(shí)間 Internet變得越來越重要 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 13 網(wǎng)絡(luò)安全問題日益突出 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 14 CERT有關(guān)安全事件的統(tǒng)計(jì)計(jì)算機(jī)緊急響應(yīng)組織 CERT 2020 2 8 15 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 16 2011年網(wǎng)絡(luò)安全事件 2011年末 中國公眾經(jīng)歷了一次大規(guī)模個(gè)人信息泄露事件的洗禮 幾乎人人自危 CSDN 天涯等眾多互聯(lián)網(wǎng)公司的賬戶密碼信息被公開下載 12月4日伊朗捕獲了一架美國RQ 170 哨兵 無人機(jī) 4月 索尼迄今為止遭遇到的規(guī)模最大的黑客攻擊 3月 RSA被網(wǎng)絡(luò)釣魚 美國花旗銀行6月8日證實(shí) 該銀行系統(tǒng)日前被黑客侵入 21萬北美地區(qū)銀行卡用戶的姓名 賬戶 電子郵箱等信息或遭泄露 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 17 誰在攻擊網(wǎng)絡(luò) 通過何種手段攻擊網(wǎng)絡(luò) 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 18 WhoisAttackingSystems 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 19 網(wǎng)絡(luò)中存在的安全威脅 系統(tǒng)穿透 Systempenetration 違反授權(quán)原則 Autherizationviolation 植入 Planting 通信監(jiān)視 Communicutionsmonitoring 通信竄擾 Communicationstampering 中斷 Interruption 拒絕服務(wù) Denialofservice 否認(rèn) Repudiation 病毒 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 20 OSI安全框架 ITU TX 800 SecurityArchitectureforOSI 即OSI安全框架 提供了一個(gè)定義和提供安全需求的系統(tǒng)化方法 提供了一個(gè)有用的學(xué)習(xí)研究的概貌 ITU 國際電信聯(lián)盟OSI 開放式系統(tǒng)互聯(lián) 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 21 OSI安全框架 安全攻擊 securityattack任何危及系統(tǒng)信息安全的活動 安全服務(wù) securityservice加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸?shù)陌踩缘囊环N服務(wù) 目的在于利用一種或多種安全機(jī)制阻止安全攻擊 安全機(jī)制 securitymechanism用來保護(hù)系統(tǒng)免受偵聽 阻止安全攻擊及恢復(fù)系統(tǒng)的機(jī)制 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 22 安全攻擊 攻擊 威脅 攻擊的類型被動攻擊主動攻擊 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 23 被動攻擊 1 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 24 被動攻擊 2 是在未經(jīng)用戶同意和認(rèn)可的情況下將信息或數(shù)據(jù)文件泄露給系統(tǒng)攻擊者 但不對數(shù)據(jù)信息做任何修改 常見手段 搭線監(jiān)聽 無線截獲 其他截獲 不易被發(fā)現(xiàn) 重點(diǎn)在于預(yù)防 如使用虛擬專用網(wǎng) VPN 采用加密技術(shù)保護(hù)網(wǎng)絡(luò)以及使用加保護(hù)的分布式網(wǎng)絡(luò)等 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 25 主動攻擊 1 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 26 主動攻擊 2 涉及某些數(shù)據(jù)流的篡改或虛假流的產(chǎn)生 通常分為 假冒 重放 篡改消息 拒絕服務(wù) 能夠檢測出來 不易有效防止 具體措施包括自動審計(jì) 入侵檢測和完整性恢復(fù)等 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 27 安全機(jī)制 要具備檢測 防御或從安全攻擊中恢復(fù)的能力沒有單一的機(jī)制能夠提供所有的安全服務(wù)一個(gè)機(jī)制往往構(gòu)成其它安全機(jī)制的基礎(chǔ) 如 加密技術(shù) 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 28 安全機(jī)制 X 800 特定的安全機(jī)制 specificsecuritymechanisms 加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 認(rèn)證交換 流量填充 路由控制 公證等普遍的安全機(jī)制 pervasivesecuritymechanisms 可信功能 安全標(biāo)簽 事件檢測 安全審計(jì)跟蹤 安全恢復(fù)等 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 29 安全服務(wù) 強(qiáng)化一個(gè)組織的數(shù)據(jù)處理系統(tǒng)和信息傳輸中的安全性對安全攻擊的反擊采用一個(gè)或更多的安全機(jī)制對文檔進(jìn)行安全地分發(fā)例如簽名 對信息進(jìn)行保護(hù)以免披露 損害或毀壞 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 30 安全服務(wù) X 800 為系統(tǒng)協(xié)議層提供的服務(wù) 用來保證系統(tǒng)或數(shù)據(jù)的傳輸有足夠的安全性 RFC2828 一種由系統(tǒng)提供的對系統(tǒng)資源進(jìn)行特殊保護(hù)的處理或通信服務(wù) 安全服務(wù)通過安全機(jī)制來實(shí)現(xiàn)安全策略 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 31 安全服務(wù) X 800 可認(rèn)證性 assurancethatthecommunicatingentityistheoneclaimed訪問控制 preventionoftheunauthorizeduseofaresource機(jī)密性Confidentiality protectionofdatafromunauthorizeddisclosure完整性Integrity assurancethatdatareceivedisassentbyanauthorizedentity不可否認(rèn)性Non repudiation protectionagainstdenialbyoneofthepartiesinacommunication可用性 availability 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 32 安全服務(wù)與機(jī)制間的關(guān)系 表1 6 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 33 網(wǎng)絡(luò)安全模型 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 34 網(wǎng)絡(luò)安全模型 設(shè)計(jì)安全服務(wù)應(yīng)包含四個(gè)方面內(nèi)容 設(shè)計(jì)執(zhí)行安全相關(guān)傳輸?shù)乃惴óa(chǎn)生算法所使用的秘密信息設(shè)計(jì)分配和共享秘密信息的方法指明通信雙方使用的協(xié)議 該協(xié)議利用安全算法和秘密信息實(shí)現(xiàn)安全服務(wù) 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 35 網(wǎng)絡(luò)訪問安全模型 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 36 網(wǎng)絡(luò)訪問安全模型 需要做到 選擇合適的門衛(wèi)功能以識別用戶實(shí)現(xiàn)安全控制以確保只有授權(quán)用戶才可以訪問被指定的信息或資源可信計(jì)算機(jī)系統(tǒng) 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 37 國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 1 美國國防部TCSEC可信計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)評估準(zhǔn)則 桔皮書 該標(biāo)準(zhǔn)是美國國防部制定80年代的 它將安全分為4個(gè)方面 安全政策 可說明性 安全保障和文檔 在美國國防部虹系列 RainbowSeries 標(biāo)準(zhǔn)中有詳細(xì)的描述 該標(biāo)準(zhǔn)將以上4個(gè)方面分為7個(gè)安全級別 從低到高依次為D C1 C2 B1 B2 B3和A1級 A1級 驗(yàn)證設(shè)計(jì)級 B3級 安全域級B2級 結(jié)構(gòu)化保護(hù)級B1級 標(biāo)記安全保護(hù)級完全可信網(wǎng)絡(luò)安全 B1 B2 B3 C2級 受控存取保護(hù)級 C1級 自主安全保護(hù)劑D級 不可信網(wǎng)絡(luò)安全 問題 以保密和單點(diǎn)機(jī)為主 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 38 國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 2 歐洲ITSEC與TCSEC不同 它并不把保密措施直接與計(jì)算機(jī)功能相聯(lián)系 而是只敘述技術(shù)安全的要求 把保密作為安全增強(qiáng)功能 另外 TCSEC把保密作為安全的重點(diǎn) 而ITSEC則把完整性 可用性與保密性作為同等重要的因素 ITSEC定義了從E0級 不滿足品質(zhì) 到E6級 形式化驗(yàn)證 的7個(gè)安全等級 對于每個(gè)系統(tǒng) 安全功能可分別定義 ITSEC預(yù)定義了10種功能 其中前5種與桔皮書中的C1 B3級非常相似 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 39 國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 3 加拿大CTCPEC該標(biāo)準(zhǔn)將安全需求分為4個(gè)層次 機(jī)密性 完整性 可靠性和可說明性 對產(chǎn)品和評估過程強(qiáng)調(diào)功能和保證 分為7個(gè)保證級 通常稱為EAL 1到EAL 7 美國聯(lián)邦準(zhǔn)則 FC 該標(biāo)準(zhǔn)參照了CTCPEC及TCSEC 其目的是提供TCSEC的升級版本 同時(shí)保護(hù)已有投資 但FC有很多缺陷 是一個(gè)過渡標(biāo)準(zhǔn) 后來結(jié)合ITSEC發(fā)展為聯(lián)合公共準(zhǔn)則CC 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 40 國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 4 信息技術(shù)安全評價(jià)通用準(zhǔn)則 CC CC的目的是想把已有的安全準(zhǔn)則結(jié)合成一個(gè)統(tǒng)一的標(biāo)準(zhǔn) 該計(jì)劃從1993年開始執(zhí)行 1996年推出第一版 CC結(jié)合了FC及ITSEC的主要特征 它強(qiáng)調(diào)將安全的功能與保障 安全功能的可信度 分離 并將功能需求分為11類63族 將保障分為7類29族 99 7通過國際標(biāo)準(zhǔn)化組織認(rèn)可 為ISO IEC15408信息技術(shù)安全評估準(zhǔn)則 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 41 國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 5 ISO安全體系結(jié)構(gòu)標(biāo)準(zhǔn)在安全體系結(jié)構(gòu)方面 ISO制定了國際標(biāo)準(zhǔn)ISO7498 2 1989 信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu) 該標(biāo)準(zhǔn)為開放系統(tǒng)互連 OSI 描述了基本參考模型 為協(xié)調(diào)開發(fā)現(xiàn)有的與未來的系統(tǒng)互連標(biāo)準(zhǔn)建立起了一個(gè)框架 其任務(wù)是提供安全服務(wù)與有關(guān)機(jī)制的一般描述 確定在參考模型內(nèi)部可以提供這些服務(wù)與機(jī)制的位置 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 42 國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 6 信息保障技術(shù)框架 IATF 安全觀點(diǎn)的演變 2020 2 8 華中農(nóng)業(yè)大學(xué)信息學(xué)院 43 國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 7 信息保障技術(shù)框架 IATF 企圖解決什么問題怎樣定義信息保護(hù)需求和解決方案 現(xiàn)有的何種技術(shù)能夠滿足我的保護(hù)需求 什么樣的機(jī)構(gòu)資源能夠幫助找到所需的保護(hù) 當(dāng)前有哪