EC05臺(tái)灣培訓(xùn)公司資訊安全培訓(xùn)信息安全培訓(xùn)教材

1、整理課件1資訊安全資訊安全?什麼是資訊安全事件? A：例如： 1 1. .物理破壞：例如火災(zāi)、水災(zāi)、電源損壞等物理破壞：例如火災(zāi)、水災(zāi)、電源損壞等2.2.人為錯(cuò)誤：偶然的或不經(jīng)意的行為造成破壞人為錯(cuò)誤：偶然的或不經(jīng)意的行為造成破壞3.3.設(shè)備故障系統(tǒng)當(dāng)機(jī)：系統(tǒng)及週邊設(shè)備的故障設(shè)備故障系統(tǒng)當(dāng)機(jī)：系統(tǒng)及週邊設(shè)備的故障4.4.內(nèi)、外部攻擊內(nèi)、外部攻擊, ,資訊竊盜：內(nèi)部人員、外部駭客之有目的或無資訊竊盜：內(nèi)部人員、外部駭客之有目的或無目的的攻擊未經(jīng)授權(quán)進(jìn)入或使用電腦系統(tǒng)的資源未經(jīng)授權(quán)使目的的攻擊未經(jīng)授權(quán)進(jìn)入或使用電腦系統(tǒng)的資源未經(jīng)授權(quán)使用他人帳戶用他人帳戶 5.5.資料誤用：共用機(jī)密資料或資料被竊資

2、料誤用：共用機(jī)密資料或資料被竊6.6.資料遺失：故意或非故意的以破壞方式遺失資料資料遺失：故意或非故意的以破壞方式遺失資料7.7.程式錯(cuò)誤：計(jì)算錯(cuò)誤、輸入錯(cuò)誤、緩衝區(qū)溢出等程式錯(cuò)誤：計(jì)算錯(cuò)誤、輸入錯(cuò)誤、緩衝區(qū)溢出等整理課件2正確的密碼設(shè)定技巧? A： 1. 英文大小寫字母混合使用(若系統(tǒng)允許) 2. 使用特殊符號(hào)(如標(biāo)點(diǎn)符號(hào)或是#|) 3. 至少六個(gè)字 4. 沒有任何意義的組成 5. 不用生日、名字或身分証號(hào)碼 6.定期更換密碼整理課件3企業(yè)在考慮資訊安全時(shí)，必須重視幾種標(biāo)準(zhǔn)的見建立企業(yè)在考慮資訊安全時(shí)，必須重視幾種標(biāo)準(zhǔn)的見建立整理課件4資訊安全管理標(biāo)準(zhǔn)資訊安全管理標(biāo)準(zhǔn)BS7799 國(guó)際標(biāo)準(zhǔn)制

3、定機(jī)構(gòu)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（國(guó)際標(biāo)準(zhǔn)制定機(jī)構(gòu)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI），於），於1995年提出年提出BS 7799資訊安全管理系統(tǒng)（資訊安全管理系統(tǒng)（Information Security Management Systems，稱，稱ISMS），最新的一次修訂已於），最新的一次修訂已於2005年完成，並經(jīng)國(guó)際標(biāo)準(zhǔn)化組織（年完成，並經(jīng)國(guó)際標(biāo)準(zhǔn)化組織（ISO）正式通過成為）正式通過成為ISO 27001：2005資訊安全管理系統(tǒng)要求標(biāo)準(zhǔn)，為目前國(guó)資訊安全管理系統(tǒng)要求標(biāo)準(zhǔn)，為目前國(guó)際公認(rèn)最完整之資訊安全管理標(biāo)準(zhǔn)。際公認(rèn)最完整之資訊安全管理標(biāo)準(zhǔn)。ISO27001標(biāo)準(zhǔn)可幫助組織鑑別、管理和減少資訊所面臨的標(biāo)準(zhǔn)可幫

4、助組織鑑別、管理和減少資訊所面臨的各種風(fēng)險(xiǎn)，尤其在高速網(wǎng)路化之資訊開放服務(wù)環(huán)境。通過各種風(fēng)險(xiǎn)，尤其在高速網(wǎng)路化之資訊開放服務(wù)環(huán)境。通過ISO 27001國(guó)際標(biāo)準(zhǔn)驗(yàn)證，是對(duì)於客戶及組織資訊的安全，國(guó)際標(biāo)準(zhǔn)驗(yàn)證，是對(duì)於客戶及組織資訊的安全，提出最大的承諾與保證。提出最大的承諾與保證。BS7799包含包含10大管控項(xiàng)目，大管控項(xiàng)目，36個(gè)管控目標(biāo)及個(gè)管控目標(biāo)及127個(gè)管控措個(gè)管控措施，目的是建立一套完整的資訊安全管理系統(tǒng)。施，目的是建立一套完整的資訊安全管理系統(tǒng)。 整理課件510大管控項(xiàng)目大管控項(xiàng)目 1.安全政策（安全政策（Security Policy） 2.安全組織（安全組織（Organizat

5、ional Security） 3.資產(chǎn)分類與控制（資產(chǎn)分類與控制（Asset Classification and Control） 4.人員安全（人員安全（Personnel Security） 5.實(shí)體與環(huán)境安全（實(shí)體與環(huán)境安全（Physical and Environmental Security） 6.通訊與作業(yè)管理（通訊與作業(yè)管理（Communications and Operations Management） 7.存取控制（存取控制（Access Control） 8.系統(tǒng)開發(fā)及維護(hù)（系統(tǒng)開發(fā)及維護(hù)（Systems Development and Maintenance） 9.

6、營(yíng)運(yùn)持續(xù)管理（營(yíng)運(yùn)持續(xù)管理（Business Continuity Management）10.符合性（符合性（Compliance）整理課件6資訊安全資訊安全資訊安全資訊安全電腦安全電腦安全網(wǎng)路安全網(wǎng)路安全整理課件7資安缺失的影響資安缺失的影響資料損毀資料損毀降低工作力降低工作力還原的成本還原的成本財(cái)產(chǎn)損失財(cái)產(chǎn)損失資料外流資料外流競(jìng)爭(zhēng)力降低競(jìng)爭(zhēng)力降低財(cái)產(chǎn)損失財(cái)產(chǎn)損失中毒中毒/木馬木馬系統(tǒng)穩(wěn)定性降低系統(tǒng)穩(wěn)定性降低頻寬浪費(fèi)頻寬浪費(fèi)資料損毀資料損毀資料外流資料外流整理課件8病毒木馬USB病毒側(cè)錄程式間諜軟體駭客程式綁架首頁或彈出廣告綁架首頁或彈出廣告惡意軟體整理課件9惡意程式藏身的檔案類型惡意程式

7、藏身的檔案類型含有執(zhí)行檔（含有執(zhí)行檔（EXEEXE）注意檔名：注意檔名： xxxx.bmp .exexxxx.bmp .exe含有惡意程式的影片檔（含有惡意程式的影片檔（wmvwmv）含有惡意程式的含有惡意程式的OfficeOffice文件（文件（docdoc）含有惡意程式的圖檔（含有惡意程式的圖檔（jpgjpg）含有惡意程式的壓縮檔（含有惡意程式的壓縮檔（zipzip）整理課件10電腦病毒常見的干擾行為電腦病毒常見的干擾行為破壞電腦檔案、破壞電腦檔案、重新格式化硬碟、重新格式化硬碟、使電腦效能變慢、使電腦效能變慢、上網(wǎng)時(shí)瀏覽器不斷打開新視窗，直到電腦資源被耗盡為止等。上網(wǎng)時(shí)瀏覽器不斷打開新視

8、窗，直到電腦資源被耗盡為止等。病毒的傳染途徑包括電子郵件、傳輸檔案、電腦遊戲，及任病毒的傳染途徑包括電子郵件、傳輸檔案、電腦遊戲，及任何從網(wǎng)路上面下載的檔案等。何從網(wǎng)路上面下載的檔案等。整理課件11認(rèn)識(shí)病毒病毒是一段電腦程式碼，會(huì)將自身附加到程式或檔案，在電腦之間散佈，同時(shí)感染途經(jīng)的電腦。整理課件12 隨身碟病毒是利用Windows系統(tǒng)的Autorun功能來傳染的。隨身碟病毒整理課件13 木馬程式(特洛伊木馬、後門程式)就像木馬屠城的故事所述的一樣，看起來像是一件禮物，但裡頭藏著敵人的士兵。 其主要的傳播方式是利用各種方法引誘使用者開啟執(zhí)行程式，然後攻佔(zhàn)使用者的電腦，進(jìn)行蒐集個(gè)人資料、潛伏在電

9、腦裡等待時(shí)機(jī)執(zhí)行攻擊任務(wù)、當(dāng)作跳板進(jìn)行滲透等各種任務(wù)。 認(rèn)識(shí)木馬-Trojan Horse 整理課件14各種引誘你執(zhí)行木馬程式的手法 免費(fèi)軟體(尤其是破解程式) 使用知名免費(fèi)軟體並到官方網(wǎng)站下載，不要使用破解程式。 誘人的Email(漏洞修補(bǔ)程式、小遊戲、藝人露點(diǎn)照、偷拍) 不開啟/執(zhí)行來路不明的email附檔。假冒使用者信任的人，讓使用者相信電子郵件的內(nèi)容，而去開啟附件或超連結(jié)，暗中啟動(dòng)木馬程式。整理課件15木馬程式的賺錢模式 您的電腦沒有重要資料不代表駭客對(duì)您的電腦不感興趣。 早期證明自我實(shí)力的駭客(Hack)已轉(zhuǎn)變?yōu)楝F(xiàn)今以賺錢為目的的“黑客”(Crack)。 他們賺錢的方法有: 竊取個(gè)人

10、資料(信用卡卡號(hào)、帳號(hào)密碼等.) 向網(wǎng)站勒索 向受害者勒索整理課件16釣魚網(wǎng)站(Phishing) 唯妙唯肖地模仿合法的網(wǎng)站，再透過電子郵件告知使用者資料過期、無效需要更新或密碼洩漏基於安全因素進(jìn)行身分驗(yàn)證等理由藉以誤導(dǎo)使用者輸入帳號(hào)密碼或個(gè)人資料，達(dá)到騙取個(gè)人資訊的目的。釣魚網(wǎng)站(Phishing)整理課件17防不勝防，小心假網(wǎng)站防不勝防，小心假網(wǎng)站 根據(jù)趨勢(shì)科技調(diào)查顯示，一些知名銀行、企業(yè)或組織的網(wǎng)站如匯豐銀行、根據(jù)趨勢(shì)科技調(diào)查顯示，一些知名銀行、企業(yè)或組織的網(wǎng)站如匯豐銀行、中國(guó)工商銀行，或是線上金流支付網(wǎng)站等，皆有和真實(shí)網(wǎng)站相似網(wǎng)域的中國(guó)工商銀行，或是線上金流支付網(wǎng)站等，皆有和真實(shí)網(wǎng)站相

11、似網(wǎng)域的分身，這些分身其實(shí)都是釣魚網(wǎng)站，跟本尊相似度百分百，是專門等分身，這些分身其實(shí)都是釣魚網(wǎng)站，跟本尊相似度百分百，是專門等粗心網(wǎng)友上勾，若不慎登入，資料可能馬上外流。粗心網(wǎng)友上勾，若不慎登入，資料可能馬上外流。這些分身假網(wǎng)站專門等網(wǎng)友輸入網(wǎng)址時(shí)，可能拼錯(cuò)字或按錯(cuò)鍵盤而進(jìn)入，這些分身假網(wǎng)站專門等網(wǎng)友輸入網(wǎng)址時(shí)，可能拼錯(cuò)字或按錯(cuò)鍵盤而進(jìn)入，並以幾乎完全一樣的網(wǎng)頁來騙取網(wǎng)友的銀行密碼以及私密資料，一旦網(wǎng)友並以幾乎完全一樣的網(wǎng)頁來騙取網(wǎng)友的銀行密碼以及私密資料，一旦網(wǎng)友不小心疏忽未查，就會(huì)在渾然不知的情況下，將個(gè)人資訊曝露在網(wǎng)路駭客不小心疏忽未查，就會(huì)在渾然不知的情況下，將個(gè)人資訊曝露在網(wǎng)路駭客

12、所架設(shè)的假網(wǎng)站上。所架設(shè)的假網(wǎng)站上。整理課件18人事局山寨網(wǎng) 刑事局逮2嫌日期日期:2009/08/08 16:52 :2009/08/08 16:52 行政院人事行政局網(wǎng)站行政院人事行政局網(wǎng)站6 6日遭人造假惡搞，散布各縣市停班停日遭人造假惡搞，散布各縣市停班停課的假訊息。刑事局循線追查，課的假訊息。刑事局循線追查，2 2名遊戲公司員工今天到案，名遊戲公司員工今天到案，坦承作弄同事，一時(shí)好玩卻出包。坦承作弄同事，一時(shí)好玩卻出包。莫拉克莫拉克颱風(fēng)颱風(fēng)6 6日下午逼近臺(tái)灣，有人下午日下午逼近臺(tái)灣，有人下午1 1時(shí)在臺(tái)灣大學(xué)時(shí)在臺(tái)灣大學(xué)批踢批踢踢踢實(shí)業(yè)坊實(shí)業(yè)坊 (PTT)(PTT)散布消息，指人事

13、局已宣布各縣市停班停課散布消息，指人事局已宣布各縣市停班停課的情況，並公布假網(wǎng)址的情況，並公布假網(wǎng)址 (http:/tw886.to/cpa)(http:/tw886.to/cpa)，一時(shí)之間，一時(shí)之間網(wǎng)上廣為流傳，人事局和各縣市政府急忙澄清。網(wǎng)上廣為流傳，人事局和各縣市政府急忙澄清。整理課件19 釣魚信件是由駭客以知名公司的名義發(fā)出假的E-mail提供一個(gè)假的超連結(jié)，誘騙使用者登入假網(wǎng)站輸入帳號(hào)密碼及個(gè)人資料，或誘騙使用回覆帳號(hào)密碼至某個(gè)信箱，達(dá)到騙取個(gè)人資訊的目的。何謂釣魚信件整理課件20釣魚信件整理課件21 不要開啟來路不明信件的附檔或連結(jié)。 不要將個(gè)人資料(如密碼、信用卡卡號(hào))告訴任何

14、人。 使用電子郵件應(yīng)有的警覺性觀念： 我為何會(huì)收到這封郵件？ 我是不是應(yīng)該收到這封郵件？ 我是不是有必要開啟附件或點(diǎn)選連結(jié)？如何防範(fàn)釣魚信件整理課件22預(yù)防中毒的好習(xí)慣1.1.安裝防毒軟體安裝防毒軟體( (含防火牆含防火牆) )2.2.系統(tǒng)系統(tǒng)(Windows Update)(Windows Update)及軟體及軟體( (瀏覽器、防毒軟體與病毒定瀏覽器、防毒軟體與病毒定義檔義檔) )時(shí)常更新時(shí)常更新整理課件238 8. .不安裝未受測(cè)試軟體不安裝未受測(cè)試軟體10.10.登入密碼不要設(shè)太簡(jiǎn)單登入密碼不要設(shè)太簡(jiǎn)單( (使用強(qiáng)式密碼並時(shí)常變更密碼使用強(qiáng)式密碼並時(shí)常變更密碼) ) 13.13.使用反

15、間諜軟體使用反間諜軟體 14.14.寄送電子郵件給不同收件人時(shí)，請(qǐng)務(wù)必採(cǎi)用密件副本的方寄送電子郵件給不同收件人時(shí)，請(qǐng)務(wù)必採(cǎi)用密件副本的方式，來隱藏其他收件人的式，來隱藏其他收件人的E-mailE-mail地址。以免因電腦中毒等因地址。以免因電腦中毒等因素，而造成他人的困擾。素，而造成他人的困擾。整理課件24安全使用公共電腦的五個(gè)秘訣安全使用公共電腦的五個(gè)秘訣(一)不要儲(chǔ)存登入資訊許多程式許多程式 ( (尤其是即時(shí)通訊軟體尤其是即時(shí)通訊軟體) )，會(huì)儲(chǔ)存您的使用者名稱及，會(huì)儲(chǔ)存您的使用者名稱及密碼。密碼。 記得關(guān)閉這個(gè)功能，才不會(huì)讓他人無意記得關(guān)閉這個(gè)功能，才不會(huì)讓他人無意 ( (或有心或有心)

16、 ) 使使用您的身份登入。用您的身份登入。(二)螢?zāi)簧嫌袡C(jī)密資料時(shí)不要離開電腦。(三)刪除活動(dòng)記錄使用公用電腦後，最好刪除所有暫存檔案和網(wǎng)際網(wǎng)路記錄。使用公用電腦後，最好刪除所有暫存檔案和網(wǎng)際網(wǎng)路記錄。(四)小心他人窺探(五)不要在公用電腦上輸入機(jī)密資訊 專業(yè)的竊賊可能在會(huì)公用電腦上安裝先進(jìn)的軟體，記錄您的專業(yè)的竊賊可能在會(huì)公用電腦上安裝先進(jìn)的軟體，記錄您的每個(gè)按鍵動(dòng)作，如果真的要確保安全，請(qǐng)避免在公用電腦上每個(gè)按鍵動(dòng)作，如果真的要確保安全，請(qǐng)避免在公用電腦上輸入信用卡號(hào)碼輸入信用卡號(hào)碼 ( (或其他任何財(cái)務(wù)資訊或其他任何財(cái)務(wù)資訊) ) 或機(jī)密資訊?；驒C(jī)密資訊。整理課件25電子商務(wù)交易安全電子

17、商務(wù)交易安全電子商務(wù)發(fā)展的一大關(guān)鍵在於交易安全電子商務(wù)發(fā)展的一大關(guān)鍵在於交易安全電子商務(wù)可能發(fā)生的問題電子商務(wù)可能發(fā)生的問題整理課件26安全性網(wǎng)路安全性網(wǎng)路 安全性網(wǎng)路安全性網(wǎng)路 (Secure Network) 系統(tǒng)安全系統(tǒng)安全 (System Security) 網(wǎng)路安全網(wǎng)路安全 (Network Security) 資訊安全資訊安全 (Information Security) 系統(tǒng)安全網(wǎng)路安全資訊安全防護(hù)/入侵防護(hù)/入侵防護(hù)/入侵防護(hù)/入侵防護(hù)/入侵防護(hù)/入侵整理課件27網(wǎng)路存在的安全風(fēng)險(xiǎn)網(wǎng)路存在的安全風(fēng)險(xiǎn)竊聽竊聽sniffer欺騙欺騙spoofing協(xié)定不安全協(xié)定不安全傳輸路徑開放傳

18、輸路徑開放資料的篡改資料的篡改錯(cuò)誤的傳送錯(cuò)誤的傳送滲透滲透病毒病毒拒絕支付拒絕支付拒絕服務(wù)拒絕服務(wù)信用卡冒用信用卡冒用整理課件28網(wǎng)路上應(yīng)有的安全服務(wù)網(wǎng)路上應(yīng)有的安全服務(wù)1.隱密性（隱密性（Confidentiality）：確保系統(tǒng)或網(wǎng)路中之資料，只會(huì)被經(jīng)過授權(quán)的人所看）：確保系統(tǒng)或網(wǎng)路中之資料，只會(huì)被經(jīng)過授權(quán)的人所看到。網(wǎng)站必須能充分掌握所有客戶提供的資料，確保客戶資料不會(huì)外流到。網(wǎng)站必須能充分掌握所有客戶提供的資料，確保客戶資料不會(huì)外流2.身份辨識(shí)（身份辨識(shí)（Authentication）：確認(rèn)使用者身份。確定訊息來源的合法性。買賣雙）：確認(rèn)使用者身份。確定訊息來源的合法性。買賣雙方都能夠

19、認(rèn)證對(duì)方確實(shí)是所宣稱的對(duì)象。方都能夠認(rèn)證對(duì)方確實(shí)是所宣稱的對(duì)象。3.不可否認(rèn)（不可否認(rèn)（Non-repudiation）：驗(yàn)證使用者確實(shí)已接受過某項(xiàng)服務(wù)，或使用過某項(xiàng)）：驗(yàn)證使用者確實(shí)已接受過某項(xiàng)服務(wù)，或使用過某項(xiàng)資源。資源。4.存取控制（存取控制（Access Control）：使用者資料存取權(quán)限之設(shè)定應(yīng)依使用者工作職權(quán)而）：使用者資料存取權(quán)限之設(shè)定應(yīng)依使用者工作職權(quán)而給予，以降低未經(jīng)授權(quán)存取系統(tǒng)資源之風(fēng)險(xiǎn)。給予，以降低未經(jīng)授權(quán)存取系統(tǒng)資源之風(fēng)險(xiǎn)。5.可獲得性（可獲得性（Availability）：確保當(dāng)經(jīng)過授權(quán)之人員，要求存取某項(xiàng)資源時(shí)，資源可）：確保當(dāng)經(jīng)過授權(quán)之人員，要求存取某項(xiàng)資源時(shí)，

20、資源可經(jīng)系統(tǒng)及傳輸媒介獲得。經(jīng)系統(tǒng)及傳輸媒介獲得。6.完整性（完整性（Integrity）：確保系統(tǒng)或網(wǎng)路中之資料，不會(huì)被未經(jīng)授權(quán)的人員修改。）：確保系統(tǒng)或網(wǎng)路中之資料，不會(huì)被未經(jīng)授權(quán)的人員修改。7.稽核（稽核（Audit）：稽核是用來幫助系統(tǒng)管理者追查出可疑的行為）：稽核是用來幫助系統(tǒng)管理者追查出可疑的行為 整理課件29資訊安全的基本需求 整理課件30電子商務(wù)安全的防護(hù)方法電子商務(wù)安全的防護(hù)方法對(duì)稱金鑰對(duì)稱金鑰(Symmetric)非對(duì)稱金鑰非對(duì)稱金鑰(ASymmetric)數(shù)位信封數(shù)位信封數(shù)位簽章數(shù)位簽章安全階層協(xié)定安全階層協(xié)定(SSL)安全電子交易協(xié)定安全電子交易協(xié)定(SET)防火牆防火

21、牆虛擬私人網(wǎng)路虛擬私人網(wǎng)路整理課件31資料加密資料加密早在古埃及時(shí)代就已經(jīng)使用兩種簡(jiǎn)單的加密方法早在古埃及時(shí)代就已經(jīng)使用兩種簡(jiǎn)單的加密方法: 替換加密、轉(zhuǎn)置加密。替換加密、轉(zhuǎn)置加密。替換加密：將每個(gè)字母按照某種規(guī)則做替換。替換加密：將每個(gè)字母按照某種規(guī)則做替換。Ex: ca, db etc.轉(zhuǎn)置加密：把字母有系統(tǒng)的做轉(zhuǎn)換位置。轉(zhuǎn)置加密：把字母有系統(tǒng)的做轉(zhuǎn)換位置。Ex: 把字逆著寫。把字逆著寫。整理課件32典型典型密碼系統(tǒng)密碼系統(tǒng) 典型密碼系統(tǒng)典型密碼系統(tǒng) (Cryptosystem) 明文：明文：M 加密鑰匙：加密鑰匙：K1 解密鑰匙：解密鑰匙：K2 加密編碼：加密編碼：E 解密編碼：解密編碼

22、：D 密文：密文：C = Ek1(M) 解密明文：解密明文：M = Dk2(C) = Dk2(Ek1(M) K1= K2 為秘密鑰匙系統(tǒng)為秘密鑰匙系統(tǒng) K1 K2 為公開鑰匙系統(tǒng)為公開鑰匙系統(tǒng)加密編碼(E)明文 M加密鑰匙 K加密鑰匙 K1 1解密編碼(D)明文 M = DK2(C)解密鑰匙 K解密鑰匙 K2 2密文 C = EK1(M)竊聽者竊聽者整理課件33訊息加密訊息加密訊息加密訊息加密 隱密性功能：發(fā)送者將訊息加密後再傳送給接收者，接收者再依照雙方協(xié)議的方法隱密性功能：發(fā)送者將訊息加密後再傳送給接收者，接收者再依照雙方協(xié)議的方法及鑰匙，將訊息恢復(fù)原來格式。及鑰匙，將訊息恢復(fù)原來格式。

23、加密演算法加密演算法(A) 秘密鑰匙加密秘密鑰匙加密 共享秘密鑰匙加密 秘密鑰匙加密演算法(B) 公開鑰匙加密公開鑰匙加密 利用接收端的公開鑰匙加密 公開鑰匙加密演算法訊息ME密文MDC = EC = EK K(M)(M)K KK K訊息MD DK K(C)(C)秘密鑰匙秘密鑰匙發(fā)送端發(fā)送端接收端接收端訊息ME密文MDC = EC = EKUbKUb(M)(M)K KUbUbK KRbRb訊息MDKRb(C)接收端接收端鑰匙鑰匙接收端接收端KKUbUb, K, KRbRb 整理課件34對(duì)稱式密碼系統(tǒng)對(duì)稱式密碼系統(tǒng) 秘密鑰匙系統(tǒng)秘密鑰匙系統(tǒng) (Secret Key Cryptosystem) 對(duì)

24、稱式密碼系統(tǒng)對(duì)稱式密碼系統(tǒng) (Symmetric Cryptosystem) 單一鑰匙系統(tǒng)單一鑰匙系統(tǒng) (One-Key Cryptosystem) 傳統(tǒng)密碼系統(tǒng)傳統(tǒng)密碼系統(tǒng) (Conventional Cryptosystem) 特性：特性： 保護(hù)訊息的隱密性功能 鑰匙分配困難 可達(dá)成訊息確認(rèn)的功能 整理課件35對(duì)稱式加密系統(tǒng)對(duì)稱式加密系統(tǒng)有加密即有其相對(duì)應(yīng)的解密，若兩種方法都使用同一把鑰匙，則稱為有加密即有其相對(duì)應(yīng)的解密，若兩種方法都使用同一把鑰匙，則稱為”對(duì)稱式加密系統(tǒng)對(duì)稱式加密系統(tǒng) (symmetric key encryption)”。對(duì)稱式加密的缺點(diǎn)：對(duì)稱式加密的缺點(diǎn)：無法找到一個(gè)

25、完全安全的管道將此對(duì)稱式鑰匙讓對(duì)方知道。無法找到一個(gè)完全安全的管道將此對(duì)稱式鑰匙讓對(duì)方知道。與越多人通訊，就需要越多不同的對(duì)稱式鑰匙，以免被別人干擾。與越多人通訊，就需要越多不同的對(duì)稱式鑰匙，以免被別人干擾。整理課件36公開鑰匙公開鑰匙密碼系統(tǒng)密碼系統(tǒng) 公開鑰匙系統(tǒng)公開鑰匙系統(tǒng) (Public-Key Cryptosystem) (1)非對(duì)稱密碼系統(tǒng)非對(duì)稱密碼系統(tǒng) (Asymmetric Cryptosystem) 雙鑰匙系統(tǒng)雙鑰匙系統(tǒng) (Two-Key Cryptosystem) 公開鑰匙 (Public Key)：公告週知 私有鑰匙 (Private Key)：隱密保存著，不可洩漏。 特性

26、：特性： 資料隱密性功能 鑰匙長(zhǎng)度較長(zhǎng) 鑰匙分配容易 可達(dá)到不可否認(rèn)性功能 整理課件37非對(duì)稱式加密系統(tǒng)非對(duì)稱式加密系統(tǒng)公鑰公鑰(public key)、私鑰、私鑰(private key)分別作用於加密以及解分別作用於加密以及解密，而它是利用不可逆演算法的想法所產(chǎn)生的，也就是說密，而它是利用不可逆演算法的想法所產(chǎn)生的，也就是說當(dāng)一份文件透過了公鑰做加密，只有擁有私鑰的人才能對(duì)當(dāng)一份文件透過了公鑰做加密，只有擁有私鑰的人才能對(duì)它做解密。而公鑰是被公開的，私鑰則由接收者自行保管。它做解密。而公鑰是被公開的，私鑰則由接收者自行保管。整理課件38密碼系統(tǒng)密碼系統(tǒng) 公開鑰匙系統(tǒng)公開鑰匙系統(tǒng) (Publ

27、ic-Key Cryptosystem) (2)加密編碼(E)明文 M明文 M公開鑰匙 K公開鑰匙 KU U解密編碼(D)明文 M = D明文 M = DKRKR(C)(C)私有鑰匙 K私有鑰匙 KR R密文 C = E密文 C = EKUKU(M)(M)加密編碼(E)明文 M明文 M私有鑰匙 K私有鑰匙 KR R解密編碼(D)明文 M = D明文 M = DKUKU(C)(C)公開鑰匙 K公開鑰匙 KU U密文 C = E密文 C = EKRKR(M)(M)鑰匙配對(duì)鑰匙配對(duì)KKU U, U, UR R 鑰匙配對(duì)鑰匙配對(duì)KKU U, U, UR R (a) 利用公開鑰匙加密(a) 利用公開鑰匙

28、加密(b) 利用私有鑰匙加密(b) 利用私有鑰匙加密整理課件39RSA加密演算法加密演算法公鑰系統(tǒng)中最著名也最常使用的便是由公鑰系統(tǒng)中最著名也最常使用的便是由Rivest、Shamir 、Adleman三人所共同研發(fā)的三人所共同研發(fā)的RSA演算法。演算法?；揪窕揪?給定兩個(gè)很大的數(shù)，要求其乘積是很容易的，但是反過來給定兩個(gè)很大的數(shù)，要求其乘積是很容易的，但是反過來說，給定一個(gè)很大的數(shù)，求其是由哪兩個(gè)因數(shù)說，給定一個(gè)很大的數(shù)，求其是由哪兩個(gè)因數(shù)P,Q所組合所組合而成，是非常困難的。而成，是非常困難的。加密步驟加密步驟:Step1: N = P * Q (N: public key, P,

29、Q: private key 是個(gè)很是個(gè)很大的質(zhì)數(shù)大的質(zhì)數(shù))。Step2: 取一取一e值，其與值，其與(P-1)*(Q-1)互質(zhì)?；ベ|(zhì)。Step3: 把原文把原文(ASCII Code)轉(zhuǎn)為十進(jìn)位之值轉(zhuǎn)為十進(jìn)位之值M，加密成，加密成C，C = Me mod P*Q。解密步驟解密步驟:Step1: 找出一找出一d值，使得值，使得e*d = 1 mod (P-1)*(Q-1)。Step2: 解回原文解回原文M: M = Cd mod N。整理課件40雜湊函數(shù)雜湊函數(shù)使用使用RSA等方法的非對(duì)稱性加密系統(tǒng)，雖然可以確保資料不會(huì)被他人所正等方法的非對(duì)稱性加密系統(tǒng)，雖然可以確保資料不會(huì)被他人所正確的解讀

30、，可是卻無法保證寄件者是否如其所宣稱的一般或是資料是否遭確的解讀，可是卻無法保證寄件者是否如其所宣稱的一般或是資料是否遭人竄改。人竄改。因此產(chǎn)生了數(shù)位簽章因此產(chǎn)生了數(shù)位簽章 (digital signature or e-signature)的技術(shù)以及引進(jìn)雜湊的技術(shù)以及引進(jìn)雜湊(hash)的方法。的方法。利用雜湊函數(shù)，我們可以確定所接收的資料是否為原始的版本。利用雜湊函數(shù)，我們可以確定所接收的資料是否為原始的版本。雜湊函數(shù)雜湊函數(shù)(hash function):產(chǎn)生固定長(zhǎng)度的訊息摘要產(chǎn)生固定長(zhǎng)度的訊息摘要(message digest)。從已知的訊息摘要想逆推回原本的訊息，計(jì)算上是不可行的。從

31、已知的訊息摘要想逆推回原本的訊息，計(jì)算上是不可行的。想找出兩份不同的訊息但是由相同文件產(chǎn)生的，計(jì)算上也是不可行想找出兩份不同的訊息但是由相同文件產(chǎn)生的，計(jì)算上也是不可行。整理課件41雜湊函數(shù)雜湊函數(shù)Hash Function 特性：特性： 常見的演算法：MD5 ， MD5 是一種單向字串雜湊演算 (hashing) ，其可將你所給予的任何長(zhǎng)度字串， 使用 MD5 雜湊演算法，得出一個(gè)長(zhǎng)度為 128 位元 ( 16 個(gè)字元) 的計(jì)算結(jié)果， 以鍵值固定的字串內(nèi)容必定會(huì)得出一個(gè)固定的鍵值，而非每次都算出不同的。 這是一個(gè)單向的雜湊演算，意味著，它雖可每次都將同樣的字串內(nèi)容，算 出同樣的鍵值，但它無法

32、從鍵值反推算出原本的字串內(nèi)容。 訊息訊息雜湊碼雜湊碼雜湊函數(shù)雜湊函數(shù)不定長(zhǎng)度不定長(zhǎng)度固定長(zhǎng)度固定長(zhǎng)度整理課件421-6 訊息完整性檢查訊息完整性檢查預(yù)防訊息遭受破壞或偽裝。預(yù)防訊息遭受破壞或偽裝。 雜湊演算法：雜湊演算法：H(MD5 或或 MD4 )完整性檢查值完整性檢查值 (Integrity Check Value, ICV) 訊息MH訊息M訊息MH(M)H(M)H比較比較H(M)H(M)H(M)H(M)發(fā)送端發(fā)送端接收端接收端M整理課件43MD5 最常被使用的用途最常被使用的用途應(yīng)用一：儲(chǔ)存密碼應(yīng)用一：儲(chǔ)存密碼首先，我們將新使用者所輸入的密碼字串內(nèi)容首先，我們將新使用者所輸入的密碼字串內(nèi)

33、容 (術(shù)語稱為明碼，也就是編術(shù)語稱為明碼，也就是編碼前的密碼碼前的密碼) ，傳給，傳給 MD5 演算函數(shù)算出暗碼演算函數(shù)算出暗碼 (編碼後的密碼編碼後的密碼) ，之後我們，之後我們將該暗碼，連同使用者將該暗碼，連同使用者 ID 及其他資料一併存入資料庫(kù)中。及其他資料一併存入資料庫(kù)中。稍後，當(dāng)使用者欲再登入時(shí)，先以使用者稍後，當(dāng)使用者欲再登入時(shí)，先以使用者 ID 為鍵值，自資料庫(kù)中讀取帳為鍵值，自資料庫(kù)中讀取帳號(hào)資料，再將使用者輸入的明碼，同樣地傳給號(hào)資料，再將使用者輸入的明碼，同樣地傳給 MD5 演算函數(shù)得出一結(jié)果，演算函數(shù)得出一結(jié)果，將此結(jié)果與帳號(hào)資料中的暗碼比對(duì)是否完全相符。將此結(jié)果與帳號(hào)

34、資料中的暗碼比對(duì)是否完全相符。整理課件44MD5 另一種常見的應(yīng)用另一種常見的應(yīng)用一般用在網(wǎng)路檔案?jìng)鬏斏?，?dāng)使用者下傳回檔案後，可用一般用在網(wǎng)路檔案?jìng)鬏斏?，?dāng)使用者下傳回檔案後，可用 md5 去算出一去算出一個(gè)鍵值個(gè)鍵值 (一般稱為一般稱為 check sum or md5sum) ，將此鍵值與檔案來源站臺(tái)，將此鍵值與檔案來源站臺(tái)所提供的鍵值比對(duì)，如果相同，就可以證明使用者下傳的檔案和原始檔案所提供的鍵值比對(duì)，如果相同，就可以證明使用者下傳的檔案和原始檔案是相同的，沒有在傳輸過程中遭修改。是相同的，沒有在傳輸過程中遭修改。檔案在傳輸過程中遭修改的可能性有檔案在傳輸過程中遭修改的可能性有:網(wǎng)路異

35、?；螂s訊干擾網(wǎng)路異?；螂s訊干擾 病毒感染病毒感染 使用這個(gè)方法，就可以證明檔案沒有問題，這遠(yuǎn)比安裝網(wǎng)路防毒軟體方便，使用這個(gè)方法，就可以證明檔案沒有問題，這遠(yuǎn)比安裝網(wǎng)路防毒軟體方便，因?yàn)榉蓝拒涹w可能誤判，而且只能檢查檔案是否遭感染，卻無法檢查檔案因?yàn)榉蓝拒涹w可能誤判，而且只能檢查檔案是否遭感染，卻無法檢查檔案內(nèi)容是否正確無誤。內(nèi)容是否正確無誤。整理課件45訊息確認(rèn)訊息確認(rèn) Message Authentication (A) 功能：功能： 確認(rèn)性：確定訊息來源的可靠性，而不是他人偽造的。確認(rèn)性：確定訊息來源的可靠性，而不是他人偽造的。 完整性：確定訊息未經(jīng)他人竄改。完整性：確定訊息未經(jīng)他人竄改

36、。 秘密鑰匙系統(tǒng)秘密鑰匙系統(tǒng) (B) 運(yùn)作：運(yùn)作： 計(jì)算出雜湊值，再經(jīng)由加密系統(tǒng)計(jì)算出訊息確認(rèn)碼計(jì)算出雜湊值，再經(jīng)由加密系統(tǒng)計(jì)算出訊息確認(rèn)碼(Message Authentication Code, MAC) 整理課件461-7 訊息確認(rèn)訊息確認(rèn) (C) 明文計(jì)算訊息確認(rèn)碼明文計(jì)算訊息確認(rèn)碼 H:雜湊演算法雜湊演算法(D) 密文計(jì)算訊息確認(rèn)碼密文計(jì)算訊息確認(rèn)碼 K1：訊息加密鑰匙 K2：MAC 鑰匙 訊訊息息MMH H密密文文C CH(C)H(C)H H比較比較H(C)H(C)H(C)H(C)EMAC(C)MAC(C)D DMM秘密鑰匙秘密鑰匙E ED DK K1 1C = EC = EK K

37、(M)(M)K K1 1K K2 2K K2 2發(fā)送端發(fā)送端接收端接收端訊訊息息MMH H訊訊息息MM明明文文MMH(M)H(M)H H比較比較H(M)H(M)H(M)H(M)發(fā)送端發(fā)送端接收端接收端E EK KMAC(M)MAC(M)E EK KM秘密鑰匙秘密鑰匙整理課件47數(shù)位簽章數(shù)位簽章為了人如其名，在傳送訊息的過程中為了人如其名，在傳送訊息的過程中確定訊息來源的可靠性，而不是他人偽造的，因此多加一道關(guān)卡，就是所謂的數(shù)位簽章。，因此多加一道關(guān)卡，就是所謂的數(shù)位簽章。傳送者先用自己的私鑰加密，接收這再利用傳送者的公布的公鑰來解密。傳送者先用自己的私鑰加密，接收這再利用傳送者的公布的公鑰來解

38、密。整理課件48明文傳送之?dāng)?shù)位簽章明文傳送之?dāng)?shù)位簽章Digital Signature (DS) 公開鑰匙系統(tǒng)公開鑰匙系統(tǒng) 確認(rèn)性確認(rèn)性 完整性完整性 不可否認(rèn)性不可否認(rèn)性 (A) 明文傳送之?dāng)?shù)位簽章明文傳送之?dāng)?shù)位簽章發(fā)送者發(fā)送者：利用自己的私有鑰匙簽署數(shù)位簽章：利用自己的私有鑰匙簽署數(shù)位簽章 接收者接收者：利用發(fā)送者的公開鑰匙認(rèn)證簽章碼：利用發(fā)送者的公開鑰匙認(rèn)證簽章碼 H:雜湊演算雜湊演算 訊息MH訊息M明文MH(M)H(M)H比較比較H(M)H(M)H(M)H(M)發(fā)送端發(fā)送端接收端接收端EDS(M)DS(M)DMMK KUbUbK KRbRb發(fā)送端發(fā)送端發(fā)送端發(fā)送端KKUaUa, K,

39、KRaRa 整理課件49密文傳送之?dāng)?shù)位簽章密文傳送之?dāng)?shù)位簽章(B) 密文傳送之?dāng)?shù)位簽章密文傳送之?dāng)?shù)位簽章發(fā)送者：發(fā)送者： 利用接收端的公開鑰匙加密訊息。 利用自己的私有鑰匙簽署數(shù)位簽章。 接收者：接收者： 利用自己的私有鑰匙解開訊息加密。 利用發(fā)送者的公開鑰匙認(rèn)證簽章碼。訊息MH訊息M密文MH(M)H(M)H比較比較H(M)H(M)H(M)H(M)EDMMEDDS(M)DS(M)K KRaRaK KUaUaK KUbUbK KRbRb接收端接收端發(fā)送端發(fā)送端接收端接收端KKUbUb, K, KRbRb 發(fā)送端發(fā)送端KKUaUa, K, KRaRa 發(fā)送端發(fā)送端接收端接收端整理課件50數(shù)位信封數(shù)

40、位信封為了解決公鑰系統(tǒng)複雜的為了解決公鑰系統(tǒng)複雜的加解密過程所可能耗費(fèi)的大量時(shí)間加解密過程所可能耗費(fèi)的大量時(shí)間，用快速的用快速的”對(duì)稱性鑰匙對(duì)稱性鑰匙”加以改良，變成數(shù)位信封加以改良，變成數(shù)位信封(digital envelope)。步驟步驟:Step1: 先將對(duì)稱性鑰匙用接收者的公鑰加密傳送給接收者。先將對(duì)稱性鑰匙用接收者的公鑰加密傳送給接收者。(如此一來就解決之前所擔(dān)心對(duì)稱性鑰匙會(huì)被竊取的風(fēng)險(xiǎn)如此一來就解決之前所擔(dān)心對(duì)稱性鑰匙會(huì)被竊取的風(fēng)險(xiǎn))Step2: 之後的文件資料變可使用對(duì)稱性鑰匙來加密，快速之後的文件資料變可使用對(duì)稱性鑰匙來加密，快速又安全。又安全。整理課件51數(shù)位信封數(shù)位信封 (

41、cont)整理課件52數(shù)位信封數(shù)位信封 數(shù)位信封的概念是利用一把交談金鑰透過對(duì)稱式的密碼機(jī)制來對(duì)所要傳遞的訊息數(shù)位信封的概念是利用一把交談金鑰透過對(duì)稱式的密碼機(jī)制來對(duì)所要傳遞的訊息做加密。另一方面再利用收方的公開金鑰，透過公開金鑰的加密演算法來對(duì)此把做加密。另一方面再利用收方的公開金鑰，透過公開金鑰的加密演算法來對(duì)此把交談金鑰作加密。這個(gè)過程就如同把交談金鑰放進(jìn)一個(gè)彌封的信封中，唯有合法交談金鑰作加密。這個(gè)過程就如同把交談金鑰放進(jìn)一個(gè)彌封的信封中，唯有合法的接收者才能打開信封，取出裡面的交談金鑰。的接收者才能打開信封，取出裡面的交談金鑰。假設(shè)春嬌要傳送一個(gè)機(jī)密訊息假設(shè)春嬌要傳送一個(gè)機(jī)密訊息M給

42、志明，加密的過程如流程如下：給志明，加密的過程如流程如下：(1)春嬌先隨機(jī)選取一把交談金鑰春嬌先隨機(jī)選取一把交談金鑰SK。(2)用對(duì)稱式密碼系統(tǒng)來對(duì)訊息用對(duì)稱式密碼系統(tǒng)來對(duì)訊息M作加密，得到密文為作加密，得到密文為C=Esk(M)，其中，其中Esk為使用秘為使用秘密金鑰密金鑰SK的對(duì)稱式加密演算法。的對(duì)稱式加密演算法。(3)春嬌再用志明的公開金鑰春嬌再用志明的公開金鑰PU，透過公開金鑰的加密演算法來對(duì)交談金鑰，透過公開金鑰的加密演算法來對(duì)交談金鑰SK作作加密，得到的數(shù)位信封為加密，得到的數(shù)位信封為V=Epu(SK)，其中，其中Epu為使用公開金鑰為使用公開金鑰PU的公開金鑰加密的公開金鑰加密演

43、算法。演算法。(4)春嬌將春嬌將密文密文及及數(shù)位信封數(shù)位信封一起傳送給志明。一起傳送給志明。(5)志明收到後，先用其志明收到後，先用其私密金鑰私密金鑰PR來解開數(shù)位信封中的來解開數(shù)位信封中的交談金鑰交談金鑰，SK=DPR(V)。(6)獲得交談金鑰獲得交談金鑰SK後，志明便可以取得明文後，志明便可以取得明文M=DSK( C)。整理課件53Sender:Sender:Receiver:Receiver:C = ESK(M)密文密文V = EPU(SK)信封信封M = DSK(C)明文明文SK = DPR(V)交談金鑰交談金鑰密文及信封密文及信封整理課件54數(shù)位認(rèn)證數(shù)位認(rèn)證之前那些加密系統(tǒng)機(jī)制都建立

44、在一個(gè)假設(shè)上：這些之前那些加密系統(tǒng)機(jī)制都建立在一個(gè)假設(shè)上：這些key是被正確的人所擁是被正確的人所擁有。為了達(dá)成這個(gè)重要的假設(shè)，就必須有一個(gè)具有公信力的單位來做數(shù)位有。為了達(dá)成這個(gè)重要的假設(shè)，就必須有一個(gè)具有公信力的單位來做數(shù)位認(rèn)證，此機(jī)關(guān)即為認(rèn)證，此機(jī)關(guān)即為”憑證機(jī)關(guān)憑證機(jī)關(guān)” (Certification Authority)。數(shù)位認(rèn)證的內(nèi)容包括數(shù)位認(rèn)證的內(nèi)容包括: 認(rèn)證編號(hào)、申請(qǐng)者姓名、認(rèn)證發(fā)佈日期、認(rèn)證有效認(rèn)證編號(hào)、申請(qǐng)者姓名、認(rèn)證發(fā)佈日期、認(rèn)證有效日期、認(rèn)證擁有者的公鑰。日期、認(rèn)證擁有者的公鑰。整理課件55數(shù)位認(rèn)證數(shù)位認(rèn)證 (cont)整理課件56PKI把公鑰加密與數(shù)位憑證聯(lián)合起來，就達(dá)成了公鑰基礎(chǔ)建設(shè)把公鑰加密與數(shù)位憑證聯(lián)合起來，就達(dá)成了公鑰基礎(chǔ)建設(shè) (Public Key Infrastructure)。電子化身份憑證電子化身份憑證PKI的應(yīng)用的應(yīng)用: SSL網(wǎng)路安全網(wǎng)路安全(Secure Socket Layer)協(xié)定。協(xié)定。整理課件571-10 數(shù)位憑證與數(shù)位憑證與 PKI 系統(tǒng)系統(tǒng) (二二)公鑰基礎(chǔ)架構(gòu)公鑰基礎(chǔ)架構(gòu) (Public Key Infrastructure, PKI)憑證授權(quán)憑證授權(quán)(Certi