信息安全复习技术介绍课件

《信息安全复习技术介绍课件》由会员分享，可在线阅读，更多相关《信息安全复习技术介绍课件（52页珍藏版）》请在装配图网上搜索。

1、信息安全复习技术介绍1信息安全n信息安全主要内容：n第一部分：信息安全基础第一部分：信息安全基础n第1章 信息安全概述：介绍信息安全的学科内容，研究层次以及安全威胁。研究信息安全的社会意义，相关道德标准以及黑客行为学研究内容。n第二部分：密码学基础第二部分：密码学基础n第2章 信息加密与密码分析：介绍密码学的基本概念，加密类型，混合加密方法以及消息一致性。并介绍加密领域中两种主流加密技术：DES加密和RSA加密。n第3章 认证与密钥管理技术：介绍杂凑函数的分类与MD5的基本算法，常用的身份识别技术，电子ID身份识别和个人特征身份识别以及密钥管理技术与管理系统。信息安全复习技术介绍2信息安全n第

2、三部分：第三部分：Web攻击技术攻击技术n第4章 典型攻击技术简介：介绍常用的网络入侵技术社会工程学攻击、物理攻击、暴力攻击、漏洞攻击等n第四部分：网络安全技术第四部分：网络安全技术n第5章 PKI公钥基础设施原理：介绍PKI/CA 模型的构成；RSA算法在PKI/CA中的应用，PKI策略，PKI的规划和建设以及CA的应用n第6章 IP安全与Web安全：介绍IPSec的必要性，IPSec中的AH协议和ESP协议、密钥交换协议IKE以及VPN的解决方案等。n第7章 防火墙技术：介绍防火墙的基本概念、分类、实现模型以及如何利用软件实现防火墙的规则集。信息安全复习技术介绍3信息安全理论体系信息安全复

3、习技术介绍4计算机密码学计算机密码学。利用计算机进行自动或半自动地加密、解密和传输w1. 传统方式计算机密码学w2. 现代方式计算机密码学对称密钥密码体制公开密钥密码体制信息安全复习技术介绍5密码学的基本概念密码学的基本概念n加密加密 ：把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程n明文明文(Plain Text)：原来的信息(报文)、消息，就是网络中所说的报文(Message)n密文密文(Cipher Text)：经过加密后得到的信息n解密解密：将密文还原为明文的过程信息安全复习技术介绍6n密钥密钥(Key)：加密和解密时所使用的一种专门信息(工具)n密码算法密码算

4、法(Algorithm)：加密和解密变换的规则(数学函数)，有加密算法和解密算法n加密系统加密系统：加密和解密的信息处理系统信息安全复习技术介绍7对称密钥算法对称密钥算法n什么是对称什么是对称密钥密钥算法算法 加密密钥能够从解密密钥中推算出来，加密密钥能够从解密密钥中推算出来，反过来也成立。反过来也成立。n说明说明 在大多数对称算法中，加解密的密钥是在大多数对称算法中，加解密的密钥是相同的。相同的。信息安全复习技术介绍8信息安全复习技术介绍9信息安全复习技术介绍10L0R0L1 = R0IPL2 = R1L15 = R14R1 = L0 f (R0, K1)R2 = L1 f (R1, K2)

5、R15 = L14 f (R14, K15)L16 = R15R16 = L15 f (R15, K16)IP 1f ff输出输出密文密文 Y (64 bit)明文明文 X (64 bit)输入输入K16 (48 bit)K2 (48 bit)K1 (48 bit)X0 的左半边的左半边 (32 bit) X0 (64 bit)X0 的右半边的右半边 (32 bit) R16L16 (64 bit)在加密前，先对整个明文进在加密前，先对整个明文进行分组。每一个组长为行分组。每一个组长为 64 bit。使用的密钥为使用的密钥为 64 bit（实（实际密钥长度为际密钥长度为 56 bit，有，有

6、8 bit 用于奇偶校验用于奇偶校验)。 算法流程算法流程信息安全复习技术介绍11nDES加密需要4个关键点：IP置换表和IP-1逆置换表，函数f，子密钥Ki和S盒的工作原理。 信息安全复习技术介绍12 2 公开密钥算法公开密钥算法n什么是公开密钥算法什么是公开密钥算法(非对称算法非对称算法)?公钥（公开密钥）公钥（公开密钥）：加密密钥能够公开，：加密密钥能够公开，即陌生者能用加密密钥加密信息。即陌生者能用加密密钥加密信息。私钥（私人密钥）私钥（私人密钥）：只有用相应的解密：只有用相应的解密密钥才能解密信息。密钥才能解密信息。公钥公钥和和私钥私钥不同。不同。私钥私钥不能根据不能根据公钥公钥计算

7、出来，或者至少计算出来，或者至少在可以计算的时间内不能计算出来。在可以计算的时间内不能计算出来。信息安全复习技术介绍13明文明文明文明文其他人其他人明文明文明文明文密文密文本人本人公公开开密钥密钥PKPK私有密钥私有密钥SKSK 加密密钥与解密密钥使用不同的密钥加密密钥与解密密钥使用不同的密钥核心：运用特殊数学函数核心：运用特殊数学函数- -单向陷门函数单向陷门函数信息安全复习技术介绍14 RSA算法的原理算法的原理n1977年，年，Rivest、Shamir和和Adleman三个人三个人实现了公开密钥密码体制，现在称为实现了公开密钥密码体制，现在称为RSA公公开密钥体制。开密钥体制。n它是第

8、一个既能用于数据加密也能用于数字它是第一个既能用于数据加密也能用于数字签名的算法。签名的算法。信息安全复习技术介绍15RSA体制体制n生成两个大素数生成两个大素数p和和q。n计算这两个素数的乘积计算这两个素数的乘积n=pq。n计算小于计算小于n并且与并且与n互质的整数的个数，互质的整数的个数，即欧拉函数即欧拉函数(n)=(p-1)(q-1)。n选择一个随机数选择一个随机数e满足满足1e(n)，并且，并且e和和(n)互质，即互质，即gcd(e, (n)=1。n计算计算ed=1 mod (n)。n保密保密d，p和和q，公开，公开n和和e。信息安全复习技术介绍16n说明：说明：加密明文加密明文x时，

9、利用公钥时，利用公钥(e, n)来计算：来计算： c=xe mod n就可以得到相应的密文就可以得到相应的密文c。解密的时候，通过计算解密的时候，通过计算cd mod n就可以恢就可以恢复出明文复出明文x。常用的公钥加密算法包括：常用的公钥加密算法包括：RSA密码体密码体制、制、ElGamal密码体制和散列函数密码体密码体制和散列函数密码体制制MD5等。等。信息安全复习技术介绍17RSA算法举例算法举例对“HI”进行加密：(1) 选密钥选密钥 设p=5,q=11， 则n=55, (n)=40 取e=3(公钥)， 则d=27 (mod 40)(私钥)信息安全复习技术介绍18(2) 加密加密设明文

10、编码为： 空格=00,A=01,B=02, ,Z=26 则明文 HI=0809C1=(08)3=512 17 (mod 55)C2=(09)3=729 14 (mod 55)N=14,Q=17所以，密文为QN信息安全复习技术介绍19(3) 恢复明文恢复明文M1=Cd=(17)27 08 (mod 55)M2=Cd=(14)27 09 (mod 55)因此明文为“HI”。信息安全复习技术介绍20RSA算法的应用算法的应用数字签名数字签名接收方接收方能够能够确认发送者的身份。确认发送者的身份。发送方发送方不能抵赖。不能抵赖。接收方接收方不能伪造报文。不能伪造报文。发送方发送方接收方接收方信息安全复

11、习技术介绍212022-4-1321Ch5-消息认证与数字签名 Hash函数nHash函数(也称散列函数或杂凑函数)是将任意长的输入消息作为输入生成一个固定长的输出串的函数，即h=H(M)。这个输出串h称为该消息的散列值（或消息摘要，或杂凑值）。 信息安全复习技术介绍222022-4-1322Ch5-消息认证与数字签名 安全的Hash函数的要求nH可以应用于任意长度的数据块，产生固定长度的散列值；n对每一个给定的输入m，计算H(m)是很容易的；n给定Hash函数的描述，对于给定的散列值h，找到满足H(m) = h的m在计算上是不可行的；n给定Hash函数的描述，对于给定的消息m1，找到满足m2

12、m1且H(m2)=H(m1)的m2在计算上是不可行的；n找到任何满足H(m1)=H(m2)且m1 m2的消息对(m1, m2)在计算上是不可行的。 信息安全复习技术介绍232022-4-1323MD5nMD5（Message-Digest Algorithm 5）是由Ronald L. Rivest（RSA算法中的“R”）这90年代初开发出来的，经MD2、MD3和MD4发展而来。它比MD4复杂，但设计思想类似，同样生成一个128位的信息散列值。其中，MD2是为8位机器做过设计优化的，而MD4和MD5却是面向32位的计算机。n2004年8月，在美国召开的国际密码学会议（Crypto2004）上，

13、王小云教授给出破解MD5、HAVAL-128、 MD4和RIPEMD算法的报告。给出了一个非常高效的寻找碰撞的方法，可以在数个小时内找到MD5的碰撞。 信息安全复习技术介绍242022-4-13 在用户和访问权限之间引入角色的概念，将用户和角色联系起来，通过对角色的授权来控制用户对系统资源的访问。这种方法可根据用户的工作职责设置若干角色，不同的用户可以具有相同的角色，在系统中享有相同的权力，同一个用户又可以同时具有多个不同的角色，在系统中行使多个角色的权力。 基于角色的访问控制基于角色的访问控制（Role Based Access Control）方法的基本思想方法的基本思想信息安全复习技术介

14、绍252022-4-13RBAC的基本模型的基本模型 访问控制 资 源 用 户 角 色 权 限 1.认证 6.访问 3.请求 2.分派 4.分派 5.访问请求 RBAC的关注点在于角色与用户及权限之间的关系。关系的左右两边都是Many-to-Many关系，就是user可以有多个role，role可以包括多个user。 信息安全复习技术介绍26网络安全存在的威胁网络、信息系统网络、信息系统内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫信息安全复

15、习技术介绍27一一. 拒绝服务攻击拒绝服务攻击DoSn拒绝服务攻击有的利用了网络协议的缺陷，有的则抢拒绝服务攻击有的利用了网络协议的缺陷，有的则抢占网络或者设备有限的处理能力。占网络或者设备有限的处理能力。n最常见的最常见的DoS攻击是攻击是资源型风暴攻击资源型风暴攻击，如：计算机网，如：计算机网络络带宽攻击带宽攻击和和连通性攻击连通性攻击。n带宽攻击带宽攻击是以极大的通信量冲击网络，使网络所有可用的带是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。宽都被消耗掉，最后导致合法用户的请求无法通过。n连通性攻击连通性攻击指用大量的连接请求冲击计算机，最终导

16、致计算指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。机无法再处理合法用户的请求。信息安全复习技术介绍28攻击运行原理攻击运行原理 DDoS攻击体系结构攻击体系结构信息安全复习技术介绍29风暴型（风暴型（ Flood ）攻击）攻击nSYN Flood攻击攻击nACK Flood攻击攻击nSmurf攻击攻击nConnection Flood攻击攻击 nHTTP Get攻击攻击nUDP DNS Query Flood攻击攻击信息安全复习技术介绍30PKI/CA模型 nPKI是英文Public Key Infrastructure的缩写，意思就是公钥基础设施。PKI中最基础的元

17、素就是数字证书，所有安全的操作主要通过证书来实现。PKI的部件主要包括签发这些证书的证书机构(CA)，登记这些证书的注册机构(RA)，存储和发布这些证书的电子目录，以及用户终端系统。信息安全复习技术介绍31PKI的功能nPKI的主要功能是提供身份认证、机密性、完整性和不可否认服务。n（1）身份认证 - 数字证书n（2）机密性 - 通过加密证书，通信双方可以协商一个秘密，而这个秘密可以作为通信加密的密钥。n（3）完整性与不可否认 - 可以通过第三方仲裁的信息安全复习技术介绍322022-4-13Ch8-公钥基础设施32 PKI系统的构建必须包括认证机构、证书库、密钥备份及恢复系统、证书撤销系统、

18、PKI应用接口等基本成分。信息安全复习技术介绍332022-4-13Ch8-公钥基础设施33数字证书n数字证书也成为公钥证书、电子证书，是公钥体制中使用的公钥的一个密钥管理载体，它是一种权威性的电子文档，形同网络环境中的一种身份证，用以证明某个主题（如用户、服务器等）的身份以及其所持有的公开密钥的真实性和合法性。n证书是PKI的管理核心，PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一。证书的格式遵循ITUT X.509国际标准。信息安全复习技术介绍342022-4-13Ch8-公钥基础设施34x.509 v3证书格式证书格式 信息安全复习技术介绍35网上教育系统数字证书应用方案

19、网上教育系统数字证书应用方案信息安全复习技术介绍362022-4-13Ch7-网络安全协议36n网络层的安全协议：网络层的安全协议：IPSecIPSecn传输层的安全协议：传输层的安全协议：SSL/TLSSSL/TLSn应用层的安全协议应用层的安全协议： SHTTPSHTTP（Web安全协议） PGPPGP(电子邮件安全协议) S/MIMES/MIME(电子邮件安全协议) MOSSMOSS(电子邮件安全协议) PEMPEM(电子邮件安全协议) SSHSSH（远程登录安全协议） Kerberos Kerberos(网络认证协议)等。 常见的网络安全协议常见的网络安全协议信息安全复习技术介绍372

20、022-4-13KerberosKerberos概述概述 Kerberos是由美国麻省理工学院(MIT)提出的基于可信赖的第三方的认证系统，它是基于Needham-Schroeder协议设计的，采用对称密码体制。 Kerberos一词源自希腊神话，在希腊神话故事中，Kerberos是一种长有三个头的狗，还有一个蛇形尾巴，是地狱之门的守卫者。现代取Kerberos这个名字意指要有三个“头”来守卫网络之门信息安全复习技术介绍382022-4-13Ch7-网络安全协议38KerberosKerberos协议中的一些概念协议中的一些概念 nPrincipal(Principal(安全个体安全个体) )

21、 被鉴别的个体，有一个名字(name)和口令(password)。nKDC(Key distribution centerKDC(Key distribution center，密钥分配中心密钥分配中心) 可信的第三方，即Kerberos服务器，提供ticket和临时的会话密钥。nTicketTicket（访问许可证）访问许可证） 是一个记录凭证，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket中的大多数信息都被加密，密钥为服务器的密钥。信息安全复习技术介绍392022-4-13Ch7-网络安全协议39nAuthenticatorAut

22、henticator（认证符）认证符） 是另一个记录凭证，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥。nCredentialsCredentials（证书）证书） 由一个ticket加上一个秘密的会话密钥组成。 信息安全复习技术介绍402022-4-13Ch7-网络安全协议40KerberosKerberos协议的工作过程协议的工作过程 nKerberosKerberos基本思想基本思想 采用对称密钥体制对信息进行加密，能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前，必须先从第三方（Kerberos 服务器）获取该应用服务器的访问许可

23、证（ticket）。n认证服务器认证服务器ASAS(Authentication Server)n许可证颁发服务器许可证颁发服务器TGSTGS(Ticket Granting Server)信息安全复习技术介绍412022-4-13Ch7-网络安全协议417.2.2 7.2.2 KerberosKerberos协议的工作过程协议的工作过程 认证服务器认证服务器AS许可证颁发服务器许可证颁发服务器TGS用户用户C应用服务应用服务器器V图7.3 Kerberos的认证过程 信息安全复习技术介绍422022-4-13Ch7-网络安全协议42n用户想要获取访问某一应用服务器的许可证时，先以明文方式向认

24、证服务器AS发出请求，要求获得访问TGS的许可证。 nAS以证书（credential）作为响应，证书包括访问TGS的许可证和用户与TGS间的会话密钥。会话密钥以用户的密钥加密后传输。 n用户解密得到TGS的响应，然后利用TGS的许可证向TGS申请应用服务器的许可证，该申请包括TGS的许可证和一个带有时间戳的认证符（authenticator）。认证符以用户与TGS间的会话密钥加密。 信息安全复习技术介绍432022-4-13Ch7-网络安全协议43nTGS从许可证中取出会话密钥、解密认证符，验证认证符中时间戳的有效性，从而确定用户的请求是否合法。TGS确认用户的合法性后，生成所要求的应用服务

25、器的许可证，许可证中含有新产生的用户与应用服务器之间的会话密钥。TGS将应用服务器的许可证和会话密钥传回到用户。 n用户向应用服务器提交应用服务器的许可证和用户新产生的带时间戳的认证符（认证符以用户与应用服务器之间的会话密钥加密）。 n应用服务器从许可证中取出会话密钥、解密认证符，取出时间戳并检验有效性。然后向用户返回一个带时间戳的认证符，该认证符以用户与应用服务器之间的会话密钥进行加密。据此，用户可以验证应用服务器的合法性。 信息安全复习技术介绍442022-4-13Ch7-网络安全协议44IPSec协议协议 由于协议IPv4最初设计时没有过多地考虑安全性，缺乏对通信双方真实身份的验证能力，

26、缺乏对网上传输的数据的完整性和机密性保护，并且由于IP地址可软件配置等灵活性以及基于源IP地址的认证机制，使IP层存在着网络业务流易被监听和捕获、IP地址欺骗、信息泄漏和数据项被篡改等多种攻击，而IP是很难抵抗这些攻击的。 为了实现安全IP，因特网工程任务组IETF于1994年开始了一项IP安全工程，专门成立了IP安全协议工作组IPSEC，来制定和推动一套称为IPSec的IP安全协议标准。 信息安全复习技术介绍452022-4-13Ch7-网络安全协议45IPSecIPSec安全体系结构安全体系结构图7.8 IPSec安全体系结构 IPSec体系结构ESP协议AH协议加密算法DOI密钥管理认证

27、算法信息安全复习技术介绍462022-4-13Ch7-网络安全协议46SSLSSL协议协议 SSL（安全套接字层，Secure Socket Layer）协议是网景（Netscape）公司提出的基于WEB应用的安全协议，是一种用于传输层安全的协议。传输层安全协议的目的是为了保护传输层的安全，并在传输层上提供实现保密、认证和完整性的方法。 SSL指定了一种在应用程序协议(例如http、telnet、NNTP、FTP)和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 信息安全复习技术介绍472022-4-13Ch7-网络安全

28、协议47 PGPPretty Good Privacy(相当好的保密)是由MIT的P.R.Zimmerrmann提出的，主要用于安全电子邮件，它可以对通过网络进行传输的数据创建和检验数字签名、加密、解密以及压缩。 PGP 信息安全复习技术介绍48PGP的功能 功能使用的算法解释说明保密性IDEA、CAST或三重DES， Diffie-Hellman或RSA发送者产生一次性会话密钥，用会话密钥以IDEA或CAST或三重DES加密消息，并用接收者的公钥以Diffie-Hellman或RSA加密会话密钥签名RSA或DSS，MD5或SHA用MD5或SHA对消息散列并用发送者的私钥加密消息摘要压缩ZIP

29、使用ZIP压缩消息，以便于存储和传输E-mail兼容性Radix64交换对E-mail应用提供透明性，将加密消息用Radix64变换成ASCII字符串分段功能-为适应最大消息长度限制，PGP实行分段并重组信息安全复习技术介绍492022-4-13Ch9-防火墙49防火墙的两条基本规则防火墙的两条基本规则n 一切未被允许的就是禁止的。一切未被允许的就是禁止的。 基于该规则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放，即只允许符合开放规则的信息进出。这种方法非常实用，可以造成一种十分安全的环境，因为所能使用的服务范围受到了严格的限制，只有特定的被选中的服务才被允许使用。这就使得用户使用的

30、方便性受到了影响。n 一切未被禁止的就是允许的。一切未被禁止的就是允许的。 基于该规则，防火墙逐项屏蔽被禁止的服务，而转发所有其它信息流。这种方法可以提供一种更为灵活的应用环境，可为用户提供更多的服务。但却很难提供可靠的安全防护，特别是当网络服务日益增多或受保护的网络范围增大时。 信息安全复习技术介绍502022-4-13Ch9-防火墙50防火墙的作用及局限性防火墙的作用及局限性 n防火墙的作用防火墙的作用集中的安全管理安全警报重新部署网络地址转换（NAT)审计和记录网络的访问及使用情况 向外发布信息 信息安全复习技术介绍512022-4-13Ch9-防火墙51n防火墙的局限性防火墙的局限性防火墙不能防范不经由防火墙的攻击和威胁 不能防御已经授权的访问，以及存在于网络内部系统间的攻击，不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 不能修复脆弱的管理措施和存在问题的安全策略 信息安全复习技术介绍522022-4-13Ch9-防火墙52防火墙的分类防火墙的分类 n根据物理特性分类根据物理特性分类 软件防火墙软件防火墙硬件防火墙硬件防火墙 n按防火墙性能分类按防火墙性能分类 百兆级防火墙百兆级防火墙千兆级防火墙千兆级防火墙