《網(wǎng)絡(luò)信息安全》PPT課件.pptVIP

4.5 網(wǎng)絡(luò)信息安全,4.6.1 概述 4.6.2 數(shù)據(jù)加密 4.6.3 數(shù)字簽名 4.6.4 身份鑒別與訪問控制 4.6.5 防火墻與入侵檢測(cè) 4.6.6 計(jì)算機(jī)病毒防范,4.5.1 概述,網(wǎng)絡(luò)信息安全受到的威脅及對(duì)策,2 保證數(shù)據(jù)完整性：所傳輸?shù)慕灰仔畔⒅型静槐淮鄹?，一旦遭到篡改很快就能發(fā)現(xiàn),3 真實(shí)性鑒別：對(duì)交易雙方的身份進(jìn)行認(rèn)證，保證交易雙方的身份正確無誤,1 數(shù)據(jù)加密：即使數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被他人竊取，也不會(huì)泄露秘密,4 防止否認(rèn)：交易完成后，應(yīng)保證交易的任何一方無法否認(rèn)已發(fā)生的交易,確保信息安全的技術(shù)措施,（1）真實(shí)性鑒別：對(duì)通信雙方的身份和所傳送信息的真?zhèn)文軠?zhǔn)確地進(jìn)行鑒別 （2）訪問控制：控制用戶對(duì)信息等資源的訪問權(quán)限，防止未經(jīng)授權(quán)使用資源 （3）數(shù)據(jù)加密：保護(hù)數(shù)據(jù)秘密，未經(jīng)授權(quán)其內(nèi)容不會(huì)顯露 （4）保證數(shù)據(jù)完整性：保護(hù)數(shù)據(jù)不被非法修改，使數(shù)據(jù)在傳送前、后保持完全相同 （5）保證數(shù)據(jù)可用性：保護(hù)數(shù)據(jù)在任何情況（包括系統(tǒng)故障）下不會(huì)丟失 （6）防止否認(rèn)：防止接收方或發(fā)送方抵賴 （7）審計(jì)管理：監(jiān)督用戶活動(dòng)、記錄用戶操作等,4.5.2 數(shù)據(jù)加密,數(shù)據(jù)加密的基本概念,加密前的原始數(shù)據(jù),加密后的數(shù)據(jù),只有收/發(fā)方知道的 用于加密和解密的信息,密碼(cipher):將明文與密文進(jìn)行相互轉(zhuǎn)換的算法,解密后恢復(fù)的數(shù)據(jù),目的：即使被竊取，也能保證數(shù)據(jù)安全 重要性：數(shù)據(jù)加密是其他信息安全措施的基礎(chǔ) 基本概念：,加密算法的基本思想,改變明文中符號(hào)的排列，或按照某種規(guī)律置換明文中的符號(hào) 例1 移位式 help me變成ehpl em 例2 替代式(愷撒密碼)：,phhw ph diwhu wkh fodvv,meet me after the class,對(duì)稱密鑰加密方法,特點(diǎn)： 加密的密鑰也用于解密 密鑰越長(zhǎng)，安全性越好 計(jì)算量適中，速度快，適用于對(duì)大數(shù)據(jù)量消息加密,對(duì)稱密鑰加密方法的標(biāo)準(zhǔn) DES算法（密鑰長(zhǎng)度56位）： 共有2567.2 1016種可能，1998年使用窮舉法僅花費(fèi)了22小時(shí)15分鐘就攻破DES 現(xiàn)在廣泛使用AES(高級(jí)加密標(biāo)準(zhǔn))，其密鑰長(zhǎng)度為：128、192 或256位 計(jì)算安全性(Computationally) 破解的代價(jià)超過了消息本身的價(jià)值 破解的時(shí)間超過了消息本身的有效期,非對(duì)稱密鑰加密方法公鑰加密,甲方使用乙的公鑰進(jìn)行加密,乙方利用自己的私鑰解密,使用公鑰無法恢復(fù)明文，也無法推斷出私鑰,乙用私鑰加密的消息，甲只有使用乙的公鑰才能解密,只要密鑰長(zhǎng)度足夠長(zhǎng)，用RSA加密的信息目前還不能被破解 網(wǎng)上銀行使用的RSA算法，其密鑰長(zhǎng)度為1024或2048位,選講： 公鑰加密舉例（RSA算法）,產(chǎn)生密鑰對(duì)： 選擇兩個(gè)素?cái)?shù)p和q, 且 pq 計(jì)算：n = pq, z = (p-1)(q-1) 選擇一個(gè)比z小的整數(shù)e, 使得 e和 z互質(zhì) 計(jì)算d，使得ed-1能被z整除 于是公鑰為： e,n 私鑰為： d,n 使用： 加密: C = Me mod n 解密: M = Cd mod n,選擇: p=5, q=7 計(jì)算：n = 35, z = 24 選擇: e = 5 , 5和24互質(zhì) 選擇：d = 29, ( 因?yàn)?5x29-1)/24=0 ) 于是公鑰為： 5, 35 私鑰為： 29, 35 使用舉例：設(shè)明文中的字母為L(zhǎng)，即M=12 加密: C = 125 mod 35 = 17 解密: M = 1729 mod 35 = 12,由于n = pq是公開的，所以，為了防止攻擊者利用n推算出p和q，必須選擇足夠大的素?cái)?shù)p和q，使n達(dá)到1024位以上，才能不被破解,4.5.3 數(shù)字簽名,用于認(rèn)證消息的真實(shí)性,消息認(rèn)證(Message Authentication),在通信過程中，應(yīng)防止發(fā)生： 偽造消息（無中生有） 竄改消息內(nèi)容 消息認(rèn)證：對(duì)收到的消息進(jìn)行驗(yàn)證，驗(yàn)證它確實(shí)來自聲稱的發(fā)送方(消息的真實(shí)性)，且沒有被修改過(消息的完整性) 常規(guī)解決方案：簽字蓋章，人工檢驗(yàn)有無涂改跡象 與被簽文件在物理上不可分割 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造 計(jì)算機(jī)網(wǎng)絡(luò)的解決方案：數(shù)字簽名,什么是數(shù)字簽名？,數(shù)字簽名的含義： 數(shù)字簽名是與消息一起發(fā)送的一串代碼，它無法偽造，并能發(fā)現(xiàn)消息內(nèi)容的任何變化 數(shù)字簽名的目的： 讓對(duì)方相信消息的真實(shí)性 數(shù)字簽名的用途： 在電子商務(wù)和電子政務(wù)中用來鑒別消息的真?zhèn)?對(duì)數(shù)字簽名的要求： 無法偽造 能發(fā)現(xiàn)消息內(nèi)容的任何變化,數(shù)字簽名的處理過程,數(shù)字簽名中的雙重加密,用接收方的公鑰對(duì)已添加了數(shù)字簽名的消息再進(jìn)行加密,用接收方的私鑰對(duì)接收的消息解密并取出數(shù)字簽名,用發(fā)送方的私鑰加密信息摘要，得到數(shù)字簽名,用發(fā)送方的公鑰解密數(shù)字簽名，得到信息摘要,4.5.4 身份鑒別與訪問控制,身份鑒別(認(rèn)證),身份鑒別的含義: 證實(shí)某人的真實(shí)身份是否與其所聲稱的身份相符,以防止欺詐和假冒 什么時(shí)候進(jìn)行? 在用戶登錄某個(gè)系統(tǒng)，或者在訪問/傳送重要消息時(shí)進(jìn)行 身份鑒別的依據(jù)(方法): 鑒別對(duì)象本人才知道的信息(如口令、私鑰、身份證號(hào)等) 鑒別對(duì)象本人才具有的信物(例如磁卡、IC卡、USB鑰匙等) 鑒別對(duì)象本人才具有的生理特征(例如指紋、手紋等),通常在注冊(cè)時(shí)記錄在案,口令（密碼）容易被猜、被盜、被偷窺，電腦中植入的木馬程序會(huì)記錄操作者的鍵入數(shù)據(jù)，發(fā)送給黑客進(jìn)行分析，以查找密碼 雙因素認(rèn)證（口令+磁卡，口令+U盾）大大提高了安全性！,選講： 例：網(wǎng)上銀行的身份認(rèn)證/信息安全,網(wǎng)上銀行：使用因特網(wǎng)完成銀行的各種金融服務(wù)，如賬戶查詢、轉(zhuǎn)賬、網(wǎng)上支付等 網(wǎng)上銀行的組成： 客戶端：電腦(手機(jī))，以及USB Key、口令卡等 通信網(wǎng)絡(luò)：使用HTTPS協(xié)議保證傳輸過程中不被竊聽 服務(wù)器：高效和安全地處理各種網(wǎng)上銀行業(yè)務(wù) 網(wǎng)上銀行用戶身份認(rèn)證的3種方式： 用戶名+口令（僅適合賬戶查詢） 用戶名+口令+文件證書（數(shù)字證書在瀏覽器中） 用戶名+口令+USB證書（數(shù)字證書在U盾中）,選講： 數(shù)字證書,數(shù)字證書是一組數(shù)據(jù)構(gòu)成的電腦文件，包含用戶的身份信息、頒證機(jī)構(gòu)、有效期及一個(gè)公鑰。憑借數(shù)字證書，擁有人可在互聯(lián)網(wǎng)交往中互相識(shí)別對(duì)方的身分，確保信息安全 數(shù)字證書從數(shù)字證書認(rèn)證中心（CA中心）獲得，獲得的證書可存放在：瀏覽器、U盾、IC卡中,數(shù)字證書用途： 證實(shí)用戶身份 驗(yàn)證網(wǎng)站(或軟件)是否可信 進(jìn)行數(shù)字簽名，確保通信真實(shí)、不可抵賴,選講： U盾(USB Key),U盾外形像U盤，它包含有嵌入式處理器與數(shù)字證書等 嵌入式處理器負(fù)責(zé)進(jìn)行數(shù)據(jù)加密/解密和數(shù)字簽名處理，采用1024位非對(duì)稱RSA加密算法，它為為用戶產(chǎn)生一個(gè)私鑰(唯一序列號(hào)) U盾使用前需把權(quán)威機(jī)構(gòu)(CA中心)頒發(fā)的數(shù)字證書下載到U盾中，數(shù)字證書包含有客戶身份信息及相應(yīng)的公鑰 U盾在使用網(wǎng)上銀行進(jìn)行交易時(shí)的2個(gè)作用： 使用U盾中的數(shù)字證書進(jìn)行用戶身份認(rèn)證,借助嵌入式處理器對(duì)交易數(shù)據(jù)進(jìn)行數(shù)字簽名，確保信息不被篡改和交易不可抵賴,選講： 網(wǎng)上銀行交易過程舉例,1 客戶輸入本人賬號(hào)、口令，登錄網(wǎng)上銀行，選擇匯款操作 2 輸入收款人賬號(hào)、姓名、開戶行名稱、匯款金額等數(shù)據(jù)（明文） 3 插入U(xiǎn)盾，輸入U(xiǎn)盾口令啟動(dòng)U盾工作，銀行服務(wù)器驗(yàn)證U盾中的證書，確認(rèn)客戶身份（需查詢證書有效期和是否列入黑名單），取得客戶的公鑰 4 U盾使用客戶的私鑰對(duì)上述匯款信息進(jìn)行數(shù)字簽名，附加于匯款信息 5 U盾隨機(jī)產(chǎn)生一個(gè)密鑰，使用對(duì)稱密鑰加密算法對(duì)匯款信息和數(shù)字簽名進(jìn)行加密，形成交易密文 6 U盾使用銀行的公鑰對(duì)隨機(jī)產(chǎn)生的密鑰進(jìn)行加密，然后隨同交易密文一起發(fā)送給銀行 7 銀行接收到信息后使用銀行自己的私鑰進(jìn)行解密，得到客戶端隨機(jī)產(chǎn)生的對(duì)稱密鑰 8 銀行使用對(duì)稱密鑰對(duì)交易密文解密，得到匯款數(shù)據(jù)的明文和附加的數(shù)字簽名 9 銀行使用客戶的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，若正確則進(jìn)行匯款處理，否則拒絕交易，通知客戶,選講： 使用網(wǎng)銀安全須知,1、盡量使用各大銀行提供的安全系數(shù)高的方式進(jìn)行網(wǎng)銀操作 2、采用文件證書時(shí)，證書文件不要備份存在電腦中 3、U盾網(wǎng)銀用戶，在每次完成網(wǎng)銀操作后，要盡快拔下U盾 4、安裝安全軟件并定期進(jìn)行打補(bǔ)丁和查殺，封堵住木馬入侵的通道，確保電腦中沒有木馬。 5、避免在網(wǎng)吧等公用電腦上使用網(wǎng)銀 6、為網(wǎng)銀設(shè)置專門的密碼，不使用簡(jiǎn)單密碼 7、切勿通過鏈接或網(wǎng)上搜索引擎登錄網(wǎng)上銀行 8、登入網(wǎng)上銀行前，先關(guān)閉其他所有瀏覽器窗口,保護(hù)好銀行卡號(hào)、登錄密碼、U盾和U盾密碼，千萬不能同時(shí)丟失！,什么是訪問控制?,訪問控制的含義: 計(jì)算機(jī)對(duì)系統(tǒng)內(nèi)的每個(gè)信息資源規(guī)定各個(gè)用戶(組)對(duì)它的操作權(quán)限（是否可讀、是否可寫、是否可修改等） 訪問控制是在身份鑒別的基礎(chǔ)上進(jìn)行的 訪問控制的任務(wù): 對(duì)所有信息資源進(jìn)行集中管理 對(duì)信息資源的控制沒有二義性（各種規(guī)定互不沖突） 有審計(jì)功能（記錄所有訪問活動(dòng),事后可以核查）,文件的訪問控制舉例,4.5.5 防火墻與入侵檢測(cè),網(wǎng)絡(luò)會(huì)遭受多種攻擊,因特網(wǎng)防火墻,什么是因特網(wǎng)防火墻(Internet firewall)? 用于將因特網(wǎng)的子網(wǎng)（最小子網(wǎng)是1臺(tái)計(jì)算機(jī)）與因特網(wǎng)的其余部分相隔離, 以維護(hù)網(wǎng)絡(luò)信息安全的一種軟件或硬件設(shè)備 防火墻的原理: 防火墻對(duì)流經(jīng)它的信息進(jìn)行掃描，確保進(jìn)入子網(wǎng)和流出子網(wǎng)的信息的合法性，它還能過濾掉黑客的攻擊，關(guān)閉不使用的端口，禁止特定端口流出信息, 等等,入侵檢測(cè),入侵檢測(cè)（Intrusion Detection）是主動(dòng)保護(hù)系統(tǒng)免受攻擊的一種網(wǎng)絡(luò)安全技術(shù) 原理：通過在網(wǎng)絡(luò)若干關(guān)鍵點(diǎn)上監(jiān)聽和收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)問題，及時(shí)進(jìn)行報(bào)警、阻斷和審計(jì)跟蹤 入侵檢測(cè)是防火墻的有效補(bǔ)充： 可檢測(cè)來自內(nèi)部的攻擊和越權(quán)訪問，防火墻只能防外 入侵檢測(cè)可以有效防范利用防火墻開放的服務(wù)進(jìn)行入侵,4.5.6 計(jì)算機(jī)病毒防范,什么是計(jì)算機(jī)病毒?,計(jì)算機(jī)病毒是有人蓄意編制的一種具有自我復(fù)制能力的、寄生性的、破壞性的計(jì)算機(jī)程序 計(jì)算機(jī)病毒能在計(jì)算機(jī)中生存，通過自我復(fù)制進(jìn)行傳播，在一定條件下被激活，從而給計(jì)算機(jī)系統(tǒng)造成損害甚至嚴(yán)重破壞系統(tǒng)中的軟件、硬件和數(shù)據(jù)資源 病毒程序的特點(diǎn): 破壞性 隱蔽性 傳染性和傳播性 潛伏性,木馬病毒能偷偷記錄用戶的鍵盤操作，盜竊用戶賬號(hào)（如游戲賬號(hào),股票賬號(hào), 網(wǎng)上銀行賬號(hào)）、密碼和關(guān)鍵數(shù)據(jù)，甚至使“中馬”的電腦被別有用心者所操控，安全和隱私完全失去保證,計(jì)算機(jī)病毒的表現(xiàn)和危害,破壞文件內(nèi)容，造成磁盤上的數(shù)據(jù)破壞或丟失 刪除系統(tǒng)中一些重要的程序，使系統(tǒng)無法正常工作，甚至無法啟動(dòng) 修改或破壞系統(tǒng)中的數(shù)據(jù)，造成不可彌補(bǔ)的損失 盜用用戶的賬號(hào)、口令等機(jī)密信息 在磁盤上產(chǎn)生許多“壞”扇區(qū)，減少磁盤可用空間 占用計(jì)算機(jī)內(nèi)存，造成計(jì)算機(jī)運(yùn)行速度降低 破壞主板BIOS芯片中存儲(chǔ)的程序或數(shù)據(jù) .,殺毒軟件的功能與缺陷,殺毒軟件的功能: 檢測(cè)及消除內(nèi)存、BIOS、文件、郵件、U盤和硬盤中的病毒 例如：Norton，瑞星，江民，金山毒霸