信息安全支撐技術(shù)-V4.2

1、信息安全支撐技術(shù)講師名稱 培訓機構(gòu)版本：4.2課程內(nèi)容2安全規(guī)劃知識域知識子域密碼學訪問控制身份鑒別知識子域：密碼學基本概念了解古典密碼、近代密碼、現(xiàn)代密碼等各密碼學發(fā)展階段的特點；了解基本保密通信模型；理解密碼系統(tǒng)安全性相關(guān)概念（科克霍夫準則、密碼系統(tǒng)安全性評估）了解密碼算法分類的概念。3密碼學發(fā)展古典密碼學（ 1949年之前）主要特點：數(shù)據(jù)的安全基于算法的保密近代密碼學（19491975年）主要特點：密碼學真正成為一門科學現(xiàn)代密碼學（ 1976年以后）密碼學的新方向公鑰密碼學主要特點：解決了密鑰分發(fā)和管理的問題4古典密碼安全性在于保持算法本身的保密性不適合大規(guī)模生產(chǎn)不適合較大的或者人員變動

2、較大的組織用戶無法了解算法的安全性主要分類替代密碼置換密碼替代密碼與置換密碼的組合5古典密碼學明文密文ATTACK NOWDWWDFN QRZ例如:凱撒密碼例如：ENIGMAENIGMA是由Arthur Scherbius于1919年發(fā)明了密碼轉(zhuǎn)輪機，使用機電代替手工。在二次世界大戰(zhàn)期間, Enigma曾作為德國陸、海、空三軍最高級密碼機近代密碼學1949年，Shannon（香農(nóng)）發(fā)表論文“The Communication Theory of Secret Systems”，將信息論引入了密碼，從而把已有數(shù)千年歷史的密碼學推向了科學的軌道，奠定了密碼學的理論基礎(chǔ)。7密碼學從此開始成為一門科學

3、現(xiàn)代密碼學解決了密鑰分發(fā)、管理問題，并提供更多服務(wù)1976年，Diffie & Hellman的“New Directions in Cryptography”提出了非對稱密鑰密碼8密碼學真正廣泛在商業(yè)中應(yīng)用Whitfield_DiffieMartin-Hellman基本保密通信模型基本概念明文、密文加密、解密、加密密鑰、解密密鑰9密碼系統(tǒng)的安全性影響密碼系統(tǒng)安全性的基本因素密碼算法復雜度、密鑰機密性、密鑰長度科克霍夫（Kerckhoff）原則：密碼體制應(yīng)該對外公開，僅需對密鑰進行保密；如果一個密碼系統(tǒng)需要保密的越多，可能的弱點也越多評估密碼系統(tǒng)安全性無條件安全、計算安全性、可證明安全性密碼系

4、統(tǒng)實際安全需要滿足的準則：破譯該密碼系統(tǒng)的實際計算量無法實現(xiàn)破譯該密碼系統(tǒng)所需計算時間超過信息的生命周期破譯該密碼系統(tǒng)的費用超過被加密信息本身的價值10密碼學技術(shù)在信息安全中的應(yīng)用11知識子域：密碼學對稱密碼算法理解對稱密碼算法的概念及算法特點；了解DES、3DES、AES等典型對稱密碼算法。公鑰密碼算法理解非對稱密碼算法（公鑰算法）的概念及算法特點；了解RSA、SM2等典型非對稱密碼算法。12對稱密碼算法加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同典型算法：DES、3DES、AES、IDEA等優(yōu)點：高效不足：安全交換密鑰問題及密鑰管理復雜13Alice加密機解密機Bob安全信道密鑰源Oscar明文x

5、密文y密鑰k明文x密鑰k非對稱密碼算法密鑰成對 (公鑰, 私鑰)公鑰加密私鑰解、私鑰加密公鑰解典型算法：RSA、ECC、 ElGamal優(yōu)點：解決密鑰傳遞問題、密鑰管理簡單、提供數(shù)字簽名等其他服務(wù)缺點：計算復雜、耗用資源大 14MaryRick明文密文明文加密操作解密操作公鑰私鑰知識子域：密碼學其他密碼服務(wù)理解哈希函數(shù)、消息認證碼、數(shù)字簽名等密碼服務(wù)的作用。公鑰基礎(chǔ)設(shè)施了解PKI的基本概念及PKI體系構(gòu)成；理解CA及其他組件在PKI體系中的作用；掌握PKI的應(yīng)用場景。15知識子域：密碼學其他密碼服務(wù)理解哈希函數(shù)、消息認證碼、數(shù)字簽名等密碼服務(wù)的作用。公鑰基礎(chǔ)設(shè)施了解PKI的基本概念及PKI體系

6、構(gòu)成；理解CA及其他組件在PKI體系中的作用；掌握PKI的應(yīng)用場景。16哈希函數(shù)哈希函數(shù)是能將任意長度的數(shù)據(jù)映射成為一個定長的字段的函數(shù)作用：數(shù)據(jù)完整性檢查典型算法：MD5、SHA-1數(shù)學性質(zhì)單向性弱抗碰撞性強抗碰撞性17用戶A用戶B數(shù)據(jù)數(shù)據(jù)哈希值哈希算法數(shù)據(jù)哈希值哈希值哈希算法如果哈希值匹配，說明數(shù)據(jù)有效 用戶A發(fā)送數(shù)據(jù)和哈希值給用戶 B消息認證碼基本特點也稱消息鑒別碼（Message Authentication Code，MAC）利用密鑰來生成一個固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后作用：完整性校驗、時間和順序驗證實現(xiàn)算法分組鏈消息鑒別碼（CBC-MAC）基于哈希函數(shù)的MAC（

7、HMAC）18數(shù)字簽名19基本特性不可偽造性不可否認性完整性應(yīng)用示例發(fā)送過程接收過程用戶A用戶B數(shù)據(jù)哈希值哈希算法用戶A的私鑰 數(shù)據(jù)哈希值用戶A的公鑰哈希算法哈希值如果哈希值匹配，說明該數(shù)據(jù)由該私鑰簽名。公鑰基礎(chǔ)設(shè)施（PKI）定義PKI是一個包括硬件、軟件、人員、策略和規(guī)程的集合，用來實現(xiàn)基于公鑰密碼體制的密鑰和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能PKI架構(gòu)CA（認證權(quán)威）RA（注冊權(quán)威）證書存放管理（目錄服務(wù)）終端實體（證書持有者和應(yīng)用程序）20CA：認證權(quán)威簽發(fā)證書更新證書管理證書撤銷、查詢審計、統(tǒng)計驗證數(shù)字證書黑名單認證（CRL）在線認證 (OCSP)21CA是PKI體系的核心RA：

8、注冊權(quán)威受理用戶的數(shù)字證書申請對證書申請者身份進行審核并提交CA制證類似于申請身份證的派出所提供證書生命期的維護工作受理用戶證書申請協(xié)助頒發(fā)用戶證書審核用戶真實身份受理證書更新請求受理證書吊銷22證書庫/CRL證書存放管理信息的存儲庫 ，提供了證書的保存，修改，刪除和獲取的能力采用LDAP標準的目錄服務(wù)存放證書，其作用與數(shù)據(jù)庫相同，優(yōu)點是在修改操作少的情況下，對于訪問的效率比傳統(tǒng)數(shù)據(jù)庫要高CRL(Certificate Revocation List):證書撤銷列表，也稱“證書黑名單”被撤銷證書的序列號證書有效期期間因為某種原因（人員調(diào)動、私鑰泄漏等）導致證書不再真實可信，因此需要進行證書撤銷

9、23終端實體數(shù)字證書經(jīng)證書權(quán)威機構(gòu)CA簽名的、包含擁有者身份信息和公開密鑰的數(shù)據(jù)體國際標準X.509定義了電子證書的規(guī)范格式擁有公私密鑰對和相應(yīng)公鑰證書的最終用戶，可以是人、設(shè)備、進程等24用戶申請證書 獲取用戶的身份信息 進行證書廢止檢查 檢查證書的有效期 校驗數(shù)字證書 解密數(shù)據(jù) 證書下載到用戶本地審核通過的注冊請求發(fā)送給CA證書同時要被發(fā)布出去應(yīng)用程序通過證書：RA系統(tǒng)審核用戶身份發(fā)送注冊信息給RACA為用戶簽發(fā)證書下載憑證.RA將證書下載憑證發(fā)放給用戶應(yīng)用/其他用戶Directory提交證書申請請求CARAPKI體系工作流程25PKI/CA技術(shù)的典型應(yīng)用26PKI/CA應(yīng)用通信領(lǐng)域WiF

10、i 部署釣魚身份盜竊電子政務(wù)領(lǐng)域公文扭轉(zhuǎn)政務(wù)門戶訪問控制領(lǐng)域機房門禁（物理）Windows登錄（邏輯）硬件設(shè)備領(lǐng)域Web 服務(wù)器域名控制器VPN 軟件開發(fā)領(lǐng)域代碼簽名電子商務(wù)領(lǐng)域銀行網(wǎng)購知識子域：身份鑒別身份鑒別的概念理解標識與鑒別、鑒別類型、鑒別方式等基本概念基于實體所知的鑒別理解基于實體所知的鑒別方式及特點；了解口令破解、嗅探、重放攻擊等針對實體所知鑒別方式的攻擊方式；掌握對抗口令破解的防御措施；理解對抗嗅探攻擊、重放攻擊的防御措施。27標識與鑒別標識的概念：標識是實體身份的一種計算機表達，每個實體與計算機內(nèi)部的一個身份表達綁定鑒別：確認實體是它所聲明的，提供了關(guān)于某個實體身份的保證，某一

11、實體確信與之打交道的實體正是所需要的實體標識與鑒別的作用作為訪問控制的一種必要支持，訪問控制的執(zhí)行依賴于確知的身份作為數(shù)據(jù)源認證的一種方法作為審計追蹤的支持28鑒別的基本概念鑒別系統(tǒng)的構(gòu)成驗證者、被驗證者、可信賴者鑒別的類型單向鑒別、雙向鑒別、第三方鑒別鑒別的方式基于實體所知（知識、密碼、PIN碼等）基于實體所有（身份證、鑰匙、智能卡、令牌等）基于實體特征（指紋，筆跡，聲音，視網(wǎng)膜等）雙因素、多因素認證29基于實體所知的鑒別使用最廣泛的身份鑒別方法實現(xiàn)簡單、成本低提供弱鑒別面臨的威脅暴力破解木馬竊取線路竊聽重放攻擊30密碼暴力破解安全防護暴力破解防護使用安全的密碼（自己容易記，別人不好猜）系統(tǒng)

12、、應(yīng)用安全策略（帳號鎖定策略）隨機驗證碼變形干擾滑塊圖像識別31木馬竊取密碼安全防護使用密碼輸入控件安全的輸入框，避免從輸入框中還原密碼軟鍵盤，對抗擊鍵記錄隨機排列字符，對抗屏幕截圖重現(xiàn)32密碼嗅探攻擊安全防護加密：單向函數(shù)攻擊者很容易構(gòu)造一張q與p對應(yīng)的表，表中的p盡可能包含所期望的值解決辦法：在口令中使用隨機數(shù)33密碼嗅探攻擊安全防護一次性口令：每次鑒別中所使用的密碼不同有效應(yīng)對密碼嗅探及重放攻擊實現(xiàn)機制兩端共同擁有一串隨機口令，在該串的某一位置保持同步兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步使用時間戳，兩端維持同步的時鐘34密碼嗅探及重放攻擊防護挑戰(zhàn)機制客戶端：請求登

13、錄服務(wù)器：給出隨機數(shù)作為挑戰(zhàn)請求將登錄信息（用戶名、密碼）與隨機數(shù)合并，使用單向函數(shù)（如MD5）生產(chǎn)字符串，作為應(yīng)答返回服務(wù)器服務(wù)認證后返還結(jié)果35隨機數(shù)對隨機數(shù)進行加密的結(jié)果認證結(jié)果知識子域：身份鑒別基于實體所有的鑒別理解基于實體所有的鑒別方式及特點；了解集成電路卡、內(nèi)存卡、安全卡、CPU卡等常用鑒別物品?；趯嶓w特征的鑒別理解基于實體特征的鑒別方式及特點；了解指紋、虹膜、聲紋等常用的生物識別技術(shù)；理解基于實體特征鑒別有效性判定的方法。36基于實體所有的鑒別方法采用較多的鑒別方法使用用戶所持有的東西來驗證用戶的身份用于鑒別的東西通常不容易復制鑒別物體IC卡（Integrated Circui

14、t Card）是將一個微電子芯片嵌入符合卡基，做成卡片形式的信息載體內(nèi)存卡邏輯加密卡CPU卡特點難以復制、安全性高37基于實體所有的鑒別方法安全威脅及防護損壞封裝應(yīng)堅固耐用，承受日常使用中各種可能導致卡片損壞的行為復制保證IC卡中存儲和處理的各種信息不被非法訪問、復制、篡改或破壞PIN碼甚至其他技術(shù)實現(xiàn)對數(shù)據(jù)的安全防護確保邏輯安全措施得到落實38基于實體特征的鑒別方法使用每個人所具有的唯一生理特征鑒別的方式指紋、掌紋、靜脈虹膜、視網(wǎng)膜語音面部掃描39數(shù)據(jù)采集設(shè)備數(shù)據(jù)輸入通道數(shù)據(jù)匹配認證結(jié)果基于實體特征的鑒別-指紋、掌紋、靜脈指紋手指上一些曲線和分叉以及一些非常微小的特征手掌手掌有折痕，起皺，還

15、有凹槽還包括每個手指的指紋 人手的形狀（手的長度，寬度和手指）表示了手的幾何特征靜脈個人靜脈分布圖（指靜脈、掌靜脈）40基于實體特征的鑒別-虹膜，視網(wǎng)膜虹膜使用環(huán)繞在瞳孔四周有色彩的部分作為識別特征出生618個月成型后終生不變視網(wǎng)膜使用視網(wǎng)膜上面的血管分布作為識別特征41基于實體特征的鑒別-語音、面部語音使用語音、語速、語調(diào)等作為識別特征面部人都有不同的骨骼結(jié)構(gòu)，鼻梁，眼眶，額頭和下顎形狀特點易于實現(xiàn)安全性不高42基于實體特征的鑒別鑒別系統(tǒng)的有效性判斷錯誤拒絕率（FRR）錯誤接受率（FAR）交叉錯判率（CER）：FRR=FAR的交叉點，CER用來反映系統(tǒng)的準確度43%安全性FAR(II)FRR

16、(I)CER知識子域：身份鑒別kerberos體系理解單點登錄概念及其特點；了解Kerberos體系架構(gòu)及基本認證過程。認證、授權(quán)和計費了解AAA的概念及RADIUS、TACACS+協(xié)議特點。44單點登錄基本概念單點登錄概念單一身份認證，身份信息集中管理，一次認證就可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源單點登錄實質(zhì)是安全憑證在多個應(yīng)用系統(tǒng)之間的傳遞或共享單點登錄的安全優(yōu)勢減輕安全維護工作量，減少錯誤提高效率統(tǒng)一安全可靠的登錄驗證45Kerberos協(xié)議什么是Kerberos協(xié)議1985年由美國麻省理工學院開發(fā)，用于通信實體間的身份認證，1994年V5版本作為Internet標準草案公布基于對稱密碼算法為

17、用戶提供安全的單點登錄服務(wù)包含可信第三方認證服務(wù)Kerberos協(xié)議的優(yōu)點避免本地保存密碼及會話中傳輸密碼客戶端和服務(wù)器可實現(xiàn)互認46Kerberos體系構(gòu)成運行環(huán)境構(gòu)成密鑰分發(fā)中心（KDC）系統(tǒng)核心，負責維護所有用戶的賬戶信息由AS和TGS兩個部分構(gòu)成認證服務(wù)器（AS:Authentication Server）票據(jù)授權(quán)服務(wù)器（TGS:Ticket Granting Server）應(yīng)用服務(wù)器客戶端其他概念票據(jù)許可票據(jù)（TGT)服務(wù)許可票據(jù)（SGT）47Kerberos認證過程-三次通信認證過程由三個階段組成，例如需要訪問OA第一次：獲得票據(jù)許可票據(jù)（TGT）第二次：獲得服務(wù)許可票據(jù)（SGT）

18、第三次：獲得服務(wù)48KDCASTGSADWEB服務(wù)器客戶端123Kerberos工作過程-獲得TGT客戶機向AS發(fā)送訪問TGS請求（明文）請求信息：用戶名、IP地址、時間戳、隨機數(shù)等AS驗證用戶（只驗證是否存在）AS給予應(yīng)答TGT（包含TGS會話密鑰），使用KDC密碼加密其他信息（包含TGS會話密鑰），使用用戶密碼加密49AS客戶機請求票據(jù)許可票據(jù)(TGT)票據(jù)+會話密鑰TGT +（kc,tgs）Kerberos工作過程-獲得SGT客戶機向TGS發(fā)送訪問應(yīng)用服務(wù)請求請求信息使用TGS會話密鑰加密（包含認證信息）包含訪問應(yīng)用服務(wù)名稱（http）TGS驗證認證信息（包含用戶名等）后，給予應(yīng)答SGT

19、客戶機與應(yīng)用服務(wù)器之間的會話密鑰50TGS客戶機請求服務(wù)許可票據(jù)(SGT)票據(jù)+會話密鑰SGT +（kc,s）Kerberos工作過程-獲得服務(wù)客戶機向應(yīng)用服務(wù)器請求服務(wù)SGT（使用http服務(wù)器密碼加密）認證信息應(yīng)用服務(wù)器（驗證認證信息）提供服務(wù)器驗證信息（如果需要驗證服務(wù)器）51服務(wù)器客戶機請求服務(wù)提供服務(wù)器鑒別符認證、授權(quán)和計費RADIUS協(xié)議最初為撥號用戶進行認證和計費，現(xiàn)為通用的認證協(xié)議協(xié)議實現(xiàn)簡單，傳輸簡捷高效僅對傳輸過程中的密碼本身進行加密TACACS+協(xié)議運行于TCP協(xié)議，具有較高的可靠性對包頭外所有數(shù)據(jù)加密，安全性較高大型網(wǎng)絡(luò)中實時性較差52知識子域：訪問控制訪問控制模型的基

20、本概念理解訪問控制的概念、作用及訪問控制模型的概念。自主訪問控制模型理解自主訪問控制模型相關(guān)概念及模型特點；理解訪問控制列表與訪問能力表等自主訪問控制模型的基本概念。53訪問控制基本概念什么是訪問控制為用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進行管理，防止對信息的非授權(quán)篡改和濫用訪問控制作用保證用戶在系統(tǒng)安全策略下正常工作拒絕非法用戶的非授權(quán)訪問請求拒絕合法用戶越權(quán)的服務(wù)請求54訪問控制基本概念-訪問控制模型什么是訪問控制模型對一系列訪問控制規(guī)則集合的描述，可以是非形式化的，也可以是形式化的。組成55主 體客 體訪問控制實施訪問控制決策提交訪問 請求請求決策決 策提出訪問 請求訪

21、問控制模型的分類56訪問控制模型強制訪問控制模型（MAC）自主訪問控制模型（DAC）訪問矩陣模型訪問控制列表（ACL）權(quán)能列表（Capacity List）Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角色訪問控制模型（RBAC）混合策略模型自主訪問控制模型什么是自主訪問控制模型（DAC）客體的屬主（創(chuàng)建者）決定該客體的訪問權(quán)限靈活，具有較好的易用性和可擴展性安全性不高實現(xiàn)機制訪問控制表/矩陣57目標xR、W、OwnR、W、Own目標y目標z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W 目標用戶

22、自主訪問控制模型實現(xiàn)方式訪問控制表權(quán)限與客體關(guān)聯(lián)在客體上附加一個主體明細表的方法來表示訪問控制矩陣的訪問能力表權(quán)限與主體關(guān)聯(lián)為每個用戶維護一個表，表示主體可以訪問的客體及權(quán)限58客體y主體b主體dRWOwnRW主體b客體x客體yRRWOwn自主訪問控制的特點 優(yōu)點：根據(jù)主體的身份和訪問權(quán)限進行決策具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體靈活性高，被大量采用缺點：安全性不高信息在傳遞過程中其訪問權(quán)限關(guān)系會被改變59知識子域：訪問控制強制訪問控制模型理解強制訪問控制模型的概念及特點；了解Bell-LaPadula模型的作用及特點；了解Biba模型的作用及特點；了解Clark-

23、Wilson的作用及特點；了解Chinese Wall模型的作用及特點。60強制訪問控制模型什么是強制訪問控制(MAC）主體和客體都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個主體是否可以訪問某個客體特點安全屬性是強制的，任何主體都無法變更安全性較高，應(yīng)用于軍事等安全要求較高的系統(tǒng)61強制訪問控制模型-BLPBLP模型概念由D. Elliott Bell和Leonard J. LaPadula于1973年提出的一種模擬軍事安全策略的計算機訪問控制模型，簡稱為BLP模型第一個嚴格形式化的安全模型多級訪問控制模型，用于保證系統(tǒng)信息的機密性BLP模型訪問控制策略包括自主安全策略與強制安全策略強制

24、安全策略為每一個主體和客體都分配了安全級，根據(jù)安全級進行訪問控制62BLP模型的構(gòu)成安全級密級：絕密、機密、秘密、公開范疇：軍事，外交，商務(wù).安全級之間支配關(guān)系（密級高于或等于、范疇包含）例如L=，L=，則L支配L安全策略簡單安全規(guī)則（向下讀）*-規(guī)則（向上寫）63強制訪問控制模型-BibaBiba模型概念1977年由Biba提出，與BLP模型數(shù)學上對偶的完整性保護模型多級訪問控制模型，保護數(shù)據(jù)完整性Biba模型的訪問控制策略強制安全策略為每一個主體和客體都分配了完整級，根據(jù)完整級進行訪問控制64Biba模型的構(gòu)成完整級：安全級和范疇安全級：極為重要，非常重要，重要，.范疇：軍事，外交，商務(wù).

25、完整級存在支配關(guān)系與BLP類似，安全級高于或等于，范疇包含安全策略向上讀：主體可以讀客體，當且僅當客體的完整級別支配主體的完整級向下寫：主體可以寫客體，當且僅當主體的完整級別支配客體的完整級65強制訪問控制模型-Clark-WilsonClark-Wilson模型概念由計算機科學家David D. Clark和會計師David R. Wilson發(fā)表于1987年確保商業(yè)數(shù)據(jù)完整性的訪問控制模型，側(cè)重于滿足商業(yè)應(yīng)用的安全需求 Clark-Wilson模型的訪問控制策略每次操作前和操作后，數(shù)據(jù)都必須滿足這個一致性條件66Chinese Wall模型示例若干有競爭關(guān)系數(shù)據(jù)集構(gòu)成了利益沖突類銀行COI類（銀行a、銀行b、銀行c）石油公司COI類（公司W(wǎng)、公司x、公司u、公司v)67知識子域：訪問控制基于角色的訪問控制模型了解基于角色的訪問控制模型基本概念及特點；了解RBAC模型的構(gòu)成及訪問控制規(guī)則。特權(quán)管理基礎(chǔ)設(shè)