第7章網絡安全_第1頁
第7章網絡安全_第2頁
第7章網絡安全_第3頁
第7章網絡安全_第4頁
第7章網絡安全_第5頁
已閱讀5頁,還剩60頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

第7章網絡安全

7.1網絡安全概述7.2密碼技術基礎7.3身份認證7.4數字簽名7.5網絡安全防范技術主要內容網絡安全的定義網絡安全泛指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改以及泄漏,系統連續(xù)可靠正常地運行,網絡服務不被中斷。網絡安全的內容網絡實體安全軟件安全數據安全安全管理7.1網絡安全問題概述網絡安全的特性網絡可靠性網絡的可用性網絡的可維護性網絡訪問的可控性數據的機密性數據的完整性用戶身份的可鑒別性用戶的不可抵賴性7.1網絡安全問題概述內因計算機系統和網絡自身的脆弱性和網絡的開放性外因威脅存在的普遍性和管理的困難性。網絡安全出現的原因被動攻擊——竊聽或監(jiān)視數據傳輸

網絡攻擊類型主動攻擊——以某種方式修改消息內容或生成假消息

網絡攻擊類型對網絡的被動攻擊和主動攻擊截獲拒絕服務被動攻擊主動攻擊目的站源站源站源站源站目的站目的站目的站篡改惡意程序口令入侵特洛伊木馬欺騙攻擊服務拒絕攻擊監(jiān)聽黑客后門攻擊端口掃描7.1.3網絡攻擊的方法網絡安全服務鑒別服務訪問控制服務數據完整性服務數據保密性服務抗抵賴性服務7.1.4安全服務與安全機制網絡安全機制加密機制數字簽名機制訪問控制機制數據完整性機制認證機制通信業(yè)務填充機制路由選擇控制機制公證機制7.1.4安全服務與安全機制數據加密與解密過程的常用術語明文:發(fā)送方想要接收方獲得的信息密文:通過加密將明文變換為雜亂的信息加密:將明文轉變?yōu)槊芪牡倪^程解密:將密文還原為明文的過程密碼體制:實現加密和解密的特定的算法密鑰:由使用密碼體制的用戶隨機選取的,唯一能控制明文與密文轉換的關鍵信息稱為密鑰。密鑰通常是隨機字符串,在同一種加密算法下,密鑰的位數越長,安全性越高。7.2密碼技術基礎秘密密鑰加密技術對稱加密公鑰加密技術非對稱加密密碼體制

傳統密碼學階段替換加密:明文消息的字符換成其他字符凱撒加密法、Vigenere(唯吉耐爾)加密法Vernam(弗納姆)加密法置換加密:對明文字母重新進行排列柵欄置換加密技術多輪分欄式置換加密技術。計算機密碼學階段密碼學的發(fā)展【例7.1】將明文“ATTACKATFIVE”通過凱撒加密法進行加密很顯然明文ATTACKATFIVE加密后的密文為DWWDFNDWILYH。凱撒加密實例【例7.2】將明文“ATTACKATFIVE”通過柵欄加密法進行加密。柵欄加密實例明文消息ATTACKATFIVE的加密過程(1)把要被加密的消息按照鋸齒狀一上一下寫出來:A TCAFV

TAKTIE(2)然后一行一行地產生密文,得到ATCAFVTAKTIE。數據加密標準DES算法的核心是替換算法和置換算法細致而復雜的結合。DES屬于常規(guī)密鑰密碼體制,是一種分組密碼。在加密前,先對整個明文進行分組。每一個組長為64

位。然后對每一個64位二進制數據進行加密處理,產生一組64位密文數據。最后將各組密文串接起來,即得出整個的密文。使用的密鑰為64位(實際密鑰長度為56位,有8位用于奇偶校驗)。數據加密標準DESDES算法的原理DES

的保密性僅取決于對密鑰的保密,而算法是公開的。盡管人們在破譯DES方面取得了許多進展,但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES是世界上第一個公認的實用密碼算法標準,它曾對密碼學的發(fā)展做出了重大貢獻。目前較為嚴重的問題是DES的密鑰的長度?,F在已經設計出來搜索DES密鑰的專用芯片。

DES

的保密性DES的變形雙重DES三重DES高級加密標準(AES)國際數據加密算法(IDEA)DES的改進公鑰密碼體制使用不同的加密密鑰與解密密鑰,是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。公鑰密碼體制的產生的原因一是由于常規(guī)密鑰密碼體制的密鑰分配問題另一是由于對數字簽名的需求。現有最著名的公鑰密碼體制是RSA體制,它基于數論中大數分解問題的體制,由美國三位科學家Rivest,Shamir和Adleman于1976年提出并在1978年正式發(fā)表的。7.2.3公鑰密碼體制RSA公鑰密碼體制密文Y

E

運算加密算法D運算解密算法加密解密明文X明文X

ABB的私鑰SKB密文Y

因特網B的公鑰PKB在公鑰密碼體制中,加密密鑰(即公鑰)PK

是公開信息,而解密密鑰(即私鑰或秘鑰)SK

是需要保密的。加密算法E

和解密算法D

也都是公開的。雖然秘鑰SK

是由公鑰PK

決定的,但卻不能根據PK

計算出SK。加密密鑰與解密密鑰對稱加密優(yōu)點:算法簡單、速度快,被加密的數據塊長度可以很大缺點:要解決密鑰的傳遞問題非對稱加密優(yōu)點:解決了密鑰傳遞的問題缺點:算法復雜、速度慢、被加密的數據塊長度不宜太大兩種算法的比較身份認證的基本思路是通過與用戶的交互獲得相關的身份信息,然后提交給認證服務器,后者將身份信息與存儲在數據庫里的身份信息進行核對處理,根據比較結果確認用戶身份是否真實可信。鑒別用戶身份的鑒別因子用戶所知道的東西,如知識、口令、密碼等。用戶所擁有的東西,如身份證、信用卡、鑰匙、智能卡、令牌、私鑰或U盾等。用戶所具有的東西,如手型、臉型、聲音、指紋、視網膜、虹膜、簽字或筆跡等。7.3身份認證基于口令的身份認證最簡單、最普遍的身份認證技術基于口令卡的身份認證使用方便、靈活,對用戶端要求較少對交易金額有限制身份認證的方法基于智能卡的身份認證訪問系統時,需要口令和智能卡智能卡存儲用戶的秘密信息,同時在驗證服務器中也存放該秘密信息銀行卡基于生物特征的身份認證使用方便,隨身攜帶生理特征(指紋、掌型、視網膜、虹膜、人體氣味、臉型、靜脈和DNA等)和行為特征(簽名、行走步態(tài)等)身份認證的方法零知識身份認證思想:被認證方P掌握某些秘密信息,P想設法讓驗證方V相信他確實掌握那些信息,但又不想讓V知道那些信息身份認證的方法數字證書——網絡身份證數字證書的結構7.3.2數字證書①防止中間人攻擊;②防止冒名CA發(fā)布公鑰;③防止CA的抵賴;④確保數字證書中用戶身份的真實性;⑤確保用數字證書的公鑰加密的消息一定可以用該用戶的私鑰進行解密。數字證書的作用USBKey內置智能卡芯片,可以進行簽名和加解密操作。USBKey又稱作移動數字證書,它存放著用戶個人的私鑰以及數字證書。同樣,銀行服務器也記錄著用戶的數字證書。7.3.3USBKey認證當用戶嘗試進行網上交易時,銀行會向用戶發(fā)送由時間字串、地址字串、交易信息字串和防重放攻擊字串組合在一起進行加密后得到的隨機數A用戶的USBKey首先對隨機數A計算消息摘要MD0,然后用私鑰簽名MD0,并發(fā)送給銀行銀行用該用戶的公鑰驗證用戶的簽名得到MD0,并與銀行計算隨機數A的消息摘要MD1進行比較如果這兩個結果一致便認為用戶合法,交易便可以完成。如果不一致便認為不合法,交易就會失敗。USBKey認證的原理(1)硬件PIN碼保護(2)安全的密鑰存放(3)雙鑰密碼體制(4)硬件實現加密算法USBKey的安全措施數字簽名必須保證以下三點:(1)報文鑒別——接收者能夠核實發(fā)送者對報文的簽名;(2)報文的完整性——發(fā)送者事后不能抵賴對報文的簽名;(3)不可否認——接收者不能偽造對報文的簽名?,F在已有多種實現各種數字簽名的方法。但采用公鑰算法更容易實現。7.4數字簽名數字簽名的實現密文D運算明文X明文

X

ABA的私鑰

SKA因特網簽名核實簽名E運算密文A的公鑰PKA因為除A外沒有別人能具有A的私鑰,所以除A外沒有別人能產生這個密文。因此B相信報文X

是A簽名發(fā)送的。若A要抵賴曾發(fā)送報文給B,B可將明文和對應的密文出示給第三者。第三者很容易用A的公鑰去證實A確實發(fā)送X給B。反之,若B將X

偽造成X‘,則B不能在第三者前出示對應的密文。這樣就證明了B偽造了報文。數字簽名的實現具有保密性的數字簽名核實簽名解密加密簽名E

運算D運算明文X明文X

ABA的私鑰SKA因特網E

運算B的私鑰SKBD運算加密與解密簽名與核實簽名B的公鑰PKBA的公鑰PKA密文身份認證放假冒防抵賴防信息篡改數字簽名的作用加密過程①發(fā)送方利用散列函數把要發(fā)送的信息散列成固定長度數字摘要;②發(fā)送方用自己的私鑰對數字摘要進行加密,形成數字簽名;③把數字簽名和自己的數字證書附加在原信息上,利用對稱密鑰加密,形成加密后的信息;④發(fā)送方用接收方數字證書中給出的公開密鑰,再次加密形成數字信封。數字簽名的認證流程解密過程①接收方用自己的私鑰對接收到的數字信封解密,得到發(fā)送方用于加密的對稱密鑰;②用該密鑰對接收的加密信息解密,得到信息、數字簽名和發(fā)送方的數字證書;③接收方用發(fā)送方數字證書中的公開密鑰對數字簽名解密,得到數字摘要;④接收方用同樣的散列函數,把解密得到的信息散列成固定長度的數字摘要;⑤比較兩個數字摘要,一致說明傳遞過程中未被篡改。數字簽名的認證流程驗證過程①接收方認為必要時,可以到證書發(fā)行者網站檢索此證書,驗證證書是否有效,并查詢證書是否撤銷、停用等。②如懷疑發(fā)證者的身份,還可以根據證書發(fā)行者獲得的認證證書,到為其認證的認證機構進行認證,直到找到接收方信任的認證機構為止。數字簽名的認證流程數字簽名和認證的流程(1)發(fā)送方A用MD5或者SHA-1等消息摘要算法對消息M計算消息摘要MDl。(2)發(fā)送方A用自己私鑰加密這個消息摘要,這個過程的輸出是A的數字簽名。(3)發(fā)送方A將消息M和數字簽名一起發(fā)給接收方B。(4)接收方B收到消息M和數字簽名后,接收方B用發(fā)送方A的公鑰解密數字簽名。這個過程得到原先的消息摘要MDl。(5)接收方B使用與A相同的消息摘要算法計算消息摘要MD2。(6)接收方B比較兩個消息摘要。7.4.2基于RSA的數字簽名盲簽名不可否認簽名代理簽名群簽名7.4.3特殊的數字簽名XXXXXXXXXXXXX盲簽名盲簽名允許消息者先將消息盲化,而后讓簽名者對盲化的消息進行簽名,最后消息擁有者對簽字除去盲因子,得到簽名者關于原消息的簽名。張三簽名處張三盲簽名的性質不可偽造性:除了簽名者本人外,任何人都不能以他的名義生成有效的盲簽名。這是一條最基本的性質。不可抵賴性:簽名者一旦簽署了某個消息,他無法否認自己對消息的簽名。盲性:簽名者雖然對某個消息進行了簽名,但他不可能得到消息的具體內容。不可跟蹤性:一旦消息的簽名公開后,簽名者不能確定自己何時簽署的這條消息。盲簽名的應用數字現金電子投票電子投票的步驟注冊:投票人首先將投票的內容進行盲化,并連同自己的身份一起送投票管理中心。在一些方案中還要求投票人對盲化的消息進行簽名,此簽名也應送管理中心。簽名:中心先驗證投票人是否第一次投票,如果不是,則拒絕簽名:如果是第一次投票,則中心對盲化的消息進行簽名,并將此簽名送投票人。投票:投票人從盲簽名獲得關于真實消息的簽名后,既可構造自已認為安全的選票,并將此選票送計票人。統計:計票人收到全部選票后,將其編號并公開。核查:投票者根據計票人公開的選票可得知自己的選票是否被正確計入,若發(fā)現選票被竄改或未公開,則選舉者可提出質疑。公開:投票者若無異議,則可將真實選舉內容及有關密鑰或秘密參數送計票人驗證。如果這些數據和計票人收到并公開的有關數據吻合,則計票人公開投票的最終結果由Chaum和Antwerpen于1989年提出,只有在得到簽名者的許可后才能進行驗證,亦即在沒有簽名者的合作,請求簽名方將無法驗證簽名的合法性。應用軟件的防盜缺點:假若簽名者不愿意合作或者簽名者不能被利用時,簽名就不能被驗證。改進:引入半可信任的第三方,他完成簽名的證實和否認。不可否認簽名用戶由于某種原因指定某個代理代替自己簽名。該概念由Mambo等人于1996年提出。代理簽名群簽名滿足的要求:在一個群簽名方案中,一個群體中的任意一個成員可以以匿名的方式代表整個群體對消息進行簽名。群簽名是可以公開驗證的,而且可以只用單個群公鑰來驗證,可以作為群標志來展示群的主要用途、種類等。群簽名特點只有群中成員才能代表群體簽名接收到簽名的人可以用公鑰驗證群簽名,但不可能知道由群體中哪個成員所簽在發(fā)生爭議時,可由群體中的成員或可信賴的第三方來識別該簽名的簽字者群體簽名的應用電子現金系統多個銀行參與發(fā)行的電子貨幣的、匿名的、不可追蹤的電子現金系統任何銀行不能追蹤自己發(fā)行的電子貨幣商家只需要單個的群公鑰執(zhí)行一個驗證過程,確定電子貨幣的有效性給定一筆電子貨幣,除中央銀行外任何銀行都不能辨識它是哪家銀行發(fā)行的包括中央銀行在內的任何銀行都不能以其他銀行的名義發(fā)行電子貨幣群體簽名的應用政府組織結構的隱藏匿名選舉競標電子商務重要新聞的發(fā)布重要軍事情報的簽發(fā)防火墻是在兩個網絡之間執(zhí)行訪問控制策略的一個或一組安全系統。防火墻內的網絡稱為“可信的網絡”(trustednetwork),而將外部的因特網稱為“不可信的網絡”(untrustednetwork)。防火墻可用來解決內聯網和外聯網的安全問題。7.5網絡安全防范技術

7.5.1防火墻技術防火墻在互連網絡中的位置內聯網可信的網絡不可信的網絡分組過濾路由器分組過濾路由器應用網關外局域網內局

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論