版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
主講人:馮立波
大理學(xué)院/數(shù)學(xué)與計算機學(xué)院/通信工程教研室Email:fengyibupt@計算機網(wǎng)絡(luò)安全教材和參考資料教材《網(wǎng)絡(luò)安全實用技術(shù)》.賈鐵軍.清華大學(xué)出版社,2011年8月第一版參考教材《網(wǎng)絡(luò)安全技術(shù)》.蔡立軍.清華大學(xué)出版社,2006年9月第一版<計算機網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》,雷渭侶編著,清華大學(xué)出版社;第1版《計算機網(wǎng)絡(luò)安全導(dǎo)論》.畢紅軍.北京:電子工業(yè)出版社,2009WilliamStallings,“CryptographyandNetworkSecurity:PrinciplesandPractice”.中譯本:《密碼編碼學(xué)與網(wǎng)絡(luò)安全:原理與實踐》課程性質(zhì)專業(yè)選修成績評定:總成績=考勤(20%)+作業(yè)(30%)
+期末測試(50%)學(xué)時安排:總學(xué)時48,理論30學(xué)時,實驗18學(xué)時地點J1-316:周一(8-10節(jié)),實驗地點:工科樓網(wǎng)絡(luò)實驗室,周三13-15節(jié)基本要求課程目標(biāo)深入了解網(wǎng)絡(luò)安全基本原理和實用技術(shù)理解密碼學(xué)基礎(chǔ)知識及其應(yīng)用掌握當(dāng)前流行的網(wǎng)絡(luò)安全技術(shù)的核心思想完善作為一個復(fù)合型人才應(yīng)該具有的知識體系結(jié)構(gòu)課程內(nèi)容網(wǎng)絡(luò)安全簡介網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的基本概念網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的屬性網(wǎng)絡(luò)安全層次結(jié)構(gòu)網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全攻擊安全服務(wù)安全機制網(wǎng)絡(luò)安全防護體系網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全體系課程內(nèi)容安全的基礎(chǔ)--密碼技術(shù)密碼技術(shù)基本概念加密算法密鑰管理通信的安全消息鑒別、身份認(rèn)證安全協(xié)議虛擬專用網(wǎng)VPN課程內(nèi)容計算機系統(tǒng)的安全防病毒技術(shù)防火墻技術(shù)入侵檢測技術(shù)……應(yīng)用系統(tǒng)安全EmailWeb電子商務(wù)……預(yù)備知識計算機操作系統(tǒng)計算機網(wǎng)絡(luò)TCP/IP協(xié)議……第1章1網(wǎng)絡(luò)的發(fā)展和變化2網(wǎng)絡(luò)安全的現(xiàn)狀1.1
網(wǎng)絡(luò)的發(fā)展和變化Internet是如何發(fā)展起來的?Internet發(fā)展到了什么程度?Internet發(fā)展動力是什么?計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展歷程1960年代1970年代1980年代1990年代2000年代主要應(yīng)用科學(xué)計算部門內(nèi)部企業(yè)之間商家之間商家與消費者之間服務(wù)為本用戶規(guī)模小小中大全球無所不在成熟期10年7年5年4年3年Internet的發(fā)展現(xiàn)狀國際互聯(lián)網(wǎng)的發(fā)展起源于1969(APPANET)最初用于軍事目的1993年開始了商業(yè)應(yīng)用大量的用戶和大量的上網(wǎng)計算機全球信息數(shù)字化重要信息數(shù)字化個人信息企業(yè)資源政府信息重要應(yīng)用服務(wù)網(wǎng)絡(luò)化WWW服務(wù)電子商務(wù)……Internet發(fā)展中的問題Internet成功的技術(shù)要素統(tǒng)一而高效的協(xié)議體系(TCP/IP)層次化的網(wǎng)絡(luò)結(jié)構(gòu)開放性,使得大量基于TCP/IP的應(yīng)用軟件不斷涌現(xiàn)但是互聯(lián)網(wǎng)發(fā)展中,自身存在的問題愈來愈突出服務(wù)質(zhì)量問題管理問題安全問題(尤為突出)……Internet發(fā)展的主要動力計算機、通信、網(wǎng)絡(luò)技術(shù)推動了Internet的發(fā)展。TCP/IP協(xié)議為計算機間互連互通,及各種通信奠定了公共標(biāo)準(zhǔn)。桌面計算機、便攜計算機、手持計算機、WWW、瀏覽器、高速網(wǎng)絡(luò)、無線網(wǎng)絡(luò)等,使得Internet獲得了進(jìn)一步的發(fā)展。分散式管理和商業(yè)化是Internet快速發(fā)展的最重要原因。美國中國德國英國日本法國加拿大澳大利亞意大利瑞典荷蘭1998708.842.52002155613323.3232313.212.3107.65.8708.842.5我國互聯(lián)網(wǎng)的現(xiàn)狀(截至2008.12)各類上網(wǎng)用戶2.98億,網(wǎng)民規(guī)模全球第一國際出口帶寬640,286.67Mbps網(wǎng)站數(shù)量2,878,000域名總量達(dá)到16,826,198個Internet商業(yè)應(yīng)用快速增長1996199820002002商家-顧客56080220商家-商家625012303270總計1131013103490世界網(wǎng)絡(luò)安全產(chǎn)品市場年份增長率市場規(guī)模|億美元國內(nèi)安全產(chǎn)品需求國內(nèi)安全產(chǎn)品使用中國網(wǎng)絡(luò)安全產(chǎn)品市場年份增長率市場規(guī)模|萬美元為什么網(wǎng)絡(luò)安全產(chǎn)品在1.2
網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)為什么存在安全隱患?這些安全隱患到底是什么?如何預(yù)防和解決這些隱患?——措施之一:加密技術(shù)1.安全的概念“安全”一詞在字典中被定義為“遠(yuǎn)離危險的狀態(tài)或特性”和“為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施”。什么是“信息安全”?什么是“網(wǎng)絡(luò)安全”?1.安全的概念“安全”一詞在字典中被定義為“遠(yuǎn)離危險的狀態(tài)或特性”和“為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施”。什么是“信息安全”?什么是“網(wǎng)絡(luò)安全”?信息安全:防止任何對數(shù)據(jù)進(jìn)行未授權(quán)訪問的措施,或者防止造成信息有意無意泄漏、破壞、丟失等問題的發(fā)生,讓數(shù)據(jù)處于遠(yuǎn)離危險、免于威脅的狀態(tài)或特性。信息安全的重要性(1)社會信息化提升了信息的地位在國民經(jīng)濟和社會各個領(lǐng)域,不斷推廣和應(yīng)用計算機、通信、網(wǎng)絡(luò)等信息技術(shù)。信息產(chǎn)業(yè)在國民經(jīng)濟中所占比例上升,工業(yè)化與信息化的結(jié)合日益密切,信息資源成為重要的生產(chǎn)要素社會對信息技術(shù)的依賴性增強信息技術(shù)突飛猛進(jìn),成為新技術(shù)革命的領(lǐng)頭羊信息產(chǎn)業(yè)高速發(fā)展,成為經(jīng)濟發(fā)展的強大推動力信息網(wǎng)絡(luò)迅速崛起,成為社會和經(jīng)濟活動的重要依托。信息安全的重要性(2)虛擬的網(wǎng)絡(luò)財富日益增長網(wǎng)絡(luò)的普及,使得財產(chǎn)的概念除金錢、實物外,又增加了的網(wǎng)絡(luò)財富:網(wǎng)絡(luò)帳號、各種銀行卡、電子貨幣等。網(wǎng)絡(luò)信息安全直接關(guān)系到這些財產(chǎn)的安全。網(wǎng)絡(luò)與信息安全已成為社會的焦點問題信息比例的加大使得社會對信息的真實程度、保密程度的要求不斷提高,而網(wǎng)絡(luò)化又使因虛假、泄密引起的信息危害程度呈指數(shù)增大。信息安全不僅僅涉及到國家的經(jīng)濟、金融和社會安全,也涉及到國防、政治和文化的安全??梢哉f,信息安全就是國家安全。1.安全的概念“安全”一詞在字典中被定義為“遠(yuǎn)離危險的狀態(tài)或特性”和“為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施”。什么是“信息安全”?什么是“網(wǎng)絡(luò)安全”?電信部門網(wǎng)絡(luò)安全包括:關(guān)鍵設(shè)備的可靠性;網(wǎng)絡(luò)結(jié)構(gòu)、路由的安全性;具有網(wǎng)絡(luò)監(jiān)控、分析和自動響應(yīng)的功能;確保網(wǎng)絡(luò)安全相關(guān)的參數(shù)正常;能夠保護電信網(wǎng)絡(luò)的公開服務(wù)器(如撥號接入服務(wù)器等)以及網(wǎng)絡(luò)數(shù)據(jù)的安全性等各個方面。1.安全的概念“安全”一詞在字典中被定義為“遠(yuǎn)離危險的狀態(tài)或特性”和“為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施”。什么是“信息安全”?什么是“網(wǎng)絡(luò)安全”?網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中,對信息載體(處理載體、存儲載體、傳輸載體)和信息的處理、傳輸、存儲、訪問提供安全保護,以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務(wù)或被非授權(quán)使用和篡改。通俗地說,安全就是威脅網(wǎng)絡(luò)安全的主要因素網(wǎng)絡(luò)和系統(tǒng)自身的安全漏洞技術(shù)因素系統(tǒng)和協(xié)議的開放性系統(tǒng)自身的缺陷配置失誤通信協(xié)議的漏洞……非技術(shù)因素人員素質(zhì)安全管理制度不健全維護使用人員安全意識薄弱……威脅網(wǎng)絡(luò)安全的主要因素外部的安全威脅系統(tǒng)物理上的安全性:高溫、濕度、偷盜等病毒、蠕蟲Hacker攻擊破壞系統(tǒng)竊取信息竊取財富Internet變得越來越重要時間信息數(shù)據(jù)面臨的威脅特洛伊木馬——一種后門程序,它執(zhí)行的功能超出所聲稱的功能。信息數(shù)據(jù)面臨的威脅
后門程序,跟我們通常所說的"木馬"有聯(lián)系也有區(qū)別.聯(lián)系在于:都是隱藏在用戶系統(tǒng)中向外發(fā)送信息,而且本身具有一定權(quán)限,以便遠(yuǎn)程機器對本機的控制.區(qū)別在于:木馬是一個完整的軟件,而后門則體積較小且功能都很單一.信息數(shù)據(jù)面臨的威脅計算機病毒——會“傳染”其他程序的程序,“傳染”是通過修改其他程序來把自身或其變種復(fù)制進(jìn)去完成的。信息數(shù)據(jù)面臨的威脅邏輯炸彈——一種當(dāng)運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊功能的程序。信息數(shù)據(jù)面臨的威脅計算機蠕蟲——通過網(wǎng)絡(luò)的通信功能將自身從一個結(jié)點發(fā)送到另一個結(jié)點并啟動運行的程序。信息數(shù)據(jù)面臨的威脅拒絕服務(wù)攻擊——攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)或資源訪問,是黑客常用的攻擊手段之一。越來越多的威脅變成利益驅(qū)動某ICP受到DDoS攻擊威脅2005年11月1日英國人DevidLevi因為“網(wǎng)絡(luò)釣魚”被判刑4年利用ebay騙取$355,000間諜軟件/廣告軟件背后大量的利益空間利益驅(qū)動技術(shù)驅(qū)動網(wǎng)絡(luò)安全問題日益突出網(wǎng)絡(luò)安全漏洞大量存在1995-2004年網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)情況統(tǒng)計(CERT/CC)4500數(shù)據(jù)來源CERT/CC網(wǎng)站1995199619971998199920002001200220032004(Q1-Q3)報告數(shù)17134531126241710902437412937842683網(wǎng)絡(luò)安全事件頻發(fā)名稱日期影響莫里斯(Morris)蠕蟲1988年與Internet連接的10%的計算機當(dāng)機梅麗莎(Melissa)1999年5月一周內(nèi)感染超過100000臺計算機,造成損失約15億美元愛蟲(ILoveYou)病毒2000年5月約87億美元的經(jīng)濟影響紅色代碼(RedCode)蠕蟲2001年7月14小時內(nèi)感染超過359000臺計算機被感染尼姆達(dá)(Nimda)蠕蟲2001年9月高峰時160000臺計算機被感染,超過15億美元的經(jīng)濟影響求職信(Klez)2002年7.5億美元的經(jīng)濟影響沖擊波(Blaster)2003年約8億美元的經(jīng)濟影響震蕩波(Sasser)2004年5月破壞能力和影響超過沖擊波極速波(Zobot)蠕蟲2005年8月具有像“沖擊波”和“震蕩波”一樣的傳播能力的惡意蠕蟲,而且對反病毒廠商提出了公開挑戰(zhàn)熊貓燒香2006年約80億人民幣的經(jīng)濟損失灰鴿子20072005~2007年國內(nèi)后門的集大成者,連續(xù)三次位列年度十大病毒,俄格網(wǎng)絡(luò)戰(zhàn)爭2008年俄羅斯與格魯吉亞的沖突中,雙方利用互聯(lián)網(wǎng)進(jìn)行攻擊。開啟了信息戰(zhàn)爭的先河。Conficker蠕蟲2009年感染了超過千萬的計算機信息安全的重要性四個現(xiàn)代化,那一化也離不開信息化?!瓭擅裾l掌握了信息,控制了網(wǎng)絡(luò),誰將擁有整個世界?!绹磥韺W(xué)家阿爾溫托爾勒今后的時代,控制世界的國家將不是靠軍事,而是信息能力走在前面的國家?!绹偨y(tǒng)克林頓信息時代的出現(xiàn),將從根本上改變戰(zhàn)爭的進(jìn)行方式。——美國前陸軍參謀長沙利文上將為什么網(wǎng)絡(luò)安全變得非常重要?進(jìn)行網(wǎng)絡(luò)攻擊變得越來越簡單越來越多的個人或公司連入Internet并不是所有的用戶都具有基本的安全知識2.Internet的安全隱患Internet為什么不安全?Internet的設(shè)計思想專用主義技術(shù)泄密Internet的設(shè)計思想Internet從建立開始就缺乏安全的總體構(gòu)想和設(shè)計,TCP/IP協(xié)議是在可信環(huán)境下,為網(wǎng)絡(luò)互聯(lián)專門設(shè)計的,缺乏安全措施的考慮,這是因為Internet具有以下特點:開放式、流動的和可訪問異構(gòu)的網(wǎng)絡(luò)多數(shù)應(yīng)用是客戶機/服務(wù)器模式網(wǎng)絡(luò)允許部分匿名用戶專用主義應(yīng)該進(jìn)行安全檢查的語言:JavaScriptJavascript短小精悍,又是在客戶機上執(zhí)行的,大大提高了網(wǎng)頁的瀏覽速度和交互能力。同時它又是專門為制作Web網(wǎng)頁而量身定做的一種簡單的編程語言。
VBScript操作系統(tǒng)沒有任何特別的保護設(shè)施。VBS程序與其它JS、EXE、BAT或CMD程序一樣對待。操作系統(tǒng)沒有監(jiān)察惡意功能的能力。ActiveXActiveX是一個開放的集成平臺,為開發(fā)人員、用戶和Web生產(chǎn)商提供了一個快速而簡便的在Internet和Intranet創(chuàng)建程序集成和內(nèi)容的方法。使用ActiveX,可輕松方便的在Web頁中插入多媒體效果、交互式對象、以及復(fù)雜程序,創(chuàng)建用戶體驗相當(dāng)?shù)母哔|(zhì)量多媒體CD-ROM。
技術(shù)泄密普通用戶可以得到各種攻擊工具對攻擊行為比較感興趣,喜歡嘗試和冒險從攻擊行為中牟利以攻擊行為為職業(yè)3.Internet存在的安全問題1988年11月3日,第一個“蠕蟲”被放到Internet上。在幾小時之內(nèi),數(shù)千臺機器被傳染,Internet陷入癱瘓?!叭湎x”的作者RobertMorrisJ.r被判有罪,接受三年監(jiān)護并被罰款?!癕orris蠕蟲”的出現(xiàn)改變了許多人對Internet安全性的看法。一個單純的程序有效地摧毀了數(shù)百臺(或數(shù)千臺)機器,那一天標(biāo)志著Internet安全性研究的開始。計算機蠕蟲——通過網(wǎng)絡(luò)的通信功能將自身從一個結(jié)點發(fā)送到另一個結(jié)點并啟動運行的程序。莫里斯蠕蟲(MorrisWorm)時間1988年(時年22歲)肇事者RobertT.Morris,美國康奈爾大學(xué)學(xué)生,其父是美國國家安全局安全專家機理利用sendmail,finger等服務(wù)的漏洞,消耗CPU資源,拒絕服務(wù)影響Internet上大約6000臺計算機感染,占當(dāng)時Internet聯(lián)網(wǎng)主機總數(shù)的10%,造成9600萬美元的損失CERT/CC的誕生DARPA成立CERT(Computer
EmergencyResponseTeam),以應(yīng)付類似“蠕蟲(MorrisWorm)”事件/~rtm/從小就對計算機有著狂熱愛好的電腦神童莫里斯,目前正在麻省理工學(xué)院任教,是一位受人尊敬的計算機科學(xué)副教授。國內(nèi)網(wǎng)站遭攻擊的分布我國遭到蠕蟲攻擊的情況CNCERT/CC通過安全事件在各地區(qū)的分布抽樣監(jiān)測發(fā)現(xiàn),僅2004年上半年,我國遭到Mydoom蠕蟲、利用RPC漏洞和LSASS漏洞的幾類主要蠕蟲攻擊的主機數(shù)目接近200萬臺。黑客2001年南海撞機事件引發(fā)中美黑客大戰(zhàn)。國內(nèi)黑客組織更改的網(wǎng)站頁面美國某大型商業(yè)網(wǎng)站美國某政府網(wǎng)站美國勞工部網(wǎng)站美國某節(jié)點網(wǎng)站被黑的美國軍方站點臺灣被黑的主頁中國黑客攻擊日本網(wǎng)站什么是黑客?“黑客”(Hacker)指對于任何計算機操作系統(tǒng)奧秘都有強烈興趣的人?!昂诳汀贝蠖际浅绦騿T,他們具有操作系統(tǒng)和編程語言方面的高級知識,知道系統(tǒng)中的漏洞及其原因所在;他們不斷追求更深的知識,并公開他們的發(fā)現(xiàn),與其他人分享;并且從來沒有破壞數(shù)據(jù)的企圖。黑客喜歡破解
美國警方:把所有涉及到"利用"、"借助"、"通過"或"阻撓"計算機的犯罪行為都定為hacking。“紅客”(Honker)中國的一些黑客自稱“紅客”Honker。中國「紅客聯(lián)盟」:全國最早最大、世界排名第5;中國「黑客聯(lián)盟」:/index.asp“黑客”代表RichardStallmanGNU計劃的創(chuàng)始人DennisRichie、KenThompsonand
BrianKernighanUnix和C語言的開發(fā)者LinusTorvaldsLinuxKernel開發(fā)者關(guān)于RichardStallman稱為"最后一名真正黑客"的自由軟件之父理查德·斯托爾曼(RichardStallman)在RichardStallman的理論下,用戶彼此拷貝軟件不但不是“盜版”,而是體現(xiàn)了人類天性的互助美德。對RichardStallman來說,自由是根本,用戶可自由共享軟件成果,隨便拷貝和修改代碼。他說:“想想看,如果有人同你說:‘只要你保證不拷貝給其他人用的話,我就把這些寶貝拷貝給你?!谧杂绍浖睦顺毕拢浖I(yè)的商業(yè)模式將脫胎換骨,從賣程序代碼為中心,轉(zhuǎn)化為以服務(wù)為中心。RichardStallman的形象對RichardStallman的評價RichardStallman作為麻省理工人工智能實驗室的領(lǐng)袖人物,繼承的黑客的光榮傳統(tǒng),堅決反對實驗室的研究成果商業(yè)化。他接著創(chuàng)辦了自由軟件基金會(FreeSoftwareFoundation),全力投入寫出高品質(zhì)的自由軟件。他的一個宏偉目標(biāo)就是創(chuàng)建出完全自由使用的軟件,不是利用軟件來賺錢,而是讓軟件成為人類的共同財富,他所倡導(dǎo)的GNU軟件為我們貢獻(xiàn)了很多有價值的財富,比如說開發(fā)32位DOS程序的DJGPP就是GNU軟件。Stallman作為黑客精神的代表,至今還在世界各地進(jìn)行布道,對于一個商業(yè)利益占據(jù)統(tǒng)治地位的現(xiàn)代社會來說,Stallman似乎有一點不合時宜,但是如果我們不希望微軟控制我們的一切的話,還是對Stallman,這為“最后的真正黑客”說一句“保重”,畢竟,一個有著矛盾和沖突,有著競爭和合作的社會比一個單一的、壟斷的世界要好得多。關(guān)于Linus
Torvalds當(dāng)今世界最著名的電腦程序員、黑客,Linux內(nèi)核的發(fā)明人及該計劃的合作者。他利用個人時間及器材創(chuàng)造出了這套當(dāng)今全球最流行的操作系統(tǒng)內(nèi)核之一。他畢業(yè)于赫爾辛基大學(xué)計算機系,目前在美國加州硅谷任職于全美達(dá)公司(TransmetaCorporation)。與妻子托芙(Tove,芬蘭前女子空手道冠軍)育有兩名孩子。與很多其他黑客不同,托瓦茲行事低調(diào),一般很少評論商業(yè)競爭對手(例如微軟)產(chǎn)品的好壞,但堅持開放源代碼信念,并對微軟等的戰(zhàn)略大為不滿。在一封回應(yīng)微軟資深副總裁CraigMundie有關(guān)開放源代碼運動的評論(Mundie批評開放源代碼運動破壞了知識產(chǎn)權(quán))中說“我不知道Mundie是否聽說過艾薩克·牛頓(IsaacNewton)爵士?他不僅因為創(chuàng)立了經(jīng)典物理學(xué)(以及他和蘋果的故事)而出名,也還因為說過這樣一句話而聞名于世:我之所以能夠看得更遠(yuǎn),是因為我站在巨人肩膀上的原故?!盠inus
Torvalds的形象對Linus
Torvalds的評價21歲的芬蘭大學(xué)生,在學(xué)生宿舍里寫了一個操作系統(tǒng)的內(nèi)核--Linux,然后公布于眾,吸引了成千上萬的程序員為之增補、修改和傳播,短短幾年就擁有了1000多萬的用戶,成為地球上成長最快的軟件。內(nèi)向,靦腆。入侵者“入侵者”(Cracker)是指懷著不良企圖,闖入甚至破壞遠(yuǎn)程機器系統(tǒng)完整性的人。“入侵者”利用獲得的非法訪問權(quán),破壞重要數(shù)據(jù),拒絕合法用戶服務(wù)請求,或為了自己的目的制造麻煩?!叭肭终摺焙苋菀鬃R別,因為他們的目的是惡意的。入侵者喜歡破壞!入侵者與黑客是同一回事嗎?“入侵者”代表KevinMitink從電話耗子開始,入侵過軍事、金融、軟件公司和其他技術(shù)公司。已經(jīng)獲釋。JustinTannerPeterson在試圖獲得6位數(shù)的欺騙性電匯時被捕。究竟誰會被入侵什么是“被入侵”?“被入侵”指的是網(wǎng)絡(luò)遭受非法闖入的情況。入侵者只獲得訪問權(quán)入侵者獲得訪問權(quán),并毀壞、侵蝕或改變數(shù)據(jù)。入侵者獲得訪問權(quán),并捕獲系統(tǒng)一部分或整個系統(tǒng)的控制權(quán),拒絕擁有特權(quán)的用戶的訪問。入侵者沒有獲得訪問權(quán),而是用不良的程序,引起網(wǎng)絡(luò)持久性或暫時性的運行失敗、重新啟動、掛起或者其他無法操作的狀態(tài)。究竟誰會被入侵政府公司公眾究竟誰會被入侵入侵者KevinMitink曾經(jīng)侵入的一些目標(biāo):PacificBell一個加利福尼亞的電話公司TheCaliforniaDepartmentofMotorVehices一個Pentagon系統(tǒng)TheSantaCruzOperation一個軟件銷售商DigitalEquipmentCorporationTRW常見黑客攻擊方法及入侵技術(shù)入侵者水平攻擊手法高
攻擊變得越來越簡單綜上:網(wǎng)絡(luò)風(fēng)險難以消除開放的網(wǎng)絡(luò)外部環(huán)境越來越多的基于網(wǎng)絡(luò)的應(yīng)用企業(yè)的業(yè)務(wù)要求網(wǎng)絡(luò)連接的不間斷性來自內(nèi)部的安全隱患有限的防御措施錯誤的實現(xiàn)、錯誤的安全配置糟糕的管理和培訓(xùn)黑客的攻擊研究網(wǎng)絡(luò)安全的必要性信息自身的安全就要抵抗對信息的安全威脅。
安全威脅:包括身份假冒、非法訪問、信息泄露、數(shù)據(jù)受損、事后否認(rèn)等。
安全措施:包括身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)驗證、數(shù)字簽名、內(nèi)容過濾、日志審計、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等。研究網(wǎng)絡(luò)安全的社會意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國家的經(jīng)濟、軍事等領(lǐng)域。網(wǎng)絡(luò)安全層次結(jié)構(gòu)從網(wǎng)絡(luò)安全角度,網(wǎng)絡(luò)參考模型的各層都能夠采取一定的安全手段和措施,提供不同的安全服務(wù)。但是,單獨一個層次無法提供全部的網(wǎng)絡(luò)安全特性,每個層次都必須提供自己的安全服務(wù),共同維護網(wǎng)絡(luò)系統(tǒng)中信息的安全。物理層,可以在通信線路上采取電磁屏蔽、電磁干擾等技術(shù)防止通信系統(tǒng)以電磁(電磁輻射、電磁泄露)的方式向外界泄露信息。數(shù)據(jù)鏈路層,對點對點的鏈路可以采用通信保密機進(jìn)行加密,信息在離開一臺機器進(jìn)入點對點的鏈路傳輸之前可以進(jìn)行加密,在進(jìn)入另外一臺機器時解密。在網(wǎng)絡(luò)層,使用防火墻技術(shù)處理經(jīng)過網(wǎng)絡(luò)邊界的信息,確定來自哪些地址的信息可能活著禁止訪問哪些目的地址的主機,以保護內(nèi)部網(wǎng)免受非法用戶的訪問。在傳輸層,可以采用端到端的加密,即進(jìn)程到進(jìn)程的加密,以提供信息流動過程的安全性。在應(yīng)用層,主要是針對用戶身份進(jìn)行認(rèn)證,并且可以建立安全的通信信道。網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全通用模型網(wǎng)絡(luò)訪問安全模型4.網(wǎng)絡(luò)安全的攻防體系網(wǎng)絡(luò)安全攻擊防御體系攻擊技術(shù)網(wǎng)絡(luò)掃描網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)入侵網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身防御技術(shù)操作系統(tǒng)安全配置技術(shù)加密技術(shù)防火墻技術(shù)入侵檢測技術(shù)
網(wǎng)絡(luò)安全的實施工具軟件:Sniffer/X-Scan/防火墻軟件/入侵檢測軟件/加密軟件等等編程語言:C/C++/Perl
網(wǎng)絡(luò)安全物理基礎(chǔ)操作系統(tǒng):Unix/Linux/Windows網(wǎng)絡(luò)協(xié)議:TCP/IP/UDP/SMTP/POP/FTP/HTTP攻擊技術(shù)之一
如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗的。網(wǎng)絡(luò)掃描:利用程序去掃描目標(biāo)計算機開放的端口等,目的是發(fā)現(xiàn)漏洞,為入侵該計算機做準(zhǔn)備。攻擊技術(shù)之二
如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗的。網(wǎng)絡(luò)監(jiān)聽:自己不主動去攻擊別人,在計算機上設(shè)置一個程序去監(jiān)聽目標(biāo)計算機與其他計算機通信的數(shù)據(jù)。攻擊技術(shù)之三
如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗的。網(wǎng)絡(luò)入侵:當(dāng)探測發(fā)現(xiàn)對方存在漏洞以后,入侵到目標(biāo)計算機獲取信息。攻擊技術(shù)之四
如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗的。網(wǎng)絡(luò)后門:成功入侵目標(biāo)計算機后,為了對“戰(zhàn)利品”的長期控制,在目標(biāo)計算機中種植木馬等后門。攻擊技術(shù)之五
如果不知道如何攻擊,再好的防守也是經(jīng)不住考驗的。網(wǎng)絡(luò)隱身:入侵完畢退出目標(biāo)計算機后,將自己入侵的痕跡清除,從而防止被對方管理員發(fā)現(xiàn)。防御技術(shù)防御技術(shù)包括四大方面:1、操作系統(tǒng)的安全配置:操作系統(tǒng)的安全是整個網(wǎng)絡(luò)安全的關(guān)鍵。2、加密技術(shù):為了防止被監(jiān)聽和盜取數(shù)據(jù),將所有的數(shù)據(jù)進(jìn)行加密。(本門課程重點)3防火墻技術(shù):利用防火墻,對傳輸?shù)臄?shù)據(jù)進(jìn)行限制,從而防止被入侵。4、入侵檢測:如果網(wǎng)絡(luò)防線最終被攻破了,需要及時發(fā)出被入侵的警報。5.網(wǎng)絡(luò)安全層次結(jié)構(gòu)國際標(biāo)準(zhǔn)化組織(ISO)在開放系統(tǒng)互連標(biāo)準(zhǔn)(OSI/RM)中定義了7個層次的網(wǎng)絡(luò)參考模型,它們分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。不同的網(wǎng)絡(luò)層次之間的功能雖然有一定的交叉,但是基本上是不同的。
例如,數(shù)據(jù)鏈路層負(fù)責(zé)建立點到點通信,網(wǎng)絡(luò)層負(fù)責(zé)尋徑,傳輸層負(fù)責(zé)建立端到端的通信信道。從安全角度來看,各層能提供一定的安全手段,針對不同層的安全措施是不同的。要對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進(jìn)行分析,一個單獨的層次無法提供全部的網(wǎng)絡(luò)安全服務(wù),每個層次都能做出自己的貢獻(xiàn)。開放系統(tǒng)互連標(biāo)準(zhǔn)(OSI/RM)物理層:可以在通信線路上采用某些技術(shù)使得搭線偷聽變得不可能或者容易被檢測出。數(shù)據(jù)鏈路層:點對點的鏈路可能采用通信保密機制進(jìn)行加密和解密。所有的細(xì)節(jié)可以全部由底層硬件實現(xiàn),高層根本無法察覺。但是這種方案無法適應(yīng)需要經(jīng)過多個路由器的通信信道,因為在每個路由器上都需要進(jìn)行加密和解密,在這些路由器上會出現(xiàn)潛在的安全隱患,在開放網(wǎng)絡(luò)環(huán)境中并不能確定每個路由器都是安全的。當(dāng)然,鏈路加密無論在什么時候都是很容易而且有效的,也被經(jīng)常使用,但是在Internet環(huán)境中并不完全適用。開放系統(tǒng)互連標(biāo)準(zhǔn)(OSI/RM)網(wǎng)絡(luò)層:使用防火墻技術(shù)處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動,確定來自哪些地址的信息可能或者禁止訪問哪些目的地址的主機。傳輸層:這個連接可能被端到端的加密,也就是進(jìn)程到進(jìn)程間的加密。雖然這些解決方案都有一定的作用,并且有很多人正在試圖提高這些技術(shù),但是他們都不能提出一種充分通用的辦法來解決身份認(rèn)證和不可否認(rèn)問題。這些問題必須要在應(yīng)用層解決。開放系統(tǒng)互連標(biāo)準(zhǔn)(OSI/RM)應(yīng)用層:其安全主要是指針對用戶身份進(jìn)行認(rèn)證并且建立起安全的通信信道。有很多針對具體應(yīng)用的安全方案,它們能夠有效地解決諸如電子郵件、HTTP等特定應(yīng)用的安全問題,能夠提供包括身份認(rèn)證、不可否認(rèn)、數(shù)據(jù)保密、數(shù)據(jù)完整性檢查乃至訪問控制等功能。但是在應(yīng)用層并沒有一個統(tǒng)一的安全方案,通用安全服務(wù)GSS
API的出現(xiàn)試圖將安全服務(wù)進(jìn)行抽象,為上層應(yīng)用提供通用接口。在GSS
API接口下可以采用各種不同的安全機制來實現(xiàn)這些服務(wù)??偨Y(jié)前述討論,可用下圖表示網(wǎng)絡(luò)安全層次網(wǎng)絡(luò)安全層次圖點到點加密和解密硬件實現(xiàn)端到端加密和解密/防火墻技術(shù)GSS
API接口身份認(rèn)證/具體方案網(wǎng)絡(luò)安全處理1.防病毒軟件
2.訪問控制3.防火墻
4.智能卡5.仿生網(wǎng)絡(luò)安全
6.入侵檢測7.策略管理
8.漏洞掃描9.密碼
10.物理安全1.3
密碼學(xué)的基本概念主要內(nèi)容:研究如何保證信息系統(tǒng)安全認(rèn)識密碼變換的本質(zhì)研究密碼保密與破譯規(guī)律研究方法:數(shù)學(xué)方法及相關(guān)理論解決問題信息機密性數(shù)據(jù)完整性認(rèn)證和身份識別信息可控性不可抵賴性基本術(shù)語AliceEveBob密文(加密變換—加密算法—加密密鑰)截獲破譯密文明文(原始信息)解密得到明文(解密算法—解密密鑰)密碼編碼者合法接收者密碼破譯者攻擊者破譯者基本術(shù)語AliceEveBob密文(加密變換—加密算法—加密密鑰)截獲破譯密文明文(原始信息)解密得到明文(解密算法—解密密鑰)密碼編碼者合法接收者密碼破譯者攻擊者破譯者
密碼技術(shù)的基本思想是偽裝信息,偽裝就是對數(shù)據(jù)施加一種可逆的數(shù)學(xué)變換。偽裝前的數(shù)據(jù)稱為明文(Plaintext),偽裝后的數(shù)據(jù)稱為密文(Ciphertext)。偽裝的過程稱為加密(Encryption),去掉偽裝恢復(fù)明文的過程稱為解密(Decryption)。加/解密要在密鑰(Key)的控制下進(jìn)行。將數(shù)據(jù)以密文的形式存儲在計算機的文件中或送入網(wǎng)絡(luò)信道中傳輸,而且只給合法用戶分配密鑰。明文(Plaintext):被隱蔽的數(shù)據(jù)消息;密文(Ciphertext):隱蔽后的數(shù)據(jù)消息;加密(Encryption):將明文轉(zhuǎn)換為密文的過程;解密(Decryption):將密文轉(zhuǎn)換為明文的過程;密鑰(Key):控制加密、解密的安全參數(shù);基本術(shù)語密碼學(xué)(Cryptology):是研究信息系統(tǒng)安全保密的科學(xué)。密碼編碼學(xué)(Cryptography):主要研究對信息進(jìn)行編碼,實現(xiàn)對信息的隱蔽。密碼分析學(xué)(Cryptanalytics):主要研究對密文(對明文加密后而得的信息)的破譯和對明文的偽造?;拘g(shù)語當(dāng)前,密碼技術(shù)的發(fā)展使得它已經(jīng)能用于提供完整性、真實性、和非否認(rèn)性等屬性,成為保障信息安全的核心基礎(chǔ)技術(shù)。保密通信系統(tǒng)模型消息源加密變換解密變換明文密碼分析明文密文加密算法解密算法竊聽干擾消息源明文消息源明文加密變換消息源明文加密算法加密變換消息源明文加密變換消息源明文加密算法加密變換消息源明文密文加密算法加密變換消息源明文密文加密算法加密變換消息源明文解密變換密文加密算法加密變換消息源明文解密算法解密變換密文加密算法加密變換消息源明文解密算法解密算法解密算法明文解密算法竊聽明文解密算法竊聽明文解密算法發(fā)送者接收者竊聽者發(fā)送者接收者竊聽者發(fā)送者接收者1.4
密碼學(xué)的體系結(jié)構(gòu)什么是密碼系統(tǒng)?有哪些分類?如何設(shè)計一個安全的密碼系統(tǒng)?密碼系統(tǒng)安全性如何?可破譯嗎?密碼體制(密碼系統(tǒng))密碼系統(tǒng)或體制(Cryptosystem),也常被稱為密碼方案(Scheme)。一般用數(shù)學(xué)方法描述:數(shù)學(xué)公式數(shù)學(xué)語言它指一個密碼算法、相關(guān)參數(shù)及其使用方法的總和。其中,參數(shù)主要包括密鑰、明文和密文。有時,也將密碼系統(tǒng)或體制、密碼方案和密碼算法視為一回事。例如:移位密碼公式描述:語言描述:明文m(密文c)在26個英文字母中取值,在加解密變換時要把英文字母對應(yīng)為Z26中的元素,密鑰k取值于Z26,加密算法為c=m+k(mod26),相應(yīng)的解密算法為c=m-k(mod26),同一個密鑰對應(yīng)的加解密算法是互逆的。密碼系統(tǒng)例:加法密碼用數(shù)字0,1,2,…,24,25分別和字母A,B,C,…,Y,Z相對應(yīng);加法密碼系統(tǒng)(M,C,K,E,D):明密文空間:M=C={0,1,2,…,24,25};密鑰空間:K={0,1,2,…,24,25};加解密運算:E:c≡m+k(mod26),m∈M,c∈C
,k∈K;D:m≡c-k(mod26)
這是一種簡單的單表代替密碼。當(dāng)k=3時,就是Caesar密碼。(1)密碼體制的定義密碼體制是密碼技術(shù)中最為核心的一個概念。
密碼體制被定義為一對數(shù)據(jù)變換XXYY(1)密碼體制的定義【定義1-1】一個用于加解密(保密)的密碼體制(或系統(tǒng))是一個五元組(P,C,K,E,D),其中:(1)P稱為明文空間,是所有可能的明文構(gòu)成的集合。(2)C稱為密文空間,是所有可能的密文構(gòu)成的集合。(3)K稱為密鑰空間,是所有可能的密鑰構(gòu)成的集合。(4)E和D分別表示加密算法集和解密算法集,它們滿足,對每一個k∈K,必存在一個加密算法ek∈E和一個解密算法dk∈D,使得對任意的m∈P,恒有dk(ek(m))=m成立。(2)密碼系統(tǒng)分類可從三種不同的角度進(jìn)行分類從明文到密文的變換替換(substitution)置換(permutation)……鑰匙的數(shù)目對稱、單鑰加密法雙鑰、公鑰加密明文的處理方式分組加密(塊加密算法)流方式加密密碼體制分類-1基于密鑰的算法,按照密鑰的特點分類:對稱密鑰算法(symmetriccipher):又稱傳統(tǒng)密鑰算法(conventionalcipher),就是加密密鑰和解密密鑰相同,或?qū)嵸|(zhì)上等同,即從一個易于推出另一個。又稱秘密密鑰算法或單密鑰算法。非對稱密鑰算法(asymmetriccipher):加密密鑰和解密密鑰不相同,從一個很難推出另一個。又稱公開密鑰算法(public-keycipher)。公開密鑰算法用一個密鑰進(jìn)行加密,而用另一個密鑰進(jìn)行解密。其中的加密密鑰可以公開,又稱公開密鑰(publickey),簡稱公鑰。解密密鑰必須保密,又稱私人密鑰(privatekey)私鑰,簡稱私鑰。密碼體制分類-2按照加密過程中對明文的處理方法:分組密碼(blockcipher):將明文分成固定長度的組,用同一密鑰和算法對每一塊加密,輸出也是固定長度的密文。流密碼(streamcipher):又稱序列密碼.序列密碼每次加密一位或一字節(jié)的明文,也可以稱為流密碼。(3)密碼破譯手段密碼破譯的原則:遵循觀察與經(jīng)驗方法:采用歸納與演繹步驟:分析、假設(shè)、推測和證實三大要素:語言的頻率特征:e連接特征:q…u,Iex,重復(fù)特征:th,tion,tious單表替換密碼的破譯通過字母的使用頻率破譯(4)密碼算法的安全性無條件安全(Unconditionallysecure)無論破譯者有多少密文,他也無法解出對應(yīng)的明文,即使他解出了,他也無法驗證結(jié)果的正確性。計算上安全(Computationallysecure)破譯的代價超出信息本身的價值破譯的時間超出了信息的有效期。什么是一個好的加密算法?假設(shè)密碼(password)k是固定的明文和密文是一個映射關(guān)系:單射,即
Ek(x1)≠Ek(x2)ifx1
≠x2通常情況是:明文非常有序好的密碼條件下,我們期望得到什么樣的密文?隨機性如何理解隨機性?靜態(tài):特殊的點動態(tài):小的擾動帶來的變化不可知考慮設(shè)計一個加密算法打破明文本身的規(guī)律性隨機性(可望不可及)非線性(一定要)統(tǒng)計意義上的規(guī)律多次迭代迭代是否會增加變換的復(fù)雜性是否存在通用的框架,用于迭代復(fù)雜性帶來密碼分析的困難和不可知性實踐的檢驗和考驗1.5
密碼學(xué)發(fā)展簡史密碼學(xué)的起源可能要追溯到人類剛剛出現(xiàn),并且嘗試去學(xué)習(xí)如何通信的時候。斯巴達(dá)人,SpartanScytale
SpartanScytale
1.5
密碼學(xué)發(fā)展簡史羅馬軍隊,凱撒(Caesar)密碼。一種單表代替密碼;一種加法密碼。課堂練習(xí):字符串“Attackatsix”用Caesar密碼加密得到的密文是?
?明文字符串:Attackatsix?密文字符串:dwwdn
dw
vla
1.5
密碼學(xué)發(fā)展簡史1918年,20世紀(jì)最有影響的密碼分析文章之一:WilliamF.Fr
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年江蘇省連云港市中考地理試題含答案
- 2014-2016年中國可穿戴設(shè)備市場深度調(diào)查報告
- 2024至2030年中國密封保溫材料數(shù)據(jù)監(jiān)測研究報告
- 維護心理健康走好軍旅人生路副本圖文
- 2024至2030年中國塑膠噴嘴數(shù)據(jù)監(jiān)測研究報告
- 2024至2030年中國吊鉤式拋丸機行業(yè)投資前景及策略咨詢研究報告
- 2024至2030年中國單橋探頭行業(yè)投資前景及策略咨詢研究報告
- 2024至2030年中國中式橡塑大風(fēng)鏡行業(yè)投資前景及策略咨詢研究報告
- 2024年中國間三氟甲基芐醇市場調(diào)查研究報告
- 大學(xué)-建筑材料課件下載-墻體材料氣硬性膠凝材料
- 項目終止欠款合同模板
- 江蘇省南通市如皋市2024-2025學(xué)年九年級上學(xué)期10月期中物理o化學(xué)試題
- 吉林市2024-2025學(xué)年度高三第一次模擬測試 (一模)化學(xué)試卷(含答案 )
- 2024年股權(quán)投資擔(dān)保協(xié)議格式版
- 金匱要略2022-2023-2學(xué)期學(xué)習(xí)通超星期末考試答案章節(jié)答案2024年
- 2024中國東方航空技術(shù)限公司全球校園招聘高頻難、易錯點500題模擬試題附帶答案詳解
- 2024年西藏自治區(qū)中考道德與法治試題卷(含答案解析)
- 小學(xué)高年級課后服務(wù) scratch3.0編程教學(xué)設(shè)計 一階第6課 憤怒的小鳥3.0 教學(xué)設(shè)計
- 《糖尿病足感染診斷治療指南》解讀及進(jìn)展課件
- 【公開課】植物體的結(jié)構(gòu)層次2024-2025學(xué)年人教版生物七年級上冊
- 2024年秋季新統(tǒng)編版七年級上冊道德與法治全冊教案
評論
0/150
提交評論