物聯(lián)網(wǎng)信息安全 課件 第2章 網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)、數(shù)據(jù)加密技術(shù)

信息安全及網(wǎng)絡(luò)安全技術(shù)2024/7/3

提高安全意識

樹立計(jì)算機(jī)網(wǎng)絡(luò)安全的整體概念

掌握網(wǎng)絡(luò)攻防技術(shù)的原理、方法和工具

信息系統(tǒng)安全的解決方案

學(xué)習(xí)目的2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠4信息安全與網(wǎng)絡(luò)安全12網(wǎng)絡(luò)新技術(shù)3內(nèi)容5網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)不安全的原因2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠4信息安全與網(wǎng)絡(luò)安全12網(wǎng)絡(luò)新技術(shù)3內(nèi)容5網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)不安全的原因2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠什么是信息安全？信息安全：是信息系統(tǒng)安全的簡稱能源、材料、信息是支撐現(xiàn)代社會大廈的三根支柱。信息是邏輯的、抽象的，不能脫離系統(tǒng)而獨(dú)立存在。中文詞安全=Security+SafetySecurity：指阻止人為的對安全的危害Safety：指阻止非人為的對安全的危害信息安全的要求（任務(wù)）保密性Confidentiality完整性Integrity不可否認(rèn)性Non-reputiation可鑒別性Authentication可用性Availability信息安全與網(wǎng)絡(luò)安全2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠什么是網(wǎng)絡(luò)安全？本質(zhì)就是網(wǎng)絡(luò)上的信息安全網(wǎng)絡(luò)安全防護(hù)的目的網(wǎng)絡(luò)安全的定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

保障各種網(wǎng)絡(luò)資源穩(wěn)定、可靠的運(yùn)行和受控、合法使用。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全的特征（1）保密性confidentiality：信息不泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。（2）完整性integrity：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性availability：可被授權(quán)實(shí)體訪問并按需求使用的特性，即當(dāng)需要時(shí)應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊。（4）可控性controllability：對信息的傳播及內(nèi)容具有控制能力。（5）可審查性：出現(xiàn)的安全問題時(shí)提供依據(jù)與手段2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全威脅保密性:竊聽、業(yè)務(wù)流分析完整性:篡改、重放、旁路、木馬鑒別：冒充不可否認(rèn)性：抵賴可用性：拒絕服務(wù)、蠕蟲病毒、中斷信息安全的措施信息安全措施法律措施管理措施技術(shù)措施2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全的技術(shù)措施硬件系統(tǒng)安全操作系統(tǒng)安全密碼技術(shù)通信安全網(wǎng)絡(luò)安全數(shù)據(jù)庫安全病毒防治技術(shù)防電磁輻射技術(shù)信息隱藏技術(shù)數(shù)字資源保護(hù)技術(shù)電子對抗技術(shù)注意：硬件結(jié)構(gòu)的安全和操作系統(tǒng)安全是基礎(chǔ)，密碼、網(wǎng)絡(luò)安全等是關(guān)鍵技術(shù)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全管理專家指出信息安全是“七分管理，三分技術(shù)”

為實(shí)現(xiàn)安全管理，應(yīng)有專門的安全管理機(jī)構(gòu)；有專門的安全管理人員；有逐步完善的管理制度；有逐步提供的安全技術(shù)設(shè)施。信息安全管理主要涉及以下幾個(gè)方面人事管理；設(shè)備管理；場地管理；存儲媒體管理；軟件管理；網(wǎng)絡(luò)管理；密碼和密鑰管理2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全的管理措施信息安全的管理措施信息設(shè)備、機(jī)房的安全管理對人的安全管理（最主要的）目前，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的最大威脅之一是缺少有效的計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)管2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全與法律政策上:完備的法律法規(guī)和安全標(biāo)準(zhǔn)技術(shù)上:計(jì)算機(jī)網(wǎng)絡(luò)和信息安全的體系結(jié)構(gòu)我國的信息安全相關(guān)法規(guī)國內(nèi)的相關(guān)法規(guī)中華人民共和國計(jì)算機(jī)安全保護(hù)條例中華人民共和國商用密碼條例中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行辦法關(guān)于對與國際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法在刑法的修訂中,增加了有關(guān)計(jì)算機(jī)犯罪的條款2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全技術(shù)1．信息加密——信息加密是保障信息安全的最基本、最核心的技術(shù)措施和理論基礎(chǔ)。信息加密也是現(xiàn)代密碼學(xué)主要組成部分。

2．?dāng)?shù)字簽名——作用是身份認(rèn)真

簽名過程：利用簽名者的私有信息作為秘密密鑰，或?qū)?shù)據(jù)單元進(jìn)行加密或產(chǎn)生該數(shù)據(jù)單元的密碼校驗(yàn)值；驗(yàn)證過程：利用公開的規(guī)程和信息來確定簽名是否是利用該簽名者的私有信息產(chǎn)生的。3．?dāng)?shù)據(jù)完整性——數(shù)據(jù)完整性保護(hù)用于防止非法篡改，利用密碼理論的完整性保護(hù)能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務(wù)。4．身份鑒別——鑒別是信息安全的基本機(jī)制，通信的雙方之間應(yīng)互相認(rèn)證對方的身份，以保證賦予正確的操作權(quán)力和數(shù)據(jù)的存取控制。5．訪問控制——訪問控制的目的是防止對信息資源的非授權(quán)訪問和非授權(quán)使用信息資源。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全知識體系層次層面作用點(diǎn)安全屬性信息對抗信息熵對抗信息的利用機(jī)密性、完整性、特殊性信息安全內(nèi)容安全攻擊性信息（對流動(dòng)的數(shù)據(jù)進(jìn)行限制）機(jī)密性、真實(shí)性、可控性、可用性、完整性、可靠性數(shù)據(jù)安全保護(hù)數(shù)據(jù)信息機(jī)密性、真實(shí)性、實(shí)用性、完整性、唯一性、不可否認(rèn)性、生存性系統(tǒng)安全運(yùn)行安全軟件(操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等)真實(shí)性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、穩(wěn)定性、可靠性物理安全硬件機(jī)密性、可用性、完整性、生存性、穩(wěn)定性、可靠性2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠物理安全對網(wǎng)絡(luò)與信息系統(tǒng)的物理裝備的保護(hù)是信息安全的首要問題和基礎(chǔ)之一所涉及的主要技術(shù)：加擾處理、電磁屏蔽：防范電磁泄露容錯(cuò)、容災(zāi)、冗余備份、生存性技術(shù)：防范隨機(jī)性故障信息驗(yàn)證：防范信號插入2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠運(yùn)行安全

對網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過程和運(yùn)行狀態(tài)的保護(hù)。所面對的威脅包括：非法使用資源、系統(tǒng)安全漏洞利用、網(wǎng)絡(luò)阻塞、網(wǎng)絡(luò)病毒、越權(quán)訪問、非法控制系統(tǒng)、黑客攻擊、拒絕服務(wù)攻擊、軟件質(zhì)量差、系統(tǒng)崩潰等；主要的保護(hù)方式有：防火墻與物理隔離、風(fēng)險(xiǎn)分析與漏洞掃描、應(yīng)急響應(yīng)、病毒防治、訪問控制、安全審計(jì)、入侵檢測、源路由過濾、降級使用、數(shù)據(jù)備份等。主要涉及的技術(shù)風(fēng)險(xiǎn)評估體系、安全測評體系：支持系統(tǒng)評估漏洞掃描、安全協(xié)議：支持對安全策略的評估與保障防火墻、物理隔離系統(tǒng)、訪問控制技術(shù)、防惡意代碼技術(shù)：支持訪問控制入侵檢測及預(yù)警系統(tǒng)、安全審計(jì)技術(shù)：支持入侵檢測反制系統(tǒng)、入侵容忍技術(shù)、審計(jì)與追蹤技術(shù)、取證技術(shù)、動(dòng)態(tài)隔離技術(shù)：支持應(yīng)急響應(yīng)業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)技術(shù)網(wǎng)絡(luò)攻擊技術(shù)，Phishing、Botnet、DDoS、木馬等技術(shù)的發(fā)現(xiàn)與反制技術(shù)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠數(shù)據(jù)安全

是指對信息在數(shù)據(jù)收集、處理、存儲、檢索、傳輸、交換、顯示、擴(kuò)散等過程中的保護(hù)，使得在數(shù)據(jù)處理層面保障信息依據(jù)授權(quán)使用，不被非法冒充、竊取、篡改、抵賴。IBM公司的定義：采取措施確保數(shù)據(jù)免受未授權(quán)的泄露、篡改和毀壞。數(shù)據(jù)的秘密性、真實(shí)性和完整性為了信息安全，必須采取措施，付出代價(jià)，代價(jià)就是資源(時(shí)間和空間)主要涉及的技術(shù)：對稱與非對稱密碼技術(shù)及其硬化技術(shù)、VPN等技術(shù)：防范信息泄密認(rèn)證、鑒別、PKI等技術(shù)：防范信息偽造完整性驗(yàn)證技術(shù)：防范信息篡改數(shù)字簽名技術(shù)：防范信息抵賴秘密共享技術(shù)：防范信息破壞2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠內(nèi)容安全是指對信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷，以保證信息流動(dòng)的可控能力。是信息安全在法律、政治、道德層次上的要求政治上健康符合國家法律、法規(guī)符合中華民族道德規(guī)范

主要涉及的技術(shù)：對信息的理解與分析；文本識別、圖像識別、流媒體識別、群發(fā)郵件識別等；對信息的過濾面向內(nèi)容的過濾技術(shù)（CVP）、面向URL的過濾技術(shù)（UFP）、面向DNS的過濾技術(shù)等。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息對抗是指在信息的利用過程中，對信息熵的真實(shí)性的隱藏與保護(hù)，或者攻擊與分析信息隱藏與發(fā)現(xiàn)信息干擾與提取所涉及的主要技術(shù)：隱寫技術(shù)如吳用智賺玉麒麟，隔行情書

數(shù)字水印技術(shù)盧花灘上有扁舟，俊杰黃昏獨(dú)自游。義到盡頭原是命，反躬逃難必?zé)o憂。第六十回吳用智賺玉麒麟梁山泊義軍頭領(lǐng)宋江久慕盧俊義的威名，一心想招取盧俊義上山坐第一把交椅，共圖大業(yè)，替天行道。智多星吳用扮成一個(gè)算命先生，利用盧俊義正為躲避“血光之災(zāi)”的惶恐心里，口占四句卦歌，并讓他端書在家宅的墻壁上。這四句詩寫出后，被官府拿到了證據(jù)，大興問罪之師，到處捉拿盧俊義，終于把他逼上梁山。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠原始水印及圖象提取出的水印數(shù)字水印2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全學(xué)科特點(diǎn)是交叉學(xué)科：計(jì)算機(jī)、通信、數(shù)學(xué)、物理、生物、管理、法律等；具有理論與實(shí)際相結(jié)合的特點(diǎn)信息安全技術(shù)強(qiáng)調(diào)整體性、系統(tǒng)性、底層性對信息安全來說，法律、管理、教育的作用很大，必須高度重視人才是關(guān)鍵，人的綜合素質(zhì)是關(guān)鍵的關(guān)鍵！2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全課程與知識層面的對應(yīng)物理安全運(yùn)行安全信息自身方面的安全數(shù)據(jù)安全內(nèi)容安全信息對抗信息安全信息論與編碼技術(shù)現(xiàn)代密碼學(xué)與應(yīng)用數(shù)字媒體信息安全網(wǎng)絡(luò)與系統(tǒng)安全風(fēng)險(xiǎn)評估計(jì)算機(jī)病毒與免疫系統(tǒng)網(wǎng)絡(luò)信息安全安全操作系統(tǒng)移動(dòng)通信安全2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠密碼學(xué)vs.信息安全密碼學(xué)是用來保證信息安全的一種必要的手段。從技術(shù)上來說，密碼學(xué)是信息安全的一個(gè)核心技術(shù)。

請大家猜一猜！HPPEBGUFSFSOPPO!2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠

網(wǎng)絡(luò)安全相關(guān)課程1、《密碼學(xué)》，主要研究密碼體制，加密解密理論和方法?！A(chǔ)是數(shù)學(xué)（數(shù)論，群，有限域等）2、《信息安全》，主要研究信息自身的安全，保證信息的

保密性—confidentiality完整性—integrity

可用性—availability可控性—controllability

不可否認(rèn)性—Non-repudiation3、《計(jì)算機(jī)網(wǎng)絡(luò)信息安全》，網(wǎng)絡(luò)信息安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷?！A(chǔ)是信息安全。

網(wǎng)絡(luò)信息安全＝信息安全＋網(wǎng)絡(luò)安全2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全涉及知識領(lǐng)域2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全的防護(hù)體系

2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)加密身份認(rèn)證防火墻技術(shù)防病毒技術(shù)入侵檢測技術(shù)入侵防御技術(shù)虛擬專用網(wǎng)VPN漏洞掃描安全審計(jì)密碼學(xué)是信息安全和網(wǎng)絡(luò)安全的基礎(chǔ)。數(shù)學(xué)（數(shù)論）是密碼學(xué)的基礎(chǔ)。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠密碼學(xué)的主要研究內(nèi)容

密碼編碼學(xué)密碼學(xué)密碼分析學(xué)（密碼攻擊）密碼編碼學(xué)主要研究內(nèi)容密碼體制：序列密碼體制分組密碼體制公鑰密碼體制密鑰分配方案單向函數(shù)（Hash函數(shù)）數(shù)字簽名方案認(rèn)證方案等（1）密碼算法的安全性分析和破譯的理論、方法、技術(shù)和實(shí)踐（2）密碼協(xié)議的安全性分析的理論與方法（3）安全保密系統(tǒng)的安全性分析和攻擊的理論、方法、技術(shù)和實(shí)踐密碼分析學(xué)的主要研究內(nèi)容2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠密碼學(xué)的起源和發(fā)展密碼學(xué)發(fā)展階段1949年之前密碼學(xué)是一門藝術(shù)——古典密碼學(xué)1949～1975年密碼學(xué)成為科學(xué)——現(xiàn)代密碼學(xué)1976年以后密碼學(xué)的新方向——公鑰密碼學(xué)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠1000BC:姜子牙陰陽符500-600BC:天書

公元前5世紀(jì)，古斯巴達(dá)人使用了一種叫做“天書”的器械，這是人類歷史上最早使用的密碼器械100-44BC:Caesarcipher

公元前1世紀(jì)古羅馬凱撒大帝時(shí)代曾使用過一種“代替式密碼”，在這種密碼中，每個(gè)字母都由其后的第三個(gè)字母（按字母順序）所代替，即凱撒密碼。theromansarecomingtoday

古典密碼Caesarcipher可以描述如下：明文：ABCDEFGHIJKLMNOPQRSTUVWXYZ密文：DEFGHIJKLMNOPQRSTUVWXYZABC密文：HPPEBGUFSFSOPPO!明文：GoodAfterernoon！2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠

近代密碼時(shí)期

近代密碼時(shí)期是指二十世紀(jì)初到二十世紀(jì)50年代左右。從1919年以后的幾十年中，密碼研究人員設(shè)計(jì)出了各種各樣采用機(jī)電技術(shù)的轉(zhuǎn)輪密碼機(jī)（簡稱轉(zhuǎn)輪機(jī)，Rotor）來取代手工編碼加密方法，實(shí)現(xiàn)保密通信的自動(dòng)編解碼。隨著轉(zhuǎn)輪機(jī)的出現(xiàn)，使得幾千年以來主要通過手工作業(yè)實(shí)現(xiàn)加密／解密的密碼技術(shù)有了很大進(jìn)展。轉(zhuǎn)輪密碼機(jī)ENIGMA，由ArthurScherbius于1919年發(fā)明，面板前有燈泡和插接板；4輪ENIGMA在1944年裝備德國海軍，似的英國從1942年2月到12月都沒能解讀德國潛艇的信號。日本紫密機(jī)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠

密碼通信模型

一個(gè)密碼通信系統(tǒng)的基本模型如下圖所示2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠

現(xiàn)代密碼學(xué)（1949～）

計(jì)算機(jī)使得基于復(fù)雜計(jì)算的密碼成為可能，技術(shù)發(fā)展：

1949年Shannon的“TheCommunicationTheoryofSecretSystems”1967年DavidKahn的《TheCodebreakers》1971-1973年IBMWatson實(shí)驗(yàn)室的HorstFeistel等

幾篇技術(shù)報(bào)告

主要特點(diǎn)：數(shù)據(jù)的安全基于密鑰而不是算法的保密。加密運(yùn)算是基于二進(jìn)制bit的計(jì)算機(jī)運(yùn)算。

數(shù)據(jù)加密算法：DES，AES

，IDEA，RC5等1976年：Diffie&Hellman的

“NewDirectionsinCryptography”提出了不對稱密鑰；1977年Rivest,Shamir&Adleman提出了RSA公鑰算法90年代逐步出現(xiàn)橢圓曲線等其他公鑰算法主要特點(diǎn)：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡?024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠4信息安全與網(wǎng)絡(luò)安全12網(wǎng)絡(luò)新技術(shù)3內(nèi)容5網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)不安全的原因2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠冒名頂替廢物搜尋身份識別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠虛擬專用網(wǎng)防火墻訪問控制防病毒入侵檢測網(wǎng)絡(luò)安全整體框架(形象圖)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠中國被黑網(wǎng)站一覽表

/西安信息港

/貴州方志與地情網(wǎng)

中國青少年發(fā)展基金會(放有不良圖片，現(xiàn)已被中國黑客刪除)

福建外貿(mào)信息網(wǎng)

/湖北武昌區(qū)政府信息網(wǎng)(恢復(fù))

桂林圖書館

/中國科學(xué)院理化技術(shù)研究所

中國:/

中國科學(xué)院心理研究所

2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠國內(nèi)外黑客組織北京綠色聯(lián)盟技術(shù)公司()中國紅客聯(lián)盟()中國鷹派()中國黑客聯(lián)盟HackweiserProphetAcidklownPoizonboxPrimeSuspectzSubexSVUNHi-Tech中國黑客攻擊美國網(wǎng)站2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)病毒紅色代碼CIH尼姆達(dá)沖擊波震蕩波熊貓燒香ARP病毒腳本病毒（VBScript，JavaScript病毒）

木馬病毒性木馬工行密碼盜?。眩涯抉R其它后門工具2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠安全威脅實(shí)例用戶使用一臺計(jì)算機(jī)D訪問位于網(wǎng)絡(luò)中心服務(wù)器S上的webmail郵件服務(wù)，存在的安全威脅：用戶在輸入用戶名和口令時(shí)被錄像機(jī)器D上有keylogger程序，記錄了用戶名和口令機(jī)器D上存放用戶名和密碼的內(nèi)存對其他進(jìn)程可讀，其他進(jìn)程讀取了信息，或這段內(nèi)存沒有被清0就分配給了別的進(jìn)程，其他進(jìn)程讀取了信息用戶名和密碼被自動(dòng)保存了用戶名和密碼在網(wǎng)絡(luò)上傳輸時(shí)被監(jiān)聽（共享介質(zhì)、或arp偽造）機(jī)器D上被設(shè)置了代理，經(jīng)過代理被監(jiān)聽2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠安全威脅實(shí)例（續(xù)）查看郵件時(shí)被錄像機(jī)器D附近的無線電接收裝置接收到顯示器發(fā)射的信號并且重現(xiàn)出來屏幕記錄程序保存了屏幕信息瀏覽郵件時(shí)的臨時(shí)文件被其他用戶打開瀏覽器cache了網(wǎng)頁信息臨時(shí)文件僅僅被簡單刪除，但是硬盤上還有信息由于DNS攻擊，連接到錯(cuò)誤的站點(diǎn)，泄漏了用戶名和密碼由于網(wǎng)絡(luò)感染了病毒，主干網(wǎng)癱瘓，無法訪問服務(wù)器服務(wù)器被DOS攻擊，無法提供服務(wù)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)信息安全形勢嚴(yán)峻2000年問題平安過渡黑客攻擊攪得全球不安計(jì)算機(jī)病毒兩年來網(wǎng)上肆虐白領(lǐng)犯罪造成巨大商業(yè)損失數(shù)字化能力的差距造成世界上不平等競爭信息戰(zhàn)陰影威脅數(shù)字化和平911事件(2001.9.11)法輪功攻擊“鑫諾”衛(wèi)星(2002.6.23)深圳股票交易所停市半天(2002.7.5)首都機(jī)場信息系統(tǒng)癱瘓(2002.7.23)2003年，沖擊波病毒，……2004年，2005年，2007熊貓燒香……2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全漏洞大量存在數(shù)據(jù)來源CERT/CC網(wǎng)站2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠2006年CERT報(bào)告了3784個(gè)漏洞2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全漏洞大量存在Windows十大安全隱患IE瀏覽器Windows系統(tǒng)庫(DLL)Windows遠(yuǎn)程訪問服務(wù)OFFICE辦公軟件Windows系統(tǒng)服務(wù)(server,RAS,Exchange)Windows配置漏洞

Unix十大安全隱患Unix配置漏洞Web服務(wù)器認(rèn)證版本控制系統(tǒng)電子郵件傳輸服務(wù)簡單網(wǎng)絡(luò)管理協(xié)議開放安全連接通訊層企業(yè)服務(wù)NIS/NFS配置不當(dāng)數(shù)據(jù)庫內(nèi)核數(shù)據(jù)來源:SANStop20vulnerability研究報(bào)告2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全漏洞發(fā)展趨勢利用漏洞發(fā)動(dòng)攻擊的速度加快：Symantec統(tǒng)計(jì)，2004年上半年，漏洞公布到攻擊代碼出現(xiàn)時(shí)間：5.8天威脅程度不斷增加2004年1-6月，有攻擊代碼的漏洞中64%屬于高度危險(xiǎn)，36%屬于中度危險(xiǎn)漏洞利用分析人員興趣的變化Web應(yīng)用的漏洞越來越多Symantec統(tǒng)計(jì)，2004年上半年公布了479個(gè)與Web應(yīng)用有關(guān)的漏洞，占總數(shù)的39%2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠病毒、蠕蟲、木馬等在互聯(lián)網(wǎng)上大行其道事例1988年11月：Morris蠕蟲，互聯(lián)網(wǎng)主體癱瘓1989年10月：Wank蠕蟲2001年：紅色代碼(codered)、尼姆達(dá)蠕蟲事件(nmida)2003年：SQLSLAMMER、口令蠕蟲事件、沖擊波蠕蟲事件2004年5月：震蕩波蠕蟲事件(blaster)2007年2月：熊貓燒香事件相互結(jié)合，危害無窮“紅色代碼”將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠惡意代碼捕獲情況2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)病毒的傳播19小時(shí)10分鐘后全球互聯(lián)網(wǎng)感染情況2001年1月19日紅色代碼病毒傳播情況據(jù)計(jì)算機(jī)緊急響應(yīng)組（CERT）調(diào)查：2000年，發(fā)生了21756個(gè)安全事件，2001年為52658個(gè)安全事件2001年安全事件總數(shù)比上年幾乎翻了一番；軟件安全漏洞也翻了一番多，達(dá)到2437個(gè)2001年，紅色代碼病毒，造成的損失超過十二億美元2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠CNCERT統(tǒng)計(jì)數(shù)據(jù)CNCERT/CC通過抽樣監(jiān)測發(fā)現(xiàn)，僅2004年上半年，我國遭到Mydoom蠕蟲、利用RPC漏洞和LSASS漏洞的幾類主要蠕蟲攻擊的主機(jī)數(shù)目接近200萬臺2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠大陸被木馬控制計(jì)算機(jī)IP分布2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠僵尸網(wǎng)絡(luò)控制服務(wù)器分布圖2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全造成損失越來越大網(wǎng)絡(luò)堵塞SQLSLAMMER：2003年1月25日發(fā)作,造成大面積網(wǎng)絡(luò)擁塞，部分骨干網(wǎng)絡(luò)癱瘓，韓國網(wǎng)絡(luò)基本處于癱瘓狀態(tài),我國境內(nèi)感染主機(jī)22600余臺業(yè)務(wù)停頓2001年的紅色代碼蠕蟲就曾經(jīng)導(dǎo)致航空售票系統(tǒng)癱瘓，旅客滯留機(jī)場的事件類似事件還有網(wǎng)上招生停頓、網(wǎng)上交易中斷等，威脅生命？造成的財(cái)產(chǎn)損失難以估計(jì)，數(shù)字絕非聳人聽聞2001年，尼姆達(dá)蠕蟲造成的損失估計(jì)大大超過26億美元《今日美國》報(bào)道：黑客每年給全世界電腦網(wǎng)絡(luò)帶來的損失估計(jì)高達(dá)100多億美元切膚之痛？2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠攻擊手段越發(fā)“高超”漏洞發(fā)布到攻擊出現(xiàn)的時(shí)間越來越短Witty蠕蟲事件(48hoursafterthevulnerabilityofRealsecurereleased)花樣翻新，防不勝防尼姆達(dá)蠕蟲：通過email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播變種速度令人驚嘆(sqlslammerlessthan10minutes)黑客：從單打獨(dú)斗到“精誠”合作Botnet攻擊程序日益自動(dòng)化、并輟手可得(exploitcode)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠蠕蟲統(tǒng)計(jì)數(shù)據(jù)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠攻擊復(fù)雜度與攻擊者的技術(shù)水平高低19801985199019952000猜口令自我復(fù)制程序口令破解攻擊已知漏洞破壞審計(jì)后門程序干擾通信手動(dòng)探測竊聽數(shù)據(jù)包欺騙圖形化界面自動(dòng)掃描拒絕服務(wù)www攻擊工具攻擊者攻擊者的知識水平攻擊的復(fù)雜度隱秘且高級的掃描工具偷竊信息網(wǎng)管探測分布式攻擊工具新型的跨主機(jī)工具2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠常用安全工具防火墻入侵檢測工具snort端口掃描工具nmap系統(tǒng)工具netstat、lsof網(wǎng)絡(luò)嗅探器tcpdump、sniffer綜合工具X-Scanner、流光、Nessus2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全熱點(diǎn)網(wǎng)絡(luò)釣魚（Phishing）:themiddle-of-man建立假網(wǎng)站通過垃圾郵件發(fā)送服務(wù)器大量發(fā)信引誘用戶訪問使用中獎(jiǎng)、系統(tǒng)升級等手段誘使用戶輸入個(gè)人信息主要針對銀行和信用卡服務(wù)機(jī)構(gòu)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全熱點(diǎn)基于Botnet(僵尸網(wǎng)絡(luò))的網(wǎng)絡(luò)敲詐大量主機(jī)被安裝了BOT黑客可以通過IRC服務(wù)器實(shí)施控制隨時(shí)可能發(fā)動(dòng)攻擊BOT可以進(jìn)行升級，擴(kuò)大攻擊能力Botnet被計(jì)算機(jī)犯罪分子用來發(fā)送垃圾郵件、傳播計(jì)算機(jī)病毒、發(fā)動(dòng)拒絕服務(wù)攻擊。Botnet的處理能力也可能被租借給犯罪分子，價(jià)格通常只有每小時(shí)100美元。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全熱點(diǎn)手機(jī)和無線網(wǎng)絡(luò)（WLAN）的安全2004年，針對使用Symbian的蘭牙手機(jī)的病毒出現(xiàn)針對使用PocketPC的驗(yàn)證性攻擊程序也被發(fā)現(xiàn)手機(jī)功能和操作系統(tǒng)通用性不斷增強(qiáng)，會有越來越多針對手機(jī)的攻擊WLAN安全性一直是其應(yīng)用的關(guān)鍵問題2004年出現(xiàn)了可利用來對IEEE802.11b無線接入點(diǎn)進(jìn)行拒絕服務(wù)攻擊的漏洞2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠黑客入侵趨勢即時(shí)消息蠕蟲(IM-Worm)迅速增多群發(fā)郵件蠕蟲（MassMail-Worm）逐漸減少手機(jī)病毒/蠕蟲技術(shù)的進(jìn)化Rootkit

技術(shù)的應(yīng)用呈增加趨勢木馬(trojan)與Spyware數(shù)量迅速增加2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全為什么重要？網(wǎng)絡(luò)應(yīng)用已滲透到現(xiàn)代社會生活的各個(gè)方面；電子商務(wù)、電子政務(wù)、電子銀行等無不關(guān)注網(wǎng)絡(luò)安全；至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點(diǎn)，也是技術(shù)研究的熱門領(lǐng)域，同時(shí)也是國家和政府的行為；2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全影響到國家的安全和主權(quán)小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場戰(zhàn)爭的屈辱。美國中央情報(bào)局采用“偷梁換拄”的方法，將帶病毒的電腦打印機(jī)芯片，趁貨物驗(yàn)關(guān)之際換入伊拉克所購的電腦打印機(jī)中----------網(wǎng)絡(luò)的安全將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠4信息安全與網(wǎng)絡(luò)安全12網(wǎng)絡(luò)新技術(shù)3內(nèi)容5網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)不安全的原因2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)不安全的原因網(wǎng)絡(luò)自身缺陷網(wǎng)絡(luò)開放性應(yīng)用軟件缺陷黑客攻擊泛濫2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)——開放系統(tǒng)互連參考模型ISO/OSI模型網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會話層對等協(xié)議物理介質(zhì)系統(tǒng)A系統(tǒng)B第N+1層第N層PDUSDUHPDU第N-1層SDUN+1層協(xié)議實(shí)體N+1層協(xié)議實(shí)體N層協(xié)議實(shí)體SAPSAP2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠TCP/IP網(wǎng)絡(luò)的體系結(jié)構(gòu)TCP/IP技術(shù)的發(fā)展設(shè)計(jì)目標(biāo)——

實(shí)現(xiàn)異種網(wǎng)的網(wǎng)際互連是最早出現(xiàn)的系統(tǒng)化的網(wǎng)絡(luò)體系結(jié)構(gòu)之一順應(yīng)了技術(shù)發(fā)展網(wǎng)絡(luò)互連的應(yīng)用需求采用了開放策略與最流行的UNIX操作系統(tǒng)相結(jié)合TCP/IP的成功主要應(yīng)該歸功于其開放性，使得最廣泛的廠商和研究者能夠不斷地尋找和開發(fā)滿足市場需求的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)。魚與熊掌總是不能兼得，也正是其體系結(jié)構(gòu)得開放性，導(dǎo)致了TCP/IP網(wǎng)絡(luò)的安全性隱患！2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠OSI參考模型與TCP/IPTCP/IP協(xié)議和OSI模型的對應(yīng)關(guān)系應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet,IEEE802.3,802.11等

ICMPARPRARPOSI參考模型TCP/IP協(xié)議簇物理層2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全現(xiàn)狀系統(tǒng)的脆弱性Internet的無國際性TCP/IP本身在安全方面的缺陷網(wǎng)絡(luò)建設(shè)缺少安全方面的考慮（安全滯后）安全技術(shù)發(fā)展快、人員缺乏安全管理覆蓋面廣，涉及的層面多。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠互聯(lián)網(wǎng)安全事件全世界傳媒關(guān)注的美國著名網(wǎng)站被襲事件：

雅虎、亞馬遜書店、eBay、ZDNet、有線電視新聞網(wǎng)CNN；據(jù)美國軍方的一份報(bào)告透露，在1998年內(nèi)試圖闖入五角大樓計(jì)算機(jī)網(wǎng)絡(luò)的嘗試達(dá)25萬次之多，其中60%的嘗試達(dá)到了目的；每年美國政府的計(jì)算機(jī)系統(tǒng)遭非法入侵的次數(shù)至少有30萬次之多；微軟公司承認(rèn)，有黑客闖入了該公司的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)，并獲取了正在開發(fā)中的軟件藍(lán)圖，這起攻擊對微軟影響重大。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠歷史數(shù)據(jù)1998年9月22日，黑客入侵某銀行電腦系統(tǒng)，將72萬元注入其戶頭，提出26萬元。為國內(nèi)首例利用計(jì)算機(jī)盜竊銀行巨款案件。1999年11月14日至17日：新疆烏魯木齊市發(fā)生首起針對銀行自動(dòng)提款機(jī)的黑客案件，被盜用戶的信用卡被盜1.799萬元。2000年3月8日：山西日報(bào)國際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊，被迫關(guān)機(jī)，這是國內(nèi)首例黑客攻擊省級黨報(bào)網(wǎng)站事件2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全威脅國家基礎(chǔ)設(shè)施安全漏洞危害在增大信息對抗的威脅在增加電力交通醫(yī)療金融工業(yè)廣播控制通訊因特網(wǎng)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)脆弱性的原因

1.開放性的網(wǎng)絡(luò)環(huán)境2.協(xié)議本身的缺陷

3.操作系統(tǒng)的漏洞

4.人為因素5.網(wǎng)絡(luò)攻擊2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)脆弱性的原因“INTERNET的美妙之處在于你和每個(gè)人都能互相連接,INTERNET的可怕之處在于每個(gè)人都能和你互相連接”2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠計(jì)算機(jī)網(wǎng)絡(luò)自身的脆弱性Internet設(shè)計(jì)階段Internet首先應(yīng)用于研究環(huán)境，面向可信的、少量的用戶群體，安全問題不是主要的考慮早期的RFC“Securityissuesarenotdiscussedinthismemo”絕大多數(shù)協(xié)議沒有提供必要的安全機(jī)制缺乏安全的認(rèn)證機(jī)制，比如SMTP,telnet明文傳輸，不提供保密性服務(wù)實(shí)現(xiàn)階段軟件越來越復(fù)雜、龐大，市場競爭導(dǎo)致很多代碼沒有經(jīng)過嚴(yán)格的質(zhì)量控制無意的軟件漏洞，如bufferoverflow有意的后門，如微軟用戶輸入檢查不嚴(yán)格：SQLInjection,XSS,etc競爭條件(racecondition)配置維護(hù)階段系統(tǒng)的缺省安裝弱口令等管理員安全意識及安全水平2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠黑客攻擊泛濫從事黑客事業(yè)的人越來越多。黑客掌握的技術(shù)越來越成熟、普及。對網(wǎng)絡(luò)以及操作系統(tǒng)的漏洞研究越來越深入。黑客工具越來越易于使用。很多攻擊工具不需要理解其中的攻擊原理，使用者只需要指定攻擊目標(biāo)即能夠達(dá)到攻擊目的。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠黑客2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠“頭號電腦黑客”凱文米特尼克

KevinMitnick1964年出生。3歲父母離異，致性格內(nèi)向、沉默寡言。4歲玩游戲達(dá)到專家水平。13歲喜歡上無線電活動(dòng)，開始與世界各地愛好者聯(lián)絡(luò)。編寫的電腦程序簡潔實(shí)用、傾倒教師。15歲闖入“北美空中防務(wù)指揮系統(tǒng)”主機(jī)，翻閱了美國所有的核彈頭資料、令大人不可置信。不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號碼。并與中央聯(lián)邦調(diào)查局的特工惡作劇。被電腦信息跟蹤機(jī)發(fā)現(xiàn)第一次被逮捕出獄后，又連續(xù)非法修改多家公司電腦的財(cái)務(wù)帳單。1988年再次入獄，被判一年徒刑。1993年（29歲）逃脫聯(lián)邦調(diào)查局圈套。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠1994年向圣地亞哥超級計(jì)算機(jī)中心發(fā)動(dòng)攻擊，該中心安全專家下村勉決心將其捉拿歸案。期間米特尼克還入侵了美國摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統(tǒng)，盜走各種程序和數(shù)據(jù)（價(jià)4億美金）。下村勉用“電子隱形化”技術(shù)跟蹤，最后準(zhǔn)確地從無線電話中找到行跡，并抄獲其住處電腦1995年2月被送上法庭，“到底還是輸了”。

2000年1月出獄，

3年內(nèi)被禁止使用電腦、手機(jī)及互聯(lián)網(wǎng)。（《駭世黑客》余開亮張兵編）“頭號電腦黑客”凱文米特尼克

KevinMitnick2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠被黑的WEB頁面2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠常見攻擊方法暴力測試法

Passwordcracking電腦病毒

Viruses特洛伊木馬程式

Trojanhorses電腦蠕蟲

Worms拒絕式服務(wù)式攻擊

Denial-of-Serviceattacks電子郵件偵聽網(wǎng)絡(luò)偵聽

Networksniffing偽裝式攻擊

Packetspoofing其它中國黑客攻擊美國網(wǎng)站2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠安全目標(biāo)——CIAIntegrityConfidentialityAvailability2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠網(wǎng)絡(luò)安全模型安全策略保護(hù)檢測響應(yīng)PPDR網(wǎng)絡(luò)安全模型Protection保護(hù)detection檢測response響應(yīng)Policy:安全策略為了實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)，安全研究人員希望通過構(gòu)造網(wǎng)絡(luò)安全理論模型獲得完整的網(wǎng)絡(luò)安全解決方案。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠

物聯(lián)網(wǎng)安全問題數(shù)據(jù)安全：由于任何實(shí)體都可讀取標(biāo)簽，因此敵手可將自己偽裝成合法標(biāo)簽，或者通過進(jìn)行拒絕服務(wù)攻擊，從而對標(biāo)簽的數(shù)據(jù)安全造成威脅。隱私：將標(biāo)簽ID和用戶身份相關(guān)聯(lián)，從而侵犯個(gè)人隱私。未經(jīng)授權(quán)訪問標(biāo)簽信息，得到用戶在消費(fèi)習(xí)慣、個(gè)人行蹤等方面的隱私。和隱私相關(guān)的安全問題主要包括信息泄漏和追蹤。復(fù)制：約翰斯

霍普金斯大學(xué)和RSA實(shí)驗(yàn)室的研究人員指出RFID標(biāo)簽中存在的一個(gè)嚴(yán)重安全缺陷是標(biāo)簽可被復(fù)制。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠RFID系統(tǒng)的威脅：普通安全威脅:機(jī)密性,可用性等隱私相關(guān)的威脅信息泄漏追蹤

他們擁有什么?消費(fèi)者攻擊者攻擊者

物聯(lián)網(wǎng)感知層安全問題——RFID安全問題2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠假發(fā)類型#4456

(便宜的聚酯)《法輪功》錢包中有1500000歐元序列號:597387,389473…30個(gè)嬰兒尿片人造手指醫(yī)學(xué)部位#4593822020年的瓊斯先生2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠

RFID安全協(xié)議RFID安全機(jī)制物理方法Kill標(biāo)簽，Sleeping標(biāo)簽，Blocking標(biāo)簽，法拉第網(wǎng)罩，主動(dòng)干擾密碼機(jī)制使用密碼技術(shù)-安全協(xié)議2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠分類名稱支持的操作代表性協(xié)議重量級協(xié)議對稱密鑰、非對稱密鑰、單向函數(shù)簡單的協(xié)議隨機(jī)數(shù)生成器和單向函數(shù)Hash鎖系列輕量級協(xié)議隨機(jī)數(shù)生成器和一些簡單的函數(shù)例如CRC但不支持單向Hash函數(shù)HB系列超輕量級協(xié)議只支持比特操作例如XOR、AND、ORLMAP和M2AP使用密碼技術(shù)-安全協(xié)議2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠基于云計(jì)算的數(shù)據(jù)安全研究數(shù)據(jù)安全存儲數(shù)據(jù)安全傳輸數(shù)據(jù)安全研究同態(tài)加密密鑰集中管理云計(jì)算服務(wù)端環(huán)境可信在線備份系統(tǒng)2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠數(shù)據(jù)在線備份服務(wù)系統(tǒng)數(shù)據(jù)在線備份服務(wù)系統(tǒng)面臨三大要求既要兼容不同感知層應(yīng)用的異構(gòu)數(shù)據(jù)平臺，又要滿足云計(jì)算存儲設(shè)備的高擴(kuò)展性和海量數(shù)據(jù)存儲的組織形式。既要考慮網(wǎng)絡(luò)傳輸效率，又要保證數(shù)據(jù)的安全性。既要滿足系統(tǒng)在大量物聯(lián)網(wǎng)應(yīng)用實(shí)體并發(fā)訪問時(shí)的服務(wù)能力，又要進(jìn)行服務(wù)質(zhì)量的主動(dòng)控制。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠數(shù)據(jù)在線備份服務(wù)系統(tǒng)需求解決方案按照云計(jì)算的思想，系統(tǒng)的拓?fù)浣Y(jié)構(gòu)包括三個(gè)層次的備份云:廣域(公共)云,區(qū)域云及本地(私有)云。按照就近服務(wù)原則，完成新注冊用戶的調(diào)度分配。從軟件架構(gòu)的角度，都包括備份客戶端、調(diào)度服務(wù)器和存儲服務(wù)器三個(gè)子系統(tǒng)。三個(gè)子系統(tǒng)除了執(zhí)行雙向安全認(rèn)證，由調(diào)度服務(wù)器完成作業(yè)調(diào)度，建立備份客戶端與存儲服務(wù)器之間的聯(lián)系。系統(tǒng)必須設(shè)置多臺介質(zhì)服務(wù)器，以滿足系統(tǒng)擴(kuò)展性方面的要求。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠數(shù)據(jù)同態(tài)加密研究

同態(tài)加密的思想起源于私密同態(tài)(privacyhomomorphism)，它允許在不知道解密函數(shù)的前提下對加密數(shù)據(jù)進(jìn)行計(jì)算。

Sander和Tschudin

定義了整數(shù)環(huán)上的加法、乘法同態(tài)加密機(jī)制,加法、乘法同態(tài)確保兩個(gè)變量加密后的計(jì)算結(jié)果與加密前的計(jì)算結(jié)果相同。

IBM研究人員CraigGentry已研究出一種完全同態(tài)加密方案，該方案將能夠加強(qiáng)云計(jì)算的商業(yè)模式(當(dāng)供應(yīng)商負(fù)責(zé)托管客戶重要數(shù)據(jù)時(shí))，這樣就可以讓客戶在自己的客戶端請求來對數(shù)據(jù)執(zhí)行計(jì)算而不會暴露原始數(shù)據(jù)。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠基于云計(jì)算平臺的物聯(lián)網(wǎng)數(shù)據(jù)同態(tài)加密研究

同態(tài)加密應(yīng)用于物聯(lián)網(wǎng)的優(yōu)勢物聯(lián)網(wǎng)感知數(shù)據(jù)的大小一般都限定在一定的數(shù)量級范圍內(nèi)，數(shù)據(jù)類型也大部分限定在整數(shù)環(huán)中，而基礎(chǔ)的整數(shù)環(huán)智能光的加法和乘法同態(tài)、混合乘法同態(tài)加密已十分成熟，因此大部分的物聯(lián)網(wǎng)應(yīng)用可以使用以上三種同態(tài)算法完成，不需要依賴于完全同態(tài)算法。

使用同態(tài)加密的技術(shù)難點(diǎn)提出一種適用于云計(jì)算平臺的同態(tài)加密機(jī)制。研究物聯(lián)網(wǎng)傳感器感應(yīng)數(shù)據(jù)的格式，并設(shè)計(jì)統(tǒng)一數(shù)據(jù)接口，將感應(yīng)數(shù)據(jù)歸一化到整數(shù)域內(nèi)。對同態(tài)加密數(shù)據(jù)常用處理（如平均值、級差、方差、標(biāo)準(zhǔn)差及數(shù)據(jù)挖掘等）建立標(biāo)準(zhǔn)庫。設(shè)計(jì)基于云計(jì)算平臺的同態(tài)加密授權(quán)策略。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠相關(guān)國際組織的工作和進(jìn)展物聯(lián)網(wǎng)相關(guān)的主要國際標(biāo)準(zhǔn)組織ETSI3GPPIETF主要標(biāo)準(zhǔn)物聯(lián)網(wǎng)全套業(yè)務(wù)解決方案和嵌入式SIM卡主要標(biāo)準(zhǔn)包括ETSIM2MTC,ETSIETC等主要標(biāo)準(zhǔn)化物聯(lián)網(wǎng)與電信網(wǎng)的聯(lián)系主要標(biāo)準(zhǔn)包括3GPPTS22.368;3GPPTR23.888等CCSA主要標(biāo)準(zhǔn)化網(wǎng)絡(luò)層與傳輸層主要標(biāo)準(zhǔn)包括6LowPAN,ROLL,CoAP等主要標(biāo)準(zhǔn)化業(yè)務(wù)平臺，業(yè)務(wù)應(yīng)用以及感知層延伸主要標(biāo)準(zhǔn)包括M2M總體解決方案，智能家居，綠色街區(qū)等2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠物聯(lián)網(wǎng)安全相關(guān)研究針對概念針對協(xié)議針對終端概括性分析物聯(lián)網(wǎng)各邏輯層可能面臨的安全問題以及能夠采取的對應(yīng)安全措施，不涉及物聯(lián)網(wǎng)安全的核心技術(shù)。這類研究大多基于已有的傳輸協(xié)議進(jìn)行開發(fā)，無法避免協(xié)議本身的缺點(diǎn)，同時(shí)也未能涉及到不同安全敏感度應(yīng)用的安全判定與配置。此類研究大多針對射頻標(biāo)簽和閱讀器間的安全策略，相對物聯(lián)網(wǎng)整體來說，這部分研究只涉及到物聯(lián)網(wǎng)前端的無線傳感網(wǎng)安全部分。2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠Thankyou!QuestionsandDiscussions2024/7/3計(jì)算機(jī)科學(xué)與工程學(xué)院李永忠信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)第二章信息保密技術(shù)2024/7/3密碼學(xué)作為信息安全理論與技術(shù)的基石，在信息安全領(lǐng)域發(fā)揮著中流砥柱的作用。密碼學(xué)理論的應(yīng)用，成為現(xiàn)代信息網(wǎng)絡(luò)得以生存和不斷發(fā)展的基本前提。Cryptography=crypto+graphy

密碼

隱藏或秘密寫

一般來講，人們通常認(rèn)為密碼學(xué)是一種將信息表述為不可讀內(nèi)容的方式（加密），并且可以采用一種秘密方法將信息恢復(fù)出來（解密）。密碼學(xué)的起源和發(fā)展2.1信息安全與密碼技術(shù)2024/7/3自人類社會出現(xiàn)戰(zhàn)爭便產(chǎn)生了密碼JuliusCaesar發(fā)明了凱撒密碼二戰(zhàn)時(shí)德國使用Enigma機(jī)器加密美國軍事部門使用納瓦霍語(Navaho)通信員密碼由軍事走向生活電子郵件自動(dòng)提款機(jī)電話卡密碼學(xué)的起源和發(fā)展2024/7/3Copyright102密碼學(xué)的起源和發(fā)展密碼學(xué)發(fā)展階段1949年之前

密碼學(xué)是一門藝術(shù)——古典密碼學(xué)1949～1975年

密碼學(xué)成為科學(xué)——現(xiàn)代密碼學(xué)1976年以后密碼學(xué)的新方向——公鑰密碼學(xué)密碼學(xué)起源密碼是通信雙方按約定的法則進(jìn)行信息特殊變換的一種重要保密手段。依照這些法則，變明文為密文，稱為加密變換；變密文為明文，稱為解密變換。１７世紀(jì)，英國著名的哲學(xué)家弗朗西斯·培根在他所著的《學(xué)問的發(fā)展》一書中最早給密碼下了定義，他說，“所謂密碼應(yīng)具備三個(gè)必要的條件，即易于翻譯、第三者無法理解、在一定場合下不易引人生疑?！?/p>

加密解密明文密文原始明文密碼學(xué)起源謀成于密，敗于泄

——明揭暄《兵經(jīng)百言》古典密碼學(xué)包含兩個(gè)互相對立的分支，即密碼編碼學(xué)（Cryptography）和密碼分析學(xué)（Cryptanalytics）。前者編制密碼以保護(hù)秘密信息，而后者則研究加密消息的破譯以獲取信息。二者相反相成，共處于密碼學(xué)的統(tǒng)一體中?，F(xiàn)代密碼學(xué)除了包括密碼編碼學(xué)和密碼分析學(xué)外，還包括安全管理、安全協(xié)議設(shè)計(jì)、散列函數(shù)等內(nèi)容。大約在4000年以前，在古埃及的尼羅河畔，一位擅長書寫者在貴族的基碑上書寫銘文時(shí)有意用加以變形的象形文字而不是普通的象形文字來寫銘文，從而揭開了有文字記載的密碼史。這篇頗具神秘感的碑文，已具備了密碼的基本特征：把一種符號(明文)用另一種符號(密文)代替。Phaistos圓盤，一種直徑約為160mm的Cretan-Mnoan粘土圓盤，始于公元前17世紀(jì)。表面有明顯字間空格的字母，至今還沒有破解。密碼學(xué)起源1000BC:姜子牙陰陽符500-600BC:天書100-44BC:Caesarciphertheromansarecomingtoday密碼學(xué)起源公元前5世紀(jì)，古斯巴達(dá)人使用了一種叫做“天書”的器械，這是人類歷史上最早使用的密碼器械?！疤鞎笔且桓貌菁垪l、皮條或羊皮紙條緊緊纏繞的木棍。密信自上而下寫在羊皮紙條上。然后把羊皮紙條解開送出。把羊皮紙條重新纏在一根直徑和原木棍相同的木棍上，這樣字就一圈圈跳出來。公元前1世紀(jì)古羅馬凱撒大帝時(shí)代曾使用過一種“代替式密碼”，在這種密碼中，每個(gè)字母都由其后的第三個(gè)字母（按字母順序）所代替，即凱撒密碼。這種代替式密碼直到第二次大戰(zhàn)時(shí)還被日本海軍使用。公元前4世紀(jì)前后，希臘著名作家艾奈阿斯在其著作《城市防衛(wèi)論》中就曾提到一種被稱為“艾奈阿斯繩結(jié)”的密碼。它的作法是從繩子的一端開始，每隔一段距離打一個(gè)繩結(jié)，而繩結(jié)之間距離不等，不同的距離表達(dá)不同的字母。密碼學(xué)起源在古代還出現(xiàn)過一種被稱為“疊痕法”的密碼，使用時(shí)先把信紙折疊幾下（上下及左右），然后鋪平信紙，將傳遞的信息按順序一個(gè)個(gè)分開，寫在折痕的交叉點(diǎn)上，每一個(gè)交叉點(diǎn)寫一個(gè)字。然后再在空白位置上填上公開的普通信文，普通信文與秘密信文的文字通順地連貫在一起。為了防止被敵人察覺，使用這種密碼需要在編公開信文上下些功夫。如果在秘密信文上再用些暗語式密碼，那么敵人就更難看出破綻了。宋曾公亮、丁度等編撰《武經(jīng)總要》“字驗(yàn)”記載，北宋前期，在作戰(zhàn)中曾用一首五言律詩的40個(gè)漢字，分別代表40種情況或要求，這種方式已具有了密碼本體制的特點(diǎn)。暗號。簡單地說，暗號就是通過用物件的狀態(tài)或人的行為來傳達(dá)事先約定的信息．如窗臺上的花瓶、手中拿著的報(bào)紙、口中昨著的曲子，可分別代表“現(xiàn)在安全”、“我是你要找的人”、“我在找自己人”等明確的信息．隱語。暗號是把信息變換為物件或動(dòng)作，隱語則是把信息變換成與此信息完全無關(guān)的(但有意義的)語言．據(jù)說，1941年，日本偷襲珍珠港前兩星期，美國情報(bào)人員曾截獲一次重要的電話對話．那是兩名分別在東京和華盛頓的日本高級官員之間的通話．這段對話里“小孩出生”的真正意思是“發(fā)動(dòng)戰(zhàn)爭”．在華盛頓的日本人：是不是真的有個(gè)小孩要出生了?在東京的日本人：是的．而且看來馬上就要出生了．在華盛頓的日本人：這個(gè)小孩真的要生了嗎?是在哪個(gè)方向呢?密碼學(xué)起源隱語。暗號是把信息變換為物件或動(dòng)作，隱語則是把信息變換成與此信息完全無關(guān)的(但有意義的)語言．據(jù)說，1941年，日本偷襲珍珠港前兩星期，美國情報(bào)人員曾截獲一次重要的電話對話．那是兩名分別在東京和華盛頓的日本高級官員之間的通話．這段對話里“小孩出生”的真正意思是“發(fā)動(dòng)戰(zhàn)爭”．在華盛頓的日本人：是不是真的有個(gè)小孩要出生了?在東京的日本人：是的．而且看來馬上就要出生了．在華盛頓的日本人：這個(gè)小孩真的要生了嗎?是在哪個(gè)方向呢?【暗語笑話】有個(gè)女的翻看老公手機(jī)，發(fā)現(xiàn)有條老公發(fā)給她閨蜜的短信，很平淡也很正常：“近來股市向好，建議持倉，002291，

000524

，002467，

002582”。平時(shí)也炒股的老婆，好奇便查了一下股票的名稱。居然是：“星期六”，“東方賓館”，“二六三”，“好想你”！尼瑪，這日子沒法過了！防火防盜！還得懂股票！密碼學(xué)起源16世紀(jì)意大利數(shù)學(xué)家卡爾達(dá)諾發(fā)明的一種保密通信方法，史稱“卡爾達(dá)諾漏格板”．漏格板是一張用硬質(zhì)材料(如硬紙、羊皮、金屬等)做成的板，上面挖了一些長方形的孔，即漏格．密碼學(xué)起源密碼學(xué)起源傳說，古時(shí)候有一對夫妻，男的名叫李石匠，女的叫張小花。李石匠靠手藝賺錢，張小花在家紡紗織布。一年，李石匠參加修建石橋，因工程緊張，十一個(gè)月也沒回家一次。張小花獨(dú)自在家只有紡車做伴。一天石匠工地回來一個(gè)工友路過她家，她托這個(gè)工友給丈夫帶去一封書信。第六十回

吳用智賺玉麒麟梁山泊義軍頭領(lǐng)宋江久慕盧俊義的威名，一心想招取盧俊義上山坐第一把交椅，共圖大業(yè)，替天行道。智多星吳用扮成一個(gè)算命先生，利用盧俊義正為躲避“血光之災(zāi)”的惶恐心里，口占四句卦歌，并讓他端書在家宅的墻壁上。這四句詩寫出后，被官府拿到了證據(jù)，大興問罪之師，到處捉拿盧俊義，終于把他逼上梁山。盧花灘上有扁舟，俊杰黃昏獨(dú)自游。義到盡頭原是命，反躬逃難必?zé)o憂。密碼學(xué)起源不識字老婆給老公寫的信，老公竟立馬回家了！你看懂了嗎？你能破解李石匠和張小花的密文嗎？近代密碼時(shí)期

近代密碼時(shí)期是指二十世紀(jì)初到二十世紀(jì)50年代左右。

從1919年以后的幾十年中，密碼研究人員設(shè)計(jì)出了各種各樣采用機(jī)電技術(shù)的轉(zhuǎn)輪密碼機(jī)（簡稱轉(zhuǎn)輪機(jī)，Rotor）來取代手工編碼加密方法，實(shí)現(xiàn)保密通信的自動(dòng)編解碼。隨著轉(zhuǎn)輪機(jī)的出現(xiàn)，使得幾千年以來主要通過手工作業(yè)實(shí)現(xiàn)加密／解密的密碼技術(shù)有了很大進(jìn)展。圖1.4（a）ENIGMA密碼機(jī)圖1.4（b）TYPEX密碼機(jī)

近代密碼時(shí)期可以看作是科學(xué)密碼學(xué)的前夜，這階段的密碼技術(shù)可以說是一種藝術(shù)，是一種技巧和經(jīng)驗(yàn)的綜合體，但還不是一種科學(xué)，密碼專家常常是憑直覺和信念來進(jìn)行密碼設(shè)計(jì)和分析，而不是推理和證明?，F(xiàn)代密碼時(shí)期

1949年香農(nóng)（ClaudeShannon）的奠基性論文“保密系統(tǒng)的通信理論”（CommunicationTheoryofSecrecySystem）在《貝爾系統(tǒng)技術(shù)雜志》上發(fā)表，首次將信息論引入密碼技術(shù)的研究，用統(tǒng)計(jì)的觀點(diǎn)對信源、密碼源、密文進(jìn)行數(shù)學(xué)描述和定量分析，引入了不確定性、多余度、唯一解距離等安全性測度概念和計(jì)算方法，為現(xiàn)代密碼學(xué)研究與發(fā)展奠定了堅(jiān)實(shí)的理論基礎(chǔ)，把已有數(shù)千年歷史的密碼技術(shù)推向了科學(xué)的軌道，使密碼學(xué)（Cryptology）成為一門真正的科學(xué)。從1949年到1967年，密碼學(xué)文獻(xiàn)近乎空白。1967年，戴維·卡恩（DavidKahn）出版了一本專著《破譯者》（TheCodeBreaker）1977年，美國國家標(biāo)準(zhǔn)局NBS（現(xiàn)NIST）正式公布實(shí)施美國的數(shù)據(jù)加密標(biāo)準(zhǔn)DES1976年11月，美國斯坦福大學(xué)的著名密碼學(xué)家迪菲（W.Diffie）和赫爾曼(M.Hellman)發(fā)表了“密碼學(xué)新方向”（NewDirectioninCryptography）一文，首次提出了公鑰密碼體制的概念和設(shè)計(jì)思想，開辟了公開密鑰密碼學(xué)的新領(lǐng)域，掀起了公鑰密碼研究的序幕?，F(xiàn)代密碼時(shí)期（續(xù)）1997年4月美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）發(fā)起征集高級數(shù)據(jù)加密標(biāo)準(zhǔn)（AES，AdvancedEncryptionStandard）算法的活動(dòng)。2000年10月，比利時(shí)密碼學(xué)家JoanDaemen和VincentRijmen提出的“Rijndael數(shù)據(jù)加密算法”被確定為AES算法，作為新一代數(shù)據(jù)加密標(biāo)準(zhǔn)。二十世紀(jì)末的AES算法征集活動(dòng)使密碼學(xué)界又掀起了一次分組密碼研究的高潮。同時(shí)，在公鑰密碼領(lǐng)域，橢圓曲線密碼體制由于其安全性高、計(jì)算速度快等優(yōu)點(diǎn)引起了人們的普遍關(guān)注和研究，并在公鑰密碼技術(shù)中取得重大進(jìn)展。在密碼應(yīng)用方面，各種有實(shí)用價(jià)值的密碼體制的快速實(shí)現(xiàn)受到高度重視，許多密碼標(biāo)準(zhǔn)、應(yīng)用軟件和產(chǎn)品被開發(fā)和應(yīng)用，美國、德國、日本和我國等許多國家已經(jīng)頒布了數(shù)字簽名法，使數(shù)字簽名在電子商務(wù)和電子政務(wù)等領(lǐng)域得到了法律的認(rèn)可，推動(dòng)了密碼學(xué)研究和應(yīng)用的發(fā)展。

新的密碼技術(shù)不斷涌現(xiàn)。例如，混沌密碼、量子密碼、DNA密碼等等。這些新的密碼技術(shù)正在逐步地走向?qū)嵱没?/p>

人們甚至預(yù)測，當(dāng)量子計(jì)算機(jī)成為現(xiàn)實(shí)時(shí)，經(jīng)典密碼體制將無安全可言，而量子密碼可能是未來光通信時(shí)代保障網(wǎng)絡(luò)通信安全的可靠技術(shù)。

密碼學(xué)的發(fā)展第一個(gè)階段:1949年以前古典加密計(jì)算機(jī)技術(shù)出現(xiàn)以前密碼學(xué)作為一種技藝,而不是一門科學(xué)第二個(gè)階段:1949年到1976年標(biāo)志:Shannon發(fā)表”CommunicationTheoryofSecrecySystem”密碼學(xué)進(jìn)入了科學(xué)的軌道主要技術(shù):單密鑰的對稱密鑰加密算法第三個(gè)階段:1976年以后標(biāo)志:Diffie,Hellman發(fā)表”NewDircetionsinCryptography”一種新的密碼體制:公開密鑰體制2024/7/3Copyright117

現(xiàn)代密碼學(xué)（1949～）

計(jì)算機(jī)使得基于復(fù)雜計(jì)算的密碼成為可能，技術(shù)發(fā)展：

1949年Shannon的“TheCommunicationTheoryofSecretSystems”

1967年DavidKahn的《TheCodebreakers》1971-1973年IBMWatson實(shí)驗(yàn)室的HorstFeistel等

幾篇技術(shù)報(bào)告

主要特點(diǎn)：數(shù)據(jù)的安全基于密鑰而不是算法的保密。加密運(yùn)算是基于二進(jìn)制bit的計(jì)算機(jī)運(yùn)算。

數(shù)據(jù)加密算法：DES，AES

，IDEA，RC5等1976年：Diffie&Hellman的

“NewDirections

inCryptography”

提出了不對稱密鑰；1977年Rivest,Shamir&Adleman提出了RSA公鑰算法90年代逐步出現(xiàn)橢圓曲線等其他公鑰算法主要特點(diǎn)：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡苊艽a學(xué)基礎(chǔ)security密碼學(xué)是一門與數(shù)學(xué)密切相關(guān)的科學(xué)(統(tǒng)計(jì)學(xué)、數(shù)論、概率論和代數(shù))密碼技術(shù)涉及密碼設(shè)計(jì)、密碼分析等內(nèi)容。密碼設(shè)計(jì)的目的是保證信息的機(jī)密性，基本手段是將信息加以偽裝，使其在存儲和傳輸過程中不會泄密。加密技術(shù)分為常規(guī)加密技術(shù)和公鑰加密技術(shù)。本章在給出常規(guī)加密模型的基礎(chǔ)上，對常規(guī)加密的經(jīng)典技術(shù)和現(xiàn)代技術(shù)進(jìn)行討論。密碼系統(tǒng)的概念密碼系統(tǒng)經(jīng)歷了手工階段、機(jī)械階段、電子階段并進(jìn)入了計(jì)算機(jī)階段。密碼學(xué)是研究如何通過編碼來保證信息的機(jī)密性和如何對密碼進(jìn)行破譯的科學(xué)。密碼學(xué)由密碼編碼學(xué)和密碼分析學(xué)兩部分所構(gòu)成。一個(gè)密碼系統(tǒng)通?？梢酝瓿尚畔⒌募用茏儞Q和解密變換。加密變換是采用一種算法將原信息變?yōu)橐环N不可理解的形式，從而起到保密的作用。解密變換是加密變換相反的過程，利用與加密變換算法相關(guān)的算法將不可理解的信息還原為原信息。明文(plaintext)；密文(ciphertext)；加密算法；解密算法。加密算法和解密算法是相關(guān)的，而且解密算法是加密算法的逆過程。加密解密算法：特點(diǎn)是相對穩(wěn)定，公開。密鑰(key)：必須在加密和解密時(shí)引入兩個(gè)相同或兩個(gè)不同但相關(guān)的參數(shù)。該參數(shù)被稱為密鑰(加密時(shí)使用的密鑰為加密密鑰；解密時(shí)使用的密鑰為解密密鑰)。密鑰經(jīng)常改變。密鑰直接關(guān)系到被加密信息的安全性。明文、密文、加密算法、解密算法、加密密鑰和解密密鑰構(gòu)成了一個(gè)密碼系統(tǒng)的基本元素。因此，一個(gè)密碼系統(tǒng)CS可以用一個(gè)六元組來描述：CS=(P，C，E，D，Ke，Kd)對于一個(gè)給定的明文p和密鑰ke，若有c=E(p，ke)，則p=D(c，kd)。若用E-1表示E的逆函數(shù)，用D-1表示D的逆函數(shù)，則有D=E-1且E=D-1威脅密碼系統(tǒng)安全的是攻擊者。攻擊者首先通過監(jiān)聽等手段截獲密文。然后試圖通過對密文的分析來得到明文。由于通常加密解密算法是對外公開的，攻擊者往往對密鑰更感興趣。一旦攻擊者獲得密鑰，他就可以在系統(tǒng)更新密鑰之前，利用該密鑰解密一系列的密文。Return密碼體制密碼體制通常指加密/解密過程中采用的方法的種類。1.按照加密解密過程中使用的加密密鑰和解密密鑰是否相同將密碼體制分為對稱密碼體制和非對稱密碼體制。對稱密碼體制又稱為常規(guī)密鑰密碼體制、單密鑰密碼體制、秘密密鑰密碼體制。對稱密碼體制的加密算法和解密算法使用相同的密鑰，該密鑰必須對外保密。

特點(diǎn)：加密效率較高，但密鑰的分配難以滿足開放式系統(tǒng)的需求。非對稱密碼體制又稱為公開密鑰密碼體制、雙密鑰密碼體制。非對稱密碼體制的加密算法和解密算法使用不同但相關(guān)的一對密鑰，加密密鑰對外公開，解密密鑰對外保密，而且由加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的。

特點(diǎn)：密鑰分配較方便，能夠用于鑒別和數(shù)字簽名，能較好地滿足開放式系統(tǒng)的需求，但由于非對稱密碼體制一般采用較復(fù)雜的數(shù)學(xué)方法進(jìn)行加密解密，因此，算法的開銷比較大，不適合進(jìn)行大量數(shù)據(jù)的加密處理。2.根據(jù)密文數(shù)據(jù)段是否與明文數(shù)據(jù)段在整個(gè)明文中的位置有關(guān)，可以將密碼體制分為分組密碼體制和序列密碼體制。分組密碼體制的密文僅與加密算法和密鑰有關(guān)，而與被加密的明文分組在整個(gè)明文中的位置無關(guān)。分組密碼將固定長度的明文分組加密為相同長度的密文分組。分組密碼的分組大小一般為64比特，但有增加到128比特的趨勢。相同的明文分組在相同的密鑰作用下將產(chǎn)生相同的密文分組。序列密碼體制的密文不僅與給定的加密算法和密鑰有關(guān)，而且與當(dāng)前正被加密的明文部分在整個(gè)明文中的位置有關(guān)。序列密碼體制每次對較小的明文單位進(jìn)行處理，通常以比特(或字節(jié))為加密單位。加密時(shí)以流的形式進(jìn)行處理，將明文流與密鑰流結(jié)合，形成密文流。密鑰流是與明文流等長的偽隨機(jī)序列，加密后的密文流也是偽隨機(jī)序列。序列密碼最吸引人的地方是它的一次一密特性。分組密碼的某些操作模式可以被轉(zhuǎn)換為密鑰流產(chǎn)生器，從而將分組密碼用于序列密碼。序列密碼3.根據(jù)加密變換是否可逆，可以將密碼體制分為單向函數(shù)密碼體制和雙向變換密碼體制。單向函數(shù)可以將明文加密成密文，但卻不能將密文轉(zhuǎn)換為明文(或在計(jì)算上不可行)。單向函數(shù)用于不需要解密的場合。單向函數(shù)的目的不在于加密，單向函數(shù)主要用于密鑰管理和鑒別。通常的加密解密都屬于雙向變換密碼體制。4.根據(jù)在加密過程中是否引入客觀隨機(jī)因素，可以將加密體制分為確定型密碼體制和概率密碼體制。確定型密碼體制是指：一旦明文和密鑰確定后，也就確定了惟一的密文。若對于給定的明文和密鑰，總存在著一個(gè)較大的密文集合與之對應(yīng)，最終的密文根據(jù)客觀隨機(jī)因素在密文集中隨機(jī)選取，則稱這種密碼體制為概率密碼體制。Return常規(guī)加密模型

常規(guī)加密是出現(xiàn)最早而且當(dāng)前仍在廣泛使用的加密體制。在使用常規(guī)加密的通信系統(tǒng)中，安全通信的雙方共享同一個(gè)密鑰K。加密和解密算法公開，密鑰保密。常規(guī)加密的密鑰通常稱為秘密密鑰(secretkey)。由于加密密鑰和解密密鑰相同，此時(shí)的密碼系統(tǒng)CS可以表示為：CS=(P，C，E，D，K)

對于一個(gè)給定的明文p和密鑰k，若有c=E(p，k)，則p=D(c，k)，可簡記為c=Ek(p)和p=Dk(c)。常規(guī)加密模型常規(guī)加密模型1、密碼編碼系統(tǒng)常規(guī)密碼體制的安全性取決于加密算法和密鑰。算法的強(qiáng)度必須足夠高密鑰的長度必須足夠長；密鑰更新的頻度必須足夠高算法的強(qiáng)度通常采用兩種方法保證：擴(kuò)散(diffusion)和擾亂(confusion)。ClaudeShannon早在1949年發(fā)表的“秘密系統(tǒng)的通信理論”一文中就提出了擴(kuò)散和擾亂的概念。后來擴(kuò)散和擾亂被用來作為常規(guī)密碼系統(tǒng)的兩個(gè)基本組成模塊。擴(kuò)散和擾亂已成為現(xiàn)代分組密碼設(shè)計(jì)的基礎(chǔ)。擴(kuò)散和擾亂主要用于對付基于統(tǒng)計(jì)分析的密碼破譯。擴(kuò)散的基本方法是讓明文和密鑰的每個(gè)字母影響盡可能多的密文字母的取值(等價(jià)于每個(gè)密文字母被盡可能多的明文和密鑰字母影響)，從而使得明文和密鑰的統(tǒng)計(jì)特征被擴(kuò)散，明文和密鑰中原有的統(tǒng)計(jì)特征不再反映在密文中。擾亂機(jī)制是使密文的統(tǒng)計(jì)特征與明文和加密密鑰的關(guān)系盡可能復(fù)雜化，使得攻擊者即使掌握了密文的某些統(tǒng)計(jì)特征，也很難從中推測出密鑰和明文。擴(kuò)散是使每個(gè)密文字母與盡可能多的明文和密鑰字母相關(guān)，擾亂是使這種相關(guān)的等價(jià)數(shù)學(xué)函數(shù)足夠復(fù)雜。

2、密碼分析密碼分析：試圖由密文獲得明文、密鑰或這兩者的過程。常見的密碼分析方法：強(qiáng)行攻擊、基于統(tǒng)計(jì)的分析、差分密碼分析。強(qiáng)行攻擊是利用每個(gè)可能的密鑰進(jìn)行測試，直到找到可以解密的密鑰。強(qiáng)行攻擊只適合于密鑰空間不太大的場合?；诮y(tǒng)計(jì)的分析是利用明文、密鑰和密文的統(tǒng)計(jì)特征破譯出明文或密鑰。差分密碼分析使用循環(huán)過程來分析密碼。從具有給定差異的兩個(gè)報(bào)文開始，跟蹤每次循環(huán)后的差值模式，以便產(chǎn)生可能的密文差值模式。通常密碼攻擊者可能獲得的信息有：

加密/解密算法(A)

待破譯的密文(B)

由密鑰形成的一個(gè)或多個(gè)明文-密文對(C)

由密碼破譯者選擇的明文消息，連同它對應(yīng)的由其密鑰生成的密文(D)

由密碼破譯者選擇的猜測性的密文，連同它對應(yīng)的由密鑰生成的已破譯的明文(E)根據(jù)攻擊者所獲得的信息量，密碼分析攻擊的類型如下：密碼攻擊類型密碼攻擊者所知道的信息僅有密文攻擊A+B已知明文攻擊A+B+C選擇明文攻擊A+B+D選擇密文攻擊A+B+E選擇文本攻擊A+B+D+E▲算法安全性問題：如果一個(gè)算法無法抵御僅有密文攻擊，則該算法就不是一個(gè)好的算法。加密算法應(yīng)能夠抵御已知明文的攻擊。如果攻擊者無論擁有多少由某一算法所產(chǎn)生的密文，都無法由這些密文中所包含的信息惟一地決定對應(yīng)的明文，則稱此算法是無條件安全的。無條件安全的加密算法通常是不存在的。人們要求算法應(yīng)保證在計(jì)算上是安全的。如果一個(gè)加密算法能夠滿足下列條件中的一個(gè)或兩個(gè)，則稱此算法在計(jì)算上是安全的：

1)破譯該密碼的成本超過被加密信息的價(jià)值。

2)破譯該密碼的所需的時(shí)間超過該信息的有效生命周期。

Return經(jīng)典加密技術(shù)本章提示2.1古典密碼2.2分組加密技術(shù)2.3公鑰加密技術(shù)2.4流密碼技術(shù)2.5信息隱藏技術(shù)2.1古典密碼代換密碼單表代換密碼移位密碼替換密碼仿射密碼多表代換密碼Vigenère(維吉尼亞）密碼置換密碼代換密碼令