《[工学]网络安全-01》由会员分享,可在线阅读,更多相关《[工学]网络安全-01(50页珍藏版)》请在金锄头文库上搜索。
1、引 言 密码编码学与网络安全密码编码学与网络安全Chapter 1Chapter 1*西安电子科技大学计算机学院2授课教师n李兴华nEmail:n个人介绍: http:/219.245.80.1/faculty/info.php?uid=5308*西安电子科技大学计算机学院3教材和参考书n教材:qWilliam Stallings, Cryptography and network security: principles and practice, 3rd Edition (中译本:密码编码学与网络安全原理与实践(第 四版),电子工业出版社,2004.1)n参考:q卢开澄计算机密码学qApp
2、lied Cryptography, Protocols, algorithms, and source code in C (2nd Edition),Bruce Schneier 1996 (中译本:应用密码学协议、算法与C源程序, 机 械工业出版社2000.1)qq闵嗣鹤 ,初等数论*西安电子科技大学计算机学院4要 求n目标:q理解信息安全的基本原理和技术;q了解一些最新研究成果;q掌握网络与信息安全的理论基础,具备研究与 实践的基本能力。n方式:q课堂讲授课外阅读q设计实践q读书报告n考试:q平时作业+设计实践读书报告(30%)q笔试(70%)*西安电子科技大学计算机学院5课程内容n第
3、一部分 对称密码q对称密码,古典算法和现代算法,DES和AESn第二部分 公钥密码q公钥密码,RSA和ECC,公钥密码的应用n第三部分 网络安全q密码算法和安全协议的应用,用户认证、电子邮件、IP安 全和Web安全n第四部分 系统安全q系统安全措施,入侵、病毒、蠕虫和防火墙技术*西安电子科技大学计算机学院6密码的历史n密码因战争而生 n密码和文字的使用历史一样长,在密码诞生之 前:古希腊人 、中国古代人。n二战中最著名的密码要算英格玛(ENIGMA, 意为谜),它作为世界上第一部机械密码机, 结束了手摇编码的历史,其工作原理奠定了当 今计算机加密的基础。*西安电子科技大学计算机学院7密码的历史
4、n 为了战胜英格玛,英国人在布莱榭丽公园的小木屋 里建起了密码学校,这里聚集着各种不同寻常的怪才 数学家、军事家、心理学家、语言学家、象棋高手、 填字游戏专家,到二战结束时,这里已经聚集了7000 人。n 天才密码学家图灵的命运最为不幸,他不但没有因 为破译英格玛受到奖励,反而因“同性恋”而被政府以“ 有伤风化罪”起诉,1954年,身心俱疲的图灵服毒自 杀,时年42岁。今天,信息学领域最重要的奖项被命 名为“图灵奖”,也许这就是对他的补偿吧。 *西安电子科技大学计算机学院8密码的历史n二战成了密码史上的黄金年代。军事科学家估计,盟 军对密码的成功破译使二战至少提前一年结束。n密码,仍是现代战争
5、的关键n2006年4月21日,驻阿富汗美军宣布,为了防止“基地 ”组织恐怖分子窃听,美军已紧急更换了全部通用密 码。美军此次急着更换密码,是因为一名已经脱离“ 基地”组织的“前恐怖分子”宣称,“基地”组织已于2005 年初成功破译了驻阿美军的通用密码,并依靠破译密 码全面掌握了美军活动动向。n2010年岁末,德国混沌电脑俱乐部评出了2010年 最超级病毒,Stuxnet病毒获此“殊荣”。nStuxnet病毒被誉为“网络空间的精确制导武器”可 谓实至名归。研究结果显示,Stuxnet病毒攻击目 标锁定为西门子的Simatic WinCC SCADA(数据 采集与监控)系统,并配备有两个“数字弹头
6、”。n 第一个弹头攻击西门子S7-300(315)系统,目标 锁定于伊朗在纳坦兹的浓缩铀工厂。 n据称在近17个月的时间内,Stuxnet病毒潜伏 在目标系统特定的组件里,改变离心机旋转速 度的控制,通过让离心机快速转动然后急剧停 止来使离心机受损伤。虽然其没有直接破坏离 心机,但它使轴承快速磨损,导致设备需要不 断更新和维修。而此前,多个网络安全公司已 经通过研究和模拟分析确认了Stuxnet病毒的 攻击目标就是伊朗的核设施。n第二个弹头攻击西门子的S7-400(417)系统,目标是 布什尔核电厂汽轮机控制。它采用了中间人攻击( MITM)的方式,让实际控制代码强制设备进行错误 的输入输出,
7、其代码显然比针对S7-315系统的代码精 妙。根据研究人员分析,没有被激活的Stuxnet代码 仍然定期更新过程映射,但是Stuxnet代码可以传递 原来通过物理映射输入的初始值,也可以不传递,这 会使汽轮机的控制受到干扰,极端情况下,涡轮会遭 到破坏。nhttp:/ &tid=201869*西安电子科技大学计算机学院12引 言n信息安全需求越来越迫切;n传统的安全靠物理或行政的机制;n计算机的使用需要有自动的工具来保护文 件及其它信息的安全;n网络和通信的使用,对数据传输中的安全 保护提出了要求。*西安电子科技大学计算机学院13定 义n计算机安全(Computer Security)q用于保
8、护数据和挫败黑客攻击的工具和技术的集合n网络安全( Network Security )q 保护数据在传输中安全的方法n互联网安全( Internet Security ) q 保护数据安全通过互联网络的方法*西安电子科技大学计算机学院14网络安全错综复杂n安全涉及到通信和网络,安全要求很明确,但实现很 复杂。n设计安全机制或算法时,必须考虑到各种潜在的攻击 。n安全机制的过程采用逆向思维的方法。n确定在哪里使用安全机制,包括物理位置和逻辑位置 。n安全机制所使用的算法和协议通常不至一个。涉及到 密钥的管理;通信协议也会使安全机制过程复杂化。*西安电子科技大学计算机学院15Bruce Schn
9、eiern“IT安全界全球最有影响力的人” n安全性是一条链,其可靠性程度取决于链中最薄弱的 环节;n安全性是一个过程,而不是产品。n安全措施必须渗透到系统的所有地方:组件和连接。n现代系统有太多的组件和连接,其中一些甚至连系统 的设计者、实现者和使用者都不知道。因此,不安全 因素总是存在。没有一个系统是完美的,没有一项技 术是灵丹妙药。n我认为数字安全是当今最酷的事,它十分艰难,但充 满乐趣。n他的博客:http:/ is Attacking Systems?*西安电子科技大学计算机学院17*西安电子科技大学计算机学院18CERT:计计算机应应急响应组应组 ,是一个联联邦基 金资资助的网络络
10、安全研究中心。根据该该中心 的研究,之所以能够够如此轻轻松地发动发动 破坏 性的攻击击,其原因与那些已经经遍及网络络的 攻击击工具有关。这这些工具只要求少量的专专 业业知识识就可以使攻击击者发动发动 极具破坏性且 损损失极大的DoS攻击击。*西安电子科技大学计算机学院19n为了有效评价一个机构的安全需求,以及对各 种安全产品和政策进行评价和选择,负责安全 的管理员需要以某种系统的方法来对安全的要 求并刻画满足这些要求的措施。OSI 安全体系结构*西安电子科技大学计算机学院20OSI 安全体系结构nITU-T X.800 “Security Architecture for OSI”即 OSI安
11、全框架;n提供了一个定义和提供安全需求的系统化方法;n提供了一个有用的学习研究的概貌。ITU: 国际电信联盟 OSI: 开放式系统互联*西安电子科技大学计算机学院21安全问题nOSI安全框架主要关注信息安全的三个方面:q安全攻击,security attackn任何危及系统信息安全的活动。q安全机制,security mechanismn用来保护系统免受侦听、阻止安全攻击及恢复系统的机 制。q安全服务,security servicen加强数据处理系统和信息传输的安全性的一种服务。目 的在于利用一种或多种安全机制阻止安全攻击。*西安电子科技大学计算机学院22安全攻击n威胁q威胁是利用脆弱性的潜
12、在危险n攻击q有意违反安全服务和侵犯系统安全策略的智能行为n威胁和攻击的意义是相同的n攻击的类型(X.800和RFC 2828)q被动攻击:试图了解或利用系统的信息但不影响系统资 源。q主动攻击:试图改变系统资源或影响系统运作。*西安电子科技大学计算机学院23被动攻击*西安电子科技大学计算机学院24被动攻击n两种攻击:q消息内容的泄漏:是在未经用户同意和认可的情况下将 信息或数据文件泄露给系统攻击者,但不对数据信息做 任何修改。q流量分析:确定通信主机的身份和位置,判断通信的性 质。 n常见手段:q搭线监听; q无线截获; q其他截获。 n不易被发现。 n重点在于预防 ,如使用虚拟专用网(VP
13、N)、采 用加密技术保护网络以及使用加保护的分布式网 络等。 *西安电子科技大学计算机学院25主动进攻*西安电子科技大学计算机学院26主动攻击n涉及某些数据流的篡改或虚假流的产生。 n通常分为:q假冒;q重放;q篡改消息;q拒绝服务。 n能够检测出来。n不易有效防止,具体措施包括自动审计、入侵检 测和完整性恢复等。 *西安电子科技大学计算机学院27安全服务q强化一个组织的数据处理系统和信息传输中的安 全性q对安全攻击的反击q采用一个或更多的安全机制 q对文档进行安全地分发n例如签名,对信息进行保护以免披露、损害或毁坏*西安电子科技大学计算机学院28安全服务nX.800:为系统协议层提供的服务,
14、用来保证系统或数据 的传输有足够的安全性。nRFC 2828(互联网安全术语表):一种由系统提供的对系统资源进行特殊保护的处 理或通信服务,安全服务通过安全机制来实现安 全策略。*西安电子科技大学计算机学院29安全服务 ( X.800 )n可认证性 - assurance that the communicating entity is the one claimedn访问控制 - prevention of the unauthorized use of a resourcen机密性 Confidentiality-protection of data from unauthorized d
15、isclosuren完整性 Integrity- assurance that data received is as sent by an authorized entityn不可否认性 Non-repudiation- protection against denial by one of the parties in a communicationn可用性 availabilityq可被授权实体访问并按需求使用的特性,即当需要时总能够存取所 需的信息。n网络环境下,拒绝服务、破坏网络和有关系统的正常运行等都属于对可 用性的攻击。*西安电子科技大学计算机学院30安全机制n要具备检测、防御或
16、从安全攻击中恢复的能力n没有单一的机制能够提供所有的安全服务n一个机制往往构成其它安全机制的基础,如:q加密技术*西安电子科技大学计算机学院31安全机制(X.800) (表1.3)n特定的安全机制(specific security mechanisms):q加密, 数字签名, 访问控制,数据完整性,认证 交换,流量填充,路由控制,公证等n普遍的安全机制(pervasive security mechanisms):q可信功能,安全标签,事件检测,安全审计跟踪 ,安全恢复等*西安电子科技大学计算机学院32安全服务与机制间的关系表1.6*西安电子科技大学计算机学院33应用层提供安全服务的特点n只能在通信两端的主机系统上实施。 n优点:q安全策略和措施通常是基于用户制定的; q对用户想要保护的数据具有完整的访问权,因
