《第4章4.5网络信息安全》由会员分享,可在线阅读,更多相关《第4章4.5网络信息安全(33页珍藏版)》请在金锄头文库上搜索。
1、4.5 网络信息安全网络信息安全4.6.1 概述概述4.6.2 数据加密数据加密4.6.3 数字签名数字签名4.6.4 身份鉴别与访问控制身份鉴别与访问控制4.6.5 防火墙与入侵检测防火墙与入侵检测4.6.6 计算机病毒防范计算机病毒防范 24.5 网络信息安全4.5.1 概述概述34.5 网络信息安全网络信息安全受到的威胁及对策网络信息安全受到的威胁及对策 篡改篡改 s d数据被破数据被破坏,失去坏,失去完整性完整性 2 保证数据完整性:保证数据完整性:所传输的所传输的交易信息中途不被篡改,一旦交易信息中途不被篡改,一旦遭到篡改很快就能发现遭到篡改很快就能发现 伪造伪造 s d数据数据(
2、(包括用户身份包括用户身份) )被伪造,失去被伪造,失去真实性真实性 3 真实性鉴别:真实性鉴别:对交对交易双方的身份进行易双方的身份进行认证,保证交易双认证,保证交易双方的身份正确无误方的身份正确无误 窃听窃听 s d数据被非法拷贝数据被非法拷贝, ,危及数危及数据的据的机密性机密性 1 数据加密:数据加密:即使数据在网络即使数据在网络传输过程中被他人窃取,也不传输过程中被他人窃取,也不会泄露秘密会泄露秘密 4 防止否认:防止否认:交易完成后,交易完成后,应保证交易的任何一方应保证交易的任何一方无法否认已发生的交易无法否认已发生的交易44.5 网络信息安全确保信息安全的技术措施确保信息安全的
3、技术措施(1 1)真真实实性性鉴鉴别别:对对通通信信双双方方的的身身份份和和所所传传送送信信息息的的真真伪伪能能准准确地进行鉴别确地进行鉴别(2 2)访访问问控控制制:控控制制用用户户对对信信息息等等资资源源的的访访问问权权限限,防防止止未未经经授权使用资源授权使用资源 (3 3)数据加密数据加密:保护数据秘密,未经授权其内容不会显露:保护数据秘密,未经授权其内容不会显露(4 4)保保证证数数据据完完整整性性:保保护护数数据据不不被被非非法法修修改改,使使数数据据在在传传送送前、后保持完全相同前、后保持完全相同(5 5)保保证证数数据据可可用用性性:保保护护数数据据在在任任何何情情况况(包包括
4、括系系统统故故障障)下不会丢失下不会丢失(6 6)防止否认防止否认:防止接收方或发送方抵赖:防止接收方或发送方抵赖(7 7)审计管理审计管理:监督用户活动、记录用户操作等:监督用户活动、记录用户操作等54.5 网络信息安全4.5.2 数据加密数据加密64.5 网络信息安全数据加密的基本概念数据加密的基本概念加密前的加密前的原始数据原始数据加密后的数据加密后的数据只有收只有收/发方知道的发方知道的用于加密和解密的信息用于加密和解密的信息密码密码(cipher):将明文与密文将明文与密文进行相互转换的算法进行相互转换的算法解密后恢解密后恢复的数据复的数据n目的:即使被窃取,也能保证数据安全目的:即
5、使被窃取,也能保证数据安全n重要性:数据加密是其他信息安全措施的基础重要性:数据加密是其他信息安全措施的基础n基本概念:基本概念:74.5 网络信息安全加密算法加密算法的基本思想的基本思想n改变明文中符号的排列,或按照某种规律置换明文中的符号改变明文中符号的排列,或按照某种规律置换明文中的符号例例1 移位式移位式 help me变成变成ehpl em 例例2 替代式替代式(恺撒密码恺撒密码):phhw ph diwhu wkh fodvv将文本中每将文本中每个英文字母个英文字母替换为字母替换为字母表中排列在表中排列在其其后后的第的第k1个字母个字母meet me after the class
6、k1=3meet me after the class将文本中每将文本中每个英文字母个英文字母替换为字母替换为字母表中排列在表中排列在其其前前的第的第k2个字母个字母K2=3abcdefghijklmdefghijklm nopnopqrstuv w xyzqrstuv w xyzabcabcdefghijklmxyzabcdefghijnopqrstuv w xyzklm nopqrstuv w84.5 网络信息安全对称密钥加密对称密钥加密方法方法特点:特点:n加密的密钥也用于解密加密的密钥也用于解密n密钥越长,安全性越好密钥越长,安全性越好n计算量适中,速度快,适计算量适中,速度快,适用于
7、对大数据量消息加密用于对大数据量消息加密明文明文明文明文密文密文加密加密解密解密密钥密钥K1密钥密钥K2(数据传输)(数据传输)密钥密钥K1=K2n对称密钥加密方法的标准对称密钥加密方法的标准nDES算法(密钥长度算法(密钥长度56位):位): 共有共有2567.2 1016种可能种可能,1998年使用穷举年使用穷举法仅花费了法仅花费了22小时小时15分钟就攻破分钟就攻破DESn现在广泛使用现在广泛使用AES(高级加密标准高级加密标准),其密钥长度为:,其密钥长度为:128、192 或或256位位n计算安全性计算安全性(Computationally)n 破解的代价超过了消息本身的价值破解的代
8、价超过了消息本身的价值n 破解的时间超过了消息本身的有效期破解的时间超过了消息本身的有效期94.5 网络信息安全非对称密钥加密非对称密钥加密方法方法公钥加密公钥加密使用乙的使用乙的公钥加密公钥加密甲甲 乙乙密密 文文乙乙丙丙丁丁戊戊使用乙的使用乙的私钥解密私钥解密加密器加密器解密器解密器 明文明文 明文明文甲的甲的公钥环公钥环使用一对不相同的密钥:使用一对不相同的密钥:私钥只有本人知私钥只有本人知道,公钥可让其他用户知道道,公钥可让其他用户知道甲方使用乙的甲方使用乙的公钥进行加密公钥进行加密乙方利用自己乙方利用自己的私钥解密的私钥解密使用公钥无法使用公钥无法恢复明文,也恢复明文,也无法推断出私
9、无法推断出私钥钥乙用私钥乙用私钥加密的消加密的消息,甲只息,甲只有使用乙有使用乙的公钥才的公钥才能解密能解密 只要密钥长度足够长,用只要密钥长度足够长,用RSA加密的信息目前还不能被破解加密的信息目前还不能被破解网上银行使用的网上银行使用的RSA算法,其密钥长度为算法,其密钥长度为1024或或2048位位104.5 网络信息安全选讲:选讲: 公钥加密举例(公钥加密举例(RSA算法)算法)n产生密钥对:产生密钥对:1.选择两个素数选择两个素数p和和q, 且且 p q2.计算:计算:n = pq, z = (p-1)(q-1)3.选择一个比选择一个比z小的整数小的整数e, 使得使得 e和和 z互质
10、互质4.计算计算d,使得,使得ed-1能被能被z整除整除5.于是公钥为:于是公钥为: e,n 私钥为:私钥为: d,nn使用:使用:n加密加密: C = Me mod nn解密解密: M = Cd mod nn选择选择: p=5, q=7n计算:计算:n = 35, z = 24n选择选择: e = 5 , 5和和24互质互质n选择:选择:d = 29, ( 因为因为(5x29-1)/24=0 )n于是公钥为:于是公钥为: 5, 35 私钥为:私钥为: 29, 35n使用举例:设明文中的字使用举例:设明文中的字母为母为L,即,即M=12n加密加密: C = 125 mod 35 = 17n解密
11、解密: M = 1729 mod 35 = 12z称为称为n的的Euler数数由于由于n = pq是公开的,所以,为了防止攻击者是公开的,所以,为了防止攻击者利用利用n推算出推算出p和和q,必须选择足够大的素数必须选择足够大的素数p和和q,使,使n达到达到1024位以上,才能不被破解位以上,才能不被破解n为为6 bits114.5 网络信息安全4.5.3 数字签名数字签名用于认证消息的真实性用于认证消息的真实性124.5 网络信息安全消息认证消息认证(Message Authentication)n在通信过程中,应防止发生:在通信过程中,应防止发生:n伪造消息(无中生有)伪造消息(无中生有)
12、窜改消息内容窜改消息内容n消息认证消息认证:对收到的消息进行验证,验证它确实来自声称的:对收到的消息进行验证,验证它确实来自声称的发送方发送方(消息的消息的真实性真实性) ),且没有被修改过,且没有被修改过(消息的消息的完整性完整性) )n常规解决方案:常规解决方案:签字盖章,人工检验有无涂改迹象签字盖章,人工检验有无涂改迹象n与被签文件在物理上不可分割与被签文件在物理上不可分割n签名者不能否认自己的签名签名者不能否认自己的签名n签名不能被伪造签名不能被伪造n计算机网络的解决方案:计算机网络的解决方案:数字签名数字签名144.5 网络信息安全数字签名的处理过程数字签名的处理过程hashing摘
13、要摘要消息正文消息正文 私钥加密私钥加密数字数字签名签名 添加至正文添加至正文附有数字签名的消息附有数字签名的消息数字数字签名签名传送传送对原始消息的正文对原始消息的正文进行散列处理进行散列处理生成生成消息的摘要消息的摘要使用消息发送人的私使用消息发送人的私钥对摘要进行加密而钥对摘要进行加密而得到数字签名得到数字签名接收方使用发送方的公接收方使用发送方的公钥对数字签名解密恢复钥对数字签名解密恢复出消息摘要出消息摘要对收到的原始消息正文对收到的原始消息正文进行散列处理得到一个进行散列处理得到一个新的摘要新的摘要对比对比 附有数字签名的消息附有数字签名的消息数字数字签名签名网络传传送送给给接接收收
14、方方将数字签将数字签名添加到名添加到原始消息原始消息数字签名正确数字签名正确消息未被篡改消息未被篡改154.5 网络信息安全数字签名中的双重加密数字签名中的双重加密用接收方的公钥对已用接收方的公钥对已添加了数字签名的消添加了数字签名的消息再进行加密息再进行加密用接收方的私钥对接用接收方的私钥对接收的消息解密并取出收的消息解密并取出数字签名数字签名用发送方的私钥加用发送方的私钥加密信息摘要,得到密信息摘要,得到数字签名数字签名用发送方的公钥解用发送方的公钥解密数字签名,得到密数字签名,得到信息摘要信息摘要164.5 网络信息安全4.5.4 身份鉴别与访问控制身份鉴别与访问控制174.5 网络信息
15、安全身份鉴别身份鉴别(认证认证)n身份鉴别的含义身份鉴别的含义:n证实某人的真实身份是否与其所声称的身份相符证实某人的真实身份是否与其所声称的身份相符,以防止欺以防止欺诈和假冒诈和假冒n什么时候进行什么时候进行?n在用户登录某个系统,或者在访问在用户登录某个系统,或者在访问/传送重要消息时进行传送重要消息时进行n身份鉴别的依据身份鉴别的依据(方法方法):n鉴别对象本人才知道的信息鉴别对象本人才知道的信息( (如如口令口令、私钥、身份证号等、私钥、身份证号等) )n鉴别对象本人才具有的信物鉴别对象本人才具有的信物( (例如磁卡、例如磁卡、ICIC卡、卡、USBUSB钥匙等钥匙等) )n鉴别对象本
16、人才具有的生理特征鉴别对象本人才具有的生理特征( (例如指纹、手纹等例如指纹、手纹等) )通常在注册时记录在案通常在注册时记录在案口令(密码)容易被猜、被盗、被偷窥,电脑中植入的木马程序会记口令(密码)容易被猜、被盗、被偷窥,电脑中植入的木马程序会记录操作者的键入数据,发送给黑客进行分析,以查找密码录操作者的键入数据,发送给黑客进行分析,以查找密码 双因素认证(口令双因素认证(口令+磁卡,口令磁卡,口令+U盾)大大提高了安全性!盾)大大提高了安全性!184.5 网络信息安全选讲:选讲: 例:网上银行的身份认证例:网上银行的身份认证/信息安全信息安全n网上银行:使用因特网完成银行的各种网上银行:
17、使用因特网完成银行的各种金融服务,如账金融服务,如账户查询、转账、网上支付等户查询、转账、网上支付等n网上银行的组成:网上银行的组成:n客户端:电脑客户端:电脑(手机手机),以及,以及USB Key、口令卡等、口令卡等n通信网络:使用通信网络:使用HTTPS协议保证传输过程中不被窃听协议保证传输过程中不被窃听n服务器:高效和安全地处理各种网上银行业务服务器:高效和安全地处理各种网上银行业务n网上银行用户身份认证的网上银行用户身份认证的3种方式:种方式:n用户名用户名+口令(仅适合账户查询)口令(仅适合账户查询)n用户名用户名+口令口令+文件证书(数字证书在浏览器中)文件证书(数字证书在浏览器中
18、)n用户名用户名+口令口令+USB证书(证书(数字证书在数字证书在U盾中盾中)204.5 网络信息安全选讲:选讲: U盾盾(USB Key) nU盾外形像盾外形像U盘,它包含有嵌入式处理器与盘,它包含有嵌入式处理器与数字证书数字证书等等 n嵌入式处理器负责进行数据加密嵌入式处理器负责进行数据加密/解密和数字签名处理,采用解密和数字签名处理,采用1024位非对称位非对称RSA加密算法加密算法,它为为用户产生一个私钥,它为为用户产生一个私钥(唯一唯一序列号序列号)nU盾使用前需把权威机构盾使用前需把权威机构(CA中心中心)颁发的数字证书下载到颁发的数字证书下载到U盾盾中,数字证书包含有客户身份信息
19、及相应的公钥中,数字证书包含有客户身份信息及相应的公钥nU盾在使用网上银行进行交易时的盾在使用网上银行进行交易时的2个作用:个作用:n使用使用U盾中的数字证书进行用户身份认证盾中的数字证书进行用户身份认证n借助嵌入式处理器对交易数据进行数字签名,确保信息不借助嵌入式处理器对交易数据进行数字签名,确保信息不被篡改和交易不可抵赖被篡改和交易不可抵赖 214.5 网络信息安全选讲:选讲: 网上银行交易过程举例网上银行交易过程举例1 客户输入本人账号、口令,登录网上银行,选择汇款操作客户输入本人账号、口令,登录网上银行,选择汇款操作2 输入收款人账号、姓名、开户行名称、汇款金额等数据(明文)输入收款人
20、账号、姓名、开户行名称、汇款金额等数据(明文)3 插入插入U盾,输入盾,输入U盾口令启动盾口令启动U盾工作,银行服务器验证盾工作,银行服务器验证U盾中的证书,确认盾中的证书,确认客户身份(需查询证书有效期和是否列入黑名单),取得客户的公钥客户身份(需查询证书有效期和是否列入黑名单),取得客户的公钥4 U盾使用客户的私钥对上述汇款信息进行数字签名,附加于汇款信息盾使用客户的私钥对上述汇款信息进行数字签名,附加于汇款信息5 U盾随机产生一个密钥,使用对称密钥加密算法对汇款信息和数字签名进行盾随机产生一个密钥,使用对称密钥加密算法对汇款信息和数字签名进行加密,形成交易密文加密,形成交易密文6 U盾使
21、用银行的公钥对随机产生的密钥进行加密,然后随同交易密文一起发盾使用银行的公钥对随机产生的密钥进行加密,然后随同交易密文一起发送给银行送给银行7 银行接收到信息后使用银行自己的私钥进行解密,得到客户端随机产生的对银行接收到信息后使用银行自己的私钥进行解密,得到客户端随机产生的对称密钥称密钥8 银行使用对称密钥对交易密文解密,得到汇款数据的明文和附加的数字签名银行使用对称密钥对交易密文解密,得到汇款数据的明文和附加的数字签名9 银行使用客户的公钥对数字签名进行验证,若正确则进行汇款处理,否则拒银行使用客户的公钥对数字签名进行验证,若正确则进行汇款处理,否则拒绝交易,通知客户绝交易,通知客户 224
22、.5 网络信息安全选讲:选讲: 使用网银安全须知使用网银安全须知1、尽量使用各大银行提供的安全系数高的方式进行网银操作、尽量使用各大银行提供的安全系数高的方式进行网银操作 2、采用文件证书时,证书文件不要备份存在电脑中、采用文件证书时,证书文件不要备份存在电脑中 3、U盾网银用户,在每次完成网银操作后,要尽快拔下盾网银用户,在每次完成网银操作后,要尽快拔下U盾盾 4、安装安全软件并定期进行打补丁和查杀,封堵住木马入侵、安装安全软件并定期进行打补丁和查杀,封堵住木马入侵的通道,确保电脑中没有木马。的通道,确保电脑中没有木马。 5、避免在网吧等公用电脑上使用网银、避免在网吧等公用电脑上使用网银 6
23、、为网银设置专门的密码,不使用简单密码、为网银设置专门的密码,不使用简单密码 7、切勿通过链接或网上搜索引擎登录网上银行、切勿通过链接或网上搜索引擎登录网上银行 8、登入网上银行前,先关闭其他所有浏览器窗口、登入网上银行前,先关闭其他所有浏览器窗口保护好银行保护好银行卡号、登录密码、卡号、登录密码、U U盾和盾和U U盾密码盾密码,千万,千万不不能能同时同时丢失!丢失!234.5 网络信息安全什么是访问控制什么是访问控制?n访问控制的含义访问控制的含义: :n计算机对系统内的每个信息资源规定各个用户计算机对系统内的每个信息资源规定各个用户( (组组) )对它的对它的操作权限(是否可读、是否可写
24、、是否可修改等)操作权限(是否可读、是否可写、是否可修改等)n访问控制是在身份鉴别的基础上进行的访问控制是在身份鉴别的基础上进行的n访问控制的任务访问控制的任务: :n对所有信息资源进行集中管理对所有信息资源进行集中管理n对信息资源的控制没有二义性(各种规定互不冲突)对信息资源的控制没有二义性(各种规定互不冲突)n有审计功能(记录所有访问活动有审计功能(记录所有访问活动, ,事后可以核查)事后可以核查)244.5 网络信息安全文件的访问控制举例文件的访问控制举例 用用 户户 功功 能能读读写写编编 辑辑删删 除除转转 发发打打 印印复复 制制董事董事长长 总经总经理理 副副总经总经理理 部部门
25、经门经理理 科科 长长 组组 长长 254.5 网络信息安全4.5.5 防火墙与入侵检测防火墙与入侵检测264.5 网络信息安全网络会遭受多种攻击网络会遭受多种攻击网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫274.5 网络信息安全因特网因特网防火墙防火墙n什么是因特网防火墙什么是因特网防火墙(Internet firewall)?n用用于于将将因因特特网网的的子子网网(最最小小子子网网是是1台台计计算算机机)与与因因特特网网的的其其余部分相隔离余部分相隔离, 以维护网络
26、信息安全的一种软件或硬件设备以维护网络信息安全的一种软件或硬件设备 n防火墙的原理防火墙的原理:n防防火火墙墙对对流流经经它它的的信信息息进进行行扫扫描描,确确保保进进入入子子网网和和流流出出子子网网的的信信息息的的合合法法性性,它它还还能能过过滤滤掉掉黑黑客客的的攻攻击击,关关闭闭不不使使用用的的端端口口,禁止特定端口流出信息禁止特定端口流出信息, 等等等等 防火墙防火墙因特网因特网包过滤器包过滤器内部网内部网284.5 网络信息安全入侵检测入侵检测n入侵检测(入侵检测(Intrusion Detection)是主动保护系统)是主动保护系统免受攻击的一种网络安全技术免受攻击的一种网络安全技术
27、n原理:通过在网络若干关键点上监听和收集信息并原理:通过在网络若干关键点上监听和收集信息并对其进行分析,从中发现问题,及时进行报警、阻对其进行分析,从中发现问题,及时进行报警、阻断和审计跟踪断和审计跟踪n入侵检测是防火墙的有效补充:入侵检测是防火墙的有效补充:n可检测来自内部的攻击和越权访问,防火墙只能防外可检测来自内部的攻击和越权访问,防火墙只能防外n入侵检测可以有效防范利用防火墙开放的服务进行入入侵检测可以有效防范利用防火墙开放的服务进行入侵侵294.5 网络信息安全4.5.6 计算机病毒防范计算机病毒防范304.5 网络信息安全什么是计算机病毒什么是计算机病毒?n计计算算机机病病毒毒是是
28、有有人人蓄蓄意意编编制制的的一一种种具具有有自自我我复复制制能能力力的的、寄生性的、破坏性的寄生性的、破坏性的计算机程序计算机程序n计计算算机机病病毒毒能能在在计计算算机机中中生生存存,通通过过自自我我复复制制进进行行传传播播,在在一一定定条条件件下下被被激激活活,从从而而给给计计算算机机系系统统造造成成损损害害甚甚至至严严重破坏系统中的软件、硬件和数据资源重破坏系统中的软件、硬件和数据资源n病毒程序的特点病毒程序的特点: :n破坏性破坏性n隐蔽性隐蔽性n传染性和传播性传染性和传播性n潜伏性潜伏性木马病毒能偷偷记录用户的键盘操木马病毒能偷偷记录用户的键盘操作,盗窃用户账号(如游戏账号作,盗窃用
29、户账号(如游戏账号, ,股股票账号票账号, , 网上银行账号)、密码和网上银行账号)、密码和关键数据,甚至使关键数据,甚至使“中马中马”的电脑的电脑被别有用心者所操控,安全和隐私被别有用心者所操控,安全和隐私完全失去保证完全失去保证 314.5 网络信息安全计算机病毒的表现和危害计算机病毒的表现和危害n破坏文件内容,造成磁盘上的数据破坏或丢失破坏文件内容,造成磁盘上的数据破坏或丢失n删删除除系系统统中中一一些些重重要要的的程程序序,使使系系统统无无法法正正常常工工作作,甚至无法启动甚至无法启动n修改或破坏系统中的数据,造成不可弥补的损失修改或破坏系统中的数据,造成不可弥补的损失n盗用用户的账号
30、、口令等机密信息盗用用户的账号、口令等机密信息n在磁盘上产生许多在磁盘上产生许多“坏坏”扇区,减少磁盘可用空间扇区,减少磁盘可用空间n占用计算机内存,造成计算机运行速度降低占用计算机内存,造成计算机运行速度降低n破坏主板破坏主板BIOS芯片中存储的程序或数据芯片中存储的程序或数据n.324.5 网络信息安全杀毒软件的功能与缺陷杀毒软件的功能与缺陷n杀毒软件的功能杀毒软件的功能:n检检测测及及消消除除内内存存、BIOS、文文件件、邮邮件件、U盘盘和和硬硬盘盘中中的病毒的病毒n例如:例如:Norton,瑞星,江民,金山毒霸,瑞星,江民,金山毒霸,卡巴斯基卡巴斯基等等n杀毒软件的缺陷:杀毒软件的缺陷
31、:n开开发发与与更更新新总总是是滞滞后后于于新新病病毒毒的的出出现现,因因此此无无法法确确保保百分之百的安全百分之百的安全n需要不读更新,才能保证其有效性需要不读更新,才能保证其有效性n占用系统资源占用系统资源334.5 网络信息安全预防计算机病毒侵害的措施预防计算机病毒侵害的措施n不使用来历不明的程序和数据不使用来历不明的程序和数据n不轻易打开来历不明的电子邮件,特别是附件不轻易打开来历不明的电子邮件,特别是附件n及时修补操作系统及其捆绑软件的漏洞及时修补操作系统及其捆绑软件的漏洞n确保系统的安装盘和重要的数据盘处于确保系统的安装盘和重要的数据盘处于“写保护写保护”状态状态n在在机机器器上上安安装装杀杀毒毒软软件件(包包括括病病毒毒防防火火墙墙软软件件),使使启启动动程程序序运运行行、接接收收邮邮件件和和下下载载Web文文档档时时自自动动检检测测与与拦拦截截病病毒等。毒等。n经常和及时地做好系统及关键数据的备份工作经常和及时地做好系统及关键数据的备份工作