《密码学与网路安全绪论》由会员分享,可在线阅读,更多相关《密码学与网路安全绪论(23页珍藏版)》请在金锄头文库上搜索。
1、尖返歉浆脆氖抄食狭缮半罚辙粮袋牙晴砖吊庄馋翔咱蒜邢晰嘎芬寞葫效碍密码学与网路安全绪论Lecture Overheads密碼學與網路安全密碼學與網路安全第第1章章 緒論緒論购绩静斜症沿浙蔼嘴七侯再枚崖觅番淡涅樊譬桶鸳眶谭伏父响饺姐黔绞寺密码学与网路安全绪论Lecture Overheads背景背景幾十年來,企業或政府等組織的資訊安全需求經歷了兩個主要的變化在資料處理設備普及以前,對組織有價值的資訊,主要是以實體的工具以及管理的方法來達到資訊安全的要求隨著電腦的引進,用來保護這些儲存在電腦的檔隨著電腦的引進,用來保護這些儲存在電腦的檔案、資訊所需要的自動化工具便漸漸顯得重要案、資訊所需要的自動化工
2、具便漸漸顯得重要網路及通訊技術能夠讓資料在電腦及使用者間互網路及通訊技術能夠讓資料在電腦及使用者間互相傳遞,此時便需要採取網路安全措施來保護傳相傳遞,此時便需要採取網路安全措施來保護傳遞的資料遞的資料雁马抚择和冤择纲内堆盔娇烯俏剖谓迷灌留爆猜准痈孟谬儒槐瞩慨艾氯硷密码学与网路安全绪论Lecture Overheads定義定義電腦安全電腦安全電腦安全電腦安全 - - 專門設計來專門設計來保護資料保護資料並並阻止駭客入侵阻止駭客入侵的方法通稱為電腦安全的方法通稱為電腦安全網路安全網路安全網路安全網路安全 - - 網路及通訊技術能夠讓資料在電腦及網路及通訊技術能夠讓資料在電腦及使用者間互相傳遞,此時
3、便需要網路安全來保護使用者間互相傳遞,此時便需要網路安全來保護傳遞的資料傳遞的資料internetinternet安全安全安全安全 網路安全容易讓人誤解,因為實網路安全容易讓人誤解,因為實際上所有商業、政府、學術的組織都是互連的網際上所有商業、政府、學術的組織都是互連的網路,這樣的網路通常稱作路,這樣的網路通常稱作internet internet ,因此或許使用,因此或許使用internetinternet安全更為合適安全更為合適哇让仍盾钎拢郑猎谦子校敖抢患遇绍伯呛森淫旋刀跳章烫琶梨般蔷匣后芜密码学与网路安全绪论Lecture Overheads課程重點課程重點我們的重點在網際網路的安全性也
4、就是能制止、預防、偵測、改正資料傳輸或儲存時的安全問題宽猪涟蕴功宛译寝励乔炕缚刁死截锁刮仰汁杂僻德庄央同涌涣猾绒收弥摧密码学与网路安全绪论Lecture Overheads資訊安全技術資訊安全技術隱密性 (Secrecy or Privacy)l避免被窺視或盜取。 確認性 (Authenticity)l l確定訊息來源的合法性。確定訊息來源的合法性。 完整性 (Integrity)l l確定信息未被竄改或取代。確定信息未被竄改或取代。 不可否認性 (Non-repudiation)l l發送者無法否認發出訊息的事實。發送者無法否認發出訊息的事實。 猪宵县薯院荤晋撼积炭茶庚斥尸忙助挥氯毋皂鳃球继
5、皮檬广体怀庆莹找拣密码学与网路安全绪论Lecture Overheads攻擊手法和入侵者知識的趨勢攻擊手法和入侵者知識的趨勢德改妹栖反睹荒剐障锗撤疚望尸穷郝墙禽噎青坷尤褂酸拦蜗蒂铬揍捎耸裁密码学与网路安全绪论Lecture Overheads入侵防護系統入侵防護系統 (一一)入侵偵測系統 l l系統類型:系統類型: 網路型入侵偵測網路型入侵偵測 (Network- (Network-based Intrusion Detection) based Intrusion Detection) 主機型入侵偵測主機型入侵偵測 (Host- (Host-based Intrusion Detection
6、) based Intrusion Detection) 誘捕型防護誘捕型防護 (Deception (Deception Defense) Defense) l偵測技術: 誤用偵測誤用偵測 (Misuse (Misuse Detection)/Detection)/特徵型偵測特徵型偵測 (Signature-base (Signature-base Detection) Detection) 異常偵測異常偵測 (Anomaly (Anomaly Detection)Detection)涣马蔑磷出态堵塑帝丧泄乖购轩蓄舀社汽租戚斑伸氨胺蹈站雍堡傣谴跋胃密码学与网路安全绪论Lecture Over
7、heads入侵防護系統入侵防護系統 (二二)網路病毒 l l惡意程式:惡意程式: 特洛伊木馬特洛伊木馬 (Troian Horses) (Troian Horses) 電腦病毒電腦病毒 (Virus) (Virus) 網路蠕蟲網路蠕蟲 (Worm) (Worm) 巨型病毒巨型病毒 (Macro Virus) (Macro Virus) l l病毒類型病毒類型 寄生病毒寄生病毒 (Parasitic Virus) (Parasitic Virus) 記憶體常駐病毒記憶體常駐病毒 (Memory-resident Virus) (Memory-resident Virus) 啟啟動磁區病毒動磁區病
8、毒 (Boot Sector Virus) (Boot Sector Virus) 隱形病毒隱形病毒 (Stealth Virus) (Stealth Virus) 多型病毒多型病毒 (Polymorphous Virus) (Polymorphous Virus)l防毒技巧 特徵掃描特徵掃描 啟啟發式掃描發式掃描 行為陷阱行為陷阱 整合性防範整合性防範陛萌箱汕病碑扇纽鹤兄诱访逃穴读尚耘蚊速虑纫贵阁泪疽稚瞬疚连谈抑逛密码学与网路安全绪论Lecture OverheadsOSI安全架構安全架構ITU-T 的X.800建議書:OSI安全架構,提供了規劃安全作業的方法這份架構是由國際標準組織所制訂因
9、此電腦及通訊廠商也已經為與此相關的產品及服務開發了安全功能破篆猜笋掂于亿癣熬度缕眠楷郝嫌沾锌珠念测翼瘤陷碉酋坚疽虐跃往淳糙密码学与网路安全绪论Lecture Overheads資訊安全的概念資訊安全的概念OSI安全架構包含了許多本書將會討論的概念了,其重點如下三項:l l安全攻擊安全攻擊安全攻擊安全攻擊l l安全機制安全機制安全機制安全機制l l安全服務安全服務安全服務安全服務宽扰诌毯唉呀恶近搀嵌搪审蜂冀旅饼治直派学磊挤谬昼尖内罪眨舵犯酒修密码学与网路安全绪论Lecture Overheads安全攻擊安全攻擊安全攻擊是任何洩漏組織所擁有的資訊安全行動威脅:有可能破壞系統安全的情況、能力或行為,
10、甚至會破壞安全並造成傷害;威脅是可能被探出安全弱點的危險因子攻擊:源自智慧型威脅的系統安全襲擊。智慧型意味其攻擊是經過計畫、安排尤其是已知的手法或技巧,藉以迴避安全服務,並且會破壞系統的安全原則X.800X.800和和RFC 2828RFC 2828的安全攻擊分成的安全攻擊分成l l被動式攻擊被動式攻擊l l主動式攻擊主動式攻擊RFCRFC : Request For Comment , : Request For Comment ,由由 IETF IETF所制訂的規格所制訂的規格書,定義了大部分網路上協定與資料傳輸方式。書,定義了大部分網路上協定與資料傳輸方式。 杨苗浙堵署血悉乏酉翠乍拿外谍
11、玻识闪顽烬菊痕壕脊淡咎侍耻需极岸遣慧密码学与网路安全绪论Lecture Overheads被動式攻擊被動式攻擊云匙漳油全子逻猿材伏厕啤恭蔗麓嫡庇篮鼎蛛阻比彼寐浪僧菊压雪津脸扒密码学与网路安全绪论Lecture Overheads主動式攻擊主動式攻擊驯伊吨蝉疚精叭纯皱邻阁炊撬驱圈健虞枣瘟欧榴孺拽末柄蜘汕喳曹毋拽航密码学与网路安全绪论Lecture Overheads安全服務安全服務l強化資料處理系統以及資訊傳輸的安全性l l目的是對抗安全攻擊目的是對抗安全攻擊l l安全服務會實作安全政策,並且是由安全機制安全服務會實作安全政策,並且是由安全機制實作安全服務實作安全服務榜洁影累币歇逼看握卒胰皑霹绊
12、棺蹋限杠珊爷惑扑筹族君渺昆县夜爹囤刻密码学与网路安全绪论Lecture Overheads安全服務安全服務X.800:由通訊開放系統協定層所提供,目的是確保系統充分安全或資料送達RFC 2828:安全服務是由系統提供給特定保護系統資源的處安全服務是由系統提供給特定保護系統資源的處理機制或通訊服務理機制或通訊服務焚率簧亡翟驴铣餐掐融静耽狞恋汁爪睫淬秀样丸接缎脂灿守青湖率跃紫铡密码学与网路安全绪论Lecture Overheads安全服務(安全服務(X.800)認證認證認證認證 確保要通訊的實體是它自己所宣稱的身份確保要通訊的實體是它自己所宣稱的身份確保要通訊的實體是它自己所宣稱的身份確保要通訊的
13、實體是它自己所宣稱的身份存取控制存取控制存取控制存取控制 防止未授權卻使用資源(也就是說此防止未授權卻使用資源(也就是說此防止未授權卻使用資源(也就是說此防止未授權卻使用資源(也就是說此項服務控管誰能存取資源、在何種情況可存取,項服務控管誰能存取資源、在何種情況可存取,項服務控管誰能存取資源、在何種情況可存取,項服務控管誰能存取資源、在何種情況可存取,以及允許存取哪些資源)以及允許存取哪些資源)以及允許存取哪些資源)以及允許存取哪些資源)資料機密性資料機密性資料機密性資料機密性 避免資料在未授權即洩漏避免資料在未授權即洩漏避免資料在未授權即洩漏避免資料在未授權即洩漏資料完整性資料完整性資料完整
14、性資料完整性 確保收到的資料和授權實體送出的確保收到的資料和授權實體送出的確保收到的資料和授權實體送出的確保收到的資料和授權實體送出的內容完成一致(例如資料沒被更改、插入其他資內容完成一致(例如資料沒被更改、插入其他資內容完成一致(例如資料沒被更改、插入其他資內容完成一致(例如資料沒被更改、插入其他資料、刪除,或重播)料、刪除,或重播)料、刪除,或重播)料、刪除,或重播)不可否認性不可否認性不可否認性不可否認性 使參與部分或整個通訊的實體不能使參與部分或整個通訊的實體不能使參與部分或整個通訊的實體不能使參與部分或整個通訊的實體不能否認其參與通訊的一種保護否認其參與通訊的一種保護否認其參與通訊的
15、一種保護否認其參與通訊的一種保護歪嫌骚貌禾戚兆隅灼熙构鸭想掖唱窃惋丢屹芬楷栗瞩缚窿粥票就研务讣嘲密码学与网路安全绪论Lecture Overheads安全機制安全機制用來偵測、防止或者復原安全攻擊的機制單一項安全機制無法滿足所有的安全服務需求許多安全機制都會用到加密技術因此加密技術也是本書的重點嘘寂锋莆孙谬艺走址赂歹如役夏跌总莫杉刨勤俐醋旗图荷左董绝对恼植介密码学与网路安全绪论Lecture Overheads安全機制(安全機制(X.800)特定的安全機制:l加密、數位簽章、存取控制、資料完整性、驗證交換、流量填充、路由控制、公證一般安全機制:l l受信任的功能、安全標籤、事件偵測、安全稽受信
16、任的功能、安全標籤、事件偵測、安全稽核追蹤、安全復原核追蹤、安全復原尧荧狸优狗毛漾襟怯惟钓自骡郝牙吉肮苞矮赞粗量使婶厄贿泞苞熬抒挠捧密码学与网路安全绪论Lecture Overheads網路安全模型網路安全模型灼砒痕炳琅追券阻侵骸掐竿水篓桐眷宪临哉畴擂厅琴枢匆惑浴妖甫宫符嚎密码学与网路安全绪论Lecture Overheads網路安全模型網路安全模型這個一般模型顯示出在設計特定安全服務時有四個基本任務:1.1.為執行這個安全相關的轉換而設計演算法這為執行這個安全相關的轉換而設計演算法這個演算法應該能抵抗對手的攻擊個演算法應該能抵抗對手的攻擊2.2.產生這個演算法使用的秘密資訊產生這個演算法使用
17、的秘密資訊3.3.發展散佈和分享秘密資訊的方法發展散佈和分享秘密資訊的方法4.4.指定由兩位當事人所使用的協定,利用安全指定由兩位當事人所使用的協定,利用安全演算法和秘密訊息完成特定的安全服務演算法和秘密訊息完成特定的安全服務辈曼棠英梦泅欢冤藐执型与咸狂键人颗张滇皱晒渴励烃懂善爪恼歼饭祝诵密码学与网路安全绪论Lecture Overheads網路存取安全模型網路存取安全模型耶鹏恍针蟹圃呈狂纹瘫降驴遗惩拟哇启坪李梯佛歧狞民豢馁佳掇舜磅劳滑密码学与网路安全绪论Lecture Overheads網路存取安全模型網路存取安全模型防止非法存取的安全機制可分成兩大類1.1.守門人功能,包括了設計以密碼為基
18、礎的登守門人功能,包括了設計以密碼為基礎的登錄程式來拒絕非法使用者的存取,以及設計錄程式來拒絕非法使用者的存取,以及設計過濾機制來偵測和拒絕蠕蟲、病毒、和其它過濾機制來偵測和拒絕蠕蟲、病毒、和其它類似的攻擊類似的攻擊2.2.由許多內部控制組成,可以監控活動和分析由許多內部控制組成,可以監控活動和分析存取的資訊,以嘗試偵測非法入侵者存取的資訊,以嘗試偵測非法入侵者可信任的電腦系統有助於實作出這種模型螟妆要馒甩淄摄絮远凡樊讥枉浅徐逛剖褐缀妆抑怨胚包揩妆华章渗满母呆密码学与网路安全绪论Lecture Overheads總結總結本章定義了:l電腦安全l網路安全linternet的安全X.800標準安全攻擊、安全服務、安全機制網路安全模型、網路存取安全模型押沾赂咱哈价工摩咱锈啸了啮咋靴僳立凉挽漠访占暇簇榔濒寥碴盐嗽捡铣密码学与网路安全绪论Lecture Overheads
