第4章45网络信息安全

4.5 网络信息安全4.6.1 概述4.6.2 数据加密4.6.3 数字签名4.6.4 身份鉴别与访问控制4.6.5 防火墙与入侵检测4.6.6 计算机病毒防范 2 4.5 网络信息安全4.5.1 概述3 4.5 网络信息安全信息传输 (存储 )中受到的安全威胁传输中断s d伪造s d篡改s d窃听s d通信线路切断、文件系统瘫痪等 ,影响数据的 可用性 文件或程序被非法拷贝 ,将危及数据的 机密性 破坏数据的 完整性 失去了数据（包括用户身份）的 真实性 4 4.5 网络信息安全确保信息安全的技术措施（ 1） 真实性鉴别 ：对通信双方的身份和所传送信息的真伪能准确地进行鉴别（ 2） 访问控制 ：控制用户对信息等资源的访问权限，防止未经授权使用资源 （ 3） 数据加密 ：保护数据秘密，未经授权其内容不会显露（ 4） 保证数据完整性 ：保护数据不被非法修改，使数据在传送前、后保持完全相同（ 5） 保证数据可用性 ：保护数据在任何情况（包括系统故障）下不会丢失（ 6） 防止否认 ：防止接收方或发送方抵赖（ 7） 审计管理 ：监督用户活动、记录用户操作等5 4.5 网络信息安全4.5.2 数据加密6 4.5 网络信息安全数据加密的基本概念加密前的原始数据加密后的数据只有收 /发方知道的用于加密和解密的信息密码 (cipher):将明文与密文进行相互转换的算法解密后恢复的数据n 目的：即使被窃取，也能保证数据安全n 重要性：数据加密是其他信息安全措施的基础n 基本概念：7 4.5 网络信息安全加密算法 的基本思想n 改变明文中符号的排列方式，或按照某种规律置换明文中的符号，使得只有通过数据解密才能读懂接收到的信息n 例 (恺撒密码 )将文本中每个英文字母替换为字母表中排列在其 后 的第 k1个字母meet me after the classphhw ph diwhu wkh fodvv将文本中每个英文字母替换为字母表中排列在其 前 的第 k2个字母meet me after the classk1=3 K2=3E = (M + k1) mod (26) M = (E - k2) mod (26) （其中， M表示明文中小写英文字母从 0 25的序号， E表示密文中字母的序号） 8 4.5 网络信息安全对称密钥加密 方法特点：n 加密的密钥也用于解密n 密钥越长，安全性越好n 计算量适中，速度快，适用于对大数据量消息加密n 随着计算能力提高，加密技术的安全性也随之降低n 任何加密技术的能力都是相对的明文 明文密文加密 解密密钥 K1 密钥 K2（数据传输）密钥 K1=K2n 计算安全性 (Computationally)n 破解的代价超过了消息本身的价值n 破解的时间超过了消息本身的有效期n 对称密钥加密方法的标准n 56位密钥的 DES算法： 共有 256 7.2 1016种可能 ， 1998年使用穷举法仅花费了 22小时 15分钟就攻破 DESn 现在广泛使用 AES(高级加密标准 )，其密钥长度为： 128、 192 或 256位9 4.5 网络信息安全非对称密钥加密 方法 公钥加密使用乙的公钥加密甲 乙密 文乙丙丁戊使用乙的私钥解密加密器 解密器明文 明文甲的公钥环使用一对不相同的密钥： 私钥只有本人知道，公钥可让其他用户知道甲方使用乙的公钥进行加密乙方利用自己的私钥解密攻击者不可能使用公钥来恢复明文，也很难利用公钥来推断私钥n 乙用私钥加密的消息，甲也只有用乙的公钥才能解密 10 4.5 网络信息安全选讲：公钥加密举例（ RSA算法）n 产生密钥对：n 选择两个素数 p和q, 且 pqn 计算： n = pq, z = (p-1)(q-1)n 选择一个比 z小的整数 e, 使得 e和 z互质n 计算 d，使得 ed-1能被 z整除n 于是公钥为： e,n 私钥为： d,nn 使用：n 加密 : C = Me mod nn 解密 : M = Cd mod nn 选择 : p=5, q=7n 计算： n = 35, z = 24n 选择 : e = 5 , 5和 24互质n 选择： d = 29, ( 因为 (5x29-1)/24=0 )n 于是公钥为： 5, 35 私钥为： 29, 35n 使用举例：设明文中的字母为 L，即 M=12n 加密 : C = 125 mod 35 = 17n 解密 : M = 1729 mod 35 = 12z称为 n的 Euler数由于 n = pq是公开的，所以，为了防止攻击者利用 n推算出 p和 q， 必须选择足够大的素数 p和 q，从而使 n达到 1024位以上n为 6 bits11 4.5 网络信息安全4.5.3 数字签名用于认证消息的真实性12 4.5 网络信息安全数字签名的意义n 在网络通信中，经常发生：n 伪造消息 窜改消息内容n 消息认证 ：在电子商务和电子政务中必须对收到的消息进行认证，证实它来自声称的发送方，且未被修改过（认证 消息的 真实性 和消息的 完整性 ）n 解决方案： 数字签名n 数字签名是什么？n 数字签名是与消息一起发送的 一串代码 ，它无法伪造，并能发现消息内容的任何变化n 传统签名的特点 :n 与被签文件在物理上不可分割n 签名者不能否认自己的签名n 签名不能被伪造n 容易被验证n 数字签名也要做到 :n 能与所签文件 “绑定 ”n 签名者不能否认自己的签名n 签名不能被伪造n 容易被验证13 4.5 网络信息安全数字签名的处理过程hashing摘要消息正文私钥加密 数字签名 添加至正文附有数字签名的消息数字签名 传送对原始消息的正文进行散列处理 生成消息的摘要使用消息发送人的私钥对摘要进行加密而得到数字签名接收方使用发送方的公钥对数字签名解密恢复出消息摘要对收到的原始消息正文进行散列处理得到一个新的摘要对比附有数字签名的消息数字签名网络传送给接收方将数字签名添加到原始消息数字签名正确消息未被篡改14 4.5 网络信息安全数字签名中的双重加密用接收方的公钥对已添加了数字签名的消息再进行加密用接收方的私钥对接收的消息解密并取出数字签名用发送方的私钥加密信息摘要，得到数字签名用发送方的公钥解密数字签名，得到信息摘要15 4.5 网络信息安全4.5.4 身份鉴别与访问控制16 4.5 网络信息安全身份鉴别 (认证 )n 身份鉴别的含义 :n 证实某人的真实身份是否与其所声称的身份相符,以防止欺诈和假冒n 什么时候进行 ?n 在用户登录某个系统，或者在访问 /传送重要消息时进行n 身份鉴别的依据 (方法 ):n 鉴别对象本人才知道的信息 (如 口令 、私钥、身份证号等 )n 鉴别对象本人才具有的信物 (例如磁卡、 IC卡、USB钥匙等 )n 鉴别对象本人才具有的生理特征 (例如指纹、手纹等 )通常在注册时记录在案口令（密码）容易扩散，或者容易被盗。例如：趁着操作者输入密码时，在其后偷窥；或者在电脑中放入木马程序，记录操作者输入的数据；再有可以拦截传输的数据，进行分析查找到密码 17 4.5 网络信息安全双因素认证n 认证依据：（用户名、口令）（ IC卡、 USB key）n 举例：网银身份认证过程 （ 1 用户预先申请开通网银，经审核后发给 USB key； 2 采用密钥加密技术，密钥存在于 USB key中，并作为一种特殊的文件存在（ KEY文件），文件无法打开）2 用户输入用户名和口令3 若用户名和口令无误，则生成 1个随机的字符串 X，对 X进行散列变换后，使用该用户的密钥加密得到 Rh密钥客户机 4 将字符串 X 发送给客户机5 将收到的字符串 X进行散列变换，然后加密得到 Rc，发回给服务器6 若 Rc Rh，通过身份认证1 插入专用的 USB key,请求登录 身份认证 服务器分析：身份鉴别通过加密算法来实现，很难破解；而随机串 X在每次登录认证过程中均不相同，即使黑客截获到该数据，它仍无法进行仿冒18 4.5 网络信息安全什么是访问控制 ?n 访问控制的含义 :n 计算机对系统内的每个信息资源规定各个用户(组 )对它的操作权限（是否可读、是否可写、是否可修改等）n 访问控制是在身份鉴别的基础上进行的n 访问控制的任务 :n 对所有信息资源进行集中管理n 对信息资源的控制没有二义性（各种规定互不冲突）n 有审计功能（记录所有访问活动 ,事后可以核查）19 4.5 网络信息安全文件的访问控制举例用 户 功 能读 写 编 辑 删 除 转 发 打 印 复 制董事 长 总经 理 副 总经 理 部 门经 理 科 长 组 长 20 4.5 网络信息安全4.5.5 防火墙与入侵检测21 4.5 网络信息安全网络会遭受多种攻击网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马 黑客攻击 计算机病毒后门、隐蔽通道蠕虫22 4.5 网络信息安全因特网 防火墙n 什么是因特网防火墙 (Internet firewall)?n 用于将因特网的子网（最小子网是 1台计算机）与因特网的其余部分相隔离 , 以维护网络信息安全的一种软件或硬件设备 n 防火墙的原理 :n 防火墙对流经它的信息进行扫描，确保进入子网和流出子网的信息的合法性，它还能过滤掉黑客的攻击，关闭不使用的端口，禁止特定端口流出信息 , 等等 防火墙因特网包过滤器内部网23 4.5 网络信息安全入侵检测n 入侵检测（ Intrusion Detection）是主动保护系统免受攻击的一种网络安全技术n 原理：通过在网络若干关键点上监听和收集信息并对其进行分析，从中发现问题，及时进行报警、阻断和审计跟踪n 入侵检测是防火墙的有效补充：n 可检测来自内部的攻击和越权访问，防火墙只能防外n 入侵检测可以有效防范利用防火墙开放的服务进行入侵24 4.5 网络信息安全4.5.6 计算机病毒防范25 4.5 网络信息安全什么是计算机病毒 ?n 计算机病毒是有人 蓄意 编制的一种具有自我复制能力的、寄生性的、破坏性的 计算机程序n 计算机病毒能在计算机中生存，通过自我复制进行传播，在一定条件下被激活，从而给计算机系统造成损害甚至严重破坏系统中的软件、硬件和数据资源n 病毒程序的特点 :n 破坏性n 隐蔽性n 传染性和传播性n 潜伏性木马病毒能偷偷记录用户的键盘操作，盗窃用户账号（如游戏账号 ,股票账号 ,甚至网上银行账号）、密码和关键数据，甚至使 “ 中马 ” 的电脑被别有用心者所操控，安全和隐私完全失去保证 26 4.5 网络信息安全计算机病毒的表现和危害n 破坏文件内容，造成磁盘上的数据破坏或丢失n 删除系统中一些重要的程序，使系统无法正常工作，甚至无法启动n 修改或破坏系统中的数据，造成不可弥补的损失n 盗用用户的账号、口令等机密信息n 在磁盘上产生许多 “坏 ”扇区，减少磁盘可用空间n 占用计算机内存，造成计算机运行速度降低n 破坏主板 BIOS芯片中存储的程序或数据n.27 4.5 网络信息安全杀毒软件的功能与缺陷n 杀毒软件的功能 :n 检测及消除内存、 BIOS、文件、邮件、 U盘和硬盘中的病毒n 例如： Norton， 瑞星，江民，金山毒霸，卡