密码编码学与网络安全（第五版） 向金海 01-概论.ppt

信息保障与安全 主讲 郭曦华中农业大学 E mail xguo 2020 2 8 华中农业大学信息学院 2 2020 2 8 2 教材和参考书 教材 WilliamStallings Cryptographyandnetworksecurity principlesandpractice 5rdEdition密码编码学与网络安全 原理与实践 第五版 电子工业出版社 2012 01 2020 2 8 华中农业大学信息学院 3 2020 2 8 3 教材和参考书 参考教材 马建峰 计算机系统安全 第二版 西安电子科技大学出版社 2007 卢开澄 计算机密码学 计算机网络中的数据保密与安全 第3版 清华大学出版社 2003 BruceSchneier AppliedCryptography Protocols algorithms andsourcecodeinC 2ndEdition 1996 中译本 应用密码学 协议 算法与C源程序 机械工业出版社 2000 1 闵嗣鹤 初等数论 高等教育出版社 2003 2020 2 8 华中农业大学信息学院 4 学习目标 理解信息安全的基本原理和技术 了解一些最新研究成果 掌握网络与信息安全的理论基础 具备研究与实践的基本能力 2020 2 8 华中农业大学信息学院 5 主要安全内容 密码学计算机安全网络安全Internet安全 2020 2 8 华中农业大学信息学院 6 课程内容 第一部分对称密码对称密码 古典算法和现代算法 DES和AES第二部分公钥密码公钥密码 RSA和ECC 公钥密码的应用第三部分网络安全密码算法和安全协议的应用 用户认证 电子邮件 IP安全和Web安全第四部分系统安全系统安全措施 入侵 病毒 蠕虫和防火墙技术 2020 2 8 华中农业大学信息学院 7 考核方式 方式 课堂讲授课外阅读考试 闭卷考试 2020 2 8 华中农业大学信息学院 8 引言 2020 2 8 华中农业大学信息学院 9 三个关键概念 计算机安全 ComputerSecurity 对于一个自动化的信息系统 采取保护措施确保信息系统资源 包括硬件 软件 固件 信息 数据和通信 的保密性 完整性 可用性 NIST 计算机安全手册 网络安全 NetworkSecurity 保护数据在传输中安全的方法互联网安全 InternetSecurity 保护数据安全通过互联网络的方法 2020 2 8 华中农业大学信息学院 10 网络安全核心需求 网络安全核心地位的三个关键目标保密性 Confidentiality 数据保密性隐私性完整性 Integrity 数据完整性系统完整性可用性 Availability 可认证性 Authenticity 可审计性 Accountability 2020 2 8 华中农业大学信息学院 11 网络安全现状 Internet一方面成为人们离不开的信息工具 同时也成为公开的攻击对象目标 网络的全球性 开放性 无缝连通性 共享性 动态性 使任何人都可以自由地接入Internet 其中有善者 也有恶者 恶意者时刻在试图穿透别人的系统 捣毁别人的信箱 散布破坏性信息 倾泻信息拉圾 2020 2 8 华中农业大学信息学院 12 Email Web ISP门户网站 复杂程度 时间 Internet变得越来越重要 2020 2 8 华中农业大学信息学院 13 网络安全问题日益突出 2020 2 8 华中农业大学信息学院 14 CERT有关安全事件的统计计算机紧急响应组织 CERT 2020 2 8 15 2020 2 8 华中农业大学信息学院 16 2011年网络安全事件 2011年末 中国公众经历了一次大规模个人信息泄露事件的洗礼 几乎人人自危 CSDN 天涯等众多互联网公司的账户密码信息被公开下载 12月4日伊朗捕获了一架美国RQ 170 哨兵 无人机 4月 索尼迄今为止遭遇到的规模最大的黑客攻击 3月 RSA被网络钓鱼 美国花旗银行6月8日证实 该银行系统日前被黑客侵入 21万北美地区银行卡用户的姓名 账户 电子邮箱等信息或遭泄露 2020 2 8 华中农业大学信息学院 17 谁在攻击网络 通过何种手段攻击网络 2020 2 8 华中农业大学信息学院 18 WhoisAttackingSystems 2020 2 8 华中农业大学信息学院 19 网络中存在的安全威胁 系统穿透 Systempenetration 违反授权原则 Autherizationviolation 植入 Planting 通信监视 Communicutionsmonitoring 通信窜扰 Communicationstampering 中断 Interruption 拒绝服务 Denialofservice 否认 Repudiation 病毒 2020 2 8 华中农业大学信息学院 20 OSI安全框架 ITU TX 800 SecurityArchitectureforOSI 即OSI安全框架 提供了一个定义和提供安全需求的系统化方法 提供了一个有用的学习研究的概貌 ITU 国际电信联盟OSI 开放式系统互联 2020 2 8 华中农业大学信息学院 21 OSI安全框架 安全攻击 securityattack任何危及系统信息安全的活动 安全服务 securityservice加强数据处理系统和信息传输的安全性的一种服务 目的在于利用一种或多种安全机制阻止安全攻击 安全机制 securitymechanism用来保护系统免受侦听 阻止安全攻击及恢复系统的机制 2020 2 8 华中农业大学信息学院 22 安全攻击 攻击 威胁 攻击的类型被动攻击主动攻击 2020 2 8 华中农业大学信息学院 23 被动攻击 1 2020 2 8 华中农业大学信息学院 24 被动攻击 2 是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者 但不对数据信息做任何修改 常见手段 搭线监听 无线截获 其他截获 不易被发现 重点在于预防 如使用虚拟专用网 VPN 采用加密技术保护网络以及使用加保护的分布式网络等 2020 2 8 华中农业大学信息学院 25 主动攻击 1 2020 2 8 华中农业大学信息学院 26 主动攻击 2 涉及某些数据流的篡改或虚假流的产生 通常分为 假冒 重放 篡改消息 拒绝服务 能够检测出来 不易有效防止 具体措施包括自动审计 入侵检测和完整性恢复等 2020 2 8 华中农业大学信息学院 27 安全机制 要具备检测 防御或从安全攻击中恢复的能力没有单一的机制能够提供所有的安全服务一个机制往往构成其它安全机制的基础 如 加密技术 2020 2 8 华中农业大学信息学院 28 安全机制 X 800 特定的安全机制 specificsecuritymechanisms 加密 数字签名 访问控制 数据完整性 认证交换 流量填充 路由控制 公证等普遍的安全机制 pervasivesecuritymechanisms 可信功能 安全标签 事件检测 安全审计跟踪 安全恢复等 2020 2 8 华中农业大学信息学院 29 安全服务 强化一个组织的数据处理系统和信息传输中的安全性对安全攻击的反击采用一个或更多的安全机制对文档进行安全地分发例如签名 对信息进行保护以免披露 损害或毁坏 2020 2 8 华中农业大学信息学院 30 安全服务 X 800 为系统协议层提供的服务 用来保证系统或数据的传输有足够的安全性 RFC2828 一种由系统提供的对系统资源进行特殊保护的处理或通信服务 安全服务通过安全机制来实现安全策略 2020 2 8 华中农业大学信息学院 31 安全服务 X 800 可认证性 assurancethatthecommunicatingentityistheoneclaimed访问控制 preventionoftheunauthorizeduseofaresource机密性Confidentiality protectionofdatafromunauthorizeddisclosure完整性Integrity assurancethatdatareceivedisassentbyanauthorizedentity不可否认性Non repudiation protectionagainstdenialbyoneofthepartiesinacommunication可用性 availability 2020 2 8 华中农业大学信息学院 32 安全服务与机制间的关系 表1 6 2020 2 8 华中农业大学信息学院 33 网络安全模型 2020 2 8 华中农业大学信息学院 34 网络安全模型 设计安全服务应包含四个方面内容 设计执行安全相关传输的算法产生算法所使用的秘密信息设计分配和共享秘密信息的方法指明通信双方使用的协议 该协议利用安全算法和秘密信息实现安全服务 2020 2 8 华中农业大学信息学院 35 网络访问安全模型 2020 2 8 华中农业大学信息学院 36 网络访问安全模型 需要做到 选择合适的门卫功能以识别用户实现安全控制以确保只有授权用户才可以访问被指定的信息或资源可信计算机系统 2020 2 8 华中农业大学信息学院 37 国外网络安全标准 1 美国国防部TCSEC可信计算机系统标准评估准则 桔皮书 该标准是美国国防部制定80年代的 它将安全分为4个方面 安全政策 可说明性 安全保障和文档 在美国国防部虹系列 RainbowSeries 标准中有详细的描述 该标准将以上4个方面分为7个安全级别 从低到高依次为D C1 C2 B1 B2 B3和A1级 A1级 验证设计级 B3级 安全域级B2级 结构化保护级B1级 标记安全保护级完全可信网络安全 B1 B2 B3 C2级 受控存取保护级 C1级 自主安全保护剂D级 不可信网络安全 问题 以保密和单点机为主 2020 2 8 华中农业大学信息学院 38 国外网络安全标准 2 欧洲ITSEC与TCSEC不同 它并不把保密措施直接与计算机功能相联系 而是只叙述技术安全的要求 把保密作为安全增强功能 另外 TCSEC把保密作为安全的重点 而ITSEC则把完整性 可用性与保密性作为同等重要的因素 ITSEC定义了从E0级 不满足品质 到E6级 形式化验证 的7个安全等级 对于每个系统 安全功能可分别定义 ITSEC预定义了10种功能 其中前5种与桔皮书中的C1 B3级非常相似 2020 2 8 华中农业大学信息学院 39 国外网络安全标准 3 加拿大CTCPEC该标准将安全需求分为4个层次 机密性 完整性 可靠性和可说明性 对产品和评估过程强调功能和保证 分为7个保证级 通常称为EAL 1到EAL 7 美国联邦准则 FC 该标准参照了CTCPEC及TCSEC 其目的是提供TCSEC的升级版本 同时保护已有投资 但FC有很多缺陷 是一个过渡标准 后来结合ITSEC发展为联合公共准则CC 2020 2 8 华中农业大学信息学院 40 国外网络安全标准 4 信息技术安全评价通用准则 CC CC的目的是想把已有的安全准则结合成一个统一的标准 该计划从1993年开始执行 1996年推出第一版 CC结合了FC及ITSEC的主要特征 它强调将安全的功能与保障 安全功能的可信度 分离 并将功能需求分为11类63族 将保障分为7类29族 99 7通过国际标准化组织认可 为ISO IEC15408信息技术安全评估准则 2020 2 8 华中农业大学信息学院 41 国外网络安全标准 5 ISO安全体系结构标准在安全体系结构方面 ISO制定了国际标准ISO7498 2 1989 信息处理系统开放系统互连基本参考模型第2部分安全体系结构 该标准为开放系统互连 OSI 描述了基本参考模型 为协调开发现有的与未来的系统互连标准建立起了一个框架 其任务是提供安全服务与有关机制的一般描述 确定在参考模型内部可以提供这些服务与机制的位置 2020 2 8 华中农业大学信息学院 42 国外网络安全标准 6 信息保障技术框架 IATF 安全观点的演变 2020 2 8 华中农业大学信息学院 43 国外网络安全标准 7 信息保障技术框架 IATF 企图解决什么问题怎样定义信息保护需求和解决方案 现有的何种技术能够满足我的保护需求 什么样的机构资源能够帮助找到所需的保护 当前有哪