安全协议与标准01a-信息安全引言-freezed.ppt

信息安全引言 linfb 目录 信息安全问题 信息安全要素 信息安全模型 从算法到协议 从原理到标准 技术管理并重 从窃听与反窃听开始 窃听和这些方面有关系国家情报公共安全商业机密个人隐私互联网上的窃听 实验环境准备 PCWindows Linux虚拟机软件VMWare VirtualPC VirtualBoxNetworkLAN InternetToolsSniffer ssh X winDEV IDEVisualStudio2003 5 8 Eclipse JDK PDUFormat From To MAC IP OSICTL type length PRI ACK window Data PaddingCHK CRC checksum FromToCTLDataCHK 协议调用关系 ProtocolTree 以太网的安全问题 PacketcaptureEthernetfromHubtoSwitchARP 邮件安全 邮件收发涉及两个协议发送使用SMTP可以不需口令收看使用POP3 通常明文方式传口令Web方式的邮件收发通过HTTP和SMTP假冒e mail 使用Telnet发送假冒邮件 需要一个open relay的SMTP 假冒邮件 效果 Phishing 以窃取帐号 口令为目的步骤设立假冒网站 域名 网页 以及其他欺骗形式通过邮件 病毒 木马等方式诱骗骗取输入反钓鱼Phishinghttp www antiphishing org Windows输入法漏洞 登录窗口被挡在后面了 UnicodeHole Win2kIIS5 beforeanypatch 利用该漏洞的request response Win98的共享目录口令漏洞 Google vredir vxd MS08 067 利用BoF main charpasswd 8 2e4rfe charyourpasswd 8 again puts pleaseinputpasswd gets yourpasswd if strcmp yourpasswd passwd 0 gotook puts passwderror gotoagain exit 2 ok puts correct doworkyouwantreturn0 程序的设计功能 输入正确的口令后做某项工作 否则重复要求输入口令 演示 输入精心计划好的字串打乱设计期望的执行逻辑 从而绕过某些口令 Haha 密码学和版权保护 XPActivationECC序列号 钥匙盘 卡流程控制和加密数字水印 Cracktips if isvalid sn callisvalidE8 abort cmpax 03D0000goon jnzgoon75 callabortE8 goon 改75为74 74 75实例 NetSuper21 fc bNetSuper exeNetSuper破解版 exe正在比较文件NetSuper exe和NETSUPER破解版 EXE00003503 7475000038E8 747500007C12 75740000AF72 74750000AF89 7475NetSuper21 信息安全的层次和方面 物理安全层运行安全层数据安全层信息内容的安全问题被文化 宣传界所关注信息对抗的问题被电子对抗研究领域所关注 CIATriad 机密性 完整性 可用性 Confidentiality Integrity Availability ParkerianHexad 机密性 完整性 可用性可控性 真实性 实用性 Possession Control Authenticity Utility ParkerianHexad C P I Au Av U 信息安全的层次框架体系 信息安全四要素 机密性 Cf 真实性 Au 可控性 Ct 可用性 Av 信息安全层次与属性 网络传输安全模型 主机访问安全模型 密码学 密码算法 对称加密算法 DES AES RC4非对称 公钥 加密算法 RSA ElGamal认证算法 MAC HMAC签名算法 RSA DSA ECDSA散列算法 MD5 SH1 SHA2随机数产生算法数学问题 密码问题IF和DLP 从算法到协议 密钥协商协议 DHetc实体鉴别对称加密和认证消息安全应用层数据传输协议 SSL非否认零知识证明电子货币 电子现金 电子投票安全多方计算 从原理到标准 FIPSRFCPKCSIPSecSSLPGP SMIMERADIUS DiameterKerberosPKI X509 安全标准化组织 ISONISTISOC IETF RFC ISF InformationSecurityForum IBM MS RSA Entrust certicom 信息安全是一个动态过程 微软每年花费60亿在研发上 其中有20亿花在安全上 企业的信息安全问题不可能一劳永逸 它