《网络信息安全》PPT课件

4.5网络信息安全,4.6.1概述4.6.2数据加密4.6.3数字签名4.6.4身份鉴别与访问控制4.6.5防火墙与入侵检测4.6.6计算机病毒防范,4.5.1概述,网络信息安全受到的威胁及对策,2保证数据完整性：所传输的交易信息中途不被篡改，一旦遭到篡改很快就能发现,3真实性鉴别：对交易双方的身份进行认证，保证交易双方的身份正确无误,1数据加密：即使数据在网络传输过程中被他人窃取，也不会泄露秘密,4防止否认：交易完成后，应保证交易的任何一方无法否认已发生的交易,确保信息安全的技术措施,（1）真实性鉴别：对通信双方的身份和所传送信息的真伪能准确地进行鉴别（2）访问控制：控制用户对信息等资源的访问权限，防止未经授权使用资源（3）数据加密：保护数据秘密，未经授权其内容不会显露（4）保证数据完整性：保护数据不被非法修改，使数据在传送前、后保持完全相同（5）保证数据可用性：保护数据在任何情况（包括系统故障）下不会丢失（6）防止否认：防止接收方或发送方抵赖（7）审计管理：监督用户活动、记录用户操作等,4.5.2数据加密,数据加密的基本概念,加密前的原始数据,加密后的数据,只有收/发方知道的用于加密和解密的信息,密码(cipher):将明文与密文进行相互转换的算法,解密后恢复的数据,目的：即使被窃取，也能保证数据安全重要性：数据加密是其他信息安全措施的基础基本概念：,加密算法的基本思想,改变明文中符号的排列，或按照某种规律置换明文中的符号例1移位式helpme变成ehplem例2替代式(恺撒密码)：,phhwphdiwhuwkhfodvv,meetmeaftertheclass,对称密钥加密方法,特点：加密的密钥也用于解密密钥越长，安全性越好计算量适中，速度快，适用于对大数据量消息加密,对称密钥加密方法的标准DES算法（密钥长度56位）：共有2567.21016种可能，1998年使用穷举法仅花费了22小时15分钟就攻破DES现在广泛使用AES(高级加密标准)，其密钥长度为：128、192或256位计算安全性(Computationally)破解的代价超过了消息本身的价值破解的时间超过了消息本身的有效期,非对称密钥加密方法公钥加密,甲方使用乙的公钥进行加密,乙方利用自己的私钥解密,使用公钥无法恢复明文，也无法推断出私钥,乙用私钥加密的消息，甲只有使用乙的公钥才能解密,只要密钥长度足够长，用RSA加密的信息目前还不能被破解网上银行使用的RSA算法，其密钥长度为1024或2048位,选讲：公钥加密举例（RSA算法）,产生密钥对：选择两个素数p和q,且pq计算：n=pq,z=(p-1)(q-1)选择一个比z小的整数e,使得e和z互质计算d，使得ed-1能被z整除于是公钥为：e,n私钥为：d,n使用：加密:C=Memodn解密:M=Cdmodn,选择:p=5,q=7计算：n=35,z=24选择:e=5,5和24互质选择：d=29,(因为(5x29-1)/24=0)于是公钥为：5,35私钥为：29,35使用举例：设明文中的字母为L，即M=12加密:C=125mod35=17解密:M=1729mod35=12,由于n=pq是公开的，所以，为了防止攻击者利用n推算出p和q，必须选择足够大的素数p和q，使n达到1024位以上，才能不被破解,4.5.3数字签名,用于认证消息的真实性,消息认证(MessageAuthentication),在通信过程中，应防止发生：伪造消息（无中生有）窜改消息内容消息认证：对收到的消息进行验证，验证它确实来自声称的发送方(消息的真实性)，且没有被修改过(消息的完整性)常规解决方案：签字盖章，人工检验有无涂改迹象与被签文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造计算机网络的解决方案：数字签名,什么是数字签名？,数字签名的含义：数字签名是与消息一起发送的一串代码，它无法伪造，并能发现消息内容的任何变化数字签名的目的：让对方相信消息的真实性数字签名的用途：在电子商务和电子政务中用来鉴别消息的真伪对数字签名的要求：无法伪造能发现消息内容的任何变化,数字签名的处理过程,数字签名中的双重加密,用接收方的公钥对已添加了数字签名的消息再进行加密,用接收方的私钥对接收的消息解密并取出数字签名,用发送方的私钥加密信息摘要，得到数字签名,用发送方的公钥解密数字签名，得到信息摘要,4.5.4身份鉴别与访问控制,身份鉴别(认证),身份鉴别的含义:证实某人的真实身份是否与其所声称的身份相符,以防止欺诈和假冒什么时候进行?在用户登录某个系统，或者在访问/传送重要消息时进行身份鉴别的依据(方法):鉴别对象本人才知道的信息(如口令、私钥、身份证号等)鉴别对象本人才具有的信物(例如磁卡、IC卡、USB钥匙等)鉴别对象本人才具有的生理特征(例如指纹、手纹等),通常在注册时记录在案,口令（密码）容易被猜、被盗、被偷窥，电脑中植入的木马程序会记录操作者的键入数据，发送给黑客进行分析，以查找密码双因素认证（口令+磁卡，口令+U盾）大大提高了安全性！,选讲：例：网上银行的身份认证/信息安全,网上银行：使用因特网完成银行的各种金融服务，如账户查询、转账、网上支付等网上银行的组成：客户端：电脑(手机)，以及USBKey、口令卡等通信网络：使用HTTPS协议保证传输过程中不被窃听服务器：高效和安全地处理各种网上银行业务网上银行用户身份认证的3种方式：用户名+口令（仅适合账户查询）用户名+口令+文件证书（数字证书在浏览器中）用户名+口令+USB证书（数字证书在U盾中）,选讲：数字证书,数字证书是一组数据构成的电脑文件，包含用户的身份信息、颁证机构、有效期及一个公钥。凭借数字证书，拥有人可在互联网交往中互相识别对方的身分，确保信息安全数字证书从数字证书认证中心（CA中心）获得，获得的证书可存放在：浏览器、U盾、IC卡中,数字证书用途：证实用户身份验证网站(或软件)是否可信进行数字签名，确保通信真实、不可抵赖,选讲：U盾(USBKey),U盾外形像U盘，它包含有嵌入式处理器与数字证书等嵌入式处理器负责进行数据加密/解密和数字签名处理，采用1024位非对称RSA加密算法，它为为用户产生一个私钥(唯一序列号)U盾使用前需把权威机构(CA中心)颁发的数字证书下载到U盾中，数字证书包含有客户身份信息及相应的公钥U盾在使用网上银行进行交易时的2个作用：使用U盾中的数字证书进行用户身份认证,借助嵌入式处理器对交易数据进行数字签名，确保信息不被篡改和交易不可抵赖,选讲：网上银行交易过程举例,1客户输入本人账号、口令，登录网上银行，选择汇款操作2输入收款人账号、姓名、开户行名称、汇款金额等数据（明文）3插入U盾，输入U盾口令启动U盾工作，银行服务器验证U盾中的证书，确认客户身份（需查询证书有效期和是否列入黑名单），取得客户的公钥4U盾使用客户的私钥对上述汇款信息进行数字签名，附加于汇款信息5U盾随机产生一个密钥，使用对称密钥加密算法对汇款信息和数字签名进行加密，形成交易密文6U盾使用银行的公钥对随机产生的密钥进行加密，然后随同交易密文一起发送给银行7银行接收到信息后使用银行自己的私钥进行解密，得到客户端随机产生的对称密钥8银行使用对称密钥对交易密文解密，得到汇款数据的明文和附加的数字签名9银行使用客户的公钥对数字签名进行验证，若正确则进行汇款处理，否则拒绝交易，通知客户,选讲：使用网银安全须知,1、尽量使用各大银行提供的安全系数高的方式进行网银操作2、采用文件证书时，证书文件不要备份存在电脑中3、U盾网银用户，在每次完成网银操作后，要尽快拔下U盾4、安装安全软件并定期进行打补丁和查杀，封堵住木马入侵的通道，确保电脑中没有木马。5、避免在网吧等公用电脑上使用网银6、为网银设置专门的密码，不使用简单密码7、切勿通过链接或网上搜索引擎登录网上银行8、登入网上银行前，先关闭其他所有浏览器窗口,保护好银行卡号、登录密码、U盾和U盾密码，千万不能同时丢失！,什么是访问控制?,访问控制的含义:计算机对系统内的每个信息资源规定各个用户(组)对它的操作权限（是否可读、是否可写、是否可修改等）访问控制是在身份鉴别的基础上进行的访问控制的任务:对所有信息资源进行集中管理对信息资源的控制没有二义性（各种规定互不冲突）有审计功能（记录所有访问活动,事后可以核查）,文件的访问控制举例,4.5.5防火墙与入侵检测,网络会遭受多种攻击,因特网防火墙,什么是因特网防火墙(Internetfirewall)?用于将因特网的子网（最小子网是1台计算机）与因特网的其余部分相隔离,以维护网络信息安全的一种软件或硬件设备防火墙的原理:防火墙对流经它的信息进行扫描，确保进入子网和流出子网的信息的合法性，它还能过滤掉黑客的攻击，关闭不使用的端口，禁止特定端口流出信息,等等,入侵检测,入侵检测（IntrusionDetection）是主动保护系统免受攻击的一种网络安全技术原理：通过在网络若干关键点上监听和收集信息并对其进行分析，从中发现问题，及时进行报警、阻断和审计跟踪入侵检测是防火墙的有效补充：可检测来自内部的攻击和越权访问，防火墙只能防外入侵检测可以有效防范利用防火墙开放的服务进行入侵,4.5.6计算机病毒防范,什么是计算机病毒?,计算机病毒是有人蓄意编制的一种具有自我复制能力的、寄生性的、破坏性的计算机程序计算机病毒能在计算机中生存，通过自我复制进行传播，在一定条件下被激活，从而给计算机系统造成损害甚至严重破坏系统中的软件、硬件和数据资源病毒程序的特点:破坏性隐蔽性传染性和传播性潜伏性,木马病毒能偷偷记录用户的键盘操作，盗窃用户账号（如游戏账号,股票账号,网上银行账号）、密码和关键数据，甚至使“中马”的电脑被别有用心者所操控，安全和隐私完全失去保证,计算机病毒的表现和危害,破坏文件内容，造成磁盘上的数据破坏或丢失删除系统中一些重要的程序，使系统无法正常工作，甚至无法启动修改或破坏系统中的数据，造成不可弥补的损失盗用用户的账号、口令等机密信息在磁盘上产生许多“坏”扇区，减少磁盘可用空间占用计算机内存，造成计算机运行速度降低破坏主板BIOS芯片中存储的程序或数据.,杀毒软件的功能与缺陷,杀毒软件的功能:检测及消除内存、BIOS、文件、邮件、U盘和硬盘中的病毒例如：Norton，瑞星，江民，金山毒霸，卡巴