信息安全引言

1、B信息安全引言信息安全引言 B目錄 信息安全問題 信息安全要素 信息安全模型 從算法到協(xié)議 從原理到標(biāo)準(zhǔn) 技術(shù)管理并重B從竊聽與反竊聽開始 竊聽和這些方面有關(guān)系 國家情報 公共安全 商業(yè)機(jī)密 個人隱私 互聯(lián)網(wǎng)上的竊聽B實驗環(huán)境準(zhǔn)備 PC Windows / Linux 虛擬機(jī)軟件 VMWare / VirtualPC / VirtualBox Network LAN / Internet Tools Sniffer / ssh / X-win DEV/IDE Visual Studio 2003/5/8 / Eclipse / JDKB BPDU Format From/To:MAC, IP,

2、 OSI CTL:type, length, PRI, ACK, window, Data:Padding CHK:CRC，check sum From To CTL Data CHKB協(xié)議調(diào)用關(guān)系 B ProtocolTreeB以太網(wǎng)的安全問題 Packet capture Ethernet from Hub to Switch ARPB B B B B B郵件安全 郵件收發(fā)涉及兩個協(xié)議 發(fā)送使用SMTP 可以不需口令 收看使用POP3，通常明文方式傳口令 Web方式的郵件收發(fā)通過HTTP和SMTP 假冒e-mailB使用Telnet發(fā)送假冒郵件 需要一個open-relay的SMTPB假冒

3、郵件 效果BPhishing 以竊取帳號/口令為目的 步驟 設(shè)立假冒網(wǎng)站/域名/網(wǎng)頁，以及其他欺騙形式 通過郵件/病毒/木馬等方式誘騙 騙取輸入 反釣魚 Phishing / BWindows輸入法漏洞 （登錄窗口被擋在后面了）B BUnicode Hole Win2k IIS5 (before any patch) 利用該漏洞的request/responseBWin98的共享目錄口令漏洞 Google(“vredir.vxd”)BMS08-067B利用BoF main()char passwd8 = 2e4rfe;char yourpas

4、swd8 = ;again:puts(please input passwd?);gets(yourpasswd);if (strcmp(yourpasswd, passwd)= =0)goto ok;puts(passwd error);goto again;exit(-2);ok:puts(correct!);/ do work you wantreturn 0;程序的設(shè)計功能：程序的設(shè)計功能：輸入正確的口令后做某項工作(否則重復(fù)要求輸入口令)演示：演示：輸入精心計劃好的字串打亂設(shè)計期望的執(zhí)行邏輯，從而繞過某些口令B Ha ha !B密碼學(xué)和版權(quán)保護(hù) XP Activation ECC 序

5、列號/鑰匙盤/卡 流程控制和加密 數(shù)字水印BCrack tips if (!isvalid(sn)call isvalidE8 ? ?abort();cmp ax, 03D 00 00goon(); jnzgoon75 ?call abortE8 ? ?goon: 改75為74B74/75實例 NetSuper21fc /b NetSuper.exe NetSuperNetSuper21fc /b NetSuper.exe NetSuper破解版破解版.exe.exe正在比較文件正在比較文件 NetSuper.exe NetSuper.exe 和和 NETSUPERNETSUPER破解版破解版

6、.EXE.EXE00003503: 74 7500003503: 74 75000038E8: 74 75000038E8: 74 7500007C12: 75 7400007C12: 75 740000AF72: 74 750000AF72: 74 750000AF89: 74 750000AF89: 74 75 NetSuper21NetSuper21B信息安全的層次和方面 物理安全層 運行安全層 數(shù)據(jù)安全層 信息內(nèi)容的安全問題 被文化、宣傳界所關(guān)注 信息對抗的問題 被電子對抗研究領(lǐng)域所關(guān)注BCIA Triad 機(jī)密性、完整性、可用性 （Confidentiality, Integrity

7、, Availability）BParkerian Hexad 機(jī)密性、完整性、可用性可控性、真實性、實用性 （Possession/Control, Authenticity, Utility）Parkerian HexadCPIAuAvUB信息安全的層次框架體系層次層次層面層面作用點作用點安全屬性安全屬性信息對抗信息對抗信息熵對抗信息利用機(jī)密性、完整性、特殊性信息安全信息安全內(nèi)容安全攻擊信息機(jī)密性、真實性、可控性、可用性、完整性、可靠性數(shù)據(jù)安全保護(hù)信息機(jī)密性、真實性、實用性、完整性、唯一性、不可否認(rèn)性、生存性系統(tǒng)安全系統(tǒng)安全運行安全軟件真實性、可控性、可用性、合法性、唯一性、可追溯性、占有

8、性、生存性、穩(wěn)定性、可靠性物理安全硬件機(jī)密性、可用性、完整性、生存性、穩(wěn)定性、可靠性B信息安全四要素機(jī)密性（Cf） 真實性（Au）可控性（Ct） 可用性（Av）B信息安全層次與屬性機(jī)密性真實性可控性可用性物理安全運行安全數(shù)據(jù)安全內(nèi)容安全信息對抗B網(wǎng)絡(luò)傳輸安全模型 B主機(jī)訪問安全模型 B密碼學(xué)：密碼算法 對稱加密算法：DES、AES、RC4 非對稱(公鑰)加密算法：RSA、ElGamal 認(rèn)證算法：MAC/HMAC 簽名算法：RSA、 DSA、ECDSA 散列算法：MD5/SH1/SHA2 隨機(jī)數(shù)產(chǎn)生算法 數(shù)學(xué)問題：密碼問題IF和DLPB從算法到協(xié)議 密鑰協(xié)商協(xié)議：DH etc 實體鑒別 對稱加

9、密和認(rèn)證消息 安全應(yīng)用層數(shù)據(jù)傳輸協(xié)議：SSL 非否認(rèn) 零知識證明 電子貨幣/電子現(xiàn)金/電子投票 安全多方計算B從原理到標(biāo)準(zhǔn) FIPS RFC PKCS IPSec SSL PGP/SMIME RADIUS/Diameter Kerberos PKI/X509B安全標(biāo)準(zhǔn)化組織 ISO NIST ISOC/IETF（RFC） ISF（Information Security Forum） IBM/MS/ RSA/Entrust/ certicomB信息安全是一個動態(tài)過程 “微軟每年花費60億在研發(fā)上，其中有20億花在安全上。企業(yè)的信息安全問題不可能一勞永逸，它是一個動態(tài)的過程?！?微軟公司大中華區(qū)首席安全官艾力克如是說。B安全的核心問題是什么 技術(shù)