第4章網絡信息安全教學課件

4.5.1概述網絡信息安全受到的威脅及對策篡改sd數據被破壞，失去完整性

2保證數據完整性：所傳輸的交易信息中途不被篡改，一旦遭到篡改很快就能發(fā)現

偽造sd數據(包括用戶身份)被偽造，失去真實性

3真實性鑒別：對交易雙方的身份進行認證，保證交易雙方的身份正確無誤

竊聽sd數據被非法拷貝,危及數據的機密性

1數據加密：即使數據在網絡傳輸過程中被他人竊取，也不會泄露秘密

4防止否認：交易完成后，應保證交易的任何一方無法否認已發(fā)生的交易確保信息安全的技術措施（1）真實性鑒別：對通信雙方的身份和所傳送信息的真?zhèn)文軠蚀_地進行鑒別（2）訪問控制：控制用戶對信息等資源的訪問權限，防止未經授權使用資源

（3）數據加密：保護數據秘密，未經授權其內容不會顯露（4）保證數據完整性：保護數據不被非法修改，使數據在傳送前、后保持完全相同（5）保證數據可用性：保護數據在任何情況（包括系統故障）下不會丟失（6）防止否認：防止接收方或發(fā)送方抵賴（7）審計管理：監(jiān)督用戶活動、記錄用戶操作等4.5.2數據加密數據加密的基本概念加密前的原始數據加密后的數據只有收/發(fā)方知道的用于加密和解密的信息密碼(cipher):將明文與密文進行相互轉換的算法解密后恢復的數據目的：即使被竊取，也能保證數據安全重要性：數據加密是其他信息安全措施的基礎基本概念：加密算法的基本思想改變明文中符號的排列，或按照某種規(guī)律置換明文中的符號例1移位式‘helpme’變成‘ehplem’

例2替代式(愷撒密碼)：phhwphdiwhuwkhfodvv將文本中每個英文字母替換為字母表中排列在其后的第k1個字母meetmeaftertheclassk1=3meetmeaftertheclass將文本中每個英文字母替換為字母表中排列在其前的第k2個字母K2=3abcdefghijklmdefghijklmnopnopqrstuvwxyzqrstuvwxyzabcabcdefghijklmxyzabcdefghijnopqrstuvwxyzklmnopqrstuvw對稱密鑰加密方法特點：加密的密鑰也用于解密密鑰越長，安全性越好計算量適中，速度快，適用于對大數據量消息加密明文明文密文加密解密密鑰K1密鑰K2（數據傳輸）密鑰K1=K2對稱密鑰加密方法的標準DES算法（密鑰長度56位）：共有256＝7.2×1016種可能，2019年使用窮舉法僅花費了22小時15分鐘就攻破DES現在廣泛使用AES(高級加密標準)，其密鑰長度為：128、192或256位計算安全性(Computationally)破解的代價超過了消息本身的價值破解的時間超過了消息本身的有效期非對稱密鑰加密方法——公鑰加密使用乙的公鑰加密甲乙密文乙丙丁戊使用乙的私鑰解密加密器解密器明文明文甲的公鑰環(huán)使用一對不相同的密鑰：私鑰只有本人知道，公鑰可讓其他用戶知道甲方使用乙的公鑰進行加密乙方利用自己的私鑰解密使用公鑰無法恢復明文，也無法推斷出私鑰乙用私鑰加密的消息，甲只有使用乙的公鑰才能解密只要密鑰長度足夠長，用RSA加密的信息目前還不能被破解網上銀行使用的RSA算法，其密鑰長度為1024或2048位選講：

公鑰加密舉例（RSA算法）產生密鑰對：選擇兩個素數p和q,且pq計算：n=pq,z=(p-1)(q-1)選擇一個比z小的整數e,使得e和z互質計算d，使得ed-1能被z整除于是公鑰為：{e,n}私鑰為：{d,n}使用：加密:C=Memodn解密:M=Cdmodn選擇:p=5,q=7計算：n=35,z=24選擇:e=5,5和24互質選擇：d=29,

(因為(5x29-1)/24=0)于是公鑰為：{5,35}私鑰為：{29,35}使用舉例：設明文中的字母為L，即M=12加密:C=125mod35=17解密:M=1729mod35=12z稱為n的Euler數由于n=pq是公開的，所以，為了防止攻擊者利用n推算出p和q，必須選擇足夠大的素數p和q，使n達到1024位以上，才能不被破解n為6bits4.5.3數字簽名用于認證消息的真實性消息認證(MessageAuthentication)在通信過程中，應防止發(fā)生：偽造消息（無中生有）■竄改消息內容消息認證：對收到的消息進行驗證，驗證它確實來自聲稱的發(fā)送方(消息的真實性)，且沒有被修改過(消息的完整性)常規(guī)解決方案：簽字蓋章，人工檢驗有無涂改跡象與被簽文件在物理上不可分割簽名者不能否認自己的簽名簽名不能被偽造計算機網絡的解決方案：數字簽名什么是數字簽名？數字簽名的含義：數字簽名是與消息一起發(fā)送的一串代碼，它無法偽造，并能發(fā)現消息內容的任何變化數字簽名的目的：讓對方相信消息的真實性數字簽名的用途：在電子商務和電子政務中用來鑒別消息的真?zhèn)螌底趾灻囊螅簾o法偽造能發(fā)現消息內容的任何變化數字簽名的處理過程hashing摘要消息正文私鑰加密數字簽名添加至正文附有數字簽名的消息數字簽名①②③傳送對原始消息的正文進行散列處理生成消息的摘要使用消息發(fā)送人的私鑰對摘要進行加密而得到數字簽名接收方使用發(fā)送方的公鑰對數字簽名解密恢復出消息摘要對收到的原始消息正文進行散列處理得到一個新的摘要對比附有數字簽名的消息數字簽名網絡傳送給接收方將數字簽名添加到原始消息④⑤⑥⑦數字簽名正確消息未被篡改數字簽名中的雙重加密用接收方的公鑰對已添加了數字簽名的消息再進行加密用接收方的私鑰對接收的消息解密并取出數字簽名用發(fā)送方的私鑰加密信息摘要，得到數字簽名用發(fā)送方的公鑰解密數字簽名，得到信息摘要4.5.4身份鑒別與訪問控制身份鑒別(認證)身份鑒別的含義:證實某人的真實身份是否與其所聲稱的身份相符,以防止欺詐和假冒什么時候進行?在用戶登錄某個系統，或者在訪問/傳送重要消息時進行身份鑒別的依據(方法):鑒別對象本人才知道的信息(如口令、私鑰、身份證號等)鑒別對象本人才具有的信物(例如磁卡、IC卡、USB鑰匙等)鑒別對象本人才具有的生理特征(例如指紋、手紋等)通常在注冊時記錄在案口令（密碼）容易被猜、被盜、被偷窺，電腦中植入的木馬程序會記錄操作者的鍵入數據，發(fā)送給黑客進行分析，以查找密碼雙因素認證（口令+磁卡，口令+U盾）大大提高了安全性！選講：

例：網上銀行的身份認證/信息安全網上銀行：使用因特網完成銀行的各種金融服務，如賬戶查詢、轉賬、網上支付等網上銀行的組成：客戶端：電腦(手機)，以及USBKey、口令卡等通信網絡：使用HTTPS協議保證傳輸過程中不被竊聽服務器：高效和安全地處理各種網上銀行業(yè)務網上銀行用戶身份認證的3種方式：用戶名+口令（僅適合賬戶查詢）用戶名+口令+文件證書（數字證書在瀏覽器中）用戶名+口令+USB證書（數字證書在U盾中）選講：

數字證書數字證書是一組數據構成的電腦文件，包含用戶的身份信息、頒證機構、有效期及一個公鑰。憑借數字證書，擁有人可在互聯網交往中互相識別對方的身分，確保信息安全數字證書從數字證書認證中心（CA中心）獲得，獲得的證書可存放在：瀏覽器、U盾、IC卡中數字證書用途：

證實用戶身份驗證網站(或軟件)是否可信進行數字簽名，確保通信真實、不可抵賴選講：

U盾(USBKey)U盾外形像U盤，它包含有嵌入式處理器與數字證書等嵌入式處理器負責進行數據加密/解密和數字簽名處理，采用1024位非對稱RSA加密算法，它為為用戶產生一個私鑰(唯一序列號)U盾使用前需把權威機構(CA中心)頒發(fā)的數字證書下載到U盾中，數字證書包含有客戶身份信息及相應的公鑰U盾在使用網上銀行進行交易時的2個作用：使用U盾中的數字證書進行用戶身份認證借助嵌入式處理器對交易數據進行數字簽名，確保信息不被篡改和交易不可抵賴選講：

網上銀行交易過程舉例1客戶輸入本人賬號、口令，登錄網上銀行，選擇匯款操作2輸入收款人賬號、姓名、開戶行名稱、匯款金額等數據（明文）3插入U盾，輸入U盾口令啟動U盾工作，銀行服務器驗證U盾中的證書，確認客戶身份（需查詢證書有效期和是否列入黑名單），取得客戶的公鑰4U盾使用客戶的私鑰對上述匯款信息進行數字簽名，附加于匯款信息5U盾隨機產生一個密鑰，使用對稱密鑰加密算法對匯款信息和數字簽名進行加密，形成交易密文6U盾使用銀行的公鑰對隨機產生的密鑰進行加密，然后隨同交易密文一起發(fā)送給銀行7銀行接收到信息后使用銀行自己的私鑰進行解密，得到客戶端隨機產生的對稱密鑰8銀行使用對稱密鑰對交易密文解密，得到匯款數據的明文和附加的數字簽名9銀行使用客戶的公鑰對數字簽名進行驗證，若正確則進行匯款處理，否則拒絕交易，通知客戶選講：

使用網銀安全須知

1、盡量使用各大銀行提供的安全系數高的方式進行網銀操作

2、采用文件證書時，證書文件不要備份存在電腦中3、U盾網銀用戶，在每次完成網銀操作后，要盡快拔下U盾4、安裝安全軟件并定期進行打補丁和查殺，封堵住木馬入侵的通道，確保電腦中沒有木馬。5、避免在網吧等公用電腦上使用網銀

6、為網銀設置專門的密碼，不使用簡單密碼

7、切勿通過鏈接或網上搜索引擎登錄網上銀行

8、登入網上銀行前，先關閉其他所有瀏覽器窗口保護好銀行卡號、登錄密碼、U盾和U盾密碼，千萬不能同時丟失！什么是訪問控制?訪問控制的含義:計算機對系統內的每個信息資源規(guī)定各個用戶(組)對它的操作權限（是否可讀、是否可寫、是否可修改等）訪問控制是在身份鑒別的基礎上進行的訪問控制的任務:對所有信息資源進行集中管理對信息資源的控制沒有二義性（各種規(guī)定互不沖突）有審計功能（記錄所有訪問活動,事后可以核查）文件的訪問控制舉例用戶功能讀寫編輯刪除轉發(fā)打印復制董事長√√√√

√√

√總經理√

√√

√副總經理√

√√

√部門經理√

√√

√科長√

√√

組長√√√

√

···

4.5.5防火墻與入侵檢測網絡會遭受多種攻擊網絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲因特網防火墻什么是因特網防火墻(Internetfirewall)?用于將因特網的子網（最小子網是1臺計算機）與因特網的其余部分相隔離,以維護網絡信息安全的一種軟件或硬件設備防火墻的原理:防火墻對流經它的信息進行掃描，確保進入子網和流出子網的信息的合法性，它還能過濾掉黑客的攻擊，關閉不使用的端口，禁止特定端口流出信息,等等防火墻因特網包過濾器內部網入侵檢測入侵檢測（IntrusionDetection）是主動保護系統免受攻擊的一種網絡安全技術原理：通過在網絡若干關鍵點上監(jiān)聽和收集信息并對其進行分析，從中發(fā)現問題，及時進行報警、阻斷和審計跟蹤入侵檢測是防火墻的有效補充：可檢測來自內部的攻擊和越權訪問，防火墻只能防外入侵檢測可以有效防范利用防火墻開放的服務進行入侵4.5.6計算機病毒防范什么是計算機病毒?計算機病毒是有人蓄意編制的一種具有自我復制能力的、寄生性的、破壞性的計算機程序計算機病毒能在計算機中生存，通過自我復制進行傳播，在一定條件下被激活，從而給計算機系統造成損