信息安全 計(jì)算機(jī)網(wǎng)絡(luò)與分布式,計(jì)算數(shù)據(jù)的安全保護(hù).ppt

1、授課教師：劉* 二00五年八月,信息安全技術(shù),主要內(nèi)容,一.信息安全概念 二.數(shù)據(jù)加密與認(rèn)證技術(shù) 三.SNIFFER使用,信息安全的范疇,信息安全（information security）經(jīng)歷了兩次主要的變化 計(jì)算機(jī)出現(xiàn)之前，主要靠物理安全和管理政策保護(hù)信息的安全性，主要指信息保密 計(jì)算機(jī)出現(xiàn)后，計(jì)算機(jī)安全（computer security）涉及用計(jì)算機(jī)相關(guān)的自動(dòng)化工具來(lái)保護(hù)數(shù)據(jù)，計(jì)算機(jī)系統(tǒng)自身的安全保護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)與分布式計(jì)算，在信息傳輸、處理、存儲(chǔ)都離不開(kāi)安全，涉及傳輸網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)的安全保護(hù),網(wǎng)絡(luò)安全的范疇,網(wǎng)絡(luò)安全主要關(guān)注互聯(lián)網(wǎng)（internet）安全，包括 網(wǎng)絡(luò)環(huán)境下計(jì)算

2、機(jī)系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)自身的安全防護(hù)。 基于計(jì)算機(jī)網(wǎng)絡(luò)的通信和分布式應(yīng)用系統(tǒng)的安全保護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)安全、計(jì)算機(jī)安全、信息安全已經(jīng)沒(méi)有明顯的界限。 舉例：計(jì)算機(jī)病毒、數(shù)據(jù)安全,信息安全與網(wǎng)絡(luò)安全,信息（數(shù)據(jù)）安全關(guān)注的問(wèn)題 機(jī)密性 鑒別、認(rèn)證 完整性 防抵賴性,網(wǎng)絡(luò)（系統(tǒng)）安全關(guān)注的問(wèn)題 訪問(wèn)控制 可用性 審計(jì)管理等,安全需求,機(jī)密性又稱保密性，是指信息在產(chǎn)生、傳送、處理和存貯過(guò)程中不泄露給非授權(quán)的個(gè)人或組織。機(jī)密性一般是通過(guò)加密技術(shù)對(duì)信息進(jìn)行加密處理來(lái)實(shí)現(xiàn)的，經(jīng)過(guò)加密處理后的加密信息，即使被非授權(quán)者截取，也由于非授權(quán)者無(wú)法解密而不能了解其內(nèi)容。,1）機(jī)密性,2）完整性,是指信息在傳送和存貯過(guò)程中保

3、持一致，沒(méi)有被改變；也就是信息在通訊的處理過(guò)程中不能被非授權(quán)者加入、刪除或修改。 完整性一般可以通過(guò)提取信息的數(shù)字摘要的方式來(lái)實(shí)現(xiàn)。,3）認(rèn)證性,即身份認(rèn)證，又稱鑒別服務(wù)，是對(duì)通信雙方的身份進(jìn)行鑒別，為身份的真實(shí)性提供保證，確認(rèn)對(duì)方就是本次通信中所稱的真正通信方。 認(rèn)證性一般是通過(guò)認(rèn)證機(jī)構(gòu)CA和證書(shū)來(lái)實(shí)現(xiàn)的。,4）不可抵賴性,不可抵賴性又稱不可否認(rèn)性，是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已收到的信息，這是一種法律有效性要求。 不可抵賴性可以通過(guò)對(duì)發(fā)送的信息進(jìn)行數(shù)字簽名來(lái)實(shí)現(xiàn)。,5）有效性,有效性又稱可用性，是指授權(quán)用戶在正常訪問(wèn)信息和資源時(shí)不被拒絕，可以及時(shí)獲取服務(wù)，即保證為用

4、戶提供穩(wěn)定的服務(wù)。 2000年2月的3天時(shí)間里，美國(guó)的數(shù)家大型網(wǎng)站，包括Yahoo、Amazon、eBay、CNN等受到稱為“拒絕服務(wù)”的攻擊，使其無(wú)暇為用戶提供正常的服務(wù)而陷入癱瘓，直接經(jīng)濟(jì)損失達(dá)15億美元以上。,6）授權(quán)性,授權(quán)性又稱訪問(wèn)控制，控制誰(shuí)能夠訪問(wèn)網(wǎng)絡(luò)上的信息并且能夠進(jìn)行何種操作，防止非授權(quán)使用資源或控制資源，有助于通信信息的機(jī)密性、完整性。,7）審查性,是指對(duì)每個(gè)經(jīng)授權(quán)的用戶的活動(dòng)和進(jìn)行的操作內(nèi)容進(jìn)行審計(jì)、跟蹤和記錄。有助于通信信息的機(jī)密性、完整性，防止通信一方的抵賴行為。,8）保護(hù)隱私,目前對(duì)個(gè)人隱私的保護(hù)現(xiàn)在越來(lái)越受到重視，越是開(kāi)放，越是信息化，個(gè)人隱私越重要。如使用匿名服

5、務(wù)來(lái)隱匿參與者的身份，用法律、法規(guī)來(lái)保證參與者的個(gè)人隱私不被泄露等。,主流安全產(chǎn)品,加解密產(chǎn)品 防火墻 VPN IDS 防病毒 漏洞掃描,身份認(rèn)證 權(quán)限管理 主機(jī)保護(hù) 安全隔離交換 安全審計(jì) 安全管理,二、加密與認(rèn)證技術(shù),1、密碼算法與密碼體制的基本概念 2、對(duì)稱密鑰密碼體系 3、非對(duì)稱密鑰密碼體系 4、數(shù)字信封技術(shù) 5、數(shù)字簽名技術(shù) 6、數(shù)字證書(shū),主要內(nèi)容,1、密碼算法與密碼體制的基本概念,數(shù)據(jù)加密與解密的過(guò)程,密碼體制是指一個(gè)系統(tǒng)所采用的基本工作方式以及它的兩個(gè)基本構(gòu)成要素，即加密/解密算法和密鑰； 密碼算法：明文與密文之間的數(shù)學(xué)函數(shù)關(guān)系。,古典加密,古羅馬： Caesar 密碼,古典加密

6、,古典加密,轉(zhuǎn)輪密碼機(jī)ENIGMA，由Arthur Scherbius 于1919年發(fā)明，4 輪ENIGMA在1944年德國(guó)海軍裝備,英國(guó)的TYPEX打字密碼機(jī)，是德國(guó)3輪ENIGMA的改進(jìn)型密碼機(jī)。它在英國(guó)通信使用廣泛，且在破譯密鑰后幫助破解德國(guó)信號(hào)。,什么是密碼？,密碼是含有一個(gè)參數(shù)k的數(shù)學(xué)變換，即 C = Ek（m） m是未加密的信息（明文） C是加密后的信息（密文） E是加密算法 參數(shù)k稱為密鑰 密文C是明文m 使用密鑰k 經(jīng)過(guò)加密算法計(jì)算后的結(jié)果； 加密算法可以公開(kāi)，而密鑰只能由通信雙方來(lái)掌握。,密鑰長(zhǎng)度與密鑰個(gè)數(shù),2、對(duì)稱密鑰密碼體系,數(shù)據(jù)加密標(biāo)準(zhǔn)（data encryption

7、standard，DES）,用戶需保存的密鑰數(shù),秘密密鑰加密技術(shù)的特點(diǎn),算法簡(jiǎn)單、速度快，被加密的數(shù)據(jù)塊長(zhǎng)度可以很大 密鑰在加密方和解密方之間傳遞和分發(fā)必須通過(guò)安全通道進(jìn)行,3、非對(duì)稱密鑰密碼體系,RSA（RSA是發(fā)明者Rivest、Shamir和Adleman名字首字母的組合）,用戶需保存的密鑰數(shù),公開(kāi)密鑰加密技術(shù)的特點(diǎn),算法復(fù)雜、速度慢，被加密的數(shù)據(jù)塊長(zhǎng)度不宜太大 公鑰在加密方和解密方之間傳遞和分發(fā)不必通過(guò)安全通道進(jìn)行,4、數(shù)字信封技術(shù),5、數(shù)字簽名技術(shù),消息摘要,1.消息摘要是利用單向散列函數(shù)對(duì)要簽名的數(shù)據(jù)進(jìn)行運(yùn)算生成 2.利用單向散列函數(shù)對(duì)數(shù)據(jù)塊進(jìn)行運(yùn)算不是一種加密機(jī)制，它僅能提取數(shù)據(jù)

8、塊的某些關(guān)鍵信息 3.著名的消息摘要算法 MD5 SHA-1,單向散列函數(shù)的主要特性,能處理任意大小的信息，生成的消息摘要數(shù)據(jù)塊長(zhǎng)度總是具有固定的大小。對(duì)同一個(gè)源數(shù)據(jù)反復(fù)執(zhí)行該函數(shù)得到的消息摘要相同 生成的消息摘要是不可預(yù)見(jiàn)的，產(chǎn)生的消息摘要的大小與原始數(shù)據(jù)信息塊的大小沒(méi)有任何聯(lián)系。原始數(shù)據(jù)信息的一個(gè)微小變化都會(huì)對(duì)新產(chǎn)生的消息摘要產(chǎn)生很大的影響 具有不可逆性，沒(méi)有辦法通過(guò)生成的消息摘要重新生成原始數(shù)據(jù)信息,公鑰密碼體制的局限,公鑰密碼體制的出現(xiàn)雖然解決了對(duì)稱密鑰的分配問(wèn)題，但又產(chǎn)生了 “公鑰如何可信地在大范圍內(nèi)傳播的問(wèn)題” 。 問(wèn)題在于在Internet中很難統(tǒng)一管理 “信任” ，這一錯(cuò)綜復(fù)雜

9、的特性。 例如：用戶A如何確認(rèn)用戶B的公鑰？會(huì)不會(huì)有人冒充用戶B呢？ 方案：引入證書(shū) (certificate) 通過(guò)證書(shū)把公鑰和身份關(guān)聯(lián)起來(lái),簡(jiǎn)單的公鑰證書(shū),簡(jiǎn)單地講，證書(shū)就是一個(gè)由可信第三方（證書(shū)發(fā)放機(jī)構(gòu)如CA ）對(duì)證書(shū)主體（ Subject）進(jìn)行數(shù)字簽名的結(jié)構(gòu)化文檔。證書(shū)中包含了證書(shū)主體的公鑰信息。,CA (Certificate Authority)證書(shū)中心,權(quán)威的第三方機(jī)構(gòu) 職責(zé) 接受用戶的請(qǐng)求 用自己的私鑰簽發(fā)證書(shū) 提供證書(shū)查詢 接受證書(shū)注銷(xiāo)請(qǐng)求 提供證書(shū)注銷(xiāo)表,數(shù)字證書(shū)的三種類(lèi)型,個(gè)人證書(shū) 它僅僅為某一個(gè)用戶提供數(shù)字證書(shū)。 企業(yè)（服務(wù)器）數(shù)字證書(shū) 它通常為網(wǎng)上的某個(gè)Web服務(wù)器提

10、供數(shù)字證書(shū)。 軟件（開(kāi)發(fā)者）數(shù)字證書(shū) 它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書(shū)。,數(shù)字證書(shū)利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。,數(shù)字證書(shū)原理簡(jiǎn)介,SSL,SSL作為Web安全性解決方案1995年由Netscape公司提出 SSL已經(jīng)作為事實(shí)上的標(biāo)準(zhǔn)被眾多網(wǎng)絡(luò)產(chǎn)品提供商采納,實(shí)踐：利用SSL實(shí)現(xiàn)安全數(shù)據(jù)傳輸,安裝證書(shū)管理軟件和服務(wù)（1）,安裝證書(shū)管理軟件和服務(wù)（2）,安裝證書(shū)管理軟件和服務(wù)（3）,安裝證書(shū)管理軟件和服務(wù)（4）,安裝證書(shū)管理軟件和服務(wù)（5）,準(zhǔn)備一個(gè)證書(shū)請(qǐng)求信息（1）,準(zhǔn)備一個(gè)證書(shū)請(qǐng)求信息（2）,準(zhǔn)備一個(gè)證書(shū)請(qǐng)求信息（3）,準(zhǔn)備一個(gè)證書(shū)請(qǐng)求信息（4）,準(zhǔn)備一個(gè)證書(shū)請(qǐng)求信息（5）,準(zhǔn)備一個(gè)證書(shū)請(qǐng)求信息（6）,準(zhǔn)備一個(gè)證書(shū)請(qǐng)求信息（7）,提交證書(shū)申請(qǐng)（1）,提交證書(shū)申請(qǐng)（2）,提交證書(shū)申請(qǐng)（3）,提交證書(shū)申請(qǐng)（4）,提交證書(shū)申請(qǐng)（5）,為證書(shū)申請(qǐng)者頒布證書(shū)（1）,為證書(shū)申請(qǐng)者頒布證書(shū)（2）,為證書(shū)申請(qǐng)者頒布證書(shū)（3）,為證書(shū)申請(qǐng)者頒布證書(shū)（4）,下載證書(shū)（1）,下載證書(shū)（2