1、4.5 网络信息安全4.6.1 概述4.6.2 数据加密4.6.3 数字签名4.6.4 身份鉴别与访问控制4.6.5 防火墙与入侵检测4.6.6 计算机病毒防范 第1页,共33页。24.5.1 概述概述第2页,共33页。3网络信息安全受到的威胁及对策网络信息安全受到的威胁及对策 篡改篡改 s d数据被破数据被破坏,失去坏,失去完整性完整性 2 保证数据完整性:所传输的交易保证数据完整性:所传输的交易信息中途不被篡改,一旦遭到篡改信息中途不被篡改,一旦遭到篡改很快就能发现很快就能发现 伪造伪造 s d数据数据(包括用户身份包括用户身份)被伪造,失去被伪造,失去真实性真实性 3 真实性鉴别:真实性
2、鉴别:对交对交易双方的身份进行认证,易双方的身份进行认证,保证交易双方的身份正保证交易双方的身份正确无误确无误 窃听窃听 s d数据被非法拷贝数据被非法拷贝,危及数危及数据的据的机密性机密性 1 数据加密:数据加密:即使数据在网络传输过即使数据在网络传输过程中被他人窃取,也不会泄露秘密程中被他人窃取,也不会泄露秘密 4 防止否认:防止否认:交易完成后,应交易完成后,应保证交易的任何一方无法否认已发保证交易的任何一方无法否认已发生的交易生的交易第3页,共33页。4确保信息安全的技术措施确保信息安全的技术措施(1 1)真实性鉴别真实性鉴别:对通信双方的身份和所传送信息的真伪能准确地进行鉴别:对通信
3、双方的身份和所传送信息的真伪能准确地进行鉴别(2 2)访问控制访问控制:控制用户对信息等资源的访问权限,防止未经授权使用:控制用户对信息等资源的访问权限,防止未经授权使用资源资源(3 3)数据加密数据加密:保护数据秘密,未经授权其内容不会显露:保护数据秘密,未经授权其内容不会显露(4 4)保证数据完整性保证数据完整性:保护数据不被非法修改,使数据在传送前、后保持:保护数据不被非法修改,使数据在传送前、后保持完全相同完全相同(5 5)保证数据可用性保证数据可用性:保护数据在任何情况(包括系统故障)下不会丢失:保护数据在任何情况(包括系统故障)下不会丢失(6 6)防止否认防止否认:防止接收方或发送
4、方抵赖:防止接收方或发送方抵赖(7 7)审计管理审计管理:监督用户活动、记录用户操作等:监督用户活动、记录用户操作等第4页,共33页。54.5.2 数据加密数据加密第5页,共33页。6数据加密的基本概念数据加密的基本概念加密前的加密前的原始数据原始数据加密后的数据加密后的数据只有收只有收/发方知道的发方知道的用于加密和解密的信息用于加密和解密的信息密码密码(cipher):将明文与密文进行相将明文与密文进行相互转换的算法互转换的算法解密后恢复解密后恢复的数据的数据n目的:即使被窃取,也能保证数据安全目的:即使被窃取,也能保证数据安全n重要性:数据加密是其他信息安全措施的基础重要性:数据加密是其
5、他信息安全措施的基础n基本概念:基本概念:第6页,共33页。7加密算法加密算法的基本思想的基本思想n改变明文中符号的排列,或按照某种规律置换明文中的符号改变明文中符号的排列,或按照某种规律置换明文中的符号例例1 移位式移位式 help me变成变成ehpl em 例例2 替代式替代式(恺撒密码恺撒密码):phhw ph diwhu wkh fodvv将文本中每将文本中每个英文字母个英文字母替换为字母替换为字母表中排列在表中排列在其其后后的第的第k1个字母个字母meet me after the classk1=3meet me after the class将文本中每将文本中每个英文字母个英文
6、字母替换为字母替换为字母表中排列在表中排列在其其前前的第的第k2个字母个字母K2=3abcdefghijklmdefghijklmnopnopqrstuvwxyzqrstuvwxyzabcabcdefghijxyzabcdefgnopqrstuvwklmnopqrst第7页,共33页。8对称密钥加密对称密钥加密方法方法特点:特点:n加密的密钥也用于解密加密的密钥也用于解密n密钥越长,安全性越好密钥越长,安全性越好n计算量适中,速度快,适用于对计算量适中,速度快,适用于对大数据量消息加密大数据量消息加密明文明文明文明文密文密文加密加密解密解密密钥密钥K1密钥密钥K2(数据传输)(数据传输)密钥密
7、钥K1=K2n对称密钥加密方法的标准nDES算法(密钥长度56位):共有2567.2 1016种可能,2019年使用穷举法仅花费了22小时15分钟就攻破DESn现在广泛使用AES(高级加密标准),其密钥长度为:128、192 或256位n计算安全性(Computationally)n 破解的代价超过了消息本身的价值n 破解的时间超过了消息本身的有效期第8页,共33页。9非对称密钥加密非对称密钥加密方法方法公钥加密公钥加密使用乙的使用乙的公钥加密公钥加密甲甲 乙乙密密 文文乙乙丙丙丁丁戊戊使用乙的使用乙的私钥解密私钥解密加密器加密器解密器解密器 明文明文 明文明文甲的甲的公钥环公钥环使用一对不相
8、同的密钥:私钥只有本人知使用一对不相同的密钥:私钥只有本人知道,公钥可让其他用户知道道,公钥可让其他用户知道甲方使用乙的甲方使用乙的公钥进行加密公钥进行加密乙方利用自己乙方利用自己的私钥解密的私钥解密使用公钥无法恢使用公钥无法恢复明文,也无法复明文,也无法推断出私钥推断出私钥乙用私钥加密的消息,甲只有使用乙的公钥才能解密 只要密钥长度足够长,用只要密钥长度足够长,用RSA加密的信息目前还不能被破解加密的信息目前还不能被破解网上银行使用的网上银行使用的RSA算法,其密钥长度为算法,其密钥长度为1024或或2048位位第9页,共33页。10选讲:选讲:公钥加密举例(公钥加密举例(RSA算法)算法)
9、n产生密钥对:产生密钥对:n选择两个素数选择两个素数p和和q,且且 p qn计算:计算:n=pq,z=(p-1)(q-1)n选择一个比选择一个比z小的整数小的整数e,使得使得 e和和 z互质互质n计算计算d,使得,使得ed-1能被能被z整除整除n于是公钥为:于是公钥为:e,n 私钥为:私钥为:d,nn使用:使用:n加密加密:C=Me mod nn解密解密:M=Cd mod nn选择:p=5,q=7n计算:n=35,z=24n选择:e=5,5和24互质n选择:d=29,(因为(5x29-1)/24=0)n于是公钥为:5,35 私钥为:29,35n使用举例:设明文中的字母为L,即M=12n加密:C
10、=125 mod 35=17n解密:M=1729 mod 35=12z称为称为n的的Euler数数由于由于n=pq是公开的,所以,为了防止攻击者利用是公开的,所以,为了防止攻击者利用n推算出推算出p和和q,必须选择足够大的素数必须选择足够大的素数p和和q,使,使n达到达到1024位以上,才能不被破解位以上,才能不被破解n为为6 bits第10页,共33页。114.5.3 数字签名数字签名用于认证消息的真实性用于认证消息的真实性第11页,共33页。12消息认证消息认证(Message Authentication)n在通信过程中,应防止发生:在通信过程中,应防止发生:n伪造消息(无中生有)伪造消
11、息(无中生有)窜改消息内容窜改消息内容n消息认证消息认证:对收到的消息进行验证,验证它确实来自声称的发:对收到的消息进行验证,验证它确实来自声称的发送方送方(消息的消息的真实性真实性),且没有被修改过,且没有被修改过(消息的消息的完整性完整性)n常规解决方案:常规解决方案:签字盖章,人工检验有无涂改迹象签字盖章,人工检验有无涂改迹象n与被签文件在物理上不可分割与被签文件在物理上不可分割n签名者不能否认自己的签名签名者不能否认自己的签名n签名不能被伪造签名不能被伪造n计算机网络的解决方案:计算机网络的解决方案:数字签名数字签名第12页,共33页。13什么是数字签名?什么是数字签名?n数字签名的含
12、义:数字签名的含义:n数字签名是与消息一起发送的一串数字签名是与消息一起发送的一串代码代码,它无法伪造,并能发现消息内,它无法伪造,并能发现消息内容的任何变化容的任何变化n数字签名的目的:数字签名的目的:n让对方相信消息的让对方相信消息的真实性真实性n数字签名的用途:数字签名的用途:n在在电子商务和电子政务中用来鉴别消息的真伪电子商务和电子政务中用来鉴别消息的真伪 n对数字签名的要求:对数字签名的要求:n无法伪造无法伪造n能发现消息内容的任何变化能发现消息内容的任何变化第13页,共33页。14数字签名的处理过程数字签名的处理过程hashing摘要摘要消息正文消息正文 私钥加密私钥加密数字数字签
13、名签名 添加至正文添加至正文附有数字签名的消息附有数字签名的消息数字数字签名签名传送传送对原始消息的正文对原始消息的正文进行散列处理进行散列处理生成生成消息的摘要消息的摘要使用消息发送人的私使用消息发送人的私钥对摘要进行加密而钥对摘要进行加密而得到数字签名得到数字签名接收方使用发送方的公接收方使用发送方的公钥对数字签名解密恢复钥对数字签名解密恢复出消息摘要出消息摘要对收到的原始消息正文对收到的原始消息正文进行散列处理得到一个进行散列处理得到一个新的摘要新的摘要对比对比 附有数字签名的消息附有数字签名的消息数字数字签名签名网络传传送送给给接接收收方方将数字签将数字签名添加到名添加到原始消息原始消
14、息数字签名正确数字签名正确消息未被篡改消息未被篡改第14页,共33页。15数字签名中的双重加密数字签名中的双重加密用接收方的公钥对已添加了用接收方的公钥对已添加了数字签名的消息再进行加密数字签名的消息再进行加密用接收方的私钥对接收的消息用接收方的私钥对接收的消息解密并取出数字签名解密并取出数字签名用发送方的私钥加密信用发送方的私钥加密信息摘要,得到数字签名息摘要,得到数字签名用发送方的公钥解密数字用发送方的公钥解密数字签名,得到信息摘要签名,得到信息摘要第15页,共33页。164.5.4 身份鉴别与访问控制身份鉴别与访问控制第16页,共33页。17身份鉴别身份鉴别(认证认证)n身份鉴别的含义身
15、份鉴别的含义:n证实某人的真实身份是否与其所声称的身份相符证实某人的真实身份是否与其所声称的身份相符,以防止欺诈和假冒以防止欺诈和假冒n什么时候进行什么时候进行?n在用户登录某个系统,或者在访问在用户登录某个系统,或者在访问/传送重要消息时进行传送重要消息时进行n身份鉴别的依据身份鉴别的依据(方法方法):n鉴别对象本人才知道的信息鉴别对象本人才知道的信息(如如口令口令、私钥、身份证号等、私钥、身份证号等)n鉴别对象本人才具有的信物鉴别对象本人才具有的信物(例如磁卡、例如磁卡、ICIC卡、卡、USBUSB钥匙等钥匙等)n鉴别对象本人才具有的生理特征鉴别对象本人才具有的生理特征(例如指纹、手纹等例
16、如指纹、手纹等)通常在注册时记录在案通常在注册时记录在案口令(密码)容易被猜、被盗、被偷窥,电脑中植入的木马程序会记录操作者口令(密码)容易被猜、被盗、被偷窥,电脑中植入的木马程序会记录操作者的键入数据,发送给黑客进行分析,以查找密码的键入数据,发送给黑客进行分析,以查找密码 双因素认证(口令双因素认证(口令+磁卡,口令磁卡,口令+U盾)大大提高了安全性!盾)大大提高了安全性!第17页,共33页。18选讲:选讲:例:网上银行的身份认证例:网上银行的身份认证/信息安全信息安全n网上银行:使用因特网完成银行的各种金融服务,如账户网上银行:使用因特网完成银行的各种金融服务,如账户查询、转账、网上支付
17、等查询、转账、网上支付等n网上银行的组成:网上银行的组成:n客户端:电脑客户端:电脑(手机手机),以及,以及USB Key、口令卡等、口令卡等n通信网络:使用通信网络:使用HTTPS协议保证传输过程中不被窃听协议保证传输过程中不被窃听n服务器:高效和安全地处理各种网上银行业务服务器:高效和安全地处理各种网上银行业务n网上银行用户身份认证的网上银行用户身份认证的3种方式:种方式:n用户名用户名+口令(仅适合账户查询)口令(仅适合账户查询)n用户名用户名+口令口令+文件证书(数字证书在浏览器中)文件证书(数字证书在浏览器中)n用户名用户名+口令口令+USB证书(证书(数字证书在数字证书在U盾中盾中
18、)第18页,共33页。19选讲:选讲:数字证书数字证书n数字证书是一组数据构成的电脑文件,包含用户的身份信息、颁证机构、数字证书是一组数据构成的电脑文件,包含用户的身份信息、颁证机构、有效期及一个公钥。凭借数字证书,拥有人可在互联网交往中互相识别对有效期及一个公钥。凭借数字证书,拥有人可在互联网交往中互相识别对方的身分,确保信息安全方的身分,确保信息安全n数字证书从数字证书认证中心(数字证书从数字证书认证中心(CA中心)获得,获得的证书可存中心)获得,获得的证书可存放在:浏览器、放在:浏览器、U盾、盾、IC卡中卡中 n数字证书用途:n证实用户身份n验证网站(或软件)是否可信n进行数字签名,确保
19、通信真实、不可抵赖第19页,共33页。20选讲:选讲:U盾盾(USB Key)nU盾外形像盾外形像U盘,它包含有嵌入式处理器与盘,它包含有嵌入式处理器与数字证书数字证书等等 n嵌入式处理器负责进行数据加密嵌入式处理器负责进行数据加密/解密和数字签名处理,采用解密和数字签名处理,采用1024位非对位非对称称RSA加密算法加密算法,它为为用户产生一个私钥,它为为用户产生一个私钥(唯一序列号唯一序列号)nU盾使用前需把权威机构盾使用前需把权威机构(CA中心中心)颁发的数字证书下载到颁发的数字证书下载到U盾中,盾中,数字证书包含有客户身份信息及相应的公钥数字证书包含有客户身份信息及相应的公钥nU盾在使
20、用网上银行进行交易时的盾在使用网上银行进行交易时的2个作用:个作用:n使用使用U盾中的数字证书进行用户身份认证盾中的数字证书进行用户身份认证n借助嵌入式处理器对交易数据进行数字签名,确保信息不被篡改和交易不可抵赖 第20页,共33页。21选讲:选讲:网上银行交易过程举例网上银行交易过程举例1 客户输入本人账号、口令,登录网上银行,选择汇款操作客户输入本人账号、口令,登录网上银行,选择汇款操作2 输入收款人账号、姓名、开户行名称、汇款金额等数据(明文)输入收款人账号、姓名、开户行名称、汇款金额等数据(明文)3 插入插入U盾,输入盾,输入U盾口令启动盾口令启动U盾工作,银行服务器验证盾工作,银行服
21、务器验证U盾中的证书,确认客户盾中的证书,确认客户身份(需查询证书有效期和是否列入黑名单),取得客户的公钥身份(需查询证书有效期和是否列入黑名单),取得客户的公钥4 U盾使用客户的私钥对上述汇款信息进行数字签名,附加于汇款信息盾使用客户的私钥对上述汇款信息进行数字签名,附加于汇款信息5 U盾随机产生一个密钥,使用对称密钥加密算法对汇款信息和数字签名进行加密,形成盾随机产生一个密钥,使用对称密钥加密算法对汇款信息和数字签名进行加密,形成交易密文交易密文6 U盾使用银行的公钥对随机产生的密钥进行加密,然后随同交易密文一起发送给盾使用银行的公钥对随机产生的密钥进行加密,然后随同交易密文一起发送给银行
22、银行7 银行接收到信息后使用银行自己的私钥进行解密,得到客户端随机产生的对称密钥银行接收到信息后使用银行自己的私钥进行解密,得到客户端随机产生的对称密钥8 银行使用对称密钥对交易密文解密,得到汇款数据的明文和附加的数字签名银行使用对称密钥对交易密文解密,得到汇款数据的明文和附加的数字签名9 银行使用客户的公钥对数字签名进行验证,若正确则进行汇款处理,否则拒绝交银行使用客户的公钥对数字签名进行验证,若正确则进行汇款处理,否则拒绝交易,通知客户易,通知客户 第21页,共33页。22选讲:选讲:使用网银安全须知使用网银安全须知1、尽量使用各大银行提供的安全系数高的方式进行网银操作、尽量使用各大银行提
23、供的安全系数高的方式进行网银操作 2、采用文件证书时,证书文件不要备份存在电脑中、采用文件证书时,证书文件不要备份存在电脑中 3、U盾网银用户,在每次完成网银操作后,要尽快拔下盾网银用户,在每次完成网银操作后,要尽快拔下U盾盾 4、安装安全软件并定期进行打补丁和查杀,封堵住木马入侵的通、安装安全软件并定期进行打补丁和查杀,封堵住木马入侵的通道,确保电脑中没有木马。道,确保电脑中没有木马。5、避免在网吧等公用电脑上使用网银、避免在网吧等公用电脑上使用网银 6、为网银设置专门的密码,不使用简单密码、为网银设置专门的密码,不使用简单密码 7、切勿通过链接或网上搜索引擎登录网上银行、切勿通过链接或网上
24、搜索引擎登录网上银行 8、登入网上银行前,先关闭其他所有浏览器窗口、登入网上银行前,先关闭其他所有浏览器窗口保护好银行卡号、登录密码、保护好银行卡号、登录密码、U U盾和盾和U U盾密码,千万不能同时丢失!盾密码,千万不能同时丢失!第22页,共33页。23什么是访问控制什么是访问控制?n访问控制的含义访问控制的含义:n计算机对系统内的每个信息资源规定各个用户计算机对系统内的每个信息资源规定各个用户(组组)对它的操对它的操作权限(是否可读、是否可写、是否可修改等)作权限(是否可读、是否可写、是否可修改等)n访问控制是在身份鉴别的基础上进行的访问控制是在身份鉴别的基础上进行的n访问控制的任务访问控
25、制的任务:n对所有信息资源进行集中管理对所有信息资源进行集中管理n对信息资源的控制没有二义性(各种规定互不冲突)对信息资源的控制没有二义性(各种规定互不冲突)n有审计功能(记录所有访问活动有审计功能(记录所有访问活动,事后可以核查)事后可以核查)第23页,共33页。24文件的访问控制举例文件的访问控制举例 用 户 功 能读写编 辑删 除转 发打 印复 制董事长总经理副总经理部门经理科 长组 长第24页,共33页。254.5.5 防火墙与入侵检测防火墙与入侵检测第25页,共33页。26网络会遭受多种攻击网络会遭受多种攻击网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹
26、特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫第26页,共33页。27因特网防火墙因特网防火墙n什么是因特网防火墙什么是因特网防火墙(Internet firewall)?n用于将因特网的子网(最小子网是用于将因特网的子网(最小子网是1台计算机)与因特网的其余部分相台计算机)与因特网的其余部分相隔离隔离,以维护网络信息安全的一种软件或硬件设备以维护网络信息安全的一种软件或硬件设备 n防火墙的原理防火墙的原理:n防火墙对流经它的信息进行扫描,确保进入子网和流出子网的信息的合法性,它还防火墙对流经它的信息进行扫描,确保进入子网和流出子网的信息的合法性,
27、它还能过滤掉黑客的攻击,关闭不使用的端口,禁止特定端口流出信息能过滤掉黑客的攻击,关闭不使用的端口,禁止特定端口流出信息,等等等等 防火墙防火墙因特网因特网包过滤器包过滤器内部网内部网第27页,共33页。28入侵检测入侵检测n入侵检测(入侵检测(Intrusion Detection)是主动保护系统)是主动保护系统免受攻击的一种网络安全技术免受攻击的一种网络安全技术n原理:通过在网络若干关键点上监听和收集信息并原理:通过在网络若干关键点上监听和收集信息并对其进行分析,从中发现问题,及时进行报警、阻对其进行分析,从中发现问题,及时进行报警、阻断和审计跟踪断和审计跟踪n入侵检测是防火墙的有效补充:
28、入侵检测是防火墙的有效补充:n可检测来自内部的攻击和越权访问,防火墙只能防外可检测来自内部的攻击和越权访问,防火墙只能防外n入侵检测可以有效防范利用防火墙开放的服务进行入入侵检测可以有效防范利用防火墙开放的服务进行入侵侵第28页,共33页。294.5.6 计算机病毒防范计算机病毒防范第29页,共33页。30什么是计算机病毒什么是计算机病毒?n计算机病毒是有人计算机病毒是有人蓄意蓄意编制的一种具有自我复制能力的、寄生性编制的一种具有自我复制能力的、寄生性的、破坏性的的、破坏性的计算机程序计算机程序n计算机病毒能在计算机中生存,通过自我复制进行传播,在一定计算机病毒能在计算机中生存,通过自我复制进
29、行传播,在一定条件下被激活,从而给计算机系统造成损害甚至严重破坏系统中条件下被激活,从而给计算机系统造成损害甚至严重破坏系统中的软件、硬件和数据资源的软件、硬件和数据资源n病毒程序的特点病毒程序的特点:n破坏性破坏性n隐蔽性隐蔽性n传染性和传播性传染性和传播性n潜伏性潜伏性木马病毒能偷偷记录用户的键盘操作,盗窃用木马病毒能偷偷记录用户的键盘操作,盗窃用户账号(如游戏账号户账号(如游戏账号,股票账号股票账号,网上银行账网上银行账号)、密码和关键数据,甚至使号)、密码和关键数据,甚至使“中马中马”的电的电脑被别有用心者所操控,安全和隐私完全失去脑被别有用心者所操控,安全和隐私完全失去保证保证 第3
30、0页,共33页。31计算机病毒的表现和危害计算机病毒的表现和危害n破坏文件内容,造成磁盘上的数据破坏或丢失破坏文件内容,造成磁盘上的数据破坏或丢失n删除系统中一些重要的程序,使系统无法正常工作,甚至无法删除系统中一些重要的程序,使系统无法正常工作,甚至无法启动启动n修改或破坏系统中的数据,造成不可弥补的损失修改或破坏系统中的数据,造成不可弥补的损失n盗用用户的账号、口令等机密信息盗用用户的账号、口令等机密信息n在磁盘上产生许多在磁盘上产生许多“坏坏”扇区,减少磁盘可用空间扇区,减少磁盘可用空间n占用计算机内存,造成计算机运行速度降低占用计算机内存,造成计算机运行速度降低n破坏主板破坏主板BIO
31、S芯片中存储的程序或数据芯片中存储的程序或数据n.第31页,共33页。32杀毒软件的功能与缺陷杀毒软件的功能与缺陷n杀毒软件的功能杀毒软件的功能:n检测及消除内存、检测及消除内存、BIOS、文件、邮件、文件、邮件、U盘和硬盘中的病毒盘和硬盘中的病毒n例如:例如:Norton,瑞星,江民,金山毒霸,卡巴斯基等,瑞星,江民,金山毒霸,卡巴斯基等n杀毒软件的缺陷:杀毒软件的缺陷:n开发与更新总是滞后于新病毒的出现,因此无法确保百分之百的安开发与更新总是滞后于新病毒的出现,因此无法确保百分之百的安全全n需要不读更新,才能保证其有效性需要不读更新,才能保证其有效性n占用系统资源占用系统资源第32页,共3
32、3页。33预防计算机病毒侵害的措施预防计算机病毒侵害的措施n不使用来历不明的程序和数据不使用来历不明的程序和数据n不轻易打开来历不明的电子邮件,特别是附件不轻易打开来历不明的电子邮件,特别是附件n及时修补操作系统及其捆绑软件的漏洞及时修补操作系统及其捆绑软件的漏洞n确保系统的安装盘和重要的数据盘处于确保系统的安装盘和重要的数据盘处于“写保护写保护”状态状态n在机器上安装杀毒软件(包括病毒防火墙软件),使启动程序运行、在机器上安装杀毒软件(包括病毒防火墙软件),使启动程序运行、接收邮件和下载接收邮件和下载Web文档时自动检测与拦截病毒等。文档时自动检测与拦截病毒等。n经常和及时地做好系统及关键数据的备份工作经常和及时地做好系统及关键数据的备份工作第33页,共33页。