第7章信息网络安全1-1

实际安全，或计算上安全：
如果攻击者拥有无限资源，任何密码系统都是可以 被破译的；但是，在有限的资源范围内，攻击者都 不能通过系统地分析方法来破解系统，则称这个系 统是计算上安全的或破译这个系统是计算上不可行。
华中科技大学计算机基础教研室
38
公钥加密技术=非对称加密技术
公钥加密比私钥加密出现晚 私钥加密使用同一个密钥来加密和解密信息 公钥加密使用两个密钥，一个密钥用于加密信息， 另一个密钥用于解密信息
24
华中科技大学计算机基础教研室
25
加密的wk.baidu.com关术语
明文 密文 算法 密钥 加密 解密
华中科技大学计算机基础教研室
26
基本的加密操作
华中科技大学计算机基础教研室
27
基本的加密思想
置换：按照规则改变内容的排列顺序 移位：打乱字母的排列顺序 移位和置换都是可逆的操作，容易恢复信息 移位、置换应用于现代密码算法中
华中科技大学计算机基础教研室 30
早期密码以人工/机械的形式
华中科技大学计算机基础教研室
31
现代密码多为算法和密钥的形式
计算机与电子学的发展使得现代密码学可 以加密任何二进制形式的资料，密码基于 在二进制串操作，而不像传统密码学那样 直接地作用于字母与数字 密码算法algorithm也叫密码 cipher，即适用于加密和解密 的数学函数
8
在七十年代，人们关心的是计算机系统不被他人所 非授权使用，这时学术界称之为“计算机安全 （INFOSEC）”时代，其时代特色是美国八十年代 初发布的橘皮书——可信计算机评估准则 （TCSEC）； 九十年代，人们关心的是如何防止通过网络对联网 计算机进行攻击，这时学术界称之为“网络安全 （NETSEC）”，其时代特征是美国八十年代末出 现的“莫里斯”蠕虫事件； 进入了二十一世纪，人们关心的是信息及信息系统 的保障，如何建立完整的保障体系，以便保障信息 及信息系统的正常运行，这时学术界称之为“信息 保障（IA）”。
45
华中科技大学计算机基础教研室
46
数据加密和数字签名的区别
1.数据加密的作用
保证信息的机密性
2.数字签名的作用 保证信息的完整性 保证信息的真实性 保证信息的不可否认性
华中科技大学计算机基础教研室 47

主要内容
网络安全和信息安全的基本理论和方法 2. 密码技术及应用 3. 防火墙、反病毒，入侵检测系统、VPN 4. 网络安全事件

44
华中科技大学计算机基础教研室
数字签名的原理

数字签名实际上是附加在数据单元上的一些数据或是对数 据单元所作的密码变换，这种数据或变换能使数据单元的 接收者确认数据单元的来源和数据的完整性，并保护数据 不被其他人（包括接收者）伪造。目前的数字签名体制多 建立在公开密码算法基础上，其工作原理:
华中科技大学计算机基础教研室
华中科技大学计算机基础教研室
39
公钥加密
私钥需要安全保存 公钥公开 加密速度慢 可以与对称加密相结合
华中科技大学计算机基础教研室
40
RSA提供保密性
华中科技大学计算机基础教研室
41
数字签名
认证可以保护信息交换双方不受第三方的攻击，但 是它不能处理通信双方的相互攻击

信宿方可以伪造消息并称消息发自信源方，信源方可以 否认曾发送过某消息，因为信宿方可以伪造消息，所以 无法证明信源方确实发送过该消息
17
信息安全涉及的两个方面: 如何保证在网络上传输信息的私有性，防止信息 被非法窃取、篡改和伪造 ; （加密） 如何限制网络用户（或程序）的访问权限，防止 非法用户（或程序）侵入 ；（访问控制，认证） 信息安全的保证：信息网络安全体系结构
华中科技大学计算机基础教研室
18
对网络的被动攻击和主动攻击
1.
华中科技大学计算机基础教研室
48
3. 防火墙
为了保护一个计算机网络免受外来入侵者的攻击
内部网与Internet之间的一个安全网关
对进入内部网的信息流实行访问控制，只转发合法
的信息流。
内部网络 Internet
防火墙 可信网络
华中科技大学计算机基础教研室
49
防火墙的作用

防火墙对内部网络的保护作用主要体现如下： （1）禁止来自不可信任网络的用户或信息流进 入内部网络； （2）允许来自可信任网络的用户进入内部网络， 并以规定的权限访问网络资源； （3）允许来自内部网（也是一种可信任网络） 的用户访问外部网络。
源站 目的站 源站 目的站 源站 目的站 源站 目的站
截获 被动攻击
中断
篡改
主 动 攻 击
伪造
在被动攻击中，攻击者只是观察和分析某一个 协议数据单元 PDU 而不干扰信息流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。
华中科技大学计算机基础教研室 19

主要内容
网络安全和信息安全的基本理论和方法 2. 密码技术及应用 3. 防火墙、反病毒，入侵检测系统、VPN 4. 网络安全事件
1.
华中科技大学计算机基础教研室
20
加密技术概要
信息是当今社会的一种重要资源 用户需要信息是保密的、完整的和真实的 现代信息系统必须具备有信息安全技术措施 信息加密是信息安全的主要措施之一
华中科技大学计算机基础教研室
21
加密的基本概念
通过加密，可以提供的安全服务 保密性 完整性 不可否认性
第7章 信息网络安全
华中科技大学计算机基础教研室
1
电影中的……
“95亿美元，连上电话线，
穿过防火墙，钱就是你的”
——剑鱼行动[Swordfish]
关闭几十个发电站，城市 陷入一片黑暗
——黑客帝国2[Matrix2]
是真的吗？
华中科技大学计算机基础教研室
2
现实中的……
华中科技大学计算机基础教研室
3
华中科技大学计算机基础教研室
11
黑客采用的攻击方法
华中科技大学计算机基础教研室
12
华中科技大学计算机基础教研室
13
信息安全与网络安全

信息安全
信息安全是指对于信息或信息系统的安全保障，
以防止其在未经授权情况下的使用、泄露或破 坏。 计算机安全

为数据处理系统建立和采用的技术和管理的安全保 护，保护计算机硬件、软件和数据不因偶然和恶意 的原因遭到破坏、更改和泄露。 通过采用各种技术和管理措施，使网络系统正常运 行，从而确保网络数据的可用性、完整性和保密性
在收发双方不能完全信任的情况下，引入数字签名 来解决上述问题

数字签名的作用相当于手写签名
华中科技大学计算机基础教研室
42
数字签名的特点
传统签名的基本特点
与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证

数字签名是传统签名的数字化

能与所签文件“绑定” 签名者不能否认自己的签名 容易被自动验证 签名不能被伪造
华中科技大学计算机基础教研室 14
网络安全

网络安全的主要威胁及技术隐患
计算机网络的威胁来自方方面面
自然灾害,意外事故 硬件故障,软件漏洞 人为失误 计算机犯罪,黑客攻击 内部泄露,外部泄密 信息丢失,电子谍报,信息战 网络协议中的缺陷
华中科技大学计算机基础教研室
华中科技大学计算机基础教研室
50
防火墙的策略


一个防火墙系统可采用如下两种安全策略 (1) 一切未被允许的都是禁止的（软件为主）。 (2) 一切未被禁止的都是允许的（硬件为主）。 这两种防火墙策略在安全性和可用性上各有侧重， 很多防火墙系统在两者之间采取一定的折中。
是未加密的信息（明文） C 是加密后的信息（密文） E 是加密算法 参数k 称为密钥
m
华中科技大学计算机基础教研室
34
加密算法分类
密码设计的基本公理和前提是算法公开 系统的安全性仅依赖于密钥的保密性
加密算法分类 ---对称密钥密码算法（又称私有密钥算法） ---非对称密钥密码算法（又称公有密钥算法）
华中科技大学计算机基础教研室 9
建立网络安全保护措施的目的是确保经过网络传 输和交换的数据不会发生增加、修改、丢失和泄 露等 网络安全是一门涉及计算机科学、网络技术、通 信技术、密码技术、信息安全技术、应用数学、 数论和信息论等多种学科的综合性学科。
华中科技大学计算机基础教研室
10
网络安全概述
社会越来越依靠计算机网络 新的应用 电子商务 电子现金 数字货币 网络银行 电子政务 十二金工程 国家机密、军事机密
上例中置换的基本原则为：奇数位ASCII码值加1，偶数位 ASCII码值加2
华中科技大学计算机基础教研室 29
移位
移位：把某个字母以其前或后几位的某个特定的字
母替代。 移位具有规律，容易被攻破。
你能分析出以上例子中移位的规律吗？ 在计算机中，怎样才能自动实现大量复杂数据的加密和解 密？——这依赖于好的、可被计算机识别的、被验证位有效 的加密算法。
可以将这些需 求通俗地描述 为右侧的现象
华中科技大学计算机基础教研室
22
为什么要加密？

发送者想安全地发送消息给接收者
即即使数据/通信被截获，窃听者也不能阅读发
送的消息，确保信息不会泄露

Ron Rivest:“密码学是关于如何在敌人存 在的环境中通讯”
华中科技大学计算机基础教研室
23
华中科技大学计算机基础教研室
现实中的……

网站主页篡改
华中科技大学计算机基础教研室
4
2001年04月01日，美国一架海军EP3侦察机在中国海南岛东南海域上空 活动，中方两架军用飞机对其进行跟 踪监视。中方飞机正常飞行时， 美 机突然向中方飞机转向，其机头和左 翼与中方一架飞机相撞，致使中方飞 机坠毁，飞行员失踪。 中美撞机事件发生后，中美黑客之间 发生的网络大战愈演愈烈。自4月4 日以来，美国黑客组织PoizonBOx 不断袭击中国网站。对此，我国的网 络安全人员积极防备美方黑客的攻击。 中国一些黑客组织则在“五一”期间 打响了“黑客反击战”!
华中科技大学计算机基础教研室
43
数字签名的基本方法
计算需要签名信息的消息摘要 利用公开密钥加密算法和用户的私钥对消息摘要 签名 数字签名的签名算法至少要满足以下条件：

签名者事后不能否认； 接收者只能验证； 任何人不能伪造签名（包括接收者）； 双方对签名的真伪发生争执时，由权威第三方进行仲 裁; 应用最为广泛的三种算法：Hash签名、DSS签名和RSA签 名。
华中科技大学计算机基础教研室
5
实际上…
华中科技大学计算机基础教研室
6
教学内容
主要内容
网络安全和信息安全的基本理论和方法 2. 密码技术及应用 3. 防火墙、反病毒，入侵检测系统、VPN 4. 网络安全事件
1.
华中科技大学计算机基础教研室
7
7.1 信息安全概述
华中科技大学计算机基础教研室
华中科技大学计算机基础教研室
35
对称加密算法的原理
对称加密 ---传统密码加密 ---私钥算法加密
对称加密要保存很多密钥而变得很复杂密钥传送非常重 要。
华中科技大学计算机基础教研室
36
华中科技大学计算机基础教研室
37
理论安全和实际安全

理论安全，或无条件安全：
攻击者无论截获多少密文，都无法得到足够的信息 来唯一地决定明文。Shannon用理论证明：欲达理 论安全，加密密钥长度必须大于等于明文长度，密 钥只用一次，用完即丢，即一次一密，不实用。

华中科技大学计算机基础教研室
32
现代密码多为算法和密钥的形式

算法是稳定和公开的，密钥是保密和经常 改变的。
密钥
密钥
密文 解密算法 解密 密钥 原始明文
明文
加密算法 加密 密钥
明文
加密算法
密文
解密算法
原始明文
华中科技大学计算机基础教研室
33
密码是含一个参数k的数学变换

公式 C Ek (m)
加密的实现，不只是依赖以上这些基本的思想， 同时也依赖于很多巧妙的设计，如军事应用中的 加密电报，除了使用安全性很高的编码规则以外， 解密还涉及到收发报文双方的约定。
华中科技大学计算机基础教研室 28
置换
置换是用一个特定的值替换另一个特定值的过程。 置换需要通信双方事先知道置换的方法 置换比较简单，频繁使用会找到规律。
15
常用的网络安全措施
华中科技大学计算机基础教研室
16
网络安全与信息安全

广义上，计算机网络所面临的安全威胁有三方面： 数据（信息）安全 运行（系统）安全 物理（实体）安全 信息安全：信息泄露、信息伪造、信息篡改。 （数据安全） 网络安全：网络中断、网速下降 （运行安全、物理安全）


华中科技大学计算机基础教研室