网络信息安全概括
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(1)真实性鉴别:对通信双方的身份和所传送信息的真伪能准 确地进行鉴别
(2)访问控制:控制用户对信息等资源的访问权限,防止未经 授权使用资源
(3)数据加密:保护数据秘密,未经授权其内容不会显露 (4)保证数据完整性:保护数据不被非法修改,使数据在传送
前、后保持完全相同 (5)保证数据可用性:保护数据在任何情况(包括系统故障)
hashing
私钥加密
数字 签名
添加至正文
传送
①
摘要
②
③
数字 签名
④传
消息正文
附有数字签名的消息
送
对原始消息的正文 进行散列处理生成 消息的摘要
使用消息发送人的私 钥对摘要进行加密而 得到数字签名
将数字签 名添加到 原始消息
给
网络 接 收 方
数字签名正确 消息未被篡改
对比 ⑦
对收到的原始消息正文 进行散列处理得到一个 ⑤ 新的摘要
下不会丢失 (6)防止否认:防止接收方或发送方抵赖 (7)审计管理:监督用户活动、记录用户操作等
4.5.2 数据加密
数据加密的基本概念
目的:即使被窃取,也能保证数据安全
重要性:数据加密是其他信息安全措施的基础
基本概念:
只有收/发方知道的 用于加密和解密的信息
加密前的 原始数据
加密后的数据
解密后恢 复的数据
伪造消息(无中生有)
■ 窜改消息内容
消息认证:对收到的消息进行验证,验证它确实来自声称 的发送方(消息的真实性),且没有被修改过(消息的完整性)
常规解决方案:签字盖章,人工检验有无涂改迹象
与被签文件在物理上不可分割
签名者不能否认自己的签名
签名不能被伪造
计算机网络的解决方案:数字签名
数字签名的处理过程
乙
有使用乙
加密器
解密器
的公钥才
甲方使用乙的 公钥进行加密
使用公钥无法 恢复明文,也 无法推断出私
钥
乙方利用自己 的私钥解密
能解密
பைடு நூலகம்
•只要密钥长度足够长,用RSA加密的信息目前还不能被破解
•网上银行使用的RSA算法,其密钥长度为1024或2048位
选讲:
公钥加密举例(RSA算法)
产生密钥对:
z称为n的Euler数
选择: e = 5 , 5和24互质 选择:d = 29,
( 因为(5x29-1)/24=0 ) 于是公钥为: {5, 35}
私钥为: {29, 35}
使用:
加密: C = Me mod n
使用举例:设明文中的字 母为L,即M=12
解密: M = Cd mod n
加密: C = 125 mod 35 = 17
phhw ph diwhu wkh fodvv
将文本中每 个英文字母 替换为字母 表中排列在 其前的第k2 个字母
meet me after the class
a b c d e f g h i j ak bl cm d e f g h i j d e f g h i j k l m xn yo zp a b c d e f g n o p q r s t u v w nx oy pz q r s t u v w q r s t u v w x y z ka lb mc n o p q r s t
s
d
3 真实性鉴别:对交
易双方的身份进行 认证,保证交易双
伪造
方的身份正确无误 数据(包括用户身份)
被伪造,失去真实性
s
d
数据被破
篡改
坏,失去 完整性
2 保证数据完整性:所传输的 交易信息中途不被篡改,一旦 遭到篡改很快就能发现
4 防止否认:交易完成后, 应保证交易的任何一方 无法否认已发生的交易
确保信息安全的技术措施
由于n = pq是公开的,所以,为了防止攻击者 解密: M = 1729 mod 35 = 12
利用n推算出p和q,必须选择足够大的素数p和 q,使n达到1024位以上,才能不被破解
4.5.3 数字签名
用于认证消息的真实性
消息认证(Message Authentication)
在通信过程中,应防止发生:
计算安全性(Computationally) 破解的代价超过了消息本身的价值 破解的时间超过了消息本身的有效期
非对称密钥加密方法——公钥加密
使用一对不相同的密钥:私钥只有本人知
道,公钥可让其他用户知道
甲的
公钥环
戊
丙
丁乙 使用乙的
公钥加密
甲
明文
密文
乙用私钥
使用乙的 私钥解密
加密的消 息,甲只
明文
接收方使用发送方的公 ⑥
数字 签名
钥对数字签名解密恢复 附有数字签名的消息
出消息摘要
数字签名中的双重加密
用接收方的公钥对已 添加了数字签名的消 息再进行加密
用接收方的私钥对接 收的消息解密并取出 数字签名
用发送方的私钥加 密信息摘要,得到 数字签名
对称密钥加密方法
密钥K1=K2
特点: 加密的密钥也用于解密
密钥K1
密钥K2
密钥越长,安全性越好
密文
(数据传输)
明文
加密
解密
计算量适中,速度快,适 用于对大数据量消息加密
明文
对称密钥加密方法的标准 DES算法(密钥长度56位): 共有256=7.2 × 1016种可能,1998年使用穷 举法仅花费了22小时15分钟就攻破DES 现在广泛使用AES(高级加密标准),其密钥长度为:128、192 或256位
1. 选择两个素数p和q, 且 pq
选择: p=5, q=7
n为6 bits
2. 计算:n = pq, z = (p-1)(q-1)
计算:n = 35, z = 24
3. 选择一个比z小的整数e, 使得 e和 z互质
4. 计算d,使得ed-1能被z整除 5. 于是公钥为: {e,n}
私钥为: {d,n}
4.5 网络信息安全
4.6.1 概述 4.6.2 数据加密 4.6.3 数字签名 4.6.4 身份鉴别与访问控制 4.6.5 防火墙与入侵检测 4.6.6 计算机病毒防范
4.5.1 概述
网络信息安全受到的威胁及对策
s
d
窃听 数据被非法拷贝,危及数 据的机密性
1 数据加密:即使数据在网络 传输过程中被他人窃取,也不 会泄露秘密
密码(cipher):将明文与密文 进行相互转换的算法
加密算法的基本思想
改变明文中符号的排列,或按照某种规律置换明文中的符号
例1 移位式 ‘help me’变成‘ehpl em’
例2 替代式(恺撒密码): k1=3
K2=3
meet me after the class
将文本中每 个英文字母 替换为字母 表中排列在 其后的第k1 个字母
(2)访问控制:控制用户对信息等资源的访问权限,防止未经 授权使用资源
(3)数据加密:保护数据秘密,未经授权其内容不会显露 (4)保证数据完整性:保护数据不被非法修改,使数据在传送
前、后保持完全相同 (5)保证数据可用性:保护数据在任何情况(包括系统故障)
hashing
私钥加密
数字 签名
添加至正文
传送
①
摘要
②
③
数字 签名
④传
消息正文
附有数字签名的消息
送
对原始消息的正文 进行散列处理生成 消息的摘要
使用消息发送人的私 钥对摘要进行加密而 得到数字签名
将数字签 名添加到 原始消息
给
网络 接 收 方
数字签名正确 消息未被篡改
对比 ⑦
对收到的原始消息正文 进行散列处理得到一个 ⑤ 新的摘要
下不会丢失 (6)防止否认:防止接收方或发送方抵赖 (7)审计管理:监督用户活动、记录用户操作等
4.5.2 数据加密
数据加密的基本概念
目的:即使被窃取,也能保证数据安全
重要性:数据加密是其他信息安全措施的基础
基本概念:
只有收/发方知道的 用于加密和解密的信息
加密前的 原始数据
加密后的数据
解密后恢 复的数据
伪造消息(无中生有)
■ 窜改消息内容
消息认证:对收到的消息进行验证,验证它确实来自声称 的发送方(消息的真实性),且没有被修改过(消息的完整性)
常规解决方案:签字盖章,人工检验有无涂改迹象
与被签文件在物理上不可分割
签名者不能否认自己的签名
签名不能被伪造
计算机网络的解决方案:数字签名
数字签名的处理过程
乙
有使用乙
加密器
解密器
的公钥才
甲方使用乙的 公钥进行加密
使用公钥无法 恢复明文,也 无法推断出私
钥
乙方利用自己 的私钥解密
能解密
பைடு நூலகம்
•只要密钥长度足够长,用RSA加密的信息目前还不能被破解
•网上银行使用的RSA算法,其密钥长度为1024或2048位
选讲:
公钥加密举例(RSA算法)
产生密钥对:
z称为n的Euler数
选择: e = 5 , 5和24互质 选择:d = 29,
( 因为(5x29-1)/24=0 ) 于是公钥为: {5, 35}
私钥为: {29, 35}
使用:
加密: C = Me mod n
使用举例:设明文中的字 母为L,即M=12
解密: M = Cd mod n
加密: C = 125 mod 35 = 17
phhw ph diwhu wkh fodvv
将文本中每 个英文字母 替换为字母 表中排列在 其前的第k2 个字母
meet me after the class
a b c d e f g h i j ak bl cm d e f g h i j d e f g h i j k l m xn yo zp a b c d e f g n o p q r s t u v w nx oy pz q r s t u v w q r s t u v w x y z ka lb mc n o p q r s t
s
d
3 真实性鉴别:对交
易双方的身份进行 认证,保证交易双
伪造
方的身份正确无误 数据(包括用户身份)
被伪造,失去真实性
s
d
数据被破
篡改
坏,失去 完整性
2 保证数据完整性:所传输的 交易信息中途不被篡改,一旦 遭到篡改很快就能发现
4 防止否认:交易完成后, 应保证交易的任何一方 无法否认已发生的交易
确保信息安全的技术措施
由于n = pq是公开的,所以,为了防止攻击者 解密: M = 1729 mod 35 = 12
利用n推算出p和q,必须选择足够大的素数p和 q,使n达到1024位以上,才能不被破解
4.5.3 数字签名
用于认证消息的真实性
消息认证(Message Authentication)
在通信过程中,应防止发生:
计算安全性(Computationally) 破解的代价超过了消息本身的价值 破解的时间超过了消息本身的有效期
非对称密钥加密方法——公钥加密
使用一对不相同的密钥:私钥只有本人知
道,公钥可让其他用户知道
甲的
公钥环
戊
丙
丁乙 使用乙的
公钥加密
甲
明文
密文
乙用私钥
使用乙的 私钥解密
加密的消 息,甲只
明文
接收方使用发送方的公 ⑥
数字 签名
钥对数字签名解密恢复 附有数字签名的消息
出消息摘要
数字签名中的双重加密
用接收方的公钥对已 添加了数字签名的消 息再进行加密
用接收方的私钥对接 收的消息解密并取出 数字签名
用发送方的私钥加 密信息摘要,得到 数字签名
对称密钥加密方法
密钥K1=K2
特点: 加密的密钥也用于解密
密钥K1
密钥K2
密钥越长,安全性越好
密文
(数据传输)
明文
加密
解密
计算量适中,速度快,适 用于对大数据量消息加密
明文
对称密钥加密方法的标准 DES算法(密钥长度56位): 共有256=7.2 × 1016种可能,1998年使用穷 举法仅花费了22小时15分钟就攻破DES 现在广泛使用AES(高级加密标准),其密钥长度为:128、192 或256位
1. 选择两个素数p和q, 且 pq
选择: p=5, q=7
n为6 bits
2. 计算:n = pq, z = (p-1)(q-1)
计算:n = 35, z = 24
3. 选择一个比z小的整数e, 使得 e和 z互质
4. 计算d,使得ed-1能被z整除 5. 于是公钥为: {e,n}
私钥为: {d,n}
4.5 网络信息安全
4.6.1 概述 4.6.2 数据加密 4.6.3 数字签名 4.6.4 身份鉴别与访问控制 4.6.5 防火墙与入侵检测 4.6.6 计算机病毒防范
4.5.1 概述
网络信息安全受到的威胁及对策
s
d
窃听 数据被非法拷贝,危及数 据的机密性
1 数据加密:即使数据在网络 传输过程中被他人窃取,也不 会泄露秘密
密码(cipher):将明文与密文 进行相互转换的算法
加密算法的基本思想
改变明文中符号的排列,或按照某种规律置换明文中的符号
例1 移位式 ‘help me’变成‘ehpl em’
例2 替代式(恺撒密码): k1=3
K2=3
meet me after the class
将文本中每 个英文字母 替换为字母 表中排列在 其后的第k1 个字母