信息安全专题讲座课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《信息安全专题讲座课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 专题讲座 课件
- 资源描述:
-
1、信息安全专题讲座信息安全专题讲座 一、美军情况一、美军情况 二、安全技术二、安全技术一一、美军情况、美军情况 1 1、计划与进展、计划与进展规划:规划:C C4 4I I2 2SRSR,标志着美军进入互联网时代,标志着美军进入互联网时代 计算机网:计算机网:C C3 3I I(星状,格状)(星状,格状)互互 联联 网:网:C C4 4I I2 2SRSR(格状);(格状); 进展:进展:93-9693-96年,年,2 2万万600600个个 分步开放分步开放 2 2、网络发展、网络发展 计算机网到互联网计算机网到互联网 封闭网到开放网封闭网到开放网 集团通信到个人通信集团通信到个人通信 有中心
2、网到无中心网有中心网到无中心网 3 3、互联网课题、互联网课题 美军认为:军事工作已离不开互联网,美军认为:军事工作已离不开互联网, 提倡使用,提倡使用, 同时提出研究课题同时提出研究课题 研究课题:防火墙研究课题:防火墙 网络警察网络警察 源地址跟踪源地址跟踪4 4、美国防部观念变化、美国防部观念变化 标准制定标准制定商品化商品化重复建设重复建设 vulnerability: vulnerability: 漏洞漏洞二二、安全技术安全技术 密码算法密码算法 认证逻辑认证逻辑 密钥管理密钥管理 保护技术保护技术1、密码算法、密码算法 目的:目的: 将秘密信息改成公开信息将秘密信息改成公开信息授权
3、控制;授权控制;算法:对称算法,技术饱和算法:对称算法,技术饱和公钥算法,公钥算法,RSARSA DH, ELGAMEL DH, ELGAMEL ECC ECC用途:数据加密用途:数据加密部分认证部分认证构建构建VPNVPN RSA体制体制建立在建立在IFPIFP(integer factorization problemminteger factorization problemm)上。上。 作业参数作业参数:私钥:私钥:SK=DSK=D; 公钥:公钥:PK=EPK=E;T=NT=N; 加密(验证):加密(验证):A AE E mod N = Cmod N = C; 脱密(签名):脱密(签名
4、):C CD D mod N = Amod N = A; 因为因为 N=pqN=pq,而,而p p、q q是素数,是素数, 所以所以E E* *D=1mod(p-1)(q-1)D=1mod(p-1)(q-1) D-H体制体制 建立在建立在DLPDLP(discrete logarithm problem)(discrete logarithm problem)上。上。 参数:参数:T=g,p (pT=g,p (p是素数是素数) ) 私钥:私钥:a ba b 公钥:公钥:g ga a mod p=Kmod p=KA A; g gb b mod p=Kmod p=KB B 在在A A方:方: (
5、(g gb b) )a a mod p= gmod p= gba ba mod p=keymod p=key 在在B B方:方: ( (g ga a) )b b mod p= gmod p= gab ab mod p=keymod p=key 在在C C方:方: (g(ga a) (g) (gb b) ) = g= ga a+b+b keykey ECC体制体制 ECCECC是基于是基于ECDLPECDLP(elliptic curve discrete (elliptic curve discrete logaritmlogaritm problem) problem)的密码体制。的密码体制
6、。 设设FqFq上椭圆曲线上椭圆曲线 E:yE:y2 2=x=x3 3+ax+b mod p+ax+b mod p 参数:参数:T=a,b,G=(x,y),n,pT=a,b,G=(x,y),n,p 私钥:私钥:K K 公钥:公钥:KGKG 应用:可以模拟所有应用:可以模拟所有DLPDLP体制的密码。体制的密码。 三种体制比较三种体制比较 参数参数 公钥公钥 私钥私钥 IFP RSA - IFP RSA - 1088 1024 1088 1024 DLP DSA 2208 1024 DLP DSA 2208 1024 160 160 ECDLP ECDSP 481 161 ECDLP ECDSP
7、 481 161 160 160 2、认证逻辑:、认证逻辑: 信任逻辑:注册性信任逻辑:注册性 共有性共有性 唯一性唯一性 一体性一体性 主从性主从性 相信逻辑:相信逻辑:BANBAN逻辑逻辑 NRLNRL逻辑逻辑 生物特征生物特征 主要用于实体认证主要用于实体认证 指纹指纹 (4(4K)K) 视网膜视网膜 (2(2K)K) 虹膜虹膜 (256(256B)B) 面部特征与语音特征面部特征与语音特征 (16(16K)K)BANBAN逻辑逻辑 1 1、解读性规则(、解读性规则(meaning of message)meaning of message) K K 如果如果 P Q P , P X K
8、 (相信)(共有)(相信)(共有) (能读)(能读) 那么那么 P Q X (相信)(所做)(相信)(所做) if P BELIEVES P AND Q SHARED KEY K THEN P BELIEVES THAT Q ONCE WROTE X 当次性规则当次性规则 2 2、当次性规则、当次性规则( (rule of nonce)rule of nonce) 如果如果 P #(X) , P Q X 那么那么 P Q X IF P BELIEVES X IS NEW AND P BELIEVES Q ONCE WROTE X THEN P BELIEVES THAT Q BELIEVES
9、X管辖性规则管辖性规则 3 3、管辖性规则、管辖性规则( (jurisdiction)jurisdiction) 如果如果 P Q X ,P Q X 那么那么 P X IF P BELIEVES THAT Q HAS JURISDICTION OVER XAND P BELIEVES THAT Q BELIEVES X THEN P BEKIEVES X两种逻辑两种逻辑 1) 信任链信任链 2)相信链(证明链)相信链(证明链) 3)协议分析)协议分析信任链信任链 信任建立:信任建立:“合同合同” “注册注册” 信任转移:不是安全控制机制;信任转移:不是安全控制机制; 转移结果:转移结果:A公司
10、的证件由公司的证件由B公司签发;公司签发; 权利转移结果是失去权利;权利转移结果是失去权利; 信任转移结果是失去信任关系;信任转移结果是失去信任关系;相信链相信链1)相信逻辑能否推导信任结果?)相信逻辑能否推导信任结果?2)零知识证明;)零知识证明;a)相信逻辑欲推导信任结果;相信逻辑欲推导信任结果; b)没有信任关系,推导相信结果;没有信任关系,推导相信结果;3)信任结果是可否;如:访问权)信任结果是可否;如:访问权 相信结果是是否;如:到商店买东西相信结果是是否;如:到商店买东西 银行支票流通银行支票流通协议评估协议评估1)零知识证明:相信逻辑;)零知识证明:相信逻辑; 2)kerbero
11、s: kerberos-client:信任逻辑;信任逻辑; TGS -client:相信逻辑;相信逻辑; Server -client:相信逻辑;相信逻辑;3)CA:相信逻辑;:相信逻辑; KERBEROSKERBEROSCLIENTSERVERTGS第三方信任逻辑相信逻辑相信逻辑 CA 证明链证明链CACA1CA2CA11CA12CA21CA22个人证书个人证书个人证书个人证书(PKI)CA11,(,(PKCA11)CA1,(,(PKCA1)CA(PKJ)CA21,(,(PKCA21)CA2,(,(PKCA2)CAijSchnneier评语:评语: 一个可信人给某人的公钥签名就成了公钥证书。
12、这个可信人就是一个可信人给某人的公钥签名就成了公钥证书。这个可信人就是证明机构(证明机构(certification authority).有一种非密码的复杂问题困扰这类系统。证明的含义是什么,谁受到有一种非密码的复杂问题困扰这类系统。证明的含义是什么,谁受到信任,给谁发证书?任何人都可以给任何其他人的证书签名。信任,给谁发证书?任何人都可以给任何其他人的证书签名。 通常,一个证明链(通常,一个证明链(certification chain)是信任转移的:一个可信是信任转移的:一个可信实体证明很多可信代理,可信代理证明很多可信公司的实体证明很多可信代理,可信代理证明很多可信公司的CA,各公司的
13、,各公司的CA证明各自的雇员。证明各自的雇员。-证书中的个人身份有多大可信度?证书中的个人身份有多大可信度?-一个人和给他发证书的一个人和给他发证书的CA之间是什么关系?之间是什么关系?-谁能作为最顶上的谁能作为最顶上的“唯一可信实体唯一可信实体”?-证明链到底多长?证明链到底多长?-对对CA来说作废证书的保留是至关重要的,但仍是一个难题。来说作废证书的保留是至关重要的,但仍是一个难题。 支付逻辑支付逻辑顾客顾客受理行受理行商场商场发行行发行行建立信任建立信任相信逻辑相信逻辑信任逻辑信任逻辑相信逻辑相信逻辑信任逻辑信任逻辑信任逻辑信任逻辑3、密钥管理:、密钥管理: 基本概念基本概念 重要性:逻
14、辑隔离技术之一重要性:逻辑隔离技术之一重要的认证参数重要的认证参数两种体制:两种体制:KDC,CDCKDC,CDC CA ,PGP CA ,PGP 密钥分级:三级:对数据加密的密钥密钥分级:三级:对数据加密的密钥 二级:对三级密钥加密的密钥二级:对三级密钥加密的密钥 一级:对二级密钥保护的密钥一级:对二级密钥保护的密钥密钥使用举例密钥使用举例 HASHHASH(DATADATA)= MAC; (MAC)DA=SIGN E E RAN1RAN1 ( DATA/SIGN DATA/SIGN )=CODE=CODE E EKA-BKA-B(RAN1)=RAN2(RAN1)=RAN2 发送:(发送:(
15、RAN2RAN2,CODECODE)密钥管理的主要内容密钥管理的主要内容 密钥生产:个人,无边界,无中心密钥生产:个人,无边界,无中心CACA统一,有边界,有中心统一,有边界,有中心 KDCKDC 密钥分发:动态,密钥分发:动态,KDC, CAKDC, CA 静态,静态,KDCKDC 密钥存储:专用媒体密钥存储:专用媒体( (KDC)KDC)分散存储分散存储( (PGP)PGP)公用媒体公用媒体( (KDC,CA)KDC,CA)静态分发:单层星状配置静态分发:单层星状配置中心K1K2K3KnT2, K2T3, K3TN, Kn T1, K1静态分发:网状配置静态分发:网状配置CBDAKA-BK
16、A-CKA-DKC-AKC-BKC-DKD-AKD-BKD-CKB-AKB-CKB-D动态分发:动态分发:KDCKDC,拉方式,拉方式分发协议:分发协议:1) 1) a ac c:request/n1;request/n1;2) c2) caa:E EKAKA(KS/request/n1/E(KS/request/n1/EKBKB(KS,ID(KS,IDA A)3) a3) ab b:E EKBKB(KS,ID(KS,IDA A) ) 这样这样a,ba,b双方都有相同的密钥双方都有相同的密钥KSKS。验证协议:验证协议:4) 4) b ba a:E EKSKS(N2)(N2)5) a5) ab
17、b:E EKSKS(fN2),(fN2), 其中其中f f是简单函数,是加是简单函数,是加1 1等简单变换。等简单变换。KDCBB 动态分发:动态分发:KDC,推方式,推方式分发协议:分发协议: 1 1)a abb:a,Ea,EKAKA(EMa(EMa);); 2) bc 2) bc:E EKAKA(EMa(EMa) ) 3 3)c cb b:E EKBKB(KS,a ,EMb(KS,a ,EMb), E), EKAKA(KS,b,EMa(KS,b,EMa) ) 4 4)b ba a:E EKAKA(KS,b,EMa(KS,b,EMa) )KDCABCA动态分发,动态分发,CAU1, SK1U
18、2, SK2证书作废系统Pk1(Pk1)ca(Pk2)caPk2CA特点特点开放环境中研究,采用公开技术;开放环境中研究,采用公开技术;密钥由个人生产,无边界,无中心;密钥由个人生产,无边界,无中心;安全责任由个人承担;安全责任由个人承担;排斥政府干预;排斥政府干预;密钥变量必须公开;密钥变量必须公开;密钥动态分发,需要密钥传递协议支持;密钥动态分发,需要密钥传递协议支持;密钥变更方便,但需要证书作废系统支持;密钥变更方便,但需要证书作废系统支持;需要解决公共媒体的安全;需要解决公共媒体的安全; 9 理论基础是相信逻辑理论基础是相信逻辑KDC的特点的特点密钥由中心统一生产,分发协议简单,安全;
19、密钥由中心统一生产,分发协议简单,安全;安全责任由中心承担;安全责任由中心承担;密钥变量可以加密保护;密钥变量可以加密保护; 可以做到静态分发,必须解决密钥存储技术;可以做到静态分发,必须解决密钥存储技术;KoberosKoberos排过排过2525万;我国技术:万;我国技术:ECC ECC 多重运算多重运算密钥更换不方便,不需要证书作废系统支持;密钥更换不方便,不需要证书作废系统支持;适用于有边界的适用于有边界的VPNVPN网。网。 7 7理论基础是信任逻辑理论基础是信任逻辑 4、保护技术:、保护技术: P.D.RP.D.R模型:模型:Protection, Detection, Respo
20、nseProtection, Detection, Response指系统保护指系统保护 保护:隔离保护(防火墙,安全网关)保护:隔离保护(防火墙,安全网关)防病毒防病毒探测:漏洞探测探测:漏洞探测入侵探测(被动,主动)入侵探测(被动,主动)反映:反映: 几种意识几种意识 风险意识:百分之百的安全是不可能的;风险意识:百分之百的安全是不可能的; 明确明确“干什么干什么”和和 “怕什么怕什么” 做到什么样的做到什么样的“度度”权衡意识:系统开销,经济承受力等综合权衡;权衡意识:系统开销,经济承受力等综合权衡;准确定义业务要求;准确定义业务要求;数据库加密之例;数据库加密之例;相对意识:理想的技术
21、不适用,在用技术有缺点;相对意识:理想的技术不适用,在用技术有缺点; 准确定义安全保密要求;准确定义安全保密要求;防火墙的等级;防火墙的等级;集成意识:集成是我国安全产品发展的捷径。集成意识:集成是我国安全产品发展的捷径。第二章第二章 经典密码学经典密码学 加密通信的模型Alice加密机解密机Bob安全信道密钥源Oscarxyxk密码学的目的密码学的目的:Alice和Bob两个人在不安全的信道上进行通信,而破译者Oscar不能理解他们通信的内容。 定义定义: (密码体制)密码体制)它是一个五元组(P,C,K,E,D)满足条件: (1)P是可能明文的有限集;(明文空间) (2)C是可能密文的有限
22、集;(密文空间) (3)K是一切可能密钥构成的有限集;(密钥空间) *(4)任意 ,有一个加密算法 和相应的解密算法 ,使得 和 分别为加密解密函数,满足 。注:1*.Alice要将明文在不安全信道上发给Bob,设X=x1 x2 xn , 其中 , Alice用加密算法ek作yi=ek(xi) 1 i n 结果的密文是 Y=y1y2.yn ,在信道上发送, Bob收到后解密:xi=dk(yi) 得到明文X=x1 x2 xn .。EekDdkCPek:PCdk:Pxxxedkk,)(这里PxiKk 2*.加密函数ek必须是单射函数,就是一对一的函数。 3*.若P=C,则ek为一个置换。 4*.好
23、的密钥算法是唯密钥而保密的。 5*.若Alice和Bob在一次通信中使用相同的密钥,那么这个加密体制为对称的,否则称为非对称的。1.1.移位密码体制移位密码体制 设P=C=K=Z/(26),对 ,定义 同时dk(y)=y-k (mod 26)注1*:26个英文字母与模26剩余类集合0,.,25建立一一对应: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 2*.当k=3时,为Caesar密码: 若明文:m
24、eet me after the toga party 密文:PHHW PH DIWHO WKH WRJD SDUWB 实际算法为: 有 同时有,d3(y)=y-3 (mod 26)Pxyxxe)26(mod3)(3KkCykxxek)26(mod)(3*.一个密码体制要是实际可用必须满足的特性 每一个加密函数ek和每一个解密函数dk都能有效地计算。 破译者取得密文后,将不能在有效的时间内破解出密钥k或明文x。 一个密码体制是安全的必要条件穷举密钥搜索将是不可行的,即密钥空间将是非常大的。2.替换密码体制替换密码体制 设P=C=Z/(26),K是由26个符号0,1,.,25的所有可能置换组成。
25、任意 ,定义 d (y)=-1(y)=x, -1是的逆置换。 注:1*. 置换的表示: 2*密钥空间K很大,|K|=26! 41026,破译者穷举搜索是不行的,然而,可由统计的方式破译它。3*移位密码体制是替换密码体制的一个特例,它仅含26个置换做为密钥空间K且yxxe)()(252423 3 2 1 025242332103.仿射密码体制仿射密码体制 替换密码的另一个特例就是仿射密码。 加密函数取形式为 要求唯一解的充要条件是gcd( a,26)=1 该体制描述为: 设P=C=Z/(26) 对 定义 ek(x)=ax+b (mod 26)和dk(y)=a-1(y-b)(mod 26) )26
展开阅读全文