網(wǎng)絡(luò)信息安全課件

4.5網(wǎng)絡(luò)信息安全4.6.1概述4.6.2數(shù)據(jù)加密4.6.3數(shù)字簽名4.6.4身份鑒別與訪問控制4.6.5防火墻與入侵檢測(cè)4.6.6計(jì)算機(jī)病毒防范4.5.1概述網(wǎng)絡(luò)信息安全受到的威脅及對(duì)策篡改sd數(shù)據(jù)被破壞，失去完整性

2保證數(shù)據(jù)完整性：所傳輸?shù)慕灰仔畔⒅型静槐淮鄹?，一旦遭到篡改很快就能發(fā)現(xiàn)

偽造sd數(shù)據(jù)(包括用戶身份)被偽造，失去真實(shí)性

3真實(shí)性鑒別：對(duì)交易雙方的身份進(jìn)行認(rèn)證，保證交易雙方的身份正確無誤

竊聽sd數(shù)據(jù)被非法拷貝,危及數(shù)據(jù)的機(jī)密性

1數(shù)據(jù)加密：即使數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被他人竊取，也不會(huì)泄露秘密

4防止否認(rèn)：交易完成后，應(yīng)保證交易的任何一方無法否認(rèn)已發(fā)生的交易4.5.2數(shù)據(jù)加密數(shù)據(jù)加密的基本概念加密前的原始數(shù)據(jù)加密后的數(shù)據(jù)只有收/發(fā)方知道的用于加密和解密的信息密碼(cipher):將明文與密文進(jìn)行相互轉(zhuǎn)換的算法解密后恢復(fù)的數(shù)據(jù)目的：即使被竊取，也能保證數(shù)據(jù)安全重要性：數(shù)據(jù)加密是其他信息安全措施的基礎(chǔ)基本概念：加密算法的基本思想改變明文中符號(hào)的排列，或按照某種規(guī)律置換明文中的符號(hào)例1移位式‘helpme’變成‘ehplem’

例2替代式(愷撒密碼)：phhwphdiwhuwkhfodvv將文本中每個(gè)英文字母替換為字母表中排列在其后的第k1個(gè)字母meetmeaftertheclassk1=3meetmeaftertheclass將文本中每個(gè)英文字母替換為字母表中排列在其前的第k2個(gè)字母K2=3abcdefghijklmdefghijklmnopnopqrstuvwxyzqrstuvwxyzabcabcdefghijklmxyzabcdefghijnopqrstuvwxyzklmnopqrstuvw非對(duì)稱密鑰加密方法——公鑰加密使用乙的公鑰加密甲乙密文乙丙丁戊使用乙的私鑰解密加密器解密器明文明文甲的公鑰環(huán)使用一對(duì)不相同的密鑰：私鑰只有本人知道，公鑰可讓其他用戶知道甲方使用乙的公鑰進(jìn)行加密乙方利用自己的私鑰解密使用公鑰無法恢復(fù)明文，也無法推斷出私鑰乙用私鑰加密的消息，甲只有使用乙的公鑰才能解密只要密鑰長(zhǎng)度足夠長(zhǎng)，用RSA加密的信息目前還不能被破解網(wǎng)上銀行使用的RSA算法，其密鑰長(zhǎng)度為1024或2048位選講：

公鑰加密舉例（RSA算法）產(chǎn)生密鑰對(duì)：選擇兩個(gè)素?cái)?shù)p和q,且pq計(jì)算：n=pq,z=(p-1)(q-1)選擇一個(gè)比z小的整數(shù)e,使得e和z互質(zhì)計(jì)算d，使得ed-1能被z整除于是公鑰為：{e,n}私鑰為：{d,n}使用：加密:C=Memodn解密:M=Cdmodn選擇:p=5,q=7計(jì)算：n=35,z=24選擇:e=5,5和24互質(zhì)選擇：d=29,

(因?yàn)?5x29-1)/24=0)于是公鑰為：{5,35}私鑰為：{29,35}使用舉例：設(shè)明文中的字母為L(zhǎng)，即M=12加密:C=125mod35=17解密:M=1729mod35=12z稱為n的Euler數(shù)由于n=pq是公開的，所以，為了防止攻擊者利用n推算出p和q，必須選擇足夠大的素?cái)?shù)p和q，使n達(dá)到1024位以上，才能不被破解n為6bits4.5.3數(shù)字簽名用于認(rèn)證消息的真實(shí)性什么是數(shù)字簽名？數(shù)字簽名的含義：數(shù)字簽名是與消息一起發(fā)送的一串代碼，它無法偽造，并能發(fā)現(xiàn)消息內(nèi)容的任何變化數(shù)字簽名的目的：讓對(duì)方相信消息的真實(shí)性數(shù)字簽名的用途：在電子商務(wù)和電子政務(wù)中用來鑒別消息的真?zhèn)螌?duì)數(shù)字簽名的要求：無法偽造能發(fā)現(xiàn)消息內(nèi)容的任何變化數(shù)字簽名的處理過程hashing摘要消息正文私鑰加密數(shù)字簽名添加至正文附有數(shù)字簽名的消息數(shù)字簽名①②③傳送對(duì)原始消息的正文進(jìn)行散列處理生成消息的摘要使用消息發(fā)送人的私鑰對(duì)摘要進(jìn)行加密而得到數(shù)字簽名接收方使用發(fā)送方的公鑰對(duì)數(shù)字簽名解密恢復(fù)出消息摘要對(duì)收到的原始消息正文進(jìn)行散列處理得到一個(gè)新的摘要對(duì)比附有數(shù)字簽名的消息數(shù)字簽名網(wǎng)絡(luò)傳送給接收方將數(shù)字簽名添加到原始消息④⑤⑥⑦數(shù)字簽名正確消息未被篡改數(shù)字簽名中的雙重加密用接收方的公鑰對(duì)已添加了數(shù)字簽名的消息再進(jìn)行加密用接收方的私鑰對(duì)接收的消息解密并取出數(shù)字簽名用發(fā)送方的私鑰加密信息摘要，得到數(shù)字簽名用發(fā)送方的公鑰解密數(shù)字簽名，得到信息摘要身份鑒別(認(rèn)證)身份鑒別的含義:證實(shí)某人的真實(shí)身份是否與其所聲稱的身份相符,以防止欺詐和假冒什么時(shí)候進(jìn)行?在用戶登錄某個(gè)系統(tǒng)，或者在訪問/傳送重要消息時(shí)進(jìn)行身份鑒別的依據(jù)(方法):鑒別對(duì)象本人才知道的信息(如口令、私鑰、身份證號(hào)等)鑒別對(duì)象本人才具有的信物(例如磁卡、IC卡、USB鑰匙等)鑒別對(duì)象本人才具有的生理特征(例如指紋、手紋等)通常在注冊(cè)時(shí)記錄在案口令（密碼）容易被猜、被盜、被偷窺，電腦中植入的木馬程序會(huì)記錄操作者的鍵入數(shù)據(jù)，發(fā)送給黑客進(jìn)行分析，以查找密碼雙因素認(rèn)證（口令+磁卡，口令+U盾）大大提高了安全性！選講：

例：網(wǎng)上銀行的身份認(rèn)證/信息安全網(wǎng)上銀行：使用因特網(wǎng)完成銀行的各種金融服務(wù)，如賬戶查詢、轉(zhuǎn)賬、網(wǎng)上支付等網(wǎng)上銀行的組成：客戶端：電腦(手機(jī))，以及USBKey、口令卡等通信網(wǎng)絡(luò)：使用HTTPS協(xié)議保證傳輸過程中不被竊聽服務(wù)器：高效和安全地處理各種網(wǎng)上銀行業(yè)務(wù)網(wǎng)上銀行用戶身份認(rèn)證的3種方式：用戶名+口令（僅適合賬戶查詢）用戶名+口令+文件證書（數(shù)字證書在瀏覽器中）用戶名+口令+USB證書（數(shù)字證書在U盾中）選講：

數(shù)字證書數(shù)字證書是一組數(shù)據(jù)構(gòu)成的電腦文件，包含用戶的身份信息、頒證機(jī)構(gòu)、有效期及一個(gè)公鑰。憑借數(shù)字證書，擁有人可在互聯(lián)網(wǎng)交往中互相識(shí)別對(duì)方的身分，確保信息安全數(shù)字證書從數(shù)字證書認(rèn)證中心（CA中心）獲得，獲得的證書可存放在：瀏覽器、U盾、IC卡中數(shù)字證書用途：

證實(shí)用戶身份驗(yàn)證網(wǎng)站(或軟件)是否可信進(jìn)行數(shù)字簽名，確保通信真實(shí)、不可抵賴選講：

網(wǎng)上銀行交易過程舉例1客戶輸入本人賬號(hào)、口令，登錄網(wǎng)上銀行，選擇匯款操作2輸入收款人賬號(hào)、姓名、開戶行名稱、匯款金額等數(shù)據(jù)（明文）3插入U(xiǎn)盾，輸入U(xiǎn)盾口令啟動(dòng)U盾工作，銀行服務(wù)器驗(yàn)證U盾中的證書，確認(rèn)客戶身份（需查詢證書有效期和是否列入黑名單），取得客戶的公鑰4U盾使用客戶的私鑰對(duì)上述匯款信息進(jìn)行數(shù)字簽名，附加于匯款信息5U盾隨機(jī)產(chǎn)生一個(gè)密鑰，使用對(duì)稱密鑰加密算法對(duì)匯款信息和數(shù)字簽名進(jìn)行加密，形成交易密文6U盾使用銀行的公鑰對(duì)隨機(jī)產(chǎn)生的密鑰進(jìn)行加密，然后隨同交易密文一起發(fā)送給銀行7銀行接收到信息后使用銀行自己的私鑰進(jìn)行解密，得到客戶端隨機(jī)產(chǎn)生的對(duì)稱密鑰8銀行使用對(duì)稱密鑰對(duì)交易密文解密，得到匯款數(shù)據(jù)的明文和附加的數(shù)字簽名9銀行使用客戶的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，若正確則進(jìn)行匯款處理，否則拒絕交易，通知客戶選講：

使用網(wǎng)銀安全須知

1、盡量使用各大銀行提供的安全系數(shù)高的方式進(jìn)行網(wǎng)銀操作

2、采用文件證書時(shí)，證書文件不要備份存在電腦中3、U盾網(wǎng)銀用戶，在每次完成網(wǎng)銀操作后，要盡快拔下U盾4、安裝安全軟件并定期進(jìn)行打補(bǔ)丁和查殺，封堵住木馬入侵的通道，確保電腦中沒有木馬。5、避免在網(wǎng)吧等公用電腦上使用網(wǎng)銀

6、為網(wǎng)銀設(shè)置專門的密碼，不使用簡(jiǎn)單密碼

7、切勿通過鏈接或網(wǎng)上搜索引擎登錄網(wǎng)上銀行

8、登入網(wǎng)上銀行前，先關(guān)閉其他所有瀏覽器窗口保護(hù)好銀行卡號(hào)、登錄密碼、U盾和U盾密碼，千萬不能同時(shí)丟失！什么是訪問控制?訪問控制的含義:計(jì)算機(jī)對(duì)系統(tǒng)內(nèi)的每個(gè)信息資源規(guī)定各個(gè)用戶(組)對(duì)它的操作權(quán)限（是否可讀、是否可寫、是否可修改等）訪問控制是在身份鑒別的基礎(chǔ)上進(jìn)行的訪問控制的任務(wù):對(duì)所有信息資源進(jìn)行集中管理對(duì)信息資源的控制沒有二義性（各種規(guī)定互不沖突）有審計(jì)功能（記錄所有訪問活動(dòng),事后可以核查）4.5.5防火墻與入侵檢測(cè)網(wǎng)絡(luò)會(huì)遭受多種攻擊網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲4.5.6計(jì)算機(jī)病毒防范什么是計(jì)算機(jī)病毒?計(jì)算機(jī)病毒是有人蓄意編制的一種具有自我復(fù)制能力的、寄生性的、破壞性的計(jì)算機(jī)程序計(jì)算機(jī)病毒能在計(jì)算機(jī)中生存，通過自我復(fù)制進(jìn)行傳播，在一定條件下被激活，從而給計(jì)算機(jī)系統(tǒng)造成損害甚至嚴(yán)重破壞系統(tǒng)中的軟件、硬件和數(shù)據(jù)資源病毒程序的特點(diǎn):破壞性隱蔽性傳染性和傳播性潛伏性木馬病毒能偷偷記錄用戶的鍵盤操作，盜竊用戶賬號(hào)（如游戲賬號(hào),股票賬號(hào),網(wǎng)上銀行賬號(hào)）、密碼和關(guān)鍵數(shù)據(jù)，甚至使“中馬”的電腦被別有用心者所操控，安全和隱私完全失去保證計(jì)算機(jī)病毒的表現(xiàn)和危害破壞文件內(nèi)容，造成磁盤上的數(shù)據(jù)破壞或丟失刪除系統(tǒng)中一些重要的程序，使系統(tǒng)無法正常工作，甚至無法啟動(dòng)修改或破壞系統(tǒng)中的數(shù)據(jù)，造成不可彌補(bǔ)的損失盜用用戶的賬號(hào)、口令等機(jī)密信息在磁盤上產(chǎn)生許多“壞”扇區(qū)，減少磁盤可用空間占用計(jì)算機(jī)內(nèi)存，造成計(jì)算機(jī)運(yùn)行速度降低破壞主板BIOS芯片中存儲(chǔ)的程序或數(shù)據(jù)…….殺毒軟件的功能與缺陷殺毒軟件的功能:檢測(cè)及消除內(nèi)存、BIOS、文件、郵件、U盤和硬盤中的病毒例如：Norton，瑞星，江民，金山毒