通信网的安全-理论与技术课件_第1页
通信网的安全-理论与技术课件_第2页
通信网的安全-理论与技术课件_第3页
通信网的安全-理论与技术课件_第4页
通信网的安全-理论与技术课件_第5页
已阅读5页,还剩39页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、现代密码学 西安电子科技大学(Xidian University, Xian)邮政编码: 710071第1页,共44页。2022/7/291信息安全概论第一部分:引论第二部分: 密码学基础第三部分: 网络的通信安全第四部分: 系统安全第2页,共44页。2022/7/292第一部分 引论第3页,共44页。2022/7/293第一章:引言信息社会的发展与挑战Internet上的对抗与威胁网络安全的防护措施OSI的参考模型OSI的安全全业务OSI的安全机制第4页,共44页。2022/7/294信息社会的发展与挑战 人类进入信息化社会时代。数字化、信息化、网络化正在冲击、影响、改变我们社会生活的各个方

2、面。从科学研究、生产制造、产品流通、商业运作、超市购物、医疗服务、教育培训、出版印刷、媒体传播,到文化生活、娱乐消闲、人际交往、法律规范、伦理道德、乃至军事作战等等,无一不将受到信息网络的挑战,无一不在信息技术这一最新高科技生产力的作用下迅速变化。第5页,共44页。2022/7/295信息社会的发展与挑战信息过量,难以消化; 信息真假,难以辨识;信息形式不一致,难以统一处理; 数据生产、传输能力远大于数据分析能力;人们被数据淹没,却饥饿于知识;信息安全,难以保证。 第6页,共44页。2022/7/296Internet上的对抗与威胁 信息空间(Cyberspace)中的侦察与反侦察、截获和反截

3、获、破译和反破译、破坏和反破坏的斗争愈演愈烈。军事上的电子对抗在1991年初的海湾战争中发展成为空前的规模电子战,商业上的情报战也随着Internet和Intranet的发展而步入了新的阶段。 第7页,共44页。2022/7/297Internet上的对抗与威胁Internet一方面成为人们离不开的信息工具,同时也成为公开的攻击对象目标。网络的全球性、开放性、无缝连通性、共享性、动态性,使任何人都可以自由地接入Internet,其中有善者,也有恶者。恶意者时刻在试图穿透别人的系统,捣毁别人的信箱、散布破坏性信息、倾泻信息拉圾。Internet的安全已受到普遍的重视。第8页,共44页。2022/

4、7/298Internet上的对抗与威胁系统穿透(System penetration)违反授权原则(Autherization violation)植入(Planting)通信监视(Communicutions monitoring)通信窜扰(Communications tampering)中断(Interruption)拒绝服务(Denial of service)否认(Repudiation)病毒第9页,共44页。2022/7/299 系统穿透 未授权人对认证性(真实性Authenticity)进行攻击,假冒合法人接入系统.对文件进行窜改(窜改系统中数据内容,修正消息次序、时间、延时和

5、重放).窃取机密信息.非法使用资源等。 一般采取伪装、利用系统的薄弱环节、收集情报等方式实现。第10页,共44页。2022/7/2910违反授权原则 一个授权进入系统做某件事的用户,他在系统中进行未经授权的其它事情。 攻击者可以通过猜测口令接入一个非特许用户账号,进而可揭示系统的薄弱环节,取得特许接入系统权,从而严重危及系统的安全。 第11页,共44页。2022/7/2911植入 一般在系统穿透或违反授权攻击成功后,入侵者常要在系统中植入一种能力,为以后攻击提供方便条件。 向系统中注入病毒、蛀虫、特洛伊木马、陷门、逻辑炸弹等来破坏系统正常工作。在信息战中,病毒已发展为一种进攻性武器。 第12页

6、,共44页。2022/7/2912从通信过程中信道利用搭线或电磁泄露进行窃听。攻击机密性,造成泄密业务流分析,获取有用情报 侦察卫星、监视卫星、预警卫星、间谍飞机、隐身飞机、预警飞机、装有大型综合孔径雷达的高空气球、无数微型传感器,都用于截获和跟踪信息。通信监视第13页,共44页。2022/7/2913 通信窜扰 攻击者对通信数据或通信过程进行干预,对完整性进行攻击,窜改系统中数据的内容,修正消息次序、时间(延时和重放)、 注入伪造消息。第14页,共44页。2022/7/2914中断 对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作,破坏信息和网络资源。 高能量电

7、磁脉冲发射设备可以摧毁附近建筑物中的电子器件,正在研究中的电子生物可以吞噬电子器件。第15页,共44页。2022/7/2915拒绝服务 合法接入信息、业务或其它资源受阻。一个业务端口被精心地策划进行滥用而使其它用户不能正常接入Internet的一个地址被大量信息垃圾阻塞等。第16页,共44页。2022/7/2916否认 一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动。不管这种行为是有意的还是无意的,一旦出现再要解决双方的争执就不太容易了。第17页,共44页。2022/7/2917病毒 一段可执行的程序代码,通过对其它程序进行修改,可以“感染”这些程序使它们含有该病毒程序的一个拷贝。病

8、毒通常含有两种功能对其它程序产生“感染”引发损坏功能,或者是一种植入攻击的能力。 随着Internet的发展,大大地加速了病毒的传播。迄今,仅仅DOS系统的病毒就达万余种,每天都有计算机新病毒的出现。这些病毒的潜在破坏力极大,不仅已成为一种新的恐怖手段,而且正在演变成为军事电子战中的一种新式进攻性武器。第18页,共44页。2022/7/2918实例蠕虫事件 1988年12月2日Robert T. Morris向Internet注入Internet蠕虫,侵犯了Internet中的数千台主机。 捕获通行字(Password sniffing) 1994年好多大学连向Internet,有数千个通行字

9、被Sniffing程序捕获。第19页,共44页。2022/7/2919实例序列号(Sequence number)攻击 1994年底,Kevin Mitnick发出的序列号攻击,攻破了数个计算中心,其中包括Tsutomu Shimomura的San Diego的超导计算中心。IP恶作剧(Spoofing)、会话劫持(Session hijacking)拒绝服务(denial of service)攻击。 e-mail 炸弹,ping of deathTCP SYN flood第20页,共44页。2022/7/2920实例利用各种bugs 和设计局限的攻击 Java applets和Active

10、x controls提供了攻击主机和整个网站的新的可能缓冲区溢出攻击TCP/IP协议和业务本身固有的弱点也关系到Internet的安全问题其它方面如主机结构,接入控制,管理上的问题。第21页,共44页。2022/7/2921实例 安全不是一种可以证明的特性 只能说在某些已知攻击下是安全的,对于将来的新的攻击是否仍安全就很难断言。 如对密码分析中的定时(Timing)攻击,对安全存储秘密钥的硬件器件进行差分故障分析DFA(Differential fault analysis。 第22页,共44页。2022/7/2922网络安全的防护措施 在安全领域,除了采用密码技术的防护措施之外,还有其它类型

11、的防护措施:(1) 物理安全。 门锁或其它物理访问控制、敏感设备的防窜改、环境控制。(2) 人员安全。 位置敏感性识别、雇员筛选、安全性训练和安全意识。第23页,共44页。2022/7/2923网络安全的防护措施 (3)管理安全。 控制软件从国外进口、调查安全泄漏、检查审计跟踪、以及检查责任控制的工作程序。 (4)媒体安全。 保护信息的存储、控制敏感信息的记录、再生和销毁、确保废弃的纸张或含有敏感信息的磁性介质得到安全的销毁、对媒体进行扫描以便发现病毒。第24页,共44页。2022/7/2924网络安全的防护措施(5)辐射安全。 射频(RF)及其它电磁(EM)辐射控制(亦被称作TEMPEST保

12、护)。(6)生命周期控制。 可信赖系统设计、实现、评估及担保;程序设计标准及控制;记录控制。第25页,共44页。2022/7/2925OSI的参考模型OSI(Open Systems Interconnection)标准由ISO(International Standard Organization)与ITU(International Telecommunication Union)联合制定,将开放互连网络用7层描述,并通过相应的7层协议实现系统间的相互连接。第26页,共44页。2022/7/2926OSI的参考模型开放系统A开放系统B应用层协议表示层协议会话层协议传输层协议网络层协议链路层

13、协议物理层协议物理媒体第27页,共44页。2022/7/2927OSI的参考模型 (1) 应用层(第七层)。 为应用进程提供了一种访问OSI环境的方法。应用层协议标准描述了应用于某一特定的应用或一类应用的通信功能。 (2) 表示层(第六层)。 提供了应用层实体或它们之间的通信中所使用的信息表示。 (3) 会话层(第五层)。 为高层实体提供了组织和同步它们的会话,并管理它们之间数据交换的方法。 第28页,共44页。2022/7/2928OSI的参考模型 (4) 传输层(第四层) 在高层实体之间提供了透明的数据传输,使得这些实体无需考虑进行可靠和有效的数据传输的具体方法。(5) 网络层(第三层)

14、在高层实体之间提供了数据传输,而不用考虑选路由和中继问题。这包括多个子网络串联和并联使用的情况。对于高层来说,如何使用底层的通信资源(如数据链路)是不可见的。 第29页,共44页。2022/7/2929OSI的参考模型(6) 链路层(第二层)。 提供了点到点的数据传输,并提供了建立、保持和释放点到点的连接的功能。在这一层上,可以对物理层传输所发生的差错进行检测和纠正。(7) 物理层(第一层)。 提供了机械、电子、功能和程序上的方法,对数据链路实体间进行比特传输的物理连接进行激活、保持和去激活。第30页,共44页。2022/7/2930TCP/IP协议组传输控制协议TCP(Transmissio

15、n Control Protocol) 网间协议(IPInternet Protocol) TCP/IP协议组可以采用与OSI结构相同的分层方法来建立模型。容易将这些协议映射到OSI模型上去。将它分为4层,分别称为应用层、传输层、互联网络层和接口层。 第31页,共44页。2022/7/2931TCP/IP 的4层模型 (1) 应用层(Application Layer)。将OSI的高层应用层、表示层和会话层的功能结合起来 (2) 传输层(Transmission Layer)在功能上这一层等价于OSI的传输层。 (3) 互联网络层(Internet Layer)。这一层等价于OSI网络层中独立

16、于子网的部分。 (4) 接口层(Interface Layer)。这一层等价于OSI的子网络技术功能层。它包括OSI模型网络层中依赖于子网的部分、数据链路层和物理层。第32页,共44页。2022/7/2932OSI的安全结构(一)安全业务 OSI的安全结构中划分6类安全业务认证接入控制数据机密性数据完整性不可否认匿名性业务。 第33页,共44页。2022/7/2933OSI的安全结构(一)安全业务1. 同等实体认证业务(Peerentity Authentication Service) 提供对通信对等实体或数据源的认证,实施对等实体认证业务,可证实一个有关对等实体的真实身份,保证它不是伪装的

17、或以前认证消息的重发。一般在建立连接阶段实施.,偶尔会在数据传送阶段实施。 认证业务重要性在于对适用的机构、接入控制和责任提供前提条件,是接入控制中授权的依据。 第34页,共44页。2022/7/2934OSI的安全结构(一)安全业务 2. 接入控制业务(Access Control Service) 对系统的资源提供保护,防止未授权者利用。它与认证业务密切相关,对请求接入者必须经过认证后才授权接入系统。 一般接入控制业务是计算机和通信安全中最常用的业务。第35页,共44页。2022/7/2935OSI的安全结构(一)安全业务 3. 数据机密性(Data Confidentiality Ser

18、vice) 保护机密信息不被未授权个人、实体或过程解读和使用。连接型机密业务无连接型机密业务选择域机密业务业务流机密业务第36页,共44页。2022/7/2936OSI的安全结构(一)安全业务 4. 数据完整性业务(Data Integrity Service) 保护信息不被未授权者改变或破坏等修正 有恢复的连接完整性业务 对连接中的数据提供完整性业务,若可能时可将丧失完整性的数据恢复。无恢复的连接完整性业务选择域连接完整性业务无连接完整性业务,选择域无连接完整性业务第37页,共44页。2022/7/2937OSI的安全结构(一)安全业务 5. 不可否认业务(Non-repudiation S

19、ervice) 用来防止参与通信的实体在事后否认曾参与全部或部分通信,因而必须能够防止消息或行动源否认曾发出消息或采取过的行动,以及消息接收者否认曾收到该消息。所以有两种不可否认业务。源的不可否认业务(Non-repudiation with Proof of Origin)。递送的不可否认业务(Non-repudiation with Proof of Dilivery)。 第38页,共44页。2022/7/2938OSI的安全结构(一)安全业务 6. 匿名性业务(Anonymous services) 隐匿参与者的身份,保护个人或组织的隐私。可用盲签名和信息隐匿技术实现。匿名性和安全保密性

20、是彼此不同但又相互关联的特性。保密性意味信息的主人可以控制信息,安全性要完全控制信息。匿名意味找不到信息的主人,即身份与信息不关联,匿名保证个人隐私(匿名货币可能带来一些风险,如传送匿名恐吓信和接受有关赎金、匿名敲诈、逃税、贪污公款、非法买卖等)。第39页,共44页。2022/7/2939OSI的安全结构(二)安全机制一、规定的安全机制 它与网的适当层结合提供前述安全业务,OSI安全结构中规定了8种安全机制加密机制数字签字机制接入控制机制:对主体的身份和有关主体的信息进行认证,决定对其授权,防止非法接入和利用系统资源,对入侵进行告警,审计和追踪。第40页,共44页。2022/7/2940OSI的安全结构(二)安全机制数据完整性机制:一般不能检测重发,但含顺序检测、序列号、时戳、密码检验和等。认证交换机制: 证实主体身份,X.509中采用密码技术构成较强的认证机制。 流量

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论