信息安全基础课件

信息安全基础苏放sufang@

北京邮电大学信息与通信工程学院1网络安全

网络安全的主要目标是保护网络上的计算机资源免受毁坏、替换、盗窃和丢失。计算机资源包括计算机设备、存储介质、软件和数据信息等。2计算机网络面临的安全性威胁

计算机网络上的通信面临以下的四种威胁：(1)截获——从网络上窃听他人的通信内容。(2)中断——有意中断他人在网络上的通信。(3)篡改——故意篡改网络上传送的报文。(4)伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。3对网络的被动攻击和主动攻击截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站4(1)防止析出报文内容；(2)防止通信量分析；(3)检测更改报文流；(4)检测拒绝报文服务；(5)检测伪造初始化连接。计算机网络通信安全的目标有可能发生分组丢失5(1)计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2)计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3)特洛伊木马——一种程序，它执行的功能超出所声称的功能。(4)逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。恶意程序(rogueprogram)6计算机网络安全的内容保密性安全协议的设计接入控制7一般的数据加密模型E加密算法D解密算法加密密钥K解密密钥K明文X明文X密文Y=EK(X)截取者截获篡改密钥源安全信道8一些重要概念密码学(cryptology)密码编码学(cryptography)：密码体制的设计密码分析学(cryptanalysis)：在未知密钥的情况下从密文推演出明文或密钥安全如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。9常规密钥密码体制常规密钥密码体制：加密密钥与解密密钥是相同的密码体制。又称为对称密钥系统在常规密钥密码体制中两种最基本的密码：替代密码置换密码10替代密密码与与置换换密码码替代密密码(substitutioncipher)的原原理可可用一一个例例子来来说明明。（（密钥钥是3））abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文c变变成成了密密文F11替代密密码与与置换换密码码替代密密码(substitutioncipher)的原原理可可用一一个例例子来来说明明。（（密钥钥是3））abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文a变变成成了密密文D12替代密密码与与置换换密码码替代密密码(substitutioncipher)的原原理可可用一一个例例子来来说明明。（（密钥钥是3））abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文文密文文明文文e变变成成了了密密文文H13CIPHER145326attackbeginsatfour置换换密密码码置换换密密码码(transpositioncipher)则则是是按按照照某某一一规规则则重重新新排排列列消消息息中中的的比比特特或或字字符符顺顺序序。。密钥钥顺序序明文文根据据英英文文字字母母在在26个个字字母母中中的的先先后后顺顺序序，，我我们们可可以以得得出出密密钥钥中中的的每每一一个个字字母母的的相相对对先先后后顺顺序序。。因因为为密密钥钥中中没没有有A和和B，，因因此此C为为第第1。。同同理理，，E为为第第2，，H为为第第3,…………，，R为为第第6。。于于是是得得出出密密钥钥字字母母的的相相对对先先后后顺顺序序为为145326。。14CIPHER145326attackbeginsatfour置换换密密码码置换换密密码码(transpositioncipher)则则是是按按照照某某一一规规则则重重新新排排列列消消息息中中的的比比特特或或字字符符顺顺序序。。密钥钥顺序序明文文根据据英英文文字字母母在在26个个字字母母中中的的先先后后顺顺序序，，我我们们可可以以得得出出密密钥钥中中的的每每一一个个字字母母的的相相对对先先后后顺顺序序。。因因为为密密钥钥中中没没有有A和和B，，因因此此C为为第第1。。同同理理，，E为为第第2，，H为为第第3,…………，，R为为第第6。。于于是是得得出出密密钥钥字字母母的的相相对对先先后后顺顺序序为为145326。。15CIPHER145326attackbeginsatfour置换换密密码码置换换密密码码(transpositioncipher)则则是是按按照照某某一一规规则则重重新新排排列列消消息息中中的的比比特特或或字字符符顺顺序序。。密钥钥顺序序明文文根据据英英文文字字母母在在26个个字字母母中中的的先先后后顺顺序序，，我我们们可可以以得得出出密密钥钥中中的的每每一一个个字字母母的的相相对对先先后后顺顺序序。。因因为为密密钥钥中中没没有有A和和B，，因因此此C为为第第1。。同同理理，，E为为第第2，，H为为第第3,…………，，R为为第第6。。于于是是得得出出密密钥钥字字母母的的相相对对先先后后顺顺序序为为145326。。16CIPHER145326attackbeginsatfour置换换密密码码置换换密密码码(transpositioncipher)则则是是按按照照某某一一规规则则重重新新排排列列消消息息中中的的比比特特或或字字符符顺顺序序。。密钥顺序明文根据英文文字母在在26个字字母中的的先后顺顺序，我我们可以以得出密密钥中的的每一个个字母的的相对先先后顺序序。因为为密钥中中没有A和和B，，因此C为为第1。同理理，E为为第2，H为第第3,……，，R为为第6。于是是得出密密钥字母母的相对对先后顺顺序为145326。17CIPHER145326attackbeginsatfour置换密码码置换密码码(transpositioncipher)则是是按照某某一规则则重新排排列消息息中的比比特或字字符顺序序。密钥顺序明文根据英文文字母在在26个字字母中的的先后顺顺序，我我们可以以得出密密钥中的的每一个个字母的的相对先先后顺序序。因为为密钥中中没有A和和B，，因此C为为第1。同理理，E为为第2，H为第第3,……，，R为为第6。于是是得出密密钥字母母的相对对先后顺顺序为145326。18CIPHER145326attackbeginsatfour置换密码码置换密码码(transpositioncipher)则是是按照某某一规则则重新排排列消息息中的比比特或字字符顺序序。密钥顺序明文根据英文文字母在在26个字字母中的的先后顺顺序，我我们可以以得出密密钥中的的每一个个字母的的相对先先后顺序序。因为为密钥中中没有A和和B，，因此C为为第1。同理理，E为为第2，H为第第3,……，，R为为第6。于是是得出密密钥字母母的相对对先后顺顺序为145326。19CIPHER145326attackbeginsatfour密文的得得出密钥顺序明文先读顺序序为1的明明文列，，即aba20CIPHER145326attackbeginsatfour密文的得得出密钥顺序明文再读顺序序为2的明明文列，，即cnu21CIPHER145326attackbeginsatfour密文的得得出密钥顺序明文再读顺序序为3的明明文列，，即aio22CIPHER145326attackbeginsatfour密文的得得出密钥顺序明文再读顺序序为4的明明文列，，即tet23CIPHER145326attackbeginsatfour密文的得得出密钥顺序明文再读顺序序为5的明明文列，，即tgf24CIPHER145326attackbeginsatfour密文的得得出密钥顺序明文最后读顺顺序为6的的明文列列，即ksr因此密文文就是：：abacnuaiotettgfksr25CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文先写下第第1列列密文文aba收到的密密文：abacnuaiotettgfksr26CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文再写下第第2列列密文文cnu收到的密密文：abacnuaiotettgfksr27CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文再写下第第3列列密文文aio收到的密密文：abacnuaiotettgfksr28CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文再写下第第4列列密文文tet收到的密密文：abacnuaiotettgfksr29CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文再写下第第5列列密文文tgf收到的密密文：abacnuaiotettgfksr30CIPHER145326attackbeginsatfour接收端收收到密文文后按列列写下密钥顺序明文最后写下下第6列密密文ksr收到的密密文：abacnuaiotettgfksr31CIPHER145326attackbeginsatfour接收端从从密文解解出明文文密钥顺序明文最后按行行读出明明文收到的密密文：abacnuaiotettgfksr32CIPHER145326attackbeginsatfour接收端从从密文解解出明文文密钥顺序明文最后按行行读出明明文收到的密密文：abacnuaiotettgfksr33CIPHER145326attackbeginsatfour接收端从从密文解解出明文文密钥顺序明文最后按行行读出明明文收到的密密文：abacnuaiotettgfksr得出明文文：attackbeginsatfour34密码体制制的保密密性序列密码码体制的的保密性性完全在在于密钥钥的随机机性。如果密钥钥是真正正的随机机数，则则这种体体制就是是理论上上不可破破的。这这也可称称为一次次一密乱乱码本体体制。严格的一一次一密密乱码本本体制所所需的密密钥量不不存在上上限，很很难实用用化。35公开密钥钥密码体体制公开密钥钥密码体体制使用不同的加加密密钥钥与解密密密钥，是一种种“由已已知加密密密钥推推导出解解密密钥钥在计算算上是不不可行的的”密码码体制。。公开密钥钥密码体体制的产产生的原原因：由于常规规密钥密密码体制制的密钥钥分配问问题对数字签签名的需需求。现有三种种公开密密钥密码码体制，，其中最最著名的的是RSA体制，它它基于数数论中大大数分解解问题的的体制，，由美国国三位科科学家Rivest,Shamir和和Adleman于1976年年提出并并在1978年正正式发表表的。36加密密钥钥与解密密密钥在公开密密钥密码码体制中中，加密密密钥(即公开开密钥)PK是公公开信息息，而解解密密钥钥(即秘秘密密钥钥)SK是是需要保保密的。。加密算法法E和和解密密算法D也也都是公公开的。。虽然秘密密密钥SK是是由公公开密钥钥PK决定定的，但但却不能能根据PK计计算出出SK。37公开密钥钥算法的的特点(1)发发送者者用加密密密钥PK对对明文文X加加密后后，在接接收者用用解密密密钥SK解解密，即即可恢复复出明文文，或写写为：DSK(EPK(X))X解密密钥钥是接收收者专用用的秘密密密钥，，对其他他人都保保密。此外，加加密和解解密的运运算可以以对调，，即EPK(DSK(X))X38公开密钥钥算法的的特点(2)加加密密密钥是公公开的，，但不能能用它来来解密，，即DPK(EPK(X))X(3)在在计算算机上可可容易地地产生成成对的PK和和SK。(4)从从已知知的PK实实际上不不可能推推导出SK，，即从PK到到SK是是“计算算上不可可能的””。(5)加加密和和解密算算法都是是公开的的。39公开密钥钥密码体体制接收者发送者E加密算法法D解密算法法加密密钥钥PK解密密钥钥SK明文X密文Y=EPK(X)密钥对产生源明文X=DSK(EPK(X))40数字签名名数字签名名必须保保证以下下三点：：(1)接接收者者能够核核实发送送者对报报文的签签名；(2)发发送者者事后不不能抵赖赖对报文文的签名名；(3)接接收者者不能伪伪造对报报文的签签名。现在常采采用公开开密钥算算法实现现。41数字签名名的实现现DSKPK用公开密密钥核实签名名用秘密密密钥进行签名名X发送者A接收者BDSK(X)XE42数字签名的的实现B用已知知的A的的公开加加密密钥得得出EPKA(DSKA(X))X。因为除除A外外没有别人人能具有A的解解密密钥SKA，，所以除A外没没有别人能能产生密文文DSKA(X)。这这样，B相相信报文文X是是A签签名发送的的。若A要要抵赖曾发发送报文给给B，B可将X及DSKA(X)出示示给第三者者。第三者者很容易用用PKA去证实A确实实发送X给B。反之，，若B将将X伪伪造成X‘，则则B不不能在第三三者前出示示DSKA(X’)。这样就就证明了B伪造造了报文。。43具有保密性性的数字签签名DSKAPKA用公开密钥钥核实签名用秘密密钥钥签名X发送者A接收者BDSKA(X)XEEPKB用公开密钥钥加密EPKB(DSKA(X))DSKB用秘密密钥钥解密DSKA(X)密文44报文鉴别(messageauthentication)在信息的安安全领域中中，对付被被动攻击的的重要措施施是加密，，而对付主主动攻击中中的篡改和和伪造则要要用报文鉴鉴别。报文鉴别使使得通信的的接收方能能够验证所所收到的报报文（发送送者和报文文内容、发发送时间、、序列等））的真伪。。使用加密就就可达到报报文鉴别的的目的。但但在网络的的应用中，，许多报文文并不需要要加密。应应当使接收收者能用很很简单的方方法鉴别报报文的真伪伪。45报文摘要MD(MessageDigest)发送端将报报文m经经过报文文摘要算法法运算后得得出固定长长度的报文文摘要H(m)。。然后对H(m)进行加加密，得出出EK(H(m))，并将将其追加在在报文m后面发发送出去。。接收端将EK(H(m))解密密还原为H(m)，再将收收到的报文文进行报文文摘要运算算，看得出出的是否为为此H(m)。如不一样，，则可断定定收到的报报文不是发发送端产生生的。报文摘要的的优点就是是：仅对短短得多的定定长报文摘摘要H(m)进行行加密比对对整个长报报文m进进行加密密要简单得得多。M和EK(H(m))合在在一起是不不可伪造的的，是可检检验的和不不可抵赖的的。46报文摘要算算法必须满满足

以下下两个条件件任给一个报报文摘要值值x，若若想找到一一个报文y使得得H(y)=x，则在在计算上是是不可行的的。若想找到任任意两个报报文x和和y，，使得H(x)=H(y)，则则在计算上上是不可行行的。47报文摘要的的实现48防火墙(firewall)防火墙是由软件、、硬件构成成的系统，，用来在两两个网络之之间实施接接入控制策策略。接入入控制策略略是由使用用防火墙的的单位自行行制订的，，为的是可可以最适合合本单位的的需要。防火墙内的的网络称为为“可信赖的网网络”(trustednetwork)，而将将外部的因因特网称为为“不可信赖的的网络”(untrustednetwork)。。防火墙可用用来解决内内联网和外外联网的安安全问题。。49防火墙在互互连网络中中的位置G内联网可信赖的网网络不可信赖的的网络分组过滤路由器R分组过滤路由器R应用网关外局域网内局域网防火墙因特网50防火墙的功功能防火墙的功功能有两个个：阻止和允许。“阻止”就就是阻止某某种类型的的通信量通通过防火墙墙（从外部部网络到内内部网络，，或反过来来）。“允许”的的功能与““阻止”恰恰好相反。。防火墙必须须能够识别别通信量的的各种类型型。不过在在大多数情情况下防火火墙的主要要功能是““阻止”。。51防火墙技术术一般分为为两类(1)网网络级防火火墙——用用来防止整整个网络出出现外来非非法的入侵侵。属于这这类的有分分组过滤和和授权服务务器。前者者检查所有有流入本网网络的信息息，然后拒拒绝不符合合事先制订订好的一套套准则的数数据，而后后者则是检检查用户的的登录是否否合法。(2)应应用级防火火墙——从从应用程序序来进行接接入控制。。通常使用用应用网关关或代理服服务器来区区分各种应应用。例如如，可以只只允许通过过访问万维维网的应用用，而阻止止FTP应用的的通过。52安全服务国际标准化化组织ISO在提出开放放系统互联联参考模型型之后，1989年又提出了了网络安全全体系结构构SA(SecurityArchitecture)，称为OSI-SA。OSI-SA定义了五类类安全服务务：1、身份认认证(Authentication)：验证用户的的身份是否否合法，是是否有权使使用信息资资源。532、访问控控制(AccessControl)：规定了合法法用户对数数据的访问问能力，包包括哪些用用户有权访访问数据、、访问哪些些数据、何何时访问和和对数据拥拥有什么操操作权限（（创建、读读写、删除除）等。3、数据保保密(DataConfidentiality)：防止信息被被未授权用用户所获得得。4、数据完完整(DataIntegrity)：确保收到的的信息在传传输的过程程中没有被被修改、插插入、删除除等。5、不可否否认(Non-repudiation)：通过记录参参与网络通通信的双方方的身份认认证、交易易过程和通通信过程等等，使任一一方无法否否认其过去去所参与的的活动。54危害网络安安全的因素素网络安全问问题主要来来自两个方方面：1、协议本本身就存在在很大的安安全缺陷，，包括建立立在其上的的很多服务务；2、人为因因素和自然然因素造成成的破坏。。55Thanks！！！！569、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄黄叶树，，灯下白白头人。。。03:47:5103:47:5103:4712/29/20223:47:51AM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2203:47:5103:47Dec-2229-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。03:47:5103:47:5103:47Thursday,December29,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2203:47:5103:47:51December29,202214、他乡生白白发，旧国国见青山。。。29十二二月20223:47:51上上午03:47:5112月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月223:47上上午12月-2203:47December29,202216、行动出成成果，工作作出财富。。。2022/12/293:47:5103:47:5129December202217、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。3:47:51上上午3:47上上午午03:47:5112月月-229、没有失失败，只只有暂时时停止成成功！。。12月-2212月-22Thursday,December29,202210、很多事事情努力力了未必必有结果果，但是是不努力力却什么么改变也也没有。。。03:47:5103:47:5103:4712/29/20223:47:51AM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2203:47:5103:47Dec-2229-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。03:47:5103:47:5103:47Thursday,December29,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2203:47:5103:47:51December29,202214、意志坚强强的人能把把世界放在在手中像泥泥块一样任任意揉捏。。29十二二月20223:4