高校骨干教师培训网络信息安全培训

高校骨干教师培训——网络信息安全培训高校骨干教师培训——网络信息安全培训高校骨干教师培训——网络信息安全培训网络信息安全培训网络安全概述网络攻防技术操作系统安全配置信息加密技术数字签名技术发展历程

培训目的培训目的了解网络安全的现状了解网络安全的研究范围理解信息安全的防护体系掌握信息安全的主要技术了解网络安全的趋势培训重点重点掌握OS安全配置服务器OS安全客户端OS安全黑客技术口令破解工具综合扫描器拒绝服务攻击木马缓冲区溢出信息攻防技术信息加密算法对称加密算法非对称加密算法数字签名技术数字签名数字证书信息加密技术一、网络安全概述网络安全现状分析12网络安全的定义3

信息安全的特性4网络安全的防护体系5

网络脆弱性分析1.1网络安全现状分析网络使用情况现状研究的重要性1.1.1目前互联网使用情况据中国互联网络信息中心（CNNIC）2013年1月发布的第31次中国互联网络发展状况统计报告显示：截至2012年12月底，中国网民数量达到5.64亿，互联网普及率为42.1%(2012年6月份的数据是39.9%)。手机网民规模达到4.20亿，我国网民中农村人口规模达到1.56亿。截至2012年12月底，受访中小企业中，使用计算机办公的比例为91.3%，使用互联网的比例为78.5%，固定宽带普及率为71.0%，开展在线销售、在线采购的比例分别为25.3%和26.5%，利用互联网开展营销推广活动的比例为23.0%。病毒、木马肆虐网页挂马钓鱼网站猛增现状AB网络犯罪集团化D黑客与时俱进C1.1.2网络安全现状典型的网络安全事件发生在我们身边的网络安全事件你还记得多少？2011年——资料泄露年，躺着也中枪。“乞丐”太出名，黑客更“钟爱”。病毒更“专业”，威胁更巨大。微博成载体，人人变“蠕虫”。“毒二代”横行，Duqu成“神偷”。“网络钓鱼”高速壮大，网络生活“步步小心”2012年十大网络安全事件盘点

比较热门的网络欺诈QQ视频诈骗网络游戏交易诈骗网上虚假中奖诈骗网购诈骗网络付款诈骗微博诈骗1.2网络安全的定义网络安全信息安全1.2.1

网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。

1.2.2网络信息安全因此研究网络安全问题实际上包括两方面的内容：一是网络的系统安全，二是网络的信息安全，而保护网络的信息安全是最终目的。信息安全的研究主要涉及到哪些方面呢？信息传输安全和信息存储安全（2010年三级网络计算机等级考试试题）。进不来拿不走改不了跑不了看不懂1.2.3研究网络安全的目的1.3网络脆弱性原因分析INTERNET的美妙之处在于:——你和每个人都能互相连接;INTERNET的可怕之处在于:——每个人都能和你互相连接。网络绝对隐私权的时代已一去不复返了1993年《纽约时报》曾刊登过一幅卡通漫画，上面有一句令网民至今还津津乐道的名言：“在互联网上，没有人知道你是一条狗。”

但现在互联网另一端的人不但知道你是“一条狗”，甚至还知道“你”是一条什么品种的狗、血统是否纯正等各种私人信息……开放性的网络环境协议本身的缺陷

操作系统的漏洞

人为因素

网络脆弱性的原因1.4网络信息安全的特性信息安全的特性信息安全的发展历程信息安全涉及知识领域机密性：防止泄密

完整性：防止篡改可用性：防止中断可控性：防止非法利用不可否认性：防止抵赖1.4.1信息安全的特性年代关注的重点保障措施时代标志20世纪40、50年代通信保密加密和基于计算机规则的访问控制《保密通信的信息理论》20世纪70年代计算机安全计算机系统不被他人非法授权使用可信计算机评估准则20世纪90年代网络安全如何防止通过网络对联网计算机进行攻击“莫里斯”蠕虫事件21世纪信息保障信息及信息系统的保障1.4.2信息安全的发展历程1.4.3信息安全涉及知识领域信息安全是一门技术性学科不排除建立在深奥的理论基础上数论、量子密码；数据挖掘、聚类分析、序列理论；神经网络、自学习机、智能决策；计算机体系、操作系统内核、网络协议；

……更多的是设计方案和具体操作安全加固、管理策略；嵌入式、B/S、C/S；编写程序、分析取证等信息（网络）安全涉及方面应用安全系统安全网络安全管理安全物理安全网络安全面临的威胁类型常见的攻击方式网络安全的防护体系网络安全技术1.5网络安全的防护体系1.5.1网络安全面临的威胁类型病毒蠕虫后门拒绝服务内部人员误操作非授权访问暴力猜解物理威胁系统漏洞利用嗅探冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁网络安全威胁网络安全威胁病毒、木马程序(冰河,灰鸽子…)端口扫描技术(Nmap,protscanner…)拒绝服务攻击

(DoS和DDoS)缓冲区溢出口令破解(lc5,fakegina)社会工程学1.5.2常见的攻击方式黑客攻击网络过程拒绝服务攻击DoS--DenialofService：凡是能导致合法用户不能够访问正常网络服务的行为都是“拒绝服务攻击”。DoS最主要的目的是：造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。服务本身无伤害；可使提供服务的信任度下降，影响公司的声誉以及用户对网络服务的使用。常见的DoS攻击：①带宽攻击：以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉。②连通性攻击：用大量的连接请求冲击计算机，最终导致计算机无法响应和处理合法用户的请求。单一的DoS攻击一般是采用一对一的方式，当攻击的计算机CPU速度低、内存小或网络带宽小等各项性能指标不高时，效果是明显的。DoS攻击的分类以消耗目标主机的可用资源为目的（例如：死亡之ping、SYN攻击、Land攻击、泪珠攻击等）以消耗服务器链路的有效带宽为目的（例如：蠕虫）攻击者

目标主机SYNSYN/ACKACK等待应答SYN：同步SYN/ACK:同步/确认ACK：确认SYN攻击的原理（1）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK应答.........不应答不应答重新发送SYN攻击的原理（2）死亡之pingSYNFloodLand攻击泪珠（Teardrop）攻击

行行色色的DoS攻击1)攻击者攻击诸客户主机以及分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序)。攻击准备：安置代理代理程序DDoS(分布式拒绝服务)攻击（1）

3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。虚假的连接请求DDoS(分布式拒绝服务)攻击（2）DDoS和DoS小结DDoS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDoS攻击手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等；DoS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DoS攻击手段有Teardrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等。安全管理中：人是核心，技术是保证，运行是关键。1.5.3网络安全的防护体系虚拟专用网防火墙访问控制防病毒入侵检测网络安全整体框架(形象图)信息加密安全审计身份认证防火墙技术防病毒技术入侵检测技术漏洞扫描1.5.4网络安全技术信息加密技术密码学的定义12数据加密技术

3

加密算法二、信息加密技术信息隐藏：看不到，找不到信息加密：看不懂，难理解信息锁定：看到了，带不走信息需要安全保密2.1密码学概述2.1.1密码学的定义2.1.2密码体制的分类2.1.1密码学的定义密码学（Cryptology）——研究如何实现秘密通信的科学。密码编码学（Cryptography）——主要研究对信息进行编码实现信息保密性的科学。密码分析学（Cryptanalytics）——主要研究加密消息的破译或消息的伪造。明文加密密文解密密码编码学密码分析学

主要术语加密系统:由密码算法、所有可能的明文、密文及密钥组成。

密码算法：密码算法也叫密码(cipher),适用于加密和解密的数学函数.(通常情况下,有两个相关的函数：

一个用于加密,一个用于解密)。明文(plaintext)：未被加密的消息。密文(ciphertext)：被加密的消息。密钥(key)：密钥就是参及加密及解密算法的关键数据。没有它明文不能变成密文,密文不能解译成明文。加密算法E解密算法D原始明文密文明文P加密密钥KE解密密钥KD

它必须满足P=D（KD，E（KE，P））函数！对称密钥体制非对称密钥体制2.1.2密码体制的分类2.2数据加密技术

数据加密技术主要分为数据存储加密和数据传输加密。数据存储加密技术文件级加密数据库级加密介质级加密嵌入式加密设备应用加密数据传输加密技术数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。（1）链路加密

不但要加密报文，还要加密报头。要传输到下一个节点必须解密再加密，直到到达目的节点。在一个网络节点，链路加密仅在通信链路上提供安全性,消息以明文形式存在。因此所有节点在物理上必须是安全的，否则就会泄漏明文内容。

节点1节点2节点n解密加密密文密文明文链路加密存在的问题：要求链路两端加密设备同步，频繁同步给网络性能及管理带来负作用。加密小部分数据也需要使得所有传输数据被加密，增加了开销。保证每一个节点的安全性开销高。由于加解密钥相同，密钥需秘密保存。密钥分配在链路加密系统中就成了一个问题。（2）节点加密在操作方式上节点加密及链路加密是类似的。但它不允许消息在节点中以明文存在，用另外的密钥在节点的安全模块中对消息进行加密。节点加密要求报头和路由信息以明文形式传输，以便节点能够处理信息。节点1节点2节点n解密加密密文密文安全模块用另外的密钥对消息进行加密形成密文消息报头、路由明文密文（3）端-端加密数据在从源点到终点的传输过程中始终以密文形式存在。消息在被传输时到达终点之前不进行解密。它不允许对消息的目的地址进行加密。不能掩盖被传输消息的源点及终点，因此对于防止攻击者分析通信业务是脆弱的。

节点1节点2节点n解密加密密文消息报头、路由密文密文明文密文2.3加密算法2.3.1古典密码2.3.2对称密钥算法2.3.3公开密钥算法2.3.1古典密码

古典密码采用手工或机械操作实现加解密，实现起来相对简单。古典密码大体上可分为两类:

（1）代替密码技术（2）换位密码技术代替密码：明文中每一个字符被替换成密文中的另外一个字符。四类典型的代替密码：简单代替密码、多名码代替密码、多字母代替密码、多表代替密码换位密码。古典密码：代替密码技术单表替换技术(恺撒密码)2.3.2对称密钥算法对称密钥算法（symmetricalgorithm）有时也称传统密码算法，就是加密密钥能够从解密密钥中推算出来，反过来也成立。

加密：EK(P)=C解密：DK(C)=P密钥：K等效于

DK（EK（P））=P相同密钥方案&#&#方案发方收方明文密文明文密文单钥加密体制算法

DESIDEAAES

数据加密标准（DES）

DES算法为密码体制中的对称密码体制，又被成为美国数据加密标准，是1972年美国IBM公司研制的对称密码体制加密算法。明文按64位进行分组,密钥长64位，密钥事实上是56位参及DES运算（第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1）分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法数据加密标准（DES）DES是一种分组加密算法，输入的明文为64位，密钥为56位，生成的密文为64位。DES对64位的明文分组进行操作。通过一个初始置换，将明文分组分成左半部分和右半部分，各32位长。然后进行16轮完全相同的运算。DES的破译DES使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。在1977年，人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密，而且需要12个小时的破解才能得到结果。所以，当时DES被认为是一种十分强壮的加密方法。但今天，只需二十万美元就可以制造一台破译DES的特殊的计算机，所以现在DES对要求“强壮”加密的场合已经不再适用了。

明文用K1加密密文密文K1：密钥1K2：密钥2K3：密钥3密文用K2解密用K1加密明文用K1加密密文密文密文用K2解密用K3加密三重DES（TripleDES）三重DES用两个密钥（或三个密钥）对明文进行三次加密解密运算。密钥长度从56位变成112位（或168位）。IDEA算法IDEA（InternationDataEncryptionAlgorithm）数据加密算法是由瑞士联邦技术学院的中国学者来学嘉博士和著名的密码专家JamesL.Massey于1990年联合提出的PES(建议标准算法称作PES(ProposedEncryptionStandard))，91年修订，92公布细节并更名为IDEA。

IDEA是对称、分组密码算法，输入明文为64位，密钥为128位，生成的密文为64位；设计目标从两个方面考虑加密强度易实现性IDEA是一种专利算法(在欧洲和美国)，专利由瑞士的Ascom公司拥有。AES算法1997年4月15日，美国国家标准技术研究所（NIST）发起征集高级加密标准（AdvancedEncryptionStandard）AES的活动，活动目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法，作为新的数据加密标准。1997年9月12日，美国联邦登记处公布了正式征集AES候选算法的通告。作为进入AES候选过程的一个条件，开发者承诺放弃被选中算法的知识产权。对AES的基本要求是：比三重DES快、至少及三重DES一样安全、数据分组长度为128比特、密钥长度为128/192/256比特。2.3.3公钥密码体制公开密钥算法（public-keyalgorithm）也称非对称密钥算法，加密密钥不同于解密密钥，而且解密密钥不能根据加密密钥计算出来。加密密钥叫做公开密钥（public-key，简称公钥），解密密钥叫做私人密钥（private-key，简称私钥）。加密：EK1(P)=C解密：DK2(C)=P公钥：K1私钥：K2等效于

DK2（EK1（P））=P比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、DiffeHellman、Rabin、OngFiatShamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击，而最近势头正劲的ECC算法正有取代RSA的趋势。加密密钥方案&#&#方案发方收方明文密文明文密文双钥加密体制解密密钥认证中心公钥（证书）私钥（智能卡）

代表算法

RSA

椭圆曲线公开密钥算法的安全性公开密钥算法都是基于复杂的数学难题。根据所给予的数学难题来分类，有以下三类系统目前被认为是安全和有效的。1.大整数因子分解系统（RSA）2.离散对数系统（DSA,ElGamal）3.椭圆曲线离散对数系统（ECDSA）公开密钥算法的特点1）用加密密钥PK对明文X加密后，再用解密密钥SK解密，即可恢复出明文，或写为：DSK（EPK（X））=X。2）加密密钥不能用来解密，即DPK（EPK（X））≠X。（密钥不相同，不能用推理的方法推出）3）在计算机上可以容易地产生成对的PK和SK。4）从已知的PK实际上不可能推导出SK。5）加密和解密的运算可以对调，即：EPK（DSK（X））=X。RSA公开密钥密码系统

（1）RSA的历史1976年，Dittie和Hellman为解决密钥管理问题，提出一种密钥交换协议，允许在不安全的媒体上通过通讯双方交换信息，安全地传送秘密密钥。1977年，R.Rivest、A.Shamir和L.Adleman教授提出了RSA算法。（2）RSA实现原理

节点B随机生成密钥e作公有密钥，再由e计算出另一密钥d作私开密钥。密文密文明文明文A节点B用密钥e加密数据生成密钥e用密钥d解密数据窃听到的数据只有密钥e和加密后的数据，无法解密（3）RSA密钥生成体制1）生成两个大素数p和q，计算n=p*q；（对于巨大的质数p和q,计算乘积n=p*q非常简便，逆运算却难之又难。）2）计算z=(p-1)*(q-1)，并找出一个及z互质的数e（e为公有密钥）；3）利用欧拉函数计算出d，使其满足e*dmod(p-1)(q-1)=1（或者(e*d-1)mod(p-1)(q-1）=0），mod为模运算（d为私有密钥）；4）公开密钥为：PK=(n，e)，用于加密，可以公开出去。5）秘密密钥为：SK=(n，d)，用于解密，必须保密。（4） RSA加解密过程1）加密：设m为要传送的明文，利用公开密钥（n，e）加密，c为加密后的密文。 则加密公式为：c=memodn，（0≤c<n）；2）解密：利用秘密密钥（n，d）解密。 则解密公式为：m=cdmodn，（0≤m<n）。

（5）RSA加解密举例1）选取p=3，q=11。则n=p*q=33。z=(p-1)*(q-1)=2*10=20；2）选取d=13(大于p、q的数，且小于z，并及z互质)，通过e*13≡1mod20，计算出e=17。(大于p、q的数，并与z互质)

假如明文为整数M=8,则密文

C=memodn=817mod33=2251799813685248mod33=2复原明文m=cdmodn=213mod33=8192mod33=8例如：1）选取p=11，q=13。则n=p*q=143。z=(p-1)*(q-1)=10*12=120；2）选取e=17（大于p和q的质数），计算其逆，d=17^142mod143=113。3）那么公钥PK为（143，17），私钥SK为（143，113）。4）假设张三要传送机密信息（明文）m=85给李四，张三已经从李四或者其它公开媒体得到公钥PK（143，17），张三算出加密值

c=m^emodn=85^17mod143=24并发送给李四。5）李四在收到密文c=24后，利用自己的私钥SK（143，113）计算出明文。m=c^dmodn=24^113mod143=85。6）这样张三和李四就实现了信息加解密。（6）RSA的缺点1）密钥生成难——受到素数产生技术的限制，因而难以做到一次一密。2）安全性有欠缺——没有从理论上证明破译RSA的难度及大数分解难度等价。另外，目前人们正在积极寻找攻击RSA的方法。如：攻击者将某一信息作一下伪装，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。

对称密钥及公开密钥算法优劣比较管理方面

第一、在管理方面，公钥密码算法只需要较少的资源就可以实现目的，在密钥的分配上，两者之间相差一个指数级别（一个是n一个是n2）。所以私钥密码算法不适应广域网的使用，而且更重要的一点是它不支持数字签名。安全方面第二、在安全方面，由于公钥密码算法基于未解决的数学难题，在破解上几乎不可能。对于私钥密码算法，到了AES虽说从理论来说是不可能破解的，但从计算机的发展角度来看。公钥更具有优越性。速度方面第三、从速度上来看，AES的软件实现速度已经达到了每秒数兆或数十兆比特。是公钥的100倍，如果用硬件来实现的话这个比值将扩大到1000倍。

算法方面第四、对于这两种算法，因为算法不需要保密，所以制造商可以开发出低成本的芯片以实现数据加密。这些芯片有着广泛的应用，适合于大规模生产。三、数字签名技术数字签名定义12数字签名流程3

数字证书3.1数字签名什么是电子签名？数字签名和电子签名的关系数字签名定义数字签名过程数字签名算法3.1.1

什么是电子签名？在传统商务活动中，为了保证交易的安全及真实，一份书面合同或公文要由当事人或其负责人签字、盖章，以便让交易双方识别是谁签的合同，保证签字或盖章的人认可合同的内容，在法律上才能承认这份合同是有效的。而在电子商务的虚拟世界中，合同或文件是以电子文件的形式表现和传递的。在电子文件上，传统的手写签名和盖章是无法进行的，这就必须依靠技术手段来替代。能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可抵懒性，起到与手写签名或者盖章同等作用的签名的电子技术手段，称之为电子签名。

3.1.2数字签名和电子签名的关系实现电子签名的技术手段有很多种，但目前比较成熟的，世界先进国家普遍使用的电子签名技术还是“数字签名”技术。同样，《中华人民共和国电子签名法》中提到的签名，一般指的就是“数字签名”。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。

3.1.3数字签名定义数字签名不是手写签名的数字图像，它是一种可以提供认证的加密形式，是转向完全无纸环境的一个途径。数字签名,是只有信息的发送者才能产生的,别人无法伪造的一段数字串,它同时也是对发送者发送的信息的真实性的一个证明。“数字签名”——是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证而无法比拟的。

3.1.3数字签名定义数字签名在ISO7498-2标准中被定义为：附加在数据单元上的一些数据，或是对数据单元所做的密码变幻，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人进行伪造。3.1.4数字签名流程（1）采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘要（MessageDigest）。（2）发送方生成报文的报文摘要，用自己的私有密钥对摘要进行加密来形成发送方的数字签名。（3）这个数字签名将作为报文的附件和报文一起发送给接收方。（4）接收方首先从接收到的原始报文中用同样的算法计算出新的报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解释，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改了。3.1.4数字签名流程用接收方的公钥对原文加密用接收方的私钥对原文解密签名过程验证过程原文加密后的原文散列算法报文摘要数字签名数字签名报文摘要报文摘要散列算法发方的私钥比较发送方接收方发送方发来的报文摘要接收方计算出的报文摘要非对称算法加密