第七章 信息安全刘

第七章信息安全通信工程系第七章信息安全7.1概述 7.1.1信息安全面临的威胁

7.1.2信息安全的目标 7.1.3信息安全的基本技术7.2密码学7.3综合应用实例2

7.1概述•

从某种意义上说，从人类有信息交流开始就涉及信息的安全问题。从古代烽火传信到今天的通信网，只要存在信息交流，就可能存在信息欺骗。7.1.1信息安全面临的威胁3

2011年12月，中国互联网史上最大规模的“泄密门”事件震惊全国，多个知名网站的用户数据被泄露，其中包含极为敏感的用户名，明文密码。知名网站存储用户敏感数据使用的竟是明文方式，一旦网站被黑客攻击，敏感数据也就被一览无遗；用户使用同一个用户名和密码注册多个网站，导致一个泄密，全部泄密！

7.1概述4•随着电子商务的发展，网上购物和网上支付在中国迅速发展起来。

7.1概述在黑客、木马、病毒、蠕虫横行的今天，如何来保护我们的信息不被侵害？5不可否认性可用性完整性机密性其它信息安全是一门交叉学科，涉及多方面的理论和应用知识。除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。这里我们只从自然科学的角度来介绍信息安全。7.1.2信息安全的目标

7.1概述6不可否认性可用性完整性机密性其它机密性也叫保密性，是指保证信息不能被非授权访问，即使非授权用户得到信息也无法知晓信息内容，因而不能使用。

7.1概述7机密性

通常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。

数据加密传输过程在不安全的信道中传输的是密文，只要加解密算法足够安全，攻击者不知道密钥的话，是无法破译的。8

一个密码系统（体制）至少由明文、密文、加密算法和解密算法、密钥五部分组成。信息的原始形式称为明文（Plaintext）。信息经过变换加密后称为密文（Ciphertext)。对明文进行编码生成密文的过程称为加密（Encryption）。将密文恢复出明文的过程称为解密（Decryption）。密钥（Key）是唯一能控制明文与密文之间变换的关键。9

7.1概述1.通信宅双方Al良ic绝e和Bo脉b协商巷好用腹于通掌信的密钥。2.荒Al扁ic捧e将消预息明页文用骡协商鱼好的享密钥卫进行加密生成概对应盯的密文。3.个Al森ic屈e将密岔文通眯过不角安全础的信迎道发矛送给辈接收裳方Bo盟b。4.净Bo瞧b将密蚂文用芳密钥净进行解密，恢严复消瞒息明暖文。10机密亡性不可否认性可用性完整性机密性其它完整努性是指沟维护框信息惧的一堤致性酿，即赞信息葡在生衡成、前传输命、存孕储和帜使用僚过程饰中不榜应发碧生人刘为或遣非人卧为的非授挣权篡榨改。7.码1概述毫1112完整很性通信扯双方读协商画好用呆于通陡信的共享忘密钥。Al沟ic殃e将消纵息明桌文和状共享脖密钥猛作为Ha膨sh函数的输限入，炼输出认证踪蝶码。Al肥ic鹅e将“旱明文泉消息||验证膀码”蜡发送跃给Bo表b。Bo钉b收到攻后，派分别吐提取售出明窗文消俯息和付认证最码。融再执放行与Al誓ic词e的第2步相歉同的贫操作镜，得宫到另一递个认誉证码。最后窗，Bo律b比较验证接收撞到的久认证硬码与汽计算滋出的克认证矩码是域否相施同，石如果峰相同俯，则餐认为甩明文哑消息蹦和认捕证码征均没争有被你篡改日；否砖则被蜓篡改歇。13完整绑性Ha迟sh函数1.对任仪意的仓消息x，计渐算h(x)是容培易的佣；2.h是单喝向的蓄，即豪由散乖列值戚求x是困之难的忠；3.h是抗浇碰撞哪的，樱找到望不同摸的x、x’，使倦得h(x)=h(x’)是困汪难的未。14完整珍性可用性完整性机密性其它不可否认性不可票否认稼性是指季能保行障用浑户无插法在睁事后猫否认该曾经竟对信啊息进悲行的摄生成声、签辈发、丛接收颂等行属为，防是针千对通愉信各楚方信务息真禾实同柔一性跨的安朱全要梦求。璃一般秒通过数字算签名来提龟供抗典否认衰服务冤。7.室1概述感1516不可叫否认隆性数字卧签名皂流程Al伙ic巷e将自丝式己的公钥告知购接收哀方Bo息b。Al毙ic胃e将明喊文消豪息进碧入Ha判sh“压缩睁机”欣，得伤到相品应的Ha苹sh值；再妇用自厨己的私钥对Ha射sh值进逆行数字废签名。Al许ic恰e将“雄明文寄消息||签名腿值”昂发送铲给Bo拘b。Bo林b收到泛后，份分别鼓提取患出明键文消首息和份签名鉴值。用Al详ic柿e(发送郑方)的公钥对签甜名值披进行解签关名，可臣以恢役复Ha值sh值；将收贝到的守明文咸送入Ha颗sh函数鲜，得衰到另贸一个Ha广sh值。比较步骤1)和2)得到激的Ha促sh值，鄙若相留同，肆则认冷为此旷消息氧确实雨是由Al蜂ic插e发送亲过来虽的，济并且承中间稳过程熔没有乡丰被篡提改。17不可战否认睬性不可否认性

可用性完整性机密性其它信息散系统丛能够凤在规滴定条黎件下狐和规冤定的灾时间吸内完慎成规拾定的蒙功能渐的特换性，叨即授剩权用牧户根据白需要犬可以铲随时顶访问所需肌信息眼。它扮是信别息系扣统安旷全的相最基兔本要租求之押一膏。7.惭1概述思18不可否认性可用性完整性机密性其它如：哗认证搏性,可控花性，袖可审松查性7.烧1概述桶19认证对性：保证临信息塑资源晌不被痒非授巾权的浮使用耻（判继断用共户的矩身份国）。Wh千at共y枣ou瘦k妖no效wWh绝o没yo薯u脱ar子eWh番at社y蹄ou材h宾av影e其它范特性可控挣性：对信搜息及肠信息版系统拨实施秆安全喊监控筑，以剖及对浴网络环信息滨的传融播及东内容督具有京控制右能力适。可审童查性疯：使用审计打、监它控和曾防抵敢赖等慢安全拾机制，使怨得使科用者事（包握括合硬法用虫户、粱攻击捧者、御破坏你者和袜抵赖逼者）钞的行为描有证下可查，并魄能够帅对信吉息出闯现的迁安全制问题绒提供泉调查胜依据故和手王段。217.聚1.胀3信息耽安全朋的基裹本技雅术防火邀墙技烧术漏洞霸扫描腥技术入侵掀检测溉技术防病些毒技婶术7.怜1概述陪22防火果墙技窜术防火凳墙是筹网络暴安全顷的第一扮道屏锁障，用焰来阻盖挡外石部不光安全企因素铃影响宜的内廉部网曲络(I骑nt殖ra露ne茎t)，其饮目的律就是防止啦外部科网络(I菠nt唱er漠ne纷t)用户哪未经制授权极的访忘问。23防火提墙技势术24防火英墙技辣术强制恩要求所有贷进出裳内外协网络轨的数奥据流秋都必司须通照过防房诚火墙，并怜对这赞些数帆据流荒进行检测铺、分拐析、把限制猎或更察改，尽卷可能宁的对添受保侄护网承络的颗信息笼和结华构进剧行隐币藏，室来实赴现内网泰安全。25防火幼墙主捉要功道能：1）检宅查所航有从况外部桐网络缓进入驱内部拥网络量的数制据包被；2）检淋查所选有从社内部吩网络凉流出耽到外昼部网摩络的讨数据嚼包；3）执垦行安倒全策挎略，冻限制纽奉所有樱不符拆合安敢全策弯略的顺要求泼的数睬据包向通过长；4）具订有防衰攻击届能力倾，保碗证自忍身的演安全慨。26防火托墙分斜类：1）包过椒滤防茫火墙：工挠作在侵网络针层，济将不精符合所包过稼滤规裂则的竖数据概包丢亡弃。2）代理掠服务租器防岩火墙：运朗行在友两个扬网络辫之间厨，它呢对于福客户描来说菜像是真一台食真的北服务宝器一窄样，守而对盲于外邪界的恶服务叠器来伶说，诸它又蚕是一稳台客纸户机惰。3）复合乔型防厚火墙曾：数据沾包过地滤和亚代理亏服务棕这两装个功把能相存结合查。27漏洞壤扫描惕技术漏洞是计啦算机寇系统神在硬躬件、洽软件盗、协籍议的袍设计谜和实心现过亭程中未或系挎统安鸡全策咸略上因存在度的缺塑陷和冷不足避，非糟法用棚户可筝利用许漏洞序破坏亚系统侄的安窄全性渐。28漏洞凑扫描见技术利用抖安全事漏洞害扫描屯技术锋，可轨以对礼局域夜网、we宅b站点窝、主傅机操羽作系倾统、搂系统绑服务凳以及裕防火显墙系边统的鉴安全离漏洞帮进行疗扫描爷，使送系统单管理熟员能连及时喊了解细系统误中存块在的止安全锤漏洞趣，并蓄采取瓦相应挎防范舰措施锄，从航而降欺低系盒统的院安全淘风险驳。29漏洞珠扫描娃技术猫分类转：1）基于密主机珠的检递测技旗术：不搬需要鞋建立扩网络踢连接年，检宗查本粱地系柿统中错各种说关键安性文捐件的革内容挑及安慨全属源性。2）基于炉网络渠的检举测技遭术：需科要与明待扫粥描的境目标破机建矩立网固络连欠接，搂既可稿以扫修描本暴地主炕机的松网络滋漏洞愧，又与可以信扫描缎远程咏主机降的网递络漏仗洞。30入侵艳检测遣技术如果妨把防火涝墙比作搬守卫锈网络暮大门个的门卫，那盈么入侵璃检测蜡系统就是皆一个主动四寻找糖罪犯距的巡萄警。侵检腐测系绩统处封于防抽火墙鸣之后耳，对夺网络器活动超进行实时铜检测。31入侵芹检测伤技术32入侵况检测胃技术拆分类夫：1）异常耻检测：根锤据用们户行潮为或董资源馅使用项的正常换模式来判胸定是祖否存泰在入缎侵。2）误用炮入侵摧检测：根鄙据已知仍的入远侵模嚼式来检田测入境侵。33异常公检测洋误血用入辟侵检赞测不34防病够毒技价术计算局机病推毒，么是指盲编制该或者基在计踢算机敌程序绍中插亡入的破坏涛计算萍机功秆能或棚者毁涛坏数杠据，影诊响计屿算机规使用魂，并绒能自罪我传槐染的岛一组致计算添机指棕令或晚者程工序代镇码。3536防病饺毒技钓术分休类：1）特征凑码扫山描法：将洪扫描含对象智与特狸征代状码库刺比较汪，如冈有吻络合则裙判断讯为染健上病厌毒。2）虚拟由执行晕技术：在絮虚拟渠机环防境中虚虚拟侄执行(不会孤被实盛际执候行)可疑赔带毒别文件味；在戒执行遵过程诵中，绞从虚的拟机哲环境驱内截宅获文阀件数视据，答如果佳含有沾可疑耻病毒芽代码宅，则屿杀毒场后将莫其还染原到异原文唯件中鼻。3）文件挂实时躺监控驴技术：文友件进尺行实佩时的集行为编监控奥。37第七飘章渔信疲息安茎全7.婆1概述7.缠2密码翠学7.拌2.纯1密码六学的梯基本傲概念7.第2.碍2密码的体制7.碎3综合德应用斤实例现代哲移动猜通信鹅网络残技术38387.划2加密卵和认糠证技傍术7.磨2.1妈密码拖学的炒基本华概念密码刻学是厉信息杯安全择的核当心技榴术之饲一。辟密码景学是枝结合腿数学种、计断算机糊科学依、电号子与武通讯雁等诸俘多学饥科于症一体刘的交廉叉学观科，喝是研取究信佩息系础统安柴全保街密的零一门膛科学隙。39Cr训yp里to蓝lo远gycr潜yp塞to弄s(隐藏垂之意)lo气go无s(词语吃之意)原始毒部落杨间的萄秘密纱通信大约40洲00年以句前，括古埃禾及贵帖族信息势载体团：奴驰隶的树头,剃光,信息锣传递溜：长串出头摇发的忘奴隶在书早写墓误碑上纯的铭嫂文时,使用趴了变形的而胸不是惧普通哲的象为形文片字，揭开程了有文字守记载的密怠码史腔。7.骂2加密丛和认代证技冷术公元遮前５历世纪桨，古蒙斯巴五达人用一淹条带苏子缠腐绕在反一根侍木棍患上，沿木晋棍纵楼轴方屠向写托好明有文，解下谎来的协带子朵上就屋只有瘦杂乱动无章戴的密崖文字吴母。解密予者需筝找到相同沸直径的木靠棍，再把蒜带子股缠上徒去，手沿木语棍纵控轴方购向即蜡可读痰出有冷意义额的明滑文。这种绸叫做“天书”的器狂械堪验称人归类历贵史上碍最早絮使用什的密码闷器械。417.道2加密横和认邮证技蒜术公元信前1世纪船，著并名的恺撒密码园被用赛于高卢战争恐中，驴这是争一种抓简单谜易行销的单字敌母替势代密贯码。427.枯2加密阴和认富证技吐术Ca符es蝇ar异c烧ip隐he望r宁is轻t洗he最s胶im侧pl谢es粱t底en宰cr术yp个ti批onFD干HV副DU斑F北LS怖KH发U鞭LV绩W竭KH帅V甚LP逐SO凯HV办W碎HQ托FU葬BS凉WL杏RQC≡P+没3州(m买od劳2辉6)20世纪70年代证中期，密馒码学隔界发裹生了摇两件傻跨时数代的甜大事麻：1、Di腾ff侦ie和He债ll奴ma挖n发表录的题鸦为“密码气学新循方向”文章恰，提出溜了“公钥零密码”新体安制，垃冲破恰传统“单钥拳密码”体制茄的束轮缚。传统表密码普体制嗓主要姻功能坐是信息针的保吴密，双钥(公钥)密码杆体制士不但娇赋予粉了通该信的保密旧性，而且储还提困供了蒸消息恶的认证果性新的锋双钥口密码拐体制无需观事先捐交换尝秘密根钥就可通累过不安榆全信各道安全腐地传度递信招息，大大阔简化拿了密钥延分配的工逃作量俭。双钥霜密码辨体制适应掏了通税信网需的需太要，为保弟密学耽技术吵应用势于商业酸领域开辟虎了广昆阔的暗天地芬。437.燃2加密搭和认拼证技膜术2、美东国国野家标染准局NB扩S于19嘱77年公觉布实誉施美律国数森据加山密标予准DE疲S，保密茫学史诉上第捉一次因公开叨加密糠算法姨，并俱广泛子应用监于商标用数浊据加碑密。这两核件引闹人注部目的亏大事揭开跳了保智密学肾的神殃秘面怜纱，标志低着保忍密学笨的理冈论与虑技术伙的划时标代的复革命朴性变厉革从此命，掀魄起了现代须密码青学研究艳的高饮潮。447.才2加密抱和认客证技厅术一个密码竖系统著（体抗制）至少铜由明警文、蹄密文宪、加卡密算米法和凤解密披算法南、密感钥五让部分浩组成抱。信息概的原牛始形帐式称伍为明文（Pl副ai赔nt导ex嘴t）。信息侨经过撕变换犯加密条后称壤为密文（Ci锐ph缩慧er业te状xt旧)。对明哥文进旨行编绍码生州成密饲文的金过程许称为待加密邻（En训cr涂yp辈ti抽on），无编码逼的规火则称狡为加密解算法。将密远文恢昆复出慨明文洲的过甲程称啊为解负密（De非cr绵yp稍ti斯on），蕉解密六的规愚则称蚀为解密殊算法。密钥（Ke仗y）是不唯一纵能控罗制明夜文与急密文挤之间释变换椒的关称键。457.使2加密蚊和认营证技陶术实现吨过程密码惭系统越的安胃全性灰是基税于密钥而不厦是加及密和贡解密喷算法烤的细率节。懒这意膏味着卸算法拖可以抬公开氏，甚醒至可耗以当运成一而个标提准加谨以公蒙布。467.径2加密毁和认摧证技既术7.好2.基2密码委体制对称脸密码算体制加密服密钥卧和解软密密钥察相同，或笛者虽庸然不妖相同佛，但删由其猴中的新任意瓜一个汗可以歌很容萍易地墙推出泼另一割个，舌又称浙传统颠密码娱体制补、秘两密密辱钥体师制或千单密启钥体替制，DE挽S，AE泽S。非对耀称密践码体励制加密灿密钥金和解傅密密钥学不相兆同，并志且从求一个勾很难食推出灯另一撤个，叼又称公钥单密码貌体制。公赴开密不钥体誓制用刘一个汪密钥嚷进行甘加密凤，而若用另纺一个剪进行朋解密篇。其懂中一奶个密旗钥可铜以公鸡开，骑简称公钥；另猎一个肿密钥丽简称私钥，RS耐A。477.毁2加密胁和认兔证技坐术对称气密码秘体制优点：运隶算简尿单，罩易于贪硬件盟设计厘，且矿加解惠密速窃度快渴。缺点：密钥塑管理补量困摆难，可以实现青机密智性，秤无法地实现膊不可良否认娃性。非对之称密祸码体栋制优点：密钥胀管理覆方便劝，可以实现丸机密言性，揪也可负以实宰现不丸可否窝认性。缺点：运泻算复旺杂，献速度灶慢，陈实时删性差。487.慈2加密已和认盐证技仪术497.寒2加密沸和认睡证技天术对称讲密码吐体制舅实现茧机密胃性507.患2加密到和认离证技防术非对坏称密膜码体抹制实悄现机汉密性517.泄2加密植和认拉证技蹄术非对较称密验码体掠制实划现不犹可否迹认性剖（数辜字签士名）52Al晶ic陵e将自呼己的公钥告知浊接收法方Bo钳b。Al痒ic件e将明役文消邻息进誉入Ha爱sh“压缩松机”孕，得讨到相搭应的Ha玻sh值；再当用自津己的私钥对Ha超sh值进篇行数字吉签名。Al究ic蹄e将“块明文摆消息||签名宝值”桐发送由给Bo耍b。Bo刚b收到重后，逆分别黎提取顽出明步文消乎息和申签名就值。用Al躲ic括e(发送辰方)的公钥对签织名值脆进行解签凯名，可流以恢塑复Ha棚sh值；将收浸到的浩明文次送入Ha权sh函数奴，得怀到另株一个Ha谊sh值。比较步骤1)和2)得到牲的Ha所sh值，坦若相丹同，嘱则认拆为此脚消息喉确实章是由Al悠ic吩e发送流过来允的，企并且孤中间享过程迷没有评被篡客改。数字兰签名第七伞章森信庭息安榆全7.劳1概述7.顾2密码递学7.按3综合变应用痕实例7.垮3.粘1电子谊信封某技术7.厦3.吗2网上野银行愉的Us女bK虾ey原理现代宝移动肺通信省网络米技术53537.站3综合会应用股实例7.然3.1阻电子翅信封么技术对称悲加密冒算法和公钥绳加密画算法都可丢以实称现对恐消息首的保仇密，骗对称选加密兄算法劫加密坊速度浅快，怪但是素一旦碧通信鲁方增宗多，李密钥跳的管毯理会衔更加遍困难蹈；公禽钥加洲密算哀法，伟密钥前管理堡会较熟为方鸦便，姑只要谣获得衫对方由的公浑钥，刃就可碗以实般现与胀对方僚的秘遇密通疾信。洪但是山公钥锁算法无的加收密速参度慢渗，实灰时性仪较差刑。电搭子信涉封技退术综合芹了两啊者的沃优点。547.忽3综合零应用矩实例7.反3.1招电子级信封韵技术55发送霸方Al拳ic批e作如谊下处兄理：1.兵A备li鞋ce随机嗓生成DE萍S加密疯密钥KDE跟S，并僚用Bo负b的公树钥加盈密KDE迫S得到影信封慎部分隔；2.用KDE炮S加密央消息套，得鸣到密矩文；3.将“到密文||信封浓”一吴并发从送给偶接收急方Bo元b。接收昂方Bo旗b如下笑处理邪：1.打开念信封吼：Bo舌b用自册己的夹私钥呈解密绕信封占，得与到KDE列S。2.用KDE云S解密厅密文渔，恢岭复消嘱息。7.柄3综合剥应用萌实例567.湿3综合沾应用完实例7.劲3.1缠电子婚信封勇技术电子霜信封裕技术绑使用对称株加密锣算法来加粉密长度容较长裹明文消息亚，用非对碑称加纳密算拨法来加档密很短的蔑密钥信息渐。这偿样处惧理可课以使立每次经通信袋更换悦一次中对称痰密钥助，保迟证传巡寿送的跨密文肠的安炉全性者，不璃存在陪对称妙密钥重的管景理问哪题。57US舅BK慨ey是一紫种结越合了唯智能跃芯片四和US治B通讯乌技术毯的硬克件产氏品，被认浓为是喝安全棒最高逼的手戒段之甜一。7.貌3综合游应用腥实例7.科3.奥2网上宾银行倍的Us象bK膨ey原理58普通茅的US倒BK俊ey二代US候BK慨ey看(带PI牵N码输战入)三代US集BK厌ey尿(带指意纹识渴别)7.寺3综合兵应用粘实例7.烦3.冬2网上瓣银行慢的Us责bK塘ey原理59发送幅方的甜客户蛮端US斩BK融ey的工梯作原栋理7.鸭3综合吵应用柏实例7.阴3.客2网上乐银行励的Us岗bK睛ey原理发送乏方Al罗ic氏e作如脏下处豪理：1.发送众方填璃好转富账信伞息(待发轻指令)，如Al渐ic军e自己间的帐鹊号信灿息，Bo层b的帐霞号信体息，麦转账鼠的金踢额等耽。客摆户端昌对待炊发指箭令进指行Ha递sh压缩挠，得量到对佳应的Ha眼sh