1 / 40

信息安全 黄斌 PTDD

信息安全 黄斌 PTDD. 网络信息安全面临严重挑战. 非法截取军事机密、商业秘密、个人隐私 冒名顶替、 未授权访问网络 黑客入侵、 病毒肆虐 、 黄毒泛滥. 典型案例. 1988 年 11 月 3 日,美国 6 千多台计算机被 “ 莫里斯 ” 蠕虫感染,造成 Internet 不能正常运行,直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特 · 莫里斯 (Robert T. Morris) ,当年 23 岁在康乃尔 (Cornell) 大学攻读学位的研究生。. 典型案例.

essien
Download Presentation

信息安全 黄斌 PTDD

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 信息安全黄斌PTDD

  2. 网络信息安全面临严重挑战 • 非法截取军事机密、商业秘密、个人隐私 • 冒名顶替、未授权访问网络 • 黑客入侵、病毒肆虐、黄毒泛滥

  3. 典型案例 • 1988年11月3日,美国6千多台计算机被“莫里斯”蠕虫感染,造成Internet不能正常运行,直接经济损失达9600万美元。这个病毒程序设计者是罗伯特·莫里斯(Robert T. Morris),当年23岁在康乃尔(Cornell)大学攻读学位的研究生。

  4. 典型案例 • 1988年“头号黑客”少年米特尼尔用1台电脑和1个调制解调器闯入“北美空中防务指挥系统” • 当局说,“只要有键盘,就会对社会构成威胁”

  5. 典型案例 • 1995年7月,法国几百艘军舰的识别密码被盗。

  6. 典型案例 • 1996年1月29日晚开始,美国俄亥俄州市政委员苏彭西克和夫人琳达收到莫名其妙的电话,找安妮塔….…

  7. 典型案例 • 时间:1996年7月9日 • 地点:北京市海淀区法院 • 原告:北大心理学系93级研究生 薛燕戈 • 被告: 同班同学 张 男 • 情节:4月9日1.8万美元全奖/4月12日10:16冒名邮件 • 调解:赔偿精神与经济损失12000元 • 结局:薛燕戈 赴美成行(密执安大学) 。 张 男 “梦断北京”(丹佛大学)

  8. 典型案例 • 1998年6月24日上海证卷交易所某营业部发现有人委托交易1亿股上海建工股票,却找不到营业部有任何人委托此笔交易,当即撤消此笔交易,但是已经成交2100股,损失2.6亿元。

  9. 典型案例 • 1998年9月21日晚,郝景文(扬州市工商行职员)与其弟潜入无人值班的工商行白鹤储蓄所,在与市行间的二进制专线上安装无线遥控切换开关。次日午,郝利用储蓄所空闲之际,按下遥控器,使市行中心服务器与储蓄所的终端断开,而与假冒终端相连,通过假冒终端在11分钟内向16个活期帐户充值72万元。随后恢复线路的正常连接,并在1小时内从8个储蓄所提取26万元,心虚逃窜,现已缉拿归案,判处死刑。原因分析:1)明线连线。 2)一次登录,长时间使用,线路切换也不需重新输入口令。

  10. 美国每年网络安全损失:100亿美圆!

  11. 网络信息安全的目的: • 重要信息不被非授权者窃取/篡改 • 身份合法性验证/签名不可抵赖 • 抵御黑客/病毒

  12. 相应地,网络安全措施分为三类: • 信息加密 • 身份验证与数字签名 • 防火墙与杀毒防毒

  13. 1. 信息加密/还原古代——恺撒加密法加密:字母前移13个位置 例如 GOTOROME 加密为 TBGBEBZR 解密:字母前移13个位置 TBGBEBZR 还原为GOTOROME

  14. 对称密码体制(秘密密钥体制)(DES —— Data Encryption Standard) (发方 ) ( 收方 ) 明文* 密钥==》 密文 (经网络传递)密文*密钥==》 明文用64位(56位)密钥Kj对切分为64位长的数据块(左、右各32位) 进行16次迭代运算(与轮函数f 模2运算后左右交换)Li = Ri-1 Ri=Li-1 f(Ri-1,Ki)

  15. 已知 明文 I want save this program! I love my job,and you?密钥 program1加密结果用十六进制输出,密文如下:D3 45 EE C7 C8 ED 45 E6 38 13 30 BA 12 3E 3C 19 BA 1A 1B 35 31 1B 38 34 ED FA 79 EF 63 60 46 65 BA 34 1C BA 3F 35 3B 30 1C 92 9D 98 10 B6 9F BA解密之后得到原文:I want save this program! I love my job,and you?

  16. 特点:加密/解密使用同一密钥优点:运算速度快 问题:密钥如何安全地传递给收方 ? 如果密钥泄漏,谁的责任?!

  17. 不对称密码体制(公开密钥体制)1978 Rivest,Shamir,Adleman提出RSA算法用两个大质数生成密钥对:一个公钥,一个私钥(美驻国外间谍 ) ( CIA ) 明文*公钥 ==》密文 (经公网传递) 密文*私钥==》明文优点:非常安全。公钥不怕公开,按目前的计算机速度,无法在“有生之年”由公钥推出私钥缺点:运算非常之慢

  18. RSA算法原理 1)由两个非常大的素数的合数(乘积)很难分解出这两个素数 2)数论的欧拉定理 选取两个大素数P和Q,计算:合数N=P*Q,函数Z=(P-1)*(Q-1) 以gcd(e,Z)=1为条件,随机选取加密密钥e, 公钥pk=(e,N) 再由(d*e)mod Z =1, 计算出解密密钥d,私钥sk=d 丢弃P,Q和Z, 绝对不能泄露!!! 把明文分为比N 小的数据分组M = M1 ,….. , Mm 用公钥加密: M1e mod N => 密文C1 ,….. 用私钥解密: C1d mod N => 明文M1 ,…..

  19. RSA算法举例P=5, Q=11, N=5*11=55, Z=4*10=40选取e=3,能满足gcd(3,40)=1, 公钥pk=(e,N)=(3,55)由d*e mod 40=1,算出d=27, 私钥sk= d = 27例:明文 hi 化为 08 , 09加密:083 mod 55 = 512 mod 55 = 17 093 mod 55 = 729 mod 55 = 14密文 17,14解密:1727 mod 55 = 08 1427 mod 55 = 09得明文 hi私钥安全性分析:上例由pk=(3,55)反求sk=27并不难因为55太小,因式分解很容易 55=5*11 实际应用时,P,Q,N很大,因式分解工作量极大,至少需要亿万年!!

  20. 私钥长度与解密时间私钥长度 需要的因式分解次数 需要的解密时间 50位 1.4 * 1010 3. 9 小时100位 2.3 * 1015 74 年200位 1.2 * 1023 3.8 * 109 年300位 1.5 * 1029 4.0 * 1015 年[注] 按每秒可以进行1000次因式分解计算 • 美国曾投入百万美元进行解密测试

  21. RSA实验系统示例原文:

  22. RSA加密后,得到的密文如下:

  23. RSA解密之后,得到明文:

  24. 不对称密码体制(公开密钥体制)要点:1)公钥pk=(e,N)可以在网上公开,也不怕有人试图由公钥反推算私钥sk =d,因为在“有生之年”内无法推出!2)私钥sk =d必须严格保密,生成私钥用的两个大素数P和Q也绝对不能泄露!

  25. 数字信封用对称密码DES加密正文文件(快)用公开密钥RSA加密DES的密钥(安全)( 相当于把DES的密钥放进安全的数字信封)

  26. 要点 • 算法是公开的 • 私钥严格保密

  27. 2. 数字签名——不对称密码体制用法之二这时,加密密钥为私钥,而解密密钥为公钥 付款方 银行明文==》(经网络传递)==》明文明文*Hash函数==》明文摘要 明文*Hash函数==》明文摘要明文摘要*私钥 ==》数字签名(经网络传递) 数字签名*公钥 ==》明文摘要核对两个明文摘要是否一致(明文:我公司支付80万美元给大洋公司2002年7月3日 大山公司总经理张三)银行、受款方、乃至任何人都可以使用大山公司提供的公钥(网上公开),通过对比明文摘要是否一致来验证数字签名是否真实。没有张总经理私钥的任何人根本不可能仿造出数字签名(很长的一串乱码,变动一位面目全非)。所以,张总经理对于他的数字签名是无法抵赖的。

  28. 认证中心CA ( Certificate Authority )电子商务交易中具有权威性和公正性的第三方,职责是:1)数字证书的发放、更新、撤消与验证2)提供数字时间戳服务

  29. 数字证书的内容1)拥有者单位姓名2)序列号3)公共密钥及其有效期4)颁发数字证书的单位(CA)及其数字签名数字证书的内容1)拥有者单位姓名2)序列号3)公共密钥及其有效期4)颁发数字证书的单位(CA)及其数字签名

  30. 数字时间戳服务DTSS (Digital Time Stamp Service)1)用户文件经 Hash函数加密,形成文件摘要,经网络发给CA2)CA为文件摘要加上时间戳,进行数字签名,发还用户用户收到后,应该用CA的公钥对时间戳加以验证;CA为文件摘要加的时间戳(而不是用户自己填写的日期时间)具有法律上的效力,因为用户不可能对加盖时间戳的文件做丝毫改动(哪怕是1bit);用户也不必担心文件内容泄露给CA 的工作人员,因为安全Hash函数是单向散列函数,无法反推出用户文件的任何内容。

  31. 质疑:万一CA 的某人与该用户同谋伪造带有时间戳和CA签名的文件,怎么办?防止CA 的某人与某用户同谋伪造带有时间戳的对策——建立时间戳链:CA签发的每个时间戳都包含本CA签发的前一个时间戳文件的时间和编号,从而形成一个单一的时间戳链。 当对某用户时间戳文件有疑问时,可以与前一个时间戳用户及下一个时间戳用户接触,证实时间戳的真实性。

  32. 多级CA证明链如果对某级CA有怀疑,可以向上级CA核实根CA被认为是绝对可信的多级CA证明链如果对某级CA有怀疑,可以向上级CA核实根CA被认为是绝对可信的

  33. 3. 防火墙/杀毒软件/滤黄软件——抵御黑客/病毒/黄毒

  34. 防火墙——内部网 与 因特网 之间的屏风(Intranet)(Internet)1)保护内部数据的机密性和完整性2)限制内部人员对不适宜网站的访问

  35. 防火墙的主要类型:1)包过滤防火墙2)代理服务器防火墙3)状态监视器防火墙防火墙的主要类型:1)包过滤防火墙2)代理服务器防火墙3)状态监视器防火墙

  36. 对政府机要单位的要求:1)内网/外网物理隔离2)电磁波屏蔽,以防止 电磁泄露

  37. 防病毒软件类型:查毒/杀毒软件病毒主动探测器防病毒软件类型:查毒/杀毒软件病毒主动探测器

  38. 滤黄软件: 网络警察110家庭版 五行卫士 网吧管理专家 美萍反黄专家 等等

More Related