1 / 89

網路安全

網路安全. 林振緯 輔仁大學資訊工程系 jwlin@csie.fju.edu.tw. 內容. 網路概論 資訊加解密技術 身份認證 防火牆之原理與類型 虛擬私人網路 -VPN 無線區域網路加密設定. 網路基本介紹. 網路是由一群電腦透過傳輸媒介、訊號轉換器及電腦等設備連結在一起的連結架構。透過許多網路建立起廣大的「網際網路」 (Internet) 現今網 路結構分為有線電腦網路與無線電腦網路. 網路基本介紹. 有線電腦網路. 網路基本介紹. 無線電腦網路. 網路協定.

maddy
Download Presentation

網路安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路安全 林振緯 輔仁大學資訊工程系 jwlin@csie.fju.edu.tw

  2. 內容 • 網路概論 • 資訊加解密技術 • 身份認證 • 防火牆之原理與類型 • 虛擬私人網路-VPN • 無線區域網路加密設定

  3. 網路基本介紹 • 網路是由一群電腦透過傳輸媒介、訊號轉換器及電腦等設備連結在一起的連結架構。透過許多網路建立起廣大的「網際網路」(Internet) • 現今網路結構分為有線電腦網路與無線電腦網路

  4. 網路基本介紹 • 有線電腦網路

  5. 網路基本介紹 • 無線電腦網路

  6. 網路協定 • 網路是由許多節點所組成的,訊息在節點間傳送時,必須有共同的傳輸規則,來定義複雜的資料傳送程序 • 網路協定是用來規範網路節點間訊息的傳遞方式、訊息格式、如何進行錯誤偵測等資訊傳送相關事項

  7. 網路協定 • 網路協定就如同交通規則

  8. OSI網路參考模式 • 國際標準組織 (ISO) 於1977 年制定了OSI (Open Systems Interconnection) 開放式系統相互連結的網路參考模式,為各家原本所設計不一致的網路架構提供完整的參考標準 • OSI 網路參考模式是一套概念性的功能架構,並非規範或制定用以實際執行的通訊協定標準 • OSI網路參考模式並不限定使用特定通訊協定,只要收送雙方協調在相對應的層次使用相同的通訊協定即可,透過OSI 網路參考模式可了解網路中不同層次間資料傳輸之複雜的互動關係

  9. OSI網路參考模式 • OSI 網路參考模式由下至上共分為七層: • 實體層(Physical Layer) • 資料鏈結層(Data Link Layer) • 網路層(Network Layer) • 傳輸層(Transport Layer) • 會議層(Session layer) • 展示層(Presentation Layer) • 應用層(Application Layer)

  10. 應用程式間的通訊 7.應用層 7.應用層 傳輸資料格式的轉換 6.展示層 6.展示層 應用程式間的對談管道 5.會議層 5.會議層 點對點資料傳輸 4.傳輸層 4.傳輸層 節點定址與路徑選擇 3.網路層 3.網路層 無錯誤資料傳輸 2.鏈結層 2.鏈結層 2.鏈結層 規範實體裝置與電氣特性 1.實體層 1.實體層 接收者 發送者 實體電路 實體電路 路 由 器 OSI網路參考模式

  11. 網路安全 資訊加解密技術

  12. 密碼學概念 • 何謂密碼學 • 藉由加密的方式將原始有意義的資訊轉換成無意義的文字或亂碼,唯有知道解密方式的人方能破解讀取其真正意義,加解密的主要目的在於防止資訊在傳遞過程中遭人蓄意竊取或竄改 • 「加密」(Encryption):是將原本可閱讀的資訊,又稱明文(plain text),透過特定的程式或規則轉換成無法讀取的形式,又稱密文(cipher text) • 「解密」(Decryption):當接收者取得密文後,透過特定的解碼方式將密文還原成有意義的明文

  13. 往後位移二個字母 加密 K NQXG AQW I LOVE YOU 解密 K NQXG AQW I LOVE YOU 往前位移二個字母 密碼學概念 • 何謂密碼學 A B C D E F G H I J K L M N O P Q R S T UV W X Y Z A B C D E F G H I J K L MN O P Q R S T U V WX Y ZA B

  14. 密碼學概念 • 密碼系統之類型 • 為充分達到資訊隱藏的目的,必須透過嚴謹的方式進行加密的動作 • 密碼系統主要可分為: • 對稱式金鑰密碼系統 (Symmetric Key) • 非對稱式金鑰密碼系統 (Asymmetric Key)

  15. 密碼學概念 • 對稱式金鑰密碼系統 (Symmetric Key) • 「對稱式金鑰密碼系統」又稱「秘密金鑰系統」(Secret Key) • 此密碼系統之特色在於傳送與接收雙方使用相同之鍵值(金鑰)進行加解密,亦即雙方擁有相同之秘密金鑰 • 優點: • 其加解密的速度較同等安全程度的非對稱金鑰密碼系統快 • 缺點: • 在傳送加密訊息之前,傳送者與接收者雙方必須找到一個安全交換秘密金鑰的方法,此外,在與不同對象進行訊息傳送時也必須使用不同的秘密金鑰

  16. A 秘密金鑰X 僅兩人共同持有 B 秘密金鑰X 密碼學概念 • 對稱式金鑰密碼系統 (Symmetric Key) (Cont.)

  17. 密碼學概念 • 非對稱式金鑰密碼系統 (Asymmetric Key) • 「非對稱式金鑰密碼系統」又稱為「公開金鑰系統」(Public Key) • 特色在於傳送與接收雙方使用兩組不同之鍵值(金鑰)進行加解密,此兩組金鑰是成對的。其概念為每一個人均擁有一組公開金鑰(Public key)及一組私人金鑰(Private key),訊息傳送者必須使用接收者對外開放之公開金鑰對訊息進行加密,接收者取得訊息後,再使用其不對外洩露之私人金鑰進行解密

  18. 密碼學概念 • 非對稱式金鑰密碼系統 (Asymmetric Key) (Cont.) • 與對稱式金鑰密碼系統相較之下,免除了必須找到安全交換秘密金鑰方式的考量 • 優點: • 所有傳送者對某特定接收者傳遞訊息時只需使用一致的接收者公開金鑰即可 • 缺點: • 較同等安全程度的對稱金鑰密碼系統慢

  19. A 公開金鑰B_Public 眾人皆可取得 僅B個人持有 B 私人金鑰B_Private 密碼學概念 • 非對稱式金鑰密碼系統 (Asymmetric Key) (Cont.)

  20. 對稱式密碼系統:DES / Double DES / Triple DES / AES • DES ( Data Encryption Standard ) • 1970年由IBM所發展的一套密碼系統 • 1977年美國國家標準局(NBS)公佈為「資料加密標準」( Data Encryption Standard;DES ) • DES屬於一種「區塊加密法」(Block Cipher),先將明文分成許多大小為64 bits的區塊,每個獨立區塊再分別透過密碼系統進行加密成密文,其中密碼系統使用56 bits金鑰進行加密處理

  21. 64 bits 明文 Happy …... 56 bits 金鑰 初始排列運算 金 鑰 產 生 重複運算 (16次) 反初始排列運算 %$*@#! .. 64 bits 密文 對稱式密碼系統:DES / Double DES / Triple DES / AES • DES ( Data Encryption Standard ) (Cont.)

  22. 對稱式密碼系統:DES / Double DES / Triple DES / AES • DES ( Data Encryption Standard ) (Cont.) • 加解密的速度較公開金鑰系統快 • 但由於其執行加解密時是使用相同的秘密金鑰,因此在傳送訊息給接收者時,也必須將秘密金鑰傳給對方,因此在資料傳輸的過程中,如何將秘密金鑰安全地傳送給對方,始終為DES的一大問題

  23. 對稱式密碼系統:DES / Double DES / Triple DES / AES • Double DES • 為提升DES的保密程度,所衍生出的加解密架構 • 使用兩個秘密金鑰將明文做兩次加密的動作以產生密文 • 傳送者先後使用K1、K2兩個秘密金鑰對明文進行兩次加密以得到密文,而接收者也必須先後使用K2、K1對密文進行解密以得到明文。由於Double DES使用兩個金鑰,因此其金鑰長度可視為56 × 2 = 112 bits,較原始DES增加了破解密碼的困難度

  24. ※ 加密:密文(C) = EK2 [ EK1 (P) ] ※ 解密:明文(P) = DK1 [ DK2 (C) ] K1 K2 密文 明文 X %$*@# Happy 加密 2 加密 1 明文 密文 X Happy %$*@# 解密 1 解密 2 K1 K2 對稱式密碼系統:DES / Double DES / Triple DES / AES • Double DES

  25. 對稱式密碼系統:DES / Double DES / Triple DES / AES • Triple DES • 如同Double DES的概念,為增加密碼被解的困難度,Triple DES使用DES做三次加解密處理

  26. ※ 加密:密文(C) = EK3 { EK2 [ EK1 (P) ] } ※ 解密:明文(P) = DK1 { DK2 [ DK3 (C) ] } K2 K3 K1 密文 明文 X2 X1 %$*@# Happy 加密 2 加密 3 加密 1 明文 密文 X2 X1 Happy %$*@# 解密2 解密 1 解密3 K1 K2 K3 對稱式密碼系統:DES / Double DES / Triple DES / AES • Triple DES : DES-EEE3

  27. 對稱式密碼系統:DES / Double DES / Triple DES / AES • AES ( Advanced Encryption Standard ) • 由於DES密碼系統使用56 bits秘密金鑰,隨時面臨被破解的威脅,因此美國國家標準技術局於1997年4月公開徵求下一代加密標準AES ( Advanced Encryption Standard),並於2000年10月公開選定Rijndael的區塊密碼系統做為AES的加密標準

  28. 對稱式密碼系統:DES / Double DES / Triple DES / AES • AES ( Advanced Encryption Standard ) (Cont.) • 不同於DES的部份有以下幾點: • 使用資料區塊長度為128 bits • Rijndael所使用的資料區塊結構不同於DES的資料區塊結構 • Rijndael利用固定大小的資料區塊與不同長度的秘密金鑰進行重複運算 • 秘密金鑰的長度可為128、192、256 bits,則重複運算的次數分別為10、12、14次

  29. 對稱式密碼系統:DES / Double DES / Triple DES / AES • DES 與 AES比較

  30. 非對稱密碼系統:RSA • RSA • 目前最普遍的公開金鑰加密法,其金鑰長度不定,若欲提供資料較高的安全性可選擇較長的金鑰值;若要顧及加解密處理的效率,則可選擇較短的金鑰值 • 與DES演算法類似,RSA加密法也是將明文分成同樣大小的資料區塊,資料區塊的長度可以自由設定,但是需小於公開金鑰之長度,再分別對資料區塊加密成密文

  31. Public-Key Cryptography • Key: A value used to encrypt or decrypt a message • Public key: Used to encrypt messages • Private key: Used to decrypt messages • RSA: A popular public key cryptographic algorithm • Relies on the (presumed) intractability of the problem of factoring large numbers

  32. Encrypting the Message 10111 • Encrypting keys: n = 91 and e = 5 • 10111two = 23ten • 23e = 235 = 6,436,343 • 6,436,343 ÷ 91 has a remainder of 4 • 4ten = 100two • Therefore, encrypted version of 10111 is 100.

  33. Decrypting the Message 100 • Decrypting keys: d = 29, n = 91 • 100two = 4ten • 4d = 429 = 288,230,376,151,711,744 • 288,230,376,151,711,744 ÷ 91 has a remainder of 23 • 23ten = 10111two • Therefore, decrypted version of 100 is 10111.

  34. Figure 12.13 Public key cryptography

  35. Figure 12.14 Establishing an RSA public key encryption system

  36. 網路安全 身份認證

  37. 數位認證概念 • 何謂數位認證 • 「數位認證」(Digital Certificate)是在網路環境用來辨識使用者身份的機制,如同現實生活中個人所持有的身分證一般,可對網路上所傳遞的電子資料進行安全的簽署與驗證。 • 「數位憑證」大致具有以下功用 • 電子郵件加密 • 將傳送的資訊內容隱藏,非特定接收者無法閱讀其內容 • 電子郵件簽章 • 如同本人簽章,別人無法仿冒,而本身一旦簽署完成即不可否認 • 網路通行證 • 配合作業系統,代替帳號密碼作為網路登入的識別證

  38. 數位認證概念 • 何謂數位認證 (Cont.) • 嚴謹的數位認證運作機制中存在一公正第三者 -「認證中心」(CA;Certification Authority),使用者必須依據認證中心的申請程序進行申請方能取得數位憑證,而認證中心也須擔負起查驗通訊雙方身份之責任。

  39. 數位認證概念 • 數位認證的概念 • 在網路環境中傳送資料時一般透過加密過的訊息,藉由「盤問與回應」(Challenge & Response) 的方式確認對方的身份 • 身份認證可以「對稱式金鑰密碼系統」及「非對稱式金鑰密碼系統」進行介紹

  40. (4) 比對 驗證B的身份 A B (1) (2) 加密 K X X′′ X′ 解密 K (3) 數位認證概念 • 對稱式金鑰密碼系統 – A 驗證 B

  41. A B (4) 比對 驗證A的身份 (2) (1) Y′′ 加密 Y K K 解密 Y′ (3) 數位認證概念 • 對稱式金鑰密碼系統 – B 驗證 A

  42. A B KB公 KB私 (1) (2) 解密 加密 P P P′ KB私 (3) (4) (5) 比對 驗證B的身份 加密 解密 KB公 數位認證概念 • 非對稱式金鑰密碼系統

  43. 數位認證協定:SSL • 何謂SSL • 1994年由Netscape所提出的標準草案,以確保使用者在網路上傳輸資料的安全 • 大多數電子商務網站皆是以SSL機制進行交易資料的加密與傳送處理 • 主要目的在於提供網路應用軟體之間資料傳輸的安全性,其應用在HTTP、SMTP等通訊協定中 • SSL加密技術使用在TCP/IC的傳輸層中

  44. 公開金鑰憑證協定:X.509 • 簡介 • 為了在開放的網路環境下提供遠端使用者身份之認證,ITU (International Telecommunication Union)於1988年提出「開放式系統連結目錄服務:認證架構X.509」 • 後續X.509更被國際標準組織ISO採用為ISO 9594-8認證標準 • 大多數的公開金鑰基礎建設皆是依照X.509標準發展而成

  45. 公開金鑰憑證協定:X.509 • X.509規格內容與特性 • 在X.509規格中描述範圍包括: • 公開金鑰憑證 • 憑證管理 • 憑證路徑 • 目錄資料結構 • 金鑰產生與管理等 • 其中,不同憑證中心間交互認證的安全層級包括: • 簡單認證 • 加強認證

  46. 公開金鑰憑證協定:X.509 • X.509規格內容與特性 (Cont.) • X.509標準之規格內容包含: • 簡單認證程序 • 加強認證程序 • 金鑰及憑證管理 • 憑證擴充及憑證廢止清冊

  47. 公開金鑰憑證協定:X.509 • X.509規格內容與特性 (Cont.)

  48. 公開金鑰憑證協定:X.509 • X.509規格內容與特性 (Cont.) • X.509規格所定義的憑證符合兩項特性: (1)任何有權限取得公開金鑰的使用者,皆可找到已經通過認證的公開金鑰 (2)除憑證中心外,所有對憑證進行修改的動作皆會被監測發現

  49. 網路安全 防火牆之原理與類型

  50. 何謂防火牆 • 防火牆簡介 • 防火牆就像是現今一般辦公大樓、科學園區或是社區的警衛,而警衛的工作即是確認使用者的身份 • 具有防火牆的系統會對網路上資料封包於電腦的進出動作進行驗證,以確認網路封包內容的合法性與安全性 • 防火牆能將危險與不安全的連線阻擋在私人網路之外

More Related