網(wǎng)絡(luò)安全技術(shù)新1第1頁，課件共75頁，創(chuàng)作于2023年2月第8章網(wǎng)絡(luò)安全技術(shù)8.1幾種常用的網(wǎng)絡(luò)安全技術(shù)8.2加密技術(shù)8.3數(shù)字簽名與身份認(rèn)證技術(shù)8.4入侵檢測技術(shù)2第2頁，課件共75頁，創(chuàng)作于2023年2月本章學(xué)習(xí)要求：了解：幾種常用的網(wǎng)絡(luò)安全技術(shù)。掌握：加密技術(shù)。掌握：數(shù)字簽名與身份認(rèn)證技術(shù)。掌握：入侵檢測技術(shù)。3第3頁，課件共75頁，創(chuàng)作于2023年2月8.1幾種常用的網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全問題⑴人為的失誤操作員安全配置不當(dāng)、用戶安全意識(shí)不強(qiáng)、用戶口令選擇不慎等。⑵信息截取通過信道進(jìn)行信息的截取、通過信息的流量分析等。⑶內(nèi)部竊密和破壞內(nèi)部或本系統(tǒng)的人員通過網(wǎng)絡(luò)竊取機(jī)密、泄漏或更改信息以及破壞信息系統(tǒng)。4第4頁，課件共75頁，創(chuàng)作于2023年2月⑷黑客攻擊黑客已經(jīng)成為網(wǎng)絡(luò)安全的克星。⑸技術(shù)缺陷硬件和軟件設(shè)計(jì)過程中留下的技術(shù)缺陷，如Windows等。⑹病毒1.CIH(1998年)、2.梅利莎（Melissa,1999年）、3.Iloveyou(2000年)、4.紅色代碼(CodeRed，2001年)、5.SQLSlammer(2003年)、6.沖擊波（Blaster，2003年)、7.大無極.F（Sobig.F，2003年)、8.貝革熱（Bagle，2004年)、9.MyDoom(2004年)、10.Sasser(2004年)5第5頁，課件共75頁，創(chuàng)作于2023年2月8.1幾種常用的網(wǎng)絡(luò)安全技術(shù)1加密技術(shù)2數(shù)字簽名與身份認(rèn)證3入侵檢測4病毒防范5防火墻6存取控制7安全協(xié)議…….6第6頁，課件共75頁，創(chuàng)作于2023年2月8.2加密技術(shù)

8.2.1密碼學(xué)基本概念密碼學(xué)基本概念明文(Plaintext)加密前的數(shù)據(jù)稱為明文。密文(Ciphertext)經(jīng)加密算法作用后轉(zhuǎn)換成密文。加密密鑰(EncodeKey)加密算法中使用的參數(shù)為加密密鑰解密密鑰(DecodeKey)密文經(jīng)解密算法作用后形成明文輸出，解密算法也有一個(gè)密鑰，它和加密密鑰可以相同也可以不同。7第7頁，課件共75頁，創(chuàng)作于2023年2月8.2.1密碼學(xué)基本概念密碼設(shè)計(jì)和密碼破譯統(tǒng)稱為密碼學(xué)。下圖為一個(gè)通用的加密模型：加密和解密有如下關(guān)系：P=Dk(Ek(P))8第8頁，課件共75頁，創(chuàng)作于2023年2月8.2.2對(duì)稱密鑰算法對(duì)稱密碼體制是一種傳統(tǒng)密碼體制，也稱為私鑰密碼體制。在對(duì)稱加密系統(tǒng)中，加密和解密采用相同的密鑰。1.凱撒密碼(CaesarCipher)也稱凱撒移位，是最簡單的加密方法之一，相傳是古羅馬愷撒大帝用來保護(hù)重要軍情的加密系統(tǒng)，它是一種替代密碼。加密：將明文報(bào)文中的每個(gè)字母用字母表中該字母后的第R個(gè)字母來替換。解密：將密文中的每個(gè)字母用該字母前的第R個(gè)字母替換回來。9第9頁，課件共75頁，創(chuàng)作于2023年2月加密公式：密文

=

(明文

+

位移數(shù))

Mod

26

解密公式：明文

=

(密文

-

位移數(shù))

Mod

26

以《數(shù)字城堡》中的一組密碼為例：密文：phhw

ph

diwhu

wkh

wrjd

sduwb明文：meet

me

after

the

toga

party位移數(shù)=？10第10頁，課件共75頁，創(chuàng)作于2023年2月2.DES、3DES和AES算法1)DES(DataEncryptionStandard)算法美國政府制定的常規(guī)密鑰體制的密碼算法該算法輸入64bit的明文，產(chǎn)生64bit的密文；反之輸入64bit的密文，輸出64bit的明文。在64bit的密鑰中含有8個(gè)bit的奇偶校驗(yàn)位，所以實(shí)際有效密鑰長度為56bit。1997年，RSA數(shù)據(jù)安全公司發(fā)起了一項(xiàng)“DES挑戰(zhàn)賽”的活動(dòng)，參加者分別用4個(gè)月、41天、56h和22h破解了其用56bitDES算法加密的密文。11第11頁，課件共75頁，創(chuàng)作于2023年2月2)3DES是在DES算法基礎(chǔ)上擴(kuò)展密鑰長度的一種改進(jìn)，可使加密密鑰長度擴(kuò)展到128bit（112bit有效）或192bit（168bit有效）。其基本原理是將128bit的密鑰分為64bit的兩組，對(duì)明文進(jìn)行多次普通的DES加解密操作，從而增強(qiáng)加密強(qiáng)度。12第12頁，課件共75頁，創(chuàng)作于2023年2月3)AES(AdvancedEncryptionStandard)是2001年NIST宣布的DES后繼算法。AES處理以128bit數(shù)據(jù)塊為單位的對(duì)稱密鑰加密算法，可以用長為128位,192位和256位的密鑰加密。NIST估計(jì)如果用能在1s內(nèi)破解56bitDES算法的計(jì)算機(jī)來破解128位的AES密鑰，要用大約149億萬年時(shí)間。13第13頁，課件共75頁，創(chuàng)作于2023年2月對(duì)稱密鑰算法優(yōu)缺點(diǎn)缺點(diǎn)：由于加解密雙方使用相同的密鑰，因此密鑰的分發(fā)便成了該加密體系中最薄弱而且風(fēng)險(xiǎn)最大的環(huán)節(jié)。優(yōu)點(diǎn)：對(duì)稱加密算法效率高，速度快。14第14頁，課件共75頁，創(chuàng)作于2023年2月8.2.3非對(duì)稱密鑰算法非對(duì)稱加密算法有效地解決了對(duì)稱加密算法密鑰的分發(fā)管理問題。非對(duì)稱密鑰體系中用到一對(duì)公鑰(PublicKey)和私鑰(PrivateKey)公鑰加密的密文只能用私鑰解密，反之，用私鑰加密的密文只能用公鑰解密。公鑰向外界公開而私鑰則只有私人擁有。如果A要發(fā)信息給B，則A只需要知道B的公鑰，用B的公鑰對(duì)信息加密，加密后的信息只有B用自己的私鑰解密。反之，B也可以用A的公鑰對(duì)信息加密然后給A。15第15頁，課件共75頁，創(chuàng)作于2023年2月典型的非對(duì)稱密鑰算法RSARSA密鑰對(duì)：公鑰(PublicKey)和私鑰(PrivateKey)算法：選擇兩個(gè)大的質(zhì)數(shù)p,q；計(jì)算n=pq,z=(p-1)(q-1)；選擇e滿足0<e<n,并且與z互為質(zhì)數(shù)；選擇d滿足edmodz=1；得到公鑰為(n,e)，密鑰(n,d)。16第16頁，課件共75頁，創(chuàng)作于2023年2月RSA加密和解密算法加密算法：y=xemodn解密算法：x=ydmodnx=(xemodn)dmodnAdiShamir,RonaldRivest,andLeonardAdleman.17第17頁，課件共75頁，創(chuàng)作于2023年2月RSA例子1求得公鑰和密鑰：取p=5，q=13；得到n=65，z=48；選取e=7，滿足與48沒有公因子；解方程7dmod(48)

=1，得到d=7；得到公鑰(65,7)，私鑰(65,7)。加解密，令x=6加密：y=67mod65=42解密：x=427mod65=618第18頁，課件共75頁，創(chuàng)作于2023年2月RSA例子2求得公鑰和密鑰：取p=5，q=7；得到n=35，z=24；選取e=5，滿足與24沒有公因子；解方程5dmod(24)

=1，得到d=5；得到公鑰(35,5)，私鑰(35,5)。加解密，令x=6加密：y=65mod35=6解密：x=65mod35=619第19頁，課件共75頁，創(chuàng)作于2023年2月RSA例子3求得公鑰和密鑰：取p=5，q=7；得到n=35，z=24；選取e=5，滿足與24沒有公因子；解方程5dmod(24)

=1，得到d=29；得到公鑰(35,5)，私鑰(35,29)。加解密，令x=12加密：y=125mod35=17解密：x=1729mod35=1220第20頁，課件共75頁，創(chuàng)作于2023年2月RSA優(yōu)缺點(diǎn)RSA算法是基于大整數(shù)因子分解這一著名的數(shù)學(xué)難題。

即：尋求兩個(gè)大素?cái)?shù)容易，而將他們的乘積分解開則極其困難。優(yōu)點(diǎn)：能適應(yīng)網(wǎng)絡(luò)的開放性要求，密鑰管理簡單，并且可方便地實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證等功能，是目前電子商務(wù)等技術(shù)的核心基礎(chǔ)。

缺點(diǎn)：算法復(fù)雜，加密數(shù)據(jù)的速度和效率較低。在實(shí)際應(yīng)用中，通常利用對(duì)稱密鑰算法來進(jìn)行大容量數(shù)據(jù)的加密，而采用非對(duì)稱密鑰算法來傳遞對(duì)稱密鑰算法所使用的密鑰。21第21頁，課件共75頁，創(chuàng)作于2023年2月8.3數(shù)字簽名與身份認(rèn)證技術(shù)

8.3.1數(shù)字簽名1.數(shù)字簽名的概念(ISO7498-2標(biāo)準(zhǔn))：“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造”。美國電子簽名標(biāo)準(zhǔn)(DSS，F(xiàn)IPS186-2)：“利用一套規(guī)則和一個(gè)參數(shù)對(duì)數(shù)據(jù)計(jì)算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性”。數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全的核心技術(shù)之一，它的實(shí)現(xiàn)基礎(chǔ)就是加密技術(shù)?，F(xiàn)在大多數(shù)數(shù)字簽名都是基于PKI(PublicKeyInfrastructure)。22第22頁，課件共75頁，創(chuàng)作于2023年2月2．認(rèn)證機(jī)構(gòu)CA(CertificateAuthority)認(rèn)證機(jī)構(gòu)CA是PKI的核心執(zhí)行機(jī)構(gòu)，也稱為認(rèn)證中心，是一種權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)。CA機(jī)構(gòu)本身的建設(shè)應(yīng)具備條件、采用的密碼算法及技術(shù)保障是高度安全的，具有可信任性，是不參與交易雙方利益的第三方機(jī)構(gòu)，具有公正性。組成證書簽發(fā)服務(wù)器負(fù)責(zé)證書的簽發(fā)和管理，包括證書歸檔、撤消和更新等；密鑰管理中心用硬件加密機(jī)產(chǎn)生公/私密鑰對(duì)，CA私鑰不出卡，提供CA證書的簽發(fā)；目錄服務(wù)器負(fù)責(zé)證書和證書撤消列表（CRL）的發(fā)布和查詢。23第23頁，課件共75頁，創(chuàng)作于2023年2月2．認(rèn)證機(jī)構(gòu)CA(CertificateAuthority)RA（RegistrationAuthority）負(fù)責(zé)數(shù)字證書的申請(qǐng)注冊(cè)、審批、校對(duì)和管理機(jī)構(gòu)。證書申請(qǐng)注冊(cè)機(jī)構(gòu)RA為注冊(cè)總中心，負(fù)責(zé)證書申請(qǐng)注冊(cè)匯總。LRA為遠(yuǎn)程本地受理點(diǎn)，負(fù)責(zé)用戶證書申請(qǐng)和審查，只有那些經(jīng)過身份信用審查合格的用戶，才可以接受證書的申請(qǐng)，批準(zhǔn)向其簽發(fā)證書，這是保障證書使用的安全基礎(chǔ)。24第24頁，課件共75頁，創(chuàng)作于2023年2月3．?dāng)?shù)字證書概念數(shù)字證書簡稱證書，是PKI的核心元素，由認(rèn)證機(jī)構(gòu)服務(wù)者簽發(fā)，它是數(shù)字簽名的技術(shù)基礎(chǔ),符合X.509標(biāo)準(zhǔn)?，F(xiàn)行的PKI機(jī)制一般為雙證書機(jī)制，即一個(gè)實(shí)體應(yīng)具有兩個(gè)證書，兩個(gè)密鑰對(duì)，一個(gè)是加密證書，一個(gè)是簽名證書，加密證書原則上是不能用于簽名的。證書在公鑰體制中是密鑰管理的媒介，不同的實(shí)體可通過證書來互相傳遞公鑰，證書由CA簽發(fā)。25第25頁，課件共75頁，創(chuàng)作于2023年2月3．?dāng)?shù)字證書證書的主要內(nèi)容(X.509標(biāo)準(zhǔn))：CA(A)=CA{V,SN,AI,CA,UCA,A,UA,Ap,Ta}CA(A)---認(rèn)證機(jī)構(gòu)CA為用戶A頒發(fā)的證書；CA﹛,,,﹜---認(rèn)證機(jī)構(gòu)CA對(duì)花括弧內(nèi)證書內(nèi)容進(jìn)行的數(shù)字簽名；V---證書版本號(hào)；SN---證書序列號(hào)；AI---用于對(duì)證書進(jìn)行簽名的算法標(biāo)識(shí)；CA---簽發(fā)證書的CA機(jī)構(gòu)的名字；UCA---簽發(fā)證書的CA的惟一標(biāo)識(shí)符；A---用戶A的名字；UA---用戶A的惟一標(biāo)識(shí)；Ap---用戶A的公鑰；Ta---證書的有效期；26第26頁，課件共75頁，創(chuàng)作于2023年2月27第27頁，課件共75頁，創(chuàng)作于2023年2月4.數(shù)字簽名的技術(shù)實(shí)現(xiàn)數(shù)字簽名的過程是先在網(wǎng)上進(jìn)行身份認(rèn)證，然后再進(jìn)行簽名，最后是對(duì)簽名的驗(yàn)證。⑴認(rèn)證1)單向認(rèn)證2)雙向認(rèn)證⑵數(shù)字簽名與驗(yàn)證過程28第28頁，課件共75頁，創(chuàng)作于2023年2月使用非對(duì)稱加密算法的數(shù)字簽名1發(fā)送方先采用單向Hash函數(shù)，將待發(fā)送的數(shù)據(jù)生成消息摘要MD_1，然后發(fā)送方使用自己的私鑰對(duì)消息摘要加密生成數(shù)字簽名，將數(shù)字簽名附著在原文上一起發(fā)送。接收方收到消息以后，先用發(fā)送方的公鑰將簽名解密，得到消息摘要。然后利用接收的原數(shù)據(jù)進(jìn)行單向Hash函數(shù)的計(jì)算，得到消息摘要MD_2進(jìn)行驗(yàn)證，如果MD_1=MD_2，說明簽名成功。29第29頁，課件共75頁，創(chuàng)作于2023年2月使用非對(duì)稱加密算法的數(shù)字簽名230第30頁，課件共75頁，創(chuàng)作于2023年2月31第31頁，課件共75頁，創(chuàng)作于2023年2月在電子政務(wù)系統(tǒng)中使用混合密碼體制來實(shí)現(xiàn)數(shù)字簽名技術(shù)在電子政務(wù)系統(tǒng)中如果在數(shù)字簽名時(shí)原文在網(wǎng)絡(luò)上以明文傳輸，就不能保證原始信息的機(jī)密性，而要保證原始信息的機(jī)密性，就需要對(duì)待發(fā)送的原始信息實(shí)行加密運(yùn)算，若對(duì)原文使用非對(duì)稱密碼算法，由于使用非對(duì)稱密碼算法在解密時(shí)運(yùn)算量很大，將會(huì)影響運(yùn)算速度。所以，選擇使用對(duì)稱密碼算法對(duì)原文進(jìn)行加密。而用非對(duì)稱的密碼算法來實(shí)現(xiàn)數(shù)字簽名技術(shù)，使用這種混合密碼體制，既能實(shí)現(xiàn)數(shù)字簽名，保證了在傳輸過程中原文機(jī)密性，又能提高運(yùn)算效率。

32第32頁，課件共75頁，創(chuàng)作于2023年2月8.3.2身份認(rèn)證中間人攻擊問題比如B要發(fā)一個(gè)保密信息給A,所以第一步A把自己的公鑰Ka發(fā)給B。在這一過程中，如果竊聽者H截取到其公鑰，然后偽裝成A，將自己的公鑰Kh發(fā)給B。B將敏感信息用Kh加密后發(fā)給A，此過程中，竊聽者H截取密文后用H的私鑰解密得到信息內(nèi)容，然后用A的公鑰Ka加密得到密文,自己偽裝成B發(fā)給A，A用自己的私鑰順利地解開了密文。身份認(rèn)證技術(shù)（CertificationAuthority,CA）的出現(xiàn)有效地解決了中間人的攻擊。CA把一個(gè)特定的實(shí)體和公鑰綁在一起，把信任建立在一個(gè)大家都信任的第三方，從信任第三方來達(dá)到信任對(duì)方的目的。33第33頁，課件共75頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)信息安全的五個(gè)要素身份認(rèn)證(Authentication)鑒定信息的真實(shí)性，核實(shí)源實(shí)體與接受實(shí)體是否與宣稱的一致。授權(quán)(Authorization)用一些特殊的參數(shù)表明訪問(或存取)的權(quán)限。保密性(Confidentiality)使信息只被授權(quán)用戶享用，確保通信機(jī)密。完整性(Integrity)確保數(shù)據(jù)的完整和準(zhǔn)確。不可否認(rèn)(Nonrepudiation)驗(yàn)明身份后，不能夠拒絕傳送和接受。34第34頁，課件共75頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)的多樣化推動(dòng)認(rèn)證技術(shù)的進(jìn)步網(wǎng)絡(luò)應(yīng)用推進(jìn)認(rèn)證技術(shù)的多樣化游戲，股票，音樂，網(wǎng)上銀行移動(dòng)應(yīng)用推進(jìn)移動(dòng)認(rèn)證技術(shù)便于攜帶的認(rèn)證技術(shù)無處不在的網(wǎng)絡(luò)需要無處不在的認(rèn)證技術(shù)網(wǎng)絡(luò)門禁網(wǎng)絡(luò)停車快速收費(fèi)簡單口令的失敗促進(jìn)其他認(rèn)證技術(shù)的發(fā)展35第35頁，課件共75頁，創(chuàng)作于2023年2月對(duì)認(rèn)證技術(shù)的要求成本購買成本，布置成本，使用成本方便性易于使用，便于攜帶，適應(yīng)多種系統(tǒng)安全與擴(kuò)展相對(duì)安全性，與其他系統(tǒng)的互操作性，可伸縮性36第36頁，課件共75頁，創(chuàng)作于2023年2月鑒別／認(rèn)證技術(shù)的基本元素你所知道的密碼，口令，媽媽的生日，機(jī)密問題；你所擁有的鑰匙，IC卡，令牌，身份證；你自身的手型，指紋，眼紋；你的行為聲紋，說話方式，行走方式，手寫簽名、擊鍵動(dòng)作等。37第37頁，課件共75頁，創(chuàng)作于2023年2月身份認(rèn)證有三個(gè)要素第一個(gè)要素：需要使用者記憶的身份認(rèn)證內(nèi)容，例如密碼和身x份x證號(hào)碼等等。第二個(gè)要素：使用者擁有的特殊認(rèn)證加強(qiáng)機(jī)制，例如動(dòng)態(tài)密碼卡，IC卡，磁卡等。第三個(gè)要素：使用者本身擁有的唯一特征，例如指紋，瞳孔，聲音等等…..38第38頁，課件共75頁，創(chuàng)作于2023年2月8.3.2身份認(rèn)證1.身份認(rèn)證的定義身份認(rèn)證是用戶在進(jìn)入系統(tǒng)或訪問不同保護(hù)級(jí)別的系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否真實(shí)、合法和惟一。2．身份認(rèn)證的分類從身份認(rèn)證所用的物理介質(zhì)分，主要分為口令、磁卡、條碼卡、IC卡、智能令牌、指紋、密碼表等。從身份認(rèn)證過程中與系統(tǒng)的通信次數(shù)分，有一次認(rèn)證、兩次認(rèn)證。從身份認(rèn)證所應(yīng)用的系統(tǒng)來分，有單機(jī)系統(tǒng)身份認(rèn)證和網(wǎng)絡(luò)系統(tǒng)身份認(rèn)證。從身份認(rèn)證的基本原理上來說，身份認(rèn)證可以分為靜態(tài)身份認(rèn)證和動(dòng)態(tài)身份認(rèn)證。39第39頁，課件共75頁，創(chuàng)作于2023年2月8.3.2身份認(rèn)證3．靜態(tài)身份認(rèn)證靜態(tài)身份認(rèn)證是指用戶登錄系統(tǒng)、驗(yàn)證身份過程中，送入系統(tǒng)的驗(yàn)證數(shù)據(jù)是固定不變的，符合這個(gè)特征的身份認(rèn)證方法稱為靜態(tài)身份認(rèn)證。⑴單因素靜態(tài)口令身份認(rèn)證⑵雙因素靜態(tài)身份認(rèn)40第40頁，課件共75頁，創(chuàng)作于2023年2月⑴單因素靜態(tài)口令身份認(rèn)證靜態(tài)口令是一種單因素認(rèn)證方法當(dāng)用戶需要訪問系統(tǒng)資源時(shí)，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心，并和認(rèn)證中心保存的用戶信息進(jìn)行比對(duì)。如果驗(yàn)證通過，系統(tǒng)允許該用戶進(jìn)行隨后的訪問操作，否則拒絕用戶的進(jìn)一步的訪問操作。單因素靜態(tài)口令身份認(rèn)證一般用于早期的計(jì)算機(jī)系統(tǒng)。目前，在一些比較簡單的系統(tǒng)或安全性要求不高的系統(tǒng)中也有應(yīng)用，例如PC的開機(jī)口令、UNIX系統(tǒng)中用戶的登錄、Windows用戶的登錄、電話銀行查詢系統(tǒng)的賬戶口令等。缺點(diǎn)：一個(gè)口令多次使用，容易造成泄露。41第41頁，課件共75頁，創(chuàng)作于2023年2月⑵雙因素靜態(tài)身份認(rèn)證雙因素認(rèn)證方式是在單一的記憶因素(固定口令)認(rèn)證基礎(chǔ)上結(jié)合第二物理認(rèn)證因素，以使認(rèn)證的確定性按指數(shù)遞增。目前很多銀行計(jì)算機(jī)業(yè)務(wù)處理系統(tǒng)中，柜員的身份認(rèn)證大多采用雙因素靜態(tài)身份認(rèn)證。42第42頁，課件共75頁，創(chuàng)作于2023年2月一些雙因素身份認(rèn)證技術(shù)生物認(rèn)證技術(shù)，包括指紋、虹膜、面容識(shí)別等無法集成現(xiàn)有應(yīng)用需要特殊的外圍認(rèn)證設(shè)備應(yīng)用不成熟、使用維護(hù)成本高數(shù)字證書認(rèn)證技術(shù)無法集成現(xiàn)有應(yīng)用，需要很多開發(fā)工作客戶端需要安裝驅(qū)動(dòng)程序，管理、部署和維護(hù)復(fù)雜在許多特殊場景下無法使用，如對(duì)登錄AIX操作系統(tǒng)的保護(hù)就無能為力RSA雙因素身份認(rèn)證技術(shù)直接集成各種應(yīng)用提供全面資源保護(hù)，如網(wǎng)絡(luò)訪問與維護(hù)、主機(jī)登錄、Oracle數(shù)據(jù)庫、WebServer等技術(shù)成熟、可靠，方便部署、分發(fā)和使用43第43頁，課件共75頁，創(chuàng)作于2023年2月雙因素的概念=你所知道的+你所擁有的把你所擁有的ATM卡...和你知道的...ATM卡的口令+PIN=雙因素認(rèn)證!44第44頁，課件共75頁，創(chuàng)作于2023年2月8.3.2身份認(rèn)證4．動(dòng)態(tài)身份認(rèn)證動(dòng)態(tài)身份認(rèn)證是指用戶登錄系統(tǒng)、驗(yàn)證身份過程中，送入系統(tǒng)的驗(yàn)證數(shù)據(jù)是動(dòng)態(tài)變化的，符合這個(gè)特征的身份認(rèn)證方法稱為動(dòng)態(tài)身份認(rèn)證。⑴時(shí)間同步機(jī)制身份認(rèn)證⑵挑戰(zhàn)/應(yīng)答機(jī)制的身份認(rèn)證45第45頁，課件共75頁，創(chuàng)作于2023年2月⑴時(shí)間同步機(jī)制身份認(rèn)證在這種認(rèn)證機(jī)制中，每個(gè)系統(tǒng)用戶都持有相應(yīng)的時(shí)間同步令牌，令牌內(nèi)置時(shí)鐘、種子密鑰和加密算法。時(shí)間同步令牌可以每分鐘動(dòng)態(tài)生成一個(gè)一次性有效的口令。用戶需要訪問系統(tǒng)時(shí)，需要將令牌生成的動(dòng)態(tài)口令和靜態(tài)口令結(jié)合在一起作為口令上送到中心認(rèn)證系統(tǒng)。認(rèn)證中心不僅要核對(duì)用戶的靜態(tài)口令，同時(shí)中心認(rèn)證系統(tǒng)需要根據(jù)當(dāng)前時(shí)間和該用戶的種子密鑰計(jì)算出該用戶當(dāng)前的動(dòng)態(tài)口令，并進(jìn)行核對(duì)。缺點(diǎn)：這種認(rèn)證機(jī)制從技術(shù)上很難保證用戶的時(shí)間同步令牌在時(shí)間上和中心認(rèn)證系統(tǒng)嚴(yán)格同步；而且數(shù)據(jù)在網(wǎng)絡(luò)上傳輸和處理都有一定的延遲。當(dāng)時(shí)間誤差超過允許值時(shí)，往往造成正常用戶的登錄認(rèn)證失敗。46第46頁，課件共75頁，創(chuàng)作于2023年2月RSA雙因素身份認(rèn)證原理種子時(shí)間+tokencode=種子時(shí)間+tokencode=公司資源BadTokencode:AccessDeniedGoodTokencode:AccessGranted認(rèn)證代理軟件AM/Agent認(rèn)證管理服務(wù)器AM47第47頁，課件共75頁，創(chuàng)作于2023年2月RSASecurIDAuthenticationSolutionUserentersPasscode

(PIN+tokencode)User

Authenticated!AuthenticationManagerAuthenticationAgentCalculatespasscode48第48頁，課件共75頁，創(chuàng)作于2023年2月RSA雙因素身份認(rèn)證原理

時(shí)間同步雙因素身份認(rèn)證RSA

AuthenticationManager種子時(shí)間算法種子時(shí)間159759算法相同的種子相同的時(shí)間49第49頁，課件共75頁，創(chuàng)作于2023年2月RSASecurID雙因素口令的構(gòu)成雙因素口令=+PIN令牌碼LOGIN: 張三PASSCODE:Zs3a159759唯一的128位種子已初始化為全球同步時(shí)間令牌碼:通常為每60秒鐘變化一次內(nèi)部電池完整的雙因素口令是PIN碼（客戶首次使用令牌的時(shí)候設(shè)定）和令牌碼組合到一起構(gòu)成的50第50頁，課件共75頁，創(chuàng)作于2023年2月種類豐富的認(rèn)證令牌軟件令牌智能卡令牌USB令牌硬件令牌

51第51頁，課件共75頁，創(chuàng)作于2023年2月RSA強(qiáng)認(rèn)證系統(tǒng)可以保護(hù)的資源RSA

AuthenticationManager(Replica)Win/UnixIntranetVPN網(wǎng)關(guān)RSA

AuthenticationManager(Primary)郵件系統(tǒng)文件服務(wù)器

應(yīng)用服務(wù)器遠(yuǎn)程移動(dòng)辦公用戶RSAACE/Agent52第52頁，課件共75頁，創(chuàng)作于2023年2月RSA強(qiáng)認(rèn)證系統(tǒng)可以保護(hù)的資源企業(yè)內(nèi)部網(wǎng)AAA服務(wù)器

（支持802.1x）CiscoACSFunkRadiusServerMicrosoftIAS······企業(yè)有線網(wǎng)絡(luò)WLAN認(rèn)證用戶AccessPointWindows&WLAN客戶端RSA身份認(rèn)證服務(wù)器53第53頁，課件共75頁，創(chuàng)作于2023年2月⑵挑戰(zhàn)/應(yīng)答機(jī)制的身份認(rèn)證在這種認(rèn)證機(jī)制中，每個(gè)系統(tǒng)用戶都持有相應(yīng)挑戰(zhàn)應(yīng)答令牌，令牌內(nèi)置種子密鑰和加密算法。用戶需要訪問系統(tǒng)時(shí)，認(rèn)證系統(tǒng)首先提示輸入用戶名和靜態(tài)口令。認(rèn)證通過后系統(tǒng)在下傳一個(gè)中心系統(tǒng)隨機(jī)生成的挑戰(zhàn)數(shù)，通常為一個(gè)數(shù)字串，用戶將該挑戰(zhàn)數(shù)輸入到挑戰(zhàn)應(yīng)答令牌中，挑戰(zhàn)應(yīng)答令牌利用內(nèi)置的種子密鑰和加密算法計(jì)算出相應(yīng)的應(yīng)答數(shù)，通常也是一個(gè)數(shù)字串。用戶將該數(shù)字串作為應(yīng)答數(shù)上傳給認(rèn)證中心。認(rèn)證中心根據(jù)該用戶在認(rèn)證中心保存的種子密鑰和同樣的加密算法計(jì)算出同樣的應(yīng)答數(shù)并和用戶上傳的應(yīng)答數(shù)進(jìn)行比較，如果兩者相同，允許該用戶訪問系統(tǒng)，否則拒絕用戶的登錄請(qǐng)求。由于每個(gè)用戶的種子密鑰不同，因此不同用戶對(duì)同樣的挑戰(zhàn)數(shù)可以計(jì)算出不同的應(yīng)答數(shù)，只有用戶持有指定的挑戰(zhàn)應(yīng)答令牌才能計(jì)算出正確的應(yīng)答數(shù)。從而可以保證用戶是持有指定挑戰(zhàn)應(yīng)答令牌的合法用戶。54第54頁，課件共75頁，創(chuàng)作于2023年2月8.4入侵檢測技術(shù)網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲黑客55第55頁，課件共75頁，創(chuàng)作于2023年2月8.4入侵檢測技術(shù)入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息，使系統(tǒng)不可靠或不能使用的行為。入侵企圖破壞計(jì)算機(jī)資源的完整性、機(jī)密性、可用性、可控性什么是入侵檢測系統(tǒng)？入侵檢測系統(tǒng)是一套監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計(jì)的軟件或硬件系統(tǒng)。為何需要入侵檢測系統(tǒng)？入侵很容易防火墻不能保證絕對(duì)的安全56第56頁，課件共75頁，創(chuàng)作于2023年2月入侵檢測的任務(wù)1檢測來自內(nèi)部的攻擊事件和越權(quán)訪問85％以上的攻擊事件來自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測系統(tǒng)作為防火墻系統(tǒng)的一個(gè)有效的補(bǔ)充入侵檢測系統(tǒng)可以有效的防范防火墻開放的服務(wù)入侵通過事先發(fā)現(xiàn)風(fēng)險(xiǎn)來阻止入侵事件的發(fā)生，提前發(fā)現(xiàn)試圖攻擊或?yàn)E用網(wǎng)絡(luò)系統(tǒng)的人員。檢測其它安全工具沒有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件。57第57頁，課件共75頁，創(chuàng)作于2023年2月入侵檢測的任務(wù)2提供有效的審計(jì)信息，詳細(xì)記錄黑客的入侵過程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性。網(wǎng)絡(luò)中可被入侵者利用的資源在一些大型的網(wǎng)絡(luò)中，管理員沒有時(shí)間跟蹤系統(tǒng)漏洞并且安裝相應(yīng)的系統(tǒng)補(bǔ)丁程序。用戶和管理員在配置和使用系統(tǒng)中的失誤。對(duì)于一些存在安全漏洞的服務(wù)、協(xié)議和軟件，用戶有時(shí)候不得不使用。58第58頁，課件共75頁，創(chuàng)作于2023年2月入侵檢測的發(fā)展歷史11980年，JamesAnderson最早提出入侵檢測概念。1987年，D．E．Denning首次給出了一個(gè)入侵檢測的抽象模型，并將入侵檢測作為一種新的安全防御措施提出。1988年，Morris蠕蟲事件直接刺激了IDS的研究。1988年，創(chuàng)建了基于主機(jī)的系統(tǒng),有IDES，Haystack等。1989年，提出基于網(wǎng)絡(luò)的IDS系統(tǒng),有NSM，NADIR，DIDS等。59第59頁，課件共75頁，創(chuàng)作于2023年2月入侵檢測的發(fā)展歷史290年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計(jì)算技術(shù)等引入IDS系統(tǒng)。2000年2月，對(duì)Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對(duì)IDS系統(tǒng)的新一輪研究熱潮。2001年～今，RedCode、求職信等新型病毒的不斷出現(xiàn)，進(jìn)一步促進(jìn)了IDS的發(fā)展。60第60頁，課件共75頁，創(chuàng)作于2023年2月入侵檢測系統(tǒng)部署方式1通過端口鏡像實(shí)現(xiàn)（SPAN/PortMonitor）SwitchIDSSensorMonitoredServersConsole61第61頁，課件共75頁，創(chuàng)作于2023年2月入侵檢測系統(tǒng)部署方式2檢測器部署位置部署一：放在邊界防火墻之外部署二：放在邊界防火墻之內(nèi)部署三：放在主要的網(wǎng)絡(luò)中樞部署四：放在一些安全級(jí)別需求高的子網(wǎng)62第62頁，課件共75頁，創(chuàng)作于2023年2月Internet部署一部署二部署三部署四63第63頁，課件共75頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)入侵步驟總覽選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門新建帳號(hào)獲取超級(jí)用戶權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動(dòng)掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令，從而發(fā)現(xiàn)突破口。64第64頁，課件共75頁，創(chuàng)作于2023年2月入侵檢測技術(shù)分類1從檢測數(shù)據(jù)來源看基于網(wǎng)絡(luò)的入侵檢測技術(shù)這種入侵檢測技術(shù)通過分析網(wǎng)絡(luò)上的數(shù)據(jù)包序列，包括分析數(shù)據(jù)包的類型、大小、包中各個(gè)屬性的值以及一段時(shí)間里收到的數(shù)據(jù)包的組合，以確定是否有不正常行為發(fā)生?；谥鳈C(jī)審計(jì)數(shù)據(jù)的入侵檢測技術(shù)主要分析主機(jī)的系統(tǒng)日志以及各種實(shí)時(shí)運(yùn)行參數(shù)記錄，包括主機(jī)應(yīng)用程序運(yùn)行狀態(tài)及歷史記錄、系統(tǒng)調(diào)用序列、系統(tǒng)事件歷史記錄、系統(tǒng)各種參數(shù)的運(yùn)行狀態(tài)值以及系統(tǒng)硬件資源使用率，以確定是否有導(dǎo)致系統(tǒng)狀態(tài)不正常的入侵行為發(fā)生。65第65頁，課件共75頁，創(chuàng)作于2023年2月入侵檢測技術(shù)分類2從入侵檢測的方式來分基于誤用的檢測技術(shù)使用一組預(yù)先定義的規(guī)則，對(duì)所檢測的數(shù)據(jù)匹配這些規(guī)則以確定是否有入侵行為發(fā)生?；诋惓５娜肭謾z測技術(shù)通過機(jī)器學(xué)習(xí)、統(tǒng)計(jì)學(xué)習(xí)算法，利用系統(tǒng)在正常狀態(tài)下的審計(jì)數(shù)據(jù)，通過一定的訓(xùn)練算法得出系統(tǒng)正常狀態(tài)行為的數(shù)學(xué)模型，通過分析當(dāng)前的系統(tǒng)狀態(tài)與正常狀態(tài)下的模型，比較兩者之間的偏離程序度來確定是否有入侵行為發(fā)生。一般認(rèn)為，基于異常的入侵檢測算法能夠適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)變化，并可檢測出未知的攻擊手段，在各種應(yīng)用場合都表現(xiàn)出較高的可推廣性。66第66頁，課件共75頁，創(chuàng)作于2023年2月8.4.1基于誤用的入侵檢測技術(shù)工作原理：基于誤用的入侵檢測技術(shù)從入侵行為本身的特征入手，定義一組系統(tǒng)入侵發(fā)生時(shí)的特征，檢測程序?qū)崟r(shí)檢測系統(tǒng)中是否有存在特征或特征的組合，以確定是否有入侵行為的發(fā)生。主要問題：基于誤用的入侵檢測的主要問題是如何確定所定義的攻擊特征模式可以覆