信息安全技術信息安全技術概述數據加密技術身份認證技術網絡模型中的安全體系網絡信息的主要威脅及應對方法防火墻技術與入侵檢測技術基于存儲的信息安全技術無線局域網的安全管理操作系統(tǒng)的安全管理全套可編輯PPT課件

本課件是可編輯的正常PPT課件第1章

信息安全技術概述本課件是可編輯的正常PPT課件內容概要21世紀是信息大爆發(fā)的時代，得益于互聯網的高速發(fā)展，網絡上的各種信息呈幾何倍數的產生、存儲和傳播。在此同時，信息安全形勢也日益嚴峻，各種圍繞信息的博弈讓信息安全再次走在風口浪尖。本章將向讀者介紹信息及信息安全的基礎知識。本章重點難點：信息及信息安全信息安全面臨的威脅信息安全模型信息保護等級劃分及含義本課件是可編輯的正常PPT課件信息安全面臨的威脅信息安全模型信息安全等級保護信息安全簡介本課件是可編輯的正常PPT課件信息安全簡介01本課件是可編輯的正常PPT課件1.1.1信息的基本概念人們通常把消息、信號、數據、情報和知識等都看作信息。信息本身是無形的，借助信息介質以多種形式存在或傳播，包括計算機硬盤、紙張、網絡、打印機等。信息有如下特性：依附性：用“符號”表示；依附于一定的物理介質。動態(tài)性：信息只有及時、新穎才有價值?？商幚硇裕簝热菘梢宰R別，形式可以轉換或變換。共享性：信息可無限擴散。可傳遞性：在時間和空間上都具有傳遞性。異步性：以存儲方式來接收，在任何時間使用?？山粨Q性：可在兩個主體間實現信息的交換?？蓚涡裕盒畔⑹强梢詡卧斓?。本課件是可編輯的正常PPT課件1.1.2信息安全概述ISO對于信息安全的定義為“技術上和管理上為數據處理系統(tǒng)建立的安全保護，保護信息系統(tǒng)的硬件、軟件及相關數據不因偶然或者惡意的原因遭到破壞、更改及泄露”。對于信息安全來說，需要確保以電磁信號為主要形式的、在計算機網絡化系統(tǒng)中進行獲取、處理、存儲、傳輸和應用的信息內容在各個物理及邏輯區(qū)域中的安全存在，并不發(fā)生任何侵害行為。1.信息安全的發(fā)展信息安全并不是憑空出現的，信息安全的發(fā)展主要分為通訊安全、信息安全以及信息保障三個階段：（1）通訊安全

（2）信息安全

（3）信息保障本課件是可編輯的正常PPT課件2.信息安全的主要影響因素信息安全不是一個孤立的靜止的概念，信息安全具有系統(tǒng)性、相對性和動態(tài)性的特點。在影響信息安全的主要因素中，人、技術、管理是最主要的要素。其中人是信息保障的基礎、技術是信息保障的核心、管理是信息保障的關鍵。影響信息安全的因素，可以分為內部因素和外在因素兩部分。（1）內因內因主要由于系統(tǒng)的復雜性所導致，包括過程復雜、網絡結構復雜、軟件應用復雜。（2）外因外因主要是指安全環(huán)境受到各種威脅，其中包括各種情報機構、犯罪團伙和黑客等，通過物理威脅、系統(tǒng)漏洞、通訊設備監(jiān)聽、篡改驗證、惡意程序等破壞信息的安全性。本課件是可編輯的正常PPT課件3.信息安全的目標保密性、完整性和可用性分別反映了信息在三個不同方面的特性。保密性完整性可用性4.信息安全的影響隨著信息化發(fā)展進程的不斷加快，各種信息技術已經滲透到國家和人民生活的方方面面，對信息的依賴程度也已經上升到前所未有的高度，信息已經成為重要的戰(zhàn)略資源，信息化水平已經成為衡量一個國家的國際競爭力、現代化水平、綜合國力以及經濟成長的重要標志。所以信息安全已經成為影響和制約國家發(fā)展的重要因素。信息安全的影響關乎到經濟發(fā)展、社會穩(wěn)定、國家安全、公眾利益等方面。本課件是可編輯的正常PPT課件信息安全面臨的威脅02本課件是可編輯的正常PPT課件1.2.1信息存儲的安全威脅信息在存儲時，會以文件、圖片、聲音等多種形式保存在存儲介質中，本地安全威脅主要來自于以下幾個方面：1.信息泄漏本地存儲的信息泄漏，來自多個方面，比如內部人員，對信息進行拷貝并泄漏給某個非授權的實體，或者別有用心的人通過對廢棄的存儲介質進行數據恢復從而進行竊取。所以必須對信息管理人員進行安全及防泄漏培訓，并妥善處理損壞的信息存儲介質。2.信息損壞自然災害，包括地震、洪水，或由于管理人員誤操作造成信息文件的損壞、有意或無意的將信息銷毀、存儲信息的硬件介質損壞造成存儲內容的損壞。本課件是可編輯的正常PPT課件3.信息篡改對存儲的信息進行惡意修改，破壞信息的完整性，造成信息內容的變化，但使用者并不知道信息已經被篡改，從而通過這種偽造數據達到非法獲利的目標。所以對本地的重要信息數據要使用合適的加密手段進行加密保存以防被非授權人員查看和修改。4.網絡攻擊網絡攻擊并不一定是為了竊取信息，而是讓信息無法正常傳遞或無法正常使用，如常見的對數據服務器的拒絕服務攻擊，會讓服務器無法正常響應服務請求。本課件是可編輯的正常PPT課件1.2.2信息傳遞的安全威脅信息在存儲媒體之間傳輸，或者通過網絡傳輸時都有被監(jiān)聽竊取的風險，尤其在一些加密措施不足的無線網絡中更為明顯。1.信息截獲在信息傳輸過程中，泄漏的表現形式包括了竊聽、截收、側信道攻擊等。可以竊聽無線傳輸信號，或者截獲代理服務器的代理信息。2.信息欺騙傳遞的信息被黑客獲取后，通過修改信息的內容后，再發(fā)送給受害者。通過這種欺騙手段，黑客可以獲取巨大的利益。3.信息丟失在信息傳遞過程中，由于網絡設備的故障，可能造成傳遞的信息丟失或損壞，無法正常到達目的地。信息丟失可以通過重傳的方法解決，但在時效性上會造成損失。本課件是可編輯的正常PPT課件1.2.3信息使用的安全威脅每個人每天都在使用大量的信息，就算在存儲和傳輸過程中沒有存在問題，但在使用時仍有可能會遇到大量的安全威脅：1.信息偽造非授權用戶使用授權用戶的信息去提升權限，進入信息管理后臺后，就可以獲取到各種重要的信息，或者假冒授權用戶，通過授權用戶的權限去修改、偽造信息。2.信息否認在對授權或非授權的信息進行修改后，進行各種非法操作，并否認此次修改行為的發(fā)生，或是自己所為，從而導致參與者逃避應承擔的責任的行為。本課件是可編輯的正常PPT課件3.病毒木馬使用者的使用環(huán)境不安全，信息被病毒破壞或被木馬竊取，造成信息的損毀或泄露。除了病毒木馬外，惡意代碼也同樣威脅著信息的安全。4.軟件故障操作系統(tǒng)、使用信息的軟件等，由于系統(tǒng)和軟件漏洞被入侵、使用者的誤操作、兼容性的問題等，都會造成信息無法正常的獲取、使用、傳遞。所以需要確保使用信息時的操作系統(tǒng)、軟件的穩(wěn)定性。5.物理故障包括使用者在使用信息時所使用的設備本身可能會產生故障、供電故障、網絡故障等都會造成信息無法使用或損壞。本課件是可編輯的正常PPT課件信息安全模型03本課件是可編輯的正常PPT課件1.3.1安全模型的定義與作用安全模型用于準確地描述安全的重要方面及其與系統(tǒng)行為的關系。提高對成功實現安全需求的理解層次。安全模型要求精確、無歧義、簡單和抽象，容易理解。模型一般只涉及安全性質，具有一定的平臺獨立性，不過多抑制系統(tǒng)的功能或實現；形式化模型是對現實世界的高度抽象，可以設定具體應用目標，并可以利用工具來驗證；形式化模型適用于對信息安全進行理論研究。本課件是可編輯的正常PPT課件1.3.2常見的信息安全模型信息安全模型有很多，比較具有代表性的有以下幾種：1.Bell-LaPadula模型2.Clark-Wilson模型3.Biba模型4.ChineseWall模型5.HTP信息安全模型本課件是可編輯的正常PPT課件1.3.3信息安全管理體系信息安全管理體系（InformationSecurityManagementSystem，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領域中的一個新概念，是管理體系思想和方法在信息安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。本課件是可編輯的正常PPT課件信息安全等級保護04本課件是可編輯的正常PPT課件1.4.1信息安全等級保護簡介等保，是在我國非保密信息系統(tǒng)網絡信息安全基本建設的主要規(guī)范。是在我國信息安全防范措施的基本制度、基本上對策、基本上方式。對互聯網和信息系統(tǒng)依照必要性標準分等級維護，安全性防護級別越高，規(guī)定安全性維護工作能力就越強。本課件是可編輯的正常PPT課件1.4.2信息安全等級保護的重要意義信息安全等級保護實施的重要意義包括以下三個方面：滿足合法合規(guī)要求，明確責任和工作方法，讓安全防護更加規(guī)范。明確組織整體目標，改變以往單點防御方式，讓安全建設更加體系化。提高人員安全意識，樹立等級化防護思想，合理分配網絡安全投資。本課件是可編輯的正常PPT課件1.4.3信息安全等級保護的劃分細則《信息安全等級保護管理辦法》規(guī)定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。66號文件將信息系統(tǒng)的安全保護等級分為以下五級，一至五級等級逐級增高：1.第一級：自主保護級2.第二級：指導保護級3.第三級：監(jiān)督保護級4.第四級：強制保護級5.第五級：專控保護級本課件是可編輯的正常PPT課件1.4.4信息安全等級保護的基本要求信息系統(tǒng)安全等級保護的基本要求是等級保護的核心，它建立了評價每個保護等級的指標體系，也是等級測評的依據。信息系統(tǒng)安全等級保護的基本要求包括基本技術要求和基本管理要求兩個方面，體現了技術和管理并重的系統(tǒng)安全保護原則。不同等級的信息系統(tǒng)應具備的基本安全保護能力如下。1.第一級應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難，以及其他相當危害程度的威脅所造成的關鍵資源損害，在系統(tǒng)遭到損害后﹐能夠恢復部分功能。本課件是可編輯的正常PPT課件2.第二級應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難，以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后﹐能夠在一段時間內恢復部分功能。3.第三極應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體﹑擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難，以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現安全漏洞和安全事件，在系統(tǒng)遭到損害后﹐能夠較快恢復絕大部分功能。本課件是可編輯的正常PPT課件4.第四級應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊，嚴重的自然災難，以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現安全漏洞和安全事件，在系統(tǒng)遭到損害后﹐能夠迅速恢復所有功能。信息系統(tǒng)安全等級保護應依據信息系統(tǒng)的安全保護等級情況保證它們具有相應等級的基本安全保護能力，不同安全保護等級的信息系統(tǒng)要求具有不同的安全保護能力。本課件是可編輯的正常PPT課件1.4.5信息安全等級保護工作流程信息安全等級保護的工作流程包括以下5個步驟：定級：確定定級對象，初步確認定級對象，專家評審，主管部門審核、公安機關備案審查。備案：持定級報告、備案表等材料到當地公安機關網安部門備案。建設整改：參照信息系統(tǒng)當前等級要求和標準，對信息系統(tǒng)進行整改加固。登記測評：委托具備測評資質的測評機構對信息系統(tǒng)進行等級測評，形成正式的測評報告。監(jiān)督檢查：向當地公安機關網監(jiān)部門提交測評報告，配合完成對信息安全等級保護實施情況的檢查。本課件是可編輯的正常PPT課件信息安全等級保護的測評方法包括以下幾種：訪談：通過引導信息系統(tǒng)相關進行有目的（針對性）交流以幫助測評人員理解、澄清或取得證據的過程。核查：通過對測評對象（如制度文檔、各類設備及相關安全配置等）進行觀察、查驗和分析，以幫助測評人員理解、澄清或取得證據的過程。測試：使用預訂的方法/工具使測評對象（各類設備或安全配置）產生特定的結果，將運行結果與預期的結果進行比對的過程。本課件是可編輯的正常PPT課件1.4.6計算機信息系統(tǒng)安全等級保護標準在我國發(fā)布的計算機信息系統(tǒng)安全等級保護標準中，最主要的有以下幾項重要內容：GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》是建立計算機信息系統(tǒng)安全等級保護制度，實施安全等級管理的重要基礎性標準將計算機信息系統(tǒng)安全保護能力劃分為五個等級：用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。本課件是可編輯的正常PPT課件2.GA/T390-2002《計算機信息系統(tǒng)安全等級保護通用技術要求》是計算機信息系統(tǒng)安全等級保護技術要求系列標準的基礎性標準，用以指導設計者如何設計和實現具有所需要的安全等級的計算機信息系統(tǒng)主要說明了為實現GB17859-1999中每一個保護等級的安全要求應采取的通用的安全技術，和為確保這些安全技術所實現的安全功能達到其應具有的安全性而采取的通用的保證措施。3.GA/T391-2002《計算機信息系統(tǒng)安全等級保護管理要求》明確提出了管理層、物理層、網絡層、系統(tǒng)層、應用層和運行層的安全管理要求，并將管理要求落實到GB17859-1999的五個等級上更有利于對安全管理的繼承、理解、分工實施，更有利于對安全管理的評估和檢查。本課件是可編輯的正常PPT課件4.GA/T387-2002《計算機信息系統(tǒng)安全等級保護網絡技術要求》用以指導設計者如何設計和實現具有所需要的安全等級的網絡系統(tǒng)主要從對網絡的安全保護等級進行劃分的角度來說明其技術要求，即主要說明了為實現GB17859-1999中每一個保護等級的安全要求對網絡系統(tǒng)應采取的安全技術措施，以及各安全技術要求在不同安全級中具體實現上的差異。5.GA/T388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》用以指導設計者如何設計和實現具有所需要的安全等級的操作系統(tǒng)，主要從對操作系統(tǒng)的安全保護等級進行劃分的角度來說明其技術要求。6.GA/T389-2002《計算機信息系統(tǒng)安全等級保護數據庫管理系統(tǒng)技術要求》用以指導設計者如何設計和實現具有所需要的安全等級的數據庫管理系統(tǒng)，主要從對數據庫管理系統(tǒng)的安全保護等級進行劃分的角度來說明其技術要求。本課件是可編輯的正常PPT課件7.GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》標準劃分了5個保護等級，安全保護能力隨著安全保護等級的提高，逐漸增強。第一級：用戶自主保護級。第二級：系統(tǒng)審計保護級。第三級：安全標記保護級。第四級：結構化保護級。第五級：訪問驗證保護級。8.GA/T391-2002《計算機信息系統(tǒng)安全等級保護管理要求》要求指出，信息系統(tǒng)安全管理，是對一個組織或機構中信息系統(tǒng)的生命周期全過程實施符合安全等級責任要求的科學管理。需要落實安全組織及安全管理人員，明確角色與職責、制定安全規(guī)劃、開發(fā)安全策略、實施風險管理、制定業(yè)務持續(xù)性計劃和災難恢復計劃、選擇與實施安全措施、保證配置、變更的正確與安全、進行安全審計、保證維護支持、進行監(jiān)控、檢查、處理安全事件、安全意識與安全教育、人員安全管理等。本課件是可編輯的正常PPT課件課后作業(yè)一、單選題：1.影響信息安全的主要因素，不包括（）。A．人B.訪問控制C.技術D.管理2.信息安全等級保護劃分細則是根據（）。A．危害程度B.行業(yè)C.從業(yè)者D.信息數量二、多選題：信息保障的內容包括（）。A．保護B.監(jiān)測C.反應D.恢復信息安全的目標包括（）。A．保密性B.完整性C.可用性D.復雜性信息安全等級保護的實時原則包括（）。A.自主保護B.重點保護C.同步建設D.動態(tài)調整本課件是可編輯的正常PPT課件課后作業(yè)三、簡答題：1.簡述信息安全面臨的各種威脅。2.簡述信息安全等級保護的劃分細則。3.簡述信息安全等級保護的實施流程。參考答案：一、單選題1.B2.A二、多選題1.ABCD2.ABC3.ABCD三、簡答題1.參考1.2中的內容2.參考1.4.3中的內容3.參考1.4.5中的內容。本課件是可編輯的正常PPT課件致謝Themanwhohasmadeuphismindtowinwillneversayimpossible本課件是可編輯的正常PPT課件第2章

數據加密技術本課件是可編輯的正常PPT課件內容概要數據在存儲和傳輸過程中，為了保證其安全性，會使用各種加密協議和加密算法，將數據變成看似無用的亂碼，只有知道加密算法和密鑰的授權用戶才能進行解密，讀取其中的內容。本章就將向讀者介紹數據加密技術的相關內容。本章重點難點：數據加密技術原理對稱加密與非對稱加密數據的常見加密算法數據完整性保護常見的數據解密技術本課件是可編輯的正常PPT課件對稱加密與非對稱加密常見的加密算法及原理數據完整性保護數據加密技術簡介其他加密方式05常見的數據解密技術06本課件是可編輯的正常PPT課件數據加密技術簡介01本課件是可編輯的正常PPT課件2.1.1數據加密技術原理加密技術是利用數學或物理手段，對電子信息在傳輸過程中和存儲體內進行保護，以防止泄漏的技術。通過密碼算術對數據進行轉化，使之成為沒有正確密鑰任何人都無法讀懂的報文。而這些以無法讀懂的形式出現的數據一般被稱為密文。為了讀懂報文，密文必須重新轉變?yōu)樗淖畛跣问?-明文。而含有用來以數學方式轉換報文的雙重密碼就是密鑰。在這種情況下即使信息被截獲并閱讀，這則信息也是毫無利用價值的。而實現這種轉化的算法標準，據不完全統(tǒng)計，到現在為止已經有近200多種。本課件是可編輯的正常PPT課件2.1.2密鑰與算法加密技術主要由兩個元素組成，算法和密鑰。（1）算法算法是將正常的數據（明文）與字符串進行組合，按照算法公式進行計算，從而得到新的數據（密文），或者是將密文通過算法還原為明文。（2）密鑰密鑰是一組字符串，是加密和解密的最主要的參數，是由通訊的一方通過一定標準計算得來。所以密鑰是變換函數所用到的重要的控制參數，通常用K表示。沒有密鑰和算法的話這些數據沒有任何意義，從而起到了保護數據的作用。本課件是可編輯的正常PPT課件2.1.3加密技術的常見術語解釋1.明文指待加密的信息，用P或M表示。明文可以是文本文件、圖形、數字化存儲的語音流或數字化視頻圖像的比特流等。2.密文指明文經過加密處理后的形式，用C表示。3.加密指用某種方法偽裝消息以隱藏明文的內容的過程。4.加密算法指將明文變換為密文的變換函數，通常用E表示。5.解密指把密文轉換為明文的過程。本課件是可編輯的正常PPT課件6.解密算法指將密文變換為明文的變換函數v通常用D表示。7.密碼分析指截獲密文者試圖通過分析截獲的密文從而推斷出原來的明文或密鑰的過程。8.被動攻擊對一個保密系統(tǒng)采取截獲密文并對其進行分析和攻擊。這種攻擊對密文沒有破壞作用。9.主動攻擊指攻擊者非法侵入一個密碼系統(tǒng)，采用偽造、修改、刪除等手段向系統(tǒng)注入假消息進行欺騙。這種攻擊對密文具有破壞作用。10.密碼系統(tǒng)指用于加密和解密的系統(tǒng)。加密時，系統(tǒng)輸入明文和加密密鑰，加密變換后，輸出密文；解密時，系統(tǒng)輸入密文和解密密鑰，解密變換后，輸出明文。本課件是可編輯的正常PPT課件2.1.4加密技術的應用由于信息安全的要求，加密技術已經廣泛應用于生活及工作的各個方面：1.電子商務電子商務是在網絡上進行商務活動，交易時會出現信息的交換和貨幣的轉移，這些均屬于個人隱私，若未開展保護措施，便會導致交易信息和賬戶信息泄露等事件產生，造成經濟損失。人們通過電子商務中的安全協議、數字證書等手段保證信息安全。2.數據庫加密數據庫是存儲信息的平臺，任何人均會使用到數據庫保存和處理信息。因此若未安全防護數據庫，則可能會導致信息被盜取、泄露的情況出現。使用數據加密技術可以有效地保護數據庫，提高數據安全指數，同時設置安全訪問數據庫的權限以及口令，確保數據庫安全。本課件是可編輯的正常PPT課件3.網頁傳輸加密http協議的網絡訪問，其中的數據傳輸極容易被捕獲和破譯出來。所以為了安全性的要求，使用了帶有加密技術的https協議。極大的增強了訪問的安全性。4.登錄加密明文的密碼校驗已經基本被淘汰了，而被更加安全的加密校驗所代替。通過將用戶輸入的密碼進行加密，然后與數據庫中的密碼進行比對，如果一致則認為用戶輸入的是正確的密碼，然后會允許用戶獲取相關的數據和權限。這種加密算法是不可逆的，在后面會著重介紹。本課件是可編輯的正常PPT課件5.VPN加密在不安全的網絡上，創(chuàng)建一條加密的鏈路，通訊雙方協商后，對數據進行加密而后傳輸，這樣就在一定程度上保障了數據和訪問的安全性。該技術也叫做安全隧道技術，很多公司和分公司之間的數據傳輸都會使用VPN加密技術。6.無線加密在無線網絡中的加密技術有很多，主要應用在認證技術和數據傳輸技術中。本課件是可編輯的正常PPT課件對稱加密與非對稱加密02本課件是可編輯的正常PPT課件2.2.1對稱加密對稱加密也叫做私鑰加密算法，就是數據傳輸雙方均使用同一個密鑰，雙方的密鑰都必須處于保密的狀態(tài)，因為私鑰的保密性必須基于密鑰的保密性，而非算法上。收發(fā)雙方都必須為自己的密鑰負責，才能保證數據的機密性和完整性。對稱密碼算法的優(yōu)點是加密、解密處理速度快、保密度高等。明文發(fā)送者加密加密密鑰發(fā)送密文接收密鑰相同對稱加密及解密過程解密解密密鑰接受者明文本課件是可編輯的正常PPT課件2.2.2非對稱加密與對稱加密不同，非對稱加密需要兩個密鑰：公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對，加密密鑰（公開密鑰）向公眾公開，誰都可以使用、解密密鑰（私有密鑰）只有解密人自己知道。非法使用者根據公開的密鑰無法推算出解密密鑰。1.非對稱加密原理如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種算法叫做非對稱加密算法。該算法也是針對對稱加密密鑰密碼體制的缺陷被提出來的。本課件是可編輯的正常PPT課件2.非對稱加密的功能公鑰加密可以實現的功能包括：機密性：保證非授權人員不能非法獲取信息，通過數據加密來實現。確認性：保證對方屬于所聲稱的實體，通過數字簽名來實現。數據完整性：保證信息內容不被篡改，入侵者不可能用假消息代替合法消息，通過數字簽名來實現。不可抵賴性：發(fā)送者不可能事后否認他發(fā)送過消息，消息的接收者可以向中立的第三方證實所指的發(fā)送者確實發(fā)出了消息，通過數字簽名來實現?？梢?，公鑰加密系統(tǒng)滿足信息安全的所有主要目標。本課件是可編輯的正常PPT課件3.非對稱加密的優(yōu)缺點非對稱加密產生一方面是解決密鑰管理與分配的問題，另一方面滿足數字簽名的需求。所以非對稱加密的優(yōu)點包括：網絡中的每個用戶只需要保存自己的私有密鑰，則N個用戶僅需產生N對密鑰。密鑰少，便于管理。密鑰分配簡單，不需要秘密的通道和復雜的協議傳送密鑰。公開密鑰可基于公開的渠道（如密鑰分發(fā)中心）分發(fā)給其他用戶，而私有密鑰則由用戶自己保管?？梢詫崿F數字簽名。缺點：但也有局限性，那就是效率非常低。比前面的一些對稱算法慢了很多，所以不太適合為大量的數據進行加密。本課件是可編輯的正常PPT課件4.非對稱加密的應用非對稱加密根據特點，被廣泛應用到以下幾個方面：通信保密：此時將公鑰作為加密密鑰，私鑰作為解密密鑰，通信雙方不需要交換密鑰就可以實現保密通信。數字簽名：將私鑰作為加密密鑰，公鑰作為解密密鑰，可實現由一個用戶對數據加密而使多個用戶解密。密鑰交換：通信雙方交換會話密鑰，以加密通信雙方后續(xù)連接所傳輸的信息。每次邏輯連接使用一個新的會話密鑰，用完就丟棄。5.常見的非對稱加密算法常見的非對稱加密算法主要有RSA、背包算法、McEliece算法、Diffie-Hellman算法、Rabin算法、零知識證明、橢圓曲線算法、ELGamal算法等。本課件是可編輯的正常PPT課件2.2.3兩種加密算法的綜合使用由于對稱加密與非對稱加密算法各有其優(yōu)缺點，在保證安全性的前提下，為了提高效率，出現了兩個算法結合使用的方法，原理就是使用對稱算法加密數據，使用非對稱算法傳遞密鑰。整個過程如下：（1）A與B溝通，需要傳遞加密數據，并使用對稱算法，要B提供協助。（2）B生成一對密鑰，一個公鑰，一個私鑰。（3）B將公鑰發(fā)送給A。（4）A用B的公鑰，對A所使用的對稱算法的密鑰進行加密，并發(fā)送給B。（5）B用自己的私鑰進行解密得到A的對稱算法的密鑰。（6）A用自己的對稱算法密鑰加密數據，再把已加密的數據發(fā)送給B。（7）B使用A的對稱算法的密鑰進行解密。本課件是可編輯的正常PPT課件常見的加密算法及原理03本課件是可編輯的正常PPT課件2.3.1DES算法DES（DataEncryptionStandard）是一種分組密碼算法，使用56位密鑰將64位的明文轉換為64位的密文，密鑰長度為64位，其中有8位是奇偶校驗位。在DES算法中，只使用了標準的算術和邏輯運算，其加密和解密速度很快，并且易于實現硬件化和芯片化。1.計算過程DES算法對64位的明文分組進行加密操作，首先通過一個初始置換（IP），將64位明文分組分成左半部分和右半部分，各為32位。然后進行16輪完全相同的運算，這些運算稱為函數f，在運算過程中，數據和密鑰結合。經過16輪運算后，通過一個初始置換的逆置換（IP-1），將左半部分和右半部分合在一起，得到一個64位的密文。本課件是可編輯的正常PPT課件2.初始置換和逆初始置換DES算法在加密前，首先執(zhí)行一個初始置換操作，將64位明文的位置進行變換，得到一個亂序的64位明文，表中元素將按行輸出。3.密鑰置換在64位密鑰中，每個字節(jié)的第8位為奇偶校驗位，經過置換去掉奇偶校驗位，實際的密鑰長度為56位。585042342618100260524436282012046254463830221406645648403224160857494133251709015951433527191103615345372921130563554739312315075749413325170901585042342618100259514335271911036052443663554739312315076254463830221406615345372921130528201204本課件是可編輯的正常PPT課件4.擴展置換擴展置換將數據的右半部分Ri，從32位擴展成48位，以便與48位密鑰進行異或運算。擴展置換的輸入位和輸出位的對應關系。5.S-盒代換通過8個S-盒代換將異或運算得到的48位結果變換成32位數據。每個S-盒為一個非線性代換網絡，有6位輸入，4位輸出，并且每個S-盒代換都是不相同的。48位輸入被分成8個6位組，每個組對應一個S-盒代換操作。320102030405040506070809080910111213121314151617161718192021202122232425242526272829282930313201本課件是可編輯的正常PPT課件6.DES解密過程DES解密過程的邏輯結構與加密過程一致，但必須注意以下兩點。其一、第16輪迭代結束后須將左右兩個分組交換位置，即將L16與R16交換順序。其二、解密過程中使用的子密鑰的順序與加密時的順序正好相反，依次為K16，K15，…，K1，即當把64位密文作為明文輸入時，解密過程的第1輪迭代使用子密鑰K16，第2輪迭代使用子密鑰K15，…，第16輪迭代使用子密鑰K1，同理，第16輪迭代后須交換順序，最終輸出得到64位明文。7.DES算法的安全隱患DES算法具有以下3種安全隱患。（1）密鑰太短（2）DES的半公開性（3）DES迭代次數偏少本課件是可編輯的正常PPT課件8.DES算法的工作模式DES的工作模式有4種：電子密本（ECB），密碼分組鏈接（CBC），輸出反饋（OFB）和密文反饋（CFB）。ANSI的銀行標準中規(guī)定加密使用ECB和CBC模式，認證使用CBC和CFB模式。在實際應用中，經常使用ECB模式。在一些安全性要求較高的場合下，使用CBC模式，它比ECB模式復雜一些，但可以提供更好的安全性。9.DES實現方法DES算法有硬件和軟件兩種實現方法。硬件實現方法采用專用的DES芯片﹐使DES加密和解密速度有了極大的提高﹐例如DEC公司開發(fā)的一種DES芯片的加密和解密速度可達1Gb/s，能在1s內加密16800000個數據分組﹐并且支持ECB和CBC兩種模式?，F在已有很多公司生產商用的DES芯片。商用的DES芯片在芯片內部結構和時鐘速率等方面各有不同，例如有些芯片采用并行處理結構，在一個芯片中有多個可以并行工作的DES模塊，并采用高速時鐘，大大提高了DES加密和解密速度。本課件是可編輯的正常PPT課件2.3.23DES算法為了提高DES算法的安全性，人們還提出了一些DES變形算法，其中三重DES算法（簡稱3DES）是經常使用的一種DES變形算法。在3DES中，使用兩個或三個密鑰對一個分組進行三次加密。在使用兩個密鑰的情況下，第一次使用密鑰K1，第二次使用密鑰K2，第三次再使用密鑰K3，在使用三個密鑰的情況下，第一次使用密鑰K1，第二次使用密鑰K2，第三次再使用密鑰K3。本課件是可編輯的正常PPT課件2.3.3AES算法AES是一種區(qū)塊加密標準。這個標準用來替代原先的DES，已經被多方分析且廣為全世界使用。經過5年的甄選流程，高級加密標準于2001年11月26日發(fā)布，并在2002年5月26日成為有效的標準。2006年，AES已然成為對稱密鑰加密中流行的算法之一。本課件是可編輯的正常PPT課件2.3.4RC算法RC密碼算法有一個系列，它們都是由密碼學專家RonRivest教授設計的。其中，RC1未公開發(fā)表，RC2是可變密鑰長度的分組密碼算法，RC3因在開發(fā)過程中被攻破而放棄，RC4是可變密鑰長度的序列密碼算法，RC5是可變參數的分組密碼算法。1.RC2算法RC2算法是Rivest為RSA數據安全公司設計的，RC2沒有申請專利，而是作為商業(yè)秘密加以保護的。RC2算法是一種可變密鑰長度的64位分組密碼算法，其目標是取代DES。該算法將接收可變長度的密鑰，其長度從0到計算機系統(tǒng)所能接收的最大長度的字符串，并且加密速度與密鑰長度無關。該密鑰被預處理成128字節(jié)的相關密鑰表，有效的不同密鑰數目為21024。由于RC2沒有公開，其算法細節(jié)不得而知。本課件是可編輯的正常PPT課件2.RC4算法RC4算法是一種可變密鑰長度的序列密碼算法，有人在互聯網上公布了RC4算法的源代碼。RC4算法以輸出反饋模式工作，密鑰序列與明文相互獨立。它采用了一個8×8的S-盒：S0，S1，S2…，S255，并按下列步驟對S-盒進行初始化。（1）線性填充S0=0，S1=1，S2

=2，…，S255=255。（2）密鑰填充用密鑰填充一個256字節(jié)的數組K0，K1，K2，…，K255，不斷重復密鑰直到填滿為止。（3）運算設置一個指針j，且j=0。本課件是可編輯的正常PPT課件2.3.5RSA算法RSA算法是用三個發(fā)明人Rivest，Shamir和Adleman的名字命名的。它是第一個比較完善的公鑰密碼算法，既可用于加密數據，又可用于數字簽名，并且比較容易理解和實現。RSA算法經受住了多年的密碼分析的攻擊，具有較高的安全性和可信度。1.RAS算法簡介2.RAS算法描述3.RAS實現方法4.RAS算法缺點本課件是可編輯的正常PPT課件數據完整性保護04本課件是可編輯的正常PPT課件2.4.1數據完整性保護內容數據完整性保護主要針對的是非法篡改，常見的非法篡改包括：內容篡改，包括對報文內容的插入、刪除、改變等。序列篡改，包括對報文序列的插入、刪除、錯序等。時間篡改，對報文進行延遲或回放。本課件是可編輯的正常PPT課件2.4.2消息認證簡介消息認證也稱報文鑒別﹐是用于驗證所收到的消息確實來自真正的發(fā)送方，并未被篡改﹐檢測傳輸和存儲的消息（報文）有無受到完整性攻擊的手段，包括消息內容認證，消息的序列認證和操作時間認證等。其核心是消息（報文）的內容認證。消息的序列認證的一般辦法是給發(fā)送的報文加一個序列號，接收方通過檢查序列號來鑒別報文傳送的序列有沒有被破壞。消息的操作時間認證也稱數據的實時性保護，通常可以采用時間戳或詢問-應答機制進行確認。本課件是可編輯的正常PPT課件2.4.3報文摘要簡介為了驗證電子文件的完整性，可以采用某種算法從該文件中計算出一個報文摘要，由此摘要來鑒別此報文是否被非法修改過。一個報文與該報文產生的報文摘要是配對的。發(fā)送方從要發(fā)送的報文數據中按照某種約定的算法計算出報文摘要，再用自己的私有密鑰將報文摘要加密，然后附加在報文后部一起傳輸。加密后的報文摘要也稱為“報文驗證碼MAC”。接收方從收到的報文中按照約定的算法計算出報文摘要，再利用發(fā)送方的公開密鑰將收到的加密摘要解密，進行二者對照，就可檢驗出該報文是否被篡改過。本課件是可編輯的正常PPT課件2.4.4Hash算法哈希算法（HashAlgorithm）也稱為信息標記算法，可以提供數據完整性方面的判斷依據。1.Hash簡介Hash，一般翻譯做散列、雜湊，或音譯為哈希，是把任意長度的輸入（又叫做預映射pre-image）通過散列算法變換成固定長度的輸出，該輸出就是散列值。2.Hash函數特性哈希算法以一條信息為輸入，輸出一個固定長度的數字，稱為標記（Digest）。哈希算法具備以下3個特性。不可能以信息標記為依據推導出輸入信息的內容。不可能人為控制某個消息與某個標記的對應關系（必須用哈希算法得到）。要想找到具有同樣標記的信息在計算方面是行不通的。本課件是可編輯的正常PPT課件3.散列函數的特性所有散列函數都有如下一個基本特性：如果兩個散列值是不相同的（根據同一函數），那么這兩個散列值的原始輸入也是不相同的。這個特性是散列函數具有確定性的結果。但另一方面，散列函數的輸入和輸出不是一一對應的，如果兩個散列值相同，兩個輸入值很可能是相同的，但不絕對肯定二者一定相等（可能出現哈希碰撞）。輸入一些數據計算出散列值，然后部分改變輸入值，一個具有強混淆特性的散列函數會產生一個完全不同的散列值。本課件是可編輯的正常PPT課件4.Hash函數的計算根據獲取Hash值的計算方法，Hash函數常使用以下四種方法獲取到Hash值：余數法折疊法基數轉換法數據重排法5.常見的Hash應用及算法哈希算法與加密算法共同使用，加強數據通信的安全性。采用這一技術的應用有數字簽名、數字證書、網上交易、終端的安全連接、安全的電子郵件系統(tǒng)、PGP加密軟件等。本課件是可編輯的正常PPT課件2.4.5MD5算法MD5（Message-DigestAlgorithm5，信息-摘要算法5），在20世紀90年代初由RonaldL。Rivest開發(fā)出來，經MD2、MD3和MD4發(fā)展而來。MD5是一種哈希算法，哈希算法的用途不是對明文加密，讓別人看不懂，而是通過對信息摘要的比對，防止對原文的篡改。MD5是把一個任意長度的字節(jié)串加密成一個固定長度的大整數（通常是16位或32位），加密的過程中要篩選過濾掉一些原文的數據信息，因此想通過對加密的結果進行逆運算得出原文是不可能的。本課件是可編輯的正常PPT課件2.4.6SHA算法SHA（SecureHashAlgorithm，安全哈希算法）是由NIST和NSA開發(fā)的，于1993年作為聯邦信息處理標準（FIPSPUB180）公布，1995年修訂為FIPSPUB181，1995年修訂為SHA-1。在此基礎上發(fā)展出SHA-2，2002年，NIST分別發(fā)布了SHA-256、SHA-384、SHA-512，這些算法統(tǒng)稱為SHA-2，2008年又新增了SHA-224。SHA-1是160位的Hash值，而SHA-2是組合值，有不同的位數，導致這個名詞有一些混亂。但是無論是“SHA-2”，“SHA-256”或“SHA-256位”，其實都是指同一種加密算法。本課件是可編輯的正常PPT課件其他加密方式05本課件是可編輯的正常PPT課件2.5.1軟件加密軟件加密一般是用戶在發(fā)送信息前，先調用信息安全模塊對信息進行加密，然后發(fā)送，到達接收方后，由用戶使用相應的解密軟件進行解密并還原。軟件加密的方法有密碼表加密、軟件子校驗方式、序列號加密、許可證管理方式、鑰匙盤方式、光盤加密等方法。1.序列號加密現今很多共享軟件大多采用這種加密方式。2.許可證加密許可證加密是序列號加密的一個變種。本課件是可編輯的正常PPT課件2.5.2硬件加密硬件加密則是采用硬件（電路、器件、部件等）和軟件結合的方式實現加密，對硬件本身和軟件采取加密、隱藏、防護技術，防止被保護對象被攻擊者破析、破譯。硬件加解密是商業(yè)或軍事上的主流。硬件加密的方法有加密卡、軟件狗、微狗等。硬件加密具有以下幾個特點。速度快安全性易于安裝在硬件內設置自毀裝置，一旦發(fā)現硬件被拆卸或程序被跟蹤，促使硬件自毀，使破譯者不敢進行動態(tài)跟蹤。本課件是可編輯的正常PPT課件常見的數據解密技術06本課件是可編輯的正常PPT課件2.6.1數據解密技術簡介我們知道數據加密技術，無論是對稱加密還是非對稱加密，都需要知道算法和密鑰才能進行解密操作。而如果不知道這兩者，只能使用猜測，并不斷去進行解密操作，才能進行數據的破解。隨著加密技術的發(fā)展，數據的非法破解已經越來越難。本課件是可編輯的正常PPT課件2.6.2數據加密應用及原理分析在日常使用中，常見的加密及原理有以下幾種：1.文件加密現在很多加密軟件使用的是文件保護技術，也就是對文件設置安全密碼，文件本身并沒有加密，原則上通過技術，可以繞過密碼直接讀取。這種保護技術的特點就是加密速度快，操作方便靈活。2.視頻加密視頻加密的技術可以大致有如下幾種：（1）防盜鏈技術（2）HLS加密技術（3）私有算法逐幀加密本課件是可編輯的正常PPT課件2.6.3常見算法及解密原理在上面的介紹中，已經講解了很多加密算法及其原理，對于不同的算法都有不同的解密方法及原理。1.明文密碼早期的密碼存在方式，將明文密碼保存在數據庫中，通過與用戶輸入的密碼進行對比，相同就可以登錄或獲取對應的權限。2.對稱加密破解對稱加密技術，如3DES、AES等，它們的破解最核心的就是密鑰，如果用戶的密鑰被泄漏，那么對稱加密就形同虛設。本課件是可編輯的正常PPT課件3.Hash算法破解使用MD5、SHA1等單向HASH算法保護密碼，使用這些算法后，無法通過計算還原出原始密碼，而且實現比較簡單，因此很多互聯網公司都采用這種方式保存用戶密碼，曾經這種方式也是比較安全的方式，但隨著彩虹表技術的興起，可以建立彩虹表進行查表破解，目前這種方式已經很不安全了。一般來說，Hash算法可以采用3種方法得到明文：（1）暴力破解（2）建立數據庫（3）構建彩虹表本課件是可編輯的正常PPT課件4.特殊Hash算法破解特殊的單向HASH算法，由于單向HASH算法在保護密碼方面不再安全，于是有些公司在單向HASH算法基礎上進行了加鹽、多次HASH等擴展，這些方式可以在一定程度上增加破解難度，對于加了“固定鹽”的HASH算法，需要保護“鹽”不能泄露，這就會遇到“保護對稱密鑰”一樣的問題，一旦“鹽”泄露，根據“鹽”重新建立彩虹表可以進行破解，對于多次HASH，也只是增加了破解的時間，并沒有本質上的提升。本課件是可編輯的正常PPT課件5.撞庫撞庫從技術角度不算破解，但卻是所有破解中最有效最快速的破解手段。對于大多數用戶而言，撞庫可能是一個很專業(yè)的名詞，但是理解起來卻比較簡單，撞庫是黑客無聊的“惡作劇”，也是一種領先時代的攻擊技術，黑客通過收集互聯網已泄露的用戶賬號及密碼信息，生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登陸的用戶。甚至有些存儲明文密碼的網站被入侵后，獲取到可以直接登錄其他網站的帳號及密碼。本課件是可編輯的正常PPT課件課后作業(yè)一、單選題：1.RSA算法建立的基礎是（）。A．Hash函數B.大數分解和素數檢測C.MD5D.對稱算法2.如果a通過+2，加密后變成c，這種加密叫做（）。A．對稱加密技術B.分組密碼技術C.對稱加密技術D.MD5加密技術二、多選題：1.SHA-2包括了（）。A．SHA-256B.SHA-384C.SHA-512D.SHA-2242.非對稱加密的優(yōu)點有（）。A．密鑰少便于管理B.密鑰分配簡單C.效率高D.可以數字簽名3.DES算法的隱患主要有（）。A.加密復雜B.密鑰太短C.算法半公開D.迭代次數偏少本課件是可編輯的正常PPT課件課后作業(yè)三、簡答題：1.簡述保證數據完整性的主要算法及特點。2.簡述對稱加密及非對稱加密的特點及區(qū)別。四、動手練：1.按照2.4.5-3中的內容，動手計算文件的MD5值。2.按照圖2-10的內容，學會使用網上的MD5數據庫查詢MD5值對應的明文。參考答案：一、單選題1.B2.C二、多選題1.ABCD2.ABD3.BCD三、簡答題1.參考2.4中的內容2.參考2.2中的內容

四、動手練1.參考2.4.5-3中的內容2.參考2.6.3-3中的內容本課件是可編輯的正常PPT課件致謝Themanwhohasmadeuphismindtowinwillneversayimpossible本課件是可編輯的正常PPT課件第3章

身份認證技術本課件是可編輯的正常PPT課件內容概要在上一章中介紹了非對稱加密技術，在非對稱加密中，使用私鑰加密后，可以通過其對應的公鑰進行解密，除了可以獲取到明文外，還可以明確該信息是由密鑰的所有者發(fā)出，也就是證明了其身份，具有不可抵賴的特性，這就是身份認證技術的一種，目的仍是確保信息的安全性。在本章中，將向讀者著重介紹身份認證技術的原理及其應用。本章重點難點：身份認證方法及常見技術數字簽名的原理及應用數字證書的原理及應用PKI簡介訪問控制技術簡介本課件是可編輯的正常PPT課件基于口令的身份認證技術數字簽名技術數字證書技術身份認證技術簡介PKI基礎05訪問控制技術06本課件是可編輯的正常PPT課件身份認證技術簡介01本課件是可編輯的正常PPT課件3.1.1身份認證技術概述身份認證技術是在計算機網絡中確認操作者身份的過程而產生的有效解決方法。計算機網絡世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的，計算機只能識別用戶的數字身份，所有對用戶的授權也是針對用戶數字身份的授權。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者，也就是說保證操作者的物理身份與數字身份相對應，身份認證技術就是為了解決這個問題，作為防護網絡資產的第一道關口，身份認證有著舉足輕重的作用。信息系統(tǒng)中的一切活動都是由訪問行為所引起的。為了系統(tǒng)的安全，需要對訪問進行管制約束。訪問涉及兩個方面：主體（通常指用戶）和客體（也稱資源﹐即數據）。身份認證是指對于主體合法性的認證；訪問控制是指對于主體的訪問行為進行授權的過程。本課件是可編輯的正常PPT課件3.1.2常見的身份認證方法在現實生活中，最常用的身份認證方法主要有三個大類：1.基于生物特征基于生物特征的認證方法在近幾年非常流行。包括了指紋認證、虹膜認證、面部特征以及聲音特征的認證。其他特征還包括筆跡、視網膜、DNA等?；谏锾卣髯R別和其他身份識別技術各有優(yōu)勢，可以互補以提高身份認證的準確性，提高了信息的安全性。本課件是可編輯的正常PPT課件2.基于信任物體的身份認證基于信任物體的身份認證首先需要確保信任物體和受信者的關系，物體也要被受信者妥善保存，因為系統(tǒng)通過信任物體完成認證并提供權限，而并不直接對受信者進行身份認證，所以一旦物體被非受信者獲取，整個身份認證體系形同虛設。不過相對于生物特征，基于信任物體的身份認證更加靈活。另外信任物體的驗證需要專業(yè)的設備和機構進行驗證。當前主要的信任物體包括信用卡、IC卡、印章、證件以及USBKey等。3.基于信息秘密的身份認證基于受信者個人秘密，如密碼口令、識別號、密鑰等，僅僅為受信者及系統(tǒng)所知曉，不依賴于自身特征，可以在任意場景中使用，對認證設備要求也比較低，并且容易被竊取及偽造。所以現在復合型信息秘密的身份認證體系還要求提供手機驗證碼。本課件是可編輯的正常PPT課件基于口令的身份認證技術02本課件是可編輯的正常PPT課件3.2.1基于靜態(tài)口令的身份認證靜態(tài)口令是認證技術中使用頻率最高的一種認證技術，平時使用的密碼就是靜態(tài)口令的一種，主要特點是簡單、高效、實現簡單。但缺點也顯而易見，容易被記錄、破解、容易忘記等。1.靜態(tài)口令的主要威脅2.靜態(tài)口令的安全防護3.通過驗證碼增強口令安全性本課件是可編輯的正常PPT課件3.2.2基于動態(tài)口令的身份認證動態(tài)口令也稱一次性口令，是最安全的口令。它是根據專門的算法生成一個不可預測的隨機數字組合，每個密碼只能使用一次﹐目前被廣泛運用在網銀﹑網游﹑電信運營商、電子商務、企業(yè)等應用領域。動態(tài)口令有如下優(yōu)勢：可以提供給最終用戶安全訪問企業(yè)核心信息的手段?？梢越档团c密碼相關的IT管理費用。是一種無須記憶的復雜密碼，降低了遺忘密碼的幾率。本課件是可編輯的正常PPT課件數字簽名技術03本課件是可編輯的正常PPT課件3.3.1數字簽名技術簡介所謂數字簽名，就是附加在數據單元上的一些數據﹐或是對數據單元所做的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和數據單元的完整性并保護數據，防止被人（如接收者）偽造。它是對電子形式的消息進行簽名的一種方法，一個簽名消息能在一個通信網絡中傳輸?；诠€密碼體制和私鑰密碼體制都可以獲得數字簽名，目前主要是基于公鑰密碼體制的數字簽名，包括普通數字簽名和特殊數字簽名。數字簽名的主要功能是保證信息傳輸的完整性、發(fā)送者的身份認證、防止交易中的抵賴發(fā)生。本課件是可編輯的正常PPT課件3.3.2數字簽名技術的原理數字簽名技術從原理上可以分為基于共享密鑰的數字簽名以及基于公開密鑰的加密算法兩種。1.基于共享密鑰的數字簽名基于共享密鑰的身份驗證是指服務器端和用戶共同擁有一個或一組密碼。當用戶需要進行身份驗證時，用戶通過輸入或通過保管有密碼的設備提交由用戶和服務器共同擁有的密碼。2.基于公開密鑰的數字簽名基于公開密鑰的數字簽名是不對稱加密算法的典型應用。本課件是可編輯的正常PPT課件3.3.3對報文的數字簽名雖然報文認證碼MAC可以提供對報文的完整性和身份認證，但是它不能取代發(fā)送者對報文的數字簽名。當發(fā)送方向接收方發(fā)送一個文件時，為了證明此文件是自己發(fā)送的，而不是冒名頂替者發(fā)的，他就在文件上進行數字簽名。通常在傳統(tǒng)的紙質文件上簽名時，簽名與文件成為一個整體，而不是分離的兩個文件。但是，對電子文件進行數字簽名時，電子文件和數字簽名是兩個不同的文件報文和簽名。接收方收到這兩個文件后，使用數字簽名來判斷電子文件是否來自真實的發(fā)送者。本課件是可編輯的正常PPT課件3.3.4數字簽名標準DSS基于有限域上的離散對數問題制定了數字簽名標準DSS。該標準定義了用于通過安全哈希算法來生成數字簽名的算法，以用于電子文檔的身份驗證。DSS僅提供數字簽名函數，而沒有提供任何加密或密鑰交換策略。本課件是可編輯的正常PPT課件3.3.5數字簽名的應用在實際中，數字簽名的應用非常廣泛，下面介紹一些常見的數字簽名的應用：1.網站認證常見的網站如百度，如何確定該網站是百度的，而不是其他的釣魚網站或者被篡改的網站，此時網站的證書就起了作用。2.代碼簽名如果Windows上的可執(zhí)行程序來源于正規(guī)公司，那么通常它會有代碼簽名，用于確保其來源可靠且未被篡改。本課件是可編輯的正常PPT課件3.區(qū)塊鏈狹義區(qū)塊鏈是按照時間順序，將數據區(qū)塊以順序相連的方式組合成的鏈式數據結構，并以密碼學方式保證的不可篡改和不可偽造的分布式賬本。4.安全信息公告很多安全信息和公告為了確保是某機構發(fā)布，沒有被篡改，通常會對信息進行加密或者添加完整性校驗信息，并對信息進行數字簽名，以確保信息的安全。5.驗證軟件從網站上下載的軟件，除了校驗完整性外，軟件作者還會在軟件中添加數字簽名，在下載后，可以通過驗證數字簽名查看軟件是否為該組織或作者發(fā)布。本課件是可編輯的正常PPT課件數字證書技術04本課件是可編輯的正常PPT課件3.4.1數字證書數字證書是指在互聯網通訊中標志通訊各方身份信息的一個數字認證，人們可以在網上用它來識別對方的身份。因此數字證書又稱為數字標識。數字證書對網絡用戶在計算機網絡交流中的信息和數據等以加密或解密的形式保證了信息和數據的完整性和安全性。數字證書的特征有：（1）安全性（2）唯一性（3）便利性本課件是可編輯的正常PPT課件3.4.2認識CACA（CertificateAuthorities，證書認證中心）是證書的簽發(fā)機構，它是公鑰基礎設施（PublicKeyInfrastructure，PKI）的核心。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關。CA的主要作用如下：（1）頒發(fā)證書（2）管理證書（3）用戶管理（4）吊銷證書（5）驗證申請者身份（6）保護證書服務器（7）保護CA私鑰和用戶私鑰（8）審計與日志檢查本課件是可編輯的正常PPT課件3.4.3CA系統(tǒng)的組成一個典型的CA系統(tǒng)包括安全服務器、CA服務器、注冊機構、輕型目錄訪問協議（LightweightDirectoryAccessProtocol，LDAP）服務器、數據庫服務器等。本課件是可編輯的正常PPT課件3.4.4X.509證書標準簡介為了保障數字證書合理獲取﹑撤出和驗證過程，1988年ITU-T發(fā)表了X.509標準。這是一個基于公開密鑰和數字簽名的標準，它的核心是數字證書格式和認證協議。X.509作為X.500目錄服務的一部分，定義了X.500目錄向用戶提供認證業(yè)務的一個框架、證書格式以及基于公鑰證書的認證協議。本課件是可編輯的正常PPT課件3.4.5數字證書的工作原理和過程數字證書必須具有唯一性和可靠性。為了達到這一目的，需要采用很多技術來實現，通常數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密，解密。每個用戶自己設定一個特定的僅為本人所有的私鑰，用它進行解密和簽名；同時設定一個公鑰并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。公開密鑰技術解決了密鑰發(fā)布的管理問題，用戶可以公開其公鑰，而保留其私鑰。本課件是可編輯的正常PPT課件3.4.6數字證書的應用根據數字證書的應用角度，數字證書可以分為以下幾類：1.服務器證書2.電子郵件證書3.客戶端證書4.代碼簽名5.安全終端6.身份授權管理本課件是可編輯的正常PPT課件PKI基礎05本課件是可編輯的正常PPT課件PKI（PublicKeyInfrastructure，公開密鑰體系），是一種遵循既定標準的密鑰管理平臺，它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。本課件是可編輯的正常PPT課件3.5.1PKI簡介PKI世紀80年代在公開密鑰理論和技術的基礎上發(fā)展起來的為電子商務提供綜合、安全基礎平臺的技術和規(guī)范。它的核心是對信任關系的管理。通過第三方信任，為所有網絡應用透明地提供加密和數字簽名等密碼服務所必需的密鑰和證書管理，從而達到保證網上傳遞數據的安全、真實、完整和不可抵賴的目的。PKI的基礎技術包括加密﹑數字簽名﹑數據完整性機制和雙重數字簽名等。利用PKI可以方便地建立和維護一個可信的網絡計算環(huán)境﹐建立一種信任機制，使人們在這個無法相互見面的環(huán)境中，能夠確認對方的身份和信息﹐從而為電子支付。網上交易、網上購物和網上教育等提供可靠的安全保障。本課件是可編輯的正常PPT課件3.5.2PKI的層次結構為了讓用戶在全球范圍獲取和使用公鑰，那么僅靠少量的相互獨立的公鑰發(fā)布中心是不夠的。因此將分布在全球的公鑰發(fā)布中心的服務器群以層次結構的方式聯系起來，構成一個公鑰發(fā)布基礎設施PKI。將PKI系統(tǒng)劃分為三層結構的優(yōu)點是：管理層次分明，便于集中管理、政策制訂和實施；提高CA中心的總體性能、減少瓶頸；有充分的靈活性和可擴展性，有利于保證CA中心的證書驗證效率。本課件是可編輯的正常PPT課件3.5.3PKI的安全服務功能建設PKI體系是為網上金融、網上銀行、網上證券、電子商務、電子政務、網上繳稅、網上工商等多種網上辦公、交易提供完備的安全服務功能，是公鑰基礎設施最基本、最核心的功能。作為基礎設施，要做到遵循必要的原則，不同的實體可以方便地使用PKI安全基礎設施提供的服務。安全服務功能包括身份認證、完整性、機密性、不可否認性、時間戳和數據的公正性服務。1.網絡身份認證2.數據完整性3.不可否認性4.時間戳5.公正性本課件是可編輯的正常PPT課件訪問控制技術06本課件是可編輯的正常PPT課件3.6.1訪問控制模型簡介一般的安全模型都可以用一種稱為格的數學表達式來表示。格是一種定義在集合SC上的偏序關系﹐并且滿足SC中任意兩個元素都有最大下界和最小上界的條件。在一種多級安全策略模型中，SC表示有限的安全類集合，其中每個安全類可用一個兩元組（A，C）來表示，A表示權力級別，C表示類別集合。權力級別共分成4級：0級：普通級（Unclassificd）；1級：秘密級；2級：機密級；3級：絕密級。本課件是可編輯的正常PPT課件3.6.2信息流模型訪問控制模型描述了主體對客體訪問權的安全策略﹐主要應用于文件、進程之類的“大”客體。而信息流模型描述了客體之間信息傳遞的安全策略，直接應用于程序變量之類的“小”客體，可以精確地描述程序中的隱通道，它比訪問控制模型的精確度高。信息流模型也是基于格模型，為信息流引入一組安全類集合，定義了安全信息流通過程序時的檢驗和確認機制。一個信息流模型由5部分組成。（1）客體集合（2）進程集合（3）安全類集合（4）一個輔助交互的類復合操作符（5）一個流關系本課件是可編輯的正常PPT課件3.6.3信息完整性模型信息完整性是信息安全的重要組成部分﹐以防止信息在處理和傳輸過程中被篡改或破壞。信息完整性模型主要面向商業(yè)應用，而訪問控制模型和信息流模型側重于軍事領域，它們在描述方法上有很大的不同。信息完整性模型是用于描述信息完整性的形式化模型，主要適用于商業(yè)計算機安全環(huán)境。信息完整性模型主要有Biba模型、Clark-Wilson模型等，其中Biba模型由于應用過于復雜，沒有得到實際的應用。Clark-Wilson模型側重于商業(yè)領域，能夠在面向對象系統(tǒng)中應用，具有較大的靈活性。Clark-Wilson模型采用了兩個基本方法來保證信息的安全，一個是合式交易方法﹔另一個是職責分離方法。本課件是可編輯的正常PPT課件3.6.4基于角色的訪問控制模型基于角色的訪問控制（RoleBasedAccessControl，RBAC）模型是一種訪問控制技術，目的是簡化授權管理的復雜性，降低管理開銷，為管理員提供一個實現復雜安全策略的良好環(huán)境。RBAC的基本思想是：給用戶所授予的訪問權限是由用戶在一個組織中擔任的角色確定的。例如，在一個銀行中，角色可以有出納員、會計師、信貸員等，他們的職能不同，所擁有的訪問權限也各不相同。RBAC將根據用戶在一個組織中所擔任的角色來授予相應的訪問權限，但用戶不能自主地將訪問權限轉授他人。這一點是RBAC模型與其他自主訪問控制模型最根本的區(qū)別。本課件是可編輯的正常PPT課件3.6.5基于域的訪問控制技術在部分局域網中，提供了基于域模型的安全機制和服務，所謂域就是一個基于Windows系統(tǒng)的網絡進行安全管理的邊界，每個域都有一個唯一的名字，并由一個域控制器對一個域的網絡用戶和資源進行管理和控制。域模型采用客戶/服務器結構。本課件是可編輯的正常PPT課件課后作業(yè)一、單選題：1.以下哪項不是常見的身份認證方法（）。A．基于生物特征B.基于資源C.基于信任物體D.基于信息秘密2.常見的動態(tài)口令包括（）。A．自己設置的口令B.人臉識別C.短信密碼D.指紋識別二、多選題：1.數字簽名技術從原理上可以分為（）。A．基于共享密鑰B.對稱密鑰C.非對稱密鑰D.基于公開密鑰2.以下屬于PKI的組成部分的有（）。A．認證機構（CA）B.數字證書庫C.密鑰備份及恢復系統(tǒng)D.證書作廢系統(tǒng)3.WindowsServer服務器系統(tǒng)默認提供的共享權限包括（）。A.完全控制B.更改C.讀取D.拒絕訪問本課件是可編輯的正常PPT課件課后作業(yè)三、簡答題：1.簡述數字簽名的原理。2.簡述數字證書的功能。3.簡述CA的功能及組成。4.簡述PKI的功能。5.簡述WindowsServer中對域的訪問權限控制。參考答案：一、單選題1.B2.C二、多選題1.AD2.ABCD3.ABCD三、簡答題1.參考3.3.2的內容2.參考3.4.1的內容3.參考3.4.2及3.4.3的內容4.參考3.5.1的內容

5.參考3.6.5的內容。本課件是可編輯的正常PPT課件致謝Themanwhohasmadeuphismindtowinwillneversayimpossible本課件是可編輯的正常PPT課件第4章

網絡模型中的安全體系本課件是可編輯的正常PPT課件內容概要計算機網絡參考模型是網絡的基礎，常見的參考模型包括OSI七層模型和TCP/IP四層參考模型，在網絡中使用的各種網絡協議除了考慮數據的傳輸外，還需要考慮信息的安全性。本章將從網絡參考模型入手，向讀者介紹安全體系在其中的應用。本章重點難點：計算機網絡安全體系結構數據鏈路層的主要安全協議網絡層的主要安全協議傳輸層的主要安全協議應用層的主要安全協議本課件是可編輯的正常PPT課件數據鏈路層安全協議網絡層的安全協議傳