网络信息安全技术.ppt

第一讲 绪论,黄 杰 信息安全研究中心,联系方式： 地址：李文正楼南408 电话：025 8379112 803 13675178016 Email：,上课的形式,课堂教学专题讨论 期末考试采用闭卷 成绩计算方式： 期末考试的卷面分数：60 平时成绩：40，其中专题讨论：30，考勤：10,教材资料,教材 蒋睿、胡爱群等著，网络信息安全理论与技术。华中科技大学出版社，2007.11。 参考教材 William Stallings著，刘玉珍等译，密码编码学与网络安全原理与实践（第四版）。电子工业出版社。2006.7 Bruce Schneier著，吴世忠等译，应用密码学协议、算法与C源程序，机械工业出版社，2000。 王育民、刘建伟编著，通信网的安全-理论与技术，西安电子科技大学出版社，2000.5。 相关论文和网上刊登的资料。,本课程的主要内容,密码学的数学基础（2次课） 密码算法（3次课） 对称密码，非对称密码 消息认证、完整性检验与HASH函数 密码协议（2次课） 数字签名，认证协议 密码技术（1次课） PKI/CA （1次课） 无线传感器网络安全技术（2次课） 内容安全技术（1次课） 可信计算（1次课） 信息隐藏（1次课） 讨论课（2次课）,研讨课的内容,移动智能设备的主流操作系统，内容包括：特点，优势，缺陷，安全漏洞，可能的安全威胁，防范措施等 网络战的前世今生，赛博空间。 硬件“指纹”识别技术 同态加密技术的研究现状和未来的发展趋势,课程目的： 熟悉密码学基础理论及其应用 学习和讨论信息安全的相关技术,本课程需要解决的问题 什么是信息安全？它与我们的工作、学习和生活的关系？ 信息安全涉及到哪些关键技术？ 与我们关系密切的一些典型应用？,第一讲 绪论,在我们日常生活中，听到的、看到的哪些与信息安全有关？,引子：生活中的信息安全,DNA 电报 口令 谜语 病毒 手机安全,主要内容,1.1 信息安全的概念 1.2 OSI信息安全框架 1.3 信息安全模型 1.4 信息安全的相关标准,1.1 信息安全的概念,定义 为了防止未经授权就对知识、实事、数据或能力进行使用、滥用、修改、破坏、拒绝使用或使信息被非法系统辨识、控制而采取的措施。,信息安全的演化过程,计算机系统的安全 网络安全 信息安全,信息安全的演化过程（续）,过去,现在,将来,系统可靠性 实体安全 系统安全 密码技术,信息安全的演化过程（续）,过去,现在,将来,系统可靠性 实体安全 系统安全 密码技术,系统完整性 多机系统安全 系统互联安全 远程访问安全 数据完整、可用,信息可信可控 信息保障 信息对抗 社会心理安全,信息安全的演化过程（续）,过去,现在,将来,系统可靠性 实体安全 系统安全 密码技术,系统完整性 多机系统安全 系统互联安全 远程访问安全 数据完整、可用,信息安全与密码学的关系 密码学是信息安全的一种必要手段，核心。 解决信息安全问题必须以密码学为基础。 仅有密码学还不够。,密码学部分：,如何理解信息安全,没有绝对的标准 安全的判别程度不同 安全都是相对的 没有绝对的保证 时间和空间的复杂性 不是无懈可击：无条件的安全，计算安全 任何系统都有漏洞和缺陷 安全是有生存周期的,如何理解信息安全（续）,没有完美系统 先有攻击还是先有防范 对可用性的理解 对可靠性的理解 对可信性的理解 可用性 在一定条件下的合理性 开放性和安全性是一对矛盾，贯穿发展始终，长期对抗 不可能存在一劳永逸、绝对安全的系统安全策略和安全机制,1.2 OSI安全框架,一种安全框架系统化的方法 安全攻击 安全机制 安全服务,巴宾顿,玛丽女王,沃尔辛厄姆,安全攻击,安全服务,信息安全服务定义： X.800：通信开放系统协议层提供的一种服务，保证系统或传输数据的安全。 RFC2828：一种系统提供的对系统资源进行特殊保护的处理或通信服务。 安全服务通过安全机制实现安全策略。,安全服务,信息安全服务（信息安全的需求）： 认证（Authentication） 访问控制（Access Control） 保密性(Confidentiality ） 完整性(Integrity) 不可否认性(Non-repudiation ） ITU-T X.800 Security Architecture for OSI,认证（Authentication）,鉴别或认证，保证通信的合法性。用来验证系统实体和系统资源(如用户、进程、应用)的身份，例如鉴别想访问数据库的人的身份，确定是谁发送了报文，防止有人假冒。 同等实体认证和数据来源的认证,访问控制（Access Control）,控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，实现对网络资源及信息的可控性。,保密性(Confidentiality),指信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。 连接保密性、非连接保密性、选择域保密性和流量保密性。,完整性(Integrity),指网络信息未经授权不能进行改变的特性，既信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 具有恢复功能的连接完整性，无恢复功能的连接完整性，选择域连接完整性，选择域无连接完整性，无连接完整性。,不可否认性(Nonrepudiation),指在信息交互过程中，确信参与者的真实同一性，既所有参与者都不可能否认或抵赖曾经完成的操作和承诺。 源不可否认，宿不可否认。,目的： 假不了 进不去 看不懂 改不得 赖不掉,安全机制,加密 数字签名 访问控制 数据完整性 ,1.3 网络安全模型,安全服务的设计,设计一个算法 产生算法所使用的秘密信息 设计分配和共享秘密信息的方法 指明通信双方使用的协议，实现安全服务,网络安全访问模型,1.4 信息安全标准,国际上著名的标准化组织及其标准化工作 ISO，NIST，TCGA 密码标准 DES AES NESSIE(New European Schemes for Signature, Integrity, and Encryption) 可信计算机系统评价准则 TCSEC-ITSEC-CC 管理标准 ISO 17799,评估标准的演变,美国DoD DoD85 TCSEC TCSEC可信网络 解释（TNI 1987） TCSEC可信数据库管理系统解释（TDI 1991） 彩虹系列Rainbow series 欧洲 ITSEC 美国、加拿大、欧洲等共同发起Common Criteria（CC）,TCSEC可信计算机系统安全等级,ITSEC定义了七个安全级别,E6：形式化验证； E5：形式化分析； E4：半形式化分析； E3：数字化测试分析； E2：数字化测试； E1：功能测试； E0：不能充分满足保证。,通用评价准则（CC）,美国为了保持他们在制定准则方面的优势，不甘心TCSEC的影响被ITSEC取代，他们采取联合其他国家共同提出新的评估准则的办法体现他们的领导作用。 91年1月宣布了制定通用安全评价准则（CC）的计划。它的全称是Common Criteria for IT security Evaluation 。 制定的国家涉及到六国七方，他们是美国的国家标准及技术研究所（NIST）和国家安全局（NSA），欧州的荷、法、德、英，北美的加拿大。,通用评价准则（CC）,它的基础是欧州的ITSEC，美国的包括 TCSEC 在内的新的联邦评价标准，加拿大的 CTCPEC，以及 国际标准化组织ISO :SC27 WG3 的安全评价标准 1995年颁布0.9版，1996年1月出版了10版。 1997年8月颁布2.0 Beata版， 2.0 版于1998年5月颁布。 1998-11-15 成为ISO/IEC 15408信息技术-安全技术-IT安全评价准则,CC标准评价的三个方面,CC标准评价的三个方面 保密性（confidentiality） 完整性（integrity） 可用性（availability） CC标准中未包含的内容： 行政管理安全的评价准则 电磁泄露 行政管理方法学和合法授权的结构 产品和系统评价结果的使用授权 密码算法质量的评价,