搜索
1第4章信息安全技术与社会责任22•“安全”基本含义可以解释为:客观上不存在威胁,主观上不存在恐惧。•目前状况下,“信息安全吗???”•简单问题:若想让E-mail内容不为旁人所知,能否做到?•复杂问题:网上购物,涉及高金额,你敢为之吗?4.1信息安全基础概述3•信息是社会发展的重要战略资源。•网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国在奋力攀登的制高点。•网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中。---沈昌祥院士信息安全专家4信息安全的例子•1988年,美国康乃尔大学研究生莫里斯利用一种蠕虫病毒对美国国防部的计算机系统发难,造成连接美国国防部、美军军事基地、宇航局和研究机构的6000多台计算机瘫痪数日,损失达上亿美元。•这个程序只有99行,利用了Unix系统中的缺点,用Finger命令查联机用户名单,然后破译用户口令,用Mail系统复制、传播本身的源程序,再编译生成代码。5计算机病毒武器美国是研制计算机病毒武器最早的国家之一,早在80年代初,美国国防部便召集部分计算机专家,建立了一个代号为“老虎队”的组织,专门从事计算机病毒武器的研制工作。进入90年代之后,美国军方竟然开出55万美元来悬赏新型“病毒”的发明者,要求新病毒产品比当前流行的更精巧,它应对敌方有线和无线的计算机系统具有感染、潜伏、预定和需要时激活的破坏功能。围绕这些技术要求,已推出了一些用于实战的新病毒武器,如“计算机病毒枪”,它能从遥远的距离“送毒”上门,使对方飞机、坦克和潜艇等装备的电子系统“患病”,只需几秒种就能将其变成废铜烂铁。6病毒芯片海湾战争期间,美国特工得知伊拉克军队防空指挥系统要从法国进口一批电脑,便将带有计算机病毒的芯片隐蔽植入防空雷达的打印机中。美国在大规模战略空袭发起前,通过无线遥控方式激活病毒使其发作,结果造成伊军防空预警、指挥系统和火控系统都陷入瘫痪。7黑客•KevinMitink英国电脑奇才凯文,14岁就成功非法侵入英国电信公司电脑系统,大打免费电话。后来他出、入世界上防范最严密的系统如入无人之境,如美国空军、美国宇航局和北约的网络。1996年因涉嫌侵入美国空军指挥系统,被美国中央情报局指控犯有非法入侵罪。8美国“梯队”全球监听网•为了监听全球信息,美英联合建立了代号为“梯队”的全球监听网,每天可以窥探全世界30亿个电话、电报、文件以及电子邮件的内容。2001年该监听网被曝光。•美国联邦调查局为了监视世界各地通过美国网络枢纽传递的电子邮件,构建了代号为“食肉兽”的电子邮件监视系统。该系统安装在互联网内容提供商(ISP)的网站中,其速度可以快到每秒钟监视处理数百万计的电子邮件。9棱镜计划(PRISM)棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。从欧洲到拉美,从传统盟友到合作伙伴,从国家元首通话到日常会议记录;美国惊人规模的海外监听计划在前中情局雇员爱德华·斯诺登的揭露下,有引发美国外交地震的趋势。104.1.1信息安全基本概念•由于信息具有抽象性、可塑性、可变性以及多效性等特征,使得它在处理、存储、传输和使用中存在严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏。•沈伟光教授指出“信息安全是指人类信息空间和资源的安全”。111.信息安全2.计算机安全•国际标准化组织(ISO)定义“所谓计算机安全,是指为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄密。”•这里包含了两方面内容:物理安全指计算机系统设备受到保护,免于被破坏、丢失等;逻辑安全指保障计算机信息系统的安全,即保障计算机中处理信息的完整性、保密性和可用性。123.网络安全网络安全问题从本质上讲是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。13从技术角度来看,网络信息安全主要表现在:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理安全等。网络信息安全技术始终是在“攻”与“守”激烈的智力对抗中不断发展的。信息安全、计算机安全和网络安全的关系•信息、计算机和网络是三位一体、不可分割的整体。信息的采集、加工、存储是以计算机为载体的,而信息的共享、传输、发布则依赖于网络系统。•如果能够保障并实现网络信息的安全,就可以保障和实现计算机系统的安全和信息安全。因此,网络信息安全的内容也就包含了计算机安全和信息安全的内容。•信息安全均指网络信息安全。1415154.信息安全的基本要素信息安全的基本要素,主要包括以下五个方面的内容:⑴完整性⑵可用性⑶保密性⑷真实性⑸抗抵赖性16⑴完整性完整性即要确保信息在生成、存储和传输过程中不被偶然或蓄意地删除、修改、伪造、插入等破坏和丢失。确保信息完整性的主要手段是:消息摘要。⑵可用性可用性是指要确保信息只能够由授权用户以正确的方式看到。它强调信息不仅是只能由授权用户看到,而且要防范授权用户对信息的滥用。在信息安全中,确保可用性的主要手段是数字信封。在网络安全技术中,确保可用性的主要手段是访问控制。⑶保密性就是防止信息泄露给非授权用户,只允许授权用户访问的特性。在信息安全技术中,确保保密性的手段就是加密。17⑷真实性就是要确保网络信息系统的访问者与其声称的身份是一致的;确保网络应用程序的身份和功能是一致的;确保网络信息系统操作的数据是真实有效的数据。在网络安全技术中,确保真实性的主要手段是:身份鉴别。⑸抗抵赖性抗抵赖性又称为不可抵赖性,或不可否认性。它是指在信息交互过程中所有参与者都不能否认或抵赖曾经完成的操作。在信息安全技术中,确保抗抵赖的主要手段是:数字签名184.1.2密码技术的起源与发展密码学是一门古老的科学,其历史可以追溯到古代,在其形成和发展过程中战争的刺激和科学技术的发展都起了积极的推动作用。•隐写术通过隐藏消息的存在来保护消息.–隐形墨水–字符格式的变化–图像柯达相片CD格式的最大分辨率是20483072个像素,每个像素包含24bit的RGB色彩信息。每个24位像素的最低有效位能被改变,而不会明显影响该图像的质量。这就意味着能够在一张数字快照中隐藏一条2.3MB的消息。•藏头诗19庐剧《无双缘》早妆未罢暗凝眉,迎户愁看紫燕飞,无力回天春已老,双栖画栋不如归。20•数据加密技术涉及到的术语:明文:原本数据;密文:加密后的数据;密钥:用它控制加密、解密的过程;加密:把明文转换为密文的过程;加密算法:加密所采用的变换方法;解密:对密文实施与加密相逆的变换,从而获得明文的过程。信源明文密文加密信宿解密密文明文传输信源信源明文明文密文密文加密信宿解密密文密文明文传输214.1.3古典加密算法及其原理221.古典加密算法⑴斯巴达加密早在公元前5世纪,希腊人和斯巴达人就已经开始使用保密通信技术了。当希腊人想和斯巴达人进行秘密通信时,他们要事先找一根棍子,然后将一个细纸条缠绕在管子上。随后,沿着棍子的方向进行书写。写完后,将纸条取下,送给收信人。——那就是一根直径相同的棍子。接收到纸条后,收信人要使用一根同样粗细的棍子,将纸条重新缠绕起来,显然,在这里通信的双方使用了“对称加密”,它的密钥是什么呢消息的发送者和接收者各有一张完全相同的带有许多小孔的掩蔽纸张,而这些小孔的位置是随机选择并被戳穿的。发送者在纸张的小孔位置写上秘密消息,然后在剩下的位置补上一段掩饰性的文字。接收者只要将掩蔽纸覆盖在其上就可立即读出秘密的消息来。(2)卡丹网格式密码王先生:来信收悉,你的盛情真是难以报答,我已在昨天抵达广州,秋雨连绵,每天需备伞一把方能上街,苦矣。大约本月中旬我才能返回,届时再见。王先生:来信收悉,你的盛情真是难以报答,我已在昨天抵达广州,秋雨连绵,每天需备伞一把方能上街,苦矣。大约本月中旬我才能返回,届时再见。王先生:来信收悉,你的盛情真是难以报答,我已在昨天抵达广州,秋雨连绵,每天需备伞一把方能上街,苦矣。大约本月中旬我才能返回,届时再见。24就是明文中的每一个字符被替换成密文中的另一个字符。接收者对密文做反向替换就可以恢复出明文。第一个是利用“移位替换”原理的凯撒密码。CaesarCipher,c.50B.C.将字母循环前移3位ABCDEFG……XYZdefghij……abc明文:CAESARCIPHERISASHIFTSUBSTITUTION密文:fdhvduflskhulvdvkliwvxevwlwxwlrq(3)替换密码(substitutioncipher)25又称换位密码(transpositioncipher),明文的字母保持相同,但顺序被打乱了。key:4312567plaintext:ATTACKPOSTPONEDUNTiLTWOAMXYZciphertext:ttnaaptmtsuoaodwcoixpetz(4)置换密码(transpositioncipher)相同密钥&#&#发方收方明文密文明文密文单钥(对称)加密体制代表算法•DES•IDEA•AES密码体制一个密码系统采用的基本工作方式称为密码体制。26加密密钥&#&#发方收方明文密文明文密文双钥(公钥)加密体制解密密钥认证中心公钥(可以公开)私钥(必须保密)代表算法•RSA•椭圆曲线27(1)身份认证可分为两大类:身份证实。即只对个人身份进行肯定或否定。一般方法是输入个人信息,经公式和算法运算所得的结果与从卡上或库中存的信息经公式和算法运算所得结果进行比较,得出结论。身份识别。一般方法是输入个人信息,经处理提取成模板信息、试着在存储数据库中搜索找出一个与之匹配的模板,而后给出结论。身份识别要比身份证明难得多。1.身份认证284.1.4常见的信息安全机制所有(Possesses)所知(Knowlege)个人特征(charecteristics)所知。个人所知道的或所掌握的知识,如密码、口令等。所有。个人所具有的东西,如身份证、护照、信用卡、钥匙等。个人特征。身份证明的基本途径指纹、笔迹、声纹、手型、脸型、血型、视网膜、虹膜、DNA以及个人一些动作方面的特征等。(2)实现身份证明的基本途径29数字摘要就是将任意长度的信息或文本变成固定长度的一个值,该值由一个单向Hash函数对消息进行作用而产生。数字摘要=hash(消息)由于摘要是唯一的,因而提供了信息的完整性和认证。2.数字摘要M用户B终点C比较||hashH(M)用户A源点HashM30当A要向B发消息,确信或已知消息正确时,计算消息摘要,并将它附加在消息的后面,然后发往预定的接收者B。接收者B使用相同的算法,对收到的消息计算得出新的摘要值,再将收到的摘要值与计算得出的摘要值进行比较。3.CA与数字证明书•谁来证明公开密钥的持有者是合法的?目前通行的做法是采用数字证明书来证实。•数字证明书的作用如同司机的驾驶执照、出国人员的护照、专业人员的专业资格证明书。•通过一个可信的第三方机构,审核用户的身份信息和公开钥信息,然后进行数字签名。从而确保用户的身份信息和公钥信息的一一对应。•可信的第三方机构,一般称为数字证书认证中心CA(CertificateAuthority)。•由用户身份信息、用户公钥信息以及可信第三方机构所作的签名构成用户的身份数字证书。314.数字