CISM0202密码和网络安全技术

密码和网络安全技术中国信息安全测评中心课程内容2密码和网络安全技术网络安全基础密码及PKI技术基础常见网络安全设备VPN技术知识体：密码和网络安全技术知识域：密码及PKI技术基础了解密码学的基本概念和术语，包括密码编码学、密码分析学、加密、解密、算法、明文、密文等了解常见对称密码算法，理解对称算法特点了解常见非对称密码算法，理解非对称算法特点了解常见哈希算法和签名算法，理解其作用和特点了解PKI和数字证书概念理解PKI的典型应用场景，包括网上银行、软件代码签名和安全邮件通信等3什么是密码学密码学研究什么密码编码学——主要研究对信息进行编码，实现对信息的隐蔽、完整性验证等密码分析学——主要研究加密信息的破译或信息的伪造密码学在信息安全中的地位信息安全的重要基础技术4密码学发展古典密码学（1949年之前）1949年之前，密码学是一门艺术主要特点：数据的安全基于算法的保密近代密码学（1949～1975年）1949～1975年，密码学成为科学主要特点：数据的安全基于密钥而不是算法的保密现代密码学（1976年以后）密码学的新方向—公钥密码学主要特点：公钥密码使得发送端和接收端无密钥传输的保密通信成为可能5密码学基本术语明文：被隐蔽的消息被称做明文（PlainText），通常用P或M表示。密文：隐蔽后的消息被称做密文(CipherText)，通常用C表示。发送者：在信息传送过程中，主动提供信息的一方称为发送者。接受者：在信息传送过程中，得到信息的一方称为接收者。加密：将明文变换成密文的过程称为加密(Encryption)。解密：将密文变换成明文的过程称为解密(Decryption)。加密算法：对明文进行加密时所采用的一组规则称为加密算法(EncryptionAlgorithm)。通常用E表示。解密算法：对密文进行解密时所采用的一组规则称为解密算法(DecryptionAlgorithm)。通常用D表示。密钥:加密和解密算法的操作通常都是在一组密钥(Key)的控制下进行的，分别称为加密密钥和解密密钥。通常用Ke和Kd表示。6对称加密算法7DES算法：56bit的密钥强度3DES：三重DES算法IDEA：128bit密钥强度AES：高级数据加密标准，简单、灵活、适应性好对称密码算法的优缺点优点：效率高，算法简单，系统开销小适合加密大量数据缺点：需要以安全方式进行密钥交换密钥管理复杂8非对称加密（公钥）算法9RSA算法：基于大数因子分解ECC算法：基于椭圆曲线的离散对数问题SM2算法：一种基于椭圆曲线的算法公钥密码体制的优缺点优点：解决密钥传递的问题大大减少密钥持有量提供了对称密码技术无法或很难提供的服务（数字签名）缺点：计算复杂、耗用资源大非对称会导致得到的密文变长10哈希运算——完整性11用户A用户B数据数据哈希值哈希算法数据哈希值哈希值哈希算法如果哈希值匹配，说明数据有效用户A发送数据和哈希值给用户B哈希算法：MD5、SHA1数字签名——抗抵赖性12用户A用户B数据哈希值哈希算法用户A的私钥数据哈希值用户A的公钥哈希算法哈希值如果哈希值匹配，说明该数据由该私钥签名。基于密码技术的安全支撑体系-PKI什么是PKIPKI是公钥基础设施（PublicKeyInfrastructure）的简称，PKI利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。PKI体系组成CA（认证权威）RA（注册权威）证书存放管理（目录服务）证书持有者和应用程序13CA：认证权威14签发证书更新证书管理证书撤销、查询审计、统计验证数字证书黑名单认证（CRL）在线认证(OCSP)CA是PKI体系的核心CRL：证书撤销列表CRL(CertificateRevocationList):证书撤销列表，也称“证书黑名单”在证书的有效期期间，因为某种原因（如人员调动、私钥泄漏等等），导致相应的数字证书内容不再是真实可信，此时，进行证书撤销，说明该证书已是无效CRL中列出了被撤销的证书序列号15RA：注册权威16受理用户的数字证书申请对证书申请者身份进行审核并提交CA制证类似于申请身份证的派出所提供证书生命期的维护工作受理用户证书申请协助颁发用户证书审核用户真实身份受理证书更新请求受理证书吊销目录服务（LDAP）信息的存储库，提供了证书的保存，修改，删除和获取的能力CA采用LDAP标准的目录服务存放证书，其作用与数据库相同，优点是在修改操作少的情况下，对于访问的效率比传统数据库要高17数字证书数字证书是一段电子数据，是经证书权威机构CA签名的、包含拥有者身份信息和公开密钥的数据体数字证书主要包括三部分内容：证书体、签名算法类型以及CA签名数据，其中证书体包括以下内容：版本号（version）：标示证书的版本。序列号（serialNumber）：由证书颁发者分配的本证书的唯一标识符。签名算法标识（signature）：签署证书所用的算法及相应的参数，由对象标识符加上相关参数组成。签发者（issuer）：指建立和签署证书的CA名称。有效期（validity）：包括证书有效期的起始时间和终止时间。主体名（subject）：指证书拥有者名称。主体的公钥（subjectPublicKeyInfo）：包括证书拥有者的公钥。发行者唯一识别符（issuerUniqueIdentifier）：可选项，标识唯一的CA。主体唯一识别符（subjectUniqueIdentifier）：可选项，用来识别唯一主体。扩展域（extensions）：其中包括一个或多个扩展的数据项18用户申请证书获取用户的身份信息进行证书废止检查检查证书的有效期校验数字证书解密数据证书下载到用户本地审核通过的注册请求发送给CA证书同时要被发布出去应用程序通过证书：RA系统审核用户身份发送注册信息给RACA为用户签发证书下载凭证...RA将证书下载凭证发放给用户应用/其他用户Directory提交证书申请请求CARAPKI体系工作流程19PKI/CA技术的典型应用PKI/CA应用通信领域WiFi部署•钓鱼•身份盗窃电子政务领域公文扭转政务门户访问控制领域•机房门禁（物理）•Windows登录（逻辑）硬件设备领域•Web服务器•域名控制器•VPN软件开发领域代码签名•电子商务领域银行网购20安全网上银行用户$分行$总行$分行加密链路银行网站（安全站点）解密账单（节点密码机）银行内部业务$MICROSOFTCORPORATION在线转账（数字时间戳）$$在线支付（表单签名/加密）转账消息反馈（安全电子邮件）付给$电子账单签收（文档电子签名加密）SSL因特网部分内网部分案例-网上银行安全21知识体：密码和网络安全技术知识域：网络安全基础了解网络安全面临的威胁和基本安全目标了解如何构建安全的网络22网络面临的安全威胁物理安全威胁自然灾害：火灾、水浸、雷击、地震、……设备问题：电力故障、电磁泄漏、……人为破坏：爆炸、盗窃……网络攻击威胁设计缺陷：协议设计缺陷、协议实现缺陷网络攻击：欺骗、拒绝服务、嗅探等人为错误误操作收买23构建安全的网络系统安全的物理环境合理的网络规划正确配置的网络安全设备完善的网络安全管理24安全的物理环境机房位置选址地下、一楼、顶楼、其他楼层等基础支撑设备电力、防火、防水、防雷击、防尘、抗干扰等安保门禁、摄像头、保安员等25合理的网络规划网络结构星型、环形、总线型、网状等网络安全域划分把大规模负责系统安全问题化解为更小区域的安全保护问题IP地址规划提高运行效率、性能及可管理性VLAN规划控制网络的广播风暴提高网络安全性及简化网络管理26正确配置的网络安全设备网络安全设备部署边界网络安全设备（防火墙、流量管理、网闸等）旁路网络安全设备（IDS、审计、网络分析等）管理型网络安全设备（SOC、准入控制等）网络安全设备策略配置先紧后松，不是明确允许的就是禁止设备自身安全设备日志保护27完善的网络安全管理管理目标管理制度组织架构人员职责28知识体：网络安全和密码技术知识域：常见网络安全设备掌握防火墙有关基本概念，包括功能、作用和适用场景了解防火墙的常见分类和主要技术原理，包括静态包过滤、状态检测、代理等技术掌握防火墙的主要部署方式和特点，包括无DMZ、有DMZ两种部署方式的特点比较29知识体：密码和网络安全技术知识域：常见网络安全设备（2）了解入侵检测系统的基本概念，包括功能、作用和使用场景了解入侵检测系统的常见分类方法和主要技术原理，包括异常检测和误用检测等技术理解基于主机和基于网络的入侵检测系统的区别掌握入侵检测系统的主要部署方式，包括基于主机的和基于网络的入侵检测系统部署位置和特点理解防火墙和入侵检测系统的优缺点30防火墙技术防火墙的基本概念防火墙实现技术防火墙的工作模式防火墙典型部署31防火墙基本概念什么是防火墙一种协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙部署在哪可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间Internet防火墙32为什么需要防火墙控制：在网络连接点上建立一个安全控制点，对进出数据进行限制隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录：对进出数据进行检查，记录相关信息防火墙基本概念33安全网域一防火墙基本概念防火墙的分类按防火墙形态•硬件防火墙•软件防火墙按体系结构分•双宿/多宿主机防火墙•屏蔽主机防火墙•屏蔽子网防火墙•混合结构其他分类方法34防火墙的实现技术包过滤技术代理网关技术状态检测技术自适应代理技术35防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制数据包网络层地址：IP地址（源地址及目的地址）传输层地址：端口（源端口及目的端口）协议：协议类型36安全网域一防火墙的实现技术-包过滤优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快易于配置对用户透明，用户访问时不需要提供额外的密码或使用特殊的命令缺点：检查和过滤器只在网络层，不能识别应用层协议或维持连接状态安全性薄弱，不能防止IP欺骗等37防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制分类电路级代理应用代理38防火墙的实现技术-电路级代理建立回路，对数据包进行转发优点能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据，不能识别数据包的内容39防火墙的实现技术-应用代理工作在应用层使用代理技术，对应用层数据包进行检查对应用或内容进行过滤，例如：禁止FTP的“put”命令40防火墙的实现技术-应用代理优点可以检查应用层内容，根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳41防火墙的实现技术-NAT什么是NAT一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题42防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换43202.2.2.2安全网域一202.2.2.100192.168.1.1192.168.1.3044NAT的优缺点优点管理方便并且节约IP地址资源隐藏内部IP地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。防火墙实现技术--状态检测数据链路层物理层网络层表示层会话层传输层检测引擎应