Download.pptVIP

网络与信息安全最后一课：期末复习 潘爱民，北京大学计算机研究所 /InfoSecCourse 我们的课程 内容覆盖 密码学基础 安全基础 网络安全 系统安全 应用层安全 许多内容也没有深入介绍 我们没有覆盖 各个安全方向上的一些研究成果 …… 一些新兴的安全领域 复习：信息安全概述 信息安全的基本需求 保密性 完整性 可用性 发展： COMSEC-COMPUSEC-INFOSEC-IA 信息保障 保护（Protect） 检测（Detect） 反应（React） 恢复（Restore） 复习：信息安全概述 信息安全法规 规范信息内容 规范网上行为 我国立法情况 国家大法的基本精神指导数字领域 对于计算机犯罪的新增条款 国家条例、商用密码管理条例 急需完善配套 信息安全标准 国际标准 可信计算机系统评价准则 TCSEC-ITSEC-CC 我国的标准化工作，亟待进一步完善和提高 复习：密码学基础(一) 对称加密算法 密码算法设计指导原则 现代密码算法 Feistel结构 DES算法 针对DES的密码分析 分组密码算法的四种用法 其他几种典型的现代密码算法 AES算法 随机数产生器 复习：密码学基础(二) 公钥算法 背包思想 RSA Elliptic curve Diffie-Hellman密钥交换 消息认证码(MAC)算法 散列算法 MD5 SHA-1 HMAC 数字签名 加密库Crypto++介绍 复习：信息安全基础(一) 关于认证协议 一个简单的认证协议，介绍常见的攻击手段和对策 中间人攻击 重放攻击 字典攻击 认证协议中的常见技术 时间戳 Challenge/Response Windows平台的认证协议 LanMan 口令加密方案 NTLM UNIX的crypt()算法 HTTP认证协议 Basic Authentication Digest Access Authentication 复习：信息安全基础(二) Kerberos协议 Kerberos协议基本思想 基本的概念：principal, KDC, ticket, credential Kerberos 基本模型 TGS，跨realm认证 Kerberos中ticket的flag 通过这些flags, Kerberos可以适用于实用的场合 Kerberos实现 MIT Release，独立的软件包 一组工具：kadmin, kinit, klist, kpasswd 支持kerberos的应用程序 Win2k Kerberos 集成在操作系统之中 复习：信息安全基础(三) IPSec：网络层安全性 需求：真实性(认证)、完整性和保密性 IPSec的组成部分：协议部分，密钥管理 协议部分 AH(Authentication Header)：完整性 ESP(Encapsulating Security Payload)：保密性、完整性 SA(Security Association) 一个简单的单向逻辑连接，安全信息参数集合 SA的标识:SPI、目标IP地址、安全协议标识 IPSec密钥管理 ISAKMP：是一个针对认证和密钥交换的框架 两阶段协商 IKE: The Internet Key Exchange 基于ISAKMP框架，结合了Oakley和SKEME的部分密钥交换技术 Windows 2000中的IPSec 复习：信息安全基础(四) PKI： Public Key Infrastructure PKI的基本服务 认证身份 完整性：数字签名，MAC和HMAC 保密性：用公钥分发随机密钥，用随机密钥加密数据 不可否认：发送方和接收方的不可否认 PKI中的证书 证书格式X.509 CA层次结构 证书发放机制 证书验证机制 证书注销机制 复习：信息安全基础(五) SSL/TLS协议，协议栈分为两层 底层：TLS记录协议 上层：TLS握手协议、TLS密码变化协议、TLS警告协议 TLS记录协议 建立在可靠的传输协议(如TCP)之上 它提供连接安全性，有两个特点 保密性，使用了对称加密算法 完整性，使用HMAC算法 用来封装高层的协议 TLS握手协议，完整过程需要13个消息，最少6个消息 客户和服务器之间相互认证，利用证书 协商加密算法和密钥 四个阶段：hello，服务器认证，客户认证，结束 针对SSL/TLS的攻击 TLS在Web应用中一种双向认证模型 单向TLS认证+客户提供“用户名+口令” 复习：信息安全基础(六) 访问控制模型：Reference Monitor 访问控制策略 访问矩阵 基于规则的访问控制 基于身份的访问控制 基于角色的访问控制 一般化的访问控制机制 复习：网络安全(一) 防火墙(firewall)，一些原则 对于一个网络来