网络信息安全重点.ppt

* * * * * * * * * * * * * * * * * 4.6 网络信息安全 4.6 网络信息安全 4.6.1 概述 4.6.2 数据加密 4.6.3 数字签名 4.6.4 身份鉴别与访问控制 4.6.5 防火墙 4.6.6 计算机病毒防范 4.6.1 概述 信息传输(存储)中受到的安全威胁 传输中断 s d 伪造 s d 篡改 s d 窃听 s d 通信线路切断、文件系统瘫痪等,影响数据的可用性 文件或程序被非法拷贝,将危及数据的机密性 破坏数据的完整性 失去了数据（包括用户身份）的真实性 确保信息安全的技术措施 （1）真实性鉴别：对通信双方的身份和所传送信息的真伪能准确地进行鉴别 （2）访问控制：控制用户对信息等资源的访问权限，防止未经授权使用资源 （3）数据加密：保护数据秘密，未经授权其内容不会显露 （4）保证数据完整性：保护数据不被非法修改，使数据在传送前、后保持完全相同 （5）保证数据可用性：保护数据在任何情况（包括系统故障）下不会丢失 （6）防止否认：防止接收方或发送方抵赖 （7）审计管理：监督用户活动、记录用户操作等 4.6.2 数据加密 数据加密的基本思想 目的：即使信息被窃取，也能保证数据安全 重要性：数据加密是其他信息安全措施的基础 基本思想： 发送方改变原始信息中符号的排列方式或按照某种规律替换部分或全部符号，使得只有合法的接收方通过数据解密才能读懂接收到的信息 加密方法举例： 将文本中每个小写英文字母替换为排列在字母表中其后面的第3个字母 原始数据：meet me after the class 加密后数据：phhw ph diwhu wkh fodvv 数据加密的基本概念 明文:加密前的原始数据 密文:加密后的数据(用于传输或存储) 密码(cipher):将明文与密文进行相互转换的算法 密钥:在密码中使用且仅仅只有收发双方知道的用于加密和解密的信息 两类数据加密方法 对称密钥加密 公共密钥加密 明文 明文 密文 加密 解密 密钥K1 密钥K2 （数据传输） 密钥K1=K2，但密钥的管理和分发太复杂 使用乙的 公钥加密 甲 乙 密 文 乙 丙 丁 戊 使用乙的 私钥解密 加密器 解密器 明文 明文 甲的 公钥环 每个用户有一对密钥（私钥只有本人知道，公钥其他用户可以知道）。策略是：甲用乙的公钥加密的信息只有乙使用自己的私钥才能解密；乙用私钥加密的消息甲也只有用乙的公钥才能解密 4.6.3 数字签名 数字签名概述 数字签名的含义： 数字签名是与消息一起发送的一串代码 数字签名的目的： 让对方相信消息的真实性 数字签名的用途： 在电子商务和电子政务中用来鉴别消息的真伪 对数字签名的要求： 无法伪造 能发现消息内容的任何变化 数字签名的处理过程 hashing 摘要 消息正文 私钥加密 数字 签名 添加至正文 附有数字签名的消息 数字 签名 ① ② ③ 传送 对原始消息的正文进行散列处理生成消息的摘要 使用消息发送人的私钥对摘要进行加密而得到数字签名 接收方使用发送方的公钥对数字签名解密恢复出消息摘要 对收到的原始消息正文进行散列处理得到一个新的摘要 对比 附有数字签名的消息 数字 签名 网络 传送给接收方 将数字签名添加到原始消息 ④ ⑤ ⑥ ⑦ 消息是否被篡改 数字签名中的双重加密 发送方 用发送方的私钥加密信息摘要得到数字签名 用接收方的公钥对已添加了数字签名的消息再进行加密 接收方 用接收方的私钥对接收的消息解密并取出数字签名 用发送方的公钥解密数字签名得到信息摘要 4.6.4 身份鉴别与访问控制 身份鉴别 身份鉴别的含义: 证实某人或某物（消息、文件、主机等）的真实身份是否与其所声称的身份相符,以防止欺诈和假冒 什么时候进行? 在用户登录某个计算机系统时进行 在访问、传送或拷贝某个重要的资源时进行 身份鉴别的依据(方法): 鉴别对象本人才知道的信息（如口令、私有密钥、身份证号等） 鉴别对象本人才具有的信物（例如磁卡、IC卡、USB钥匙等） 鉴别对象本人才具有的生理和行为特征（例如指纹、手纹、笔迹或说话声音等） 双因素认证 :上述2种方法的结合 什么是访问控制? 访问控制的含义: 计算机对系统内的每个信息资源规定各个用户(组)对它的操作权限（是否可读、是否可写、是否可修改等） 访问控制是在身份鉴别的基础上进行的 访问控制的任务: 对所有信息资源进行集中管理 对信息资源的控制没有二义性（各种规定互不冲突） 有审计功能（记录所有访问活动,事后可以核查） 文件的访问控制举例 用 户