第7讲-网络与信息安全技术范例.pptx

第七讲：网络与信息安全技术 华北电力大学通信技术研究所 孙毅 教授 第七讲 网络与信息安全技术 7.1 信息安全基础理论 7.2 电力二次系统安全防护 7.3 智能输电信息安全 7.4 智能配用电信息安全 电力系统信息安全框架 1 2 3 信息安全基础理论 智能输电信息安全 电力二次系统安全防护 提纲 4 智能配用电信息安全 7.1 信息安全基础理论 7.1.1 对称密码体制 7.1.2 公钥密码体制 7.1.3 PKI公钥基础设施 7.1.4 身份认证与访问控制 7.1.5 防火墙 7.1.6 入侵检测技术 7.1.7 网络物理隔离 7.1.8 网络安全协议 信息安全的研究内容 基础理论研究 应用技术研究 安全管理研究 密码理论（数据加密、数字签名、消息摘要、密钥管理） 安全理论（身份认证、访问控制、审计追踪、安全协议） 安全实现技术（防火墙、入侵检测、漏洞扫描、防病毒等技术） 安全平台技术（物理安全、网络安全、系统安全、数据安全、边界安全、用户安全） 安全标准、安全策略、安全测评等 信息安全研究内容的相互关系 安全目标:保密性、完整性、可用性、可控性、不可否认性 平台安全： 物理安全、网络安全、系统安全、 数据安全、边界安全、用户安全 安全理论： 身份认证 访问控制 审计追踪 安全协议 安全技术： 防 火 墙 漏洞扫描 入侵检测 防 病 毒 密码理论： 数据加密、数字签名、消息摘要、密钥管理等 安全管理： 安全标准 安全策略 安全测评 OSI安全体系结构 用户层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 安全服务 身份认证 访问控制 数据完整性 数据机密性 安全机制 安全恢复 审计跟踪 事件检测 安全标记 公证机制 路由控制 业务流量 认证交换 数据完整 访问控制 数字签名 加密机制 不可否认性 可记帐性 结构层次 保 密 信 道 7.1.1 对称密码体制 ?一般保密通信模型 问题I：安全信道如何建立？(密钥分配问题) 传统密码中遇到的问题 7.1.2 公钥密码体制 　?在商业和金融业的大多数场合，信息来源的可靠性及其本身的完整性可能比它的机密性更为重要。那么，如何保证信息来源的可靠性与信息本身的完整性呢？ 传统的商业习惯做法是：使用不易伪造的信物—如信笺头(信上端所印文字)，(手写)签名，(加盖)印章，商用名片，或熟人熟事等—作为必要场合下的鉴别依据。 传统密码中遇到的问题（续） 　　随着计算机网络的大面积实施，人类日益向电子贸易迈进，一般的保密通信模型显然不再合乎时宜。 　　问题II：电子手段如何代替上述传统的“信物-鉴别”机制呢？(即数字签名问题) 传统密码中遇到的问题（续） 　　1976年，W.Diffie与M.E.Hellman发表了题为“New Direction in Cryptography” 的著名文章，提出了下面的构想： 　　在传统的密码体制中，加解密算法使用同一个密钥、而且必须完全保密； 是否可以构造出一个这样的密码体制，其加解密算法分别使用不同的密钥，而可以将加密密钥公开(亦称为公钥)、解密密钥保密(亦称为私钥)？这当然要求： 公钥密码体制（PKC）产生的过程 公钥PU 　　　 私钥PR 　　上述便是所谓公开密钥密码体制(简称PKC体制)的思想。 　　根据密钥的特点，人们也形象地分别称传统密码体制与公开密钥密码体制为对称密钥密码体制与非对称密钥密码体制。 计算上不可行 公钥密码体制（PKC）产生的过程（续） 保密 信道 公开 信道 公钥密码体制加密示意图 　单向函数是求逆困难的函数,而单向陷门函数是在不知道陷门信息的条件下求逆困难的函数,当知道陷门信息后,求逆是易于实现的： (1) 给定x,计算y=f(x)是容易的； (2)给定y,计算x，使y=f(x)，是困难的； (3)存在δ（陷门），对给定的任何y，若相应x存在，则计算x使y=f(x)是容易的。 仅满足(1)和(2)的函数称为单向函数，第(3)条称为陷门性，δ称为陷门信息。用f作为加密函数时，可将f公开，这相当于公开加密密钥，记为公钥PU；将δ保密，作为解密密钥，也称私钥，记为PR。 PKC的理论基础-单向陷门函数 　PKC体制的思想虽然在1976年产生，但当时未能给出具体实现的任何算法。其后仅在1978年中，相继便有 基于大整数分解问题的RSA体制 基于背包问题的Merkle-Hellman体制 基于编码理论的McEliece体制 等著名PKC体制问世，1985年出现了著名的基于离散对数问题的ElGamal体制，1986年又提出了今天比较看好的基于椭圆曲线上离散对数问题的椭圆曲线公钥密码体制。 公钥密