第一讲：密码学与计算机安全.ppt

密码学与计算机安全 1.计算机安全—？ 信息是一种战略资源，需要保护。 传统的方法（或早期的方法）是通过物理保护和人员管理 信息技术的发展需要自动的管理和更高的技术方法 需要考虑的计算机信息： ----在计算机内存储和处理的信息 ---- 在计算机之间传输的信息 需要提出安全需要 2. 安全服务要求 信息机密性-confidentiality 消息认证(鉴别)-authentication ----保护消息源的正确性 完整性 -integrity ----保护信息的完整性 不可否认性- nonrepudiation 身份鉴别-user identification 访问控制-access control ----控制对信息源的访问 有效性-avilability ----保证信息的传输 3.安全机制 人员 –访问管理, 生物测定 物理 –综合访问控制 管理 –安全教育 网络-加密、配置控制 S/W O/S --Testing, Evaluation, Certification H/W --TCB, Tamper-proof, Encryption 安全威胁  来源与以下几方面 55% 工作人员的错误 10% 不满的员工 10% 不诚实的员工 10% 外部入侵 其它灾害 (火灾,洪水等) 5.几种攻击 侦听(interception) – 中途窃听,攻击机密性 服务中断(interruption) – 攻击可用性 信息篡改（modification - of info） -攻击完整性 消息伪造（fabrication - of info）- 攻击认证性（attacks authentication ） 6.主动攻击与被动攻击Passive vs Active Attacks  7.对安全威胁反应 确定关键对象 (资产) 评估所面临的威胁 确立合适的对策 执行实施对策 密码学—关键的技术之一 8.安全模型-通信 9.安全模型-通信（续） 上述模型的要求: 设计一个安全变换的算法 生成变换算法的秘密信息 设计分配秘密信息的方案 指定一个协议，使得通信主体能够使用变换算法和秘密信息，提供安全服务 10.安全模型-Computers 11.安全模型-Computers 要求（using this model requires us to: ） 需要合适的网关识别用户 （select appropriate gatekeeper functions to identify users ） 实施安全控制保证只有授权用户才能访问指定大信息或资源（implement security controls to ensure only authorised users access designated information or resources ） 可信的计算机系统能够实施这种系统（trusted computer systems can be used to implement this model ） 课程对象 学生：学习密码学的基本知识以及其信息安全、网络安全中的应用。但如要写论文还需进行深入的研究。 技术人员：开发基本的密码学应用程序，部署企业网络的安全架构。 管理人员：评估安全方案的架构是否合理，使用的技术是否可行，制订相应的指定性法规。 要求 本课程的主要内容是探讨网络安全的基本概念、密码学基础理论及网络安全关键技术，给出理论和实践两方面的概述。 要求学生对基本概念的理解和掌握，进而在应用和实践中加深理解和获得专业经验。 12.密码学导引 密码学是一门研究秘密信息的隐写技术的学科 密码学技术可以使消息的内容对(除发送者和接收者以外)的所有人保密. 可以使接收者验证消息的正确性 是解决计算机与通信安全问题重要技术之一. 13.基本术语-basic terminology 密码技术（Cryptography）—把可理解的消息变换成不可理解消息，同时又可恢复原消息的方法和原理的一门科学或艺术。 明文（plaintext ）--变换前的原始消息 密文（ciphertext） --变换后的消息 密码（cipher ）--用于改变消息的替换或变换算法 密钥（key ）--用于密码变换的，只有发送者或接收者拥有的秘密消息 编码（encipher /encode）--把明文变为密文的过程 译码（decipher /decode)—把密文变为明文的过程 密码分析（cryptanalysis /codebreaking) 在没有密钥的情况下，破解密文的原理与方法. 密码学（cryptology ）--