密码学与网路安全1章节绪论.ppt

密码学与网路安全1章节绪论 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望背景背景幾十年來，企業或政府等組織的資訊安全需求經幾十年來，企業或政府等組織的資訊安全需求經歷了兩個主要的變化歷了兩個主要的變化在資料處理設備普及以前，對組織有價值的資訊，在資料處理設備普及以前，對組織有價值的資訊，主要是以主要是以實體的工具實體的工具以及以及管理的方法管理的方法來達到資訊來達到資訊安全的要求安全的要求隨著電腦的引進，用來保護這些儲存在電腦的檔隨著電腦的引進，用來保護這些儲存在電腦的檔案、資訊所需要的自動化工具便漸漸顯得重要案、資訊所需要的自動化工具便漸漸顯得重要網路及通訊技術能夠讓資料在電腦及使用者間互網路及通訊技術能夠讓資料在電腦及使用者間互相傳遞，此時便需要採取網路安全措施來保護傳相傳遞，此時便需要採取網路安全措施來保護傳遞的資料遞的資料定義定義電腦安全電腦安全電腦安全電腦安全-專門設計來專門設計來保護資料保護資料並並阻止駭客入侵阻止駭客入侵的方法通稱為電腦安全的方法通稱為電腦安全網路安全網路安全網路安全網路安全-網路及通訊技術能夠讓資料在電腦及網路及通訊技術能夠讓資料在電腦及使用者間互相傳遞，此時便需要網路安全來保護使用者間互相傳遞，此時便需要網路安全來保護傳遞的資料傳遞的資料internetinternet安全安全安全安全 網路安全網路安全容易讓人誤解，因為實容易讓人誤解，因為實際上所有商業、政府、學術的組織都際上所有商業、政府、學術的組織都是互連的是互連的網網路，這樣的網路通常稱作路，這樣的網路通常稱作internet internet，因此或許使用，因此或許使用internetinternet安全安全更為合適更為合適課程重點課程重點我們的重點在網際網路的安全性也就是能制止、預防、偵測、改正資料傳輸或儲存時的安全問題資訊安全技術資訊安全技術隱密性(Secrecy or Privacy)l l避免被窺視或盜取。避免被窺視或盜取。確認性(Authenticity)l l確定訊息來源的合法性。確定訊息來源的合法性。完整性(Integrity)l l確定信息未被竄改或取代。確定信息未被竄改或取代。不可否認性(Non-repudiation)l l發送者無法否認發出訊息的事實。發送者無法否認發出訊息的事實。攻擊手法和入侵者知識的趨勢攻擊手法和入侵者知識的趨勢入侵防護系統入侵防護系統(一一)入侵偵測系統入侵偵測系統 l l系統類型：系統類型：網路型入侵偵測網路型入侵偵測 (Network-(Network-based Intrusion Detection)based Intrusion Detection)主機型入侵偵測主機型入侵偵測 (Host-(Host-based Intrusion Detection)based Intrusion Detection)誘捕型防護誘捕型防護 (Deception(Deception Defense)Defense)l l偵測技術：偵測技術：誤用偵測誤用偵測 (Misuse(Misuse Detection)/Detection)/特徵型偵測特徵型偵測 (Signature-base(Signature-base Detection)Detection)異常偵測異常偵測 (Anomaly(Anomaly Detection)Detection)入侵防護系統入侵防護系統(二二)網路病毒網路病毒 l l惡意程式：惡意程式：特洛伊木馬特洛伊木馬 (Troian Horses)(Troian Horses)電腦病毒電腦病毒 (Virus)(Virus)網路蠕蟲網路蠕蟲 (Worm)(Worm)巨型病毒巨型病毒 (Macro Virus)(Macro Virus)l l病毒類型病毒類型 寄生病毒寄生病毒 (Parasitic Virus)(Parasitic Virus)記憶體常駐病毒記憶體常駐病毒 (Memory-resident Virus)(Memory-resident Virus)啟啟動磁區病毒動磁區病毒 (Boot Sector Virus)(Boot Sector Virus)隱形病毒隱形病毒 (Stealth Virus)(Stealth Virus)多型病毒多型病毒 (Polymorphous Virus)(Polymorphous Virus)l l防毒技巧防毒技巧 特徵掃描特徵掃描 啟啟發式掃描發式掃描 行為陷阱行為陷阱 整合性防範整合性防範OSI安全架構安全架構ITU-T 的X.800建議書：OSI安全架構，提供了規劃安全作業的方法這份架構是由國際標準組織所制訂因此電腦及通訊廠商也已經為與此相關的產品及服務開發了安全功能資訊安全的概念資訊安全的概念OSI安全架構包含了許多本書將會討論的概念了，其重點如下三項：l l安全攻擊安全攻擊安全攻擊安全攻擊l l安全機制安全機制安全機制安全機制l l安全服務安全服務安全服務安全服務安全攻擊安全攻擊安全攻擊安全攻擊是任何洩漏組織所擁有的資訊安全行動是任何洩漏組織所擁有的資訊安全行動威脅威脅：有可能破壞系統安全的情況、能力或行為，甚至會有可能破壞系統安全的情況、能力或行為，甚至會破壞安全並造成傷害破壞安全並造成傷害；威脅是可能被探出安全弱點的危險威脅是可能被探出安全弱點的危險因子因子攻擊攻擊：源自智慧型威脅的系統安全襲擊。智慧型意味：源自智慧型威脅的系統安全襲擊。智慧型意味其攻擊是經過計畫、安排其攻擊是經過計畫、安排尤其是已知的手法或技巧，藉尤其是已知的手法或技巧，藉以迴避安全服務，並且會破壞系統的安全原則以迴避安全服務，並且會破壞系統的安全原則X.800X.800和和RFC 2828RFC 2828的安全攻擊分成的安全攻擊分成l l被動式攻擊被動式攻擊l l主動式攻擊主動式攻擊RFCRFC:Request For Comment,:Request For Comment,由由 IETFIETF所制訂的規格所制訂的規格書，定義了大部分網路上協定與資料傳輸方式。書，定義了大部分網路上協定與資料傳輸方式。被動式攻擊被動式攻擊主動式攻擊主動式攻擊安全服務安全服務l l強化資料處理系統以及資訊傳輸的安全性強化資料處理系統以及資訊傳輸的安全性l l目的是對抗安全攻擊目的是對抗安全攻擊l l安全服務會實作安全政策，並且是由安全機制安全服務會實作安全政策，並且是由安全機制實作安全服務實作安全服務安全服務安全服務X.800：由通訊開放系統協定層所提供，目的是確保系統由通訊開放系統協定層所提供，目的是確保系統充分安全或資料送達充分安全或資料送達RFC 2828:安全服務是由系統提供給特定保護系統資源的處安全服務是由系統提供給特定保護系統資源的處理機制或通訊服務理機制或通訊服務安全服務（安全服務（X.800）認證認證認證認證 確保要通訊的實體是它自己所宣稱的身份確保要通訊的實體是它自己所宣稱的身份確保要通訊的實體是它自己所宣稱的身份確保要通訊的實體是它自己所宣稱的身份存取控制存取控制存取控制存取控制 防止未授權卻使用資源（也就是說此防止未授權卻使用資源（也就是說此防止未授權卻使用資源（也就是說此防止未授權卻使用資源（也就是說此項服務控管誰能存取資源、在何種情況可存取，項服務控管誰能存取資源、在何種情況可存取，項服務控管誰能存取資源、在何種情況可存取，項服務控管誰能存取資源、在何種情況可存取，以及允許存取哪些資源）以及允許存取哪些資源）以及允許存取哪些資源）以及允許存取哪些資源）資料機密性資料機密性資料機密性資料機密性 避免資料在未授權即洩漏避免資料在未授權即洩漏避免資料在未授權即洩漏避免資料在未授權即洩漏資料完整性資料完整性資料完整性資料完整性 確保收到的資料和授權實體送出的確保收到的資料和授權實體送出的確保收到的資料和授權實體送出的確保收到的資料和授權實體送出的內容完成一致（例如資料沒被更改、插入其他資內容完成一致（例如資料沒被更改、插入其他資內容完成一致（例如資料沒被更改、插入其他資內容完成一致（例如資料沒被更改、插入其他資料、刪除，或重播）料、刪除，或重播）料、刪除，或重播）料、刪除，或重播）不可否認性不可否認性不可否認性不可否認性 使參與部分或整個通訊的實體不能使參與部分或整個通訊的實體不能使參與部分或整個通訊的實體不能使參與部分或整個通訊的實體不能否認其參與通訊的一種保護否認其參與通訊的一種保護否認其參與通訊的一種保護否認其參與通訊的一種保護安全機制安全機制用來偵測、防止或者復原安全攻擊的機制單一項安全機制無法滿足所有的安全服務需求許多安全機制都會用到加密技術因此加密技術也是本書的重點安全機制（安全機制（X.800）特定的安全機制：l l加密、數位簽章、存取控制、資料完整性、驗加密、數位簽章、存取控制、資料完整性、驗證交換、流量填充、路由控制、公證證交換、流量填充、路由控制、公證一般安全機制：l l受信任的功能、安全標籤、事件偵測、安全稽受信任的功能、安全標籤、事件偵測、安全稽核追蹤、安全復原核追蹤、安全復原網路安全模型網路安全模型網路安全模型網路安全模型這個一般模型顯示出在設計特定安全服務時有四個基本任務：1.1.為執行這個安全相關的轉換而設計演算法這為執行這個安全相關的轉換而設計演算法這個演算法應該能抵抗對手的攻擊個演算法應該能抵抗對手的攻擊2.2.產生這個演算法使用的秘密資訊產生這個演算法使用的秘密資訊3.3.發展散佈和分享秘密資訊的方法發展散佈和分享秘密資訊的方法4.4.指定由兩位當事人所使用的協定，利用安全指定由兩位當事人所使用的協定，利用安全演算法和秘密訊息完成特定的安全服務演算法和秘密訊息完成特定的安全服務網路存取安全模型網路存取安全模型網路存取安全模型網路存取安全模型防止非法存取的安全機制可分成兩大類1.1.守門人功能，包括了設計以密碼為基礎的登守門人功能，包括了設計以密碼為基礎的登錄程式來拒絕非法使用者的存取，以及設計錄程式來拒絕非法使用者的存取，以及設計過濾機制來偵測和拒絕蠕蟲、病毒、和其它過濾機制來偵測和拒絕蠕蟲、病毒、和其它類似的攻擊類似的攻擊2.2.由許多內部控制組成，可以監控活動和分析由許多內部控制組成，可以監控活動和分析存取的資訊，以嘗試偵測非法入侵者存取的資訊，以嘗試偵測非法入侵者可信任的電腦系統有助於實作出這種模型總結總結本章定義了：l l電腦安全電腦安全l l網路安全網路安全l linternetinternet的安全的安全X.800標準安全攻擊、安全服務、安全機制網路安全模型、網路存取安全模型