信息安全引言.pptx

B信息安全引言信息安全引言 B目录信息安全问题信息安全要素信息安全模型从算法到协议从原理到标准技术管理并重B从窃听与反窃听开始窃听和这些方面有关系国家情报公共安全商业机密个人隐私互联网上的窃听B实验环境准备PCWindows/Linux虚拟机软件VMWare/VirtualPC/VirtualBoxNetworkLAN/InternetToolsSniffer/ssh/X-win DEV/IDEVisual Studio 2003/5/8/Eclipse/JDKB BPDU FormatFrom/To:MAC,IP,OSICTL:type,length,PRI,ACK,window,Data:PaddingCHK:CRC，check sum From To CTL Data CHKB协议调用关系 B ProtocolTreeB以太网的安全问题Packet captureEthernetfrom Hub to SwitchARPB B B B B B邮件安全邮件收发涉及两个协议发送使用SMTP可以不需口令收看使用POP3，通常明文方式传口令Web方式的邮件收发通过HTTP和SMTP假冒e-mailB使用Telnet发送假冒邮件需要一个open-relay的SMTPB假冒邮件效果BPhishingBWindows输入法漏洞（登录窗口被挡在后面了）B BUnicode HoleWin2k IIS5(before any patch)利用该漏洞的request/responseBWin98的共享目录口令漏洞Google(“vredir.vxd”)BMS08-067B利用BoF main()char passwd8=2e4rfe;char yourpasswd8=;again:puts(please input passwd?);gets(yourpasswd);if(strcmp(yourpasswd,passwd)=0)goto ok;puts(passwd error);goto again;exit(-2);ok:puts(correct!);/do work you wantreturn 0;程序的设计功能：程序的设计功能：输入正确的口令后做某项工作(否则重复要求输入口令)演示：演示：输入精心计划好的字串打乱设计期望的执行逻辑，从而绕过某些口令B Ha ha!B密码学和版权保护XP ActivationECC序列号/钥匙盘/卡流程控制和加密数字水印BCrack tipsif (!isvalid(sn)call isvalidE8?abort();cmp ax,03D 00 00goon();jnzgoon75?call abortE8?goon:改75为74B74/75实例NetSuper21fc/b NetSuper.exe NetSuperNetSuper21fc/b NetSuper.exe NetSuper破解版破解版.exe.exe正在比较文件正在比较文件 NetSuper.exe NetSuper.exe 和和 NETSUPERNETSUPER破解版破解版.EXE.EXE00003503:74 7500003503:74 75000038E8:74 75000038E8:74 7500007C12:75 7400007C12:75 740000AF72:74 750000AF72:74 750000AF89:74 750000AF89:74 75NetSuper21NetSuper21B信息安全的层次和方面物理安全层运行安全层数据安全层信息内容的安全问题被文化、宣传界所关注信息对抗的问题被电子对抗研究领域所关注BCIA Triad机密性、完整性、可用性（Confidentiality,Integrity,Availability）BParkerian Hexad机密性、完整性、可用性可控性、真实性、实用性（Possession/Control,Authenticity,Utility）Parkerian HexadCPIAuAvUB信息安全的层次框架体系层次层次层面层面作用点作用点安全属性安全属性信息对抗信息对抗信息熵对抗信息利用机密性、完整性、特殊性信息安全信息安全内容安全攻击信息机密性、真实性、可控性、可用性、完整性、可靠性数据安全保护信息机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性系统安全系统安全运行安全软件真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性物理安全硬件机密性、可用性、完整性、生存性、稳定性、可靠性B信息安全四要素 机密性（Cf）真实性（Au）可控性（Ct）可用性（Av）B信息安全层次与属性机密性真实性可控性可用性物理安全运行安全数据安全内容安全信息对抗B网络传输安全模型 B主机访问安全模型 B密码学：密码算法对称加密算法：DES、AES、RC4非对称(公钥)加密算法：RSA、ElGamal认证算法：MAC/HMAC签名算法：RSA、DSA、ECDSA散列算法：MD5/SH1/SHA2随机数产生算法数学问题：密码问题IF和DLPB从算法到协议密钥协商协议：DH etc实体鉴别对称加密和认证消息安全应用层数据传输协议：SSL非否认零知识证明电子货币/电子现金/电子投票安全多方计算B从原理到标准FIPSRFCPKCSIPSecSSLPGP/SMIMERADIUS/DiameterKerberosPKI/X509B安全标准化组织ISONISTISOC/IETF（RFC）ISF（Information Security Forum）IBM/MS/RSA/Entrust/certicomB信息安全是一个动态过程“微软每年花费60亿在研发上，其中有20亿花在安全上。企业的信息安全问题不可能一劳永逸，它是一个动态的过程。”微软公司大中华区首席安全官艾力克如是说。B安全的核心问题是什么技术。管理？安全需要实践，经验，还有教训。参看近期发生的各大生产安全事故B推荐阅读资源BQ&A