安全协议与标准01a-信息安全引言-freezed课件.pptx

《安全协议与标准01a-信息安全引言-freezed课件.pptx》由会员分享，可在线阅读，更多相关《安全协议与标准01a-信息安全引言-freezed课件.pptx（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、B信息安全引言信息安全引言 B目录信息安全问题信息安全要素信息安全模型从算法到协议从原理到标准技术管理并重B从窃听与反窃听开始窃听和这些方面有关系国家情报公共安全商业机密个人隐私互联网上的窃听B实验环境准备PCWindows/Linux虚拟机软件VMWare/VirtualPC/VirtualBoxNetworkLAN/InternetToolsSniffer/ssh/X-win DEV/IDEVisual Studio 2003/5/8/Eclipse/JDKB BPDU FormatFrom/To:MAC,IP,OSICTL:type,length,PRI,ACK,window,Data:

2、PaddingCHK:CRC，check sum From To CTL Data CHKB协议调用关系 B ProtocolTreeB以太网的安全问题Packet captureEthernetfrom Hub to SwitchARPB B B B B B邮件安全邮件收发涉及两个协议发送使用SMTP可以不需口令收看使用POP3，通常明文方式传口令Web方式的邮件收发通过HTTP和SMTP假冒e-mailB使用Telnet发送假冒邮件需要一个open-relay的SMTPB假冒邮件效果BPhishing以窃取帐号/口令为目的步骤设立假冒网站/域名/网页，以及其他欺骗形式通过邮件/病毒/木马等

3、方式诱骗骗取输入反钓鱼 Phishing BWindows输入法漏洞（登录窗口被挡在后面了）B BUnicode HoleWin2k IIS5(before any patch)利用该漏洞的request/responseBWin98的共享目录口令漏洞Google(“vredir.vxd”)BMS08-067B利用BoF main()char passwd8=2e4rfe;char yourpasswd8=;again:puts(please input passwd?);gets(yourpasswd);if(strcmp(yourpasswd,passwd)=0)goto ok;puts(

4、passwd error);goto again;exit(-2);ok:puts(correct!);/do work you wantreturn 0;程序的设计功能：程序的设计功能：输入正确的口令后做某项工作(否则重复要求输入口令)演示：演示：输入精心计划好的字串打乱设计期望的执行逻辑，从而绕过某些口令B Ha ha!B密码学和版权保护XP ActivationECC序列号/钥匙盘/卡流程控制和加密数字水印BCrack tipsif (!isvalid(sn)call isvalidE8?abort();cmp ax,03D 00 00goon();jnzgoon75?call abor

5、tE8?goon:改75为74B74/75实例NetSuper21fc/b NetSuper.exe NetSuperNetSuper21fc/b NetSuper.exe NetSuper破解版破解版.exe.exe正在比较文件正在比较文件 NetSuper.exe NetSuper.exe 和和 NETSUPERNETSUPER破解版破解版.EXE.EXE00003503:74 7500003503:74 75000038E8:74 75000038E8:74 7500007C12:75 7400007C12:75 740000AF72:74 750000AF72:74 750000AF8

6、9:74 750000AF89:74 75NetSuper21NetSuper21B信息安全的层次和方面物理安全层运行安全层数据安全层信息内容的安全问题被文化、宣传界所关注信息对抗的问题被电子对抗研究领域所关注BCIA Triad机密性、完整性、可用性（Confidentiality,Integrity,Availability）BParkerian Hexad机密性、完整性、可用性可控性、真实性、实用性（Possession/Control,Authenticity,Utility）Parkerian HexadCPIAuAvUB信息安全的层次框架体系层次层次层面层面作用点作用点安全属性安全

7、属性信息对抗信息对抗信息熵对抗信息利用机密性、完整性、特殊性信息安全信息安全内容安全攻击信息机密性、真实性、可控性、可用性、完整性、可靠性数据安全保护信息机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性系统安全系统安全运行安全软件真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性物理安全硬件机密性、可用性、完整性、生存性、稳定性、可靠性B信息安全四要素 机密性（Cf）真实性（Au）可控性（Ct）可用性（Av）B信息安全层次与属性机密性真实性可控性可用性物理安全运行安全数据安全内容安全信息对抗B网络传输安全模型 B主机访问安全模型 B密码学：密码算法对称加

8、密算法：DES、AES、RC4非对称(公钥)加密算法：RSA、ElGamal认证算法：MAC/HMAC签名算法：RSA、DSA、ECDSA散列算法：MD5/SH1/SHA2随机数产生算法数学问题：密码问题IF和DLPB从算法到协议密钥协商协议：DH etc实体鉴别对称加密和认证消息安全应用层数据传输协议：SSL非否认零知识证明电子货币/电子现金/电子投票安全多方计算B从原理到标准FIPSRFCPKCSIPSecSSLPGP/SMIMERADIUS/DiameterKerberosPKI/X509B安全标准化组织ISONISTISOC/IETF（RFC）ISF（Information Secur

9、ity Forum）IBM/MS/RSA/Entrust/certicomB信息安全是一个动态过程“微软每年花费60亿在研发上，其中有20亿花在安全上。企业的信息安全问题不可能一劳永逸，它是一个动态的过程。”微软公司大中华区首席安全官艾力克如是说。B安全的核心问题是什么技术。管理？安全需要实践，经验，还有教训。参看近期发生的各大生产安全事故B推荐阅读资源中国计算机安全-信息安全/网络安全资讯 软件与信息安全产业快讯信息安全产业快讯信息安全产业快讯 中国安全信息网 BQ&A1、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Monday,March 6,20232、阅读一切好书如同和过

10、去最杰出的人谈话。15:11:4615:11:4615:113/6/2023 3:11:46 PM3、越是没有本领的就越加自命不凡。3月-2315:11:4615:11Mar-2306-Mar-234、越是无能的人，越喜欢挑剔别人的错儿。15:11:4615:11:4615:11Monday,March 6,20235、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2315:11:4615:11:46March 6,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。06三月20233:11:46下午15:11:463月-237、最具挑战性的挑战莫过于提升自我。三月233:

11、11下午3月-2315:11March 6,20238、业余生活要有意义，不要越轨。2023/3/615:11:4615:11:4606 March 20239、一个人即使已登上顶峰，也仍要自强不息。3:11:46下午3:11下午15:11:463月-2310、你要做多大的事情，就该承受多大的压力。3/6/2023 3:11:46 PM15:11:4606-3月-2311、自己要先看得起自己，别人才会看得起你。3/6/2023 3:11 PM3/6/2023 3:11 PM3月-233月-2312、这一秒不放弃，下一秒就会有希望。06-Mar-2306 March 20233月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Monday,March 6,202306-Mar-233月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。3月-2315:11:4606 March 202315:11谢谢大家谢谢大家