《项目2加密技术与VPN的应用.ppt》由会员分享,可在线阅读,更多相关《项目2加密技术与VPN的应用.ppt(66页珍藏版)》请在三一文库上搜索。
1、学习情境五:被动的检测与主动的防御,项目2 加密技术与VPN的应用,项目2 加密技术与VPN的应用,课题引入 加密技术 现代加密算法 公钥基础设施PKI,课题引入项目背景,数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文” 加密系统四个组成部分 未加密的报文,也称明文 加密后的报文,也称密文 加密解密设备或算法 加密解密的密钥,课题引入项目分析,完成本项目需要解决的问题: 什么是加密算法? 有哪些常用的现代加密算法? 公钥基础设施PKI的工作原理是什么?,课题引入教学目标,完成本项目需要实现的教学目标: 加密算法(理解) 现代加密算法(
2、重点掌握) 公钥基础设施PKI (掌握),课题引入应达到的职业能力,了解加密算法的意义 熟练掌握现代加密算法的原理 掌握公钥基础设施PKI的工作原理,项目问题1 加密技术,加密的优势 数据保密性 数据完整性 数据可用性(认证) 不可否定性,加密技术,加密技术的分类 链路加密,报文和报头两者均须加密 节点加密 端到端加密,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此,只能加密报文,而不能对报头进行加密,加密技术,主流的加密工具PGP软件 是一个广泛用于电子邮件和其他场合的十分出色的加密软件 ,PGP和Linux一样并列为最伟大的自由软件。 PGP实
3、现了大部分的加密和认证算法 PGP的密钥管理体系是独具特色的,PGP不设立密钥公证体制。 保护好自己的口令是至关重要的事情,项目问题2 现代加密算法,结合现代加密技术和密码体制特点,通常将其分为两大类:“对称式”和“非对称式” 决定加密算法强度的三个决定因素 算法强度 密钥保密性 密钥长度,对称加密技术,对称密码加密(Symmetric Key Cryptography) 是一种基于共享密码的加密技术,并且加密和解密的密码是一样的,在进行加密和解密的过程中,双方都持有一个相同的密码。 按加密方式可将对称加密体制分为流密码和分组密码两种。在流密码中,将明文消息按字符逐位地加密。在分组密码中,将明
4、文消息分组(每组含有多个字符),逐组地进行加密。,对称加密技术,特点:快速并易于实施,适合大量信息的加密,管理不便 ,容易被破解,对称加密技术,对称算法 DES(Data Encryption Standard) 3DES IDEA国际加密算法 用来替代DES,采取128加密。是一种商务软件,收费 RSA全球享有盛名 RC2 and RC4(most commonly used) RC5 RC6 Lotus Notes,Oracle,SQL use the RC4,对称加密技术常用工具,对称加密Apocalypso.exe Windows2000的EFS文件加密系统 BestCrypt,Lok
5、er,EasyCrypt 金锋文件加密,加密金钢锁,,非对称加密技术,特点:算法精密,保密性好,密钥便于管理,加密速度慢,也称为公钥加密,成对使用,公钥对外公开,私钥需要安全保护,非对称加密技术,非对称算法 RSA美国国家技术标准局的标准,被广泛采用 DSA(Digital Signature Algorithm) ,用于LINUX Diffie-Hellman 密钥交换协议,开放式标准,单向散列算法,单向散列算法或消息摘要,是一种基于密钥的加密不同的数据转换类型,它通过把一个单向数学函数应用于数据,将任意长度的一块数据转换为一个定长的、不可逆转的数据。这段数据通常叫做消息摘要(比如,对一个几
6、兆字节的文件应用散列算法,得到一个128位的消息摘要)。 其中最常用的散列函数是MD5和SHA1,数字签名,数字签名可用作数据完整性检查并提供拥有私码凭据,它的目的是认证网络通信双方身份的真实性,防止相互欺骗或抵赖 数字签名必须满足三个条件 收方条件,接收者能够核实和确认发送者对消息的签名。 发方条件,发送者事后不能否认和抵赖对消息的签名。 公证条件,公证方能确认收方的信息做出仲裁,但不能伪造这一过程,功能 接收者能够核实发送者的身份 发送者不能抵赖 任何人不能伪造 保证数据完整性,数字签名,有多种实现各种数字签名的方法。这些方法可分为两类:直接数字签名和有仲裁的数字签名。 直接数字签名只涉及
7、到通信双方,其弱点是效性依赖于发送方私钥的安全性 数字仲裁方案也有许多种,但一般都按以下方式进行:设定A想对数字消息签名,送达给B。C为一个A、B共同承认的可信赖仲裁者。,数字签名-建立信任关系,应用加密指的是在主机之间建立一个信任关系。在最基本的级别上,一个信任关系包括一方加密的信息,并只有另一方的合作伙伴可以解密这个信息。 这种任务是利用公钥加密来完成的。这种类型的加密要求你建立一个私钥和一个公钥。一旦你已经产生了一对密钥,你可以把公钥发布给任何人。,数字签名-建立信任关系,通过以下两种方法来发布你的公钥: 手动:首先必须和接收方交换公钥,然后用接收方的公钥来加密信息。PGP和S/MIME
8、需要使用这种方法。 自动:SSL和IPSec通过一系列的握手可以安全地交换信息(包括私钥),项目问题3 公钥基础设施PKI,PKI是一组在分布式计算系统中利用公钥技术和X.509证书所提供的安全服务,企业或组织可利用相关产品建立安全域,并在其中发市密钥和证书。 在安全域内,PKI管理加密和证书的发布 密钥管理(包括密钥更新、密钥恢复和密钥委托等) 证书管理(包括证书产生和撤销等) 策略管理,项目问题3 公钥基础设施PKI,PKI在实际应用上是一套软硬件系统和安全策略的集合,它提供了整套安全机制,使用户在不知道对方身份或分布地很广的情况下,以证书为基础,通过一系列的信任关系进行通讯和电子商务交易
9、。,公钥基础设施PKI,一个典型的PKI系统包括了PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKl应用等,一个标准的PKI域必须具备主要内容,认证机构CA是PKI的核心执行机构,是PKI的主要组成部分,业界人士通常称它为认证中心。从广义上讲,认证中心还应该包括证书申请注册机构RA(Registration Authority),它是数字证书的申请注册、证书签发和管理机构。 证书和证书库证书是数字证书或电子证书的简称,它符合X.509标准,是网上实体身份的证明。证书是由具备权威性、可信任性和公正性的第三方机构签发的,因此,它是权威性的电子文档。,一个标准的PKI域必须具备
10、主要内容,密钥备份及恢复是密钥管理的主要内容,用户由于某些原因将解密数据的密钥丢失,从而使已被加密的密文无法解开。为避免这种情况的发生,PKI提供了密钥备份与密钥恢复机制:当用户证书生成时,加密密钥即被CA备份存储;当需要恢复时,用户只需向CA提出申请,CA就会为用户自动进行恢复。,一个标准的PKI域必须具备主要内容,密钥和证书的更新一个证书的有效期是有限的,这种规定在理论上是基于当前非对称算法和密钥长度的可破译性分析;在实际应用中是由于长期使用同一个密钥有被破译的危险,因此,为了保证安全,证书和密钥必须有一定的更换频度。为此,PKI对已发的证书必须有一个更换措施,这个过程称为“密钥更新或证书
11、更新”。,一个标准的PKI域必须具备主要内容,证书历史档案从以上密钥更新的过程,我们不难看出,经过一段时间后,每一个用户都会形成多个旧证书和至少一个当前新证书。这一系列旧证书和相应的私钥就组成了用户密钥和证书的历史档案。记录整个密钥历史是非常重要的。,一个标准的PKI域必须具备主要内容,客户端软件为方便客户操作,解决PKI的应用问题,在客户装有客户端软件,以实现数字签名、加密传输数据等功能。此外,客户端软件还负责在认证过程中,查询证书和相关证书的撤消信息以及进行证书路径处理、对特定文档提供时间戳请求等。 交叉认证是多个PKI域之间实现互操作。,PKI的应用,虚拟专用网络(VPN) 安全电子邮件
12、 Web安全 电子商务的应用,常见加密的应用,电子邮件加密 PGP(采用综合加密), S/MIME(主要用于Netscape) 文件加密 Md5sum(Both NT and Linux),Bestencry WWW服务器加密 Secure HTTP SSL (Secure Sockets Layer),总 结,完成本项目的学习之后,我们已经掌握了如何进行主动的防御 。具体内容如下: 了解了加密算法的意义 掌握了现代加密算法的原理 掌握了公钥基础设施PKI的工作原理,作 业,现代加密算法的工作原理是什么? 公钥基础设施PKI如何应用?,项目1 网络安全的发展及现状,项目课题的引入,网络安全的概
13、念,常见的安全威胁与攻击,安全的标准,网络安全现状和发展趋势,学习情境一 项目1:网络安全的发展及现状,课题引入项目背景,学习情境一 项目1:网络安全的发展及现状,为什么研究网络安全 国际网络安全现状,为什么研究网络安全,学习情境一 项目1:网络安全的发展及现状,目前研究网络安全已经不只为了信息和数据的安全性。 网络安全已经渗透到国家的经济、军事等领域。 目前政府上网已经大规模的发展起来,电子政务工程已经在全国启动。政府网络的安全直接代表了国家的形象。1999年到2001年,一些政府网站,遭受了四次大的黑客攻击事件。,为什么研究网络安全,学习情境一 项目1:网络安全的发展及现状,第一次在99年
14、1月份左右,美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织以及世界上的黑客组织,有组织地对我们国家的政府网站进行了攻击。 我国计算机犯罪的增长速度超过了传统的犯罪,1997年20多起,1998年142起,1999年908起,2000年上半年1420起,再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起,涉及的金额几个亿。,为什么研究网络安全,学习情境一 项目1:网络安全的发展及现状,2000年2月份黑客攻击的浪潮,是互连网问世以来最为严重的黑客事件。99年4月26日,台湾人编制的CIH病毒的大爆发,有统计说我国大陆受其影响
15、的PC机总量达36万台之多。有人估计在这次事件中,经济损失高达近12亿元。 99年4月,河南商都热线一个BBS,一张说交通银行郑州支行行长协巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,一天提了十多亿。,为什么研究网络安全,学习情境一 项目1:网络安全的发展及现状,2001年2月8日正是春节,新浪网遭受攻击,电子邮件服务器瘫痪了18个小时,造成了几百万的用户无法正常的联络。 1996年4月16日,美国金融时报报道,接入Internet的计算机,达到了平均每20秒钟被黑客成功地入侵一次的新记录。,国际网络安全现状,学习情境一 项目1:网络安全的发展及现状,计算机网络应急技术处理协调中心C
16、ERT/CC 1988-2005年 统计报告,国际网络安全现状,学习情境一 项目1:网络安全的发展及现状,国家计算机网络应急技术处理协调中心CNCERT/CC,2004年网络安全事件报告与往年数量比较,64686,64686,学习情境一 项目1:网络安全的发展及现状,完成本项目需要解决的问题: 1.什么是网络安全? 2.网络安全有哪些常见的威胁与攻击方式? 3.目前采用的网络安全标准有哪些? 4.网络安全的现状与未来的发展趋势如何?,课题引入项目分析,课题引入教学目标,完成本项目需要实现的教学目标: 1.网络安全的概念(理解) 2.常见的安全威胁与攻击(重点掌握) 3.安全的标准(掌握) 4.
17、网络安全的现状和发展趋势(理解),课题引入应达到的职业能力,1.理解网络安全的概念 2.熟练掌握网络安全的威胁与攻击 3.掌握网络安全的标准 4.了解网络安全的现状与发展趋势,项目问题1:网络安全的概念,一种能够识别和消除不安全因素的能力 安全是一个持续的过程 网络安全(Network Security)是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。,安全的概念,国际标准化组织(ISO)7498-2安全体系结构文献定义了安全就是最小化资产和资源的漏洞。资产可以指任何事物。漏洞是指任何可以造成破坏系统或信息的弱点。 网络安全是指网
18、络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,网络安全的内容和要素,从内容看,网络安全大致包括4个方面: 网络实体安全 软件安全 数据安全 安全管理 从特征上看,网络安全包括5个基本要素: 机密性 完整性 可用性 可控性 可审查性,安全模型,通信双方想要传递某个信息,需建立一个逻辑上的信息通道。通信主体可以采取适当的安全机制,包括以下两个部分 : 对被传送的信息进行与安全相关的转换,包括对消息的加密和认证。 两个通信主体共享不希望对手知道的秘密信息,如密钥等。,安全模型,网络安全模型,策略 防护 防火墙 加
19、密机 杀毒软件 检测 隐患扫描 入侵检测 响应,安全模型之MPDRR,入侵检测机制,安全响应机制,安全模型之MPDRR的解释,安全体系,ISO(国际标准化组织)1989年制定的ISO/IEC 7489-2,给出了ISO/OSI参考模型的安全体系结构。在OSI参考模型中增设了安全服务、安全机制和安全管理,并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。定义了5大类安全服务,提供这些服务的8大类安全机制以及相应的开放系统互联的安全管理。,安全体系,安全体系,安全体系安全服务,安全体系安全机制,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。ISO把机制分成特殊的和普遍的 一个
20、特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管你可以通过使用加密来保证数据的保密性,数据的完整性和不可否定性,但实施在每种服务时你需要不同的加密技术 一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层,安全体系安全机制,安全服务依赖于安全机制的支持。ISO安全体系结构提出了8种基本的安全机制,将一个或多个安全机制配置在适当层次上以实现安全服务。 加密机制 数字签名机制 访问控制机制 数据完整性机制 认证(鉴别)机制 通信业务填充机制 路由选择
21、控制机制 公证机制,安全标准,OSI安全体系的安全标准技术 安全服务 可信计算机评估标准(TCSEC) 我国的计算机安全等级划分与相关标准,安全标准TCSEC安全等级,安全标准我国安全标准,安全目标,保障网络安全的基本目标就是要能够具备安全保护能力、隐患发现能力、应急反应能力和信息对抗能力。 安全保护能力 隐患发现能力 应急反应能力 信息对抗能力,安全目标,网络内主体的身份鉴别 网络内主体对资源的有效访问控制 网络内非法访问和非授权访问的实时监测 网络安全风险评估 网络的整体防病毒 数据的存储与备份,总 结,完成本项目的学习之后,我们已经了解了网络安全的发展及现状。具体内容如下: 理解了网络安全的概念 掌握了网络安全威胁与攻击的类型 充分了解了网络安全的现状与发展趋势,作 业,1、网络安全的含义是什么? 2、描述日常生活中常见的网络安全威胁与攻击,