安全协议与标准01a-信息安全引言-freezed

B信息安全引言linfb@sdu.edu.cnB目录•信息安全问题↓•信息安全要素↓•信息安全模型↓•从算法到协议↓•从原理到标准↓•技术管理并重↓B从窃听与反窃听开始•窃听和这些方面有关系–国家情报–公共安全–商业机密–个人隐私•互联网上的窃听B实验环境准备•PC–Windows/Linux•虚拟机软件–VMWare/VirtualPC/VirtualBox•Network–LAN/Internet•Tools–Sniffer/ssh/X-win•DEV/IDE–VisualStudio2003/5/8/Eclipse/JDKB•BPDUFormat•From/To:MAC,IP,OSI•CTL:type,length,PRI,ACK,window,…•Data:Padding•CHK:CRC，checksumFromToCTLDataCHKB协议调用关系•B•ProtocolTreeB以太网的安全问题•Packetcapture•Ethernet–fromHubtoSwitch–ARPB•B•B•B•B•B邮件安全•邮件收发涉及两个协议–发送使用SMTP•可以不需口令–收看使用POP3，通常明文方式传口令–Web方式的邮件收发通过HTTP和SMTP•假冒e-mailB使用Telnet发送假冒邮件•需要一个open-relay的SMTPB假冒邮件•效果BPhishing•以窃取帐号/口令为目的•步骤–设立假冒网站/域名/网页，以及其他欺骗形式–通过邮件/病毒/木马等方式诱骗–骗取输入•反钓鱼Phishing–输入法漏洞•（登录窗口被挡在后面了）BBUnicodeHole•Win2kIIS5(beforeanypatch)•利用该漏洞的request/responseBWin98的共享目录口令漏洞•Google(“vredir.vxd”)BMS08-067B利用BoF•main(){charpasswd[8]={2e4rfe};charyourpasswd[8]={};again:puts(pleaseinputpasswd?);gets(yourpasswd);if(strcmp(yourpasswd,passwd)==0)gotook;puts(passwderror);gotoagain;exit(-2);ok:puts(correct!);//doworkyouwantreturn0;}程序的设计功能：输入正确的口令后做某项工作(否则重复要求输入口令)演示：输入精心计划好的字串打乱设计期望的执行逻辑，从而绕过某些口令B•Haha!B密码学和版权保护•XPActivation•ECC•序列号/钥匙盘/卡•流程控制和加密•数字水印BCracktips•if(!isvalid(sn))callisvalidE8????abort();cmpax,03D0000goon();jnzgoon75??callabortE8????goon:•改75为74B74/75实例•NetSuper21fc/bNetSuper.exeNetSuper破解版.exe正在比较文件NetSuper.exe和NETSUPER破解版.EXE00003503:7475000038E8:747500007C12:75740000AF72:74750000AF89:7475•NetSuper21B信息安全的层次和方面•物理安全层•运行安全层•数据安全层•信息内容的安全问题–被文化、宣传界所关注•信息对抗的问题–被电子对抗研究领域所关注BCIATriad•机密性、完整性、可用性–（Confidentiality,Integrity,Availability）BParkerianHexad•机密性、完整性、可用性可控性、真实性、实用性–（Possession/Control,Authenticity,Utility）ParkerianHexadCPIAuAvUB信息安全的层次框架体系层次层面作用点安全属性信息对抗信息熵对抗信息利用机密性、完整性、特殊性信息安全内容安全攻击信息机密性、真实性、可控性、可用性、完整性、可靠性数据安全保护信息机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性系统安全运行安全软件真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性物理安全硬件机密性、可用性、完整性、生存性、稳定性、可靠性B信息安全四要素机密性（Cf）真实性（Au）可控性（Ct）可用性（Av）B信息安全层次与属性机密性真实性可控性可用性物理安全√√√运行安全√√√数据安全√√√内容安全√√√√信息对抗√√B网络传输安全模型•B主机访问安全模型•B密码学：密码算法•对称加密算法：DES、AES、RC4•非对称(公钥)加密算法：RSA、ElGamal•认证算法：MAC/HMAC•签名算法：RSA、DSA、ECDSA•散列算法：MD5/SH1/SHA2•随机数产生算法•数学问题：密码问题IF和DLPB从算法到协议•密钥协商协议：DHetc•实体鉴别•对称加密和认证消息•安全应用层数据传输协议：SSL•非否认•零知识证明•电子货币/电子现金//电子投票•安全多方计算B从原理到标准•FIPS•RFC•PKCS•IPSec•SSL•PGP/SMIME•RADIUS/Diameter•Kerberos•PKI/X509B安全标准化组织•ISO•NIST•ISOC/IETF（RFC）•ISF（InformationSecurityForum）•IBM/MS/•RSA/Entrust/•certicomB信息安全是一个动态过程•“微软每年花费60亿在研发上，其中有20亿花在安全上。企业的信息安全问题不可能一劳永逸，它是一个动态的过程。”–微软公司大中华区首席安全官艾力克如是说。B安全的核心问题是什么•技术。管理？•安全需要实践，经验，还有教训。–参看近期发生的各大生产安全事故B推荐阅读资源•中国计算机安全-信息安全/网络安全资讯–•软件与信息安全产业快讯–=信息安全产业快讯•中国安全信息网–•••BQ&A