【正文】 網(wǎng)路安全簡介 張仁俊 1 資訊的趨勢 共享的系統(tǒng) (Shared system) 分散式系統(tǒng) (Distributed system) 網(wǎng)路 : Inter 2 資訊安全 系統(tǒng)安全 (System security) 網(wǎng)路安全 (Network security) 3 確保系統(tǒng)安全的方式 使用者認證 控制使用權限 (Access control) 審查使用記錄 4 網(wǎng)路安全 (Model) 5 6 安全攻擊 7 被動式攻擊 (Passive attacker): 讀取訊息內(nèi)容 , 流量分析 主動式攻擊 (Active attacker): 偽裝 , 重播 , 更改資料 8 網(wǎng)路安全的目的 保護開放網(wǎng)路上資料的傳遞 保護與網(wǎng)路相連之電腦內(nèi)部的資料 針對不同的需求建立安全系統(tǒng) , 例如 ,安全電子郵件 , 安全電子交易等 . 9 網(wǎng)路安全的要求 Confidentiality (privacy, secrecy): (機密性、隱私性、私密性 ) 保護資料內(nèi)容的機密性 . Authentication: (認證、確認 ) 確保通訊的可信性 (包括來源及資料內(nèi)容 ) Integrity: (完整性、真確性 ) 確保資料內(nèi)容的完整性 10 Nonrepudiation: (不可否認性、存證性 ) 防止通訊雙方否認先前的動作 Access control: (存取控制 ) 限制及控制對主機的存取權 Availability: (可用性 ) 確保系統(tǒng)能被合法使用者所使用 11 網(wǎng)路安全方法 加密 (Encryption): 機密性 數(shù)位簽章 (Digital signature): 認證及不可否認性 雜湊函數(shù) (Hash function) 完整性 安全協(xié)定 (Secure protocols) General security 12 密碼學技術 加密技術 (Encryption) 密鑰密碼系統(tǒng) (Secretkey cryptosystem): DES 公鑰密碼系統(tǒng) (Publickey cryptosystem): RSA 串流密碼 (Stream cipher): LFSR 數(shù)位簽章 (Digital signature) RSA Digital signature algorithm: DSA Hashing SHA, MD5 13 課程概要 基本概念 : 加解密演算法 數(shù)位簽章演算法 Hash function etc... 14 通訊協(xié)定 安全登入系統(tǒng) 認證服務 (Authentication Service) Email Security 憑證管理 (Certificate Management) Web Security 安全電子交易 Secure Electronic Transaction (SET) 虛擬私人網(wǎng)路 Virtual Private Network (VPN) etc. 15 系統(tǒng)安全 侵入者 (Intruders) 病毒 (Viruses) 防火牆 (Firewall) 16 侵入者 (Intruders) Hacker, cracker, etc 三種身份 偽裝者 濫用職權者 秘密滲透者 17 18 偵察侵入行為 Statistical anomaly(不規(guī)則 ) detection ? Threshold detection ? Profile based Rulebased detection ? Anomaly detection ? Peration(穿透深度 ) identification 審查紀錄 ? 一般的審查紀錄 ? 偵測用途的審查紀錄 19 病毒 (Viruses) 惡意的程式 20 病毒的分期 潛伏期 (Dormant phase) 繁殖期 (Propagation phase) 觸發(fā)期 (Triggering phase) 發(fā)作期 (Execution phase) 病毒的類型 Memoryresident virus Boot sector virus etc. 21 防毒方式 使用合法軟體 安裝防毒軟體 先進防毒技術 數(shù)位免疫系統(tǒng) (Digital immune system) 22 23 系統(tǒng)入侵 對 Server 端的入侵 IP Spoofing Sniffing (Session Hijacking ) 取得密碼 Other…( 如： Back door、權限設計缺失等 ) 24 ? 正常連線時﹍﹍ D A B C ? 1. A向網(wǎng)路上其他機器詢問 B的 IP ? B的正確 IP位址 D A B C B交談 A B C IP Spoofing 25 IP Spoofing時﹍﹍ D A B C ? 1. A向網(wǎng)路上其他機器詢問 B的 IP A B C 2. C將自己的 IP位址傳給 A ? A B C ? ? 34. C介於 A和 B之間，可任意妄為 26 A B C C竊聽 A和 B的談話 A B C A和 B彼此傳輸資料 正常連線時﹍﹍ Sniffing 時﹍﹍ Sniffing 27 預防方式 入侵途徑 IP Spoofing =All layer Hardware/ARP/ICMP/ Routing/DNS/TCP... Sniffing (Session Hijacking) = Low layer 需硬體支援來配合軟體 必頇讓機器位在可竊聽之路徑上 防堵方法 Below routers Stop using/ Using Server/Detect Below bridges/switches Hub 啟動防竊聽 /建立 Security Path Protocol/Crypt/ Zero Knowledge 28 入侵途徑 取得密碼 暴力式侵害法：用程式不斷嘗試到成功為止。 字典式侵害法：依字典來算出加密後的密碼 Other… 防堵方法 啟動自動關閉帳號，停止使用一段時間。 以分析來避免 weak密碼、強迫定期改變密碼 … 29 對 Client 端的入侵 直接攻擊 ? Ping of Death, Smurf, SYN, OOB…... 間接攻擊 ? 瀏覽器的漏洞 – Java, JavaScript, ActiveX, CGI, URL 30 Ping of Death 封包 假設達 112,000 bytes 目標系統(tǒng) 殺手封包 正常封包 最大為 65,536 bytes 駭客系統(tǒng) 直接攻擊 Ping of Death (Win 95/NT 可抵抗 ) 使用超過 65,536 bytes標準封包大小的封包進行攻擊，某些系統(tǒng)接到這些錯誤封包後便會當機鎖死或重開機。 31 回應封包 目標路由器 Multiple work subs 川流不息的 Ping 駭客系統(tǒng) 從假造的 IP位址 發(fā)出 Ping要求 網(wǎng)際網(wǎng)路 Smurf Smurf 攻擊是利用假造的 IP位址欺騙被攻擊的系統(tǒng)，接著再向其所屬的子網(wǎng)路發(fā)出 PING 廣播要求，結果氾濫的垃圾封包便淹沒了整個網(wǎng)路。 32 網(wǎng)際網(wǎng)路 TCP SYNACK 封包 Backlog 佇列 假造來源和目的 IP的 Ping要求封包 未完成的程序 目標系統(tǒng) 駭客系統(tǒng) SYN SYN 攻擊模式利用建立連結時期的三個步驟，在送出初始封包後，便不回應接下來的部分，被攻擊系統(tǒng)佇列將因此而塞滿等待回應的封包，由於佇列的空間有限，系統(tǒng)將無法再接受其他的進入請求。 33 間接攻擊 病毒 特洛依木馬 (Trojan Horse) Windows 95/98 中目前最盛行的有： Back Orifice (BO), NetBus, …. 瀏覽器的漏洞 Java JavaScript ActiveX CGI URL 34 加解密技術 35 傳統(tǒng)加密技術 模型 36 37 專門用語 密文 (Ciphertext): Y = EK(X) 明文 (Plaintext): X = DK(Y) ? 例如： E100101(001110)=101000 D100101(101000)=001110 38 密碼系統(tǒng) 系統(tǒng) 明文空間 P (plaintext space) 密文空間 C (ciphertext space) 密鑰空間 K (key space) 加密演算法 E (encryption algorithm) 解密演算法 D (decryption algorithm) 目標 : 混亂訊息使其不可讀 傳統(tǒng)加密方式 onekey cipher symmetric cipher 39 安全性 假設 : E 已知 D 已知 只有密鑰 k 未知 40 無條件地安全 (Unconditionally secure) 無論有多少時間都不可能破密 只有 onetime pad cipher 有此特性 計算上的安全 (Computationally secure) 要破密所花費的時間金錢超過破密後的價值 41 密碼分析 T y p e ofAttackKno w n to Cr y p tan al y sisCip h er text Onl y? Enc r y pti on a lgorit hm? Ciphert ex t to be de code dKno w np lai n text? Enc r y pti on a lgorit hm? Ciphert ex t to be de code d? On e or more p la in te xtcipher te xt pa irs form ed with th e sec ret ke yCh os enp lai n text? Enc r y pti on a lgorit hm? Ciphert ex t to be de code d? P la int ex t m ess age chosen b y cr y pt anal y st , toge th er wi th i tscorre sp onding decr y pt ed p la in te xt gen era t ed with th e se cre t ke yCh os enci p h er text? Enc r y pti on a lgorit hm? Ciphert ex t to be de code d? P urported c iphe rt ext chosen by cry p t anal y s t, t oge the r with it scorre sp onding decr y pt ed p la in te xt gen era t ed with th e se cre t ke yCh os entext? Enc r y pti on a lgorit hm? Ciphert ex t to be de code d? P la int ex t m ess age chosen b y cr y pt anal y st tog et her with it scorre sp onding ci pher te xt gen era t ed wi th th e se cre t ke y? P urported c iphe rt ext chosen b y cry p t anal y s t, t oge the r with it scorre sp onding decr y pt ed g ene r at ed with the secr et k e y42 Ke y S ize(bit s)Num ber ofAlt ernat iv e Ke y sT im e requi red at1 encr y ptio n/ ? sT im e requi red at106 encr y ptio ns/ ? s32 2 32 = 4 . 3 ? 10 9 2 31 ? s = 35. 8 m inut es 2. 15 m illi secon ds56 2 56 = 7 . 2 ? 10 16 2 55