【正文】 56 bit，有 8 bit 用于奇偶校驗(yàn) )。 這就是分組密碼 。 38 第 10章 網(wǎng)絡(luò)安全 序列密碼體制的保密性 ? 序列密碼體制的保密性完全在于密鑰的隨機(jī)性。于是得出密鑰字母的相對(duì)先后順序?yàn)? 145326。 密鑰 順序 明文 根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對(duì)先后順序。同理， E 為第 2， H 為第 3,…… ，R 為第 6。（密鑰是 3） abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC caesar cipher FDHVDU FLSKHU 明文 密文 明文 e 變成了密文 H 14 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 置換密碼 ? 置換密碼 (transposition cipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。 ? 如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來惟一地確定出對(duì)應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。 ? 主動(dòng)攻擊是指攻擊者對(duì)某個(gè)連接中通過的 PDU 進(jìn)行各種處理 。 (2) 中斷 ——有意中斷他人在網(wǎng)絡(luò)上的通信。 (2) 計(jì)算機(jī)蠕蟲 ——通過網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序。 ? 這種加密系統(tǒng)又稱為對(duì)稱密鑰系統(tǒng)。同理， E 為第 2， H 為第 3,…… ，R 為第 6。 密鑰 順序 明文 根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對(duì)先后順序。于是得出密鑰字母的相對(duì)先后順序?yàn)? 145326。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。 ? 嚴(yán)格的一次一密亂碼本體制所需的密鑰量不存在上限，很難實(shí)用化。 ? 分組密碼的一個(gè)重要優(yōu)點(diǎn)是不需要同步 40 第 10章 網(wǎng)絡(luò)安全 分組密碼體制 輸入 輸出 加密 算法 密鑰 明文 輸入 輸出 解密 算法 密鑰 明文 n bit n bit n bit n bit 密文 密文 41 第 10章 網(wǎng)絡(luò)安全 數(shù)據(jù)加密標(biāo)準(zhǔn) DES ? 數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于常規(guī)密鑰密碼體制，是一種分組密碼。 這對(duì) DES 的安全性來說是不利的 。下圖中的方框 E 和 D 分別表示執(zhí)行加密和解密算法。 49 第 10章 網(wǎng)絡(luò)安全 應(yīng)當(dāng)注意 ? 任何加密方法的安全性取決于密鑰的長(zhǎng)度，以及攻破密文所需的計(jì)算量。 52 第 10章 網(wǎng)絡(luò)安全 公開密鑰密碼體制 接收者 發(fā)送者 E 加密算法 D 解密算法 加密密鑰 PK 解密密鑰 SK 明文 X 密文 Y = EPK(X) 密鑰對(duì) 產(chǎn)生源 明文 X = DSK(EPK(X)) 53 第 10章 網(wǎng)絡(luò)安全 RSA 公開密鑰密碼體制 ? RSA 公開密鑰密碼體制所根據(jù)的原理是：根據(jù)數(shù)論，尋求兩個(gè)大素?cái)?shù)比較簡(jiǎn)單，而將它們的乘積分解開則極其困難。明文必須能夠用小于 n 的數(shù)來表示。 ⑤ 得出所需要的公開密鑰和秘密密鑰： 公開密鑰（即加密密鑰） PK ? {e, n} 秘密密鑰（即解密密鑰） SK ? {d, n} 57 第 10章 網(wǎng)絡(luò)安全 (3) 正確性的例子說明 設(shè)選擇了兩個(gè)素?cái)?shù)， p ? 7, q ? 17。 58 (3) 正確性的例子說明（續(xù)） 對(duì)明文進(jìn)行加密。 此余數(shù)即解密后應(yīng)得出的明文 X。 ? 防火墻必須能夠識(shí)別通信量的各種類型。 64 第 10章 網(wǎng)絡(luò)安全 入侵檢測(cè)技術(shù) 入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 69 第 10章 網(wǎng)絡(luò)安全 ? 事件產(chǎn)生器 ? 事件分析器 ? E ? A ? D ? R ? E 70 第 10章 網(wǎng)絡(luò)安全 在 CIDF模型結(jié)構(gòu)中： E盒通過傳感器收集事件數(shù)據(jù)，并將信息傳送給 A盒， A盒檢測(cè)誤用模式；D盒存儲(chǔ)來自 A、 E盒的數(shù)據(jù)，并為額外的分析提供信息； R盒從 A、 E盒中提取數(shù)據(jù)， D盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。 73 第 10章 網(wǎng)絡(luò)安全 入侵檢測(cè)系統(tǒng)發(fā)展趨勢(shì) 對(duì)分析技術(shù)加以改進(jìn)：采用當(dāng)前的分析技術(shù)和模型，會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào)，難以確定真正的入侵行為。 75 第 10章 網(wǎng)絡(luò)安全 * 嚴(yán)峻的信息安全問題 ? 2023年 2月 6日前后，美國 YAHOO等 8家大型網(wǎng)站接連遭受黑客的攻擊，直接經(jīng)濟(jì)損失約為 12億美元（網(wǎng)上拍賣 “ 電子港灣 ” 網(wǎng)站、亞馬遜網(wǎng)站、 AOL） ? 此次安全事故具有以下的特點(diǎn)： – 攻擊直接針對(duì)商業(yè)應(yīng)用 – 攻擊造成的損失巨大 – 信息網(wǎng)絡(luò)安全關(guān)系到全社會(huì) 76 第 10章 網(wǎng)絡(luò)安全 急需解決的若干安全問題 ? 信息安全與高技術(shù)犯罪 – 1999年，上海 XX證券部電腦主機(jī)被入侵 – 2023年 2月 14日，中國選擇網(wǎng)（上海）受到黑客攻擊，造成客戶端機(jī)器崩潰，并采用類似攻擊 YAHOO的手法，通過攻擊服務(wù)器端口，造成內(nèi)存耗盡和服務(wù)器崩潰 – 我國約有 64%的公司信息系統(tǒng)受到攻擊，其中金融業(yè)占總數(shù)的 57% – 不受歡迎的垃圾郵件的現(xiàn)象愈演愈烈 – 1999年 4月 26日， CIH病毒 “ 世紀(jì)風(fēng)暴 ” – 媒體內(nèi)容的安全性 77 第 10章 網(wǎng)絡(luò)安全 凱文米特尼克 ? 凱文 ?米特尼克是美國20世紀(jì)最著名的黑客之一，他是 ―社會(huì)工程學(xué) ‖的創(chuàng)始人 ? 1979年他和他的伙伴侵入了北美空防指揮部 ? 1983年的電影《戰(zhàn)爭(zhēng)游戲》演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發(fā)了第三次世界大戰(zhàn) 78 第 10章 網(wǎng)絡(luò)安全 莫里斯蠕蟲 （ Morris Worm） ? 時(shí)間 – 1988年 ? 肇事者 – Robert T. Morris , 美國康奈爾大學(xué)學(xué)生，其父是美國國家安全局安全專家 ? 機(jī)理 – 利用 sendmail, finger 等服務(wù)的漏洞，消耗 CPU資源，拒絕服務(wù) ? 影響 – Inter上大約 6000臺(tái)計(jì)算機(jī)感染，占當(dāng)時(shí) Inter 聯(lián)網(wǎng)主機(jī)總數(shù)的 10%，造成 9600萬美元的損失 ? CERT/CC的誕生 – DARPA成立 CERT（ Computer Emergency Response Team）， 以應(yīng)付類似 ―蠕蟲 （ Morris Worm） ‖事件 79 第 10章 網(wǎng)絡(luò)安全 ? 94年末，俄羅斯黑客弗拉基米爾 – 這些惡意代碼不僅能實(shí)現(xiàn)自我復(fù)制，還能自動(dòng)攻擊內(nèi)外網(wǎng)上的其它主機(jī)，并以受害者為攻擊源繼續(xù)攻擊其它網(wǎng)絡(luò)和主機(jī)。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。 147 第 10章 網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊示意圖 148 第 10章 網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊步驟 ? 探測(cè)掃描大量主機(jī)以尋找可入侵的目標(biāo)； ? 入侵有安全漏洞的主機(jī)并獲取控制權(quán)，在每臺(tái)入侵主機(jī)中安裝攻擊程序； ? 構(gòu)造龐大的、分布式攻擊網(wǎng)絡(luò)； ? 在同一時(shí)刻，由分布的成千上萬臺(tái)主機(jī)向同一目標(biāo)地址發(fā)出攻擊，目標(biāo)系統(tǒng)全線崩潰； 149 第 10章 網(wǎng)絡(luò)安全 典型的分布式拒絕服務(wù)攻擊工具 ? Trinoo ? TFN ? Stacheldraht ? TFN2K 150 第 10章 網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊防御對(duì)策 ? 對(duì)于分布式攻擊，目前仍無非常有效的方法來防御 ? 基本的防御對(duì)策 – 做好各種基本的拒絕服務(wù)攻擊防御措施，打好補(bǔ)??； – 聯(lián)系 ISP對(duì)主干路由器進(jìn)行限流措施； – 利用各種安全防御系統(tǒng)進(jìn)行輔助記錄工作。 ? 利用網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議的某些特性，發(fā)送超出目標(biāo)主機(jī)處理能力的服務(wù)請(qǐng)求，導(dǎo)致目標(biāo)主機(jī)喪失對(duì)其他正常服務(wù)請(qǐng)求的相應(yīng)能力。 91 第 10章 網(wǎng)絡(luò)安全 ? 穿透深度 – 蠕蟲和黑客越來越不滿足于攻擊在線的網(wǎng)站，各種致力于突破各種邊界防線的攻擊方式層出不窮。迫使美國國防部一度關(guān)閉了其他 80多個(gè)軍方網(wǎng)址 80 第 10章 網(wǎng)絡(luò)安全 81 第 10章 網(wǎng)絡(luò)安全 中美五一黑客大戰(zhàn) ? 2023年 5月 1日是國際勞動(dòng)節(jié)， 5月 4日是中國的青年節(jié)，而 5月 7日則是中國在南斯拉夫的大使館被炸兩周年的紀(jì)念日。入侵檢測(cè)產(chǎn)品能否高效處理網(wǎng)絡(luò)中的數(shù)據(jù)是衡量入侵檢測(cè)產(chǎn)品的重要依據(jù)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)將檢測(cè)模塊駐留在被保護(hù)系統(tǒng)上，通過提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來實(shí)現(xiàn)入侵檢測(cè)的功能。 67 第 10章 網(wǎng)絡(luò)安全 入侵檢測(cè)系統(tǒng)的系統(tǒng)模型 為解決入侵檢測(cè)系統(tǒng)之間的互操作性，國際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對(duì) IDS進(jìn)行標(biāo)準(zhǔn)化工作的有兩個(gè)組織：IETF的 Intrusion Detection Working Group（ IDWG）和 Common Intrusion Detection Framework（ CIDF）。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。 ? 防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。 再除以 119，得出商為 20807，余數(shù)為 66。 選 e ? 5。 ③ 選擇 e。當(dāng)敵手已知 e 和 n 時(shí)并不能求出 d。 50 第 10章 網(wǎng)絡(luò)安全 公開密鑰算法的特點(diǎn) (1) 發(fā)送者用加密密鑰 PK 對(duì)明文 X 加密后 ， 在接收者用解密密鑰 SK 解密 ， 即可恢復(fù)出明文 ， 或?qū)憺椋? DSK(EPK(X)) ? X (105) ? 解密密鑰是接收者專用的秘密密鑰 ， 對(duì)其他人都保密 。 ? 現(xiàn)有三種公開密鑰密碼體制，其中最著名的是 RSA 體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學(xué)家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式發(fā)表的。 ? DES 是世界上第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)，它曾對(duì)密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。 ? 最后將各組密文串接起來，即得出整個(gè)的密文。 39 第 10章 網(wǎng)絡(luò)安全 分組密碼 ? 它將明文劃分成固定的 n 比特的數(shù)據(jù)組 ， 然后以組為單位 ， 在密鑰的控制下進(jìn)行一系列的線性或非線性的變化而得到密文 。 按照模 2 進(jìn)行運(yùn)算，得出： y E (x ) x ki ki i i i? ? ?(101) 37 第 10章 網(wǎng)絡(luò)安全 序列密碼體制 密鑰序列產(chǎn)生器 種子 I0 發(fā)端 ki 密鑰序列產(chǎn)生器 種子 I0 收端 ki ? 密文序列 明文序列 明文序列 xi xi yi yi ? 在收端，對(duì) yi 的解密算法為： (102) D (y ) y k (x k ) k xki i i i i i i i? ? ? ? ? ?序列密碼又稱為密鑰流密碼。同理， E 為第 2， H 為第 3,…… ，R 為第 6。 17 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 置換密碼 ? 置換密碼 (transposition cipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。（密鑰是 3） abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC caesar cipher FDHVDU FLSKHU 明文 密文 明文 a 變成了密文 D 13 第 10章 網(wǎng)絡(luò)安全 替代密碼與置換密碼 ? 替代密碼 (substitution cipher)的原理可用一個(gè)例子來說明。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)(cryptology)。 4 第 10章 網(wǎng)絡(luò)安全 對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊 截獲 篡改 偽造 中斷 被動(dòng)攻擊 主