【文章內(nèi)容簡介】 算法及其應用 公開密鑰算法及其應用 數(shù)據(jù)加密技術(shù)的應用 回到工作場景 工作場景導入 每個人都有不想被別人看到的文件，也許是你的日記，也許是你的公司絕密文件，也許是你的私人照片，也許是一些亂七八糟的影片 …… 這些都是你的隱私。選擇一款合適的加密軟件來保護你的隱私，這款軟件需要滿足下列條件 ：n 不讓其他人非法打開；n 自己能夠足夠方便的打開；n 不會出現(xiàn)自己也打不開的情況。 n 密碼學的概念：發(fā)送者和接收者、消息和加密、鑒別、完整性檢驗、抵賴性、算法和密鑰；n 密碼學發(fā)展的三個階段：古典密碼、近代密碼、現(xiàn)代密碼；n 密碼學在信息安全中的應用：采用 10位以上的密碼、使用不規(guī)則密碼、使用鍵盤外圍的按鍵作為密碼的組成部分、使用左右上下鍵結(jié)合輸入密碼、不選用顯而易見的信息作為口令 …… 概述 古典加密技術(shù)“恩尼格瑪恩尼格瑪 ”密碼機密碼機凱撒密碼凱撒密碼最早的密碼最早的密碼 對稱加密算法及其應用n 、 DES算法及其基本思想逆置換逆置換按照規(guī)則迭代按照規(guī)則迭代變換明文變換明文迭代 16次輸入 64位明文IP置換表L0 R0Li=Ri1Ri=Li⊕f（ Ri1, Ki） （i=1,2,3,…,16 ）IP逆置換表輸出 64位密文n DES算法具有極高安全性，到目前為止，除了用窮舉搜索法對 DES算法進行攻擊外，還沒有發(fā)現(xiàn)更有效的辦法。 n DES算法的安全性分析n 3DES加密算法： 3DES又稱 Triple DES， 是 DES加密算法的一種模式 ， 它使用 3條 56位的密鑰對數(shù)據(jù)進行三次加密； n 其他常用的對稱加密算法n AES（高級加密標準）加密算法：n AES加密算法在網(wǎng)絡安全中的應用AES的的應用應用無線網(wǎng)絡無線網(wǎng)絡應用應用電子商務電子商務應用應用AES硬件硬件應用應用AES軟件軟件應用應用n RSA算法及其基本思想 公開密鑰算法及其應用RSA公鑰加密算法是 1977年由 RonRivest、 AdiShamirh和 LenAdleman開發(fā)的。其原理 是 ： 將兩個大素數(shù)相乘十分容易，但對其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰，使用不同的加密密鑰與解密密鑰，且 “由已知加密密鑰推導出解密密鑰在計算上是不可行的 ”。 RSA是目前最有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻擊，從提出到現(xiàn)在已近四十年，經(jīng)歷了各種攻擊的考驗，逐漸為人們接受，普遍認為是目前最優(yōu)秀的公鑰方案之一。已被 ISO推薦為公鑰數(shù)據(jù)加密標準。n 在 RSA密碼應用中，公鑰是被公開的，即 e和 n的數(shù)值可以被第三方竊聽到。破解 RSA密碼的問題就是從已知的 e和 n的數(shù)值（ n等于 pq），求出 d的數(shù)值，這樣就可以得到私鑰來破解密文。而當 p和 q是一個大素數(shù)的時候，從 pq去分解因子 p和 q，這是一個公認的數(shù)學難題 。 n RSA算法的安全性分析 d：c： m：n 其他常用的公開密鑰算法 其他常用的其他常用的公開密鑰算法公開密鑰算法DiffieHellman密鑰交換算法密鑰交換算法 Oakley算法算法 n RSA在軟件方面的應用，主要集中在 Inter上。加密連接、數(shù)字簽名和數(shù)字證書的核心算法廣泛使用 RSA。日常應用中，有比較著名的工具包Open SSL（ Security Socket Layer）是一個安全傳輸協(xié)議，在 Inter上進行數(shù)據(jù)保護和身份確認。 n RSA在網(wǎng)絡安全中的應用 數(shù)據(jù)加密技術(shù)的應用n 信息鑒別與信息加密技術(shù)加密技術(shù)加密技術(shù)散列函數(shù)散列函數(shù) MD5信息信息摘要算法摘要算法 安全散列算法安全散列算法特點：n 簽名是可信的；n 簽名是不可偽造的；n 簽名是不可重用的；n 簽名的文件是不可改變的；n 簽名是不可否認的。常用的數(shù)字函數(shù)：n 直接數(shù)字簽名n 仲裁數(shù)字簽名n 數(shù)字簽名技術(shù) 攻擊方式：n 數(shù)據(jù)流竊聽；n 拷貝或重傳；n 修改或偽造；了解系統(tǒng)賬戶：n 建立使用者列表；n 制定管理制度；n 檢查新賬號；n 尋找弱口令或無口令賬號；n 及時刪除不需要的賬號。n 身份認證 SSL協(xié)議：n SSL（ Secure socket Layer）安全套接協(xié)議，指使用公鑰和私鑰技術(shù)組合的安全網(wǎng)絡通訊協(xié)議。SEL（ Secure Electronic Transaction）協(xié)議：n 為了實現(xiàn)更加完善的電子交易， MasterCard和Visa聯(lián)合其他一些業(yè)界主流廠商聯(lián)合推出了一種規(guī)范，用來保證在公共網(wǎng)絡上銀行卡支付交易的安全性，從而發(fā)布了 SET協(xié)議。 n SSL協(xié)議和 SEL協(xié)議 n 根據(jù) ，我們最終選擇了 TrueCrypt 加密軟件，它有如下優(yōu)點：n ① 兼容性好，在 WindowsXP、 Vista和 Win7 等操作系統(tǒng)下都可以使用；n ② 文件被加密后，即使電腦重裝系統(tǒng)，也可以正常解密打開；n ③ 加密速度非?？欤籲 ④ 加密屬于真實的加密，而不是簡單的隱藏文件。 回到工作場景n 在網(wǎng)上搜索到相應的資源后下載安裝，按照系統(tǒng)提示，安裝完成后系統(tǒng)會生成一個文件保險柜，輸入設置的密碼，進入這個保險柜，將需要保密的文件載入到保險柜中，便完成了對它的加密，退出保險柜后，這個文件便被安全的保存在保險柜中了 。n 使用 TrueCrypt加密一個文件。打開程序文件 工作實訓營n 加載需要保密的文件；n 單擊確定，及完成加密即可。 工作場景導入 防火墻概述 防火墻分類 防火墻實現(xiàn)技術(shù)原理 防火墻的應用 防火墻產(chǎn)品 回到工作場景 工作實訓營n Sadness公司遭受到來自外界的大量碎片（Fragments）攻擊，同時還伴隨著大量的 ICMP報文和 TCP SYN攻擊。n 為了限制員工使用 Inter，公司主管希望外部網(wǎng)絡僅能在員工在上班前后一個小時和午休時間可以使用，其他時間只能使用內(nèi)部網(wǎng)絡 工作場景導入 防火墻基本知識 防火墻概述 簡單地說，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常是局域網(wǎng)或城域網(wǎng)）隔開的屏障。 防火墻（ Fire Wall）是一種形象的說法，其實它是一種計算機硬件和軟件的組合，在外部網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關（ Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。 防火墻的功能防火墻防火墻的功能的功能網(wǎng)絡安全網(wǎng)絡安全的屏障的屏障可以強化網(wǎng)絡可以強化網(wǎng)絡安全策略安全策略防止內(nèi)部防止內(nèi)部信息外泄信息外泄對網(wǎng)絡存取對網(wǎng)絡存取和訪問進行和訪問進行監(jiān)控和審計監(jiān)控和審計 防火墻的局限性十大局限性：n 不能防范不經(jīng)過防火墻的攻擊。 n 不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題。 n 不能防止策略配置不當或錯誤配置引起的安全威脅。 n 不能防止可接觸的人為或自然的破壞 n 不能防止利用標準網(wǎng)絡協(xié)議中的缺陷進行的攻擊 n 不能防止利用服務器系統(tǒng)漏洞所進行的攻擊 n 不能防止受病毒感染的文件的傳輸 n 不能防止數(shù)據(jù)驅(qū)動式的攻擊 n 不能防止內(nèi)部的泄密行為 n 不能防止本身的安全漏洞的威脅 防火墻分類n 硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少 CPU的負擔，使路由更穩(wěn)定。如圖所示。n 軟件防火墻其實就是安全防護軟件，比如天網(wǎng)防火墻、金山網(wǎng)鏢、金盾防火墻等等 . 硬件防火墻和軟件防火墻 單機防火墻和網(wǎng)絡防火墻單機防火墻 網(wǎng)絡防火墻 防火墻的體系結(jié)構(gòu)狀態(tài)檢測狀態(tài)檢測防火墻防火墻應用代理應用代理防火墻防火墻電路層電路層防火墻防火墻包過濾包過濾防火墻防火墻主機主機防火墻防火墻按體系按體系結(jié)構(gòu)分結(jié)構(gòu)分 防火墻技術(shù)分類防火墻防火墻技術(shù)分類技術(shù)分類分組過濾分組過濾路由器路由器 雙宿主機雙宿主機 屏蔽子網(wǎng)屏蔽子網(wǎng)屏蔽主機屏蔽主機 防火墻 CPU架構(gòu)分類CPU架構(gòu)分類架構(gòu)分類X86架構(gòu)架構(gòu)ASIC架構(gòu)架構(gòu)NP架構(gòu)架構(gòu) 防火墻實現(xiàn)技術(shù)原理 包過濾防火墻 包過濾防火墻的優(yōu)點是：可改動應用程序；一個過濾路由器能協(xié)助保護整個網(wǎng)絡、數(shù)據(jù)包過濾對用戶透明；過濾路由器速度快；效率高。 但缺點也很明顯：它不能徹底防止地址欺騙；一些應用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。 代理防火墻 通常應用代理防火墻工作在 OSI模型中的應用層，和我們常說的代理服務器原理相同， 并且防火墻需要為每一種服務器創(chuàng)建一個進程，讓外部網(wǎng)絡看上去是在運行一個終端系統(tǒng)。并通過一系列進程映射，將對外會話和對內(nèi)會話聯(lián)系起來。而且，它還可用來保持一個所有應用程序使用的記錄。記錄和控制所有進出流量的能力是應用層網(wǎng)關的主要優(yōu)點之一，如圖所示。 狀態(tài)檢測防火墻 狀態(tài)檢測防火墻通過對 OSI模型頂部 4層的策略分析進行過濾，相當于以上各種防火墻的結(jié)合體。狀態(tài)檢測防火墻雖然集成了二者的特點，但它實現(xiàn)應用層防火墻的模式與前述不同。狀態(tài)檢測防火墻并不破壞客戶機 /服務器模型來分析應用層數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機進行直接通信，如圖所示。從理論上將，狀態(tài)檢測防火墻擁有更高的安全性。 由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結(jié)合起來，形成復合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案：n 屏蔽主機防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為 Inter上其它節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權(quán)外部用戶的攻擊。 n 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Inter及內(nèi)部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎。 復合型防火墻n 瑞星個人防火墻的 “智能云安全 ”系統(tǒng)，可自動收集、分析、處理，完美阻截木馬攻擊、黑客入侵及網(wǎng)絡詐騙，為用戶上網(wǎng)提供智能化的整體上網(wǎng)安全解決方案。 防火墻的應用 瑞星個人防火墻的應用n 1） CCProxy代理