【正文】 D E D K1 K2 K1 密文 明文 加密 解密 47 第 10章 網(wǎng)絡(luò)安全 公開密鑰密碼體制 公開密鑰密碼體制的特點(diǎn) ? 公開密鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種 ―由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的 ‖密碼體制。 ? 現(xiàn)有三種公開密鑰密碼體制，其中最著名的是 RSA 體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學(xué)家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式發(fā)表的。 ? 加密算法 E 和解密算法 D 也都是公開的。 49 第 10章 網(wǎng)絡(luò)安全 應(yīng)當(dāng)注意 ? 任何加密方法的安全性取決于密鑰的長度，以及攻破密文所需的計(jì)算量。 ? 由于目前公開密鑰加密算法的開銷較大，在可見的將來還看不出來要放棄傳統(tǒng)的加密方法。 50 第 10章 網(wǎng)絡(luò)安全 公開密鑰算法的特點(diǎn) (1) 發(fā)送者用加密密鑰 PK 對明文 X 加密后 ， 在接收者用解密密鑰 SK 解密 ， 即可恢復(fù)出明文 ， 或?qū)憺椋? DSK(EPK(X)) ? X (105) ? 解密密鑰是接收者專用的秘密密鑰 ， 對其他人都保密 。 (4) 從已知的 PK 實(shí)際上不可能推導(dǎo)出 SK，即從 PK 到 SK 是 ―計(jì)算上不可能的 ‖。 52 第 10章 網(wǎng)絡(luò)安全 公開密鑰密碼體制 接收者 發(fā)送者 E 加密算法 D 解密算法 加密密鑰 PK 解密密鑰 SK 明文 X 密文 Y = EPK(X) 密鑰對 產(chǎn)生源 明文 X = DSK(EPK(X)) 53 第 10章 網(wǎng)絡(luò)安全 RSA 公開密鑰密碼體制 ? RSA 公開密鑰密碼體制所根據(jù)的原理是：根據(jù)數(shù)論，尋求兩個(gè)大素?cái)?shù)比較簡單，而將它們的乘積分解開則極其困難。 ? 用戶把加密密鑰公開，使得系統(tǒng)中任何其他用戶都可使用，而對解密密鑰中的 d 則保密。當(dāng)敵手已知 e 和 n 時(shí)并不能求出 d。用戶秘密地選擇兩個(gè)大素?cái)?shù) p 和 q，計(jì)算出 n ? pq。明文必須能夠用小于 n 的數(shù)來表示。 ② 計(jì)算 ?(n)。 ③ 選擇 e。 56 第 10章 網(wǎng)絡(luò)安全 (2) 密鑰的產(chǎn)生（續(xù)） ④ 計(jì)算 d。 ⑤ 得出所需要的公開密鑰和秘密密鑰： 公開密鑰（即加密密鑰） PK ? {e, n} 秘密密鑰（即解密密鑰） SK ? {d, n} 57 第 10章 網(wǎng)絡(luò)安全 (3) 正確性的例子說明 設(shè)選擇了兩個(gè)素?cái)?shù)， p ? 7, q ? 17。 計(jì)算出 ?(n) ? (p ? 1)(q ? 1) ? 96。 選 e ? 5。不難得出， d ? 77, 因?yàn)? ed ? 5 ? 77 ? 385 ? 4 ? 96 ? 1 ? 1 mod 96。 58 (3) 正確性的例子說明（續(xù)） 對明文進(jìn)行加密。 設(shè)明文 X ? 19。 再除以 119，得出商為 20807，余數(shù)為 66。 在用秘密密鑰 SK ? {77, 119}進(jìn)行解密時(shí)，先計(jì)算 Yd ? 6677 ? ...? 10140。 此余數(shù)即解密后應(yīng)得出的明文 X。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。 ? 防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。 ? ―阻止 ‖就是阻止某種類型的通信量通過防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來）。 ? 防火墻必須能夠識別通信量的各種類型。 63 第 10章 網(wǎng)絡(luò)安全 防火墻技術(shù)一般分為兩類 (1) 網(wǎng)絡(luò)級防火墻 ——用來防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。 64 第 10章 網(wǎng)絡(luò)安全 入侵檢測技術(shù) 入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 67 第 10章 網(wǎng)絡(luò)安全 入侵檢測系統(tǒng)的系統(tǒng)模型 為解決入侵檢測系統(tǒng)之間的互操作性，國際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對 IDS進(jìn)行標(biāo)準(zhǔn)化工作的有兩個(gè)組織：IETF的 Intrusion Detection Working Group（ IDWG）和 Common Intrusion Detection Framework（ CIDF）。 68 第 10章 網(wǎng)絡(luò)安全 CIDF闡述了一個(gè)入侵檢測系統(tǒng)（ IDS）的通用模型，如圖 1011所示。 69 第 10章 網(wǎng)絡(luò)安全 ? 事件產(chǎn)生器 ? 事件分析器 ? E ? A ? D ? R ? E 70 第 10章 網(wǎng)絡(luò)安全 在 CIDF模型結(jié)構(gòu)中： E盒通過傳感器收集事件數(shù)據(jù)，并將信息傳送給 A盒， A盒檢測誤用模式；D盒存儲來自 A、 E盒的數(shù)據(jù)，并為額外的分析提供信息； R盒從 A、 E盒中提取數(shù)據(jù)， D盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。如果想在不同種類的 A、 E、 D及 R盒之間實(shí)現(xiàn)互操作，需要對 GIDO實(shí)現(xiàn)標(biāo)準(zhǔn)化并使用 CISL。基于主機(jī)的入侵檢測系統(tǒng)將檢測模塊駐留在被保護(hù)系統(tǒng)上，通過提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來實(shí)現(xiàn)入侵檢測的功能?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通過網(wǎng)絡(luò)監(jiān)視來實(shí)現(xiàn)數(shù)據(jù)提取。 73 第 10章 網(wǎng)絡(luò)安全 入侵檢測系統(tǒng)發(fā)展趨勢 對分析技術(shù)加以改進(jìn)：采用當(dāng)前的分析技術(shù)和模型，會產(chǎn)生大量的誤報(bào)和漏報(bào)，難以確定真正的入侵行為。協(xié)議分析是目前最先進(jìn)的檢測技術(shù)，通過對數(shù)據(jù)包進(jìn)行結(jié)構(gòu)化協(xié)議分析來識別入侵企圖和行為，這種技術(shù)比模式匹配檢測效率更高，并能對一些未知的攻擊特征進(jìn)行識別，具有一定的免疫功能；行為分析技術(shù)不僅簡單分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生、攻擊行為是否生效，是入侵檢測技術(shù)發(fā)展的趨勢。入侵檢測產(chǎn)品能否高效處理網(wǎng)絡(luò)中的數(shù)據(jù)是衡量入侵檢測產(chǎn)品的重要依據(jù)。入侵檢測可以檢測網(wǎng)絡(luò)中的數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)某臺設(shè)備出現(xiàn)問題時(shí)，可立即對該設(shè)備進(jìn)行相應(yīng)的管理。 75 第 10章 網(wǎng)絡(luò)安全 * 嚴(yán)峻的信息安全問題 ? 2023年 2月 6日前后，美國 YAHOO等 8家大型網(wǎng)站接連遭受黑客的攻擊，直接經(jīng)濟(jì)損失約為 12億美元（網(wǎng)上拍賣 “ 電子港灣 ” 網(wǎng)站、亞馬遜網(wǎng)站、 AOL） ? 此次安全事故具有以下的特點(diǎn)： – 攻擊直接針對商業(yè)應(yīng)用 – 攻擊造成的損失巨大 – 信息網(wǎng)絡(luò)安全關(guān)系到全社會 76 第 10章 網(wǎng)絡(luò)安全 急需解決的若干安全問題 ? 信息安全與高技術(shù)犯罪 – 1999年，上海 XX證券部電腦主機(jī)被入侵 – 2023年 2月 14日，中國選擇網(wǎng)（上海）受到黑客攻擊，造成客戶端機(jī)器崩潰，并采用類似攻擊 YAHOO的手法，通過攻擊服務(wù)器端口，造成內(nèi)存耗盡和服務(wù)器崩潰 – 我國約有 64%的公司信息系統(tǒng)受到攻擊，其中金融業(yè)占總數(shù)的 57% – 不受歡迎的垃圾郵件的現(xiàn)象愈演愈烈 – 1999年 4月 26日， CIH病毒 “ 世紀(jì)風(fēng)暴 ” – 媒體內(nèi)容的安全性 77 第 10章 網(wǎng)絡(luò)安全 凱文米特尼克 ? 凱文 ?米特尼克是美國20世紀(jì)最著名的黑客之一，他是 ―社會工程學(xué) ‖的創(chuàng)始人 ? 1979年他和他的伙伴侵入了北美空防指揮部 ? 1983年的電影《戰(zhàn)爭游戲》演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發(fā)了第三次世界大戰(zhàn) 78 第 10章 網(wǎng)絡(luò)安全 莫里斯蠕蟲 （ Morris Worm） ? 時(shí)間 – 1988年 ? 肇事者 – Robert T. Morris , 美國康奈爾大學(xué)學(xué)生，其父是美國國家安全局安全專家 ? 機(jī)理 – 利用 sendmail, finger 等服務(wù)的漏洞，消耗 CPU資源，拒絕服務(wù) ? 影響 – Inter上大約 6000臺計(jì)算機(jī)感染，占當(dāng)時(shí) Inter 聯(lián)網(wǎng)主機(jī)總數(shù)的 10%，造成 9600萬美元的損失 ? CERT/CC的誕生 – DARPA成立 CERT（ Computer Emergency Response Team）， 以應(yīng)付類似 ―蠕蟲 （ Morris Worm） ‖事件 79 第 10章 網(wǎng)絡(luò)安全 ? 94年末，俄羅斯黑客弗拉基米爾 希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手。迫使美國國防部一度關(guān)閉了其他 80多個(gè)軍方網(wǎng)址 80 第 10章 網(wǎng)絡(luò)安全 81 第 10章 網(wǎng)絡(luò)安全 中美五一黑客大戰(zhàn) ? 2023年 5月 1日是國際勞動(dòng)節(jié)， 5月 4日是中國的青年節(jié)，而 5月 7日則是中國在南斯拉夫的大使館被炸兩周年的紀(jì)念日。11 恐怖襲擊整整一個(gè)星期后出現(xiàn)的，當(dāng)時(shí)傳言是中國為了試探美國對網(wǎng)絡(luò)恐怖襲擊的快速反應(yīng)能力而散布了尼姆達(dá)病毒 尼姆達(dá)是在早上 9:08發(fā)現(xiàn)的，明顯比紅色代碼更快、更具有摧毀功能，半小時(shí)之內(nèi)就傳遍了整個(gè)世界。 – 這些惡意代碼不僅能實(shí)現(xiàn)自我復(fù)制，還能自動(dòng)攻擊內(nèi)外網(wǎng)上的其它主機(jī)，并以受害者為攻擊源繼續(xù)攻擊其它網(wǎng)絡(luò)和主機(jī)。 90 第 10章 網(wǎng)絡(luò)安全 ? 受害面 – 許多國家的能源、交通、金融、化工、軍事、科技和政府部門等關(guān)鍵領(lǐng)域的信息化程度逐年提高，這些領(lǐng)域的用戶單位的計(jì)算機(jī)網(wǎng)絡(luò)，直接或間接地與 Inter有所聯(lián)系。 91 第 10章 網(wǎng)絡(luò)安全 ? 穿透深度 – 蠕蟲和黑客越來越不滿足于攻擊在線的網(wǎng)站，各種致力于突破各種邊界防線的攻擊方式層出不窮。 92 第 10章 網(wǎng)絡(luò)安全 信息戰(zhàn) ? 在海灣戰(zhàn)爭和最近的伊拉克戰(zhàn)爭中，美國大量采用了信息戰(zhàn)的手段 ? 在未來的局部戰(zhàn)爭中，信息戰(zhàn)或信息威懾將成為非常重要的非常規(guī)戰(zhàn)手段 ? 信息戰(zhàn)的范圍不僅僅局限于軍事領(lǐng)域，關(guān)系國家國計(jì)民生的行業(yè)（如政府、金融等）也會成為信息戰(zhàn)的攻擊目標(biāo) 93 第 10章 網(wǎng)絡(luò)安全 信息戰(zhàn)士 減小美國決策空間、戰(zhàn)略優(yōu)勢，制造混亂，進(jìn)行目標(biāo)破壞 國家 安全 威脅 情報(bào)機(jī)構(gòu) 搜集政治、軍事，經(jīng)濟(jì)信息 恐怖分子 破壞公共秩序，制造混亂，發(fā)動(dòng)政變 工業(yè)間諜 掠奪競爭優(yōu)勢，恐嚇 共同 威脅 犯罪團(tuán)伙 施行報(bào)復(fù)，實(shí)現(xiàn)經(jīng)濟(jì)目的，破壞制度 社會型黑客 攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望 局部 威脅 娛樂型黑客 以嚇人為樂，喜歡挑戰(zhàn) 信息時(shí)代威脅圖 94 第 10章 網(wǎng)絡(luò)安全 類別 攻擊舉例 V 敵國政府、間諜 IV 商業(yè)間諜 III 罪犯 II 惡意用戶、內(nèi)部人員、普通黑客 I 用戶誤操作 95 第 10章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)攻擊的動(dòng)機(jī) ? 偷取國家機(jī)密 ? 商業(yè)競爭行為 ? 內(nèi)部員工對單位的不滿 ? 對企業(yè)核心機(jī)密的企望 ? 網(wǎng)絡(luò)接入帳號、信用卡號等金錢利益的誘惑 ? 利用攻擊網(wǎng)絡(luò)站點(diǎn)而出名 ? 對網(wǎng)絡(luò)安全技術(shù)的挑戰(zhàn) ? 對網(wǎng)絡(luò)的好奇心 96 第 10章 網(wǎng)絡(luò)安全 攻擊的一般過程 預(yù)攻擊 內(nèi)容： 獲得域名及 IP分布 獲得拓?fù)浼?OS等 獲得端口和服務(wù) 獲得應(yīng)用系統(tǒng)情況 跟蹤新漏洞發(fā)布 目的： 收集信息，進(jìn)行進(jìn)一步攻擊決策 攻擊 內(nèi)容： 獲得遠(yuǎn)程權(quán)限 進(jìn)入遠(yuǎn)程系統(tǒng) 提升本地權(quán)限 進(jìn)一步擴(kuò)展權(quán)限 進(jìn)行實(shí)質(zhì)性操作 目的： 進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限 后攻擊 內(nèi)容： 植入后門木馬 刪除日志 修補(bǔ)明顯的漏洞 進(jìn)一步滲透擴(kuò)展 目的： 消除痕跡，長期維持一定的權(quán)限 97 第 10章 網(wǎng)絡(luò)安全 攻擊的種類 ? 預(yù)攻擊階段 – 端口掃描 – 漏洞掃描 – 操作系統(tǒng)類型鑒別 – 網(wǎng)絡(luò)拓?fù)浞治? ? 攻擊階段 – 緩沖區(qū)溢出攻擊 ? 操作系統(tǒng)漏洞 ? 應(yīng)用服務(wù)缺陷 – 腳本程序漏洞攻擊 – 口令攻擊 – 錯(cuò)誤及弱配置攻擊 – 網(wǎng)絡(luò)欺騙與劫持攻擊 ? 后攻擊階段 – 后門木馬 – 痕跡擦除 ? 其它攻擊種類 – 拒絕服務(wù)攻擊 – 嗅探攻