信息安全专题讲座.

Slides:



Advertisements
Similar presentations
上海市场首次公开发行股票 网下发行电子化方案 初步询价及累计投标询价 上海证券交易所 上市公司部.
Advertisements

企业产品成本核算制度(试行) 培训课件 河北涿州 2013年11月15日.
关于鼓励汽车产业实施国际化 发展战略的政策分析及建议
長得像的圖形 設計者:嘉義縣興中國小 侯雪卿老師 分享者:高雄市中山國小 江民瑜老師 高雄市勝利國小 許嘉凌老師.
近期重点工作 教务处 2015年3月19日.
中小学教育网课程推荐网络课程 小学:剑桥少儿英语 小学数学思维训练 初中:初一、初二、初三强化提高班 人大附中同步课程
巫山职教中心欢迎您.
猪 生 产 主讲:刘小明.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
医疗工伤生育保险政策解读 金坛市职工医疗保险基金管理中心.
新材料作文.
中枢兴奋药-黄嘌呤生物碱类.
第二章 复式记账原理*** 主要内容、重点难点: 1.会计要素与会计等式*** 2.会计科目与账户*** 3. 借贷记账法***
股票市場技術面概念介紹 斗六高中 馬明宏.
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
大学计算机基础 8.3 信息安全技术.
挖掘市场预期分布 建立有效投资策略 权证市场2006年中期投资策略
股票、债券、和保险 投资理财的话题.
1、分别用双手在本上写下自己的名字 2、双手交叉
计算机网络 第 7 章 计算机网络的安全.
全力 冲 刺,铸 就 辉 煌 —— 2006高 考 地 理 最 后 复 习 江苏省邗江中学 潘竹娟.
安全协议理论与方法 第一章 引论.
字母可表示: 人名 字母可表示: 地方 字母可表示: 数 (1)阿Q和小D看《阿P的故事》, Q 、D、P各表示什么?
2007年11月考试相关工作安排 各考试点、培训中心和广大应考人员:
06学年度工作意见 2006年8月30日.
分式的乘除(1) 周良中学 贾文荣.
第四章 制造业企业 主要经济业务核算.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
安徽地税金三电子税务局 系统培训 2015年12月.
第四章 借贷记账法 在制造业中的应用.
《思想品德》七年级下册 教材、教法与评价的交流 金 利 2006年1月10日.
从此,我不在沉默寡言 那一刻 就在这一刻 世上还有爸爸好 我 长 大 了 张绅 4 文苑芬芳
第三章 菜单的设计与制作 第一节 菜单的重要性 第二节 菜单的种类及其特点 第三节 菜单的设计与制作.
互联网金融和比特币 云南开发者2014聚会分享 王楚安.
产后血晕.
第22章 汽车制动系 学习目标 1.掌握制动系的工作原理 2.掌握液压传动装置的结构 3.掌握气压传动装置的结构.
第一次世界大战的时候,一位法国飞行员在2 000 m高空飞行的时候,发现脸旁有一个小玩意儿在游动着,飞行员以为这是一只小昆虫,敏捷地把它一把抓了过来,令他吃惊的是,他发现他抓到的竟是一颗德国子弹!     问题:大家都知道,子弹的飞行速度是相当快的,这名法国飞行员为什么会有这么大的本领呢?为什么飞行员能抓到子弹?
蔺 传 球 浏阳市安监局副局长 注册安全工程师 QQ:
消防产品监督管理规定 《消防产品监督管理规定》已经2012年4月10日公安部部长办公会议通过,并经国家工商行政管理总局、国家质量监督检验检疫总局同意,现予发布,自2013年1月1日起施行。 2013年3月17日.
公開鑰匙加密演算法 密碼學大革命 public key所想要解決的問題 public key密碼系統特性
格物资讯开放ICON库 V1R1.
第十讲公钥加密算法 (续) 公钥密码(续) RSA \ ElGamal algorithms.
第10章 网络安全 本章内容 网络安全的基本概念 信息安全技术 防火墙技术 网络病毒.
第三章 公钥基础设施PKI 本章学习重点掌握内容: 密码学基本术语 密码体制分类 私钥密码体制的主要特点 公钥密码体制的主要特点
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
建軍規劃.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
基礎密碼學 非對稱式金鑰加密法 樹德科技大學 資訊工程系 林峻立 助理教授.
公钥基础设施PKI 唐文 北京大学信息学院 软件工程研究所 - 信息安全研究室
李开祥 郭雪丽 马高峰 杨洋 孙凤英 陈静 Copyright © 2007 西安交通大学电子商务系
现代密码学理论与实践 第9章 公钥密码学与RSA
第6章 管理信息系统的系统设计 系统分析阶段,主要解决的是新系统“做什么”的问题。而在系统设计阶段,需要回答的中心问题是“怎么做”,即通过给出新系统物理模型的方式,描述如何实现在系统分析中规定的系统功能。
公開金鑰密碼系統 (Public-Key Cryptosystems)
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
信息安全 第四章 密钥管理与分配技术 /4/9.
第3章 密钥分配与管理.
2018 资产管理处 采购系统简介.
現代軍事科技 合計:18小時 章 節 第一章 軍事科技的演變 2小時 第二章 軍事事務革新 3小時 第三章 先進武器介紹 10小時 第四章
产品介绍 日修改版本: 去除:C+W统一认证功能:(是否支持) 小米3 外观设计 上市时间: 2014 年 2 月
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
電子白板百萬小學堂 本活動建議搭配電子白板 學生最多可分成2~6組(請按組別按鈕) 老師可以視時間多少,來進行活動 每一組要回答十個問題。
密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法
IT 安全 第 11节 加密控制.
编译OpenSSL 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang 官网地址:
现代密码学理论与实践 第7章用对称密码实现保密性
IT 安全 第 9节 通信和网络控制.
5.2.2平行线的判定.
第3章 密码技术 教学提示:上一章我们已经学习了协议安全的有关知识,本章将介绍与密码算法相关的一些知识,包括其基本概念和简单的实现方法。
97年會計業務座談會 課程:代收款系統簡介 報告人:林輝
第四節 戰艦未來的發展趨勢 C4I系統性能的強化 動力核子化 攻擊武器的精準化 提高裝備妥善率 艦體匿蹤、匿音化
Presentation transcript:

信息安全专题讲座

一、美军情况   二、安全技术

规划:C4I2SR,标志着美军进入互联网时代 一、美军情况 1、计划与进展   规划:C4I2SR,标志着美军进入互联网时代 计算机网:C3I(星状,格状)      互 联 网:C4I2SR(格状);    进展:93-96年,2万  600个 分步开放

2、网络发展 计算机网到互联网 封闭网到开放网 集团通信到个人通信 有中心网到无中心网

3、互联网课题 美军认为:军事工作已离不开互联网, 提倡使用, 同时提出研究课题 研究课题:防火墙 网络警察 源地址跟踪        提倡使用, 同时提出研究课题        研究课题:防火墙       网络警察       源地址跟踪

4、美国防部观念变化 标准制定 商品化 重复建设 vulnerability: 漏洞     4、美国防部观念变化 标准制定        商品化        重复建设   vulnerability: 漏洞

二、安全技术 密码算法 认证逻辑 密钥管理 保护技术    认证逻辑    密钥管理 保护技术

1、密码算法 目的: 将秘密信息改成公开信息 授权控制; 算法:对称算法,技术饱和 公钥算法,RSA DH, ELGAMEL ECC   目的: 将秘密信息改成公开信息      授权控制;   算法:对称算法,技术饱和      公钥算法,RSA DH, ELGAMEL ECC   用途:数据加密      部分认证      构建VPN

建立在IFP(integer factorization problemm)上。 RSA体制  建立在IFP(integer factorization problemm)上。 作业参数:私钥:SK=D; 公钥:PK=E;T={N}; 加密(验证):AE mod N = C; 脱密(签名):CD mod N = A; 因为 N=pq,而p、q是素数, 所以E*D=1mod(p-1)(q-1)

建立在DLP(discrete logarithm problem)上。 D-H体制   建立在DLP(discrete logarithm problem)上。 参数:T={g,p} (p是素数) 私钥:a b 公钥:ga mod p=KA; gb mod p=KB 在A方: (gb)a mod p= gba mod p=key 在B方: (ga)b mod p= gab mod p=key 在C方: (ga) (gb) = ga+b  key

ECC是基于ECDLP(elliptic curve discrete logaritm problem)的密码体制。 设Fq上椭圆曲线 E:y2=x3+ax+b mod p 参数:T={a,b,G=(x,y),n,p} 私钥:K 公钥:KG 应用:可以模拟所有DLP体制的密码。

三种体制比较 参数 公钥 私钥 IFP RSA ---- 1088 1024 DLP DSA 2208 1024 160 参数 公钥 私钥 IFP RSA ---- 1088 1024 DLP DSA 2208 1024 160 ECDLP ECDSP 481 161 160

2、认证逻辑: 信任逻辑:注册性 共有性 唯一性 一体性 主从性 相信逻辑:BAN逻辑 NRL逻辑   信任逻辑:注册性 共有性 唯一性 一体性 主从性   相信逻辑:BAN逻辑          NRL逻辑

生物特征 主要用于实体认证 指纹 (4K) 视网膜 (2K) 虹膜 (256B) 面部特征与语音特征 (16K)

BAN逻辑 1、解读性规则(meaning of message) K 如果 P ‖ Q P , P ┥{X} K (相信)(共有) (能读) 那么 P ‖ Q ┣ X (相信)(所做) if P BELIEVES P AND Q SHARED KEY K THEN P BELIEVES THAT Q ONCE WROTE X

当次性规则 如果 P ‖ #(X) , P ‖ Q ┣ X 2、当次性规则(rule of nonce) 那么 P ‖ Q‖ X IF P BELIEVES X IS NEW AND P BELIEVES Q ONCE WROTE X THEN P BELIEVES THAT Q BELIEVES X

管辖性规则 3、管辖性规则(jurisdiction) 如果 P ‖ Q ⇨X ,P‖ Q‖ X 那么 P ‖ X IF P BELIEVES THAT Q HAS JURISDICTION OVER X AND P BELIEVES THAT Q BELIEVES X THEN P BEKIEVES X

两种逻辑 1) 信任链 2)相信链(证明链) 3)协议分析

信任链 信任建立:“合同” “注册” 信任转移:不是安全控制机制; 转移结果:A公司的证件由B公司签发; 权利转移结果是失去权利; 信任建立:“合同” “注册” 信任转移:不是安全控制机制; 转移结果:A公司的证件由B公司签发; 权利转移结果是失去权利; 信任转移结果是失去信任关系;

相信链 1)相信逻辑能否推导信任结果? 2)零知识证明;a)相信逻辑欲推导信任结果; b)没有信任关系,推导相信结果; 3)信任结果是可否;如:访问权 相信结果是是否;如:到商店买东西 银行支票流通

协议评估 1)零知识证明:相信逻辑; 2)kerberos: kerberos----client:信任逻辑; TGS ----client:相信逻辑; Server ----client:相信逻辑; 3)CA:相信逻辑;

KERBEROS 第三方 KERBEROS TGS 信任逻辑 相信逻辑 SERVER CLIENT 相信逻辑

(PKI)CA11,(PKCA11)CA1,(PKCA1)CA (PKJ)CA21,(PKCA21)CA2,(PKCA2)CA 个人证书 个人证书 个人证书 个人证书 i j (PKI)CA11,(PKCA11)CA1,(PKCA1)CA (PKJ)CA21,(PKCA21)CA2,(PKCA2)CA

Schnneier评语: 一个可信人给某人的公钥签名就成了公钥证书。这个可信人就是证明机构(certification authority). 有一种非密码的复杂问题困扰这类系统。证明的含义是什么,谁受到信任,给谁发证书?任何人都可以给任何其他人的证书签名。 通常,一个证明链(certification chain)是信任转移的:一个可信实体证明很多可信代理,可信代理证明很多可信公司的CA,各公司的CA证明各自的雇员。 -----证书中的个人身份有多大可信度? -----一个人和给他发证书的CA之间是什么关系? -----谁能作为最顶上的“唯一可信实体”? -----证明链到底多长? -----对CA来说作废证书的保留是至关重要的,但仍是一个难题。

支付逻辑 顾客 受理行 商场 发行行 建立信任 相信逻辑 信任逻辑

3、密钥管理: 基本概念 重要性:逻辑隔离技术之一 重要的认证参数 两种体制:KDC,CDC CA ,PGP       重要的认证参数   两种体制:KDC,CDC CA ,PGP 密钥分级:三级:对数据加密的密钥 二级:对三级密钥加密的密钥 一级:对二级密钥保护的密钥

密钥使用举例 HASH(DATA)= MAC; (MAC)DA=SIGN E RAN1 ( DATA//SIGN )=CODE EKA-B(RAN1)=RAN2 发送:(RAN2,CODE)

密钥管理的主要内容 密钥生产:个人,无边界,无中心 CA 统一,有边界,有中心 KDC 密钥分发:动态,KDC, CA 静态,KDC       分散存储(PGP)       公用媒体(KDC,CA)

静态分发:单层星状配置 中心 K1 K2 K3 Kn T1, K1 T2, K2 T3, K3 TN, Kn

静态分发:网状配置 A B D C KA-B KA-C KA-D KB-A KB-C KB-D KC-A KC-B KC-D KD-A KD-B KD-C C

动态分发:KDC,拉方式 分发协议: 1) a→c:request//n1; 2) c→a:EKA(KS//request//n1//EKB(KS,IDA)) 3) a→b:EKB(KS,IDA) 这样a,b双方都有相同的密钥KS。 验证协议: 4) b→a:EKS(N2) 5) a→b:EKS(fN2), 其中f是简单函数,是加1等简单变换。

KDC B B

动态分发:KDC,推方式 分发协议: 1)a→b:a,EKA(EMa); 2) b→c:EKA(EMa) 3)c→b:EKB(KS,a ,EMb), EKA(KS,b,EMa) 4)b→a:EKA(KS,b,EMa)

KDC B A

动态分发,CA 证书作废系统 CA Pk1 Pk2 (Pk1)ca (Pk2)ca U1, SK1 U2, SK2

CA特点 1.开放环境中研究,采用公开技术; 2.密钥由个人生产,无边界,无中心; 3.安全责任由个人承担; 4.排斥政府干预;  1.开放环境中研究,采用公开技术;  2.密钥由个人生产,无边界,无中心;  3.安全责任由个人承担;  4.排斥政府干预;  5.密钥变量必须公开;  6.密钥动态分发,需要密钥传递协议支持;  7.密钥变更方便,但需要证书作废系统支持;  8.需要解决公共媒体的安全;  9 .理论基础是相信逻辑

1.密钥由中心统一生产,分发协议简单,安全; KDC的特点  1.密钥由中心统一生产,分发协议简单,安全;  2.安全责任由中心承担;  3.密钥变量可以加密保护; 4.可以做到静态分发,必须解决密钥存储技术;    Koberos排过25万;我国技术:ECC 多重运算  5.密钥更换不方便,不需要证书作废系统支持;  6.适用于有边界的VPN网。   7.理论基础是信任逻辑

4、保护技术: P.D.R模型:Protection, Detection, Response 指系统保护        指系统保护 保护:隔离保护(防火墙,安全网关)      防病毒   探测:漏洞探测      入侵探测(被动,主动)   反映:

几种意识 风险意识:百分之百的安全是不可能的; 明确“干什么”和 “怕什么” 做到什么样的“度” 权衡意识:系统开销,经济承受力等综合权衡;        明确“干什么”和 “怕什么” 做到什么样的“度”  权衡意识:系统开销,经济承受力等综合权衡;       准确定义业务要求;       数据库加密之例;  相对意识:理想的技术不适用,在用技术有缺点; 准确定义安全保密要求;       防火墙的等级;  集成意识:集成是我国安全产品发展的捷径。