數字認證技術綜述
1. 資訊保安綜述
1.1 硬體與軟體的發展
硬體是資訊系統的軀體,軟體才是靈魂。
1.2 資訊保安
是對資訊的 保密性、完整性和可用性 的保護,包括物理安全、網路系統安全、資料安全、資訊內容安全和資訊基礎設施安全等。
未公開的漏洞,在IT界稱之為 零日漏洞 。
殭屍網路Botnet 是指採用一種或多種傳播手段,將大量主機感染bot程式(殭屍程式)病毒,從而在控制者和被感染主機之間所形成的一個可 一對多控制的網路 。 攻擊者通過各種途徑傳播殭屍程式感染網際網路上的大量主機,而被感染的主機將通過一個控制通道接收攻擊者的指令,組成一個殭屍網路。
邏輯炸彈是一種程式,或任何部分的程式,這是冬眠,直到一個具體作品的程式邏輯被激。與病毒相比,它強調破壞作用本身,而實施破壞的程式不具有傳染性。
拒絕服務攻擊即是攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。 其實對網路頻寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機宕機,都屬於拒絕服務攻擊。
1.3 目前的主要安全威脅
- 殭屍網路:客戶端攻擊
- 網頁掛碼:伺服器端攻擊
通過攻擊Web服務,進而修改Web主頁,插入惡意程式碼的連結,通過使用者瀏覽網頁的方式進行傳播的一種網路攻擊。
特點:隱藏層次深,原始Web一般無法檢測出掛碼
1.4 如何防止攻擊?
1.5 網路安全供給的主要形式
中斷
擷取
篡改
偽造
重放
ISO的定義
1.6 網路安全攻擊形式的分類
2. 網路威脅的根源討論
2.1 網路安全的根源
網路通訊的脆弱性、網路作業系統的脆弱性、網路應用系統的脆弱性、網路管理的脆弱性。
2.2 網路體系結構的脆弱性淺析:
- Internet從建立開始就缺乏安全的總體構想和設計;
- Internet起源的初衷是 便捷性/ 高效性 為第一位;
- Internet所使用的TCP/IP協議是在假設的可信環境下設計的,本身缺乏安全措施的考慮;
- 網路層(IP層):根據IP地址進行資料包定址,沒有點對點的安全認證與保密機制;
- 傳輸層(TCP層):建立在三次握手基礎上,沒有考慮端對端認證,容易被欺騙、擷取、操縱。
2.3 因特網協議族:TCP/IP參考模型
- 是一個抽象的分層模型
-
是一組實現支援因特網和大多數商業網路執行的協議棧的網路傳輸協議。
IP格式
- 乙太網、分組交換網等相互之間不能互通,不能互通的主要原因是因為 它們所傳送資料的基本單元(“幀”)的格式不同 。
- IP協議實際上是一套由軟體、程式組成的協議軟體,它 把各種不同“幀”統一轉換成“IP資料包”格式 。
- 這種轉換是因特網的一個最重要的特點,使所有各種計算機都能在因特網上實現互通,即具有“開放性”的特點。
TCP格式
- TCP(Transmission Control Protocol 傳輸控制協議)是一種面向連線的、可靠的、基於位元組流的傳輸層通訊協議。
- TCP儘量連續不斷地測試網路的負載並且控制傳送資料的速度以避免網路過載。
- 另外,TCP試圖將資料按照規定的順序傳送。
tcp的三次握手
為了保證服務端能收接受到客戶端的資訊並能做出正確的應答而進行前兩次(第一次和第二次)握手,為了保證客戶端能夠接收到服務端的資訊並能做出正確的應答而進行後兩次(第二次和第三次)握手。
2.4 網路體系安全討論
- 可用性和效率是Internet系統的重點
- 沒有進行安全設計
- 物理層 => 通道加密 : 通道安全
- 網路層 => 尋路安全: 路由認證 ? ??VPN
- 傳輸層 => 端對端安全: 端對端認證,安全套接字SSL
- 目前的Internet網路安全是基於 應用層 的安全
- 未來的網路體系結構如何?
- IPv6是否代表網路體系結構的未來?
- 軟體定義網路SDN能走多遠?
3. 網路安全措施與數字認證
3.1 資訊保安的主要目標
3.2 科學安全觀
- 沒有抽象安全:
- 只能說某種攻擊下的安全
- 安全強度:
- 安全物件是資產,資產是有價的
- 安全也是有強度的
- 資訊保安是工程也是科學:
- 資訊保安是一種實踐活動
- 資訊保安正從工程走向科學
- 數學化是標誌科學性的基礎,如:可證明安全
3.3 安全技術與手段
資訊加密技術
數字認證技術
防火牆技術
病毒檢測技術
入侵檢測技術
漏洞掃描技術
……
3.4 數字認證與資訊系統安全
- 資料認證是在計算機網路中 確認操作者身份 的過程。
- 廣義上講,數字認證包括任何進入系統的實體,包括人和資料。
- 身份認證技術也包括很多形式:靜態密碼、動態密碼、證書、指紋識別、IC卡等。
- 網路中的身份認證技術
- 口令/知識認證(What do you know?)
- 個人所知道的或掌握的知識,如口令
- 證書認證 (What do you have?)
- 如身份證、護照、信用卡、鑰匙或證書等
- 生物認證 (Who are you?)
-
個人所具有的生物特性,如指紋、掌紋、聲紋、臉形、DNA、視網膜等,
相應的識別技術就有說話人識別、人臉識別、指紋識別、掌紋識別、虹
膜識別、視網膜識別、體形識別、鍵盤敲擊識別、簽字識別等。
-
- 口令/知識認證(What do you know?)
3.5 數字認證技術內涵
- 實體認證(entity authentication or identification):對資訊系統的 使用者(實體) 的身份進行確認的過程;
- 訊息認證(Message authentication):對資訊系統中的 資料 或通訊中的 訊息來源 進行認證;
- 完整驗證(Data Integrity verification):確保資訊沒有被未經授權的或未知的手段所修改。
詞彙解釋(來源:應用密碼學手冊)
“ 數字認證”是確認資料或實體某一屬性真實性的行為。
3.6 數字認證分類
數字認證分類
數字認證技術分類
4. 歷史與展望
- “口令”被用於認證已經有2千年歷史,採用“證書認證”也有幾千年歷史。
- 現代認證技術,該思想最早由雷夫·莫寇(Ralph C. Merkle)在1974年提出,1976年狄菲(Whitfield Diffie)與赫爾曼(Martin Hellman)兩位學者正式提出。
- 數字水印技術1990年被提出,而後2000年數字指紋被提出。
- 指紋早在中國古代便用於身份確認,當時人們以指紋或手印畫押。
數字認證技術的展望:基於身份的密碼學、單一口令(SSO)、身份管理(IDM)、數字認證與隱私保護。
身份管理(identitymanagement,ID management)系統是指一個廣義的管理區,對該系統內的個人進行身份識別管理,通過授權或加以限制來控制個人接近系統內部的資源
作業
- 什麼是數字認證技術?包含那些內容?
- 如何進行雙向認證?
- 簡單討論美國SSN與中國“公民身份管理”制度的差異。
- 討論TCP/IP協議各層的安全目標以及改進措施。