8b06fbf793cfc30e7a11aa09066a02c5.ppt
- Количество слайдов: 29
第一章 資訊與網路安全簡介 1 -1 安全性網路架構 1 -9 用戶認證與 Kerberos 系統 1 -2 密碼系統 1 -10 數位憑證與 PKI 系統 1 -3 雜湊函數 1 -11 安全性網頁系統 1 -4 資訊安全技術 1 -12 安全性電子郵件 1 -5 訊息加密 1 -13 防火牆安全架構 1 -6 訊息完整性檢查 1 -14 虛擬私有網路 1 -7 訊息確認 1 -15 入侵防護系統 1 -8 數位簽章 1 -16 安全性作業系統 1
1 -1 安全性網路 網路安全的緣由 TCP/IP 網路無安全性措施 電子商務需求 (Internet 應用) 辦公室自動化需求 (Intranet 應用) 整合性應用需求 (Extranet 應用) 安全性網路 (Secure Network) 系統安全 (System Security) 網路安全 (Network Security) 資訊安全 (Information Security) 2
1 -2 密碼系統 (一) 典型密碼系統 (Cryptosystem) 明文:M 加密鑰匙:K 1 解密鑰匙:K 2 加密編碼:E 解密編碼:D 密文:C = Ek 1(M) 解密明文:M = Dk 2(C) = Dk 2(Ek 1(M)) K 1= K 2 為秘密鑰匙系統 K 1 <> K 2 為公開鑰匙系統 3
1 -2 密碼系統 (二) 秘密鑰匙系統 (Secret Key Cryptosystem) 對稱式密碼系統 (Symmetric Cryptosystem) 單一鑰匙系統 (One-Key Cryptosystem) 傳統密碼系統 (Conventional Cryptosystem) 特性: • 保護訊息的隱密性功能 • 秘密鑰匙 • 鑰匙長度 • 鑰匙分配困難 • 可達成訊息確認的功能 • 常見的演算法:DES、Triple-DES、Blowfish、IDES、AES 4
1 -2 密碼系統 (三) 公開鑰匙系統 (Public-Key Cryptosystem) (1) 非對稱密碼系統 (Asymmetric Cryptosystem) 雙鑰匙系統 (Two-Key Cryptosystem) • 公開鑰匙 (Public Key):公告週知 • 私有鑰匙 (Private Key):隱密保存著,不可洩漏。 現代密碼學 (Modern Cryptographic) 特性: • 資料隱密性功能 • 鑰匙長度較長 • 鑰匙分配容易 • 可達到不可否認性功能 • 常見密碼系統:RSA、DSA、El. Gamal、DSS 演算法。 5
1 -2 密碼系統 (四) 公開鑰匙系統 (Public-Key Cryptosystem) (2) 6
1 -3 雜湊函數 Hash Function 『訊息摘要』(Message Digest, MD) 『數位指紋』(Digital Fingerprint) 特性: • 固定長度 • 單向雜湊 • 雜湊碼碰撞率低 • 常見的演算法:MD 4、MD 5、SHA-1。 7
1 -4 資訊安全技術 隱密性 (Secrecy or Privacy) 避免被窺視或盜取。 確認性 (Authenticity) 確定訊息來源的合法性。 完整性 (Integrity) 確定信息未被竄改或取代。 不可否認性 (Non-repudiation) 發送者無法否認發出訊息的事實。 8
1 -5 訊息加密 隱密性功能:發送者將訊息加密後再傳送給接收者,接收者再依照雙方協議的方法 及鑰匙,將訊息恢復原來格式。 加密演算法 (A) 秘密鑰匙加密 • 共享秘密鑰匙加密 • 秘密鑰匙加密演算法 (B) 公開鑰匙加密 • 利用接收端的公開鑰匙加密 • 公開鑰匙加密演算法 9
1 -6 訊息完整性檢查 預防訊息遭受破壞或偽裝。 雜湊演算法:MD 5 或 MD 4 完整性檢查值 (Integrity Check Value, ICV) 10
1 -7 訊息確認 (一) Message Authentication (A) 功能: • 確認性:確定訊息來源的可靠性,而不是他人偽造的。 • 完整性:確定訊息未經他人竄改。 • 秘密鑰匙系統 (B) 運作: • 計算出雜湊值,再經由加密系統計算出『訊息確認碼』(Message Authentication Code, MAC) • 明文計算或密文計算 11
1 -7 訊息確認 (二) (C) 明文計算訊息確認碼 (D) 密文計算訊息確認碼 • K 1:訊息加密鑰匙 • K 2:MAC 鑰匙 12
1 -8 數位簽章 (一) Digital Signature (DS) 公開鑰匙系統 (A) 明文傳送之數位簽章 演算法: 確認性 • 雜湊函數 完整性 • 加密演算法或簽署演算法 不可否認性 發送者:利用自己的私有鑰匙簽署數位簽章 接收者:利用發送者的公開鑰匙認證簽章碼 13
1 -8 數位簽章 (二) (B) 密文傳送之數位簽章 發送者: • 利用接收端的公開鑰匙加密訊息。 • 利用自己的私有鑰匙簽署數位簽章。 接收者: • 利用自己的私有鑰匙解開訊息加密。 • 利用發送者的公開鑰匙認證簽章碼。 14
1 -9 用戶認證與 Kerberos 系統 (一) 用戶認證 (User Authentication) 『帳號 + 密碼』(Account + Password) 認證客戶身份 『醃製法』(Sale Value) 加密增加密碼的隱密性 『盤問與回應』(Challenge/Response) 認證協定 • 避免密碼在網路上傳輸 • 認證對方所持有之密碼是否與自己的相同 15
1 -9 用戶認證與 Kerberos 系統 (二) Kerberos 系統 帳戶集中管理系統: • 網域控制台 (Domain Controller, DC) Kerberos 用戶管理系統 • 採用較複雜的『盤問與回應』 • 發行『通行票』(Ticket),並加入 時間戳記 16
1 -10 數位憑證與 PKI 系統 (一) 數位憑證 (Digital Certificate) 電子化身份憑證 電子商務身份認證基礎 公開鑰匙演算法 憑證內容: • 持有者名稱、地址、E-mail 等等 • 持有者公開鑰匙,又稱為『公開鑰匙憑證』 • 發行者私有鑰匙簽署保證的『數位簽章』 17
1 -10 數位憑證與 PKI 系統 (二) 公鑰基礎架構 (Public Key Infrastructure, PKI) 『憑證授權』(Certificate Authority, CA) • 發行數位憑證 • 負責註銷憑證的公佈 • 負責認證憑證的真偽 公鑰基礎架構 (PKI) • CA 中心簽署保證子 CA 中心 • 解決 CA 與 CA 之間的認證問題 PKI 運作程序 18
1 -11 安全性網頁系統 (一) 電子商務的安全技術 安全性網頁系統 (Secure Web System) 安全性電子郵件 (Secure E-Mail) 安全性網頁系統 電子商務或電子化企業之網頁系統 Kerberos 或 PKI 認證系統 SSL (Secure Socket Layer) 或 TLS (Transport Layer Security) • 認證用戶身份 – Kerberos:利用秘密鑰匙系統 – PKI:利用公開鑰匙系統 • 協議安全機制 – 秘密鑰匙系統 – 協議安全套件 – 交換鑰匙材料來建立『會議鑰匙』(Session Key) 19
1 -11 安全性網頁系統 (二) 安全性網頁系統 運作程序 20
1 -11 安全性網頁系統 (三) 安全性電子商務 (Secure Electronic Commerce) 運作程序 21
1 -12 安全性電子郵件 Secure E-mail 『伊媚兒』或『公文交換』 功能: • 隱密性 (Privacy) • 確認性 (Authenticity) • 完整性 (Integrity) • 不可否認性 (Non-repudation) 郵件格式 • S/MIME (Secure/Multipurpose Internet Mail System) • 分段郵件 • 郵件內容描述 規範: • S/MIME 安全郵件 • PGP 安全郵件 • 功能:加密與簽署功能 運作程序 22
1 -13 防火牆安全架構 私有網路的安全技術 防火牆安全架構 虛擬私有網路架構 入侵防護系統 防火牆 (Firewall)安全架構 功能: • 隔離公眾網路與私有網路之間的 防護措施 防火牆機制: • 封包過濾器 • 代理器 • 網路位址轉譯器 23
1 -14 虛擬私有網路 Virtual Private Network (VPN) 功能:在不安全的公眾網路上建立安全性 較高的私有網路 IP 安全協定 (IP Security Protocol, IPSec) • 確認性標頭 (Authentication Header, AH) • 封裝安全承載 (Encapsulation Secure Payload, ESP) 操作模式: • 傳輸模式 (Transport Mode) • 通道模式 (Tunnel Mode) 裝置: • 安全閘門 (Security Gateway) • 安全主機 (Security Host) 24
1 -6 私有網路的安全性 1 -6 -1 防火牆與入侵偵測 隔離公眾網路與私有網路之間的防護措施 25
1 -6 -2 虛擬私有網路(Virtual Private Network , VPN) 功能:在不安全的公眾網路上建立安全性較高的私有網路 26
1 -15 入侵防護系統 (一) 入侵偵測系統 系統類型: 偵測技術: • 網路型入侵偵測 (Network-based Intrusion Detection) • 誤用偵測 (Misuse Detection)/特徵型偵 測 (Signature-base Detection) • 主機型入侵偵測 (Host-based Intrusion Detection) • 異常偵測 (Anomaly Detection) • 誘捕型防護 (Deception Defense) 27
1 -15 入侵防護系統 (二) 網路病毒 惡意程式: • 特洛伊木馬 (Troian Horses) • 電腦病毒 (Virus) • 網路蠕蟲 (Worm) • 巨型病毒 (Macro Virus) 防毒技巧 • 特徵掃描 • 啟發式掃描 • 行為陷阱 • 整合性防範 病毒類型 • 寄生病毒 (Parasitic Virus) • 記憶體常駐病毒 (Memory-resident Virus) • 啟動磁區病毒 (Boot Sector Virus) • 隱形病毒 (Stealth Virus) • 多型病毒 (Polymorphous Virus) 28
1 -16 安全性作業系統 Secure Operating System 『橘皮書』(The Orange Book) 安全等級 • 等級 D:最低安全防護 • 等級 C:隨意性的安全防護 • 等級 B:強制性的安全防護 • 等級 A:驗證性的安全防護 系統安全 (System Security) 的安全項目 • 密碼與用戶認證 • 資源授權與分配 • 安全稽核 • 存取紀錄 • 資源備份 • 病毒防範 29
8b06fbf793cfc30e7a11aa09066a02c5.ppt