《《网络安全与管理》PPT课件》由会员分享,可在线阅读,更多相关《《网络安全与管理》PPT课件(89页珍藏版)》请在金锄头文库上搜索。
1、主要内容: 基本加密算法 网络安全技术(比如防火墙) 因特网的网络层安全协议IPSec 网络管理基础,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版标题样式,第九章 网络安全与管理,9.1 网络安全概述,国际标准化组织ISO对计算机网络安全(Network Security)的定义 为数据处理系统建立和采用的安全防范技术,以保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。,网络安全威胁,网络安全威胁主要表现在: 非授权访问
2、信息泄漏或丢失 破坏数据完整性 拒绝服务攻击DoS 利用网络传播病毒等,网络安全的五要素,网络安全包括五个基本要素 机密性 完整性 可用性 可控性 可审查性,网络安全的分类,根据安全需求将其分为数据保密、数据完整性、身份验证、授权、不可抵赖和不可否认等几个部分; 根据解决手段可以分为病毒防范、防火墙、存取控制、身份鉴别、安全综合解决方案; 根据威胁来源将其划分为网络攻击行为、安全漏洞及恶意代码等类别。,9.2 密码学,一、密码学的发展 密码学包括(cryptology)密码编码学和密码分析学。 密码编码学是密码体制的设计学,而密码分析学则是在未知密码的情况下从密文推演出明文的技术。,相关术语,
3、明文:信息的原始形式( plianttext,记为P) 密文:明文加密后的形式(ciphertext,记为C) 加密:明文变成密文的过程(encrypt记为E), 加密通常是由加密算法来实现的。 解密:密文还原成明文的过程(decrypt记为D),解密通常是由解密算法来实现的。 密钥:为了有效地控制加密和解密算法的实现,在其处理过程中要有通信双方掌握的专门信息参与,这种专门信息称为密钥(key,记为K)。,二、对称密钥体制,根据密钥的特点,密码体制分为非对称密钥体制和对称密钥体制两种。 对称密钥体制又称为传统密钥、秘密密钥、单钥密钥加密算法 对称密钥体制的核心是加密和解密采用相同的密钥。 保密
4、性仅取决于对密钥的保密,而算法是公开的。,对称密钥体制,图9.1 对称密钥加密算法的执行过程,替代密码,替代密码 将字母a,b,c,d,w,x,y,z的自然顺序保持不变,但使之与D,E,F,G, ,X,A,B,C分别对应: 密钥为3 例如:明文caesar cipher 对应的密文为 FDHVDU FLSKHU,置换密码,置换密码 按照某一规则重新排列消息中的比特或字符的顺序,密钥的目的是对列编号。 密钥:CIPHER 顺序:145326 举例:明文 attack begins at two 密文 abaaitcnwtg tetkso,对称密钥算法分类,对称密钥加密算法可分为两类: 一次只对明
5、文中的单个位(或字节)运算的算法,称为序列算法、序列密码或流密码(stream cipher); 对明文的一组位进行运算(这些位组称为分组),称为块密码或分组密码(block cipher)。,分组密码体制,数据加密标准DES,DES 是世界上第一个公认的实用密码算法标准,是一种典型的分组加密算法。 加密前,先对整个的明文进行分组,每一个组长64位; 使用密钥64位,对每一个64位分组进行加密处理。 最后将各组密文串接,得出整个的密文。,DES算法描述,DES经过总共16轮的替代和换位的变换后,使得密码分析者无法获得该算法一般特性以外更多的信息。,新一代加密标准AES,AES是一个迭代的、对称
6、密钥分组的密码 算法可以使用128、192 和 256 位密钥,并且用 128 位分组加密和解密数据,算法迭代次数由分组长度和密钥长度共同决定。,新一代加密标准AES,AES算法在每一轮都采用置换和代替并行地处理整个数据分组,这个分组被编排为一个称做状态阵列(state array)的44字节矩阵。 AES算法的加密实际上就是对输入状态阵列进行一系列运算,产生输出的过程。,AES的加密解密流程,三、公开密钥体制,相对于对称加密算法,这种方法也叫做非对称加密算法,需要公开密钥(public key)和私有密钥(private key)两个密钥。 公开密钥(加密密钥)和非对称加密解密算法是公开的,
7、但私有密钥(解密密钥)是保密的,由密钥的主人妥善保管。 公开密钥体制中最著名的是RSA算法,公开密钥密码体制,接收者,发送者,E 加密算法,D 解密算法,加密密钥 PK,解密密钥 SK,明文 X,密文 Y = EPK(X),密钥对 产生源,明文 X = DSK(EPK(X),公开密钥算法的特点,发送者用加密密钥 PK 对明文 X 加密后,在接收者用解密密钥 SK 解密,即可恢复出明文,或写为: DSK(EPK(X) X,公开密钥算法的特点(2),(2) 加密密钥是公开的,但不能用它来解密,即 DPK(EPK(X) X (3) 在计算机上可容易地产生成对的 PK 和 SK。 (4) 从已知的 P
8、K 实际上不可能推导出 SK。 (5) 加密和解密算法都是公开的。,四、数字签名和消息认证,除了信息的保密之外,如何保证信息的来源方是真实的,保证收到的信息的可靠的而没有被非法篡改,也是非常重要的。 认证包括对用户身份的认证和对消息正确性的认证两种方式。,数字签名和消息认证,用户认证用于鉴别用户的身份是否是合法用户,可以利用数字签名技术来实现的。 消息认证(又称报文鉴别)主要用于验证所收到的消息确实是来自真正的发送方且未被修改的消息,也可以验证消息的顺序和及时性。,1、消息认证,用于消息认证最常用的是消息认证码(MAC)和散列函数。 消息认证码是在一个密钥的控制下将任意长的消息映射到一个简短的
9、定长数据分组,将它附加在消息后。接收者通过重新计算MAC来对消息进行认证。,2、数字签名,当通信双方发生了下列情况时,数字签名技术能够解决引发的争端: 否认:发送方不承认自己发送过某一报文。 伪造:接收方自己伪造一份报文,并声称它来自发送方。 冒充:网络上的某个用户冒充另一个用户接收或发送报文。 篡改:接收方对收到的信息进行篡改。,数字签名,目前应用最为广泛的数字签名包括: Hash签名 DSS签名 RSA签名 ElGamal数字签名体制等。,采用公钥的数字签名,若 Alice 要抵赖曾发送报文给 Bob,Bob 可将 P 及DA(P)出示给第三者。第三者很容易证实 Alice确实发送 X 给
10、 Bob。,五、密钥的分发和管理,问题: 如何解决两个实体通过网络实现对称密钥的共享? 解决办法: 具有公信力的密钥分发中心(key distribution center (KDC) )来作为诸多实体间的中介,密钥分发中心KDC,Alice,Bob 需要共享对称密钥. KDC: 为每个注册的用户提供不同的密钥服务. Alice, Bob 在KDC注册后,获取了自己的对称密钥, KA-KDC KB-KDC .,密钥的分发和管理,问题: 当Alice获取Bob的公钥时 (可以从网站、 e-mail, 甚至软盘), 如何能够使她相信这就是 Bob的公钥, 而不是 Trudy的? 解决办法: 具有公
11、信力的认证机构(certificationauthority ,CA),认证机构CA,认证机构(CA)为特定的实体管理公开密钥. 实体(个人或路由器)可以在CA注册公开密钥. 实体提供 “身份证明” 给 CA. CA 创建信任状将实体与公开密钥进行绑定. 由CA对信任状进行数字签名.,认证机构CA,当 Alice需要Bob的公开密钥时: 获取Bob信任状 (从Bob 或其他什么地方). 把 CA提供的公开密钥对Bob的信任状进行认证和解码,从而得到 Bob的公开密钥,9.3 网络安全技术,一、防火墙Firewall 网络防火墙用来加强网络之间访问控制。 防止外部网络用户以非法手段通过外部网络进
12、入内部网络,访问内部网络资源。,图9.5 防火墙逻辑位置示意图,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。它具有以下三个方面的基本特性: 内、外网间的所有数据流都须经过防火墙; 只有符合安全策略的数据流才能通过防火墙; 防火墙自身应具有强的抗攻击免疫力。,1、防火墙基本特征,2、防火墙的功能,具体来说,防火墙主要有以下功能: 创建一个阻塞点 隔离不同网络,防止内部信息的外泄 强化安全策略 有效地审计和记录内、外部网络上的活动,3、防火墙的基本类型,防火墙的基本类型: 包过滤型 网络地址转换(NAT) 代理型 监测型,包过滤 Packet filtering,包过滤又
13、称“报文过滤”,它是防火墙最基本的过滤技术。 防火墙根据数据包头所含的源、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源、目的端口等信息,确定该数据包是否允许通过。,代理型防火墙,代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品。 代理服务器位于客户机与服务器之间,客户首先将数据请求发给代理服务器,由代理服务器向服务器索取数据,然后再将数据传输给客户机。,二、网络入侵与安全检测,入侵检测IDS的定义: 对主机或网络系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性的计算机安全技术。 入侵检测可以分为信息收集和数据
14、分析两个部分。,入侵检测分类,根据采用的技术来分: 异常检测(Anomaly detection) 特征检测(Signature-based detection) 按检测的对象来分: 基于主机的入侵检测系统 基于网络的入侵检测系统 基于网关的入侵检测系统,异常检测,前提:入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围 过程: 监控 量化比较判定 修正 特点: 漏报率低,误报率高,三、虚拟专用网VPN,VPN网络的任意两个结点之间的连接并没有传统专网所需的端到端的物理链路。 VPN是架构在公用网络服务商所提供的网络平台,如Inter
15、net、ATM或帧中继之上的逻辑网络。,VPN的应用场景,例如:员工出差到外地,他想访问企业内网的服务器资源,怎么才能让外地员工访问到内网资源呢? 解决方法:在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。,VPN举例,设置两个IP地址,VPN举例(2),VPN的安全措施,隧道技术 加解密技术 密钥管理技术和使用者 设备身份认证技术,隧道技术,第二、三层隧道(Tunneling)协议 L2F(Layer 2 Forwarding,二层转发协议) PPTP(Point to Point Tunneling Protocol,点对点隧道协议) L2TP(Layer
16、 2 Tunneling Protocol,二层隧道协议) VTP(Virtual Tunneling Protocol,虚拟隧道协议) IPSec(IP Security,IP安全协议),VPN的特点,安全保障 VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有和安全性。 服务质量保证 VPN可以为不同要求提供不同等级的服务质量保证。,VPN的特点(2),可扩充、灵活性 VPN支持通过Internet和Extranet的任何类型的数据流。 可管理性 VPN可以从用户和运营商角度方便进行管理。,四、病毒防范,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 计算机病毒一般包括以下几个部分: 引导部分 传染部分 表现部分,计算机病毒分类,计算机病毒分类 根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒; 按照计算机病毒激活时间可分为定时的和随机病毒; 根据
