《第八网络安全技术教学讲义》由会员分享,可在线阅读,更多相关《第八网络安全技术教学讲义(105页珍藏版)》请在金锄头文库上搜索。
1、计算机网络基础 第八章,第 八 章网络安全技术,8.1网络安全概念与任务 8.2 加密技术与身份认证技术 8.3 网络病毒及其防范技术 8.4 黑客及其防范技术 8.5 防火墙技术 8.6 网络管理基础 小结 习题,计算机网络基础 第八章,8.1 网络安全概念与任务,网络安全是使用Internet时必备的知识。随着计算机网络的日益普及,网络在日常生活、工作中的作用也就越来越明显。计算机网络逐步改变了人们的生活方式,提高了人们的工作效率。但是,有时也会带来灾难。黑客、病毒、网络犯罪都是时刻在威胁者我们在网络上的信息安全。如何保证和解决这些问题,让我们能安全自由的使用网络资源,就是需要相关的网络安
2、全技术来解决。,计算机网络基础 第八章,8.1.1网络安全的概念,网络安全的含义是指通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力。网络安全的结构层次包括:物理安全、安全控制和安全服务。 网络安全首先要保障网络上信息的物理安全,物理安全是指在物理介质层次上对存储和传输的信息的安全保护,目前,物理安全中常见的不安全因素主要包括自然灾害、电磁泄漏、操作失误和计算机系统机房环境的安全。,计算机网络基础 第八章,8.1.1网络安全的概念,安全控制是指在计算机操作系统上和网络通信设备上对存储和传输的信息的
3、操作和进程进行控制和管理,主要是在信息处理和传输层次上对信息进行的初步安全保护。安全控制可以分为三个层次:计算机操作系统的安全控制,网络接口模块的安全控制和网络互联设备的安全控制。 安全服务是指在应用层次上对信息的保密性、安全性和来源真实性进行保护和鉴别,满足用户的安全要求,防止和抵御各种安全威胁和攻击手段,这是对现有操作系统和通信网络的安全漏洞和问题的弥补和完善。,计算机网络基础 第八章,8.1.1网络安全的概念,可用性指信息只可以给授权用户在正常使用时间和使用权限内有效使用,非授权用户不能获得有效的可用信息。 可控性指信息的读取、流向、存储等活动能够在规定范围内被控制,消除非授权用户对信息
4、的干扰。 可审查性是指信息能够接受授权用户的审查,以便及时发现信息的流向、是非被破坏或丢失以及信息是非合法。,计算机网络基础 第八章,8.1.2网络信息安全面临的威胁,计算机网络的发展,使信息在不同主体之间共享应用,相互交流日益广泛深入,但目前在全球普遍存在信息安全意识欠缺的状况,这导致大多数的信息系统和网络存在着先天性的安全漏洞和安全威胁。 计算机网络面临的威胁: 截获:从网络上窃听他人的通信内容。 中断:有意中断他人在网络上的通信。 篡改:故意修改网络上传送的报文。 伪造:伪造信息在网络上传送。,计算机网络基础 第八章,8.1.2网络信息安全面临的威胁,上述四种对网络的威胁可划分为两大类,
5、即被动攻击和主动攻击,如图8.1所示。 截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。,图8.1 对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,计算机网络基础 第八章,8.1.2网络信息安全面临的威胁,根据这些特点,可以得出计算机网络通信安全的五个目标如下: (1)防止分析出报文内容 (2)防止信息量分析 (3)检测更改报文流 (4)检测拒绝报文服务 (5)检测伪造初始化连接 还有一种特殊的主动攻击就是恶意程序的攻击。恶意程序种类繁多,对网络安全威胁较大的主要有以下几种恶意程序
6、: 计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹等。,计算机网络基础 第八章,8.1.3网络安全组件,网络信息安全是一个整体系统的安全,是由安全操作系统、应用程序、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络防病毒等多个安全组件共同组成的,每个组件各司其职,共同保障网络的整体安全。每一个单独的组件只能完成其中部分功能,而不能完成全部功能。,计算机网络基础 第八章,8.1.3网络安全组件,(1)防火墙 防火墙是内部网络安全的屏障,它使用安全规则,可以只允许授权的信息和操作进出内部网络,它可以有效的应对黑客等对于非法入侵者。但防火墙无法阻止和检测基于数据内容的病毒入侵,同时也无法
7、控制内部网络之间的违规行为。,计算机网络基础 第八章,8.1.3网络安全组件,(2)漏洞扫描器 漏洞扫描器主要用来发现网络服务、网络设备和主机的漏洞,通过定期的扫描与检测,及时发现系统漏洞并予以补救,清除黑客和非法入侵的途径,消除安全隐患。当然,漏洞扫描器也有可能成为攻击者的工具。,计算机网络基础 第八章,8.1.3网络安全组件,(3)杀毒软件 杀毒软件是最为常见的安全工具,它可以检测,清除各种文件型病毒、邮件病毒和网络病毒等,检测系统工作状态,及时发现异常活动,它可以查杀特洛伊木马和蠕虫等病毒程序,防止病毒破坏和扩散有积极作用。,计算机网络基础 第八章,8.1.3网络安全组件,(4)入侵检测
8、系统 入侵检测系统的主要功能包括检测并分析用户在网络中的活动,识别已知的攻击行为,统计分析异常行为,检查系统漏洞,评估系统关键资源和数据文件的完整性,管理操作系统日志,识别违反安全策略的用户活动等。入侵检测系统可以及时发现已经进入网络的非法行为,是前三种组件的补充和完善。,计算机网络基础 第八章,8.2.1 密码学的基本概念,研究密码技术的学科称为密码学。密码学包括两个分支,即密码编码学和密码分析学。前者指在对信息进行编码实现信息隐蔽,后者研究分析破译密码的学问。两者相互对立,又相互促进。 采用密码技术可以隐蔽和保护需要发送的消息,使未授权者不能提取信息。,计算机网络基础 第八章,8.2.1
9、密码学的基本概念,发送方要发送的消息称为明文。 明文被变换成看似无意的随机信息,称为密文。 这种由明文到密文的变换过程称为加密。 其逆过程,即由合法接受者从密文恢复出明文的过程成为解密。 加密算法和解密算法是在一组仅有的合法用户知道的秘密信息的控制下进行的,该密码信息称为密钥,加密和解密过程中使用的密钥分别称为加密密钥和解密密钥。,计算机网络基础 第八章,8.2.1 密码学的基本概念,数据加密的一般模型如图8.2所示。在图中,我们把未进行加密调制的数据称为明文数据或明文,用X表示,把经过加密算法调制过的数据称为密文数据,用Y表示。明文数据经过加密算法E和加密密钥Ke调制后得到密文数据YEke(
10、X)。经网络传输后,接收端收到密文数据后,自由解密算法D与解密密钥Kd解出明文数据XDKd(Y)DKd(Eke(X)。 为了加密和解密的需要,有时还要把加密密钥Ke和解密密钥Kd传送给对方。另外,除了接受者外,网络中还可能出现其他非法接收密文信息的人,我们称之为入侵者和攻击者。,计算机网络基础 第八章,8.2.1 密码学的基本概念,图8.2 数据加密的通用模型,数据加密的目的是使得入侵者无论获得多少密文数据的条件下,都无法唯一确定出对应的明文数据。如果一个加密算法或加密机制能够满足这一条件,则我们称该算法或机制是无条件安全的。这是衡量一个加密算法好坏的主要依据。,计算机网络基础 第八章,8.2
11、.1 密码学的基本概念,按照加密密钥Ke和解密密钥Kd是否相同,密码体制分为了传统密码体制和公钥密码体制。 传统密码体制所使用的加密密钥Ke和解密密钥Kd相同,或从一个可以推出另一个,被称为单钥或对称密码体制。单钥密码优点是加、解密速度快,但有时存在密钥管理困难的问题。 若加密密钥Ke和解密密钥Kd不相同,从一个难于推出另一个,则称为双钥或非对称密码体制。,计算机网络基础 第八章,8.2.2 传统密码体制,传统加密也称为对称加密或单钥加密,是1976年公钥密码产生前唯一的一种加密技术,迄今为止,它仍然是两种类型的加密中使用最广泛的一种。 重要的是要注意,常规加密的安全性取决于密钥的保密性,而不
12、是算法的保密性。也就是说,如果知道了密文和加密及解密算法的知识,解密消息也是不可能的。换句话说,我们不需要使算法是秘密的,而只需要对密钥进行保密即可。所以在常规加密的使用中,主要的安全问题就是保持密钥的保密性。下面介绍一下传统加密体制中的古典加密算法和现代加密算法的一些主要代表。,计算机网络基础 第八章,(1)传统加密算法,替换加密: 例如,使用替换算法的Caesar密码,采用的是CharacterN的算法,假设明文为ATTACK BEGIN AT FIVE,采用N2的替换算法,即A用其ASCII码值加2的字符来替代,字母Y和Z分别用字母A和B来替代。得到密文为CVVCEMDGIKPCVHKX
13、V。这种替换加密方法简便,实现容易但安全性较低。,计算机网络基础 第八章,(1)传统加密算法,换位加密: 换位加密就是通过一定的规律改变字母的排列顺序。现假设密钥为WATCH,明文为THE SPY IS JAMES LI(加密时需要去除明文中的空格,故明文为THESPYISJAMESLI)。在英文26个字母中找出密钥WATCH这5个字母,按其在字母表中的先后顺序加上编号15,如图8.3。,计算机网络基础 第八章,(1)传统加密算法,从左到右、从上到下按行填入明文。请注意,到现在为止,密钥起作用只是确定了明文每行是5个字母。按照密钥给出的字母顺序,按列读出,如图8.4中标出的顺序。第一次读出HI
14、E,第二次读出SJL,第三次读出PAI,第四次读出ESS,第五次读出TYM。将所有读出的结果连起来,得出密文为:HIESJLPAIESSTYM。,图8.3 密钥字母相对顺序,图8.3 换位加密,计算机网络基础 第八章,(2)现代加密算法,数据加密标准(DES)是迄今世界上最为广泛使用和流行的传统加密体制,它的产生被认为是20世纪70年代信息加密技术发展史上的两大里程碑之一。 DES是一种典型的按分组方式工作的密码,即基本思想是将二进制序列的明文分成每64位一组,用长为56位的密钥(64位密钥中有8位是用于奇偶校验)对其进行16轮代换和换位加密,最后形成密文。DES的巧妙之处在于,除了密钥输入顺
15、序之外,其加密和解密的步骤完全相同,这就使得在制作DES芯片时,易于做到标准化和通用化,这一点尤其适合现代通信的需要,在DES出现以后经过许多专家学者的分析认证,证明它是一种性能良好的数据加密算法,不仅随机性好线性复杂度高,而且易于实现。因此,DES在国际上得到了广泛的应用。采用DES算法的数据加密模型如图8.5所示。,计算机网络基础 第八章,(2)现代加密算法,DES算法的工作原理是公开算法,包括加密和解密算法。然而,DES算法对密钥进行保密。只有掌握了和发送方相同密钥的人才能解读由DES算法加密的密文数据。因此,破译DES算法实际上就是搜索密钥的编码。对于56位长度的密钥来说,如果用穷举法
16、来进行搜索的话,其运算次数为256。对于当前计算机的运算能力来说,56位的密钥已经不能算是安全的,因此在DES的基础上出现了3DES,采用128位的密钥。,图8.5 DES算法的数据加密模型,计算机网络基础 第八章,(2)现代加密算法,IEDA算法也是一个现代密钥算法中被认定是最好的最安全的分组密码算法之一。IEDA是以64位的明文块进行分组,密钥是128位长,此算法可以用于加密和解密,IEDA主要采用了三种运算:异或、模加、模乘,容易用软件和硬件来实现,运行速度也几乎同DES一样快。,计算机网络基础 第八章,8.2.3 公钥密码体制,公钥加密算法是整个密码学发展历史中最伟大的一次革命,从密码学产生至今,几乎所有的传统密码体制包括都是基于替换和分组这种初等方法,公钥密码算法与以前的密码学不同,它是基于数学函数的,更重要的是,与只使用一个密钥的对称密码不同,公钥密码学是非对称的,即它使用一个加密密钥和一个与之相关的不同的解密密钥。,计算机网络基础 第八章,8.2.2 传统密码体制,其主要步骤如下: (1)每一个用户产生一对密
