《(2020年){安全生产管理}计算网络安全讲义复习讲义》由会员分享,可在线阅读,更多相关《(2020年){安全生产管理}计算网络安全讲义复习讲义(18页珍藏版)》请在金锄头文库上搜索。
1、安全生产管理计算网络安全讲义复习讲义常事件存在的一种安全技术。入侵检测技术的工作效率受到审计记录和知识库的影响。入侵检测产品主要包含传感器(sensor)与控制台(console)两部分。传感器采集、分析数据并生成安全事件,而控制台则起中央管理作用,负责与管理员沟通,以及时对已经检测到的威胁采取措施。入侵检测产品可分为基于网络的、基于主机的混合型三类。6、信息系统安全信息系统安全技术主要涉及到加密、解密和公钥基础设施。要保证一个信息系统的安全,包括如下四个方面的内容:1)数据传输安全性即采用数据加密来保证数据在公网上的传输不被第三者窃取,如结合对称密钥和公开密钥加密技术实现的数字信封技术。2)
2、数据完整性即保证数据在传输过程不被篡改,散列函数和数字签名是常用的保证数据完整性的技术。多重数字签名可保证多方通信时的数据完整性。3)身份验证即采用口令字技术、公开密钥技术或数字签名技术以及数字证书技术等来实现对通信双方进行身份真实性确认的一种安全技术。4)不可抵赖性即通过数字签名、数字证书等技术来确保信息发送或接收时带有特有的、不可复制的信息,以保证通信双方在交易时不发生纠纷。第二讲密码学概述与公开密钥体系基础1、 密码学密码学(cryptology)是研究秘密书写的原理和破译密码的方法的一门科学,主要包括密切相关的两个方面:意识密码编码学(cryptography),主要研究如何设计出好的
3、密码体制的方法,保护信息不被侦破;二是密码分析学(cryptanalysis),研究攻破一个密码系统的方法,回复被隐藏起来的信息。2、 密码系统一个密码系统包括明文(cleartext或plaintext)字母空间,密钥(key)和算法(algorithm),其中算法和密钥是基本单元。算法是一些公式,法则,给定明文与密文之间的变换方法。密钥可以看作是算法的参数。3、 Polybius校验表加密Polybius校验表由一个5*5的网格组成,网格中包含26个英文字母,其中I和J在同一格中。每一个字母被转换成两个数字,即第一个字母所在的行数,第二个是字母所在的列数。如字母A就对应着11,字母B对应着
4、12,以此类推。使用这种密码可以将明文“message”置换为密文“215”。4、 密码体制分类按对明文的加密方式的不同,传统的密码体制可以分为两类:一类方式中,将明文字符串分成多个字符的组,逐一进行加密得到密码,被称作流密码或序列密码。5、 密码攻击根据攻击的方式不同,密码攻击可分为主动攻击(activeattack)和被动攻击(passiveattack)两类。采用截获密文进行分析的攻击叫被动攻击;采用删除、修改、增添、重放、伪造等手段破坏系统正常通信并进行密码分析的攻击叫主动攻击。6、 凯撒密码“凯撒密码”是古罗马凯撒大帝用来保护重要军情的加密系统。它是一种替代密码,通过将字母按顺序推后
5、起k位起到加密作用。假定选择字母按顺序推后3位作为密码,那么指令:RETURNTOROME加密后就成为:UHWXUAWRURPH。只要通信双方通过某安全渠道知道了密钥k,则密码和解密过程就很容易进行。但通常情况下明文和密文空间中元素个数n均很小,且0=kn,所以,要破解任意密码最多只需尝试n次即可得到有意义的明文,这种攻击称作穷举攻击(Exhaustivekeysearch)。7、 简单置换密码系统8、 DES数据加密标准(dataencryptionstandard,DES)出自IBM,并在1997年被美国政府正式采纳,在保护金融数据的安全中它得到广泛应用,通常自动取款机ATM都是用DES.
6、9、对称密码体制的总结:1) 同一个密钥,既用于加密也用于解密;2) 加密与解密速度快;3) 安全性高;4) 所得到的密文紧凑;5) 要在收发双方安全地传递密钥,在现实环境下很难做到;6) 通信参与者数目较大时,系统所需密钥数与参与者的数目的平方成正比,密钥管理难度很大,故对称密码体制很难用于参与者数目较多的情况;7) 对称加密技术不适合于数字签名和不可否认性控制。10、公钥密码体制公开密钥体制中,每个用户U均拥有两个密钥,一个是加密密钥K,另一个是解密密钥Ke,另一个是解密密钥Kd,且对于任意可能的消息m,均有(即要求):PK1:D(Kd,E(Ke,m)=m这样,假定A要发信息给B,则A只要
7、从公告环境中均查到B的加密密钥Keb即可完成信息的加密:E(Keb,m)=c;而当B收到11、数字签名数字签名的基本要求是:1) 收方能根据信任的第三方来证明报文内容的真实性;2) 发方不能根据自己的利益要求,事后对报文真实性进行否认;3) 收方不能根据自己的利益要求对报文或签名进行伪造。12、数字签名的过程要确认用户身份,发送方应该具备一对用于数字签名的密钥对KDSe和KDSd,且对任意消息m满足下式:PK4:E(KDSe,D(KDSd,m)=m数据发送方在签名时执行:c=D(KDSd,m)接收方在确认发送方身份时执行:m=E(KDSe,c)=E(KDSe,D(KDSd,m)此时,KDSe、
8、KDSd均是数据发送方的签名密钥,几乎所有人均可以执行接受者的操作,读出m,但是只有发送方才能产生如下偶对:(m,D(KDSd,m),故使用这个偶对可以对所有人发布一个确认发送者身份的消息,可以防止发送者事后否认。如果要保证只有授权用户才可以读消息,则在发送消息的时候可以加入授权者的公钥,收发双方操作如下:发送方:c=E(Ke b,D(KDSd a,m)接收方:E(KDSe a,D(Kd b,c)=E(KDSe a,D(Kd b,E(Ke b,D(KDSd a,m)=m这样,尽管其他用户知道KDSe a和c但是他们不知道B的私钥Kd b,故也不能解密出m,秘密消息就被安全传送到B了。13、公钥
9、密码体制的特点1)两个密钥,一个用于加密另一个用于解密2)加密体制是安全的3)发送者不必分发密钥给接受者,故不用建立专用渠道用于密钥分发与管理,也不存在密钥被截获的可能性4)系统分发的密钥数只是用户的公钥,与用户数量一致5)支持数字签名6)加密和解密过程较之于对称密钥体制为慢7)可能导致密文变长14、RSA密码体制RSA算法是最著名的公开密码体制,1978年提出,基于大数分解(NP)的难度。其公开密钥e和私人密钥d是一对大素数的函数,从一个公开密钥e和密文c中恢复出明文m的难度等价于分解两个大素数之积n。RSA算法过程:首先是设计密钥,然后是对消息加密,最后是对密文解密。1、 设计密钥先产生两
10、个足够大的强质数p、q(通常为百余位长)。可得p与q的乘积n=p*q。再由p和q算出另一个数z=(p-1)*(q-1),然后再选取一个与z互素的奇数e(1ez),称e为公开指数;从这个e值找出另一个值d(1dz),满足e*d=1mod(z)。舍弃p和q(但绝不能泄露)。由此而得到的两组数(n,e)和(n,d)分别被称为公开密钥和秘密密钥,或简称为公钥和私钥。2、 加密对于明文M,用公钥(n,e)加密可得到密文C:C=Memod(n)3、 解密对于密文C,用私钥(n,d)解密可得到明文M。M=Cdmod(n)当定义先用私钥(n,d)进行解密后,然后用公钥(n,e)进行加密,就是数字签名。第三讲防
11、火墙基础1、 防火墙的概念防火前是设置在不同网络或网络安全域之间的一系列部件的集合,它执行预先制定好的访问控制策略,决定内部网络与外部网络之间的访问方式。作为一种隔离技术,防火墙一方面要拒绝未经授权的用户访问网络或存取敏感数据;另一方面要保证合法用户不受妨碍地使用2、 防火墙的作用1) 网络安全的屏障,即通过执行精心设计的网络安全策略,防火墙可以阻止不安全的服务访问网络,最大限度地保证网络安全。2) 可以强化网络安全策略,即通过将网络安全配置集中在防火墙进行,既减少组织与管理的麻烦,还更经济。3) 对网络存取和访问进行监控审计。在如果所有通信都必须通过防火墙来完成,则防火墙可以对通信内容进行日
12、志记录和网络情况统计。当网络被攻击时可以及时报警并采取措施。4) 防止内部网络信息的外泄。通过防火墙对内部网络的划分,可实现对内部网络重点网段的隔离,从而减少重点网段敏感数据对全网安全带来的影响。同时使用防火墙屏蔽内部网络的细节,可以减少诸如Finger.、DNS等服务带来的不良影响。5) 除了安全作用,防火墙还支持VPN。3、 防火墙工作原理根据防火墙功能实现在TCP/IP模型中的层次,防火墙工作原理可以分为三类:一是分组过滤技术,在网络层实现防火墙功能;一是代理服务技术,在应用层实现防火墙功能;一是状态检测技术,在网络层、传输层和应用层实现防火墙功能。l 分组过滤技术本技术基于路由器技术,
13、通常由分组过滤路由器对IP分组进行分组选择,允许或拒绝特定的IP分组。分组过滤的依据主要有源IP、目的IP、源端口、目的端口。基于源或目的IP的过滤根据制定的安全规则,将具有特定IP特性的分组过滤掉,从而实现对内部网络的保护。分组过滤技术的优点:逻辑简单;价格便宜;对网络性能影响小;对用户透明性好;与具体的应用程序无关;易于安装。分组过滤技术的缺点:1) 配置基于分组过滤的防火墙,需要对TCP、IP以及各种应用协议有较深入的了解,否则容易配置出错。2) 过滤过程只能对网络层的数据包进行判别,无法满足一些特殊的安全要求,如身份鉴别机制无法实现。l 代理服务技术代理服务技术是由一个高层的应用网关作
14、为代理服务器,接受来自外部的应用连接请求,在代理服务器上进行安全检查后,再与被保护的应用服务器连接,使得外部用户可以在受控制的前提下使用内部网络的服务。同时内部网络到外部网络的连接请求也在该网关的监控下进行,从而保证内部网络得到更好的保护。代理服务技术的特点:由于代理服务作用于应用层,它能够理解应用层上的协议,因此可以作更复杂更细致的访问控制;由于所有进出服务器的客户请求均要通过代理网关的检查,故详细的注册和审计记录变得可行;认证、授权等高层安全控制手段可以方便地应用于代理服务器上,故内部网络可以得到更好的保护。但是代理服务工作过程对用户不透明,用户使用时要对不同的协议和服务设置不同的代理,使
15、用过程不方便。l 状态检测技术状态检测技术既像分组过滤技术一样在IP层上检测IP地址和端口,对数据包进行过滤;也可以同代理服务一样,在应用层上对数据包的内容进行检查,应用高层的网络安全协议。状态检测技术采用一个在网关上执行网络安全策略的软件引擎(检测模块),对网络通信额各层实施检测分析,提取相关的通信和状态信息,并在一个称作动态链接表的数据表中存储和更新,为下一个通信检查提供数据。如果一个访问违反了网络安全策略,检测模块将拒绝访问并在日志中作出记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用RPC和用户数据包UDP之类端口,其安全级别就更高了。状态监测防火墙安全性高,但是它会降低网络的速度,安全策略配置过程也比较复杂。4、 防火墙体系结构l 屏蔽路由器结构这是最基本的结构,可以由专门的路由器来实现,也可以使用主机来实现,屏蔽路由器作为内外网连接的唯一通道,要求所有报文均在此接受检查,过滤未授权的报文。这一结构一旦被攻破,很难发现;同时这种结构也很难识别不同德用户。l 双穴主机网关结构这是一台装有两张网卡的主机做防火墙,两块网卡分别与受保护网络和外部网络相连,堡垒主机上运行防火墙软件,负责对过往的数据包进行检查。其结构图可表示为:本结构优于屏蔽路由器结构
