计算机网络技术课件5(吉林大学李晓峰)

《计算机网络技术课件5(吉林大学李晓峰)》由会员分享，可在线阅读，更多相关《计算机网络技术课件5(吉林大学李晓峰)（54页珍藏版）》请在金锄头文库上搜索。

1、第五章 计算机网络安全你的网络安全吗 ？ 不安全的因素：各种服务是不安全的 协议是不安全的 解决的方法（使虚拟世界真实化） ：防火墙技术 认证和加密5.1 基础知识网络安全的含义： (掌握)网络安全是指网络系统的硬件、软 件及其系统中的数据受到保护，不受偶 然的或者恶意的原因而遭到破坏、更改 、泄露，系统连续可靠正常地运行，网 络服务不中断。自然或 人为网络安全又分为：q运行系统安全，即保证信息处理 和传输系统的安全。 q网络上系统信息的安全。 q网络上信息传播的安全。 q网络上信息内容的安全。 网络安全的特征q 保密性q 完整性q 可用性q 可控性信息不泄露给非授权的用户、实体 或过程，或供

2、其利用的特性。数据未经授权不能进行改变的特性 ，即信息在存储或传输过程中保持不被 修改、不被破坏和丢失的特性。可被授权实体访问并按需求使用的 特性，即当需要时应能存取所需的信息 。网络环境下拒绝服务、破坏网络和有 关系统的正常运行等都属于对可用性的 攻击。对信息的传播及内容具有控制能力。 网络安全的威胁非授权访问（unauthorized access ）：一个非授权的人的入侵。信息泄露（disclosure of information）：造成将有价值的和高度 机密的信息暴露给无权访问该信息的人 的所有问题。拒绝服务（denial of service）： 使得系统难以或不可能继续执行任务的

3、 所有问题。网络安全的威胁（1）计算机系统的脆弱性主要来自于操作 系统的不安全性，在网络环境下，还来 源于通信协议的不安全性。 （2）存在超级用户，如果入侵者得到了超 级用户口令，整个系统将完全受控于入 侵者。 （3）计算机可能会因硬件或软件故障而停 止运转，或被入侵者利用并造成损失。 计算机系统的脆弱性计算机系统的脆弱性: :网络安全的威胁当前计算机网络系统都使用的TCPIP协议以及FTP、E-mail、NFS等 都包含着许多影响网络安全的因素，存 在许多漏洞。协议安全的脆弱性：例如：Robert Morries在 VAX机 上用 C编写的一个GUESS软件，它根 据对用户名的搜索猜测机器密

4、码口令 的程序，自在1988年11月开始在网络 上传播以后，几乎每年都给Internet造 成上亿美元的损失网络安全的威胁不管是什么样的网络系统都离不开 人的管理，但又大多数缺少安全管理员 ，特别是高素质的网络管理员。此外，缺少网络安全管理的技术规 范，缺少定期的安全测试与检查，更缺 少安全监控。令人担忧的许多网络系统 已使用多年，但网络管理员与用户的注 册、口令等还是处于缺省状态。 人为的因素：网络安全的关键技术 主机安全技术 身份认证技术 访问控制技术 密码技术 防火墙技术 安全审计技术 安全管理技术 认证和加密网络安全的策略q 网络用户的安全责任 q 系统管理员的安全责任 q 正确利用网

5、络资源 q 检测到安全问题时的对策信息安全标准q TCSEC trusted computer system evaluation criteriaq CCcommom criteria for security evaluation 最低保护等级、自主保护等级、强 制保护等级、验证保护等级主要考虑人为的信息威胁，也可用 于非人为因素导致的威胁。5.2 防火墙分组过滤装置防火墙技术就是一种保护计算机网络 安全的技术性措施，是在内部网络和外部 网络之间实现控制策略的系统，主要是为 了用来保护内部的网络不易受到来自 Internet的侵害。典型的防火墙：（应用网关或链路级网关）防火墙的类型q 网络

6、级防火墙q 应用级防火墙q 电路级防火墙网络级防火墙也称包过滤防火墙 ，通常由一个路由器或一台充当路由 器的计算机组成。应用级防火墙通常指运行代理（ Proxy）服务器软件的一台计算机主 机。电路级防火墙可以由应用层网关 来完成。电路层网关只依赖于TCP连 接，并不进行任何附加的包处理或 过滤。防火墙的主要功能如下： q 过滤不安全服务和非法用户，禁止末授 权的用户访问受保护网络。q 防火墙可以允许受保护网的一部分主机 被外部网访问，而另一部分被保护起来 ，防止不必要访问。q 防火墙可以记录下所有通过它的访问， 并提供网络使用情况的统计数据。防火墙的不足：（1）不能防范绕过防火墙的攻击。 （2

7、）一般的防火墙不能防止受到病毒感染 的软件或文件的传输。 （3）不能防止数据驱动式攻击。 （4）难以避免来自内部的攻击。 PC机的保护q 防病毒软件q 个人防火墙防病毒软件构建个人防火墙个人用户只能使用应用级防火墙， 一般都是使用包过滤和协议过滤等技术 实现的。这种防火墙能有效地防止用户数据 直接暴露在Internet中，并记录主机和 Internet数据交换的情况，从而保证了用 户的安全。“天网防火墙”5.3 加密技术 加密（cryptography）明文暗文 密码体制：常规：加密、解密，密钥相同 公开：加密、解密，密钥不同算法公开 密钥保密对称加密非对称加密（plaintext ）（cip

8、hertext ）最简单的加密技术是字母替换密码。例如：密钥中 G-T；O-%；D-W； ！-A； 消息：GOOD！密文：T%WA常规密钥密码体制（单密钥）q 数据加密标准 DES将每 64位明文用56位密钥，经 过混乱压扩技术，生成密文。q 用猜试法破解q 定期更换密钥特色：消息被加密和解密的速度。 缺点：通信过程涉及若干个人时， 需要密钥数量。如：两个人之间 只需要一个密钥；十个人，需要 45个密钥。（n(n-1)/2）公开密钥密码体制（双密钥）分为公开密钥（公钥，公开）和秘 密密钥（密钥，保密），可以用于数字 签名。q RSA算法q 不足：加密速度慢q公钥加密的暗文只有密钥可解密钥加密的

9、暗文只有公钥可解优点：需要密钥的数量降低。 缺点：加密、解密的速度慢简单描述：随机产生两个很大的 质数（每一个是300位的十 进制数，理想模式）。求两个质数的乘积（ 公钥、密钥的一部分）.数字签名过程：AB使用A的密 钥加密数字签名使用B的公 钥加密使用B的密 钥解密使用A的公 钥验证数 字签名使用数字签名：q 能够表明签名者的身份q 发送者无法抵赖（反拒认）q 不能伪造数字证书 证明权威 CA用户A产生一对密钥，将公钥及 说明用CA的公钥加密后发给CA，CA 经过对A的身份验证，认可，将A的公 钥产生一个摘要，用CA的密钥签名得 到数字证书。用户B用CA的公钥验证CA对A的 数字证书。 由于

10、公钥需要定期更换，使用数 字证书时要验证是否失效。5.4 信息隐藏技术信息隐藏技术（Information Hinding，也称信息伪装），利用人类感觉器官对数字信号的感觉冗余 ，将一个信息伪装隐藏在另一个信 息之中，实现隐蔽通信或隐蔽标识 。“保护色”与“藏头诗” 包括的内容：信息隐藏技术概述数字隐写技术数字水印信息隐藏技术概述 信息隐藏模型编码器检测器秘密信息宿主信息秘密信息宿主信息密钥密钥隐蔽宿主信息隐藏技术概述 具体描述秘密信息（Secret Message） 宿主信息（Cover Message） 密钥（Key） 嵌入算法（Embedding Algorithm ） 检测器（Dete

11、ctor）信息隐藏技术概述 信息隐藏系统的特征（1）鲁棒性（Robustness）指不因宿主文件的某种改动而导致隐藏信息丢失的能力。 包括：传输过程中的信道噪音 、 滤波操作、重采样、有 损编码压缩、D/A或A/D转换等信息隐藏技术概述 信息隐藏系统的特征（2）不可检测性（Undetectability）指隐蔽宿主与原始宿主具有一致的特性，以便使非法拦截者无法判断是否 有隐蔽信息。信息隐藏技术概述 信息隐藏系统的特征（3）透明性（Invisibility）指利用人类视觉系统或人类听觉系统属性，经过一系列隐藏处理，使目标 数据没有明显的降质现象，从而隐藏的 数据无法人为地看见或听见。信息隐藏技术

12、概述 信息隐藏系统的特征（4）不可检测性（Imperceptibility）指隐藏算法有较强的抗攻击能力，即它必须能承受一定程度的人为攻击， 而隐藏信息不会被破坏。信息隐藏技术概述 信息隐藏系统的特征（5）自恢复性指由于经过一些操作或变换后，可能会使隐蔽宿主产生较大的破坏，只从 留下的片段数据中，仍能恢复隐藏信号 ，而且恢复过程不需要宿主信号。信息隐藏技术概述 主要分支信息隐藏版权标志隐写术匿名通信隐蔽信道易碎水印鲁棒的版权标志技术上的隐写术语言学中的隐写术数据隐写术 替换系统用：秘密信息替代宿主的冗余 变换域技术：在信号的变换域嵌入 扩展频谱技术：扩频通信 统计方法：更改统计特性 失真技术：

13、通过信号失真来保存信息 载体生成方法：生成伪装载体数据隐写术 替换系统替换系统最低比特位替换LSB替换系统最低比特位替换（ Least Significant Bit Embedding LSB）黑白图象：灰阶值（明亮程度，8比特） 彩色图象：RGB（明亮程度，3个字节）利用奇偶性调制例如：(a)Normal(b)Embedded5. 5 VPN (Virtual Private Network)VPN：虚拟专用网。V、N：虚拟网，源和目的 之间的数据通路是与其他传输共 享的P、N：专用网络，非授权用 户不可访问源和目的之间所传输 的数据。VPN是一个公用IP网络上 的两个站点之间的IP连接。

14、它 的有效负荷都被加密，只有源 和目的点才能解密业务分组。VPN 提供了更高一级的安全VPN不仅能够加密用户的数 据，而且能够加密协议栈中的数 据项，某些会话攻击形式可能会 通过攻击协议栈中的数据项来损 害用户的站点。VPN 实现方式q 站点之间（R-R）VPN隧道连接 ：当建立到一个特定IP地址的连接 时，在两个路由器（具有VPN功能） 之间为其建立加密连接，即加密“隧道 ”功能。（建立“master session”）通常，两个不同厂商的路由器， 不能以隧道方式互操作。VPN 实现方式q 站点之间（R-R）VPN多协议 隧道连接：允许用户使用IP网络来传输封 装好的非IP协议分组。对于希望

15、低成本的公用IP网络 连接、但在站点之间又不是只运行 IP协议的公司非常有用。VPN 安全协议Internet的底层技术，即IP，在 设计时没有考虑安全问题，因此开 发出几个VPN协议以保护VPN自身 。这些协议包括：点对点隧道协 议（PPTP）、2层转发（L2F）、 2 层隧道协议（L2TP）和IP安全（ IPSec）。VPN 安全协议q 点对点隧道协议（PPTP）PPTP集成在Windows NT中， 使用Microsoft 专用的点对点加密算 法，该算法为远程拨号和 局域网-局 域网提供了加密和身份认证。PPTP最终会结合到IPSec中。VPN 安全协议q 2层转发（L2F）提供了ISP

16、服务器和网络之间的 隧道。用户建立一条到ISP服务器的点 对点拨号连接。服务器将ppp桢封装 在L2F桢内，封装后被转发到3层设 备（路由器）进行传输。VPN 安全协议q 2层隧道协议（L2TP）结合PPTP与L2F。尚在开发中 。VPN 安全协议q IP安全（IPSec）IPSec为VPN提供端对端的数据 加密和认证。安全是相对的总有办法发现算法的漏洞或者加密 技术的关键结构。使用加密技术的真正问题是经济问 题。自己或家人的名字 公司或同事的名字 操作系统、主机、电子邮件生成强口令：生成口令时，避免使用：q 任何类型的名字很难猜到的口令， 对应于弱口令q 任何的电话号码q身份证上的数字部分 q任何人的生日 q任何字典中的单词难猜的口令包括：大写字母和小写字母，数字 ，标点符号，特殊字符（=、*、 、） 并且通常需要7到8位长度 。“