《网络安全和防火墙 第2部分 网络安全的要素、应用加密》由会员分享,可在线阅读,更多相关《网络安全和防火墙 第2部分 网络安全的要素、应用加密(50页珍藏版)》请在金锄头文库上搜索。
1、2006 VCampus Corporation All Rights Reserved. 第三单元网络安全的要素学习目标 阐述一个有效的安全策略所包含的基本元素 根据需求合理选择安全设备和软件 掌握用户身份验证的主要方法 理解访问控制方法 解释并实施访问控制列表 列举出三种在互联网上主要的加密方法 理解审核需求安全的基本元素 每一个元素都与其他元素共同作用以确保一个机构 能够尽可能安全有效的通信。安全策略 安全策略必须为整个组织机构提供指导方针,它是 建立安全系统的第一道防线。通常应包括以下内容 :确定要保护的资源 规范员工的行为 安全措施的量化建立安全策略的步骤 划分系统级别 确定风险和划
2、分资源优先级 指定风险要素 定义可接受行为和不可接受行为 根据员工在公司中的角色进行教育 确定谁将执行安全策略划分系统级别 一般系统资源可分为三类 : 级别I 此类系统是商业动作的中心。如员工数 据库、用户帐户数据库和电子邮件服务 器 。 级别II 此类系统是需要的,但对于日常动作不 是至关重要的。 级别III 只要不对级别I和级别II中的系统产生影 响,本地桌面计算机就应该属于该级 别。合理地为系统分类 不要把太多的资源划分到级别I,级别I仅仅是那些 一旦出现问题会对系统造成巨大损失的资源,通常 占到系统比例的5%。 级别II的资源通常占到系统比例的20%。 级别III的资源占到75%的比例
3、。策略和技术之间的关系 人驱动策略策略指导技术技术服务于人定义可接受行为和不可接受行为 管理员必须区分可接受行为和不可接受行为,并根 据每个资源来定义这种行为。 可接受行为和不可接受行为的定义不是绝对的。最 好的解决方案是定期定义和列举出不可接受行为。 员工教育 级别需要掌握的知识 用户能有安全威胁和漏洞的敏感性 能产生需要识别的保护组织 的信 息和资源 执行人 员提供决定信息安全计划策略时所需 的组织安全知 识的级别 管理人员 培养识别和确定威胁与漏洞的能力 ,为系统和资 源设置安全需要加密技术 加密技术是使某些内容只有目标接收人才能读懂其 含义的一种方法。所有的加密技术都要使用算法, 它是
4、一种复杂的数学规则,被设计用来搅乱信息。 加密技术分类 对称加密 非对称加密 HASH加密加密技术的应用服务描述数据保密 性这是加密技术的常用用途,通过 使用算法,可 以确保只有目标接受者才能查看 数据。 数据完整 性仅实现 数据保密是不够安全的, 数据仍然能够 被非法破解并修改。使用HASH算 法能确定数据 是否被修改过。 认证数字签名提供认证服务,以确保 数据来源安全 可靠。 不可否定 性数字签名用于证明一项事务确实 发生过。金融 系统尤其依赖于这种加密方式, 用于电子货币 交易。加密技术的强度 加密技术的强度基于三个主要因素:算法强度:我们应该运用工业标准算法,任何新 算法在没有经过商业
5、验证之前是不能被信任的 。 密钥的保密性能 :数据的保密程度与密钥的隐 秘性是联系在一起的。 密钥的长度:密钥的长度增加一位将使可能的密 钥组合的数量增加一倍。身份验证 身份验证是验证用户、系统或系统组件身份的一种 能力。 身份验证方法包括: 证实你所知道的(What you know?) 出示你所拥用的(What you have?) 证明你是谁(Who are you?) 识别你在哪儿(Where are you?)智能卡 智能卡都有微芯片,芯片中可以包含所有者的个人 信息、驾照信息及医疗信息等,这些信息可用于证 明持卡人的身份。特殊的身份验证技术 Kerberos系统 美国麻省理工大学,
6、为分布式计算机环境提供 的一种对用户双方进行验证的认证方法,增强 了客户机对服务器的认证,防止来自于服务器 的欺骗。 一次性口令(OTP) 访问控制 一个系统要保证个人、系统或进程只访问它们所需 要的资源,就会涉及访问控制。 实现这种控制的两种普遍方法是:访问控制列表( ACL)和执行控制列表(ECL)。访问控制列表(ACL) ACL决定用户是否可以访问特殊的对象,如果用户 具有访问一个对象的权力,则ACL明确定义了用户 可以对此对象做哪些事情。实验3-1 查看并修改Windows 2003文件夹的NTFS权限 查看并修改Windows 2003文件夹的共享权限实验3-2 对Red Hat L
7、inux系统的Apache Web服务器的目录 执行访问控制。 执行控制列表(ECL) 执行控制列表(ECL)列出了应用程序运行时可以 操作资源的行为,应用程序和操作系统都使用ECL 。 ECL的例子有: Windows 2003本地和域安全策略设置。 Linux系统的可插入身份验证模块(PAM)。通 过编辑/etc/pam.d和/etc/security/cons- ole.apps目录中的文件,可以控制应用程序的 执行。 浏览器可以保证限制Java和JavaScript应用程 序。 实验3-3 使用Netscape Navigator来设置执行控制列表以防 范恶意代码 . 恶意代码如下:B
8、rowser Locker =0;i+) alert(“Stop me if you can!“); / Are you frustrated yet? 实验3-4 为Windows 2003 MMC管理单元配置通用的执行控制 列表。 实验3-5 在Linux下,为su命令建立执行控制列表 审核 被动审核: 是指计算机简单地记录活动,但不做任 何事情。它不是一种实时的监测机制。 主动审核: 主要是对非法访问和侵入做出反应。反 应包括: 结束会话。 拒绝一些主机的访问(包括WEB站点, FTP服务器和E-mail服务器。 跟踪非法活动找到源位置。安全的权衡考虑和缺点 可能带来的缺点包括: 增加了
9、复杂性 降低了系统响应速度 2006 VCampus Corporation All Rights Reserved. 第四单元应用加密学习目标 使用加密的意义和作用 使用公共密钥创建信任关系 了解对称加密、非对称加密和hash加密 了解与加密相关的术语 在Windows 2003和Linux系统中应用和部署公共密 钥加密 企业中PKI技术的应用 数字签名的作用加密的主要功能 数据的保密性:加密能防止数据不被未授权的用户 知道。 身份验证:通过验证用户的加密要素,从而识别用 户的身份。 保证数据的完整性:加密能保证和检查数据有没有 被更改。创建信任关系 应用加密意味着在两个主机之间建立信任关系
10、,主 机利用密钥加密信息,从而保证只有相对应的某个 远程主机才能解密信息,加密过程一般用公共密钥 完成。 公钥的发布方法有两种: 手动发布 :这种方法通常用在邮件信息的加 密里面。 自动发布:主要使用到的是公共密钥结构体 系,如Windows 2003的域里面 就是采用了自动发布公钥。Round 加密术语Round是在加密过程中一个离散过程。通 常一种算法要经过很多“轮”的运算。大多数的对 称加密算法都使用很多次的轮数进行加密。 Parallelization Parallelization是指使用多进程、多处理器或多 台机器来破解一种加密算法。Strong Encryption 强加密是使用
11、一些超过128位长度的密钥来实施的 。 对称密钥加密 对称密钥加密也称为单密钥加密特点:快速并易于实施,适合大量信息的加密, 管理不便 ,容易被破解。对称加密算法 对称加密算法有: DES (Data Encryption Standard) 数据加密标准 Triple DES 三重DES RSA算法 RC2 and RC4 RC5 RC6 Blowfish (up to 448bit) and Two fish(up to 256) Skipjack 美国国家安全局设计的加密程序 MARS 由IBM设计,速度比DES要快数据加密标准 DES DES是一种block(块)密文的加密算法,是把数
12、据 加密成64位长度的block(块)。使用相同的密钥 来加密和解密,这种标准使用一种叫做 “diffusion and confusion”的技术。每64位的 数据被分成两半,并利用密钥对每一半进行运算( 称做次round或是轮),DES运行16个rounds,并 且对于每个round运算所使用密钥的位数是不同的 。 TripleDES (三重DES ) 信息首先被使用56位的密钥加密,然后用另一个56 位的密钥译码,最后再用原始的56位密钥加密,实 际上运行了三次,也就是原有DES密钥长度的3倍。 RSA安全公司的对称算法 RC2和RC5 :RC2是一种block(块)模式的密文,就 是把
13、信息加密成64位的数据块。RC5使用128位密钥 的算法并有12到16个rounds。 RC4 :RC4是种流式的密文而不是块式密文件,加 密是动态的,不像RC2有个固定的块大小,就是实 时的把信息加密成一个整体。密钥的长度也是可变 的,在美国一般密钥长度是128位,向外出口时限 制到40位,因为受到美国出口法的限制。Lotus Notes,Oracle SQL都使用RC4的算法。 Two fish和MARS Two fish这种算法使用128位的block并且速度很快 。Two fish支持28位,192,和256位的密钥,是一 种可用于智能卡上的加密算法。 MARS是由IBM提出的种算法,
14、并且速度要比DES 还要快,和Two fish一样,它主要也是面向工作在 智能卡上而设计的。 其它的对称加密算法 Misty1和Misty2:是由日本三菱电子开发的一种算 法,采用一种128位的块密钥加密,每块64位。 Misty2经过改进比Misty更快。 Gost: 最初是由苏联用于研究用途,也是一种块密 文的加密方式,密钥长度为256位,每块的长度为4 位。 Cast 256:一种采用64位为一块,而密钥长度为256 的块密文加密方式。 HNC:用于一系列的私有加密或非正式加密的应用 ,它由HNC(www.hack-)公司所开发,主 要用于创建分发软件包的访问代码。实验4-1 使用Apo
15、calypso程序加密和解密文件非对称加密 也称为公钥加密,成对使用,公钥对外公开,私钥 需要安全保护。特点:算法精密,保密性好,密钥便于管理,加 密速度慢。非对称密钥加密元素 非对称密钥加密元素包括: RSA美国国家技术标准局的标准,被广泛采用 DSA (Digital Signature Algorithm) 用于 LINUX Diffie-Hellman 密钥交换协议,开放式标准HASH加密 HASH加密是把一些不同长度的信息转化成杂乱的 128位编码,叫做hash值。解密是不可能的,也叫 一次性加密,广泛用于身份识别,安全加密,数字 签名等。HASH算法 HASH算法包括: MD2, MD4 and MD5 :使用不同长度的数据流,产生一 个唯一的指纹,用于对E-mail,证书,保证内容完整性的 相关应用。 安全HASH算法(SHA) :由NIST和NSA开发并应用于美国 政府,160位hash值,结构与MD5类似,速度比MD5慢25%, 比MD5更安全,产生的Hash值比MD5长25%。扩展实验4-1 在LINUX中用MD5验证HASH算法 在Windows 2003中用MD5验证HASH算法应用加密的过程应用加密的过程PGP和GPG 针对电子邮件和文本文件最流行的高技术加密程序 就是PGP和GPG,两者是最成功的采用对称加密和非
