《计算机网络教学课件 PPT 作者 张玉英 梁光华 第10章 网络安全技术》由会员分享,可在线阅读,更多相关《计算机网络教学课件 PPT 作者 张玉英 梁光华 第10章 网络安全技术(49页珍藏版)》请在金锄头文库上搜索。
1、第10章 网络安全技术,第10章 网络安全技术,10.1网络安全概述 10.2 数据加密技术 10.3 防火墙技术 10.4 网络病毒与防范技术 10.5入侵检测技术,10.1网络安全概述,10.1.1 什么是网络安全 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和
2、可控性的相关技术和理论都是网络安全的研究领域。,10.1.2 网络安全的特征,概括起来说,网络安全的主要特征表现如下: 1 完整性 完整性是指网络中的信息安全、精确与有效,不因种种不安全因素而改变信息原有的内容、形式与流向,确保信息在存储或传输过程中不被修改、不被破坏和丢失。 2 保密性 保密性是指网络上的保密信息只供经过允许的人员,以经过允许的方式使用,信息不泄露给未授权的用户、实体或过程,或供其利用。,10.1.2 网络安全的特征,3 可用性 可用性是指网络资源在需要时即可使用,不因系统故障或误操作等使资源丢失或妨碍对资源的使用。 4 不可否认性 不可否认性,是面向通信双方信息真实统一的安
3、全要求,包括收、发方均不可抵赖。也就是说,所有参与者不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发方不真实地否认已发送的信息,利用递交接收证据可以防止收方事后否认已经接收的信息。 信息传输中信息的发送方可以要求提供回执,但是不能否认从未发过任何信息并声称该信息是接收方伪造的。信息的接收方不能对收到的信息进行任何的修改和伪造,也不能抵赖收到的信息。,10.1.2 网络安全的特征,5 可控性 可控性是指对信息的传播及内容具有控制能力的特性。信息接收方应能证实它所收到的信息内容和顺序都是真实、合法、有效的,应能检验收到的信息是否过时或为重播的信息。信息交换的双方应能对对方的身份进行鉴
4、别,以保证收到的信息是由确认的对方发送过来的。,10.1.3 网络安全体系结构,OSI安全体系结构的研究始于1982年,于1988年完成,其成果标志是ISO发布了ISO7498-2标准,作为OSI基本参考模型的补充。这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、9种安全机制。它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置。它还确定了OSI安全体系的安全管理。,10.1.3 网络安全体系结构,OSI网络安全体系定义的5类安全服务是: 1对等实体鉴别服务 确认有关的对等实体是所需的实体。这种服务由N层提供时,将使N+1层实体确信与之打交道的对等
5、实体正是它所需要的N+1实体。 2访问控制服务 防止对资源的未授权使用,包括防止以未授权方式使用某一资源。这种服务提供保护以对付开放系统互连可访问资源的非授权使用。 3数据完整服务 这种服务对付主动威胁。在一次连接上,连接开始时使用对某实体的鉴别服务,并在连接的存活期使用数据完整服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证。,10.1.3 网络安全体系结构,4禁止否认服务 这种服务可取如下两种形式,或两者之一: (1)有数据原发证明的抗否认 为数据的接收者提供数据的原发证据。这将使发送者不承认未发送过这些数据或否认其内容的企图不能得逞。 (2)有
6、交付证明的抗否认 为数据的发送者提供数据交付证据。这将使接收者事后不承认收到过这些数据或否认其内容的企图不能得逞。,10.1.3 网络安全体系结构,5数据保密服务 数据保密服务是针对信息泄露、窃听等威胁的防御措施,它的目的是保护网络中各系统之间交换的数据,防止因数据被截获而造成的泄密。这种服务又分为信息保密、选择段保密和业务流保密。信息保密是保护通信系统中的信息或网络数据库的数据;选择段保密是保护信息中被选择的部分数据段;业务流保密是防止攻击者通过观察业务流,如信源、信宿、转送时间、频率和路由等来得到敏感的信息。,10.1.3 网络安全体系结构,OSI网络安全体系定义的9种安全机制是: 1加密
7、机制 加密机制主要用来加密存储数据,是保护数据最常用的方法。 2数字签名机制 数字签名机制由两个过程组成:对信息进行签字的过程和对已签字信息进行证实的过程。签名机制必须保证签名只能由签名者的私有信息产生。,10.1.3 网络安全体系结构,3访问控制机制 访问控制机制是从计算机系统的处理能力方面对信息提供保护。它根据实体的身份及其信息,来决定该实体的访问权限。访问控制按照事先确定的规则决定主体对客体的访问是否合法。 4数据完整性机制 在网络中传输或存储数据可能会因为一些因素,使数据的完整性受到破坏。,10.1.3 网络安全体系结构,5认证机制 在计算机网络中认证主要有站点认证、报文认证、用户和进
8、程的认证等。多数认证过程采用密码技术和数字签名技术。对于用户身份认证,随着科学技术的发展,用户生理特性认证技术将得到越来越多的应用。 6业务流量填充机制 攻击者攻击的方法之一就是流量分析。攻击者通常通过分析网络中某一路径上的业务流量和流向来判断某些事件的发生。,10.1.3 网络安全体系结构,7路由控制机制 在大型计算机网络中,数据从源节点到达目的节点可能存在多条路径,其中有些路径是安全的,而有些路径是不安全的。路由控制机制可根据信息发送者的申请,选择安全路径,以确保数据安全。为了使用安全的子网、中继站和链路,既可预先安排网络中的路由,也可对其动态地进行选择。 8公证机制 引入公证机制后,通信
9、双方进行数据通信时必须经过这个机构来交换,以确保公证机构能得到必要的信息,供以后仲裁时使用。仲裁数字签名技术就是这种公证机制的一种技术支持。,10.1.3 网络安全体系结构,9安全审计跟踪机制 审计跟踪机制能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它进行访问或破坏。审计跟踪机制提供了一种不可忽视的安全机制,它潜在的价值在于经事后的安全审计可以检测和调查网络中的安全漏洞。 安全服务与安全机制有着密切的联系,安全服务由安全机制来实现,它体现了网络安全模型的功能。一个安全服务可以由一个或几个安全机制来实现,同样,一个安全机制也可用于实现不同的安全服务中。,10.2 数据加密技术
10、,10.2.1 数据加密算法 一个密码体制通常由5个部分构成,如图10-1所示: (1)全体明文集合M,称为明文空间 (2)全体密文集合C,称为密文空间 (3)全体密钥集合K,称为密钥空间 (4)加密算法E,由加密密钥控制的加密变换集合 (5)加密算法D,由解密密钥控制的解密变换集合 任意m属于M,k属于K,有Dk(Ek(m)m。,10.2.1 数据加密算法,10.2.1 数据加密算法,按密钥管理方式的不同来分,密码体制可以分为对称密钥体制和非对称密钥体制两类。对称密钥体制也称私密钥、单密钥;非对称密钥体制也称公开密钥、双密钥。 1对称加密算法 对称密码技术采用的解密算法是加密算法的逆运算。该
11、技术的特点是在保密通信系统中发送者和接收者之间的密钥必须安全传送,而双方通信所用的秘密密钥必须妥善保管。 对称密码技术的典型代表有:古典密码技术、序列密码技术和分组密码技术(如DES、IDEA、AES等)。,10.2.1 数据加密算法,2非对称加密算法 非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来。 非对称加密算法的典型代表是RSA算法。,10.2.2 常用的数据加密标准,1美国数据加密标准(Data Encryption Standard,DES) 美国数据加密标准是在20世纪70年代中期由美国IBM公司的一
12、个密码算法发展而来的,1977年美国国家标准局公布DES密码算法作为美国数据加密标准。直到今日,尽管DES已经经历了20多个年头,但在已知的公开文献中,还是无法完全地、彻底地把DES给破解掉。换句话说,DES这套加密方法至今仍被公认是安全的。 DES算法从诞生开始,就被各个领域广泛采用,包括ATM柜员机、POS系统、收费站等,DES以它高强度的保密性能为大众服务。,10.2.2 常用的数据加密标准,2国际数据加密算法(International Data Encryption Algorithm,IDEA) 国际数据加密算法(International Data Encryption Algo
13、rithm,IDEA)是由瑞士联邦理工学院Xuejia Lai和James Massey的在1990年提出的。IDEA是最近几年提出的用来替代DES的许多算法中的一种,是一个对称分组密码算法。 IDEA是一种使用128位密钥以64位分组为单位加密数据的分组密码算法。,10.2.2 常用的数据加密标准,3 RSA算法 RSA算法是一个非对称密钥加密算法,是公开密码体制中最著名的一个。它由Rivest、Shamir和Adleman于1978年提出。RSA的取名就是来源于三个人名字的首写字母。它是基于数论中大整数的素数分解是困难的(即寻求两个人素数比较简单,但是将它们的乘积分解开却是极其困难的)这一
14、问题而提出的。,10.2.2 常用的数据加密标准,运用RSA算法进行加密和解密,按以下步骤进行。 (1) 先任意选取两个不同的质数p和q。 (2) 计算n=pq和欧拉函数z=(p-1)(q-1)。 (3) 选择一个与z互质的数d。 (4) 求出e,满足de=l mod z。 (5) (e,n)作为公开的加密密钥,将明文分成长度小于ln n位的明文块,欲加密的明文信息为P(0Pn),加密过程为C=Pe mod n。 (6) (d,n)作为秘密的解密密钥,解密过程为P=Cd mod n。,10.3 防火墙技术,10.3.1 防火墙概述 防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以防止火灾
15、发生的时候蔓延到别的房屋。防火墙的英文名为“Firewall”,是位于两个或多个网络间,实施网络之间访问安全控制的一组组件集合。,10.3.1 防火墙概述,10.3.2防火墙的功能,(1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄,10.3.2防火墙的功能,同时防火墙还有一定的局限性: (1)不能防范恶意知情者泄密。 (2)不能防御绕过防火墙的攻击。 (3)不能防御完全新的威胁。 (4)不能防止特洛伊木马。 (5)不能防止传送已感染病毒的软件或文件。 (6)不能防御内部攻击。 (7)影响网络性能。,10.3.3防火墙的
16、分类,防火墙有很多种分类方法: (1)按软、硬件形式划分 软件防火墙:软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。 硬件防火墙:传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。芯片级防火墙:芯片级防火墙基于专门的硬件平台,没有操作系统。,10.3.3防火墙的分类,(2)按防火墙技术划分 防火墙技术虽然出现了许多,但总体来讲可分为“分组过滤型”、“应用代理型”以及“分组过滤型”与“应用代理型”相结合的“状态检测型”三大类。“分组过滤型”以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,“应用代理型”后者以美国NAI公司的Gauntlet防火墙为代表。,10.3.3防火墙的分类,(3)按防火墙结构划分 从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (4)按防火墙的应用部署位置划分 如果按防火墙的应用部署位置
