《计算机网络技术课程5吉林大学李晓峰》由会员分享,可在线阅读,更多相关《计算机网络技术课程5吉林大学李晓峰(54页珍藏版)》请在金锄头文库上搜索。
1、第五章 计算机网络安全,你的网络安全吗 ?,不安全的因素: 各种服务是不安全的 协议是不安全的,解决的方法(使虚拟世界真实化): 防火墙技术 认证和加密,5.1 基础知识,网络安全的含义: (掌握),网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,自然或人为,网络安全又分为:,运行系统安全,即保证信息处理和传输系统的安全。 网络上系统信息的安全。 网络上信息传播的安全。 网络上信息内容的安全。,网络安全的特征,保密性,完整性,可用性,可控性,信息不泄露给非授权的用户、实体或过程,或供其利用的特性
2、。,数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。,可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。,对信息的传播及内容具有控制能力。,网络安全的威胁,非授权访问(unauthorized access):一个非授权的人的入侵。,信息泄露(disclosure of information):造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。,拒绝服务(denial of service):使得系统难以或不可能继续执行任务的所有问题。,网络安全
3、的威胁,网络安全的威胁,例如:Robert Morries在 VAX机上用 C编写的一个GUESS软件,它根据对用户名的搜索猜测机器密码口令的程序,自在1988年11月开始在网络上传播以后,几乎每年都给Internet造成上亿美元的损失,网络安全的威胁,网络安全的关键技术,主机安全技术 身份认证技术 访问控制技术 密码技术 防火墙技术 安全审计技术 安全管理技术,认证和加密,网络安全的策略,网络用户的安全责任 系统管理员的安全责任 正确利用网络资源 检测到安全问题时的对策,信息安全标准,TCSEC trusted computer system evaluation criteria,CC c
4、ommom criteria for security evaluation,最低保护等级、自主保护等级、强制保护等级、验证保护等级,主要考虑人为的信息威胁,也可用于非人为因素导致的威胁。,5.2 防火墙分组过滤装置,防火墙技术就是一种保护计算机网络 安全的技术性措施,是在内部网络和外部 网络之间实现控制策略的系统,主要是为 了用来保护内部的网络不易受到来自 Internet的侵害。,典型的防火墙:,(应用网关或链路级网关),防火墙的类型,网络级防火墙,应用级防火墙,电路级防火墙,网络级防火墙也称包过滤防火墙,通常由一个路由器或一台充当路由器的计算机组成。,应用级防火墙通常指运行代理(Prox
5、y)服务器软件的一台计算机主机。,电路级防火墙可以由应用层网关来完成。电路层网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。,防火墙的主要功能如下:,过滤不安全服务和非法用户,禁止末授 权的用户访问受保护网络。,防火墙可以允许受保护网的一部分主机被外部网访问,而另一部分被保护起来,防止不必要访问。,防火墙可以记录下所有通过它的访问,并提供网络使用情况的统计数据。,防火墙的不足:,(1)不能防范绕过防火墙的攻击。 (2)一般的防火墙不能防止受到病毒感染 的软件或文件的传输。 (3)不能防止数据驱动式攻击。 (4)难以避免来自内部的攻击。,PC机的保护,防病毒软件,个人防火墙,防病毒软件,
6、构建个人防火墙,个人用户只能使用应用级防火墙,一般都是使用包过滤和协议过滤等技术实现的。,这种防火墙能有效地防止用户数据直接暴露在Internet中,并记录主机和Internet数据交换的情况,从而保证了用户的安全。,“天网防火墙”,5.3 加密技术,加密(cryptography) 明文,暗文,密码体制:,算法公开 密钥保密,(plaintext),(ciphertext),最简单的加密技术是字母替换密码。 例如:密钥中 G-T;O-%;D-W; !-A; 消息:GOOD! 密文:T%WA,常规密钥密码体制(单密钥),数据加密标准 DES,将每 64位明文用56位密钥,经过混乱压扩技术,生成
7、密文。,用猜试法破解,定期更换密钥,特色: 消息被加密和解密的速度。 缺点: 通信过程涉及若干个人时,需要密钥数量。如:两个人之间只需要一个密钥;十个人,需要45个密钥。(n(n-1)/2),公开密钥密码体制(双密钥),分为公开密钥(公钥,公开)和秘密密钥(密钥,保密),可以用于数字签名。,RSA算法,不足:加密速度慢,公钥加密的暗文只有密钥可解 密钥加密的暗文只有公钥可解,优点: 需要密钥的数量降低。 缺点: 加密、解密的速度慢,简单描述: 随机产生两个很大的质数(每一个是300位的十进制数,理想模式)。 求两个质数的乘积(公钥、密钥的一部分) .,数字签名过程:,使用A的密钥加密 数字签名
8、,使用B的公钥加密,使用B的密钥解密,使用A的公钥验证数字签名,使用数字签名:,能够表明签名者的身份,发送者无法抵赖(反拒认),不能伪造,数字证书,证明权威 CA,用户A产生一对密钥,将公钥及说明用CA的公钥加密后发给CA,CA经过对A的身份验证,认可,将A的公钥产生一个摘要,用CA的密钥签名得到数字证书。,用户B用CA的公钥验证CA对A的数字证书。,由于公钥需要定期更换,使用数字证书时要验证是否失效。,5.4 信息隐藏技术,信息隐藏技术(Information Hinding,也称信息伪装),利用人类感觉器官对数字信号的感觉冗余,将一个信息伪装隐藏在另一个信息之中,实现隐蔽通信或隐蔽标识。,
9、“保护色”与“藏头诗”,包括的内容:,信息隐藏技术概述 数字隐写技术 数字水印,信息隐藏技术概述,信息隐藏模型,编码器,检测器,信息隐藏技术概述,具体描述,秘密信息(Secret Message) 宿主信息(Cover Message) 密钥(Key) 嵌入算法(Embedding Algorithm) 检测器(Detector),信息隐藏技术概述,信息隐藏系统的特征,(1)鲁棒性(Robustness),指不因宿主文件的某种改动而导致隐藏信息丢失的能力。,包括:传输过程中的信道噪音、 滤波操作、重采样、有损编码压缩、D/A或A/D转换等,信息隐藏技术概述,信息隐藏系统的特征,(2)不可检测性
10、(Undetectability),指隐蔽宿主与原始宿主具有一致的特性,以便使非法拦截者无法判断是否有隐蔽信息。,信息隐藏技术概述,信息隐藏系统的特征,(3)透明性(Invisibility),指利用人类视觉系统或人类听觉系统属性,经过一系列隐藏处理,使目标数据没有明显的降质现象,从而隐藏的数据无法人为地看见或听见。,信息隐藏技术概述,信息隐藏系统的特征,(4)不可检测性(Imperceptibility),指隐藏算法有较强的抗攻击能力,即它必须能承受一定程度的人为攻击,而隐藏信息不会被破坏。,信息隐藏技术概述,信息隐藏系统的特征,(5)自恢复性,指由于经过一些操作或变换后,可能会使隐蔽宿主产
11、生较大的破坏,只从留下的片段数据中,仍能恢复隐藏信号,而且恢复过程不需要宿主信号。,信息隐藏技术概述,主要分支,信息隐藏,数据隐写术,替换系统用:秘密信息替代宿主的冗余 变换域技术:在信号的变换域嵌入 扩展频谱技术:扩频通信 统计方法:更改统计特性 失真技术:通过信号失真来保存信息 载体生成方法:生成伪装载体,数据隐写术,替换系统,替换系统最低比特位替换LSB,替换系统最低比特位替换( Least Significant Bit Embedding LSB),黑白图象:灰阶值(明亮程度,8比特) 彩色图象:RGB(明亮程度,3个字节),利用奇偶性调制,例如:,(a)Normal,(b)Embe
12、dded,5. 5 VPN (Virtual Private Network),VPN:虚拟专用网。,V、N:虚拟网,源和目的之间的数据通路是与其他传输共享的,P、N:专用网络,非授权用户不可访问源和目的之间所传输 的数据。,VPN是一个公用IP网络上的两个站点之间的IP连接。它的有效负荷都被加密,只有源和目的点才能解密业务分组。,VPN 提供了更高一级的安全,VPN不仅能够加密用户的数据,而且能够加密协议栈中的数据项,某些会话攻击形式可能会通过攻击协议栈中的数据项来损害用户的站点。,VPN 实现方式,站点之间(R-R)VPN隧道连接:,当建立到一个特定IP地址的连接时,在两个路由器(具有VP
13、N功能)之间为其建立加密连接,即加密“隧道”功能。(建立“master session”),通常,两个不同厂商的路由器,不能以隧道方式互操作。,VPN 实现方式,站点之间(R-R)VPN多协议隧道连接:,允许用户使用IP网络来传输封装好的非IP协议分组。,对于希望低成本的公用IP网络连接、但在站点之间又不是只运行IP协议的公司非常有用。,VPN 安全协议,Internet的底层技术,即IP,在设计时没有考虑安全问题,因此开发出几个VPN协议以保护VPN自身。,这些协议包括:点对点隧道协议(PPTP)、2层转发(L2F)、 2层隧道协议(L2TP)和IP安全(IPSec)。,VPN 安全协议,点
14、对点隧道协议(PPTP),PPTP集成在Windows NT中,使用Microsoft 专用的点对点加密算法,该算法为远程拨号和 局域网-局域网提供了加密和身份认证。,PPTP最终会结合到IPSec中。,VPN 安全协议,2层转发(L2F),提供了ISP服务器和网络之间的隧道。,用户建立一条到ISP服务器的点对点拨号连接。服务器将ppp桢封装在L2F桢内,封装后被转发到3层设备(路由器)进行传输。,VPN 安全协议,2层隧道协议(L2TP),结合PPTP与L2F。尚在开发中。,VPN 安全协议,IP安全(IPSec),IPSec为VPN提供端对端的数据加密和认证。,安全是相对的,总有办法发现算
15、法的漏洞或者加密技术的关键结构。,使用加密技术的真正问题是经济问题。,自己或家人的名字 公司或同事的名字 操作系统、主机、电子邮件,生成强口令:,生成口令时,避免使用:,任何类型的名字,很难猜到的口令,对应于弱口令,任何的电话号码,身份证上的数字部分,任何人的生日,任何字典中的单词,难猜的口令包括:,大写字母和小写字母,数字,标点符号,特殊字符(=、*、) 并且通常需要7到8位长度。,“社交工程”(social engineering),无论一个公司的安全措施有多么系统,只需要一个脆弱的环节就会损害网络安全。通常这个薄弱的环节是人而不是系统。 最常用也是最成功的获取非法访问网络能力的手段是“社交工程”,它涉及到对人的操纵和利用。,第五章 结束!,
