《计算机网络技术与应用第08章网络安全技术课件》由会员分享,可在线阅读,更多相关《计算机网络技术与应用第08章网络安全技术课件(51页珍藏版)》请在金锄头文库上搜索。
1、第八章第八章 网络安全技术网络安全技术8.1 8.1 网网络安全概述安全概述8.2 8.2 数据加密与数据数据加密与数据隐藏技藏技术8.3 8.3 认证与与鉴别技技术8.4 8.4 防火防火墙技技术8.5 8.5 计算机网算机网络入侵入侵检测与安全与安全预警警8.6 8.6 恶意程序及其防治意程序及其防治8.7 8.7 漏洞漏洞扫描描18.1 8.1 网络安全概述网络安全概述n计算机网算机网络安全:安全:通通过采用各种安全技采用各种安全技术和管理上的安全措施,确保网和管理上的安全措施,确保网络数据的数据的可可用性,完整性和保密性用性,完整性和保密性,其目的是确保,其目的是确保经过网网络传输和交
2、和交换的数据不会的数据不会发生增加,生增加,修改,修改,丢失和泄露等失和泄露等2影响网络安全的因素影响网络安全的因素n外部因素:外部因素: 自然灾害,意外事故,病毒,黑客攻自然灾害,意外事故,病毒,黑客攻击,信,信息在息在传输过程中被窃取程中被窃取n内部因素:内部因素: 软件故障,硬件故障,操作不当,安全意件故障,硬件故障,操作不当,安全意识差差3网络安全策略网络安全策略n物理安全策略物理安全策略 保保护计算机系算机系统,网,网络服服务器,器,验证用用户的身份和使用的身份和使用权限限n访问控制策略控制策略 入网入网访问控制,网控制,网络的的权限控制,网限控制,网络服服务器安全控制,网器安全控制
3、,网络监测和和锁定控制定控制n防火防火墙控制策略控制策略 内部网与公共网的屏障,阻内部网与公共网的屏障,阻挡外部网外部网络的入侵的入侵n信息加密策略信息加密策略 保保护网内的数据,文件,控制信息,保网内的数据,文件,控制信息,保护网上网上传输的数据的数据4网络中的信息安全问题网络中的信息安全问题n信息存信息存储安全与信息安全与信息传输安全安全 n信息存信息存储安全安全 如何保如何保证静静态存存储在在连网网计算机中的信息不会算机中的信息不会 被未授被未授权的网的网络用用户非法使用;非法使用;n信息信息传输安全安全 如何保如何保证信息在网信息在网络传输的的过程中不被泄露与程中不被泄露与不被攻不被攻
4、击; 5信息传输安全问题的四种基本类型信息传输安全问题的四种基本类型图图8-1 信息传输安全问题的类型信息传输安全问题的类型68.2 8.2 数据加密与数据隐藏技术数据加密与数据隐藏技术 8.2.1 8.2.1 加密加密/ /解密算法与密钥解密算法与密钥 图图8-2 数据加密与解密数据加密与解密7n数据加密数据加密是通是通过某种函数某种函数进行行变换,把正常数据,把正常数据报文(明文)文(明文)转换为密文。密文。n密密码体制体制是指一个系是指一个系统所采用的基本工作方式以及所采用的基本工作方式以及它的两个基本构成要素,即它的两个基本构成要素,即加密加密/ /解密算法和密解密算法和密钥;n传统密
5、密码体制所用的加密密体制所用的加密密钥和解密密和解密密钥相同,也相同,也称称为对称密称密码体制体制;n如果加密密如果加密密钥和解密密和解密密钥不相同,不相同,则称称为非非对称密称密码体制体制;8n密钥:密钥:密码算法中的可变参数。改变了密钥,也就密码算法中的可变参数。改变了密钥,也就改变了明文与密文之间等价的数学函数关系;改变了明文与密文之间等价的数学函数关系;n密码算法:密码算法:相对稳定。可以把密码算法视为常量,相对稳定。可以把密码算法视为常量,而密钥则是一个变量;而密钥则是一个变量;n在设计在设计加密系统加密系统时,加密算法是可以公开的,真正时,加密算法是可以公开的,真正需要保密的是密钥
6、。需要保密的是密钥。 9什么是密码什么是密码 密密码是含有一个参数是含有一个参数k的数学的数学变换,即,即 C = Ek(m) m是未加密的信息(是未加密的信息(明文明文- 明明码)nC是加密后的信息(是加密后的信息( 密文密文- 密密码)nE是是加密算法加密算法n参数参数k称称为密密钥n密文密文C是明文是明文m 使用密使用密钥k 经过加密算法加密算法计算后的算后的结果;果;n加密算法可以公开,而密加密算法可以公开,而密钥只能由通信双方来掌握。只能由通信双方来掌握。10密钥长度密钥长度密钥长度与密钥个数密钥长度与密钥个数密钥长度(位)密钥长度(位)组合个数组合个数40240=109951162
7、777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.402823669209103811 凯撒算法凯撒算法将明文中的每个字母都移动一段距离将明文中的每个字母都移动一段距离 明文:明文:CHINA 密钥:密钥:5 (移动(移动5个字符空间)个字符空间) 密文:密文:HMNSF C-H, H-M, I-N, N-S, A-F128.2.2 8.2.2 对称密钥密码体系对称密钥密码体系 图图8-3 对称密钥体系对称密钥体系13对称密钥体系对称密钥体系n加密和解密采用同一密加密和
8、解密采用同一密钥nDES(Data Encryption standard)分)分组算法算法n64位的密位的密钥(奇偶校(奇偶校验码8位,密位,密钥56位)位)n对64位二位二进制数制数进行分行分组加密,加密,经过16轮的迭代,乘的迭代,乘积变换,压缩变换等等处理,理,产生生64位密文数据位密文数据14加密处理加密处理64位数据块明文位数据块明文加密处理加密处理64位数据块密文位数据块密文64位数据块密文位数据块密文64位数据块密文位数据块密文48位位“每轮每轮”密钥值密钥值48位位“每轮每轮”密钥值密钥值56位密钥位密钥第第一一轮轮加加密密第第十十六六轮轮加加密密图图8-4 DES加密过程加
9、密过程15n加密算法公开,安全性依加密算法公开,安全性依赖于密于密钥n运算效率高,使用方便,加密效率高运算效率高,使用方便,加密效率高n密密钥的管理的管理问题 通信双方在通信之前必通信双方在通信之前必须互通密互通密钥,密,密钥在在传递过程中可能被截程中可能被截获n认证问题 接受方可以接受方可以篡改原始信息,改原始信息,发送方可以否送方可以否认曾曾发送送过信息信息对称密钥体系特点对称密钥体系特点168.2.3 8.2.3 非对称密钥密码体系非对称密钥密码体系 图图8-5 非对称密钥体系非对称密钥体系17非对称密钥体系非对称密钥体系n加密和解密分加密和解密分别用不同的密用不同的密钥进行行n加密密加
10、密密钥和解密密和解密密钥可以可以对调n发送者和接收者事先不必交送者和接收者事先不必交换密密钥n用于数字用于数字签名(身份名(身份认证和防止抵和防止抵赖电子子商商务)181.为通信双方通信双方A,B各生成一各生成一对密密钥(公(公钥,私,私钥)2.A端先用自己的私端先用自己的私钥对报文文进行加密行加密变换,再用再用B端的公端的公钥进行加密,生成密文行加密,生成密文传向向B端端3.B端收到密文,先用自己的私端收到密文,先用自己的私钥进行解密,行解密,再用再用A端的公端的公钥进行解密行解密变换,得到明文,得到明文非对称密钥体系的工作原理非对称密钥体系的工作原理19图图8-6 8-6 非对称密钥体系的
11、工作原理非对称密钥体系的工作原理20非对称加密的标准非对称加密的标准 nRSA体制被体制被认为是目前是目前为止理止理论上最上最为成熟的一成熟的一种非种非对称密称密码体制。体制。nRSA体制多用在数字体制多用在数字签名、密名、密钥管理和管理和认证等方等方面。面。218.2.4 密钥分配密钥分配n密密钥分配中心分配中心 (Key Distribution Center,KDC) n密密钥分配分配协议 228.2.5 数据隐藏数据隐藏n将数据将数据隐藏在一个容量更大的数据藏在一个容量更大的数据载体之中,体之中,形成形成隐密密载体,使非法者体,使非法者难于察于察觉其中其中隐藏藏有某些数据,或有某些数据
12、,或难于从中提取被于从中提取被隐藏数据。藏数据。 238.3 8.3 认证与鉴别技术认证与鉴别技术图图8-7 使用使用Hash函数的签名过程函数的签名过程24身份认证技术的发展身份认证技术的发展 身份身份认证可以通可以通过3 3种基本途径之一或它种基本途径之一或它们的的组合合实现:n所知(所知(knowledge): 个人所掌握的密个人所掌握的密码、口令;、口令;n所有(所有(possesses): 个人身份个人身份证、护照、信用卡、照、信用卡、钥匙;匙;n个人特征(个人特征(characteristics):人的指人的指纹、声、声纹、笔迹、手型、笔迹、手型、脸型、血型、型、血型、视网膜、网膜
13、、DNA以及个人以及个人动作方面的特征;作方面的特征; 目前人目前人们研究的个人特征主要包括:容貌、肤色、研究的个人特征主要包括:容貌、肤色、发质、身、身材、姿材、姿势、手印、指、手印、指纹、脚印、唇印、脚印、唇印、颅相、口音、脚步声、相、口音、脚步声、体味、体味、视网膜、血型、网膜、血型、遗传因子、笔迹、因子、笔迹、习惯性性签字、打字字、打字韵律,以及在外界刺激下的反韵律,以及在外界刺激下的反应等。等。 25数字水印与数字防伪数字水印与数字防伪 图图8-8 数字水印技术数字水印技术268.4 8.4 防火墙技术防火墙技术 8.4.1 8.4.1 防火墙的概念防火墙的概念n防火防火墙是在网是在
14、网络之之间执行安全控制策略的系行安全控制策略的系统,它包括硬件和,它包括硬件和软件;件;n设置防火置防火墙的目的是保的目的是保护内部网内部网络资源不被源不被外部非授外部非授权用用户使用,防止内部受到外部非使用,防止内部受到外部非法用法用户的攻的攻击。 27图图8-9 8-9 防火墙的概念防火墙的概念288.4.2 8.4.2 防火墙的基本技术防火墙的基本技术1包过滤技术包过滤技术按照系统内部设置的包过滤规按照系统内部设置的包过滤规则(即访问控制表),逐一审则(即访问控制表),逐一审查每份数据包并判断它是否与查每份数据包并判断它是否与包过滤规则相匹配,决定该数包过滤规则相匹配,决定该数据包是否应
15、该转发。据包是否应该转发。29包过滤的包过滤的工作流程工作流程图图8-9 8-9 包过滤的工作流程包过滤的工作流程30图图8-10 8-10 包过滤路由器包过滤路由器31包包过滤路由器的逻辑位置过滤路由器的逻辑位置应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层过滤规则处理过滤规则处理内部网络内部网络外部网络外部网络图图8-11 8-11 包过滤路由器的逻辑位置包过滤路由器的逻辑位置32假假设网网络安全策略安全策略规定:定:n内部网内部网络的的E-mail服服务器(器(IP地址地址为192.1.6.2,TCP端口号端口号为25)可以接收来自)可以接收
16、来自外部网外部网络用用户的的电子子邮件;件;n允允许内部网内部网络用用户传送到与外部送到与外部电子子邮件服件服务器的器的电子子邮件;件;n拒拒绝所有与外部网所有与外部网络中名字中名字为TESTHOST主机主机的的连接。接。 33包包过滤规则表表 342 2代理服务技术代理服务技术图图8-12 8-12 代理服务器代理服务器35图图8-13 应用网关的逻辑位置应用网关的逻辑位置应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用代理服务应用代理服务内部网络内部网络外部网络外部网络应用层代理应用层代理-应用层网关应用层网关 36n构成防火构成防火墙系系统
17、的两个基本部件:的两个基本部件: 包包过滤路由器(路由器(packet filtering router) 应用用级网关(网关(application gateway););n最最简单的防火的防火墙由一个包由一个包过滤路由器路由器组成,而复成,而复杂的防火的防火墙系系统由包由包过滤路由器和路由器和应用用级网关网关组合而成;合而成;n由于由于组合方式有多种,因此防火合方式有多种,因此防火墙系系统的的结构也构也有多种形式。有多种形式。8.4.3 防火墙的配置防火墙的配置371 1包过滤路由器作为防火墙包过滤路由器作为防火墙图图8-13 8-13 包过滤路由器包过滤路由器38堡堡垒主机:主机:处于防
18、火于防火墙关关键部位、运行部位、运行应用用级网关网关软件的件的计算机。算机。 2堡垒主机作为防火墙堡垒主机作为防火墙图图8-14 8-14 堡垒主机堡垒主机393 3屏蔽主机防火墙屏蔽主机防火墙 图图8-15 8-15 屏蔽主机防火墙屏蔽主机防火墙40图图8-16 8-16 屏蔽主机防火墙的工作原理屏蔽主机防火墙的工作原理41屏蔽主机防火墙的数据传输过程屏蔽主机防火墙的数据传输过程 图图8-17 8-17 屏蔽主机防火墙的数据传输屏蔽主机防火墙的数据传输424 4屏蔽子网防火墙屏蔽子网防火墙图图8-18 8-18 屏蔽子网防火墙屏蔽子网防火墙438.5 8.5 计算机网络入侵检测与安全预警计算
19、机网络入侵检测与安全预警目前黑客攻目前黑客攻击大致可以分大致可以分为8种基本的种基本的类型:型: n入侵系入侵系统类攻攻击; n缓冲区溢出攻冲区溢出攻击; n欺欺骗类攻攻击; n拒拒绝服服务攻攻击; n对防火防火墙的攻的攻击; n利用病毒攻利用病毒攻击; n木木马程序攻程序攻击; n后后门攻攻击。44入侵检测的基本概念入侵检测的基本概念n入侵入侵检测系系统(intrusion detection system,IDS)是是对计算机和网算机和网络资源的源的恶意使用行意使用行为进行行识别的系的系统;n它的目的是它的目的是监测和和发现可能存在的攻可能存在的攻击行行为,包括来自系,包括来自系统外部的入
20、侵行外部的入侵行为和来自内部用和来自内部用户的非授的非授权行行为,并且采,并且采取相取相应的防的防护手段。手段。45入侵检测系统入侵检测系统IDSIDS的基本功能:的基本功能:n监控、分析用控、分析用户和系和系统的行的行为;n检查系系统的配置和漏洞;的配置和漏洞;n评估重要的系估重要的系统和数据文件的完整性;和数据文件的完整性;n对异常行异常行为的的统计分析,分析,识别攻攻击类型,并向网型,并向网络管理管理人人员报警;警; n对操作系操作系统进行行审计、跟踪管理,、跟踪管理,识别违反授反授权的用的用户活活动。46入侵检测的基本方法入侵检测的基本方法 n对各种事件各种事件进行分析,从中行分析,从
21、中发现违反安全策略反安全策略的行的行为是入侵是入侵检测系系统的核心功能;的核心功能;n入侵入侵检测系系统按照分析方法可以分按照分析方法可以分为: 异常异常检测 误用用检测 两种方式的两种方式的结合合478.6 8.6 恶意程序及防治恶意程序及防治n恶意程序及其意程序及其类型型 恶意程序是一意程序是一类可以危害系可以危害系统或或应用正常功能用正常功能的特殊程序或程序片段。的特殊程序或程序片段。n恶意程序的存在形式有:意程序的存在形式有: 宿主程序方式程序片段,如陷宿主程序方式程序片段,如陷门、逻辑炸炸弹等;等; 独立存在独立程序,可以被操作系独立存在独立程序,可以被操作系统调度度和运行的自包含程
22、序,如蠕虫、和运行的自包含程序,如蠕虫、细菌、特洛伊菌、特洛伊木木马等。等。48病毒的概念病毒的概念n计算机病毒是指算机病毒是指编制或者在制或者在计算机程序中插入的破算机程序中插入的破坏坏计算机功能或者算机功能或者毁坏数据,影响坏数据,影响计算机使用,并算机使用,并能自我复制的一能自我复制的一组计算机指令或程序代算机指令或程序代码。n病毒只是病毒只是恶意程序中的一种意程序中的一种n广广义病毒病毒49网络病毒防范网络病毒防范 n病毒在网病毒在网络中通中通过“工作站工作站-服服务器器-工作站工作站”方方式式传播播n70%的病毒的病毒发生在网生在网络上上n网网络病毒的防范病毒的防范 1基于工作站的防病毒技基于工作站的防病毒技术 2基于服基于服务器的防病毒技器的防病毒技术 3病毒防火病毒防火墙技技术 508.6 8.6 漏洞扫描漏洞扫描n计算机漏洞:算机漏洞:计算机系算机系统具有的某种可能被入侵具有的某种可能被入侵者者恶意利用的属性意利用的属性 。 n计算机漏洞是系算机漏洞是系统的一的一组特性,特性,恶意的主体(攻意的主体(攻击者或者攻者或者攻击程序)能程序)能够利用利用这组特性,通特性,通过已已授授权的手段和方式的手段和方式获取取对资源的未授源的未授权访问,或,或者者对系系统造成造成损害。害。n漏洞:漏洞:单个个计算机系算机系统的脆弱性的脆弱性 计算机网算机网络系系统的漏洞的漏洞51
