《网络安全与管理课件》由会员分享,可在线阅读,更多相关《网络安全与管理课件(89页珍藏版)》请在金锄头文库上搜索。
1、 主要内容:主要内容:基本加密算法基本加密算法网络安全技术(比如防火墙)网络安全技术(比如防火墙)因特网的网络层安全协议因特网的网络层安全协议IPSec网络管理基础网络管理基础单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式第九章第九章 网络安全与管理网络安全与管
2、理1网络安全与管理9.1 网络安全概述l国际标准化组织国际标准化组织ISO对计算机网络安全对计算机网络安全(Network Security)的定义)的定义为数据处理系统建立和采用的安全防范为数据处理系统建立和采用的安全防范技术,以保护计算机硬件、软件和数据技术,以保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改不因偶然和恶意的原因遭到破坏、更改和泄露。和泄露。 2网络安全与管理网络安全威胁l网络安全威胁主要表现在:非授权访问非授权访问 信息泄漏或丢失信息泄漏或丢失 破坏数据完整性破坏数据完整性 拒绝服务攻击拒绝服务攻击DoS利用网络传播病毒等利用网络传播病毒等3网络安全与管理网络
3、安全的五要素l网络安全包括五个基本要素网络安全包括五个基本要素机密性机密性完整性完整性可用性可用性可控性可控性可审查性可审查性4网络安全与管理网络安全的分类l根据根据安全需求安全需求将其分为数据保密、数据完整将其分为数据保密、数据完整性、身份验证、授权、不可抵赖和不可否认性、身份验证、授权、不可抵赖和不可否认等几个部分;等几个部分;l根据根据解决手段解决手段可以分为病毒防范、防火墙、可以分为病毒防范、防火墙、存取控制、身份鉴别、安全综合解决方案;存取控制、身份鉴别、安全综合解决方案;l根据根据威胁来源威胁来源将其划分为网络攻击行为、安将其划分为网络攻击行为、安全漏洞及恶意代码等类别。全漏洞及恶
4、意代码等类别。 5网络安全与管理9.2 密码学一、密码学的发展一、密码学的发展l密码学包括(密码学包括(cryptology)密码编码学和密密码编码学和密码分析学码分析学。l密码编码学是密码体制的设计学,而密码分密码编码学是密码体制的设计学,而密码分析学则是在未知密码的情况下从密文推演出析学则是在未知密码的情况下从密文推演出明文的技术。明文的技术。6网络安全与管理相关术语l明文明文:信息的原始形式(:信息的原始形式( plianttext,记为,记为P)l密文密文:明文加密后的形式(:明文加密后的形式(ciphertext,记为,记为C)l加密加密:明文变成密文的过程(:明文变成密文的过程(e
5、ncrypt记为记为E),),加密通常是由加密算法来实现的。加密通常是由加密算法来实现的。l解密解密:密文还原成明文的过程(:密文还原成明文的过程(decrypt记为记为D),),解密通常是由解密算法来实现的。解密通常是由解密算法来实现的。l密密钥钥:为为了了有有效效地地控控制制加加密密和和解解密密算算法法的的实实现现,在在其其处处理理过过程程中中要要有有通通信信双双方方掌掌握握的的专专门门信信息息参参与,这种专门信息称为密钥(与,这种专门信息称为密钥(key,记为,记为K)。)。7网络安全与管理二、对称密钥体制l根据根据密钥密钥的特点,密码体制分为非对称密钥的特点,密码体制分为非对称密钥体制
6、和对称密钥体制两种。体制和对称密钥体制两种。l对称密钥体制又称为传统密钥、对称密钥体制又称为传统密钥、秘密秘密密钥、密钥、单钥密钥加密算法单钥密钥加密算法l对称密钥体制的核心是对称密钥体制的核心是加密和解密采用相同加密和解密采用相同的密钥的密钥。l保密性仅取决于对密钥的保密,而算法是公保密性仅取决于对密钥的保密,而算法是公开的。开的。8网络安全与管理对称密钥体制图图图图9.1 9.1 对称密钥加密算法的执行过程对称密钥加密算法的执行过程对称密钥加密算法的执行过程对称密钥加密算法的执行过程 9网络安全与管理替代密码l替代密码替代密码将字母将字母a,b,c,d,w,x,y,z的自然顺序保持不的自然
7、顺序保持不变,但使之与变,但使之与D,E,F,G, ,X,A,B,C分别对分别对应:应:密钥为密钥为3例如:明文例如:明文caesar cipher 对应的密文为对应的密文为 FDHVDU FLSKHU10网络安全与管理置换密码l置换密码置换密码按照某一规则重新排列消息中的比特或字符按照某一规则重新排列消息中的比特或字符的顺序,的顺序,密钥的目的是对列编号密钥的目的是对列编号。密钥:密钥:CIPHER顺序:顺序:145326举例:明文举例:明文 attack begins at two 密文密文 abaaitcnwtg tetkso11网络安全与管理对称密钥算法分类l对称密钥加密算法可分为两类
8、:对称密钥加密算法可分为两类:一次只对明文中的单个位(或字节)运一次只对明文中的单个位(或字节)运算的算法,称为序列算法、序列密码或算的算法,称为序列算法、序列密码或流密码(流密码(stream cipher););对明文的一组位进行运算(这些位组称对明文的一组位进行运算(这些位组称为分组),称为块密码或分组密码为分组),称为块密码或分组密码(block cipher)。)。12网络安全与管理分组密码体制输入输出加密算法密钥明文输入输出解密算法密钥明文n bitn bitn bitn bit密文密文13网络安全与管理数据加密标准DESlDES 是世界上第一个公认的实用密码算法标是世界上第一个公
9、认的实用密码算法标准,是一种典型的准,是一种典型的分组加密算法分组加密算法。 l加密前,先对整个的明文进行分组,每一个加密前,先对整个的明文进行分组,每一个组长组长64位;位;l使用密钥使用密钥64位,对每一个位,对每一个64位分组进行加密位分组进行加密处理。处理。l最后将各组密文串接,得出整个的密文。最后将各组密文串接,得出整个的密文。14网络安全与管理DESDES算法描述算法描述算法描述算法描述 DES经过总共经过总共16轮的轮的替代和换位替代和换位的变换后,使得密码分的变换后,使得密码分析者无法获得该算法一般特性以外更多的信息。析者无法获得该算法一般特性以外更多的信息。15网络安全与管理
10、新一代加密标准AES lAES是一个迭代的、对称密钥分组的密码是一个迭代的、对称密钥分组的密码l算法可以使用算法可以使用128、192 和和 256 位密钥,并且位密钥,并且用用 128 位分组加密和解密数据,算法迭代次位分组加密和解密数据,算法迭代次数由分组长度和密钥长度共同决定。数由分组长度和密钥长度共同决定。16网络安全与管理新一代加密标准AESlAES算法在每一轮都采用置换和代替并行地算法在每一轮都采用置换和代替并行地处理整个数据分组,这个分组被编排为一个处理整个数据分组,这个分组被编排为一个称做状态阵列称做状态阵列(state array)的的44字节矩阵。字节矩阵。lAES算法的加
11、密实际上就是对输入状态阵列算法的加密实际上就是对输入状态阵列进行一系列运算,产生输出的过程。进行一系列运算,产生输出的过程。17网络安全与管理AES的加密解密流程18网络安全与管理三、公开密钥体制 l相对于对称加密算法,这种方法也叫做非对称相对于对称加密算法,这种方法也叫做非对称加密算法,需要加密算法,需要公开密钥公开密钥(public key)和)和私私有密钥(有密钥(private key)两个密钥。两个密钥。l公开密钥(加密密钥)和非对称加密解密算法公开密钥(加密密钥)和非对称加密解密算法是公开的,但私有密钥(解密密钥)是保密的,是公开的,但私有密钥(解密密钥)是保密的,由密钥的主人妥善
12、保管。由密钥的主人妥善保管。l公开密钥体制中最著名的是公开密钥体制中最著名的是RSA算法算法19网络安全与管理公开密钥密码体制接收者发送者E加密算法D解密算法加密密钥 PK解密密钥 SK明文 X密文 Y = EPK(X)密钥对产生源明文 X = DSK(EPK(X)20网络安全与管理公开密钥算法的特点(1)发发送送者者用用加加密密密密钥钥 PK 对对明明文文 X 加加密密后后,在在接接收收者者用用解解密密密密钥钥 SK 解解密密,即即可可恢恢复复出出明文,或写为:明文,或写为: DSK(EPK(X) X 21网络安全与管理公开密钥算法的特点(2)(2) 加密密钥是公开的,但不能用它来解密,即加
13、密密钥是公开的,但不能用它来解密,即 DPK(EPK(X) X (3) 在计算机上可容易地产生成对的在计算机上可容易地产生成对的 PK 和和 SK。(4) 从已知的从已知的 PK 实际上不可能推导出实际上不可能推导出 SK。(5) 加密和解密算法都是公开的。加密和解密算法都是公开的。 22网络安全与管理四、数字签名和消息认证l除了信息的保密之外,如何除了信息的保密之外,如何保证信息的来源保证信息的来源方是真实的,保证收到的信息的可靠的而没方是真实的,保证收到的信息的可靠的而没有被非法篡改,也是非常重要的。有被非法篡改,也是非常重要的。l认证包括认证包括对用户身份的认证对用户身份的认证和和对消息
14、正确性对消息正确性的认证的认证两种方式。两种方式。23网络安全与管理数字签名和消息认证l用户认证用于鉴别用户的身份是否是合法用用户认证用于鉴别用户的身份是否是合法用户,可以利用户,可以利用数字签名数字签名技术来实现的。技术来实现的。l消息认证(又称消息认证(又称报文鉴别报文鉴别)主要用于验证所)主要用于验证所收到的消息确实是来自真正的发送方且未被收到的消息确实是来自真正的发送方且未被修改的消息,也可以验证消息的顺序和及时修改的消息,也可以验证消息的顺序和及时性。性。 24网络安全与管理1、消息认证l用于消息认证最常用的是用于消息认证最常用的是消息认证码消息认证码(MAC)和和散列函数散列函数。
15、l消息认证码是在一个密钥的控制下将任意长消息认证码是在一个密钥的控制下将任意长的消息映射到一个简短的定长数据分组,将的消息映射到一个简短的定长数据分组,将它附加在消息后。接收者通过重新计算它附加在消息后。接收者通过重新计算MAC来对消息进行认证。来对消息进行认证。25网络安全与管理2、数字签名l当通信双方发生了下列情况时,数字签名技当通信双方发生了下列情况时,数字签名技术能够解决引发的争端:术能够解决引发的争端:否认否认:发送方不承认自己发送过某一报文。:发送方不承认自己发送过某一报文。伪造伪造:接收方自己伪造一份报文,并声称:接收方自己伪造一份报文,并声称它来自发送方。它来自发送方。冒充冒充
16、:网络上的某个用户冒充另一个用户:网络上的某个用户冒充另一个用户接收或发送报文。接收或发送报文。篡改篡改:接收方对收到的信息进行篡改。:接收方对收到的信息进行篡改。26网络安全与管理数字签名l目前应用最为广泛的数字签名包括:目前应用最为广泛的数字签名包括:Hash签名签名DSS签名签名RSA签名签名ElGamal数字签名体制等。数字签名体制等。 27网络安全与管理采用公钥的数字签名 若若 Alice 要抵赖曾发送报文给要抵赖曾发送报文给 Bob,Bob 可将可将 P 及及DA(P)出示给第三者。第三者很出示给第三者。第三者很容易证实容易证实 Alice确实发送确实发送 X 给给 Bob。28网
17、络安全与管理五、密钥的分发和管理问题问题:如何解决两个实体通过网络实现对称密如何解决两个实体通过网络实现对称密钥的共享钥的共享?解决办法解决办法:具有公信力的密钥分发中心具有公信力的密钥分发中心(key distribution center (KDC) )来作为诸)来作为诸多实体间的中介多实体间的中介29网络安全与管理密钥分发中心KDClAlice,Bob 需要共享对称密钥需要共享对称密钥.lKDC: 为每个注册的用户提供不同的密钥服务为每个注册的用户提供不同的密钥服务. lAlice, Bob 在在KDC注册后,获取了自己的对称密钥注册后,获取了自己的对称密钥, KA-KDC KB-KDC
18、 . 30网络安全与管理密钥的分发和管理l问题问题:当当Alice获取获取Bob的公钥时的公钥时 (可以从网站、可以从网站、 e-mail, 甚至软盘甚至软盘), 如何能够使她相信这就是如何能够使她相信这就是 Bob的公钥的公钥, 而不是而不是 Trudy的的?l解决办法解决办法:具有公信力的认证机构具有公信力的认证机构(certificationauthority ,CA)31网络安全与管理认证机构CAl认证机构认证机构(CA)为特定的实体管理公开密钥为特定的实体管理公开密钥. l实体(个人或路由器)可以在实体(个人或路由器)可以在CA注册公注册公开密钥开密钥.实体提供实体提供 “身份证明身
19、份证明” 给给 CA. CA 创建信任状将实体与公开密钥进行创建信任状将实体与公开密钥进行绑定绑定.由由CA对信任状进行数字签名对信任状进行数字签名.32网络安全与管理认证机构CAl当当 Alice需要需要Bob的的公开密钥时公开密钥时:l获取获取Bob信任状信任状 (从从Bob 或其他什么地或其他什么地方方).l把把 CA提供的公开密提供的公开密钥对钥对Bob的信任状进的信任状进行认证和解码行认证和解码,从而从而得到得到 Bob的公开密的公开密钥钥33网络安全与管理9.3 网络安全技术一、防火墙一、防火墙Firewalll网络防火墙用来加强网网络防火墙用来加强网络之间访问控制。络之间访问控制
20、。l防止外部网络用户以非防止外部网络用户以非法手段通过外部网络进法手段通过外部网络进入内部网络,访问内部入内部网络,访问内部网络资源。网络资源。图9.5 防火墙逻辑位置示意图34网络安全与管理l防火墙是位于两个防火墙是位于两个(或多个或多个)网络间,实施网络之网络间,实施网络之间访问控制的一组组件集合。它具有以下三个方间访问控制的一组组件集合。它具有以下三个方面的基本特性:面的基本特性:内、外网间的所有数据流都须经过防火墙内、外网间的所有数据流都须经过防火墙;只有符合安全策略的数据流才能通只有符合安全策略的数据流才能通过防火防火墙;防火防火墙自身自身应具有具有强的抗攻的抗攻击免疫力。免疫力。1
21、、防火墙基本特征 35网络安全与管理2、防火墙的功能l具体来具体来说,防火,防火墙主要有以下功能:主要有以下功能:创建一个阻塞点建一个阻塞点 隔离不同网隔离不同网络,防止内部信息的外泄,防止内部信息的外泄强化安全策略化安全策略 有效地有效地审计和和记录内、外部网内、外部网络上的活上的活动 36网络安全与管理3、防火墙的基本类型l防火墙的基本类型:防火墙的基本类型:包过滤型包过滤型网络地址转换(网络地址转换(NAT)代理型代理型监测型监测型37网络安全与管理包过滤包过滤 Packet filteringl包过滤又称包过滤又称“报文过滤报文过滤”,它是防火墙最,它是防火墙最基本的过滤技术。基本的过
22、滤技术。l防火墙根据数据包头所含的源、目的防火墙根据数据包头所含的源、目的IP地地址、协议类型址、协议类型(TCP包、包、UDP包、包、ICMP包包)、源、目的端口等信息,确定该数据包是否源、目的端口等信息,确定该数据包是否允许通过。允许通过。38网络安全与管理代理型防火墙l代理型防火墙也可以被称为代理型防火墙也可以被称为代理服务器代理服务器,它的安全性要高于包过滤型产品。它的安全性要高于包过滤型产品。l代理服务器位于客户机与服务器之间,客代理服务器位于客户机与服务器之间,客户首先将数据请求发给代理服务器,由代户首先将数据请求发给代理服务器,由代理服务器向服务器索取数据,然后再将数理服务器向服
23、务器索取数据,然后再将数据传输给客户机。据传输给客户机。 39网络安全与管理二、网络入侵与安全检测l入侵检测入侵检测IDS的定义:的定义:对主机或网络系统的运行状态进行监视,发对主机或网络系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性以保证系统资源的机密性、完整性和可用性的计算机安全技术。的计算机安全技术。l入侵检测可以分为信息收集和数据分析入侵检测可以分为信息收集和数据分析两个部分。两个部分。40网络安全与管理入侵检测分类l根据采用的技术来分:根据采用的技术来分:异常检测(异常检测(Anomaly
24、detection)特征检测(特征检测(Signature-based detection) l按检测的对象来分:按检测的对象来分:基于主机的入侵检测系统基于主机的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统基于网关的入侵检测系统基于网关的入侵检测系统 41网络安全与管理异常检测l前提:入侵是异常活动的子集前提:入侵是异常活动的子集 l用户轮廓用户轮廓(Profile): 通常定义为各种行为参数通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围及其阀值的集合,用于描述正常行为范围l过程:过程: 监控监控 量化量化比较比较判定判定 修正修正l特点特点: 漏报率低,误报率高漏报
25、率低,误报率高42网络安全与管理三、虚拟专用网VPNlVPN网络的任意两个结点之间的连接并没有网络的任意两个结点之间的连接并没有传统专网所需的端到端的物理链路。传统专网所需的端到端的物理链路。lVPN是架构在公用网络服务商所提供的网络是架构在公用网络服务商所提供的网络平台,如平台,如Internet、ATM或帧中继之上的或帧中继之上的逻逻辑网络辑网络。43网络安全与管理VPN的应用场景l例如:员工出差到外地,他想访问企业内网例如:员工出差到外地,他想访问企业内网的服务器资源,怎么才能让外地员工访问到的服务器资源,怎么才能让外地员工访问到内网资源呢内网资源呢?l解决方法:在内网中架设一台解决方法
26、:在内网中架设一台VPN服务器,服务器,VPN服务器有两块网卡,一块连接内网,服务器有两块网卡,一块连接内网,一块连接公网。一块连接公网。 44网络安全与管理VPN举例设置两个IP地址45网络安全与管理VPNVPN举例(举例(2 2)46网络安全与管理VPN的安全措施l隧道技术隧道技术l加解密技术加解密技术l密钥管理技术和使用者密钥管理技术和使用者l设备身份认证技术设备身份认证技术47网络安全与管理隧道技术l第二、三层隧道(第二、三层隧道(Tunneling)协议)协议 L2F(Layer 2 Forwarding,二层转发协议),二层转发协议) PPTP(Point to Point Tun
27、neling Protocol,点,点对点隧道协议)对点隧道协议)L2TP(Layer 2 Tunneling Protocol,二层隧,二层隧道协议)道协议) VTP(Virtual Tunneling Protocol,虚拟隧道,虚拟隧道协议)协议)IPSec(IP Security,IP安全协议)安全协议) 48网络安全与管理VPN的特点l安全保障安全保障VPN通过建立一个隧道,利用加密技术通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私对传输数据进行加密,以保证数据的私有和安全性。有和安全性。 l服务质量保证服务质量保证VPN可以为不同要求提供不同等级的服可以为不同要求
28、提供不同等级的服务质量保证。务质量保证。 49网络安全与管理VPN的特点(2)l可扩充、灵活性可扩充、灵活性VPN支持通过支持通过Internet和和Extranet的任何的任何类型的数据流。类型的数据流。 l可管理性可管理性VPN可以从用户和运营商角度方便进行可以从用户和运营商角度方便进行管理。管理。50网络安全与管理四、病毒防范l计算机病毒是指编制或者在计算机程序中插计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计入的破坏计算机功能或者毁坏数据,影响计算机使用,并能算机使用,并能自我复制自我复制的一组计算机指令的一组计算机指令或者程序代码。或者程序代码。l计算机
29、病毒一般包括以下几个部分:计算机病毒一般包括以下几个部分:引导部分引导部分传染部分传染部分表现部分表现部分 51网络安全与管理计算机病毒分类l计算机病毒分类计算机病毒分类根据病毒存在的媒体,病毒可以划分为网络根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒;病毒,文件病毒,引导型病毒; 按照计算机病毒激活时间可分为定时的和随按照计算机病毒激活时间可分为定时的和随机病毒;机病毒;根据病毒特有的算法,分为伴随型病毒、根据病毒特有的算法,分为伴随型病毒、“蠕虫蠕虫”型病毒和寄生型病毒等。型病毒和寄生型病毒等。 l蠕虫病毒(蠕虫病毒(Worm)和特洛伊木马()和特洛伊木马(Trojan
30、) 52网络安全与管理蠕虫病毒(Worm)l蠕虫病毒是利用网络从一台机器的内存传播到蠕虫病毒是利用网络从一台机器的内存传播到其它机器的内存,将自身的病毒通过网络发送。其它机器的内存,将自身的病毒通过网络发送。l传染途径是传染途径是通过网络和电子邮件通过网络和电子邮件,比如,比如 “红色红色代码代码”和和“尼姆亚尼姆亚”、“求职信求职信”等。等。l计算机感染计算机感染“尼姆亚尼姆亚”病毒后,会不断自动拨病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。享进行传播,最终破坏用户的大部分重要数据。 53网络安
31、全与管理特洛伊木马(Trojan)l“特洛伊木马特洛伊木马”(trojan horse)简称)简称“木马木马”,源于,源于希腊神话。希腊神话。l特洛伊木马没有复制能力,它特洛伊木马没有复制能力,它的特点是伪装成一个实用工具的特点是伪装成一个实用工具或者一个游戏,诱使用户将其或者一个游戏,诱使用户将其安装在安装在PC或者服务器上。或者服务器上。l通过一段特定的程序(木马程通过一段特定的程序(木马程序)来控制另一台计算机。序)来控制另一台计算机。54网络安全与管理病毒说明病毒监测举例病毒监测举例55网络安全与管理病毒监测举例病毒监测举例56网络安全与管理9.4 网络安全应用一、一、IP安全安全lI
32、Psec 即即IP 安全安全(Security)协议协议l网络层保密是指所有在网络层保密是指所有在 IP 数据报中的数数据报中的数据都是加密的。据都是加密的。l此外,网络层还应提供源站鉴别,即目的此外,网络层还应提供源站鉴别,即目的站收到站收到 IP 数据报时,能确信这是从该数数据报时,能确信这是从该数据报的源据报的源 IP 地址的主机发来的。地址的主机发来的。 57网络安全与管理IPSec框架框架58网络安全与管理IPsec 主要的两个部分l鉴别首部鉴别首部 AH (Authentication Header): AH提供源站鉴别和数据完整性,但不提供源站鉴别和数据完整性,但不能保密。能保密
33、。l封装安全有效载荷封装安全有效载荷 ESP (Encapsulation Security Payload):ESP 提供源站鉴别、提供源站鉴别、数据完整性和保密。数据完整性和保密。 59网络安全与管理鉴别首部 AHl在使用鉴别首部在使用鉴别首部 AH 时,将时,将 AH 首部插在原数首部插在原数据报数据部分的前面。据报数据部分的前面。l当数据报到达目的站时,目的站主机处理当数据报到达目的站时,目的站主机处理 AH 字段,以鉴别源主机和检查数据报的完整性。字段,以鉴别源主机和检查数据报的完整性。IP 首部AH 首部TCP/UDP 报文段可鉴别的 IP 数据报原数据报的数据部分60网络安全与管
34、理封装安全有效载荷 ESPl将将 ESP 首部插在原数据报数据部分的前面。首部插在原数据报数据部分的前面。l用用 ESP 封装的数据报既有鉴别源站和检查封装的数据报既有鉴别源站和检查数据报完整性的功能,又能提供保密。数据报完整性的功能,又能提供保密。 IP 首部ESP 首部TCP/UDP 报文段可鉴别的保密的 IP 数据报原数据报的数据部分ESP 尾部 ESP 鉴别数据加密的部分鉴别的部分61网络安全与管理二、电子邮件安全lPGP (Pretty Good Privacy)标准标准PGP 是一个完整的电子邮件安全软件包,是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技包括加密
35、、鉴别、电子签名和压缩等技术。术。 PGP通过单向散列算法对邮件内容进行通过单向散列算法对邮件内容进行签名,以保证信件内容无法修改,使用签名,以保证信件内容无法修改,使用公钥和私钥技术保证邮件内容保密且不公钥和私钥技术保证邮件内容保密且不可否认。可否认。62网络安全与管理PGP 的报文格式EB的标识符MD5散列函数KMEA的标识符签字首部时间类型报文首部文件名时间报 文报文部分签字部分密钥部分IDEA 加密,压缩Base64 编码的 PGP 报文用 DA 加密用 EB 加密63网络安全与管理PEM标准lPEM(Privacy Enhanced Mail) PEM 是因特网的邮件加密建议标准,由
36、是因特网的邮件加密建议标准,由四个四个 RFC 文档来描述文档来描述 RFC 1421:报文加密与鉴别过程:报文加密与鉴别过程 RFC 1422:基于证书的密钥管理:基于证书的密钥管理 RFC 1423:PEM 的算法、工作方式和的算法、工作方式和 标识符标识符 RFC 1424:密钥证书和相关的服务:密钥证书和相关的服务64网络安全与管理S/MIME标准标准lS/MIME(Secure MultiPart Intermail Mail Extension)标准)标准 S/MIME也利用单向散列算法和公钥与也利用单向散列算法和公钥与私钥的加密体系。私钥的加密体系。 整个信任关系基本是树状的整个
37、信任关系基本是树状的Tree of Trust 65网络安全与管理三、Web安全l安全套接层协议(安全套接层协议(Security Socket Layer,SSL) SSL协议是用来保护网络传输信息的,协议是用来保护网络传输信息的,它工作在传输层之上,应用层之下。它工作在传输层之上,应用层之下。SSL协议是一个分层协议,由底层的记协议是一个分层协议,由底层的记录层协议(录层协议(Record Protocol)和上层的)和上层的消息子层组成消息子层组成 66网络安全与管理Web安全(2)l安全电子交易协议(安全电子交易协议(Secure Electonic Transcation,SET)
38、SET主要是为了解决用户、商家和银行之间主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,通过信用卡支付的交易而设计的, SET支付系统主要由持卡人、商家、发卡行、支付系统主要由持卡人、商家、发卡行、收单银行、支付网关、认证中心等六个部分收单银行、支付网关、认证中心等六个部分组成。组成。双重签名技术(双重签名技术(Dual Signatures) 67网络安全与管理Web安全举例68网络安全与管理四、无线网络安全l无线网络的开放性使得网络更容易受到无线网络的开放性使得网络更容易受到恶意攻击。恶意攻击。WEP(Wired Equivalent Privacy,有,有线对等保密)协议
39、线对等保密)协议 WPA(Wi-Fi Protected Access,无线,无线保护接入)保护接入) 69网络安全与管理9.5 网络管理l网络管理是控制一个网络系统使得它具网络管理是控制一个网络系统使得它具有最高的效率和生产力的过程,网络管有最高的效率和生产力的过程,网络管理系统的本质是管理网络的软件系统。理系统的本质是管理网络的软件系统。我们常说的我们常说的“网管系统网管系统”,应该理解为保障整个应该理解为保障整个IT系统顺利运作的管理系统。系统顺利运作的管理系统。70网络安全与管理 网络管理的目标l解决异构设备的统一管理解决异构设备的统一管理l提供高可靠的服务提供高可靠的服务l提高网络的
40、效率提高网络的效率l 提供公共的管理平台提供公共的管理平台l 提供友好的维护界面提供友好的维护界面71网络安全与管理网络管理的五大功能域l配置管理配置管理CM(Configuration Management)l故障管理故障管理FM(Fault Management) l性能管理性能管理PM(Performance Management) l计费管理计费管理AM(Accounting Management) l安全管理安全管理SM(Security Management) 72网络安全与管理73网络安全与管理74网络安全与管理75网络安全与管理76网络安全与管理网络管理模型l在网络管理中,一般
41、采用在网络管理中,一般采用管理者管理者-代理代理的的管理模型。管理模型。l管理者它负责发出管理操作的指令,并管理者它负责发出管理操作的指令,并接收来自代理的信息。接收来自代理的信息。l代理则位于被管理的设备内部,把来自代理则位于被管理的设备内部,把来自管理者的命令或信息请求转换为本设备管理者的命令或信息请求转换为本设备特有的指令。特有的指令。77网络安全与管理管理者/代理之间的通信78网络安全与管理二、SNMP协议l常用的网络管理协议包括:常用的网络管理协议包括:简单网络管理协议(简单网络管理协议(Simple Network Management Protocol,SNMP)公共管理信息协议
42、(公共管理信息协议(Common management information protocol,CMIP)79网络安全与管理二、SNMP协议SNMP目前被广泛地实现在各种网络设备中,目前被广泛地实现在各种网络设备中,并在并在 Internet中普遍使用。中普遍使用。 SNMPv1是是 1990年年 5月正式公布的(月正式公布的(RFC 1155和和 RFC 1157) SNMPv2于于 1993年陆续公布(年陆续公布(RFC 1441 RFC 1452)。)。80网络安全与管理管理信息库(MIB) l所有的被管对象都包含在所有的被管对象都包含在MIB中中(Management Informa
43、tion Base )l一个一个MIB可以描述为一棵抽象树,树的根没可以描述为一棵抽象树,树的根没有名字,各个数据项组成了树的叶节点。有名字,各个数据项组成了树的叶节点。81网络安全与管理ROOTCCITT (0)ISO (1)JOINT-ISO-CCITT (2)ORG (3)DOD (6)INTERNET (1)PRIVATE (4)EXPERIMENTAL (3)MGMT (2)DIRECTORY (1)MIB (1)IP (4)地址转换地址转换 (3)接口接口 (2)TCP (6)ICNP (5)UDP (7)EGP (8)OMI (9)传输传输 (10)SNMP (11)系统系统 (
44、1)MIB树82网络安全与管理对象标识符(OID)l对象标识符(对象标识符(OID)唯一地标识或命名了树)唯一地标识或命名了树中的各种中的各种MIB对象。对象。l例如:对于变量例如:对于变量sysDescr,其名字为:,其名字为:.iso.org.dod.internet.mgmt.mib.system.sysDesc,其相应的数字表示为:,其相应的数字表示为:.1.3.6.1.2.1.1.183网络安全与管理SNMP通信协议与报文格式 lGetRequest:从代理进程处提取一个或多个参数:从代理进程处提取一个或多个参数值;值;lGetNextRequest:从代理进程处提取紧跟当前参:从代
45、理进程处提取紧跟当前参数值的下一个参数值;数值的下一个参数值;lSetRequest:设置代理进程的一个或多个参数值;:设置代理进程的一个或多个参数值;lGetResponse:返回的一个或多个参数值。这个:返回的一个或多个参数值。这个操作是由代理进程发出的,它是前面三种操作的操作是由代理进程发出的,它是前面三种操作的响应操作响应操作;lTrap:代理进程主动发出的报文,通知管理进程:代理进程主动发出的报文,通知管理进程有某些事情发生。有某些事情发生。 84网络安全与管理SNMP与5种原语85网络安全与管理SNMP报文格式86网络安全与管理87网络安全与管理88网络安全与管理89网络安全与管理
