计算机网络技术CH08ppt课件.ppt

计算机网络技术陈代武主编-第8章 网络安全技术,1,第8章 网络安全技术,计算机网络技术陈代武主编-第8章 网络安全技术,2,8.1 网络安全概述 8.1.1 网络安全的基本概念 8.1.2 网络安全的层次结构 8.1.3 网络安全模型 8.1.4 常见的网络安全技术8.2 网络病毒防范技术 8.2.1 病毒的概念及分类 8.2.2 病毒的传播方式 8.2.3 病毒的结构及工作原理 8.2.4 杀毒技术,第8章 主要内容,计算机网络技术陈代武主编-第8章 网络安全技术,3,8.3 数据加密技术 8.3.1 传统加密技术 8.3.2 数据加密标准DES 8.3.3 公钥密码系统 8.4 防火墙技术 8.4.1 防火墙的概念及原理 8.4.2 防火墙技术 8.4.3 防火墙的体系结构 8.4.4 防火墙的前沿技术8.5 案例分析8.6 本章小结,第8章 主要内容（续1）,计算机网络技术陈代武主编-第8章 网络安全技术,4,了解网络安全的；了解防火墙的前沿技术；理解计算机网络病毒的概念及分类、病毒的传播方式及工作原理；理解数据加密标准的原理；掌握防火墙的概念、原理。,第8章 教学目标,计算机网络技术陈代武主编-第8章 网络安全技术,5,本章知识结构,计算机网络技术陈代武主编-第8章 网络安全技术,6,网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全本质上来讲就是信息安全。,8.1 网络安全概述8.1.1 网络安全的基本概念,计算机网络技术陈代武主编-第8章 网络安全技术,7,计算机网络面临的安全性威胁,计算机网络上的通信面临以下的四种威胁： (1) 截获从网络上窃听他人的通信内容。 (2) 中断有意中断他人在网络上的通信。 (3) 篡改故意篡改网络上传送的报文。 (4) 伪造伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。,计算机网络技术陈代武主编-第8章 网络安全技术,8,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,计算机网络技术陈代武主编-第8章 网络安全技术,9,被动攻击和主动攻击,在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。更改报文流 拒绝报文服务 伪造连接初始化,计算机网络技术陈代武主编-第8章 网络安全技术,10,安全措施的目标主要有以下几类访问控制(Access Control)确保会话对方(人或计算机)有权做他所声称的事情。认证(Authentication)确保会话对方的资源(人或计算机)同他声称的一致。完整性(Integrity)确保接收到的信息同发送的一致。审计(Accountability)确保任何发生的交易在事后可以被证实，即不可抵赖性。保密(Privacy)确保敏感信息不被窃听。,8.1.1 网络安全的基本概念,计算机网络技术陈代武主编-第8章 网络安全技术,11,安全的目标对于非授权者，进不去、看不懂、添不乱、搞不坏；对于授权者，不可越权、不可否认；对于管理者，可监督、可审计、可控制。,8.1.1 网络安全的基本概念,计算机网络技术陈代武主编-第8章 网络安全技术,12,网络安全的特点保密性是指对信息或资源的隐藏。完整性指的是数据或资源的可信度，通常使用防止非法的或者未经授权的数据改变来表达完整性。可用性指的是对信息或资源的期望使用能力。可控性指对信息及信息系统实施安全监控管理。信息的不可否认性保证信息行为人不能否认自己的行为。,8.1.1 网络安全的基本概念,计算机网络技术陈代武主编-第8章 网络安全技术,13,1、物理安全 物理安全指的是物理介质层次上对存储和传输的网络信息的安全保护。影响物理安全的因素自然灾害、物理损坏和设备故障；电磁辐射等；操作失误等。,8.1.2 网络安全的层次结构,计算机网络技术陈代武主编-第8章 网络安全技术,14,2、安全控制 对存储和传输的网络信息的操作和进程进行控制和管理。操作系统的安全控制。网络接口的安全控制。网络互联设备的安全控制。,8.1.2 网络安全的层次结构,计算机网络技术陈代武主编-第8章 网络安全技术,15,3、安全服务 在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别，以满足用户的安全需求。安全机制；安全连接；安全协议；安全策略。,8.1.2 网络安全的层次结构,计算机网络技术陈代武主编-第8章 网络安全技术,16,信息系统的四方模型,8.1.3 网络安全模型,计算机网络技术陈代武主编-第8章 网络安全技术,17,网络安全模型,8.1.3 网络安全模型,计算机网络技术陈代武主编-第8章 网络安全技术,18,防火墙加密身份认证数字签名内容检查,8.1.4 常见的网络安全技术,计算机网络技术陈代武主编-第8章 网络安全技术,19,8.2 网络病毒防范技术 8.2.1 病毒的概念及分类,计算机病毒的定义 “病毒”指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 。计算机病毒的特点计算机病毒是人为的特制程序，具有自我复制能力、很强的感染性、一定的潜伏性、特定的触发性和很大的破坏性。,计算机网络技术陈代武主编-第8章 网络安全技术,20,计算机病毒的分类 按病毒存在的媒体分网络病毒；文件病毒；引导型病毒。按病毒传染的方法分驻留型病毒；非驻留型病毒。,8.2.1 病毒的概念及分类,计算机网络技术陈代武主编-第8章 网络安全技术,21,网络传播因特网、局域网计算机硬件设备传播固定存储介质、移动存储介质,8.2.2 病毒的传播方式,计算机网络技术陈代武主编-第8章 网络安全技术,22,病毒的结构搜索子程序自我复制子程序病毒的工作机理触发-传染-破坏,8.2.3 病毒的结构及工作原理,计算机网络技术陈代武主编-第8章 网络安全技术,23,杀毒方法专杀工具；防毒。常用的反病毒软件瑞星杀毒软件；江民杀毒软件；卡巴斯基；金山毒霸；360安全卫士。,8.2.4 杀毒技术,计算机网络技术陈代武主编-第8章 网络安全技术,24,8.3 数据加密技术,加密的基本概念 密码技术包含两个方面：加密和解密；加密就是研究、编写密码系统，把数据和信息转换为不可识别的密文的过程；解密就是研究密码系统的加密途径，恢复数据和信息本来面目的过程；加密和解密过程共同组成了加密系统。,计算机网络技术陈代武主编-第8章 网络安全技术,25,8.3 数据加密技术,加密的基本概念 在加密系统中，要加密的信息称为明文(Plaintext)；明文经过变换加密后的形式称为密文(Ciphertext)；由明文变为密文的过程称为加密(Enciphering)，通常由加密算法来实现；由密文还原成明文的过程称为解密(Deciphering)，通常由解密算法来实现；为了有效地控制加密和解密算法的实现，在其处理过程中要有通信双方掌握的专门信息参与，这种信息被称为密钥(Key)。,计算机网络技术陈代武主编-第8章 网络安全技术,26,明文 X,截获,密文 Y,一般的数据加密模型,加密密钥 K,明文 X,密文 Y,截取者,篡改,A,B,E 运算加密算法,D 运算解密算法,因特网,解密密钥 K,计算机网络技术陈代武主编-第8章 网络安全技术,27,8.3 数据加密技术,对称密钥加密算法和非对称加密算法对称加密算法是指加密和解密过程都使用同一个密钥；它的特点是运算速度非常快，适合用于对数据本身的加密解密操作；常见的对称算法如各种传统的加密算法、DES算法等。,计算机网络技术陈代武主编-第8章 网络安全技术,28,8.3 数据加密技术,对称密钥加密算法和非对称加密算法非对称加密算法(公开密钥系统 ）使用2个密钥，一个称为公钥，一个称为私钥。公钥用于加密，私钥用于解密；非对称算法比较复杂，运算速度慢；使用非对称算法对数据进行签名；如RSA算法、PGP算法等，通常用于数据加密；此方法已广泛用于Internet的数据加密传送和数字签名。,计算机网络技术陈代武主编-第8章 网络安全技术,29,8.3 数据加密技术,加密的方式 链路加密把网络层以下的加密叫链路加密；主要用于保护通信结点间传输的数据，加解密由置于线路上的密码设备实现。 结点加密在传输层上进行加密；主要是对源结点和目标结点之间传输数据进行加密保护。端对端加密网络层以上的加密称为端对端加密；它是面向网络层主体，对应用层的数据信息进行加密，易于用软件实现。,计算机网络技术陈代武主编-第8章 网络安全技术,30,替换密码在代替密码中，用一组密文字母来代替一组明文字母以 隐藏明文，但保持明文字母的位置不变，例如： a、b、c、d、x、y、z d、e、f、g、a、b、c 若明文为student，则密文为vwxghqw,8.3.1 传统加密技术,表8-1 单字母表替换映射表,计算机网络技术陈代武主编-第8章 网络安全技术,31,变位密码列变位密码列变位密码的密钥是一个不含任何重复字母的单词或短语;然后将明文排序，以密钥中的英文字母大小顺序排出列号;最后以列的顺序写出密文。,8.3.1 传统加密技术,计算机网络技术陈代武主编-第8章 网络安全技术,32,列变位密码,8.3.1 传统加密技术,计算机网络技术陈代武主编-第8章 网络安全技术,33,分组密码简介对称密码有两种类型：分组密码(Block Cipher)和流密码(Stream Cipher);分组密码一次处理一块输入，每个输入块生成一个输出块;流密码对输入元素进行连续处理，同时产生连续单个输出元素;数据加密标准属于分组密码。,8.3.2 数据加密标准DES,计算机网络技术陈代武主编-第8章 网络安全技术,34,DES的历史数据加密标准(Data Encryption Standard，DES) 。1973年，美国国家标准局(NBS) 征集联邦数据加密标准的方案。1975年3月17日，NBS公布了IBM公司提供的密码算法，以标准建议的形式在全国范围内征求意见。经过两年多的公开讨论之后，1977年7月15日，NBS宣布接受这个建议，作为联邦信息处理标准46号，数据加密标准DES正式颁布，供商业界和非国防性政府部门使用。,8.3.2 数据加密标准DES,计算机网络技术陈代武主编-第8章 网络安全技术,35,DES算法流程,8.3.2 数据加密标准DES,计算机网络技术陈代武主编-第8章 网络安全技术,36,8.3.3 公钥密码系统,公钥密码系统使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 最著名的公钥密码体制是RSA 体制，它基于数论中大数分解问题的体制，由美国三位科学家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式发表的。,计算机网络技术陈代武主编-第8章 网络安全技术,37,公钥密码体制,密文Y,E 运算加密算法,D 运算解密算法,加密,解密,明文 X,明文 X,A,B,B 的私钥 SKB,密文Y,因特网,B 的公钥 PKB,计算机网络技术陈代武主编-第8章 网络安全技术,38,加密密钥与解密密钥,在公钥密码体制中，加密密钥(即公钥) PK 是公开信息，而解密密钥(即私钥或秘钥) SK 是需要保密的。加密算法 E 和解密算法 D 也都是公开的。虽然秘钥 SK 是由公钥 PK 决定的，但却不能根据 PK 计算出 SK。,计算机网络技术陈代武主编-第8章 网络安全技术,39,应当注意,任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。在这方面，公钥密码体制并不具有比传统加密体制更加优越之处。 由于目前公钥加密算法的开销较大，在可见的将来还看不出来要放弃传统的加密方法。公钥还需要密钥分配协议，具体的分配过程并不比采用传统加密方法时更简单。,计算机网络技术陈代武主编-第8章 网络安全技术,40,公钥算法的特点,发送者 A 用 B 的公钥 PKB 对明文 X 加密（E 运算）后，在接收者 B 用自己的私钥 SKB 解密（D 运算），即可恢复出明文： (7-4) 解密密钥是接收者专用的秘钥，对其他人都保密。加密密钥是公开的，但不能用它来解密，即,(7-5),计算机网络技术陈代武主编-第8章 网络安全技术,41,公钥算法的特点（续）,加密和解密的运算可以对调，即 在计算机上可容易地产生成对的 PK 和 SK。从已知的 PK 实际上不可能推导出 SK，即从 PK 到 SK 是“计算上不可能的”。加密和解密算法都是公开的。,（7-6）,计算机网络技术陈代武主编-第8章 网络安全技术,42,RSA算法,8.3.3 公钥密码系统,计算机网络技术陈代武主编-第8章 网络安全技术,43,RSA算法实例,8.3.3 公钥密码系统,=17,q=11,n=187,z=160选择与160互质的数,d=23找到一个e,e=7,使ed=1(mod160)公钥(7,187), 私钥(23,187),(1) 选择两个大素数P和q;(2) 计算n=Pq和z=(p-1)(q-1);(3) 选择一个与z互质的数，令其为d；(4) 找到一个e使满足ed=1(mod z) 公钥(e,n), 私钥（d,n）,计算机网络技术陈代武主编-第8章 网络安全技术,44,8.3.3 公钥密码系统,(1)加密：设要加密的明文为M=88，则C=Me(mod n)=887(mod 187)=11,于是对应的密文为C=11;(2)解密：接收方收到密文后进行解密，计算M=Cd(mod 187)=1123(mod 187)=88, 恢复出原文。,计算机网络技术陈代武主编-第8章 网络安全技术,45,8.4 防火墙技术,防火墙在网络中位置,计算机网络技术陈代武主编-第8章 网络安全技术,46,防火墙=过滤器+安全策略（网关）防火墙提供的四种服务：服务控制：确定可以访问的网络服务类型。方向控制：特定服务的方向流控制。用户控制：内部用户、外部用户所需的某种形式的认证机制。行为控制：控制如何使用某种特定的服务。,8.4.1 防火墙的概念及原理,计算机网络技术陈代武主编-第8章 网络安全技术,47,包过滤型防火墙“包过滤”通过将每一输入输出包中发现的信息同访问控制规则相比较来决定阻塞或放行包;通过检查数据流中每一个数据包的源地址、目的地址、所有端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。如果包在这一测试中失败，将在防火墙处被丢弃。,8.4.2 防火墙技术,计算机网络技术陈代武主编-第8章 网络安全技术,48,应用代理级防火墙应用代理级防火墙通过在协议栈的最高层(应用层)检查每一个包从而提供足够的应用级连接信息。,8.4.2 防火墙技术,计算机网络技术陈代武主编-第8章 网络安全技术,49,电路级网关型防火墙不允许进行端点到端点的TCP连接，而是建立两个TCP连接，一个在网关和内部主机上的TCP用户程序之间，另一个在网关和外部主机上的TCP用户程序之间；一旦建立两个连接，网关通常就只是把TCP数据包从一个连接转送到另一个连接中去，而不检查其中的内容。,8.4.2 防火墙技术,计算机网络技术陈代武主编-第8章 网络安全技术,50,双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络接口到另一个网络接口转发IP数据包；实现双重宿主主机的防火墙体系结构禁止这种转发功能，因而，IP数据包并不是直接从一个网络发送到其他网络；防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主机通信，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。,8.4.3 防火墙的体系结构,计算机网络技术陈代武主编-第8章 网络安全技术,51,被屏蔽主机体系结构,8.4.3 防火墙的体系结构,计算机网络技术陈代武主编-第8章 网络安全技术,52,被屏蔽子网体系结构,8.4.3 防火墙的体系结构,计算机网络技术陈代武主编-第8章 网络安全技术,53,自适应的代理服务防火墙自适应代理防火墙也比标准的代理防火墙更灵活，给安全管理者更明确的控制以满足他们的特殊需求，从而使“速度和安全”折中，处于最佳状态 。新型混合型防火墙体系结构新型防火墙主要运用了IPSec技术和分布式计算思想。,8.4.4 防火墙的前沿技术,计算机网络技术陈代武主编-第8章 网络安全技术,54,8.6 本章小结,网络安全概述：网络安全的基本概念与理论。网络病毒防范技术：病毒分类、传播方式、结构和工作原理。数据加解密技术：DES和RSA算法原理及流程。防火墙技术：概念、体系结构及技术。,