网络安全技术基础课件.ppt

第,6,章,网络安全技术基础,学习目标,1,）了解计算机网络安全的主要内容,2,）理解并掌握防火墙技术及其实现,3,）了解认证技术的种类和实现方法,4,）了解密码体制和加密技术,6.1,网络信息安全概述,6.1.1,网络面临的安全威胁,计算机网络通信面临的四种威胁：,（,1,）截获（,Interception,）,攻击者从网络上窃听他人的通信内容。,（,2,）中断（,Interruption,）,攻击者有意中断他人在网络上的通信。,（,3,）篡改（,Modification,）,攻击者故意篡改网络上传送的报文。,（,4,）伪造（,Fabrication,）,攻击者伪造信息在网络上传送。,网络面临的安全威胁,6.1,网络信息安全概述,安全威胁可以分为两大类：,主动攻击：更改信息和拒绝用户使用资源的攻击。（如,2,3,4,）,被动攻击：截获信息的攻击（如,1,）。,6.1,网络信息安全概述,被动攻击又称为通信量分析，攻击者不干扰信息,流，只是观察和分析某一个协议数据单元（,PDU,）。被,动攻击往往是主动攻击的前奏。,主动攻击是指攻击者对某个连接中通过的,PDU,进行,各种处理。主动攻击从类型上分为：,（,1,）更改报文流,（,2,）拒绝报文服务,（,3,）伪造连接初始化,（,4,）恶意攻击程序（计算机病毒、计算机蠕虫、,特洛伊木马和逻辑炸弹）,6.1,网络信息安全概述,计算机网络通信安全的六个目标：,（,1,）防止析出报文内容,（,2,）防止通信量分析,（,3,）检测更改报文流,（,4,）检测拒绝报文服务,（,5,）检测伪造初始化连接,（,6,）防止和检测计算机病毒,6.1,网络信息安全概述,6.1.2,计算机网络安全的内容,（,1,）保密性,（,2,）安全协议设计,（,3,）接入控制,6.1,网络信息安全概述,6.1.3,计算机网络安全研究的主要问题,需要考虑的主要问题：,（,1,）网络防攻击技术,（,2,）网络安全漏洞与对策的研究,（,3,）网络中的信息安全问题,（,4,）防抵赖问题,（,5,）网络内部安全防范,（,6,）网络防病毒,（,7,）网络数据备份与恢复及灾难恢复,6.2,防火墙技术,6.2.1,概述,防火墙是一种网络安全防护系统，是由软件和硬件构成，用,来在网络之间执行控制策略的系统。设置防火墙的目的是保护内,部网络资源不被外部非授权用户使用。一般都将防火墙设置在内,部网络和外部网络之间。,防火墙的主要功能包括：,1,）检查所有从外部网络进入内部网络的数据包；,2,）检查所有从内部网络流出到外部网络的数据包；,3,）执行安全策略，限制所有不符合安全策略要求的分组通过；,4,）具有防攻击能力，保证自身的安全性。,6.2,防火墙技术,6.2.2,防火墙的实现,防火墙系统往往由包过滤路由器和应用级网关组合而成，由,于组合方式有多种，因此防火墙系统的结构也有多种形式。,6.2,防火墙技术,1.,包过滤路由器,（,1,）包过滤基本概念,y,N,N,y,?,?,1,y,?,?,1,?,?,?,?,?,2,?,y,?,?,Y,1,y,?,?,1,?,?,?,?,?,?,D,a,?,?,?,1,y,?,?,?,?,o,?,?,?,1,?,?,|,?,?,?,?,?,?,1,y,?,?,1,?,?,a,?,?,?,a,?,?,?,包过滤路由器示意图,包过滤流程图,6.2,防火墙技术,（,2,）包过滤路由器配置的基本方法,过滤,规则,号,方,向,动,作,源主机,地址,源端,口号,目的主,机地址,目的,端,口号,协,议,描,述,1,进,入,阻,塞,OTHERH,OST,*,*,*,*,阻塞来自,OTHERHOST,的,数据包,2,输,出,阻,塞,*,*,OTHERH,OST,*,*,阻塞传到,OTHERHOST,的,数据包,3,进,入,允,许,*,1023,192.3.8.,1,25,TC,P,允许外部用户传送到,内部网络电子邮件服,务器的数据包,4,输,出,允,许,192.3.8,.1,25,*,1023,TC,P,允许内部邮件服务器,传送到外部网络的电,子邮件数据包,包过滤规则表,6.2,防火墙技术,（,3,）包过滤方法的优缺点分析,优点：,1,）结构简单，便于管理，造价低。,2,）由于操作在网络层和传输层进行，所以对应用层透明。,缺点：,1,）在路由器中配置包过滤规则比较困难。,2,）只能控制到主机一级，不涉及包的内容与用户一级，有局限性。,6.2,防火墙技术,2.,应用级网关,（,1,）多归属主机,多归属主机又称为多宿主主机，它是具有多个网络接口卡,的主机，其结构如图所示。如果将多归属主机用在应用层的用户,身份认证与服务请求合法性检查上，那么这一类可以起到防火墙,作用的多归属主机就叫做应用级网关，或应用网关。,?,1,?,?,?,?,?,?,1,?,?,?,2,?,?,?,3,?,?,?,3,?,?,?,2,?,?,?,1,?,?,1,?,?,2,?,?,3,?,1,?,?,?,多归属主机结构示意图,6.2,防火墙技术,（,2,）应用级网关,应用级网关原理示意图,如果多归,属主机连接了,两个网络，那,么它可以叫做,双归属主机,（,dual-homed,host,）。双归,属主机可以用,在网络安全与,网络服务的代,理上。,6.2,防火墙技术,（,3,）应用代理,直实服务器,外部,响应,转发请求,Internet,代理客户,应用层代理服务,代理服务器,应用协,议分析,请求,转发响应,Intranet,真实的,客户端,应用代理是应用级网关的另一种,形式，但它们的工作方式不同。应用,级网关是以存储转发方式，检查和确,定网络服务请求的用户身份是否合法，,决定是转发还是丢弃该服务请求。因,此从某种意义上说，应用级网关在应,用层“转发”合法的应用请求。应用,代理与应用级网关不同之处在于：应,用代理完全接管了用户与服务器的访,问，隔离了用户主机与被访问服务器,之间的数据包的交换通道。,应用代理的基本工作原理,6.2,防火墙技术,6.2.3,防火墙的系统结构,1.,防火墙系统结构的基本概念,防火墙是一个由软件与硬件组成的系统。由于不同内部网络,的安全策略与防护目的不同，防火墙系统的配置与实现方式也有,很大的区别。简单的一个包过滤路由器或应用级网关、应用代理,都可以作为防火墙使用。实际的防火墙系统要比以上原理性讨论,的问题复杂得多，它们经常将包过滤路由器与应用级网关作为基,本单元。采用多级的结构和多种组态。,6.2,防火墙技术,2.,堡垒主机的概念,从理论上讲，用一个双归属主机作为应用级网关可以起到,防火墙的作用。在这种结构中，应用级网关完全暴露给整个外,部网络，而应用级网关的自身安全会影响到整个系统的工作，,因此从防火墙设计者来说，运行应用级网关软件的计算机系统,必须非常可靠。人们把处于防火墙关键部位、运行应用级网关,软件的计算机系统称为堡垒主机。,客户机,双宿主机,Internet,6.2,防火墙技术,设置堡垒主机需要注意以下几个问题：,（,1,）在堡垒主机的硬件平台上安装它的操作系统的一个安全版本，,使它成为一个可信任的系统；,（,2,）删除不必要的服务和应用软件，保留必须的服务，如,DNS,、,FTP,、,SMTP,与,Telnet,等服务，安装应用代理软件；,（,3,）配置资源保护、用户身份鉴别与访问控制，设置审计与日志功,能；,（,4,）设计堡垒主机防攻击方法，以及被破坏后的应急方案。,6.2,防火墙技术,3.,典型防火墙的系统结构分析,（,1,）采用一个包过滤路由器与单堡垒主机组成的防火墙系统结构,客户机,单堡垒主机,路由器,Internet,采用一个包过滤路由器与单堡垒主机组成的防火墙,6.2,防火墙技术,包过滤路由器与单堡垒主机组成的防火墙数据传输过程,6.2,防火墙技术,（,2,）采用多级结构的防火墙系统,对于安全要求更高的应用领域，还可以采用两个包过滤路由,器与两个堡垒主机组成的防火墙系统,多级结构的防火墙系统示意图,6.3,认证技术,6.3.1,认证技术概述,认证技术主要解决网络通信过程中通信双方的身份认可。认,证方式一般有账户名口令认证、使用摘要算法的认证、基于,PKI,（公钥基础设施）的认证等。,大多数情况下，授权和访问控制都是伴随在成功的认证之后,的。目前有关认证的使用技术主要有：消息认证、身份认证和数,字签名。,6.3,认证技术,6.3.2,消息认证,1,、消息认证的概念,消息认证就是消息的接收者能够检验收到的消息是否正确的,方法。消息认证又称为完整性校验，它在银行业称为消息认证，,在,OSI,安全模型中称为封装。消息认证的内容应包括：证实消息,的信源和信宿；消息内容是否被有意或无意地篡改；消息的序号,和时间性是否正确。,6.3,认证技术,2,、安全单向散列函数,安全单向散列函数即哈希函数，哈希函数提供了消息或文件,的指纹，散列指纹是唯一的，因而提供了消息完整性认证。,3,、常用的摘要算法,常用的摘要算法有：消息摘要,4,算法（,MD4,）；消息摘要,5,算,法（,MD5,）；安全散列算法（,SHA,）。,6.3,认证技术,6.3.3,身份认证,网络用户的身份认证可以通过下述,3,种基本途径之一或它们的,组合来实现。,（,1,）所知（,Knowledge,）个人所掌握的密码、口令等。,（,2,）所有（,Possesses,）个人的身份证、护照、信用卡、钥匙等。,（,3,）个人特征（,Characteristics,）人的指纹、声音、笔迹、手型、,脸型、血型、视网膜、虹膜、,DNA,，以及个人动作方面的特征等。,根据安全要求和用户可接受的程度，以及成本等因素，可以选,择适当的组合，来设计一个自动身份认证系统。,6.3,认证技术,6.3.4,数字签名,数据加密可以防止信息在传输过程中被截获，但是如何确定发,送人的身份问题，就需要使用数字签名技术来解决。,1,、数字签名的基本概念,数字签名将信息发送人的身份与信息传送结合起来，可以保,证信息在传输过程中的完整性，并提供信息发送者的身份认证，,以防止信息发送者抵赖行为的发生。,6.3,认证技术,2,、数字签名的工作原理,数字签名的具体工作过程为：,（,1,）发送方使用单向散列函数对要发送的信息进行运算，生成信息摘要；,（,2,）发送方使用自己的私钥，利用非对称加密算法，对生成的信息摘要进,行数字签名；,（,3,）发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接收,方；,（,4,）接收方使用与发送方相同的单向散列函数，对收到的信息进行运算，,重新生成信息摘要；,（,5,）接收方使用发送方的公钥对接收的信息摘要解密；,（,6,）将解密的信息摘要与重新生成的信息摘要进行比较，以判断信息在发,送过程中是否被篡改过。,6.3,认证技术,数字签名的工作原理示意图,6.4,加密技术,密码技术是保证网络与信息安全的核心技术之一。密码学包,括密码编码学与密码分析学。密码体制的设计是密码学研究的,主要内容。人们利用加密算法和一个秘密的值（称为密钥）来,对信息编码进行隐蔽，而密码分析学试图破译算法和密钥。两,者相互对立，又互相促进地向前发展。,6.4,加密技术,6.4.1,密码学的基本概念,1,、加密算法与解密算法,加密的基本思想是伪装明文以隐蔽其真实内容，即将明文伪,装成密文，如图所示。伪装明文的操作称为加密，加密时所使用,的信息变换规则称为加密算法。由密文恢复出原明文的过程称为,解密。解密时所采用的信息变换规则称作解密算法。,加密和解密过程示意图,6.4,加密技术,2,、密钥的作用,加密算法和解密算法的操作通常都是在一组密钥控制下进行,的。传统密码体制所用的加密密钥和解密密钥相同，也称为对称,密码体制。如果加密密钥和解密密钥不相同，则称为非对称密码,体制。,密码算法实际上很难做到绝对保密，因此现代密码学的一个,基本原则是：一切秘密寓于密钥之中。在设计加密系统时，加密,算法是可以公开的，真正需要保密的是密钥。,6.4,加密技术,3,、什么是密文,密文是明文和加密密钥相结合，然后经过加密算法运算的结果。,实际上，密文是含有一个参数,k,的数学变换，即,C,E,k,（,m,）。其,中，,m,是未加密的信息（明文），,C,是加密后的信息（密文），,E,是加密算法，参数,k,称为密钥。密文,C,是明文,m,使用密钥,k,，经过加,密算法计算后的结果。,6.4,加密技术,4,、密钥长度,对于同一种加密算法，密钥的位数越长，破译的困难也就越,大，安全性也就越好。但是密钥越长，进行加密和解密过程所需,要的计算时间也将越大。我们的目标是要使破译密钥所需要的,“花费”比该密钥所保护的信息价值还要大。,密码长度,密钥组合个数,40,2,40,1 099 511 627 776,56,2,56,7.205 759 403 793,10,16,64,2,64,1.844 674 407 371,10,19,112,2,112,5.192 296 858 535,10,33,128,2,128,3.402 823 669 209,10,38,密钥长度与密钥组合个数的关系,6.4,加密技术,6.4.2,对称加密技术,1,、对称加密的基本概念,对称加密技术对信息的加密与解密都使用相同的密钥，因此,又被称为密钥密码技术。但密钥的管理和传送是必须注意解决的,问题。,对称加密的原理示意图,6.4,加密技术,2,、典型的对称加密算法,数据加密标准（,data encryption standard,，,DES,）是最典型,的对称加密算法，它是由,IBM,公司提出，经过国际标准化组织认,定的数据加密的国际标准。,DES,算法是目前广泛采用的对称加密,方式之一，主要用于银行业中的电子资金转账领域。,DES,算法采,用了,64,位密钥长度，其中,8,位用于奇偶校验，用户可以使用其余,的,56,位。,6.4,加密技术,6.4.3,非对称加密技术,1,、非对称加密的基本概念,非对称加密技术对信息的加密与解密使用不同的密钥，用来加,密的密钥是可以公开的公钥，用来解密的密钥是需要保密的私钥，,因此又被称为公钥加密（,Public key encryption,）技术。,非对称加密的原理示意图,6.4,加密技术,2,、非对称加密的标准,目前，主要的公钥算法包括：,RSA,算法、,DSA,算法、,PKCS,算法,与,PGP,算法等。,6.4,加密技术,6.4.4,数字信封技术,本章小结,?,网络安全基础知识,?,防火墙基础及实现,?,网络安全服务,?,加密与认证技术,