計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章.ppt

1、第9章 計(jì)算機(jī)網(wǎng)絡(luò)安全,主要內(nèi)容,9.1 網(wǎng)絡(luò)安全概述 9.2 密碼學(xué) 9.3 防火墻技術(shù) 9.4 計(jì)算機(jī)病毒與木馬防治,9.1 網(wǎng)絡(luò)安全概述,9.1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅 9.1.2 網(wǎng)絡(luò)安全服務(wù) 9.1.3 網(wǎng)絡(luò)安全機(jī)制 9.1.4 網(wǎng)絡(luò)安全標(biāo)準(zhǔn),9.1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅,(1)偽裝 (2)非法連接 (3)非授權(quán)訪問(wèn) (4)拒絕服務(wù) (5)抵賴 (6)信息泄露 (7)通信量分析 (8)無(wú)效的信息流 (9)篡改或破壞數(shù)據(jù) (10)推斷或演繹信息 (11)非法篡改程序,9.1.2 網(wǎng)絡(luò)安全服務(wù),ISO描述了在OSI參考模型下進(jìn)行安全通信所必須提供的5種安全服務(wù) 鑒別服務(wù) 訪

2、問(wèn)控制服務(wù) 數(shù)據(jù)保密服務(wù) 數(shù)據(jù)完整性服務(wù) 防抵賴服務(wù)-數(shù)字簽名,9.1.3 網(wǎng)絡(luò)安全機(jī)制,加密機(jī)制 數(shù)字簽名機(jī)制 訪問(wèn)控制機(jī)制 數(shù)據(jù)完整性機(jī)制 認(rèn)證（鑒別）機(jī)制 通信業(yè)務(wù)填充機(jī)制 路由選擇控制機(jī)制 公證機(jī)制,9.1.4 網(wǎng)絡(luò)安全標(biāo)準(zhǔn),可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則(TCSEC) 1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出 ，于1985年12月由美國(guó)國(guó)防部公布，最初只是軍用標(biāo)準(zhǔn)，后來(lái)延至民用領(lǐng)域。 TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)共7個(gè)級(jí)別，即D、C1、C2、B1、B2、B3與A1。其中D級(jí)系統(tǒng)的安全要求最低，A1級(jí)系統(tǒng)的安全要求最高。 D級(jí)安全標(biāo)準(zhǔn)要求最低，屬于非安全保護(hù)類，它不能用于多用戶環(huán)境下

3、的重要信息處理。D類只有一個(gè)級(jí)別。 C級(jí)系統(tǒng)為用戶能定義訪問(wèn)控制要求的自主保護(hù)類型，它分為兩個(gè)級(jí)別：C1級(jí)和C2級(jí)。 B級(jí)系統(tǒng)屬于強(qiáng)制型安全保護(hù)類，即用戶不能分配權(quán)限，只有網(wǎng)絡(luò)管理員可以為用戶分配訪問(wèn)權(quán)限。B類系統(tǒng)分為3個(gè)級(jí)別。 A1級(jí)系統(tǒng)要求的安全服務(wù)功能與B3級(jí)系統(tǒng)基本一致。A1級(jí)系統(tǒng)在安全審計(jì)、安全測(cè)試、配置管理等方面提出了更高的要求。 一般的UNIX系統(tǒng)通常只能滿足C2級(jí)標(biāo)準(zhǔn)，只有一部分產(chǎn)品可以達(dá)到B1級(jí)標(biāo)準(zhǔn)的要求。,9.1.4 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（續(xù)）,我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn) GB178951999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則于2001年1月1日正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全

4、分為5個(gè)等級(jí)：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)。 主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問(wèn)控制、數(shù)據(jù)完整性、審計(jì)、隱蔽信道分析、客體重用、強(qiáng)制訪問(wèn)控制、安全標(biāo)記、可信路徑和可信恢復(fù)等，這些指標(biāo)涵蓋了不同級(jí)別的安全要求。,9.2 密碼學(xué),9.2.1 密碼技術(shù)概述 9.2.2 對(duì)稱密碼 9.2.3 非對(duì)稱密碼 9.2.4 數(shù)字簽名技術(shù),9.2.1 密碼技術(shù)概述,密碼學(xué)（Cryptography）一詞來(lái)源于希臘語(yǔ)中的短語(yǔ)“secret writing(秘密的書(shū)寫(xiě))”。 古希臘人使用一根叫做scytale的棍子來(lái)加密。送信人先在棍子上呈螺旋式繞一張紙條，然后把信息

5、豎寫(xiě)在紙條上，收信人如果不知道棍子的直徑，就不能正確地恢復(fù)信息。 密碼學(xué)包括密碼編碼學(xué)與密碼分析學(xué)。 人們利用加密算法和密鑰來(lái)對(duì)信息編碼進(jìn)行隱藏，而密碼分析學(xué)則試圖破解算法和密鑰。,9.2.2 對(duì)稱密碼,對(duì)稱加密的基本概念 典型的對(duì)稱加密算法,對(duì)稱加密的基本概念,對(duì)稱加密技術(shù)對(duì)信息的加密與解密都使用相同的密鑰，因此又被稱為密鑰密碼技術(shù)。 由于在對(duì)稱加密體系中加密方和解密方使用相同的密鑰，系統(tǒng)的保密性主要取決于密鑰的安全性。,典型的對(duì)稱加密算法,數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）是典型的對(duì)稱加密算法，它是由IBM公司提出，于1977年被美國(guó)政府采用。 DES

6、是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的算法。明文按64位數(shù)據(jù)塊的單位被加密，生成64位密文。DES算法帶一個(gè)56位密鑰作為參數(shù)。DES的整個(gè)體制是公開(kāi)的，系統(tǒng)的安全性完全依賴于密鑰的保密。 已經(jīng)有一些比DES算法更安全的對(duì)稱加密算法，如IDEA算法、RC2算法、RC4算法與Skipjack算法等。,DES算法的執(zhí)行過(guò)程,9.2.3 非對(duì)稱密碼,非對(duì)稱加密的基本概念 非對(duì)稱加密的標(biāo)準(zhǔn),非對(duì)稱加密的基本概念,非對(duì)稱加密技術(shù)對(duì)信息的加密與解密采用不同的密鑰，用來(lái)加密的密鑰是可以公開(kāi)的，用來(lái)解密的私鑰是需要保密的，因此又被稱為公鑰加密（Public Key Encryption）技術(shù)。 非對(duì)稱加密的產(chǎn)生主要因?yàn)閮?/p>

7、個(gè)方面的原因，一是由于對(duì)稱密碼的密鑰分配問(wèn)題，另一個(gè)是對(duì)數(shù)字簽名的需求。 非對(duì)稱加密技術(shù)與對(duì)稱加密技術(shù)相比，其優(yōu)勢(shì)在于不需要共享通用的密鑰，用于解密的密鑰不需要發(fā)往任何地方，公鑰在傳遞和發(fā)布過(guò)程中即使被截獲，由于沒(méi)有與公鑰相匹配的私鑰，截獲的公鑰對(duì)入侵者也就沒(méi)有太大意義。公鑰加密技術(shù)的主要缺點(diǎn)是加密算法復(fù)雜，加密與解密的速度比較慢。,非對(duì)稱加密的標(biāo)準(zhǔn),目前，主要的公鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法等。 1978年由Rivest、Shamir和Adleman提出 RSA體制被認(rèn)為是目前為止理論最為成熟的一種公鑰密碼體制，多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面。 1985年

8、，ElGamal構(gòu)造一種基于離散對(duì)數(shù)的公鑰密碼體制，這就是ElGamal公鑰體制。 許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie-Hellman密鑰交換、數(shù)據(jù)簽名標(biāo)準(zhǔn)DSS、橢圓曲線密碼等。,9.2.4 數(shù)字簽名技術(shù),數(shù)字簽名技術(shù)的基本概念 數(shù)字簽名的工作原理 數(shù)字簽名的具體工作過(guò)程,數(shù)字簽名技術(shù)的基本概念,數(shù)字簽名是在網(wǎng)絡(luò)環(huán)境中模擬日常生活中的親筆簽名以保證文件或資料真實(shí)性的一種方法。 數(shù)字簽名將信息發(fā)送人的身份與信息傳送結(jié)合起來(lái)，可以保證信息在傳輸過(guò)程中的完整性，并提供信息發(fā)送者的身份驗(yàn)證，以防止信息發(fā)送者抵賴行為的發(fā)生。 利用非對(duì)稱加密算法（例如RSA算法）進(jìn)行數(shù)字簽名是最常用的方法。

9、 數(shù)字簽名需要實(shí)現(xiàn)以下3項(xiàng)功能。 (1)接收方可以核對(duì)發(fā)送方對(duì)報(bào)文的簽名，以確定對(duì)方的身份。 (2)接收方在發(fā)送報(bào)文之后無(wú)法對(duì)發(fā)送的報(bào)文及簽名抵賴。 (3)接收方無(wú)法偽造發(fā)送方的簽名。,數(shù)字簽名的工作原理,數(shù)字簽名使用兩對(duì)公開(kāi)密鑰的加密/解密的密鑰,數(shù)字簽名的具體工作過(guò)程,(1) 發(fā)送方使用單向散列函數(shù)對(duì)要發(fā)送的信息進(jìn)行運(yùn)算，生成信息摘要。 (2) 發(fā)送方使用自己的私鑰，利用非對(duì)稱加密算法，對(duì)生成的信息摘要進(jìn)行數(shù)字簽名。 (3) 發(fā)送方通過(guò)網(wǎng)絡(luò)將信息本身和已進(jìn)行數(shù)字簽名的信息摘要發(fā)送給接收方。 (4) 接收方使用與發(fā)送方相同的單向散列函數(shù)，對(duì)接收到的信息進(jìn)行運(yùn)算，重新生成信息摘要。 (5) 接

10、收方使用發(fā)送方的公鑰對(duì)接收的信息摘要進(jìn)行解密。 (6) 將解密的信息摘要與重新生成的信息摘要進(jìn)行比較，以判斷信息在發(fā)送過(guò)程中是否被篡改過(guò),9.3 防火墻技術(shù),9.3.1 防火墻的概念 9.3.2 實(shí)現(xiàn)防火墻的技術(shù) 9.3.3 防火墻的體系結(jié)構(gòu),9.3.1 防火墻的概念,防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件。 設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部網(wǎng)絡(luò)受到外部非法用戶的攻擊。防火墻的位置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。,9.3.1 防火墻的概念（續(xù)）,防火墻的主要功能 (1)檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。 (2)檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的

11、數(shù)據(jù)包。 (3)執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過(guò)。 (4)具有防攻擊能力，保證自身的安全性。 防火墻只是一種整體安全防范策略的一部分。 防火墻不能防范不經(jīng)由防火墻的攻擊。 防火墻不能防止感染了病毒的軟件或文件的傳輸 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。,9.3.2 實(shí)現(xiàn)防火墻的技術(shù),實(shí)現(xiàn)防火墻的技術(shù)大體上分為兩類：一類作用于網(wǎng)絡(luò)層之上，保護(hù)整個(gè)網(wǎng)絡(luò)不受非法用戶的侵入，這類防火墻可以通過(guò)包過(guò)濾技術(shù)實(shí)現(xiàn)；另一類作用于應(yīng)用層之上，控制對(duì)應(yīng)用層的訪問(wèn)。 包過(guò)濾技術(shù) 應(yīng)用層網(wǎng)關(guān),包過(guò)濾技術(shù),包過(guò)濾技術(shù)是基于路由器技術(shù)的 普通的路由器只對(duì)分組的網(wǎng)絡(luò)層包頭進(jìn)行處理，而包過(guò)濾路由器通過(guò)系統(tǒng)內(nèi)部設(shè)

12、置的包過(guò)濾規(guī)則（即訪問(wèn)控制表），檢查T(mén)CP報(bào)頭的端口號(hào)字節(jié)。,包過(guò)濾規(guī)則舉例,包過(guò)濾規(guī)則一般是基于部分或全部報(bào)頭的內(nèi)容。,包過(guò)濾的流程圖,包過(guò)濾路由器會(huì)對(duì)所有收到的分組按照每一條規(guī)則加以判斷 凡是符合包轉(zhuǎn)發(fā)規(guī)則的被轉(zhuǎn)發(fā) 不符合包轉(zhuǎn)發(fā)規(guī)則的包被丟棄。,應(yīng)用層網(wǎng)關(guān),作用于應(yīng)用層的防火墻技術(shù)稱為應(yīng)用層網(wǎng)關(guān)，應(yīng)用層網(wǎng)關(guān)控制對(duì)應(yīng)用層的訪問(wèn)。 應(yīng)用層網(wǎng)關(guān)通過(guò)應(yīng)用程序訪問(wèn)控制允許或禁止對(duì)某些程序的訪問(wèn)。,9.3.3 防火墻的體系結(jié)構(gòu),在防火墻與網(wǎng)絡(luò)的配置上，有以下3種典型結(jié)構(gòu)： 雙宿/多宿主機(jī)模式 屏蔽主機(jī)模式 屏蔽子網(wǎng)模式,堡壘主機(jī)是一種配置了較為全面的安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，從網(wǎng)絡(luò)安全上來(lái)看，堡壘

13、主機(jī)是防火墻管理員認(rèn)為最強(qiáng)壯的系統(tǒng)。通常情況下，堡壘主機(jī)可作為應(yīng)用層網(wǎng)關(guān)的平臺(tái)。,雙宿/多宿主機(jī)防火墻,又稱為雙宿/多宿網(wǎng)關(guān)防火墻 它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺(tái)裝有兩塊或多網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連 這種防火墻的特點(diǎn)是主機(jī)的路由功能是被禁止的，兩個(gè)網(wǎng)絡(luò)之間的通信通過(guò)應(yīng)用層代理服務(wù)來(lái)實(shí)現(xiàn)。,屏蔽主機(jī)模式,由包過(guò)濾路由器和堡壘主機(jī)組成 堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)置過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為外部網(wǎng)絡(luò)唯一可以直接到達(dá)的主機(jī)，這保證了內(nèi)部網(wǎng)絡(luò)不被未經(jīng)授權(quán)的外部用戶攻擊。,屏蔽子網(wǎng)模式,采用了兩個(gè)包過(guò)濾路由器

14、和一個(gè)堡壘主機(jī) 在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，定義為“非軍事區(qū)”網(wǎng)絡(luò)。 將堡壘主機(jī)、WWW服務(wù)器、E-mail服務(wù)器等公用的服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)通信。,9.4 計(jì)算機(jī)病毒與木馬防治,9.4.1 計(jì)算機(jī)病毒 9.4.2 特洛伊木馬,9.4.1 計(jì)算機(jī)病毒,編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 計(jì)算機(jī)病毒的特點(diǎn) 計(jì)算機(jī)病毒的分類 計(jì)算機(jī)病毒的預(yù)防 計(jì)算機(jī)病毒的清除,計(jì)算機(jī)病毒的特點(diǎn),傳染性 破壞性 隱蔽性 潛伏性,計(jì)算機(jī)病毒的分類,引導(dǎo)型病毒 文件型病毒

15、網(wǎng)絡(luò)病毒,計(jì)算機(jī)病毒的預(yù)防,管理上的預(yù)防 管理人員充分認(rèn)識(shí)計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)的危害性，制定完善的使用計(jì)算機(jī)的管理制度。 用技術(shù)手段預(yù)防 這是指采用一定的技術(shù)措施預(yù)防計(jì)算機(jī)病毒，如使用查殺毒軟件、防火墻軟件，一旦發(fā)現(xiàn)病毒及時(shí)向用戶發(fā)出警報(bào)等。,計(jì)算機(jī)病毒的清除,最佳的解決辦法就是用殺毒軟件對(duì)計(jì)算機(jī)進(jìn)行一次全面地清查。目前我國(guó)病毒的清查技術(shù)已經(jīng)成熟，已出現(xiàn)一些世界領(lǐng)先水平的殺毒軟件，如瑞星殺毒軟件、KV3000、KILL2000、金山毒霸等。,9.4.2 特洛伊木馬,特洛伊木馬的概念 木馬的特點(diǎn) 木馬的防治,特洛伊木馬的概念,特洛伊木馬（以下簡(jiǎn)稱木馬)，英文叫做“Trojan Horse”，其名稱取自希臘神話的特洛伊木馬記。 常用“特洛伊木馬”這一典故，用來(lái)比喻在敵方營(yíng)壘里埋下伏兵里應(yīng)外合的活動(dòng)。 完整的木馬程序一般由兩個(gè)部份組成：一個(gè)是服務(wù)器程序，一個(gè)是控制器程序。,木馬的特點(diǎn),有效性 隱蔽性 頑固性 易植入性 近年來(lái)，木馬病毒技術(shù)取得