計算機網(wǎng)絡(luò)技術(shù)--第八章網(wǎng)絡(luò)安全技術(shù)

1、1 12 28.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 8.1.1 網(wǎng)絡(luò)安全的基本概念網(wǎng)絡(luò)安全的基本概念 8.1.2 網(wǎng)絡(luò)安全的層次結(jié)構(gòu)網(wǎng)絡(luò)安全的層次結(jié)構(gòu) 8.1.3 網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全模型 8.1.4 常見的網(wǎng)絡(luò)安全技術(shù)常見的網(wǎng)絡(luò)安全技術(shù)8.2 網(wǎng)絡(luò)病毒防范技術(shù)網(wǎng)絡(luò)病毒防范技術(shù) 8.2.1 病毒的概念及分類病毒的概念及分類 8.2.2 病毒的傳播方式病毒的傳播方式 8.2.3 病毒的結(jié)構(gòu)及工作原理病毒的結(jié)構(gòu)及工作原理 8.2.4 殺毒技術(shù)殺毒技術(shù)3 38.3 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 8.3.1 傳統(tǒng)加密技術(shù)傳統(tǒng)加密技術(shù) 8.3.2 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES 8.3.3 公鑰密碼系統(tǒng)公鑰密碼系

2、統(tǒng) 8.4 防火墻技術(shù)防火墻技術(shù) 8.4.1 防火墻的概念及原理防火墻的概念及原理 8.4.2 防火墻技術(shù)防火墻技術(shù) 8.4.3 防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu) 8.4.4 防火墻的前沿技術(shù)防火墻的前沿技術(shù)8.5 案例分析案例分析8.6 本章小結(jié)本章小結(jié)4 4 了解網(wǎng)絡(luò)安全的；了解網(wǎng)絡(luò)安全的； 了解防火墻的前沿技術(shù)；了解防火墻的前沿技術(shù)； 理解計算機網(wǎng)絡(luò)病毒的概念及分類、病毒理解計算機網(wǎng)絡(luò)病毒的概念及分類、病毒的傳播方式及工作原理；的傳播方式及工作原理； 理解數(shù)據(jù)加密標準的原理；理解數(shù)據(jù)加密標準的原理； 掌握防火墻的概念、原理。掌握防火墻的概念、原理。5 56 6 網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的定

3、義 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全本質(zhì)上來講就是信息安全。網(wǎng)絡(luò)安全本質(zhì)上來講就是信息安全。 7 7 安全措施的目標主要有以下幾類安全措施的目標主要有以下幾類 訪問控制訪問控制(Access Control) 確保會話對方確保會話對方(人或計算機人或計算機)有權(quán)做他所聲稱的事情。有權(quán)做他所聲稱的事情。 認證認證(Authenti

4、cation) 確保會話對方的資源確保會話對方的資源(人或計算機人或計算機)同他聲稱的一致。同他聲稱的一致。 完整性完整性(Integrity) 確保接收到的信息同發(fā)送的一致。確保接收到的信息同發(fā)送的一致。 審計審計(Accountability) 確保任何發(fā)生的交易在事后可以被證實，即不可抵賴確保任何發(fā)生的交易在事后可以被證實，即不可抵賴性。性。 保密保密(Privacy) 確保敏感信息不被竊聽。確保敏感信息不被竊聽。8 8 安全的目標安全的目標 對于非授權(quán)者，進不去、看不懂、添不亂、對于非授權(quán)者，進不去、看不懂、添不亂、搞不壞；搞不壞； 對于授權(quán)者，不可越權(quán)、不可否認；對于授權(quán)者，不可越權(quán)

5、、不可否認； 對于管理者，可監(jiān)督、可審計、可控制。對于管理者，可監(jiān)督、可審計、可控制。9 9 網(wǎng)絡(luò)安全的特點網(wǎng)絡(luò)安全的特點 保密性保密性 是指對信息或資源的隱藏。是指對信息或資源的隱藏。 完整性完整性 指的是數(shù)據(jù)或資源的可信度，通常使用防止非法的或指的是數(shù)據(jù)或資源的可信度，通常使用防止非法的或者未經(jīng)授權(quán)的數(shù)據(jù)改變來表達完整性。者未經(jīng)授權(quán)的數(shù)據(jù)改變來表達完整性。 可用性可用性 指的是對信息或資源的期望使用能力。指的是對信息或資源的期望使用能力。 可控性可控性 指對信息及信息系統(tǒng)實施安全監(jiān)控管理。指對信息及信息系統(tǒng)實施安全監(jiān)控管理。 信息的不可否認性信息的不可否認性 保證信息行為人不能否認自己的行

6、為。保證信息行為人不能否認自己的行為。10101、物理安全、物理安全 物理安全指的是物理介質(zhì)層次上對存儲和物理安全指的是物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護。傳輸?shù)木W(wǎng)絡(luò)信息的安全保護。 影響物理安全的因素影響物理安全的因素自然災(zāi)害、物理損壞和設(shè)備故障；自然災(zāi)害、物理損壞和設(shè)備故障；電磁輻射等；電磁輻射等；操作失誤等。操作失誤等。11112、安全控制、安全控制 對存儲和傳輸?shù)木W(wǎng)絡(luò)信息的操作和進程進行對存儲和傳輸?shù)木W(wǎng)絡(luò)信息的操作和進程進行控制和管理?？刂坪凸芾?。 操作系統(tǒng)的安全控制。操作系統(tǒng)的安全控制。 網(wǎng)絡(luò)接口的安全控制。網(wǎng)絡(luò)接口的安全控制。 網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。網(wǎng)絡(luò)互聯(lián)設(shè)備的安全

7、控制。12123、安全服務(wù)、安全服務(wù) 在應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性在應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實性進行保護和鑒別，以滿足用和信源的真實性進行保護和鑒別，以滿足用戶的安全需求。戶的安全需求。 安全機制；安全機制； 安全連接；安全連接； 安全協(xié)議；安全協(xié)議； 安全策略。安全策略。1313 信息系統(tǒng)的四方模型信息系統(tǒng)的四方模型 1414 網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全模型 1515 防火墻防火墻 加密加密 身份認證身份認證 數(shù)字簽名數(shù)字簽名 內(nèi)容檢查內(nèi)容檢查1616 計算機病毒的定義計算機病毒的定義 “病毒病毒”指編制或者在計算機程序中插入的破壞指編制或者在計算機程序中插入的破壞

8、計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼能夠自我復制的一組計算機指令或者程序代碼 。 計算機病毒的特點計算機病毒的特點 計算機病毒是人為的特制程序，具有自我復制能力、計算機病毒是人為的特制程序，具有自我復制能力、很強的感染性、一定的潛伏性、特定的觸發(fā)性和很大很強的感染性、一定的潛伏性、特定的觸發(fā)性和很大的破壞性。的破壞性。1717 計算機病毒的分類計算機病毒的分類 按病毒存在的媒體分按病毒存在的媒體分網(wǎng)絡(luò)病毒；網(wǎng)絡(luò)病毒；文件病毒；文件病毒；引導型病毒。引導型病毒。 按病毒傳染的方法分按病毒傳染的方法分駐留型病毒

9、；駐留型病毒；非駐留型非駐留型病毒。病毒。1818 網(wǎng)絡(luò)傳播網(wǎng)絡(luò)傳播 因特網(wǎng)、局域網(wǎng)因特網(wǎng)、局域網(wǎng) 計算機硬件設(shè)備傳播計算機硬件設(shè)備傳播 固定存儲介質(zhì)、移動存儲介質(zhì)固定存儲介質(zhì)、移動存儲介質(zhì)1919 病毒的結(jié)構(gòu)病毒的結(jié)構(gòu) 搜索子程序搜索子程序 自我復制子程序自我復制子程序 病毒的工作機理病毒的工作機理 觸發(fā)觸發(fā)-傳染傳染-破壞破壞2020 殺毒方法殺毒方法 專殺工具；專殺工具； 防毒。防毒。 常用的反病毒軟件常用的反病毒軟件 瑞星殺毒軟件；瑞星殺毒軟件； 江民殺毒軟件；江民殺毒軟件； 卡巴斯基；卡巴斯基； 金山毒霸；金山毒霸； 360安全衛(wèi)士。安全衛(wèi)士。2121 加密的基本概念加密的基本概念

10、密碼技術(shù)包含兩個方面：加密和解密；密碼技術(shù)包含兩個方面：加密和解密； 加密加密就是研究、編寫密碼系統(tǒng)，把數(shù)據(jù)和就是研究、編寫密碼系統(tǒng)，把數(shù)據(jù)和信息轉(zhuǎn)換為不可識別的密文的過程；信息轉(zhuǎn)換為不可識別的密文的過程； 解密解密就是研究密碼系統(tǒng)的加密途徑，恢復就是研究密碼系統(tǒng)的加密途徑，恢復數(shù)據(jù)和信息本來面目的過程；數(shù)據(jù)和信息本來面目的過程； 加密和解密過程共同組成了加密系統(tǒng)。加密和解密過程共同組成了加密系統(tǒng)。2222 加密的基本概念加密的基本概念 在加密系統(tǒng)中，要加密的信息稱為在加密系統(tǒng)中，要加密的信息稱為明文明文(Plaintext)； 明文經(jīng)過變換加密后的形式稱為明文經(jīng)過變換加密后的形式稱為密文密文

11、(Cliphertext)； 由明文變?yōu)槊芪牡倪^程稱為由明文變?yōu)槊芪牡倪^程稱為加密加密(Enciphering)，通常由加，通常由加密算法來實現(xiàn)；密算法來實現(xiàn)； 由密文還原成明文的過程稱為由密文還原成明文的過程稱為解密解密(Deciphering)，通常由，通常由解密算法來實現(xiàn)；解密算法來實現(xiàn)； 為了有效地控制加密和解密算法的實現(xiàn)，在其處理過程中為了有效地控制加密和解密算法的實現(xiàn)，在其處理過程中要有通信雙方掌握的專門信息參與，這種信息被稱為要有通信雙方掌握的專門信息參與，這種信息被稱為密鑰密鑰(Key)。2323 對稱密鑰加密算法和非對稱加密算法對稱密鑰加密算法和非對稱加密算法 對稱加密算法對

12、稱加密算法是指加密和解密過程都使用同一個密鑰；是指加密和解密過程都使用同一個密鑰；它的特點是運算速度非?？欤m合用于對數(shù)據(jù)它的特點是運算速度非?？?，適合用于對數(shù)據(jù)本身的加密解密操作；本身的加密解密操作；常見的對稱算法如各種傳統(tǒng)的加密算法、常見的對稱算法如各種傳統(tǒng)的加密算法、DES算法等。算法等。2424 對稱密鑰加密算法和非對稱加密算法對稱密鑰加密算法和非對稱加密算法 非對稱加密算法非對稱加密算法使用使用2個密鑰，一個稱為公鑰，一個稱為私鑰。個密鑰，一個稱為公鑰，一個稱為私鑰。公鑰用于加密，私鑰用于解密；公鑰用于加密，私鑰用于解密；非對稱算法比較復雜，運算速度慢；非對稱算法比較復雜，運算速度慢

13、；使用非對稱算法對數(shù)據(jù)進行簽名；使用非對稱算法對數(shù)據(jù)進行簽名；如如RSA算法、算法、PGP算法等，通常用于數(shù)據(jù)加密；算法等，通常用于數(shù)據(jù)加密；此方法已廣泛用于此方法已廣泛用于Internet的數(shù)據(jù)加密傳送和的數(shù)據(jù)加密傳送和數(shù)字簽名。數(shù)字簽名。2525 加密的方式加密的方式 鏈路加密鏈路加密 把網(wǎng)絡(luò)層以下的加密叫鏈路加密；把網(wǎng)絡(luò)層以下的加密叫鏈路加密； 主要用于保護通信結(jié)點間傳輸?shù)臄?shù)據(jù)，加解密由置于主要用于保護通信結(jié)點間傳輸?shù)臄?shù)據(jù)，加解密由置于線路上的密碼設(shè)備實現(xiàn)。線路上的密碼設(shè)備實現(xiàn)。 結(jié)點加密結(jié)點加密 在傳輸層上進行加密；在傳輸層上進行加密； 主要是對源結(jié)點和目標結(jié)點之間傳輸數(shù)據(jù)進行加密保主

14、要是對源結(jié)點和目標結(jié)點之間傳輸數(shù)據(jù)進行加密保護。護。 端對端加密端對端加密 網(wǎng)絡(luò)層以上的加密稱為端對端加密；網(wǎng)絡(luò)層以上的加密稱為端對端加密； 它是面向網(wǎng)絡(luò)層主體，對應(yīng)用層的數(shù)據(jù)信息進行加密，它是面向網(wǎng)絡(luò)層主體，對應(yīng)用層的數(shù)據(jù)信息進行加密，易于用軟件實現(xiàn)。易于用軟件實現(xiàn)。 2626 替換密碼替換密碼 單表替代單表替代 多表替代多表替代 變位密碼變位密碼 列變位密碼列變位密碼 矩陣變位密碼矩陣變位密碼 一次性加密一次性加密2727 分組密碼簡介分組密碼簡介 對稱密碼有兩種類型：分組密碼對稱密碼有兩種類型：分組密碼(Block Cipher)和流密碼和流密碼(Stream Cipher); 分組密碼

15、一次處理一塊輸入，每個輸入塊分組密碼一次處理一塊輸入，每個輸入塊生成一個輸出塊生成一個輸出塊; 流密碼對輸入元素進行連續(xù)處理，同時產(chǎn)流密碼對輸入元素進行連續(xù)處理，同時產(chǎn)生連續(xù)單個輸出元素生連續(xù)單個輸出元素; 數(shù)據(jù)加密標準屬于分組密碼。數(shù)據(jù)加密標準屬于分組密碼。 2828 DES的歷史的歷史 數(shù)據(jù)加密標準數(shù)據(jù)加密標準(Data Encryption Standard，DES) 。1973年，年，美國國家標準局美國國家標準局(NBS) 征集聯(lián)邦數(shù)據(jù)加密標準的方案。征集聯(lián)邦數(shù)據(jù)加密標準的方案。1975年年3月月17日，日，NBS公布了公布了IBM公司提供的密碼算法，公司提供的密碼算法，以標準建議的形

16、式在全國范圍內(nèi)征求意見。經(jīng)過兩年多的以標準建議的形式在全國范圍內(nèi)征求意見。經(jīng)過兩年多的公開討論之后，公開討論之后，1977年年7月月15日，日，NBS宣布接受這個建議，宣布接受這個建議，作為聯(lián)邦信息處理標準作為聯(lián)邦信息處理標準46號，數(shù)據(jù)加密標準號，數(shù)據(jù)加密標準DES正式頒布，正式頒布，供商業(yè)界和非國防性政府部門使用。供商業(yè)界和非國防性政府部門使用。2929 DES算法流程算法流程3030 公鑰密碼系統(tǒng)使用公鑰密碼系統(tǒng)使用不同的加密密鑰與解密密鑰不同的加密密鑰與解密密鑰，是，是一種一種“由已知加密密鑰推導出解密密鑰在計算上是由已知加密密鑰推導出解密密鑰在計算上是不可行的不可行的”密碼體制。密碼

17、體制。 最著名的公鑰密碼體制是最著名的公鑰密碼體制是RSA 體制，它基于數(shù)論中體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學家大數(shù)分解問題的體制，由美國三位科學家 Rivest, Shamir 和和 Adleman 于于 1976 年提出并在年提出并在 1978 年正年正式發(fā)表的。式發(fā)表的。3131 公鑰密碼體制公鑰密碼體制3232 公鑰密碼體制公鑰密碼體制3333 RSA算法算法3434 RSA算法實例算法實例p=17,q=11,n=187 (n)=160(p-1)(q-1)gcd(160,e)=1 : e=7de=1 mod 160 : d=233535防火墻在網(wǎng)絡(luò)中位置防火墻在網(wǎng)絡(luò)

18、中位置3636 防火墻防火墻=過濾器過濾器+安全策略（網(wǎng)關(guān)）安全策略（網(wǎng)關(guān)） 防火墻提供的四種服務(wù)：防火墻提供的四種服務(wù)： 服務(wù)控制：確定可以訪問的網(wǎng)絡(luò)服務(wù)類型。服務(wù)控制：確定可以訪問的網(wǎng)絡(luò)服務(wù)類型。 方向控制：特定服務(wù)的方向流控制。方向控制：特定服務(wù)的方向流控制。 用戶控制：內(nèi)部用戶、外部用戶所需的某種形式用戶控制：內(nèi)部用戶、外部用戶所需的某種形式的認證機制。的認證機制。 行為控制：控制如何使用某種特定的服務(wù)。控制行為控制：控制如何使用某種特定的服務(wù)?？刂?737 包過濾型防火墻包過濾型防火墻 “包過濾包過濾”通過將每一輸入輸出包中發(fā)現(xiàn)的信息同訪問控通過將每一輸入輸出包中發(fā)現(xiàn)的信息同訪問控制

19、規(guī)則相比較來決定阻塞或放行包制規(guī)則相比較來決定阻塞或放行包; 通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所有端口、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許有端口、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。如果包在這一測試中失敗，將在防火墻處該數(shù)據(jù)包通過。如果包在這一測試中失敗，將在防火墻處被丟棄。被丟棄。3838 應(yīng)用代理級防火墻應(yīng)用代理級防火墻 應(yīng)用代理級防火墻通過在協(xié)議棧的最高層應(yīng)用代理級防火墻通過在協(xié)議棧的最高層(應(yīng)用層應(yīng)用層)檢查每一個包從而提供足夠的應(yīng)用級連接信息。檢查每一個包從而提供足夠的應(yīng)用級連接信息。393

20、9 電路級網(wǎng)關(guān)型防火墻電路級網(wǎng)關(guān)型防火墻 不允許進行端點到端點的不允許進行端點到端點的TCP連接，而是建立兩個連接，而是建立兩個TCP連連接，一個在網(wǎng)關(guān)和內(nèi)部主機上的接，一個在網(wǎng)關(guān)和內(nèi)部主機上的TCP用戶程序之間，另一用戶程序之間，另一個在網(wǎng)關(guān)和外部主機上的個在網(wǎng)關(guān)和外部主機上的TCP用戶程序之間；用戶程序之間； 一旦建立兩個連接，網(wǎng)關(guān)通常就只是把一旦建立兩個連接，網(wǎng)關(guān)通常就只是把TCP數(shù)據(jù)包從一個數(shù)據(jù)包從一個連接轉(zhuǎn)送到另一個連接中去，而不檢查其中的內(nèi)容。連接轉(zhuǎn)送到另一個連接中去，而不檢查其中的內(nèi)容。4040 雙重宿主主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu) 雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的計算機構(gòu)筑雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的計算機構(gòu)筑的，該計算機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當?shù)?，該計算機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個網(wǎng)絡(luò)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個網(wǎng)絡(luò)接口到另一個網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)接口到另一個網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)IP數(shù)據(jù)包；數(shù)據(jù)包； 實現(xiàn)雙重宿主主機的防火