網(wǎng)絡(luò)安全綜述

網(wǎng)絡(luò)安全綜述一、密碼理論加密與解密的密鑰相同(對稱加密)，即：P=D(K,E(K,P))

。也稱單密鑰算法，或傳統(tǒng)加密算法。例如DES，IDEA等。對稱加密算法P47對稱加密算法的特點(diǎn)算法簡單、速度快，被加密的數(shù)據(jù)塊長度可以很大密密鑰在加密方和解密方之間傳遞和分發(fā)必須通過安全通道進(jìn)行網(wǎng)絡(luò)用戶需要保存的密鑰太多DES概述分組加密算法：明文和密文為64位分組長度對稱算法：加密和解密除密鑰編排不同外，使用同一算法密鑰長度：56位，每個(gè)第8位為奇偶校驗(yàn)位采用混亂和擴(kuò)散的組合，每個(gè)組合采用替代和置換方法，共16輪運(yùn)算只使用了標(biāo)準(zhǔn)的算術(shù)和邏輯運(yùn)算，運(yùn)算速度快，通用性強(qiáng)，易于實(shí)現(xiàn)DES加密算法是由IBM研究在1977年提出的。并被美國國家標(biāo)準(zhǔn)局宣布為數(shù)據(jù)加密標(biāo)準(zhǔn)DES，主要用于民用敏感信息的加密輸入64比特明文數(shù)據(jù)初始置換IP在密鑰控制下16輪迭代初始逆置換IP-1輸出64比特密文數(shù)據(jù)交換左右32比特DES加密過程非對稱加密體制

對稱密鑰加密方法存在的問題：

1、密鑰的生成、管理、分發(fā)等都很復(fù)雜；

2、不能實(shí)現(xiàn)數(shù)字簽名。

加密與解密的密鑰不同，且由其中一個(gè)不容易推出另一個(gè)：P=D(KD,E(KE,P))。也稱雙密鑰算法或公開密鑰算法。如RSA算法非對稱加密體制非對稱加密體制加密密鑰是公開的，稱為公開密鑰。解密密鑰上保密的，稱為私鑰。加密算法和解密算法都是公開的，每個(gè)用戶有一個(gè)對外公開的加密密鑰和對外保密的解密密鑰。私鑰由公鑰決定，但卻不能由公鑰計(jì)算出來。理論上解密密鑰可由加密密鑰推算出來，但這種算法設(shè)計(jì)中實(shí)際上是不可能的，或者即使能夠推算出來，但要花費(fèi)很長的時(shí)間而成為不可行的。所以公開加密密鑰也不會(huì)危害私鑰的安全。非對稱加密體制公鑰密碼學(xué)的出現(xiàn)使大規(guī)模的安全通信得以實(shí)現(xiàn)–解決了密鑰分發(fā)問題公鑰密碼學(xué)還可用于另外一些應(yīng)用：數(shù)字簽名、防抵賴等公開密鑰加密技術(shù)的特點(diǎn)算法復(fù)雜、速度慢，被加密的數(shù)據(jù)塊長度不宜太大公鑰在加密方和解密方之間傳遞和分發(fā)不必通過安全通道進(jìn)行RSA算法公鑰加密體制中的典型代表RSA算法

由美國麻省理工大學(xué)的RonRivest,AdiShamir和LenAdleman于1977年研制并于1978年首次發(fā)表；是整個(gè)編碼學(xué)歷史上最大的變革。與以前的所有方法都截然不同。一方面公開蜜鑰算法是基于數(shù)學(xué)函數(shù)而不是替代和置換，更重要的是，公開密鑰是非對稱的，它用到兩個(gè)不同的密鑰。一個(gè)用于加密，一個(gè)用于解密。RSA是一種分組密碼RSA既可用于加密，又可用于數(shù)字簽名，已得到廣泛采用；RSA依賴以下的假定：基于分解大整數(shù)的困難性。RSA已被許多標(biāo)準(zhǔn)化組織(如ISO、ITU、IETF和SWIFT等)接納27225如果A想給B發(fā)送一個(gè)報(bào)文，他就用B公開的密鑰加密這個(gè)報(bào)文。B收到這個(gè)報(bào)文后就用他的保密密鑰解密報(bào)文。其他所有收到這個(gè)報(bào)文的人都無法解密他，因?yàn)橹挥蠦才有B的私有密鑰。RSA算法的重要步驟二、防火墻技術(shù)防火墻的概述

隨著Internet在全世界的迅速發(fā)展和廣泛應(yīng)用，Internet中出現(xiàn)的信息泄密、數(shù)據(jù)篡改和服務(wù)拒絕等網(wǎng)絡(luò)安全事件頻繁發(fā)生，網(wǎng)絡(luò)安全問題越來越嚴(yán)重，為解決這些問題，出現(xiàn)了很多網(wǎng)絡(luò)安全技術(shù)和方法，防火墻是其中最為成功的一種。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)的基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用在專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境中，特別是接入Internet網(wǎng)絡(luò)，在實(shí)際應(yīng)用中發(fā)揮著極其重要的作用，所以掌握規(guī)劃部署防火墻技術(shù)，對通信系統(tǒng)安全運(yùn)行顯得很有必要。因此，論文的目的是對防火墻安全部署進(jìn)行詳細(xì)的闡述，通過對各代防火墻的安全部署特點(diǎn)分析，論證防火墻部署的基本原則。防火墻的基本概念“防火墻”這個(gè)術(shù)語來自應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來起分隔作用的墻，用來隔離不同的公司或房間，盡可能地起防火作用。

防火墻的英文名稱為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。

防火墻是一種安全有效的防護(hù)技術(shù)，是訪問控制機(jī)制，安全策略和入侵措施的集成。

在計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻是一個(gè)保護(hù)一個(gè)網(wǎng)絡(luò)免受其他網(wǎng)絡(luò)攻擊的屏障，是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備，它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。圖1.1防火墻結(jié)構(gòu)防火墻的安全部署

安全部署防火墻的目的及意義目的防火墻是一種過濾器，按照防火墻事先設(shè)計(jì)的規(guī)則對內(nèi)網(wǎng)和外網(wǎng)之間的通信數(shù)據(jù)包進(jìn)行篩選和過濾，只允許授權(quán)的的數(shù)據(jù)通過不符合童心規(guī)則的數(shù)據(jù)包將被丟棄，以此來限制網(wǎng)絡(luò)內(nèi)部和外部的相互訪問，達(dá)到保護(hù)內(nèi)網(wǎng)的目的，簡單的說就說防止黑客入侵，竊取資料。意義防火墻具有很好的保護(hù)作用。所有進(jìn)出的信息都必須通過防火墻，防火墻能強(qiáng)化安全策略，能有效地記錄Internet上的活動(dòng)，限制暴露用戶點(diǎn)，能夠用來隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播，是一個(gè)安全策略的檢查站，所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外，這些優(yōu)點(diǎn)使得防火墻在網(wǎng)絡(luò)安全領(lǐng)域中成為佼佼者，它對網(wǎng)絡(luò)安全起了很重要的作用，讓我們一起期待下一代更全面的防火墻的到來。

圖包過濾防火墻部署圖圖應(yīng)用代理防火墻部署圖三、入侵檢測技術(shù)研究操作系統(tǒng)的漏洞應(yīng)用程序的bug網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上的缺陷安全策略執(zhí)行的不當(dāng)入侵的生存環(huán)境入侵檢測發(fā)現(xiàn)計(jì)算機(jī)或者網(wǎng)絡(luò)攻擊行為利用一個(gè)嗅探器Sensor監(jiān)控一個(gè)或者幾個(gè)數(shù)據(jù)源DataSource，利用某種檢測算法DetectionAlgorithm檢測攻擊行為，通常有一個(gè)管理系統(tǒng)ManagementSystem來監(jiān)控、配置和分析入侵?jǐn)?shù)據(jù)入侵檢測技術(shù)的分類異常檢測誤用檢測（基于攻擊特征）主機(jī)檢測網(wǎng)絡(luò)檢測異常檢測異常檢測的基本原理是分析正常的數(shù)據(jù)，獲得正常數(shù)據(jù)的模型，通過判斷數(shù)據(jù)是否偏離正常數(shù)據(jù)的模型來檢測出異常數(shù)據(jù)優(yōu)點(diǎn)能夠檢測新的攻擊類型缺點(diǎn)攻擊應(yīng)該能夠體現(xiàn)出明顯的異常誤警率較高誤用檢測根據(jù)分析得出的攻擊特征進(jìn)行檢測例如一種針對Web服務(wù)器的CGI攻擊會(huì)利用包含“GET/cgi-bin/phf”字符串的數(shù)據(jù)包，誤用檢測系統(tǒng)檢查所有發(fā)往服務(wù)器的數(shù)據(jù)包，看是否有“phf”字符串，如果有，說明有攻擊一般的入侵檢測系統(tǒng)都采用簡單的模式匹配算法誤用檢測（續(xù)）優(yōu)點(diǎn)檢測率高缺點(diǎn)不能檢測新的攻擊類型同樣存在誤警如何加入新的攻擊特征是一個(gè)問題主機(jī)檢測根據(jù)主機(jī)上應(yīng)用程序的行為記錄檢測攻擊認(rèn)證與登陸文件訪問注冊表訪問程序運(yùn)行缺點(diǎn)大量的行為記錄會(huì)帶來很大的分析工作量網(wǎng)絡(luò)檢測在網(wǎng)絡(luò)數(shù)據(jù)中尋找攻擊特征易于布置，