1、潍坊学院 计算机与通信工程学院第十五讲 网络安全技术2本讲主要内容n网络安全问题概述n加密与认证技术n防火墙技术n病毒与病毒的防治311.1 网络安全问题概述11.1.1网络安全的概念和安全控制模型n网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄露等意外发生n网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的边缘学科。4图11-1 网络安全的组成5 图11-2 网络安全模型 611.1.2 安全威胁n安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成
2、的危害。某种攻击就是某种威胁的具体实现。n安全威胁可分为故意的(如黑客渗透)和偶然的(如信息被发往错误的地址)两类。故意威胁又可进一步分为被动和主动两类。71安全攻击n对于计算机或网络安全性的攻击,最好通过在提供信息时查看计算机系统的功能来记录其特性。当信息从信源向信宿流动时,图11-3列出了受到各种类型的攻击的情况。截获篡改伪造中断被动攻击主 动 攻 击目的站源站源站源站源站目的站目的站目的站82基本的威胁n网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。n一般认为,目前网络存在的威胁主要表现在:(1)信息泄漏或丢失。 (2)破坏数据
3、完整性。 (3)拒绝服务攻击。 (4)非授权访问。 93主要的可实现的威胁n这些威胁可以使基本威胁成为可能,因此十分重要。它包括两类:渗入威胁和植入威胁。n主要的渗入威胁有:假冒、旁路控制、授权侵犯。n主要的植入威胁有:特洛伊木马、陷门。104潜在的威胁n对基本威胁或主要的可实现的威胁进行分析,可以发现某些特定的潜在威胁,而任意一种潜在的威胁都可能导致发生一些更基本的威胁。 11现有网络安全技术1211.2 加密与认证技术11.2.1密码学的基本概念n密码学(或称密码术)是保密学的一部分。n保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。n密码学是对信息进行编码实现隐
4、蔽信息的一门学问。密码分析学是研究分析破译密码的学问。两者相互独立,而又相互促进。13密码系统通常从3个独立的方面进行分类(1)按将明文转换成密文的操作类型可分为:置换密码和易位密码。(2)按明文的处理方法可分为:分组密码和序列密码。(3)按密钥的使用个数可分为:对称密码体制和非对称密码体制。1411.2.2常规密钥密码体制n常规加密也叫作对称加密、保密密钥或单密钥加密,它是20世纪70年代之前使用的惟一一种加密机制。它现在仍是最常用的两种加密类型之一,另一种是公开密钥加密机制。151常规加密的模型n常规加密又称对称加密,该方案有5个组成部分。n明文:作为算法输入的原始信息。n加密算法:加密算
5、法可以对明文进行多种置换和转换。n共享的密钥:共享的保密密钥也是对算法的输入,算法实际进行的置换和转换由保密密钥决定。n密文:作为输出的混合信息。它由明文和保密密钥决定。对于给定的信息来讲,两种不同的密钥会产生两种不同的密文。n解密算法:这是加密算法的逆向算法。它以密文和同样的保密密钥作为输入,并生成原始明文。16图11-5 常规加密体制模型接收者发送者加密算法解密算法明文 X传输的密文共享的密钥明文 X172常规加密的要求(1)需要强大的加密算法。(2)发送方和接收方必须用安全的方式来获得保密密钥的副本,必须保证密钥的安全。如果有人发现了密钥,并知道了算法,则使用此密钥的所有通信便都是可读取
6、的。1811.2.3公开密钥加密技术n公开密钥加密又叫作非常规加密,公钥加密最初是由Diffie和Hellman在1976年提出的,这是几千年来文字加密的第一次真正革命性的进步。n因为公钥是建立在数学函数基础上的,而不是建立在位方式的操作上的。更重要的是,公钥加密是不对称的,与只使用一种密钥的对称常规加密相比,它涉及到两位独立密钥的使用。这两种密钥的使用已经对机密性、密钥的分发和身份验证领域产生了深远的影响。n公钥加密算法可用于下面一些方面:数据完整性、数据保密性、发送者不可否认和发送者认证。191公钥加密体制的模型接收者发送者E加密算法D解密算法加密密钥 PK解密密钥 SK明文 X密文 Y
7、= EPK(X)密钥对产生源明文 X = DSK(EPK(X)202常用的公钥体制nRSA公钥体制是1978年Rivest、Shamir和Adleman提出的一个公开密钥密码体制,RSA就是以其发明者姓名的首字母命名的。RSA体制被认为是迄今为止理论上最为成熟完善的一种公钥密码体制。n该体制的构造基于Euler定理,它利用了如下的基本事实:寻找大素数是相对容易的,而分解两个大素数的积在计算上是不可行的。RSA算法的安全性建立在难以对大数提取因子的基础上。所有已知的证据都表明,大数的因子分解是一个极其困难的问题。n与对称密码体制如DES相比,RSA的缺点是加密、解密的速度太慢。因此,RSA体制很
8、少用于数据加密,而多用在数字签名、密钥管理和认证等方面。2111.2.4 数字签名n数字签名提供了一种签别方法,普遍用于银行、电子商业等,以解决伪造、冒充、篡改、抵赖等问题。n数字签名必须保证以下三点:(1) 接收者能够核实发送者对报文的签名;(2) 发送者事后不能抵赖对报文的签名;(3) 接收者不能伪造对报文的签名。n现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。 22数字签名的实现 DSKPK用公开密钥 核实签名用秘密密钥 进行签名X发送者 A接收者 BDSK(X)XE23数字签名的实现nB 用已知的 A 的公开加密密钥得出 EPKA(DSKA(X)
9、 X。因为除 A 外没有别人能具有 A 的解密密钥 SKA,所以除 A 外没有别人能产生密文 DSKA(X)。这样,B 相信报文 X 是 A 签名发送的。n若 A 要抵赖曾发送报文给 B,B 可将 X 及DSKA(X)出示给第三者。第三者很容易用 PKA去证实 A 确实发送 X 给 B。反之,若 B 将 X 伪造成 X,则 B 不能在第三者前出示DSKA(X)。这样就证明了 B 伪造了报文。 2411.3 防火墙技术11.3.1 防火墙概述n一般来说,防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能的
10、对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。n一个防火墙可以是一个实现安全功能的路由器、个人计算机、主机或主机的集合等,通常位于一个受保护的网络对外的连接处,若这个网络到外界有多个连接,那么需要安装多个防火墙系统。25防火墙可以提供以下服务:(1)限定人们从一个特别的控制点进入或离开;(2)保证对主机的应用安全访问;(3)防止入侵者接近你的其它防御设施;(4)有效防止破坏者对客户机和服务器所进行的破坏;(5)监视网络。2611.3.2防火墙系统结构n防火墙的系统结构一般分为以下几种:n(1)屏蔽路由器屏蔽路由器Internet内部主机代理服务器27(2)双目主机结构n它
11、包含一个有两个网络接口的代理服务器系统,关闭正常IP路由功能,并安装运行网络代理服务程序。有一个包过滤防火墙,用于连接Internet。Internet包 过 滤 路 由器代理服务器内部主机Web服务器28(3)屏蔽主机结构Internet包过滤路由器代理服务器路由器内部主机29(4)屏蔽子网结构n将网络划分为三个部分:Internet(外网)、DMZ(分军事区)、内网。Internet与DMZ区通过外部屏蔽路由器隔离,DMZ区与内网通过内部屏蔽路由器隔离。3011.3.3 防火墙分类n从构成上可以将防火墙分为以下几类:(1)硬件防火墙(2)软件防火墙(3)软硬结合防火墙3111.3.4 防火
12、墙的设计策略n防火墙设计策略基于特定的防火墙,定义完成服务访问策略的规则。n通常有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何除非被明确允许。321防火墙实现站点安全策略的技术(1)服务控制。 (2)方向控制。 (3)用户控制。 (4)行为控制。 332防火墙在大型网络系统中的部署(1)在局域网内的VLAN之间控制信息流向时加入防火墙。(2)Internet与Internet之间连接时加入防火墙。(3)在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,总部的局域网和各分支机构连接时,一般通过公网ChinaPac,ChinaDD和NFrame Re
13、lay等连接,需要采用防火墙隔离,并利用某些软件提供的功能构成虚拟专网VPN。342防火墙在大型网络系统中的部署(4)总部的局域网和分支机构的局域网是通过Internet连接的,需要各自安装防火墙,并组成虚拟专网。(5)在远程用户拨号访问时,加入虚拟专网。(6)利用一些防火墙软件提供的负载平衡功能,ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志记录等功能。(7)两网对接时,可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(DMZ,De-Militarized Zone,非军事区,其名称来源于朝鲜战争的三八线)及存取安
14、全控制,消除传统软件防火墙的瓶颈问题。3511.4 病毒与病毒的防治n11.4.1病毒的种类及特点 1病毒的种类多种多样,主要有以下6种。(1)文件型的病毒(2)引导扇区病毒(3)宏病毒(5)多形性病毒(6)伙伴病毒36 2网络病毒的特点nInternet的发展孕育了网络病毒,由于网络的互联性,病毒的威力也大大增强。网络病毒具有以下特点:(1)破坏性强。(2)传播性强。(3)具有潜伏性和可激发性。(4)针对性强。(5)扩散面广。 3711.4.2病毒的传播途径与防治1计算机病毒有以下4种传播途径。n第一种途径:通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机专用芯片和硬盘等。n第二种
15、途径:通过移动存储设备来传播,这些设备包括软盘、磁盘等。n第三种途径:通过计算机网络进行传播。n第四种途径:通过点对点通信系统和无线通道传播。 382病毒的防治n病毒在发作前是难以发现的,因此所有的防病毒技术都是在系统后台运行的,先于病毒获得系统的控制权,对系统进行实时监控,一旦发现可疑行为,就阻止非法程序的运行,利用一些专门的技术进行判别,然后加以清除。n反病毒技术包括检测病毒和清除病毒两方面,而病毒的清除都是以有效的病毒探测为基础的。目前广泛使用的主要检测病毒的方法有特征代码法、校验和法、行为监测法、感染实验法等。39小结n网络安全问题概述n什么叫网络安全n有哪些安全威胁n现有哪些网络安全技术n加密与认证技术n密码学基本概念n常规与非常规密码体制的基本思想n防火墙技术n作用 原理 布置位置n病毒与病毒的防治n病毒种类n防冶病毒方法
