1、第八章第八章 网络安全技术网络安全技术8.1 8.1 网络安全概述网络安全概述8.2 8.2 数据加密与数据隐藏技术数据加密与数据隐藏技术8.3 8.3 认证与鉴别技术认证与鉴别技术8.4 8.4 防火墙技术防火墙技术8.5 8.5 计算机网络入侵检测与安全预警计算机网络入侵检测与安全预警8.6 8.6 恶意程序及其防治恶意程序及其防治8.7 8.7 漏洞扫描漏洞扫描18.1 8.1 网络安全概述网络安全概述n计算机网络安全:计算机网络安全:通过采用各种安全技术通过采用各种安全技术和管理上的安全措施,确保网络数据的和管理上的安全措施,确保网络数据的可可用性,完整性和保密性用性,完整性和保密性,
2、其目的是确保经,其目的是确保经过网络传输和交换的数据不会发生增加,过网络传输和交换的数据不会发生增加,修改,丢失和泄露等修改,丢失和泄露等2影响网络安全的因素影响网络安全的因素n外部因素:外部因素:自然灾害,意外事故,病毒,黑客攻击,信自然灾害,意外事故,病毒,黑客攻击,信息在传输过程中被窃取息在传输过程中被窃取n内部因素:内部因素:软件故障,硬件故障,操作不当,安全意识软件故障,硬件故障,操作不当,安全意识差差3网络安全策略网络安全策略n物理安全策略物理安全策略 保护计算机系统,网络服务器,验证用户的身份和使用权限保护计算机系统,网络服务器,验证用户的身份和使用权限n访问控制策略访问控制策略
3、 入网访问控制,网络的权限控制,网络服务器安全控制,网入网访问控制,网络的权限控制,网络服务器安全控制,网络监测和锁定控制络监测和锁定控制n防火墙控制策略防火墙控制策略 内部网与公共网的屏障,阻挡外部网络的入侵内部网与公共网的屏障,阻挡外部网络的入侵n信息加密策略信息加密策略 保护网内的数据,文件,控制信息,保护网上传输的数据保护网内的数据,文件,控制信息,保护网上传输的数据4网络中的信息安全问题网络中的信息安全问题n信息存储安全与信息传输安全信息存储安全与信息传输安全 n信息存储安全信息存储安全 如何保证静态存储在连网计算机中的信息不会如何保证静态存储在连网计算机中的信息不会 被未授权的网络
4、用户非法使用;被未授权的网络用户非法使用;n信息传输安全信息传输安全 如何保证信息在网络传输的过程中不被泄露与如何保证信息在网络传输的过程中不被泄露与不被攻击;不被攻击;5信息传输安全问题的四种基本类型信息传输安全问题的四种基本类型信息源结点信息目的结点(d d)信信息息被被篡篡改改非法用户篡改信息源结点信息目的结点(e e)信信息息被被伪伪造造非法用户伪造信息源结点信息目的结点(b b)信信息息被被截截获获非法用户截获信息源结点信息目的结点(c c)信信息息被被窃窃听听非法用户窃听图图8-1 信息传输安全问题的类型信息传输安全问题的类型68.2 8.2 数据加密与数据隐藏技术数据加密与数据隐
5、藏技术 8.2.1 8.2.1 加密加密/解密算法与密钥解密算法与密钥 加密过程密文明文信息源结点解密过程密文明文信息目的结点图图8-2 数据加密与解密数据加密与解密7n数据加密数据加密是通过某种函数进行变换,把正常数据报是通过某种函数进行变换,把正常数据报文(明文)转换为密文。文(明文)转换为密文。n密码体制密码体制是指一个系统所采用的基本工作方式以及是指一个系统所采用的基本工作方式以及它的两个基本构成要素,即它的两个基本构成要素,即加密加密/解密算法和密钥解密算法和密钥;n传统密码体制所用的加密密钥和解密密钥相同,也传统密码体制所用的加密密钥和解密密钥相同,也称为称为对称密码体制对称密码体
6、制;n如果加密密钥和解密密钥不相同,则称为如果加密密钥和解密密钥不相同,则称为非对称密非对称密码体制码体制;8n密钥:密钥:密码算法中的可变参数。改变了密钥,也就密码算法中的可变参数。改变了密钥,也就改变了明文与密文之间等价的数学函数关系;改变了明文与密文之间等价的数学函数关系;n密码算法:密码算法:相对稳定。可以把密码算法视为常量,相对稳定。可以把密码算法视为常量,而密钥则是一个变量;而密钥则是一个变量;n在设计在设计加密系统加密系统时,加密算法是可以公开的,真正时,加密算法是可以公开的,真正需要保密的是密钥。需要保密的是密钥。9什么是密码什么是密码 密码是含有一个参数密码是含有一个参数k的
7、数学变换,即的数学变换,即 C=Ek(m)m是未加密的信息(是未加密的信息(明文明文-明码明码)nC是加密后的信息(是加密后的信息(密文密文-密码密码)nE是是加密算法加密算法n参数参数k称为称为密钥密钥n密文密文C是明文是明文m 使用密钥使用密钥k 经过加密算法计算后的结经过加密算法计算后的结果;果;n加密算法可以公开,而密钥只能由通信双方来掌握。加密算法可以公开,而密钥只能由通信双方来掌握。10密钥长度密钥长度密钥长度与密钥个数密钥长度与密钥个数密钥长度(位)密钥长度(位)组合个数组合个数40240=109951162777656256=7.205759403793101664264=1.
8、84467440737110191122112=5.19229685853510331282128=3.402823669209103811 凯撒算法凯撒算法 将明文中的每个字母都移动一段距离将明文中的每个字母都移动一段距离 明文:明文:CHINA 密钥:密钥:5(移动(移动5个字符空间)个字符空间)密文:密文:HMNSF C-H,H-M,I-N,N-S,A-F128.2.2 8.2.2 对称密钥密码体系对称密钥密码体系 加密过程解密过程密钥明文密文明文图图8-3 对称密钥体系对称密钥体系13对称密钥体系对称密钥体系n加密和解密采用同一密钥加密和解密采用同一密钥nDES(Data Encryp
9、tion standard)分组)分组算法算法n64位的密钥(奇偶校验码位的密钥(奇偶校验码8位,密钥位,密钥56位)位)n对对64位二进制数进行分组加密,经过位二进制数进行分组加密,经过16轮轮的迭代,乘积变换,压缩变换等处理,产生的迭代,乘积变换,压缩变换等处理,产生64位密文数据位密文数据14加密处理加密处理64位数据块明文位数据块明文加密处理加密处理64位数据块密文位数据块密文64位数据块密文位数据块密文64位数据块密文位数据块密文48位位“每轮每轮”密钥值密钥值48位位“每轮每轮”密钥值密钥值56位密钥位密钥第一轮加密第一轮加密第十六轮加密第十六轮加密图图8-4 DES加密过程加密过
10、程15n加密算法公开,安全性依赖于密钥加密算法公开,安全性依赖于密钥n运算效率高,使用方便,加密效率高运算效率高,使用方便,加密效率高n密钥的管理问题密钥的管理问题 通信双方在通信之前必须互通密钥,密钥在传递通信双方在通信之前必须互通密钥,密钥在传递过程中可能被截获过程中可能被截获n认证问题认证问题 接受方可以篡改原始信息,发送方可以否认曾发接受方可以篡改原始信息,发送方可以否认曾发送过信息送过信息对称密钥体系特点对称密钥体系特点168.2.3 8.2.3 非对称密钥密码体系非对称密钥密码体系 加密过程解密过程公钥明文密文明文私钥图图8-5 非对称密钥体系非对称密钥体系17非对称密钥体系非对称
11、密钥体系n加密和解密分别用不同的密钥进行加密和解密分别用不同的密钥进行n加密密钥和解密密钥可以对调加密密钥和解密密钥可以对调n发送者和接收者事先不必交换密钥发送者和接收者事先不必交换密钥n用于数字签名(身份认证和防止抵赖用于数字签名(身份认证和防止抵赖电子电子商务)商务)181.为通信双方为通信双方A,B各生成一对密钥(公钥,各生成一对密钥(公钥,私钥)私钥)2.A端先用自己的私钥对报文进行加密变换,端先用自己的私钥对报文进行加密变换,再用再用B端的公钥进行加密,生成密文传向端的公钥进行加密,生成密文传向B端端3.B端收到密文,先用自己的私钥进行解密,端收到密文,先用自己的私钥进行解密,再用再
12、用A端的公钥进行解密变换,得到明文端的公钥进行解密变换,得到明文非对称密钥体系的工作原理非对称密钥体系的工作原理19图图8-6 8-6 非对称密钥体系的工作原理非对称密钥体系的工作原理20非对称加密的标准非对称加密的标准 nRSA体制被认为是目前为止理论上最为成熟的一体制被认为是目前为止理论上最为成熟的一种非对称密码体制。种非对称密码体制。nRSA体制多用在数字签名、密钥管理和认证等方体制多用在数字签名、密钥管理和认证等方面。面。218.2.4 密钥分配密钥分配n密钥分配中心密钥分配中心(Key Distribution Center,KDC)n密钥分配协议密钥分配协议 228.2.5 数据隐
13、藏数据隐藏n将数据隐藏在一个容量更大的数据载体之中,将数据隐藏在一个容量更大的数据载体之中,形成隐密载体,使非法者难于察觉其中隐藏形成隐密载体,使非法者难于察觉其中隐藏有某些数据,或难于从中提取被隐藏数据。有某些数据,或难于从中提取被隐藏数据。238.3 8.3 认证与鉴别技术认证与鉴别技术生成摘要发送方私钥明文发发送送方方接接收收方方信息摘要信息摘要加密过程单向散列函数信息摘要明文明文信息摘要明文生成摘要信息摘要单向散列函数发送方公钥解密过程信息摘要比较身身份份认认证证图图8-7 使用使用Hash函数的签名过程函数的签名过程24身份认证技术的发展身份认证技术的发展 身份认证可以通过身份认证可
14、以通过3 3种基本途径之一或它们的组合实现种基本途径之一或它们的组合实现:n所知(所知(knowledge):个人所掌握的密码、口令;个人所掌握的密码、口令;n所有(所有(possesses):个人身份证、护照、信用卡、钥匙;个人身份证、护照、信用卡、钥匙;n个人特征(个人特征(characteristics):人的指纹、声纹、笔迹、手人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、型、脸型、血型、视网膜、DNA以及个人动作方面的特征;以及个人动作方面的特征;目前人们研究的个人特征主要包括:容貌、肤色、发质、身目前人们研究的个人特征主要包括:容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印
15、、颅相、口音、脚步声、材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律,以及在外界刺激下的反应等。韵律,以及在外界刺激下的反应等。25数字水印与数字防伪数字水印与数字防伪 图图8-8 数字水印技术数字水印技术268.4 8.4 防火墙技术防火墙技术 8.4.1 8.4.1 防火墙的概念防火墙的概念n防火墙是在网络之间执行安全控制策略的系防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;统,它包括硬件和软件;n设置防火墙的目的是保护内部网络资源不被设置防火墙的目的是保护内部
16、网络资源不被外部非授权用户使用,防止内部受到外部非外部非授权用户使用,防止内部受到外部非法用户的攻击。法用户的攻击。27图图8-9 8-9 防火墙的概念防火墙的概念288.4.2 8.4.2 防火墙的基本技术防火墙的基本技术1包过滤技术包过滤技术按照系统内部设置的包过滤规按照系统内部设置的包过滤规则(即访问控制表),逐一审则(即访问控制表),逐一审查每份数据包并判断它是否与查每份数据包并判断它是否与包过滤规则相匹配,决定该数包过滤规则相匹配,决定该数据包是否应该转发。据包是否应该转发。29包过滤的包过滤的工作流程工作流程yNNy设置包过滤规则分析包参数根据过滤规则确定包是否允许转发是否是包过滤
17、的最后一个规则应用下一个包过滤规则转发该包丢弃该包图图8-9 8-9 包过滤的工作流程包过滤的工作流程30图图8-10 8-10 包过滤路由器包过滤路由器31包包过滤路由器的逻辑位置过滤路由器的逻辑位置应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层过滤规则处理过滤规则处理内部网络内部网络外部网络外部网络图图8-11 8-11 包过滤路由器的逻辑位置包过滤路由器的逻辑位置32假设网络安全策略规定:假设网络安全策略规定:n内部网络的内部网络的E-mail服务器(服务器(IP地址为地址为192.1.6.2,TCP端口号为端口号为25)可以接收来自)可以接
18、收来自外部网络用户的电子邮件;外部网络用户的电子邮件;n允许内部网络用户传送到与外部电子邮件服务允许内部网络用户传送到与外部电子邮件服务器的电子邮件;器的电子邮件;n拒绝所有与外部网络中名字为拒绝所有与外部网络中名字为TESTHOST主机主机的连接。的连接。33规规则则过过滤滤号号方方向向 动动作作源源主主机机地地址址TESTHOST源源端端口口号号目目的的主主机机地地址址目目的的端端口口号号协协议议描描述述阻塞来自TESTHOST的所有数据包阻塞所有到TESTHOST的数据包允许外部用户传送到内部网络电子邮件服务器的数据包允许内部邮件服务器传送到外部网络的电子邮件数据包*TCPTCP*251
19、023*TESTHOST192.1.6.2*102325*192.1.6.2阻塞阻塞允许允许进入进入输出输出1234包过滤规则表包过滤规则表 342 2代理服务技术代理服务技术图图8-12 8-12 代理服务器代理服务器35图图8-13 应用网关的逻辑位置应用网关的逻辑位置应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用代理服务应用代理服务内部网络内部网络外部网络外部网络应用层代理应用层代理-应用层网关应用层网关 36n构成防火墙系统的两个基本部件:构成防火墙系统的两个基本部件:包过滤路由器(包过滤路由器(packet filtering rou
20、ter)应用级网关(应用级网关(application gateway););n最简单的防火墙由一个包过滤路由器组成,而复最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组杂的防火墙系统由包过滤路由器和应用级网关组合而成;合而成;n由于组合方式有多种,因此防火墙系统的结构也由于组合方式有多种,因此防火墙系统的结构也有多种形式。有多种形式。8.4.3 防火墙的配置防火墙的配置371 1包过滤路由器作为防火墙包过滤路由器作为防火墙外部网络外部网络包过滤路由器包过滤路由器防火墙内部网络内部网络E-mail服务器(1 92.1.6.2)工作站Internet发送到外部
21、网络的包进入内部网络的包图图8-13 8-13 包过滤路由器包过滤路由器38堡垒主机:处于防火墙关键部位、运行应用级网关软件的计算机。堡垒主机:处于防火墙关键部位、运行应用级网关软件的计算机。外部网络外部网络应用级网关应用级网关防火墙内部网络内部网络E-mail服务器(1 92.1.6.2)工作站Internet发送到外部网络的包进入内部网络的包2堡垒主机作为防火墙堡垒主机作为防火墙图图8-14 8-14 堡垒主机堡垒主机393 3屏蔽主机防火墙屏蔽主机防火墙 InternetInternet内部网络堡垒主机堡垒主机WWW服务器文件服务器工作站工作站包过滤路由器包过滤路由器FTP服务器图图8-
22、15 8-15 屏蔽主机防火墙屏蔽主机防火墙40InternetInternet内部网络堡垒主机199.24.180.10文件服务器199.24.180.1工作站过滤路由器过滤路由器路由表199.24.180.1199.24.180.10目的I P转发至I P图图8-16 8-16 屏蔽主机防火墙的工作原理屏蔽主机防火墙的工作原理41屏蔽主机防火墙的数据传输过程屏蔽主机防火墙的数据传输过程 图图8-17 8-17 屏蔽主机防火墙的数据传输屏蔽主机防火墙的数据传输424 4屏蔽子网防火墙屏蔽子网防火墙内部网络InternetInternet过滤子网服务器工作站外部包过滤路由器外部网络内部网络内部
23、包过滤路由器外堡垒主机内堡垒主机图图8-18 8-18 屏蔽子网防火墙屏蔽子网防火墙438.5 8.5 计算机网络入侵检测与安全预警计算机网络入侵检测与安全预警目前黑客攻击大致可以分为目前黑客攻击大致可以分为8种基本的类型:种基本的类型:n入侵系统类攻击;入侵系统类攻击;n缓冲区溢出攻击;缓冲区溢出攻击;n欺骗类攻击;欺骗类攻击;n拒绝服务攻击;拒绝服务攻击;n对防火墙的攻击;对防火墙的攻击;n利用病毒攻击;利用病毒攻击;n木马程序攻击;木马程序攻击;n后门攻击。后门攻击。44入侵检测的基本概念入侵检测的基本概念n入侵检测系统(入侵检测系统(intrusion detection system
24、,IDS)是是对计算机和网络资源的恶意使用行为进行识别的系统;对计算机和网络资源的恶意使用行为进行识别的系统;n它的目的是监测和发现可能存在的攻击行为,包括来自系它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并且采统外部的入侵行为和来自内部用户的非授权行为,并且采取相应的防护手段。取相应的防护手段。45入侵检测系统入侵检测系统IDSIDS的基本功能:的基本功能:n监控、分析用户和系统的行为;监控、分析用户和系统的行为;n检查系统的配置和漏洞;检查系统的配置和漏洞;n评估重要的系统和数据文件的完整性;评估重要的系统和数据文件的完整性;n对异常行为的
25、统计分析,识别攻击类型,并向网络管理对异常行为的统计分析,识别攻击类型,并向网络管理人员报警;人员报警;n对操作系统进行审计、跟踪管理,识别违反授权的用户对操作系统进行审计、跟踪管理,识别违反授权的用户活动。活动。46入侵检测的基本方法入侵检测的基本方法 n对各种事件进行分析,从中发现违反安全策略对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能;的行为是入侵检测系统的核心功能;n入侵检测系统按照分析方法可以分为:入侵检测系统按照分析方法可以分为:异常检测异常检测 误用检测误用检测 两种方式的结合两种方式的结合478.6 8.6 恶意程序及防治恶意程序及防治n恶意程序及其类
26、型恶意程序及其类型 恶意程序是一类可以危害系统或应用正常功能恶意程序是一类可以危害系统或应用正常功能的特殊程序或程序片段。的特殊程序或程序片段。n恶意程序的存在形式有:恶意程序的存在形式有:宿主程序方式程序片段,如陷门、逻辑炸宿主程序方式程序片段,如陷门、逻辑炸弹等;弹等;独立存在独立程序,可以被操作系统调度独立存在独立程序,可以被操作系统调度和运行的自包含程序,如蠕虫、细菌、特洛伊和运行的自包含程序,如蠕虫、细菌、特洛伊木马等。木马等。48病毒的概念病毒的概念n计算机病毒是指编制或者在计算机程序中插入的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,破坏
27、计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。并能自我复制的一组计算机指令或程序代码。n病毒只是恶意程序中的一种病毒只是恶意程序中的一种n广义病毒广义病毒49网络病毒防范网络病毒防范 n病毒在网络中通过病毒在网络中通过“工作站工作站-服务器服务器-工作站工作站”方方式传播式传播n70%的病毒发生在网络上的病毒发生在网络上n网络病毒的防范网络病毒的防范 1基于工作站的防病毒技术基于工作站的防病毒技术 2基于服务器的防病毒技术基于服务器的防病毒技术 3病毒防火墙技术病毒防火墙技术 508.6 8.6 漏洞扫描漏洞扫描n计算机漏洞:计算机系统具有的某种可能被入侵计算机漏洞:计算机系统具有的某种可能被入侵者恶意利用的属性者恶意利用的属性。n计算机漏洞是系统的一组特性,恶意的主体(攻计算机漏洞是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过已击者或者攻击程序)能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。者对系统造成损害。n漏洞:单个计算机系统的脆弱性漏洞:单个计算机系统的脆弱性 计算机网络系统的漏洞计算机网络系统的漏洞51
