1、1/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.1 基本概念基本概念9.1.1 病毒、蠕虫、木马和漏洞病毒、蠕虫、木马和漏洞9.1.2 安全特性安全特性9.1.3 网络攻击网络攻击9.1.4 安全防护安全防护9.1.5 密码学密码学2/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy安全特性安全特性 机密性、完整性、可用性、不可否认性和可控机密性、完整性、可用性、不可否认性和可控性。性。机密性:保护信息不被非授权用户访问机密性:保护信息不被非授
2、权用户访问 完整性:保护信息不被非授权修改或破坏;完整性:保护信息不被非授权修改或破坏;可用性:避免拒绝授权访问或拒绝服务;可用性:避免拒绝授权访问或拒绝服务;不可否认:对通信对象的身份认证和事后的不不可否认:对通信对象的身份认证和事后的不可抵赖(可抵赖(non-repudiation)。)。3/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy安全攻击安全攻击信源信源信源信宿信源信宿信宿信源对手信宿信宿对手对手(a)正常情况(b)中断(c)窃听(d)篡改(e)伪造4/45第九章第九章 网络安全网络安全 Networking
3、 Networking techno;ogytechno;ogy 加解密模型加解密模型 明文 P 被动攻击者 主动攻击者 加密算法 解密算法 加密密钥 Ke 解密密钥 Kd 密文 C=Ek(P)明文 P 密文 5/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.2 加密算法加密算法 9.2.1对称密钥加密对称密钥加密9.2.2公开密钥加密公开密钥加密9.2.3两者比较两者比较6/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy对称密钥加密对称密钥加
4、密7/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy公开密钥加密公开密钥加密 8/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.3 机密性机密性9.3.1基于对称密钥加密的机密性保护基于对称密钥加密的机密性保护9.3.2基于公开密钥加密的机密性保护基于公开密钥加密的机密性保护9/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy基于对称密钥加密的机密性保护基于对称密钥加密的机
5、密性保护10/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy基于公开密钥加密的机密性保护基于公开密钥加密的机密性保护11/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.4认证认证9.4.1基于对称密钥加密的认证基于对称密钥加密的认证9.4.2基于公开密钥加密的认证基于公开密钥加密的认证12/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.4.1基于对称密钥加密的认证基于
6、对称密钥加密的认证 2 3 4 5 1 Alice Bob Alice RB KAB(RB)RA KAB(RA)13/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy简化后的挑战应答认证协议简化后的挑战应答认证协议 2 3 4 5 1 Alice Bob Alice RB KAB(RB)RA KAB(RA)14/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.5 数字签名数字签名9.5.1对整个文档进行签名对整个文档进行签名9.5.2对报文摘要进行
7、签名对报文摘要进行签名15/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.5.1对整个文档进行签名对整个文档进行签名16/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.5.2 对文档摘要进行签名对文档摘要进行签名 17/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.6 密钥管理密钥管理9.6.1 对称密钥分发对称密钥分发9.6.2 公开密钥分发公开密钥分发18/4
8、5第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogyDiffie-Hellman密钥交换密钥交换19/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy密钥分发中心密钥分发中心KDC 20/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogyKerberos服务器服务器 21/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;og
9、yKerberos例子例子 22/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogyCA层次层次23/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.7 因特网安全因特网安全9.7.1 IP层的安全:层的安全:IPSec9.7.2 传输层安全传输层安全TLS9.7.3 极好私密性(极好私密性(PGP)9.7.4 VPN24/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.7.
10、1 IP层的安全:层的安全:IPSec IPSec(IP Security)是)是IETF设计的一组协议,用设计的一组协议,用来对因特网上传送的来对因特网上传送的IP报文提供安全服务。报文提供安全服务。IPSec没有规定任何特定的加密算法或认证方法。没有规定任何特定的加密算法或认证方法。相反,它只提供了安全框架、机制和一组协议用相反,它只提供了安全框架、机制和一组协议用于让实体自动选择加密、认证或散列算法。于让实体自动选择加密、认证或散列算法。25/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogyIPSec协议族协议族 加
11、密算法加密算法 认证头部认证头部AH(Authentication Header)封装安全有效载荷封装安全有效载荷ESP(Encapsulating Security Payload)因特网密钥交换因特网密钥交换IKE(Internet Key Exchange)因特网安全与密钥管理协议因特网安全与密钥管理协议ISAKMP(Internet Security And Key Management Protocol)26/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy传输方式传输方式 27/45第九章第九章 网络安全网络安
12、全 Networking Networking techno;ogytechno;ogy隧道方式隧道方式 28/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogyAH29/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogyESP30/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.7.2 传输层安全传输层安全TLS31/45第九章第九章 网络安全网络安全 Networking Ne
13、tworking techno;ogytechno;ogyTLS协议协议 32/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.7.3 极好私密性(极好私密性(PGP)极好私密性极好私密性PGP(Pretty Good Privacy)是由)是由Phil Zimmermann发明的。发明的。PGP对电子邮件提供对电子邮件提供4个方面的安全(机密性、完整性、认证和不可个方面的安全(机密性、完整性、认证和不可否认)。否认)。PGP使用数字签名(报文摘要和公钥加密的组使用数字签名(报文摘要和公钥加密的组合)来提供完整性、认证
14、和不可否认。同时,合)来提供完整性、认证和不可否认。同时,PGP使用对称密钥和公钥的组合进行加密来提使用对称密钥和公钥的组合进行加密来提供保密。供保密。33/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy在发送方的在发送方的PGP 34/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy在接收方的在接收方的PGP 35/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.7.4 V
15、PN 采用租用线路组建专用网的好处是安全性、可靠采用租用线路组建专用网的好处是安全性、可靠性高,而且在专用网内部可以使用私有地址,不性高,而且在专用网内部可以使用私有地址,不需要向因特网管理机构申请需要向因特网管理机构申请IP地址;但是专用网地址;但是专用网的建设费用非常高。一种解决问题的方法是基于的建设费用非常高。一种解决问题的方法是基于因特网上组建专用网,这就是虚拟专用网(因特网上组建专用网,这就是虚拟专用网(Virtual Private Network,VPN)。)。36/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;
16、ogy隧道隧道 在因特网上构建在因特网上构建VPN的最主要技术是隧道。的最主要技术是隧道。隧道技术是利用一种网络协议来传输另一种网络隧道技术是利用一种网络协议来传输另一种网络协议。隧道通过某种封装协议,将帧或报文封装协议。隧道通过某种封装协议,将帧或报文封装在隧道协议的报文中在网络中传输,在隧道出口在隧道协议的报文中在网络中传输,在隧道出口处将隧道报文解封装,取出其中的帧或报文。处将隧道报文解封装,取出其中的帧或报文。隧道技术涉及了三种网络协议,隧道(封装)协隧道技术涉及了三种网络协议,隧道(封装)协议、承载(传送、投递)协议和乘客协议。议、承载(传送、投递)协议和乘客协议。37/45第九章第
17、九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy典型拨号典型拨号VPN业务示意图业务示意图 38/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogyVPN例子例子 39/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.8 防火墙和防火墙和IDS40/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy报文过滤报文过滤 以太网
18、帧头以太网帧头数据数据IPIP报头报头TCPTCP报头报头协议类型协议类型源源IPIP地址地址目的目的IPIP地址地址源端口号源端口号目的端口号目的端口号41/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy 应用层网关应用层网关 其他服务代理其他服务代理HTTP代理代理FTP代理代理外网计算机外网计算机内网计算机内网计算机42/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.9 DDoS攻击攻击 拒绝服务(拒绝服务(Denial of Servi
19、ce,DoS)攻击方式有)攻击方式有很多种,从广义上讲,任何可以通过合法的方式很多种,从广义上讲,任何可以通过合法的方式使服务器不能提供正常服务的攻击手段都属于使服务器不能提供正常服务的攻击手段都属于DoS攻击的范畴。最基本的攻击的范畴。最基本的DoS攻击就是利用合理攻击就是利用合理的服务请求来占用过多的服务器资源,从而使合的服务请求来占用过多的服务器资源,从而使合法用户无法得到服务器的响应。法用户无法得到服务器的响应。43/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy9.9.1 攻击方式攻击方式44/45第九章第九章 网络安全网络安全 Networking Networking techno;ogytechno;ogy直接攻击直接攻击DDoS