1 / 39

第十五讲 网络安全技术

第十五讲 网络安全技术. 本讲主要内容. 网络安全问题概述 加密与认证技术 防火墙技术 病毒与病毒的防治. 11.1 网络安全问题概述 11.1.1 网络安全的概念和安全控制模型. 网络安全 是指网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄露等意外发生 网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的边缘学科。. 图 11-1 网络安全的组成. 图 11-2 网络安全模型. 11.1.2 安全威胁.

gail
Download Presentation

第十五讲 网络安全技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第十五讲 网络安全技术

  2. 本讲主要内容 • 网络安全问题概述 • 加密与认证技术 • 防火墙技术 • 病毒与病毒的防治

  3. 11.1 网络安全问题概述11.1.1网络安全的概念和安全控制模型 • 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄露等意外发生 • 网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的边缘学科。

  4. 图11-1 网络安全的组成

  5. 图11-2 网络安全模型

  6. 11.1.2 安全威胁 • 安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。 • 安全威胁可分为故意的(如黑客渗透)和偶然的(如信息被发往错误的地址)两类。故意威胁又可进一步分为被动和主动两类。

  7. 1.安全攻击 • 对于计算机或网络安全性的攻击,最好通过在提供信息时查看计算机系统的功能来记录其特性。当信息从信源向信宿流动时,图11-3列出了受到各种类型的攻击的情况。 源站 目的站 源站 目的站 源站 目的站 源站 目的站 中断 篡改 伪造 截获 被动攻击 主 动 攻 击

  8. 2.基本的威胁 • 网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。 • 一般认为,目前网络存在的威胁主要表现在: (1)信息泄漏或丢失。 (2)破坏数据完整性。 (3)拒绝服务攻击。 (4)非授权访问。

  9. 3.主要的可实现的威胁 • 这些威胁可以使基本威胁成为可能,因此十分重要。它包括两类:渗入威胁和植入威胁。 • 主要的渗入威胁有:假冒、旁路控制、授权侵犯。 • 主要的植入威胁有:特洛伊木马、陷门。

  10. 4.潜在的威胁 • 对基本威胁或主要的可实现的威胁进行分析,可以发现某些特定的潜在威胁,而任意一种潜在的威胁都可能导致发生一些更基本的威胁。

  11. 现有网络安全技术 防病毒 接入控制 入侵检测 防火墙 密码学

  12. 11.2 加密与认证技术11.2.1密码学的基本概念 • 密码学(或称密码术)是保密学的一部分。 • 保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。 • 密码学是对信息进行编码实现隐蔽信息的一门学问。密码分析学是研究分析破译密码的学问。两者相互独立,而又相互促进。

  13. 密码系统通常从3个独立的方面进行分类 (1)按将明文转换成密文的操作类型可分为:置换密码和易位密码。 (2)按明文的处理方法可分为:分组密码和序列密码。 (3)按密钥的使用个数可分为:对称密码体制和非对称密码体制。

  14. 11.2.2常规密钥密码体制 • 常规加密也叫作对称加密、保密密钥或单密钥加密,它是20世纪70年代之前使用的惟一一种加密机制。它现在仍是最常用的两种加密类型之一,另一种是公开密钥加密机制。

  15. 1.常规加密的模型 • 常规加密又称对称加密,该方案有5个组成部分。 • 明文:作为算法输入的原始信息。 • 加密算法:加密算法可以对明文进行多种置换和转换。 • 共享的密钥:共享的保密密钥也是对算法的输入,算法实际进行的置换和转换由保密密钥决定。 • 密文:作为输出的混合信息。它由明文和保密密钥决定。对于给定的信息来讲,两种不同的密钥会产生两种不同的密文。 • 解密算法:这是加密算法的逆向算法。它以密文和同样的保密密钥作为输入,并生成原始明文。

  16. 图11-5 常规加密体制模型 发送者 接收者 传输的密文 明文 X 明文 X 加密算法 解密算法 共享的 密钥

  17. 2.常规加密的要求 (1)需要强大的加密算法。 (2)发送方和接收方必须用安全的方式来获得保密密钥的副本,必须保证密钥的安全。如果有人发现了密钥,并知道了算法,则使用此密钥的所有通信便都是可读取的。

  18. 11.2.3公开密钥加密技术 • 公开密钥加密又叫作非常规加密,公钥加密最初是由Diffie和Hellman在1976年提出的,这是几千年来文字加密的第一次真正革命性的进步。 • 因为公钥是建立在数学函数基础上的,而不是建立在位方式的操作上的。更重要的是,公钥加密是不对称的,与只使用一种密钥的对称常规加密相比,它涉及到两位独立密钥的使用。这两种密钥的使用已经对机密性、密钥的分发和身份验证领域产生了深远的影响。 • 公钥加密算法可用于下面一些方面:数据完整性、数据保密性、发送者不可否认和发送者认证。

  19. 1.公钥加密体制的模型 发送者 接收者 明文 X 密文 Y = EPK(X) 明文 X = DSK(EPK(X)) E 加密算法 D 解密算法 加密密钥 PK 解密密钥 SK 密钥对 产生源

  20. 2.常用的公钥体制 • RSA公钥体制是1978年Rivest、Shamir和Adleman提出的一个公开密钥密码体制,RSA就是以其发明者姓名的首字母命名的。RSA体制被认为是迄今为止理论上最为成熟完善的一种公钥密码体制。 • 该体制的构造基于Euler定理,它利用了如下的基本事实:寻找大素数是相对容易的,而分解两个大素数的积在计算上是不可行的。RSA算法的安全性建立在难以对大数提取因子的基础上。所有已知的证据都表明,大数的因子分解是一个极其困难的问题。 • 与对称密码体制如DES相比,RSA的缺点是加密、解密的速度太慢。因此,RSA体制很少用于数据加密,而多用在数字签名、密钥管理和认证等方面。

  21. 11.2.4 数字签名 • 数字签名提供了一种签别方法,普遍用于银行、电子商业等,以解决伪造、冒充、篡改、抵赖等问题。 • 数字签名必须保证以下三点: (1) 接收者能够核实发送者对报文的签名; (2) 发送者事后不能抵赖对报文的签名; (3) 接收者不能伪造对报文的签名。 • 现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。

  22. 数字签名的实现 发送者 A 接收者 B DSK(X) X X D E SK PK 用秘密密钥 进行签名 用公开密钥 核实签名

  23. 数字签名的实现 • B 用已知的 A 的公开加密密钥得出 EPKA(DSKA(X))  X。因为除 A 外没有别人能具有 A 的解密密钥 SKA,所以除 A 外没有别人能产生密文 DSKA(X)。这样,B 相信报文 X 是 A 签名发送的。 • 若 A 要抵赖曾发送报文给 B,B 可将 X 及DSKA(X)出示给第三者。第三者很容易用 PKA去证实 A 确实发送 X 给 B。反之,若 B 将 X 伪造成 X‘,则 B 不能在第三者前出示DSKA(X’)。这样就证明了 B 伪造了报文。

  24. 11.3 防火墙技术11.3.1 防火墙概述 • 一般来说,防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能的对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。 • 一个防火墙可以是一个实现安全功能的路由器、个人计算机、主机或主机的集合等,通常位于一个受保护的网络对外的连接处,若这个网络到外界有多个连接,那么需要安装多个防火墙系统。

  25. 防火墙可以提供以下服务: (1)限定人们从一个特别的控制点进入或离开; (2)保证对主机的应用安全访问; (3)防止入侵者接近你的其它防御设施; (4)有效防止破坏者对客户机和服务器所进行的破坏; (5)监视网络。

  26. 11.3.2防火墙系统结构 • 防火墙的系统结构一般分为以下几种: • (1)屏蔽路由器屏蔽路由器Internet内部主机代理服务器

  27. 内部主机 Internet 包过滤路由器 代理服务器 Web服务器 (2)双目主机结构 • 它包含一个有两个网络接口的代理服务器系统,关闭正常IP路由功能,并安装运行网络代理服务程序。有一个包过滤防火墙,用于连接Internet。

  28. 代理服务器 Internet 包过滤路由器 路由器 内部主机 (3)屏蔽主机结构

  29. (4)屏蔽子网结构 • 将网络划分为三个部分:Internet(外网)、DMZ(分军事区)、内网。Internet与DMZ区通过外部屏蔽路由器隔离,DMZ区与内网通过内部屏蔽路由器隔离。

  30. 11.3.3 防火墙分类 • 从构成上可以将防火墙分为以下几类: (1)硬件防火墙 (2)软件防火墙 (3)软硬结合防火墙

  31. 11.3.4 防火墙的设计策略 • 防火墙设计策略基于特定的防火墙,定义完成服务访问策略的规则。 • 通常有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何除非被明确允许。

  32. 1.防火墙实现站点安全策略的技术 (1)服务控制。 (2)方向控制。 (3)用户控制。 (4)行为控制。

  33. 2.防火墙在大型网络系统中的部署 (1)在局域网内的VLAN之间控制信息流向时加入防火墙。 (2)Internet与Internet之间连接时加入防火墙。 (3)在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,总部的局域网和各分支机构连接时,一般通过公网ChinaPac,ChinaDD和NFrame Relay等连接,需要采用防火墙隔离,并利用某些软件提供的功能构成虚拟专网VPN。

  34. 2.防火墙在大型网络系统中的部署 (4)总部的局域网和分支机构的局域网是通过Internet连接的,需要各自安装防火墙,并组成虚拟专网。 (5)在远程用户拨号访问时,加入虚拟专网。 (6)利用一些防火墙软件提供的负载平衡功能,ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志记录等功能。 (7)两网对接时,可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(DMZ,De-Militarized Zone,非军事区,其名称来源于朝鲜战争的三八线)及存取安全控制,消除传统软件防火墙的瓶颈问题。

  35. 11.4 病毒与病毒的防治 • 11.4.1病毒的种类及特点 1.病毒的种类多种多样,主要有以下6种。 (1)文件型的病毒 (2)引导扇区病毒 (3)宏病毒 (5)多形性病毒 (6)伙伴病毒

  36. 2.网络病毒的特点 • Internet的发展孕育了网络病毒,由于网络的互联性,病毒的威力也大大增强。网络病毒具有以下特点: (1)破坏性强。 (2)传播性强。 (3)具有潜伏性和可激发性。 (4)针对性强。 (5)扩散面广。

  37. 11.4.2病毒的传播途径与防治 1.计算机病毒有以下4种传播途径。 • 第一种途径:通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机专用芯片和硬盘等。 • 第二种途径:通过移动存储设备来传播,这些设备包括软盘、磁盘等。 • 第三种途径:通过计算机网络进行传播。 • 第四种途径:通过点对点通信系统和无线通道传播。

  38. 2.病毒的防治 • 病毒在发作前是难以发现的,因此所有的防病毒技术都是在系统后台运行的,先于病毒获得系统的控制权,对系统进行实时监控,一旦发现可疑行为,就阻止非法程序的运行,利用一些专门的技术进行判别,然后加以清除。 • 反病毒技术包括检测病毒和清除病毒两方面,而病毒的清除都是以有效的病毒探测为基础的。目前广泛使用的主要检测病毒的方法有特征代码法、校验和法、行为监测法、感染实验法等。

  39. 小结 • 网络安全问题概述 • 什么叫网络安全 • 有哪些安全威胁 • 现有哪些网络安全技术 • 加密与认证技术 • 密码学基本概念 • 常规与非常规密码体制的基本思想 • 防火墙技术 • 作用 原理 布置位置 • 病毒与病毒的防治 • 病毒种类 • 防冶病毒方法

More Related