计算机网络课件第七章计算机网络的安全

2020年5月10日,1,第七章计算机网络的安全,教学目标教学重点教学过程,2020年5月10日,2,教学目标,了解计算机网络安全的概念掌握常用加密/解密的方法理解防火墙技术了解病毒及其防治技术,2020年5月10日,3,教学重点,掌握加密/解密的方法掌握报文鉴别的方法,2020年5月10日,4,教学过程,网络安全问题概述密码与信息加密防火墙技术计算机病毒与防治,2020年5月10日,5,7.1网络安全问题概述,计算机网络安全的概念网络安全的需求特性网络安全研究的主要问题,2020年5月10日,6,7.1.1计算机网络安全的概念,国际标准化组织(1SO)引用ISO74982文献中对安全的定义是：安全就是最大程度地减少数据和资源被攻击的可能性。中华人民八和国计算机信息系统安全保护条例的第三条规范了包括计算机网络系统在内的计算机信息系统安全的概念：“计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。”,2020年5月10日,7,7.1.2网络安全的需求特性,网络安全保障的归结点还是网上的信息安全信息安全的需求特性机密性完整性可用性可控性不可否认性,2020年5月10日,8,7.1.3网络安全研究的主要问题,网络安全涉及5个层次的安全,2020年5月10日,9,7.1.3网络安全研究的主要问题（1）,物理安全环境安全设备安全媒体安全,2020年5月10日,10,7.1.3网络安全研究的主要问题（2）,网络安全,2020年5月10日,11,7.1.3网络安全研究的主要问题（3）,系统安全,2020年5月10日,12,7.1.3网络安全研究的主要问题（4）,应用安全,2020年5月10日,13,7.1.3网络安全研究的主要问题（5）,管理安全人在一系列的安全问题中总是处于主导的作用，因此要解决这个问题须从技术和管理两个方面入手。技术管理,2020年5月10日,14,7.2密码与信息加密,7.2.1密码技术概述7.2.2对称加密算法7.2.3非对称加密算法7.2.4报文鉴别,2020年5月10日,15,7.2密码与信息加密,密码学是一门古老而深奥的学科计算机密码学又是一门新兴的学科随着计算机网络和计算机通信技术的发展，计算机密码学得到了前所未有的重视并迅速普及和发展起来。在国外，它已成为计算机安全主要的研究方向。,2020年5月10日,16,7.2.1密码技术概述,密码学的历史比较悠久，在四千年前，古埃及人就开始使用密码来保密传递消息。两千多年前，罗马国王JuliusCaesar(恺撒)就开始使用目前称为“恺撒密码”的密码系统。但是密码技术直到20世纪40年代以后才有重大突破和发展。特别是20世纪70年代后期，由于计算机、电子通信的广泛使用，现代密码学得到了空前的发展。,2020年5月10日,17,（一）一般的数据加密模型,2020年5月10日,18,一般的数据加密模型（1）,加密算法与解密算法加密的基本思想是伪装明文（plainttext,未经现代密码学的一个基本原则是：一切秘密寓于密钥之中。在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。加密的信息）以隐藏其真实内容，即将明文X伪装成密文Y(ciphertext,加密后的信息)。伪装明文的操作称为加密由密文恢复出原文的过程称为解密现代密码学的一个基本原则是：一切秘密寓于密钥之中。在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。,2020年5月10日,19,一般的数据加密模型（2）,密钥加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。对于同一种加密算法，密钥的位数越长，破译的难度也就越大，安全性也就越好，密钥空间(keyspace)即二进制01组合的数目越大，密钥的可能范围也就越大，那么攻击者就越不容易通过蛮力攻击（brute-forceattack）来破译，只好用穷举法对密钥的所有组合进行猜测，直到成功地解密。对称密码体制非对称密码体制,2020年5月10日,20,一般的数据加密模型（3）,模型的数学表示明文用M(Message,消息)或P(Plaintext,明文)密文用C(Ciphertext)加密E（Encrypt）EK(M)=C解密D（Decrypt）DK(C)=MDK(EK(M)=M,2020年5月10日,21,（二）基本的加密方法举例（1）,替代加密保持明文的字符顺序，只是将原字符替换并隐藏起来。密钥为3明文caesarcipher密文FDHVDUFLSKHU,2020年5月10日,22,（二）基本的加密方法举例（2）,置换加密（变位加密）不隐藏原明文的字符，但却将字符重新排序变位密钥为cipher明文Attackbeginatfour密文abacnuaiotettgfksr,2020年5月10日,23,7.2.2对称加密算法,加密密钥和解密密钥相同Dk(Ek(M)=C典型算法：数据加密标准DES,2020年5月10日,24,7.2.3非对称加密,又称“公开密钥加密”，密钥互不相同，公钥用来加密，私钥用来解密。Dsk（Epk（M）=C,2020年5月10日,25,RSA公开密钥密码系统（）,RSA算法的安全性基于大整数分解的难度。其公钥和私钥是一对大素数的函数。从一个公钥和密文中恢复出明文的难度等价于分解两个大素数的乘积。加密过程举例：1）选择两个大素数p=7,q=172）计算n=p*q=1193）计算(n)=(p1)(q1)=96,2020年5月10日,26,4）从0，95中随机选取一个正整数e，1e(n)，且e与(n)互素。选e=5）最后计算出满足e*d=1mod(n)的d=77。）公开密钥PK=(e,n)=5,119）秘密密钥SK=(d,n)=77,119）用公钥加密，Y=Xemodn=66,即密文为66）用私钥解密，X=Ydmodn=19,即明文为19,RSA公开密钥密码系统（）,2020年5月10日,27,7.2报文鉴别,为了防止信息在传送的过程中被非法窃听，可以采用数据加密技术对信息进行加密；为了防止信息被篡改或伪造，使用了鉴别技术；所谓鉴别，就是验证对象身份的过程，例如验证用户身份、网络或数据串的完整性等，它保证了其他人不能冒名顶替。报文鉴别就是信息在网络通信的过程中，通信的接收方能够验证所收到的报文的真伪的过程，包括验证发送方的身份、报文内容、发送时间等等。,2020年5月10日,28,报文鉴别原理（1）,采用报文摘要算法来实现报文鉴别,2020年5月10日,29,报文鉴别原理（2）,在发送方A，将长度不定的报文m经过报文摘要算法（也称为MD算法）运算后，得到长度固定的报文H(m),H(m)称为报文摘要；使用发送方的私钥SKA对报文H(m)进行加密，生成报文摘要密文ESKA(H(m),并将其拼接在报文m上，一起发送到接收方B；在接收方，接收到报文m和报文摘要密文ESKA(H(m)后，将其用对应的发送方A的公钥PKA进行解密DPKA(ESKA(H(m),还原为H(m)；将接收到的报文m经过MD算法运算得到报文摘要，并将该报文摘要于中解得的H(m)比较，判断两者是否相同，从而判断接收到的报文是否是发送端发送的。,2020年5月10日,30,报文鉴别原理（3）,报文鉴别特性防抵赖特性发送方私钥加密的信息摘要，称为数字签名，即ESKA(H(m)。接收方收到此签名，由于私钥SKA的持有者只有发送方A自己，因此接收方B，只需用接收方算出的报文摘要H(m)和接收方解密的报文摘要DPKA(ESKA(H(m)加以比较即可。若相同，说明对应的公钥揭开了对应私钥加密的信息，由于私钥的唯一性，也就可以断定发送方A的身份，A也就不能抵赖了。,2020年5月10日,31,报文鉴别原理（4）,报文鉴别特性防篡改和防伪造特性为了实现报文鉴别的不可篡改、不可伪造的目的，MD算法必须满足下面的几个条件；给定一个报文m，计算其报文摘要H(m)是非常容易的；给定一个报文摘要值y，想返回原始的报文x，使得H(x)=y是很难的，或者是不可能的，也就是MD算法是不可逆的；给定m，想找到另外一个m，使得H(m)=H(m)是很难的,也就是要求MD值是唯一的。这样，就保证了攻击者无法伪造另外一个报文m，使得H(m)=H(m)，从而达到了报文鉴别的目的。,2020年5月10日,32,7.3防火墙技术,7.3.1防火墙的概述7.3.2典型防火墙技术7.3.3防火墙的不足与新技术,2020年5月10日,33,7.3.1防火墙概述,概念和模型由计算机硬件或软件系统构成防火墙，用来在内部可信任网络和外部非信任网络之间实施接入控制策略，以保护内部安全，使敏感的数据不被窃取和篡改。,2020年5月10日,34,7.3.1概述(1),功能1）防火墙是网络安全的屏障：一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务降低风险。2）防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。3）对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。4）防止内部信息外泄：通过防火墙对内部网络的划分，可实现内网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。5）防止资源被滥用：防火墙支持具有Internet服务特性的VPN，通过VPN将企业单位分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。,2020年5月10日,35,7.3.1概述(2),发展过程,2020年5月10日,36,7.3.2典型防火墙技术(1),包过滤型防火墙,2020年5月10日,37,7.3.2典型防火墙技术(2),应用代理防火墙,2020年5月10日,38,7.3.2典型防火墙技术(3),状态检测防火墙,2020年5月10日,39,7.3.2典型防火墙技术(4),自适应代理型防火墙,2020年5月10日,40,7.3.3防火墙的不足与新技术,不能防范不经过防火墙的攻击行为不能防止来自内部的以及和外部勾结的攻击防火墙对用户不完全透明限制或关闭一些有用但存在安全缺陷的网络服务防火墙不能有效地防范数据驱动型的攻击防火墙也不能防范受到病毒感染的程序、文件或电子邮件的传输。防火墙不能防范Internet上不断出现的新的威胁手段和新的攻击方法。,2020年5月10日,41,7.4计算机病毒及防治,7.4.1计算机病毒概述7.4.2计算机病毒的特点及分类7.4.3计算机病毒的检测和防治7.4.4反病毒软件的选择,2020年5月10日,42,7.4.1计算机病毒概述（定义）,一般来说，凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒(ComputerVirus)。依据此定义，诸如逻辑炸弹、蠕虫等均可称为计算机病毒。一种较为广泛的定义是：计算机病毒就是能够通过某种途径潜伏在计算机存储介质或程序之中，当达到某种条件即被激活，对计算机资源进行破坏的一组程序或指令集合。1994年2月18日，我国正式颁布实施中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”,2020年5月10日,43,7.4.1计算机病毒概述（产生）,1949年，约翰冯纽曼提出一种会自我繁殖的程序(现在称为病毒)。1959年，Bell实验室的CoreWar，计算机病毒的雏形。1983年，VAXII/750计算机系统上运行，第一个病毒实验成功。1986年初，第一个真正的计算机病毒问世，即在巴基斯坦出现的“Brain”病毒。1989年，我国发现最早的小球病毒报告。1989年7月，第一个反病毒软件KILL6.0问世。,2020年5月10日,44,7.4.2计算机病毒的特点及分类（1）,特点传染性传染性是判断一段程序代码是否为计算机病毒的根本依据隐蔽性潜伏性及可触发性CIH，冲击波MSblast等破坏性,2020年5月10日,45,7.4.2计算机病毒的特点及分类（2）,分类1按感染方式分为引导型、文件型和混合型病毒2按连接方式分为源码型、入侵型、操作系统型和外壳型病毒3按破坏性可分为良性病毒和恶性病毒4网络病毒Internet语言病毒特洛伊木马型病毒蠕虫病毒,2020年5月10日,46,7.4.3计算机病毒的检测和防治（1）,1、病毒的检测（1）屏幕显示异常，弹出异常窗口。（2）声音异常，有虚假报警。（3）系统工作异常：不执行或干扰执行程序，偶尔出现出错提示；时钟倒转，或显示异常；计算机突然或频繁重启，或不能启动；计算机运行速度下降，变慢；文件不能存盘，或存盘时丢失字节；硬盘空间或内存空间减小。（4）键盘工作异常。,2020年5月10日,47,7.4.3计算机病毒的检测和防治（2）,2、病毒的防治1）建立、健全法律和管理制度2）采取更有效的技术措施系统安全软件过滤