《Internet技术与应用教程第二版》第9章

2020/5/11,1,第9章Internet网络安全,计算机网络安全的基本概念和基础知识数据加密方法数字签名的原理防火墙,2020/5/11,2,9.1计算机网络安全基础知识,9.1.1网络安全的含义网络安全的一个通用定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,2020/5/11,3,9.1计算机网络安全基础知识,9.1.1网络安全的含义网络安全又分为：（l）运行系统安全，即保证信息处理和传输系统的安全。（2）网络上系统信息的安全。（3）网络上信息传播的安全。全。（4）网络上信息内容的安全。,2020/5/11,4,2网络安全的特征,（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容具有控制能力。,2020/5/11,5,3网络安全的威胁,（1）非授权访问（unauthorizedaccess）：一个非授权的人的入侵。（2）信息泄露（disclosureofinformation）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。（3）拒绝服务（denialofservice）：使得系统难以或不可能继续执行任务的所有问题。,2020/5/11,6,4网络安全的关键技术,主机安全技术。身份认证技术。访问控制技术。密码技术。防火墙技术。安全审计技术。安全管理技术。,2020/5/11,7,9.1.2计算机网络面临的安全性威胁计算机网络上的通信面临以下的4种威胁。（1）截获(interception)（2）中断(interruption)（3）篡改(modification)（4）伪造(fabrication)上述四种威胁可划分为两大类，即被动攻击和主动攻击。在上述情况中，截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。,2020/5/11,8,2020/5/11,9,2.恶意程序（1）计算机病毒（2）计算机蠕虫（3）特洛伊木马（4）逻辑炸弹,2020/5/11,10,计算机网络通信安全的五个目标：（1）防止析出报文内容；（2）防止信息量分析；（3）检测更改报文流；（4）检测拒绝报文服务；（5）检测伪造初始化连接。对付被动攻击主要采用各种加密技术，对于主动攻击主时加密技术和鉴别技术相结合。,2020/5/11,11,9.2.1一般的数据加密模型,一般的数据加密模型如上图所示。明文X用加密算法E和加密密钥K得到密文YEK(X)。在传送过程中可能出现密文截取者。到了收端，利用解密算法D和解密密钥K，解出明文为DK(Y)DK(EK(X)X。截取者又称为攻击者或入侵者。,2020/5/11,12,9.2.1一般的数据加密模型,2020/5/11,13,9.2.2替代密码与置换密码在早期的常规密钥密码体制中，有几种常用的密码，棋盘密码、替代密码和换位密码。,2020/5/11,14,1.棋盘密码其加密的思想是：将26个英文字母排列在一个55的方格里，其中i和j填在同一格,2020/5/11,16,例如字母d对应表9-1可知是14，字母s对应43，依此类推。下面举例说明棋盘密码的加密结果，例如下面一段明文：thisispassword使用表9-1的密码本，则转换后的密文是：4423244324433511434352344214,替代密码,用一组密文来代替一组明文以隐藏明文，但保持明文字母的位置不变例如：用密文D、E、FA、B、C来代替明文a、b、cx、y、z（恺撒密码）,可以通过统计密文中的字母的频率来找到明文最常使用的单字母：e、t、o、a、n、i双字母：th、in、er、re、an三字母：the、ing、and、ion,2020/5/11,18,置换密码(transpositioncipher),按照某一规则重新排列消息中的比特或字符的顺序。原理如下：密钥必须是一个不含重复字母的单词或短语，加密时将明文按密钥长度截成若干行排在密钥下面（不足的时候按顺序补字母），按照密钥钥字母在英文字母表中的先后顺序给各列进行编号，然后按照编好的顺序按列输出明文即成密文。,2020/5/11,19,例如：加密密钥为COMPUTER，加密的明文为：pleaseexecutethelatestscheme那么按照如下形式写出来：14358726COMPUTERpleaseexecutethelatestschemeabcd那么输出的密文为：PELHEHSCEUTMLCAEATEEXECDETTBSESA,2020/5/11,20,9.2.3公开密钥密码体制,从数学模型的角度来说，要想从加密密钥不能推导出解密密钥，则加密算法E与解密算法D必须满足三个条件：D(E(P)=P已知E，不能由E=D使用“选择明文”不能攻破E。,2020/5/11,21,公开密钥算法的特点如下：（1）DSK（EPK（X）X也可EPK（DSK（X）X。（2）加密密钥是公开的，但不能用它来解密，DPK（EPK（X）X（3）在计算机上可以容易地产生成对的PK和SK。（4）从已知的PK实际上不可能推导出SK，即从PK到SK是“计算上不可能的”。且加密和解密算法都是公开的。,9.2.3公开密钥密码体制,2020/5/11,22,9.防火墙技术,9.2.1什么是防火墙防火墙技术就是一种保护计算机网络安全的技术性措施，是在内部网络和外部网络之间实现控制策略的系统，主要是为了用来保护内部的网络不易受到来自Internet的侵害。图为防火墙示意图。,2020/5/11,23,防火墙的主要功能如下：,（1）过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络。（2）控制对特殊站点的访问。（3）提供监视Internet安全和预警的方便端点。防火墙可以记录下所有通过它的访问，并提供网络使用情况的统计数据。,2020/5/11,24,防火墙并非万能，影响网络安全的因素很多，对于以下情况防火墙无能为力：,（1）不能防范绕过防火墙的攻击。（2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。（3）不能防止数据驱动式攻击。（4）难以避免来自内部的攻击。,2020/5/11,25,9.2防火墙的三种类型,1.网络级防火墙网络级防火墙也称包过滤防火墙，通常由一个路由器或一台充当路由器的计算机组成。2.应用级防火墙应用级防火墙通常指运行代理（Proxy）服务器软件的一台计算机主机。3.电路级防火墙电路级防火墙也称电路层网关，是一个具有特殊功能的防火墙，它可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。,2020/5/11,26,9.3防火墙体系结构,1.双重宿主主机体系结构双重宿主主机体系结构是指在内部网络和外部网络的接口处使用至少两个网络设备，这些网络设备可以是路由器或普通计算机，其中一个连接内部网络（称为内部分组过滤器），另一个连接外部网络（称为外部分组过滤器），它们之间由设备连接。,2020/5/11,27,2.主机过滤体系结构,这种结构由硬件和软件共同完成，硬件主要是指路由器，软件主要是指过滤器，它们共同完成外界计算机访问内部网络时从IP地址或域名上的限制，也可以指定或限制内部网络访问Internet。路由器、过滤器的作用？,2020/5/11,28,3.子网过滤体系结构,子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与Internet网络隔离开。（1）参数网络（2）堡垒主机（3）内部路由器（4）外部路由器,2020/5/11,29,9.包过滤技术,定义：包过滤（PacketFilter）是在网络层中对数据包实施有选择的通过。1.包过滤是如何工作的（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。,2020/5/11,30,9.包过滤技术,包过滤不允许进行如下的操作：（1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。（2）允许用户传送一些文件而不允许用户传送其它文件。,2020/5/11,31,2.包过滤的优缺点,（1）包过滤的优点仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。（2）包过滤的缺点在机器中配置包过滤规则比较困难；对系统中的包过滤规则的配置进行测试也较麻烦；许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。,2020/5/11,32,3.包过滤路由器的配置,在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。（1）协议的双向性。（2）“往内”与“往外”的含义。（3）“默认允许”与“默认拒绝”。,2020/5/11,33,4.包的基本构造,包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中，存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息（即上一层包头和包体信息）。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后根据本层的协议再加上包头。这种对包的层次性操作（每一层均加装一个包头）一般称为封装。,2020/5/11,34,5.包过滤处理内核,过滤路由器可以利用包过滤手段来提高网络的安全性。（1）包过滤和网络策略（2）一个简单的包过滤模型（3）包过滤器操作,2020/5/11,35,9.3.构建个人防火墙,个人用户只能使用应用级