计算机网络技术课程5吉林大学李晓峰

第五章计算机网络安全你的网络…安全吗

？不安全的因素： 各种服务是不安全的 协议是不安全的解决的方法（使虚拟世界真实化）： 防火墙技术 认证和加密§5.1

基础知识网络安全的含义：(掌握)网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。自然或人为网络安全又分为：运行系统安全，即保证信息处理和传输系统的安全。

网络上系统信息的安全。

网络上信息传播的安全。网络上信息内容的安全。网络安全的特征保密性完整性可用性可控性信息不泄露给非授权的用户、实体或过程，或供其利用的特性。数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。对信息的传播及内容具有控制能力。

网络安全的威胁非授权访问（unauthorizedaccess）：一个非授权的人的入侵。信息泄露（disclosureofinformation）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。拒绝服务（denialofservice）：使得系统难以或不可能继续执行任务的所有问题。网络安全的威胁（1）计算机系统的脆弱性主要来自于操作系统的不安全性，在网络环境下，还来源于通信协议的不安全性。

（2）存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。（3）计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。

计算机系统的脆弱性:网络安全的威胁当前计算机网络系统都使用的

TCP／IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。协议安全的脆弱性：例如：RobertMorries在

VAX机上用

C编写的一个GUESS软件，它根据对用户名的搜索猜测机器密码口令的程序，自在1988年11月开始在网络上传播以后，几乎每年都给Internet造成上亿美元的损失网络安全的威胁不管是什么样的网络系统都离不开人的管理，但又大多数缺少安全管理员，特别是高素质的网络管理员。此外，缺少网络安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。令人担忧的许多网络系统已使用多年，但网络管理员与用户的注册、口令等还是处于缺省状态。人为的因素：网络安全的关键技术主机安全技术

身份认证技术

访问控制技术

密码技术

防火墙技术

安全审计技术安全管理技术

认证和加密网络安全的策略网络用户的安全责任系统管理员的安全责任正确利用网络资源检测到安全问题时的对策信息安全标准

TCSECtrustedcomputersystemevaluationcriteria

CC

commomcriteriaforsecurityevaluation最低保护等级、自主保护等级、强制保护等级、验证保护等级主要考虑人为的信息威胁，也可用于非人为因素导致的威胁。§5.2

防火墙——分组过滤装置防火墙技术就是一种保护计算机网络安全的技术性措施，是在内部网络和外部网络之间实现控制策略的系统，主要是为了用来保护内部的网络不易受到来自Internet的侵害。典型的防火墙：（应用网关或链路级网关）防火墙的类型网络级防火墙应用级防火墙电路级防火墙网络级防火墙也称包过滤防火墙，通常由一个路由器或一台充当路由器的计算机组成。应用级防火墙通常指运行代理（Proxy）服务器软件的一台计算机主机。电路级防火墙可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。防火墙的主要功能如下：

过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络。防火墙可以允许受保护网的一部分主机被外部网访问，而另一部分被保护起来，防止不必要访问。防火墙可以记录下所有通过它的访问，并提供网络使用情况的统计数据。防火墙的不足：（1）不能防范绕过防火墙的攻击。

（2）一般的防火墙不能防止受到病毒感染 的软件或文件的传输。

（3）不能防止数据驱动式攻击。

（4）难以避免来自内部的攻击。

PC机的保护防病毒软件个人防火墙防病毒软件构建个人防火墙个人用户只能使用应用级防火墙，一般都是使用包过滤和协议过滤等技术实现的。这种防火墙能有效地防止用户数据直接暴露在Internet中，并记录主机和Internet数据交换的情况，从而保证了用户的安全。“天网防火墙”§5.3

加密技术加密（cryptography）

明文暗文

密码体制：常规：加密、解密，密钥相同公开：加密、解密，密钥不同算法公开密钥保密对称加密非对称加密（plaintext）（ciphertext）最简单的加密技术是字母替换密码。例如：密钥中…

G-T；O-%；D-W；！-A；……消息：GOOD！密文：T%%WA常规密钥密码体制（单密钥）数据加密标准DES将每64位明文用56位密钥，经过混乱压扩技术，生成密文。用猜试法破解定期更换密钥特色：消息被加密和解密的速度。缺点：通信过程涉及若干个人时，需要密钥数量。如：两个人之间只需要一个密钥；十个人，需要45个密钥。（n×(n-1)/2）公开密钥密码体制（双密钥）分为公开密钥（公钥，公开）和秘密密钥（密钥，保密），可以用于数字签名。RSA算法

不足：加密速度慢公钥加密的暗文只有密钥可解

密钥加密的暗文只有公钥可解优点：需要密钥的数量降低。缺点：加密、解密的速度慢简单描述：随机产生两个很大的质数（每一个是300位的十进制数，理想模式）。求两个质数的乘积（公钥、密钥的一部分）…….数字签名过程：AB使用A的密钥加密数字签名使用B的公钥加密使用B的密钥解密使用A的公钥验证数字签名使用数字签名：能够表明签名者的身份发送者无法抵赖（反拒认）不能伪造数字证书证明权威CA用户A产生一对密钥，将公钥及说明用CA的公钥加密后发给CA，CA经过对A的身份验证，认可，将A的公钥产生一个摘要，用CA的密钥签名得到数字证书。用户B用CA的公钥验证CA对A的数字证书。由于公钥需要定期更换，使用数字证书时要验证是否失效。§5.4信息隐藏技术信息隐藏技术（InformationHinding，也称信息伪装），利用人类感觉器官对数字信号的感觉冗余，将一个信息伪装隐藏在另一个信息之中，实现隐蔽通信或隐蔽标识。“保护色”与“藏头诗”包括的内容：信息隐藏技术概述数字隐写技术数字水印信息隐藏技术概述信息隐藏模型编码器检测器秘密信息宿主信息秘密信息宿主信息密钥密钥隐蔽宿主信息隐藏技术概述具体描述秘密信息（SecretMessage）宿主信息（CoverMessage）密钥（Key）嵌入算法（EmbeddingAlgorithm）检测器（Detector）信息隐藏技术概述信息隐藏系统的特征（1）鲁棒性（Robustness）指不因宿主文件的某种改动而导致隐藏信息丢失的能力。包括：传输过程中的信道噪音、滤波操作、重采样、有损编码压缩、D/A或A/D转换等信息隐藏技术概述信息隐藏系统的特征（2）不可检测性（Undetectability）指隐蔽宿主与原始宿主具有一致的特性，以便使非法拦截者无法判断是否有隐蔽信息。信息隐藏技术概述信息隐藏系统的特征（3）透明性（Invisibility）指利用人类视觉系统或人类听觉系统属性，经过一系列隐藏处理，使目标数据没有明显的降质现象，从而隐藏的数据无法人为地看见或听见。信息隐藏技术概述信息隐藏系统的特征（4）不可检测性（Imperceptibility）指隐藏算法有较强的抗攻击能力，即它必须能承受一定程度的人为攻击，而隐藏信息不会被破坏。信息隐藏技术概述信息隐藏系统的特征（5）自恢复性指由于经过一些操作或变换后，可能会使隐蔽宿主产生较大的破坏，只从留下的片段数据中，仍能恢复隐藏信号，而且恢复过程不需要宿主信号。信息隐藏技术概述主要分支信息隐藏版权标志隐写术匿名通信隐蔽信道易碎水印鲁棒的版权标志技术上的隐写术语言学中的隐写术数据隐写术替换系统用：秘密信息替代宿主的冗余变换域技术：在信号的变换域嵌入扩展频谱技术：扩频通信统计方法：更改统计特性失真技术：通过信号失真来保存信息载体生成方法：生成伪装载体数据隐写术替换系统替换系统最低比特位替换LSB替换系统最低比特位替换（LeastSignificantBitEmbedding

LSB）黑白图象：灰阶值（明亮程度，8比特）彩色图象：RGB（明亮程度，3个字节）利用奇偶性调制例如：(a)Normal(b)Embedded§5.5VPN(VirtualPrivateNetwork)

VPN：虚拟专用网。

V、N：虚拟网，源和目的之间的数据通路是与其他传输共享的P、N：专用网络，非授权用户不可访问源和目的之间所传输的数据。VPN是一个公用IP网络上的两个站点之间的IP连接。它的有效负荷都被加密，只有源和目的点才能解密业务分组。VPN提供了更高一级的安全VPN不仅能够加密用户的数据，而且能够加密协议栈中的数据项，某些会话攻击形式可能会通过攻击协议栈中的数据项来损害用户的站点。VPN实现方式站点之间（R-R）VPN隧道连接：

当建立到一个特定IP地址的连接时，在两个路由器（具有VPN功能）之间为其建立加密连接，即加密“隧道”功能。（建立“mastersession”）

通常，两个不同厂商的路由器，不能以隧道方式互操作。VPN实现方式站点之间（R-R）VPN多协议隧道连接：

允许用户使用IP网络来传输封装好的非IP协议分组。

对于希望低成本的公用IP网络连接、但在站点之间又不是只运行IP协议的公司非常有用。VPN安全协议

Internet的底层技术，即IP，在设计时没有考虑安全问题，因此开发出几个VPN协议以保护VPN自身。

这些协议包括：点对点隧道协议（PPTP）、2层转发（L2F）、2层隧道协议（L2TP）和IP安全（IPSec）。VPN安全协议点对点隧道协议（PPTP）PPTP集成在WindowsNT中，使用Microsoft专用的点对点加密算法，该算法为远程拨号和局域网-局域网提供了加密和身份认证。PPTP最终会结合到IPSec中。VPN安全协议2层转发（L2F）

提供了ISP服务器和网络之间的隧道。

用户建立一条到ISP服务器的点对点拨号连接。服务器将ppp桢封装在L2F桢内，封装后被转发到3层设备（路由器）进行传输。VPN安全协议2层隧道协议（L2TP）

结合PPTP与L2F。尚在开发中。VPN安全协议IP安全（IPSec）IPSec为VPN提供端对端的数据加密和认证。安全是相对的总有办法发现算法的漏洞或者加密技术的关键结构。使用加密技术的真正问题是经济问题。自己或家人的名字公司或同事的名字操作系统、主机、电子邮件生成强口令：生成口令时，避免使用：任何类型的名字