《網(wǎng)絡(luò)安全技術(shù) 》ppt課件

1、第12章 網(wǎng)絡(luò)安全技術(shù),,,本章任務(wù)網(wǎng)絡(luò)安全概述 數(shù)據(jù)加密技術(shù) 身份認(rèn)證和密鑰分發(fā) 數(shù)字簽名和報文摘要 防火墻技術(shù) 入侵檢測,12.1 網(wǎng)絡(luò)安全概述,網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運行、網(wǎng)絡(luò)服務(wù)不中斷。在美國國家信息基礎(chǔ)設(shè)施（NII）的文獻(xiàn)中，給出了安全的五個屬性：可用性、機密性、完整性、可靠性和不可抵賴性。 （1）可用性 可用性是指得到

2、授權(quán)的實體在需要時可以得到所需要的網(wǎng)絡(luò)資源和服務(wù)。 （2）機密性 機密性是指網(wǎng)絡(luò)中的信息不被非授權(quán)實體（包括用戶和進(jìn)程等）獲取與使用。,,（3）完整性 完整性是指網(wǎng)絡(luò)信息的真實可信性，即網(wǎng)絡(luò)中的信息不會被偶然或者蓄意地進(jìn)行刪除、修改、偽造、插入等破壞，保證授權(quán)用戶得到的信息是真實的。 （4）可靠性 可靠性是指系統(tǒng)在規(guī)定的條件下和規(guī)定的時間內(nèi)，完成規(guī)定功能的概率。 （5）不可抵賴不可抵賴性也稱為不可否認(rèn)性。是指通信的雙方在通

3、信過程中，對于自己所發(fā)送或接收的消息不可抵賴。,,12.1.1 主要的網(wǎng)絡(luò)安全威脅所謂的網(wǎng)絡(luò)安全威脅是指某個實體（人、事件、程序等）對某一網(wǎng)絡(luò)資源的機密性、完整性、可用性及可靠性等可能造成的危害。,,通信過程中的四種攻擊方式：截獲：兩個實體通過網(wǎng)絡(luò)進(jìn)行通信時，如果不采取任何保密措施，第三者可能偷聽到通信內(nèi)容。中斷：用戶在通信中被有意破壞者中斷通信。篡改：信息在傳遞過程中被破壞者修改，導(dǎo)致接收方收到錯誤的信息。偽造：破壞者通過

4、傳遞某個實體特有的信息，偽造成這個實體與其它實體進(jìn)行信息交換，造成真實實體的損失。,,,其它構(gòu)成威脅的因素（1）環(huán)境和災(zāi)害因素：地震、火災(zāi)、磁場變化造成通信中斷或異常；（2）人為因素：施工造成通信線路中斷；（3）系統(tǒng)自身因素：系統(tǒng)升級、更換設(shè)備等。,,12.1.2 網(wǎng)絡(luò)安全策略安全策略是指在某個安全區(qū)域內(nèi)，所有與安全活動相關(guān)的一套規(guī)則。網(wǎng)絡(luò)安全策略包括對企業(yè)的各種網(wǎng)絡(luò)服務(wù)的安全層次和用戶的權(quán)限進(jìn)行分類，確定管理員的安全職責(zé)，

5、如何實施安全故障處理、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、入侵和攻擊的防御和檢測、備份和災(zāi)難恢復(fù)等內(nèi)容。我們通常所說的安全策略主要指系統(tǒng)安全策略，主要涉及四個大的方面：物理安全策略、訪問控制策略、信息加密策略、安全管理策略。,,12.1.3 網(wǎng)絡(luò)安全模型 1．P2DR安全模型 P2DR模型是由美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司提出的一個可適應(yīng)網(wǎng)絡(luò)安全模型（Adaptive Network Security Model）。P2DR包括四個主要部分，分別是：Po

6、licy——策略，Protection——保護(hù)，Detection——檢測，Response——響應(yīng)。,,,從P2DR模型的示意圖我們也可以看出，它強調(diào)安全是一個在安全策略指導(dǎo)下的保護(hù)、檢測、響應(yīng)不斷循環(huán)的動態(tài)過程，系統(tǒng)的安全在這個動態(tài)的過程中不斷得到加固。因此稱之為可適應(yīng)的安全模型。P2DR模型對安全的描述可以用下面的公式來表示：安全=風(fēng)險分析+執(zhí)行策略+系統(tǒng)實施+漏洞監(jiān)測+實時響應(yīng),,2．PDRR安全模型PDRR模型是美國國防

7、部提出的“信息安全保護(hù)體系”中的重要內(nèi)容，概括了網(wǎng)絡(luò)安全的整個環(huán)節(jié)。PDRR表示Protection（防護(hù)）、Detection（檢測）、Response（響應(yīng)）、Recovery（恢復(fù)）。這四個部分構(gòu)成了一個動態(tài)的信息安全周期。,,12.2 數(shù)據(jù)加密技術(shù),12.2.1 數(shù)據(jù)加密方法在傳統(tǒng)上有幾種方法來加密數(shù)據(jù)流。所有這些方法都可以用軟件很容易的實現(xiàn)，但是當(dāng)只知道密文的時候，是不容易破譯這些加密算法的（當(dāng)同時有原文和密文時，破譯加

8、密算法雖然也不是很容易，但已經(jīng)是可能的了）。最好的加密算法對系統(tǒng)性能幾乎沒有影響，并且還可以帶來其他內(nèi)在的優(yōu)點。,,比較簡單的加密算法就是“置換表”算法，這種算法也能很好達(dá)到加密的需要。每一個數(shù)據(jù)段（總是一個字節(jié)）對應(yīng)著“置換表”中的一個偏移量，偏移量所對應(yīng)的值就輸出成為加密后的文件，加密程序和解密程序都需要一個這樣的“置換表”。比如，可以將單詞的每一個字母順延3個，將單詞HELLO變換成KHOOR，接收方再反向解密。明文：A B C

9、 D E F G H I J K L M N O P Q R S T U V W X Y Z 暗文：D E F G H I J K L M N O P Q R S T U V W X Y Z A B C這種加密算法比較簡單，加密解密速度都很快，但是一旦這個“置換表”被對方獲得，那這個加密方案就完全被識破了。更進(jìn)一步講，這種加密算法對于黑客破譯來講是相當(dāng)直接的，只要找到一個“置換表”就可以了。,,12.3 身份認(rèn)證和密鑰分發(fā)認(rèn)證即“

10、驗明正身”，用于確認(rèn)某人或某物的身份。在網(wǎng)絡(luò)上，需要確認(rèn)身份的對象大致可分為人類用戶和物理設(shè)備兩類。本節(jié)只介紹與人類用戶身份認(rèn)證有關(guān)的基本知識。 傳統(tǒng)的認(rèn)證，憑據(jù)一般是名稱和一組秘密字符組合。前者稱為標(biāo)識（ID），后者稱為密碼（password）。進(jìn)行認(rèn)證時，被認(rèn)證者需要提供標(biāo)識（一般為用戶名）和密碼。這種認(rèn)證方式是不可靠的，因為不能確保密碼不外泄。 比較可靠的認(rèn)證方式為加密認(rèn)證。在這種方式下，被認(rèn)證者不需要出示其秘密信息，而是

11、采用迂回、間接的方式證明自己的身份。,,12.3.1 密碼和加密認(rèn)證1. 密碼認(rèn)證密碼認(rèn)證（Password Based）方式普遍存在于各種操作系統(tǒng)中，例如在登錄系統(tǒng)或使用系統(tǒng)資源前，用戶需先出示其用戶名與密碼，以通過系統(tǒng)的認(rèn)證。,,2. 加密認(rèn)證加密認(rèn)證（Cryptographic）可彌補密碼認(rèn)證的不足之處。在這種認(rèn)證方式中，雙方使用請求與響應(yīng)（Challenge & Response）技巧來識別對方。,,利用秘密

12、鑰匙的認(rèn)證方式。假定A、B兩方持有同一密鑰K，其認(rèn)證過程如圖12－1所示：,,其中，R為請求值，X為響應(yīng)值。上述步驟也可修改為先將R加密為X，然后發(fā)給B，再由B解出R‘，回傳給A。,,利用公用鑰匙進(jìn)行認(rèn)證的過程與秘密鑰匙相似，假設(shè)B的公用、私有鑰匙分別為KB、Kb，認(rèn)證過程如圖12－2所示， 其中，R為請求值，X為響應(yīng)值。 網(wǎng)絡(luò)發(fā)證機關(guān)（CA，Certificate Authority）是專門負(fù)責(zé)頒發(fā)公用鑰匙持有證書的機構(gòu)。 其與網(wǎng)

13、絡(luò)用戶的關(guān)系如圖12－6所示,,,密鑰產(chǎn)生及管理概述 一個密鑰在生存期內(nèi)一般要經(jīng)歷以下幾個階段：密鑰的產(chǎn)生密鑰的分配啟用密鑰/停有密鑰替換密鑰或更新密鑰撤銷密鑰銷毀密鑰,,12.3.2 數(shù)據(jù)完整性驗證 消息的發(fā)送者用要發(fā)送的消息和一定的算法生成一個附件，并將附件與消息一起發(fā)送出去；消息的接收者收到消息和附件后，用同樣的算法與接收到的消息生成一個新的附件；把新的附件與接收到的附件相比較，如果相同，則說明收到的消息是正

14、確的，否則說明消息在傳送中出現(xiàn)了錯誤,,,（1）使用對稱密鑰體制產(chǎn)生消息認(rèn)證碼發(fā)送者把消息m分成若干個分組（m1,m2…..mi），利用分組密密碼算法來產(chǎn)生MAC，其過程如圖12－8所示。,,,（2）使用散列函數(shù)來產(chǎn)生消息認(rèn)證碼散列函數(shù)可以將任意長度的輸入串轉(zhuǎn)化成固定長度的輸出串，將定長的輸出串來做消息的認(rèn)證碼。 單向散列函數(shù)單向散列函數(shù)（one-way hash function），也叫壓縮函數(shù)、收縮函數(shù)，它是現(xiàn)代密碼學(xué)的中

15、心，是許多協(xié)議的另一個結(jié)構(gòu)模塊。散列函數(shù)長期以來一直在計算機科學(xué)中使用，散列函數(shù)是把可變長度的輸入串（叫做預(yù)映射，pre-image）轉(zhuǎn)換成固定長度的輸出串（叫做散列值）的一種函數(shù)單向散列函數(shù)是在一個方向上工作的散列函數(shù)，即從預(yù)映射的值很容易計算出散列值，但要從一個特定的散列值得出預(yù)映射的值則非常難。,12.4 數(shù)字簽名和報文摘要,數(shù)字簽名實際上是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換能使數(shù)據(jù)單元的接

16、收者確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)的完整性，并保護(hù)數(shù)據(jù)，防止被人（如接收者）偽造。,,從圖中可看出，數(shù)字簽名的功能有三：可證明信件的來源；可判定信件內(nèi)容是否被篡改；發(fā)信者無法否認(rèn)曾經(jīng)發(fā)過信,,數(shù)字簽名的實現(xiàn)方法 （1）使用對稱加密和仲裁者實現(xiàn)數(shù)字簽名 （2）使用公開密鑰體制進(jìn)行數(shù)字簽名公開密鑰體制的發(fā)明，使數(shù)字簽名變得更簡單，它不再需要第三方去簽名和驗證。簽名的實現(xiàn)過程如下：A用他的私人密鑰加密消息，從而對文件簽名；A將簽名的消息發(fā)

17、送給B；B用A的公開密鑰解消息，從而驗證簽名；,12.5 防火墻技術(shù),防火墻(firewall)是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個網(wǎng)絡(luò)之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trusted network)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrusted network)。防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。,,防火墻的功

18、能有兩個：阻止和允許?！白柚埂本褪亲柚鼓撤N類型的通信量通過防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來）。“允許”的功能與“阻止”恰好相反。,,防火墻技術(shù)一般分為兩類 (1) 網(wǎng)絡(luò)級防火墻——用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。屬于這類的有分組過濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。(2) 應(yīng)用級防火墻——從應(yīng)用程序來進(jìn)行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服

19、務(wù)器來區(qū)分各種應(yīng)用。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過。,,12.5.1 防火墻原理防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機制,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信的,而外部網(wǎng)絡(luò)(通常是Internet)被認(rèn)為是不安全和不可信賴的.防火墻的作用是放逐不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全政策。,,防火墻在網(wǎng)絡(luò)中的位置如圖。,,防火墻一般安放在被保護(hù)網(wǎng)絡(luò)的邊界，這樣必須做到以下幾

20、點，才能使防火墻起到安全防護(hù)的作用：所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的通信必須通過防火墻。所有通過防火墻的通信經(jīng)過安全策略的過濾或者防火墻的授權(quán)。防火墻本身是不可被入侵的?？傊?，防火墻是在被保護(hù)網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間進(jìn)行訪問控制的一個或者一組訪問控制部件。防火墻是一種邏輯隔離部件，而不是物理的隔離，它所遵循的原則是，在保證網(wǎng)絡(luò)暢通的情況下，盡可能的保證內(nèi)部網(wǎng)絡(luò)的安全。,,12.5.2 防火墻的功能訪問控制功能內(nèi)容控制功能。全面的日志功

21、能。集中管理功能。,,12.5.3 邊界保護(hù)機制對防火墻而言，網(wǎng)絡(luò)可以分為可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)，可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)是相對的，一般來講內(nèi)部網(wǎng)絡(luò)是可信網(wǎng)絡(luò)，互聯(lián)網(wǎng)是不可信網(wǎng)絡(luò)，但是在內(nèi)部網(wǎng)絡(luò)中，比如財務(wù)等一些重要部門網(wǎng)絡(luò)需要特殊保護(hù)，在這里財務(wù)部等網(wǎng)絡(luò)是可信網(wǎng)絡(luò)，其它的內(nèi)部網(wǎng)絡(luò)就變成了不可信網(wǎng)絡(luò)。,,12.5.4 防火墻的局限性安裝防火墻并不能做到絕對的安全，它有許多防范不到的地方。防火墻不能防范不經(jīng)由防火墻的攻擊。防火墻不能

22、防治感染了病毒的軟件或文件的傳輸。 防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。 反火墻不能防范惡意的內(nèi)部人員。防火墻不能防范不斷更新的攻擊方式。,,12.5.5 防火墻的分類1．包過濾技術(shù)包過濾（packet filtering）技術(shù)是防火墻在網(wǎng)絡(luò)層中根據(jù)數(shù)據(jù)包中包頭信息實施有選擇的允許通過或阻斷。 2．應(yīng)用網(wǎng)關(guān)技術(shù)應(yīng)用網(wǎng)關(guān)（application gateway）與包過濾防火墻不同，它不使用通用目標(biāo)機制來允許各種不同種類的通信，而是

23、針對每個應(yīng)用使用專用目的的處理方法。,,3．狀態(tài)檢測防火墻狀態(tài)檢測（stateful inspection）防火墻現(xiàn)在應(yīng)用十分廣泛。 4． 電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)也被稱之為線路級網(wǎng)關(guān)，它工作在會話層。,,5．代理服務(wù)器技術(shù)代理服務(wù)器（proxy server）工作在應(yīng)用層，它用來提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用，內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其他接點的直接請求。,12.6 入侵檢測

24、,12.6.1 基本概念入侵檢測是從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機制。入侵檢測系統(tǒng)（intrusion detection system , IDE）使用入侵檢測技術(shù)對網(wǎng)絡(luò)與其上的系統(tǒng)進(jìn)行監(jiān)視，并根據(jù)監(jiān)視結(jié)果進(jìn)行不同的安全動作，最大限度地降低可能地入侵危害。簡單地說，入侵檢測系統(tǒng)工作過程是這樣的：一個計算機系統(tǒng)與網(wǎng)絡(luò)或互聯(lián)網(wǎng)連接。,,1

25、2.6.2 基本結(jié)構(gòu)CIDF（common intrusion detection framework）通用入侵檢測框架給出了一個入侵檢測系統(tǒng)通用模型。CIDF將IDS（入侵檢測技術(shù)）需要分析的數(shù)據(jù)統(tǒng)稱為事件（event），它可以是基于網(wǎng)絡(luò)的IDS從網(wǎng)絡(luò)中提取的數(shù)據(jù)包，也可以是基于主機的IDS從系統(tǒng)日志等其它途徑得到的數(shù)據(jù)信息。,,CIDF組件之間的交互數(shù)據(jù)使用通用入侵檢測對象（generalized intrusion detect

26、ion objects，gido）格式，一個gido可以表示在一些特定時刻發(fā)生的一些特定事件，也可以表示從一系列事件中得出的一些結(jié)論，還可以表示執(zhí)行某個行動的指令。它將一個入侵檢測系統(tǒng)分為如下組件：,,,12.6.3 入侵檢測系統(tǒng)分類1．基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)用于保護(hù)單臺主機不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護(hù)的主機上。 2．基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常是作為一個獨立的個體放置于

27、被保護(hù)的網(wǎng)絡(luò)上，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡(luò)適配器來實現(xiàn)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行的通信,,3．基于內(nèi)核的入侵檢測系統(tǒng)基于內(nèi)核的入侵檢測是一種較新的技術(shù)，它開始變得流行起來，特別是在Linux上。在Linux上目前可用的基于內(nèi)核的入侵檢測系統(tǒng)有兩種，它們是Open Wall和LIDS（一種基于Linux內(nèi)核的入侵檢測和預(yù)防系統(tǒng)）。,,4．兩種入侵檢測系統(tǒng)的結(jié)合運用基于網(wǎng)絡(luò)的