《網(wǎng)絡(luò)安全技術(shù) 》ppt課件

1、第12章 網(wǎng)絡(luò)安全技術(shù),,,本章任務(wù)網(wǎng)絡(luò)安全概述 數(shù)據(jù)加密技術(shù) 身份認(rèn)證和密鑰分發(fā) 數(shù)字簽名和報(bào)文摘要 防火墻技術(shù) 入侵檢測(cè),12.1 網(wǎng)絡(luò)安全概述,網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。在美國(guó)國(guó)家信息基礎(chǔ)設(shè)施（NII）的文獻(xiàn)中，給出了安全的五個(gè)屬性：可用性、機(jī)密性、完整性、可靠性和不可抵賴性。 （1）可用性 可用性是指得到

2、授權(quán)的實(shí)體在需要時(shí)可以得到所需要的網(wǎng)絡(luò)資源和服務(wù)。 （2）機(jī)密性 機(jī)密性是指網(wǎng)絡(luò)中的信息不被非授權(quán)實(shí)體（包括用戶和進(jìn)程等）獲取與使用。,,（3）完整性 完整性是指網(wǎng)絡(luò)信息的真實(shí)可信性，即網(wǎng)絡(luò)中的信息不會(huì)被偶然或者蓄意地進(jìn)行刪除、修改、偽造、插入等破壞，保證授權(quán)用戶得到的信息是真實(shí)的。 （4）可靠性 可靠性是指系統(tǒng)在規(guī)定的條件下和規(guī)定的時(shí)間內(nèi)，完成規(guī)定功能的概率。 （5）不可抵賴不可抵賴性也稱為不可否認(rèn)性。是指通信的雙方在通

3、信過(guò)程中，對(duì)于自己所發(fā)送或接收的消息不可抵賴。,,12.1.1 主要的網(wǎng)絡(luò)安全威脅所謂的網(wǎng)絡(luò)安全威脅是指某個(gè)實(shí)體（人、事件、程序等）對(duì)某一網(wǎng)絡(luò)資源的機(jī)密性、完整性、可用性及可靠性等可能造成的危害。,,通信過(guò)程中的四種攻擊方式：截獲：兩個(gè)實(shí)體通過(guò)網(wǎng)絡(luò)進(jìn)行通信時(shí)，如果不采取任何保密措施，第三者可能偷聽(tīng)到通信內(nèi)容。中斷：用戶在通信中被有意破壞者中斷通信。篡改：信息在傳遞過(guò)程中被破壞者修改，導(dǎo)致接收方收到錯(cuò)誤的信息。偽造：破壞者通過(guò)

4、傳遞某個(gè)實(shí)體特有的信息，偽造成這個(gè)實(shí)體與其它實(shí)體進(jìn)行信息交換，造成真實(shí)實(shí)體的損失。,,,其它構(gòu)成威脅的因素（1）環(huán)境和災(zāi)害因素：地震、火災(zāi)、磁場(chǎng)變化造成通信中斷或異常；（2）人為因素：施工造成通信線路中斷；（3）系統(tǒng)自身因素：系統(tǒng)升級(jí)、更換設(shè)備等。,,12.1.2 網(wǎng)絡(luò)安全策略安全策略是指在某個(gè)安全區(qū)域內(nèi)，所有與安全活動(dòng)相關(guān)的一套規(guī)則。網(wǎng)絡(luò)安全策略包括對(duì)企業(yè)的各種網(wǎng)絡(luò)服務(wù)的安全層次和用戶的權(quán)限進(jìn)行分類，確定管理員的安全職責(zé)，

5、如何實(shí)施安全故障處理、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、入侵和攻擊的防御和檢測(cè)、備份和災(zāi)難恢復(fù)等內(nèi)容。我們通常所說(shuō)的安全策略主要指系統(tǒng)安全策略，主要涉及四個(gè)大的方面：物理安全策略、訪問(wèn)控制策略、信息加密策略、安全管理策略。,,12.1.3 網(wǎng)絡(luò)安全模型 1．P2DR安全模型 P2DR模型是由美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司提出的一個(gè)可適應(yīng)網(wǎng)絡(luò)安全模型（Adaptive Network Security Model）。P2DR包括四個(gè)主要部分，分別是：Po

6、licy——策略，Protection——保護(hù)，Detection——檢測(cè)，Response——響應(yīng)。,,,從P2DR模型的示意圖我們也可以看出，它強(qiáng)調(diào)安全是一個(gè)在安全策略指導(dǎo)下的保護(hù)、檢測(cè)、響應(yīng)不斷循環(huán)的動(dòng)態(tài)過(guò)程，系統(tǒng)的安全在這個(gè)動(dòng)態(tài)的過(guò)程中不斷得到加固。因此稱之為可適應(yīng)的安全模型。P2DR模型對(duì)安全的描述可以用下面的公式來(lái)表示：安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)測(cè)+實(shí)時(shí)響應(yīng),,2．PDRR安全模型PDRR模型是美國(guó)國(guó)防

7、部提出的“信息安全保護(hù)體系”中的重要內(nèi)容，概括了網(wǎng)絡(luò)安全的整個(gè)環(huán)節(jié)。PDRR表示Protection（防護(hù)）、Detection（檢測(cè)）、Response（響應(yīng)）、Recovery（恢復(fù)）。這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期。,,12.2 數(shù)據(jù)加密技術(shù),12.2.1 數(shù)據(jù)加密方法在傳統(tǒng)上有幾種方法來(lái)加密數(shù)據(jù)流。所有這些方法都可以用軟件很容易的實(shí)現(xiàn)，但是當(dāng)只知道密文的時(shí)候，是不容易破譯這些加密算法的（當(dāng)同時(shí)有原文和密文時(shí)，破譯加

8、密算法雖然也不是很容易，但已經(jīng)是可能的了）。最好的加密算法對(duì)系統(tǒng)性能幾乎沒(méi)有影響，并且還可以帶來(lái)其他內(nèi)在的優(yōu)點(diǎn)。,,比較簡(jiǎn)單的加密算法就是“置換表”算法，這種算法也能很好達(dá)到加密的需要。每一個(gè)數(shù)據(jù)段（總是一個(gè)字節(jié)）對(duì)應(yīng)著“置換表”中的一個(gè)偏移量，偏移量所對(duì)應(yīng)的值就輸出成為加密后的文件，加密程序和解密程序都需要一個(gè)這樣的“置換表”。比如，可以將單詞的每一個(gè)字母順延3個(gè)，將單詞HELLO變換成KHOOR，接收方再反向解密。明文：A B C

9、 D E F G H I J K L M N O P Q R S T U V W X Y Z 暗文：D E F G H I J K L M N O P Q R S T U V W X Y Z A B C這種加密算法比較簡(jiǎn)單，加密解密速度都很快，但是一旦這個(gè)“置換表”被對(duì)方獲得，那這個(gè)加密方案就完全被識(shí)破了。更進(jìn)一步講，這種加密算法對(duì)于黑客破譯來(lái)講是相當(dāng)直接的，只要找到一個(gè)“置換表”就可以了。,,12.3 身份認(rèn)證和密鑰分發(fā)認(rèn)證即“

10、驗(yàn)明正身”，用于確認(rèn)某人或某物的身份。在網(wǎng)絡(luò)上，需要確認(rèn)身份的對(duì)象大致可分為人類用戶和物理設(shè)備兩類。本節(jié)只介紹與人類用戶身份認(rèn)證有關(guān)的基本知識(shí)。 傳統(tǒng)的認(rèn)證，憑據(jù)一般是名稱和一組秘密字符組合。前者稱為標(biāo)識(shí)（ID），后者稱為密碼（password）。進(jìn)行認(rèn)證時(shí)，被認(rèn)證者需要提供標(biāo)識(shí)（一般為用戶名）和密碼。這種認(rèn)證方式是不可靠的，因?yàn)椴荒艽_保密碼不外泄。 比較可靠的認(rèn)證方式為加密認(rèn)證。在這種方式下，被認(rèn)證者不需要出示其秘密信息，而是

11、采用迂回、間接的方式證明自己的身份。,,12.3.1 密碼和加密認(rèn)證1. 密碼認(rèn)證密碼認(rèn)證（Password Based）方式普遍存在于各種操作系統(tǒng)中，例如在登錄系統(tǒng)或使用系統(tǒng)資源前，用戶需先出示其用戶名與密碼，以通過(guò)系統(tǒng)的認(rèn)證。,,2. 加密認(rèn)證加密認(rèn)證（Cryptographic）可彌補(bǔ)密碼認(rèn)證的不足之處。在這種認(rèn)證方式中，雙方使用請(qǐng)求與響應(yīng)（Challenge & Response）技巧來(lái)識(shí)別對(duì)方。,,利用秘密

12、鑰匙的認(rèn)證方式。假定A、B兩方持有同一密鑰K，其認(rèn)證過(guò)程如圖12－1所示：,,其中，R為請(qǐng)求值，X為響應(yīng)值。上述步驟也可修改為先將R加密為X，然后發(fā)給B，再由B解出R‘，回傳給A。,,利用公用鑰匙進(jìn)行認(rèn)證的過(guò)程與秘密鑰匙相似，假設(shè)B的公用、私有鑰匙分別為KB、Kb，認(rèn)證過(guò)程如圖12－2所示， 其中，R為請(qǐng)求值，X為響應(yīng)值。 網(wǎng)絡(luò)發(fā)證機(jī)關(guān)（CA，Certificate Authority）是專門負(fù)責(zé)頒發(fā)公用鑰匙持有證書(shū)的機(jī)構(gòu)。 其與網(wǎng)

13、絡(luò)用戶的關(guān)系如圖12－6所示,,,密鑰產(chǎn)生及管理概述 一個(gè)密鑰在生存期內(nèi)一般要經(jīng)歷以下幾個(gè)階段：密鑰的產(chǎn)生密鑰的分配啟用密鑰/停有密鑰替換密鑰或更新密鑰撤銷密鑰銷毀密鑰,,12.3.2 數(shù)據(jù)完整性驗(yàn)證 消息的發(fā)送者用要發(fā)送的消息和一定的算法生成一個(gè)附件，并將附件與消息一起發(fā)送出去；消息的接收者收到消息和附件后，用同樣的算法與接收到的消息生成一個(gè)新的附件；把新的附件與接收到的附件相比較，如果相同，則說(shuō)明收到的消息是正

14、確的，否則說(shuō)明消息在傳送中出現(xiàn)了錯(cuò)誤,,,（1）使用對(duì)稱密鑰體制產(chǎn)生消息認(rèn)證碼發(fā)送者把消息m分成若干個(gè)分組（m1,m2…..mi），利用分組密密碼算法來(lái)產(chǎn)生MAC，其過(guò)程如圖12－8所示。,,,（2）使用散列函數(shù)來(lái)產(chǎn)生消息認(rèn)證碼散列函數(shù)可以將任意長(zhǎng)度的輸入串轉(zhuǎn)化成固定長(zhǎng)度的輸出串，將定長(zhǎng)的輸出串來(lái)做消息的認(rèn)證碼。 單向散列函數(shù)單向散列函數(shù)（one-way hash function），也叫壓縮函數(shù)、收縮函數(shù)，它是現(xiàn)代密碼學(xué)的中

15、心，是許多協(xié)議的另一個(gè)結(jié)構(gòu)模塊。散列函數(shù)長(zhǎng)期以來(lái)一直在計(jì)算機(jī)科學(xué)中使用，散列函數(shù)是把可變長(zhǎng)度的輸入串（叫做預(yù)映射，pre-image）轉(zhuǎn)換成固定長(zhǎng)度的輸出串（叫做散列值）的一種函數(shù)單向散列函數(shù)是在一個(gè)方向上工作的散列函數(shù)，即從預(yù)映射的值很容易計(jì)算出散列值，但要從一個(gè)特定的散列值得出預(yù)映射的值則非常難。,12.4 數(shù)字簽名和報(bào)文摘要,數(shù)字簽名實(shí)際上是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)或是對(duì)數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換能使數(shù)據(jù)單元的接

16、收者確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù)的完整性，并保護(hù)數(shù)據(jù)，防止被人（如接收者）偽造。,,從圖中可看出，數(shù)字簽名的功能有三：可證明信件的來(lái)源；可判定信件內(nèi)容是否被篡改；發(fā)信者無(wú)法否認(rèn)曾經(jīng)發(fā)過(guò)信,,數(shù)字簽名的實(shí)現(xiàn)方法 （1）使用對(duì)稱加密和仲裁者實(shí)現(xiàn)數(shù)字簽名 （2）使用公開(kāi)密鑰體制進(jìn)行數(shù)字簽名公開(kāi)密鑰體制的發(fā)明，使數(shù)字簽名變得更簡(jiǎn)單，它不再需要第三方去簽名和驗(yàn)證。簽名的實(shí)現(xiàn)過(guò)程如下：A用他的私人密鑰加密消息，從而對(duì)文件簽名；A將簽名的消息發(fā)

17、送給B；B用A的公開(kāi)密鑰解消息，從而驗(yàn)證簽名；,12.5 防火墻技術(shù),防火墻(firewall)是由軟件、硬件構(gòu)成的系統(tǒng)，用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trusted network)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrusted network)。防火墻可用來(lái)解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問(wèn)題。,,防火墻的功

18、能有兩個(gè)：阻止和允許。“阻止”就是阻止某種類型的通信量通過(guò)防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過(guò)來(lái)）。“允許”的功能與“阻止”恰好相反。,,防火墻技術(shù)一般分為兩類 (1) 網(wǎng)絡(luò)級(jí)防火墻——用來(lái)防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來(lái)非法的入侵。屬于這類的有分組過(guò)濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。(2) 應(yīng)用級(jí)防火墻——從應(yīng)用程序來(lái)進(jìn)行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服

19、務(wù)器來(lái)區(qū)分各種應(yīng)用。例如，可以只允許通過(guò)訪問(wèn)萬(wàn)維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過(guò)。,,12.5.1 防火墻原理防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)濾封鎖機(jī)制,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信的,而外部網(wǎng)絡(luò)(通常是Internet)被認(rèn)為是不安全和不可信賴的.防火墻的作用是放逐不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。,,防火墻在網(wǎng)絡(luò)中的位置如圖。,,防火墻一般安放在被保護(hù)網(wǎng)絡(luò)的邊界，這樣必須做到以下幾

20、點(diǎn)，才能使防火墻起到安全防護(hù)的作用：所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的通信必須通過(guò)防火墻。所有通過(guò)防火墻的通信經(jīng)過(guò)安全策略的過(guò)濾或者防火墻的授權(quán)。防火墻本身是不可被入侵的?？傊?，防火墻是在被保護(hù)網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間進(jìn)行訪問(wèn)控制的一個(gè)或者一組訪問(wèn)控制部件。防火墻是一種邏輯隔離部件，而不是物理的隔離，它所遵循的原則是，在保證網(wǎng)絡(luò)暢通的情況下，盡可能的保證內(nèi)部網(wǎng)絡(luò)的安全。,,12.5.2 防火墻的功能訪問(wèn)控制功能內(nèi)容控制功能。全面的日志功

21、能。集中管理功能。,,12.5.3 邊界保護(hù)機(jī)制對(duì)防火墻而言，網(wǎng)絡(luò)可以分為可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)，可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)是相對(duì)的，一般來(lái)講內(nèi)部網(wǎng)絡(luò)是可信網(wǎng)絡(luò)，互聯(lián)網(wǎng)是不可信網(wǎng)絡(luò)，但是在內(nèi)部網(wǎng)絡(luò)中，比如財(cái)務(wù)等一些重要部門網(wǎng)絡(luò)需要特殊保護(hù)，在這里財(cái)務(wù)部等網(wǎng)絡(luò)是可信網(wǎng)絡(luò)，其它的內(nèi)部網(wǎng)絡(luò)就變成了不可信網(wǎng)絡(luò)。,,12.5.4 防火墻的局限性安裝防火墻并不能做到絕對(duì)的安全，它有許多防范不到的地方。防火墻不能防范不經(jīng)由防火墻的攻擊。防火墻不能

22、防治感染了病毒的軟件或文件的傳輸。 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。 反火墻不能防范惡意的內(nèi)部人員。防火墻不能防范不斷更新的攻擊方式。,,12.5.5 防火墻的分類1．包過(guò)濾技術(shù)包過(guò)濾（packet filtering）技術(shù)是防火墻在網(wǎng)絡(luò)層中根據(jù)數(shù)據(jù)包中包頭信息實(shí)施有選擇的允許通過(guò)或阻斷。 2．應(yīng)用網(wǎng)關(guān)技術(shù)應(yīng)用網(wǎng)關(guān)（application gateway）與包過(guò)濾防火墻不同，它不使用通用目標(biāo)機(jī)制來(lái)允許各種不同種類的通信，而是

23、針對(duì)每個(gè)應(yīng)用使用專用目的的處理方法。,,3．狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)（stateful inspection）防火墻現(xiàn)在應(yīng)用十分廣泛。 4． 電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)也被稱之為線路級(jí)網(wǎng)關(guān)，它工作在會(huì)話層。,,5．代理服務(wù)器技術(shù)代理服務(wù)器（proxy server）工作在應(yīng)用層，它用來(lái)提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用，內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其他接點(diǎn)的直接請(qǐng)求。,12.6 入侵檢測(cè)

24、,12.6.1 基本概念入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機(jī)制。入侵檢測(cè)系統(tǒng)（intrusion detection system , IDE）使用入侵檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)與其上的系統(tǒng)進(jìn)行監(jiān)視，并根據(jù)監(jiān)視結(jié)果進(jìn)行不同的安全動(dòng)作，最大限度地降低可能地入侵危害。簡(jiǎn)單地說(shuō)，入侵檢測(cè)系統(tǒng)工作過(guò)程是這樣的：一個(gè)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)或互聯(lián)網(wǎng)連接。,,1

25、2.6.2 基本結(jié)構(gòu)CIDF（common intrusion detection framework）通用入侵檢測(cè)框架給出了一個(gè)入侵檢測(cè)系統(tǒng)通用模型。CIDF將IDS（入侵檢測(cè)技術(shù)）需要分析的數(shù)據(jù)統(tǒng)稱為事件（event），它可以是基于網(wǎng)絡(luò)的IDS從網(wǎng)絡(luò)中提取的數(shù)據(jù)包，也可以是基于主機(jī)的IDS從系統(tǒng)日志等其它途徑得到的數(shù)據(jù)信息。,,CIDF組件之間的交互數(shù)據(jù)使用通用入侵檢測(cè)對(duì)象（generalized intrusion detect

26、ion objects，gido）格式，一個(gè)gido可以表示在一些特定時(shí)刻發(fā)生的一些特定事件，也可以表示從一系列事件中得出的一些結(jié)論，還可以表示執(zhí)行某個(gè)行動(dòng)的指令。它將一個(gè)入侵檢測(cè)系統(tǒng)分為如下組件：,,,12.6.3 入侵檢測(cè)系統(tǒng)分類1．基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護(hù)的主機(jī)上。 2．基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常是作為一個(gè)獨(dú)立的個(gè)體放置于

27、被保護(hù)的網(wǎng)絡(luò)上，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用一個(gè)網(wǎng)絡(luò)適配器來(lái)實(shí)現(xiàn)監(jiān)視和分析所有通過(guò)網(wǎng)絡(luò)進(jìn)行的通信,,3．基于內(nèi)核的入侵檢測(cè)系統(tǒng)基于內(nèi)核的入侵檢測(cè)是一種較新的技術(shù)，它開(kāi)始變得流行起來(lái)，特別是在Linux上。在Linux上目前可用的基于內(nèi)核的入侵檢測(cè)系統(tǒng)有兩種，它們是Open Wall和LIDS（一種基于Linux內(nèi)核的入侵檢測(cè)和預(yù)防系統(tǒng)）。,,4．兩種入侵檢測(cè)系統(tǒng)的結(jié)合運(yùn)用基于網(wǎng)絡(luò)的