第7章 网络安全

第17页
7.4 网络防火墙
◇网络防火墙是一种由软硬件构成的、用于在网
络间实施访问控制的特殊系统
◇引入防火墙的主要目的是为了在不可靠的互连网
络中建立一个可靠的子网
◇防火墙可以提供两个功能：阻止和允许 ◇防火墙类别
第18页
7.4 网络防火墙
防火墙的使用 (防火墙的体系结构) • 路由器过滤方式防火墙 • 双穴网关方式防火墙 • 主机过滤方式防火墙 • 子网过滤方式防火墙
◇信息分析
• 对收集到的信息进行分析 • 常用的方法有模式匹配、统计分析、完整性分析
◇响应处理
• 在信息分析基础上综合安全策略和检测结果对发现的入 侵行为做出响应 • 响应动作包括记录、告警、拦截、阻断和反追踪等
第22页
入侵检测系统的分类
根据数据来源
◇基于主机的入侵检测系统 ◇基于网络的入侵检测系统
第20页
入侵检测系统的作用
① 监测并分析用户和系统的活动。 ② 核查系统配置和漏洞。 ③ 评估系统关键资源和数据文件的完整性。 ④ 识别已知的攻击行为。 ⑤ 统计分析异常行为。 ⑥ 管理操作系统日志，识别违反安全策略 的用户活动。
第21页
入侵检测系统的组成
◇信息收集
• 收集主机、网络的数据及用户活动的状态和行为，并且 需要在不同主机和网络上进行 • 主要有分布式数据收集和集中式数据收集，以及基于主 机的数据收集和基于网络的数据收集
第12页
数字签名技术
◇签名的目的是使报文的接收方能够对公正的第三者证明其报 文内容是真实的，而且是由指定的发送方发出的，而且，发 送方事后不能根据自己的利益来否认报文的内容，接收方也 不能根据自己的利益来伪造报文的内容 ◇通常，数字签名利用数据加密机制来实现
– 利用公开密钥算法实现数字签名如图 – 具有保密性的数字签名
根据采用的分析技术
◇基于异常检测的入侵检测系统 ◇基于误用检测的入侵检测系统
第23页
入侵检测响应机制
① 主动响应：是指在发现异常事件时，主动采取某些手段阻
塞攻击的进程或者改变受攻击的环境配置，如阻断网络的连 接、增加安全日志、杀死可疑进程等，从而达到阻止入侵危 害的发生或尽可能减少入侵危害的目的。响应的手段有对入 侵采取反击、修正系统环境、设置网络陷阱等。 ② 被动响应：是指入侵检测系统仅仅报告和记录所检测到的 异常、可疑活动的信息，依靠用户去采取下一步行动的响应 机制。被动响应的手段有告警和通知、与网络管理工具联动、 存档和报告等。
典型加密算法
– 数据加密标准DES – 设计思想是：
• 硬件实现高效而软件实现效率低 • 分组密码体制 • 将数据分为64比特的数据块 • 进行加密得到等长的密文 • 密钥长度也是64比特 • 加解密钥相同，属于双向变换对称 密码体制
X0 的左半边 (32bit) L0 ＋ f 输入 明文X(64bit) IP X0(64bit) X0 的右半边 (32bit) R0 K1(48bit)
◇数据源的鉴别
– 共享数据加密密钥 – 通信字 – 网络地址
◇数据顺序的鉴别
– 用于保证接收方所接收的报文顺序同发送方发出的顺序 是一致的
第15页
7.3访问控制
◇访问控制是一种保护资源的合法使用者能够正确
访问资源，同时杜绝非授权用户对资源的非法访 问和破坏。 ◇访问控制实质上是对资源使用的限制
◇系统访问控制主要解决用户身份认证的问题 ◇口令验证是目前应用最为广泛的身份鉴别机制
◇ SSL
•位于TCP 与各种应用层协议之间，为数据通信提供安全支持
◇ HTTPS
•在Internet 上利用TLS保证HTTP 连接安全性
第25页
本章要点回顾
• • • • • • 网络安全面临的威胁 数据加密基本原理 访问控制机制的实现 防火墙系统的分类 入侵检测基本原理 网络安全协议
第26页
4个16bit输出数据分组 16bit 相加(模 2 16) 16bit 相乘(模 2 16 ＋1 ) 16bit异或
(b)每次迭代的运算
第10页
7.2 数据加密
RSA公开密钥密码体制 ◇公开密钥密码体制是一种非对称密码体制，其加密密 钥与解密密钥不相同，而且由已知加密密钥推导出解 密密钥在计算上是不可行的 ◇基本原理：根据数论，寻求两个大素数比较简单，而 将它们的乘积分解成两个质因子则是计算不可行的 ◇密钥产生过程
R16=L15 ＋ f (R15 ,K16)
第9页
7.2 数据加密
典型加密算法
– 国际数据加密算法IDEA
• 加密过程为：将明文划分为64比特的数据分组，经过8次迭代和一 次变换，输出64比特的密文
64bit明文 迭代1 迭代2 4个16bit输入数据分组
K1
K2
K3
K4
. . .
K5 K6
迭代7 迭代8 变换 变 换 64bit密文 (a)IDEA采用8次迭代
防火墙
过滤路由器 内部网
防火墙
外部网
内部网
双穴主机
防火墙
外部网
过滤路由器 外部网 内部网 堡垒主机
防火墙 过滤路由器 过滤路由器
内部网
堡垒主机
外部网
第19页
7.5 入侵检测系统
◇入侵检测是指对计算机和网络资源上的恶意使用行 为进行识别和相应处理的过程，它不仅可以检测到 来自外部的入侵行为，同时也可以监控内部用户的 非授权行为，是动态安全防护的核心技术之一。 ◇入侵检测系统（Intrusion Detection System，IDS） 是完成入侵检测功能的独立系统，是一个软、硬件 的组合体，能够检测未授权对象（人或程序）针对 系统的入侵企图或行为，同时监控授权对象对系统 资源的非法操作。
口令的攻击 ：脱机方式和联机方式 对口令的管理包括口令的保存、传送和更换
第16页
7.3访问控制
资源访问控制用来解决用户访问资源的权限管理问题 两种不同类型的资源访问控制 • 自主访问控制 • 强制访问控制 授权控制机制的表示与实现 • 访问控制表 • 容量控制表 • 授权关系 访问控制策略 • 自主访问控制策略 • 强制访问控制策略 • 基于角色的访问控制策略
无论是主动响应还是被动响应，对于完成入侵 检测任务都是必需的，关键是根据用户部署入侵检 测系统的目的和实际网络运行环境来选择适当的响 应手段。
第24页
7.6因特网安全协议
IETF 的各个工作小组从不同角度解决因特网安全 问题，形成一些RFC 和草案 ◇ IPSec
•针对当前IP协议的脆弱性； •设计目标是在IP 层为IPv4 和IPv6 提供可互操作的、高质量的、 基于密码学的安全服务
第7页
7.2 数据加密
加密的基本方法
–替代密码
• 基本思想是改变明文内容的表示形式，但内容元素 之间的排列次序保持不变 • 恺撒密码 、同义替代密码 、密本式或辞典式密 码 、插入式密码 、连锁替代密码
–置换密码
• 基本思想是改变明文内容元素的排列次序，但保持 内容的表现形式不变
第8页
7.2 数据加密
L1 = R0 ＋ f
R1 =L0 ＋ f (R 0,K1 ) K2(48bit)
L 2= R1
R2 =L1＋ f (R1,K2 )
L15= R14 ＋ f
R15 =L14 ＋ f (R14 ,K15) K16 (48bit) L16= R15 R 16 L16 (64bit) IP -1 输出 密文Y(64bit)
第3页
网ห้องสมุดไป่ตู้的脆弱性和面临的安全威胁
网络的脆弱性 –安全的模糊性 –网络的开放性 –产品的垄断性 –技术的公开性 –人类的天性 网络的安全威胁 –无意产生的威胁 –人为恶意攻击 –网络系统漏洞和“后门”
第4页
网络安全体系结构
网络安全服务 –定义了网络各层可以提供的安全功能 –主要包括：数据保密性 、数据完整性 、鉴别 、访 问控制 、无否认 网络安全机制 –用于定义网络安全服务的实现方法 –主要包括：数据加密 、数字签名 、访问控制 、数 据完整性 、鉴别交换 、流量填充 、路由控制 、公 证 网络安全管理 –保证网络系统的可用性 –目标分为：了解网络和用户的行为 、进行安全性评 估 、确保安全管理政策的实施
计算机网络原理
第7章 网络安全
第1页
本章学习目标
• • • • • • 了解网络面临的安全威胁 了解常用的加密算法 理解公开密钥密码体制的加/解密过程 掌握数字签名和数据鉴别的基本原理 了解防火墙和入侵检测技术 了解目前的网络安全协议
第2页
7.1网络安全概述
◇由于计算机网络所具有的开放性、互连性等特征， 致使网络容易受到各种攻击和破坏，无论是在局 域网还是广域网中，都存在着自然的和人为的等 诸多因素形成的潜在安全威胁，计算机网络的安 全问题日趋严重 ◇当资源共享广泛用于政治、军事、经济以及科学 等各个领域，网络的用户来自社会各个阶层与部 门时，大量在网络中存储和传输的数据就需要保 护 ◇针对各种不同的安全威胁，必须全方位地加强计 算机网络安全措施，以确保网络信息的保密性、 完整性和有效性
发送方 密文Y＝EPK(X) 明文X 加密算法E 加密密钥PK 解密密钥SK 密钥对 产生源 解密算法D 明文X 接收方
第11页
7.2 数据加密
基于哈希函数的加密机制 通常，单向哈希函数应具有如下特点： ◇哈希函数能够接受任意大小的数据块作为输入。 ◇哈希函数能够产生一个固定长度的输出。 ◇给定消息M，计算H (M )应当是很容易的，不论硬件 或软件实现都要比加密的代价小。 ◇对于任何给定的代码m，要求找出x 使得H (x)=m 是计 算上不可行的。 ◇对于任何给定的数据块x，要求找出y 使得y≠x 但H (y)=H (x)是计算上不可行的。 ◇找出任何一对(x,y)使得H (x)=H (y)是计算上不可行的。 常用的单向哈希算法有MD5 和SHA1。