网络安全技术概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12.3.1 密码和加密认证
1. 密码认证
密码认证(Password Based)方式普遍存 在于各种操作系统中,例如在登录系统或 使用系统资源前,用户需先出示其用户名 与密码,以通过系统的认证。
2. 加密认证
加密认证(Cryptographic)可弥补密码认 证的不足之处。在这种认证方式中,双方 使用请求与响应(Challenge & Response) 技巧来识别对方。
(3)完整性
完整性是指网络信息的真实可信性,即网络中的信息不 会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏, 保证授权用户得到的信息是真实的。
(4)可靠性
可靠性是指系统在规定的条件下和规定的时间内,完成 规定功能的概率。
(5)不可抵赖
不可抵赖性也称为不可否认性。是指通信的双方在通信过 程中,对于自己所发送或接收的消息不可抵赖。
计算机网络技术 (第二版)
主编 傅建民
中国水利水电出版社
ቤተ መጻሕፍቲ ባይዱ
第12章 网络安全技术
本章任务
网络安全概述 数据加密技术 身份认证和密钥分发 数字签名和报文摘要 防火墙技术 入侵检测
12.1 网络安全概述
网络安全是指保护网络系统中的软件、硬件及信息资源, 使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统 的正常运行、网络服务不中断。 在美国国家信息基础设施(NII)的文献中,给出了安全 的五个属性:可用性、机密性、完整性、可靠性和不可抵 赖性。 (1)可用性 可用性是指得到授权的实体在需要时可以得到所需要的 网络资源和服务。 (2)机密性 机密性是指网络中的信息不被非授权实体(包括用户和 进程等)获取与使用。
12.3 身份认证和密钥分发
认证即“验明正身”,用于确认某人或某物的身份。 在网络上,需要确认身份的对象大致可分为人类用户和物 理设备两类。本节只介绍与人类用户身份认证有关的基本 知识。 传统的认证,凭据一般是名称和一组秘密字符组合。前者 称为标识(ID),后者称为密码(password)。进行认 证时,被认证者需要提供标识(一般为用户名)和密码。 这种认证方式是不可靠的,因为不能确保密码不外泄。 比较可靠的认证方式为加密认证。在这种方式下,被认 证者不需要出示其秘密信息,而是采用迂回、间接的方式 证明自己的身份。
12.1.1 主要的网络安全威胁
所谓的网络安全威胁是指某个实体(人、 事件、程序等)对某一网络资源的机密性、 完整性、可用性及可靠性等可能造成的危 害。
通信过程中的四种攻击方式:
截获:两个实体通过网络进行通信时,如果不采 取任何保密措施,第三者可能偷听到通信内容。
中断:用户在通信中被有意破坏者中断通信。
PDRR模型是美国国防部提出的“信息安全 保护体系”中的重要内容,概括了网络安 全的整个环节。PDRR表示Protection(防 护)、Detection(检测)、Response(响 应)、Recovery(恢复)。
这四个部分构成了一个动态的信息安全周 期。
12.2 数据加密技术
12.2.1 数据加密方法
在传统上有几种方法来加密数据流。所有 这些方法都可以用软件很容易的实现,但 是当只知道密文的时候,是不容易破译这 些加密算法的(当同时有原文和密文时, 破译加密算法虽然也不是很容易,但已经 是可能的了)。最好的加密算法对系统性 能几乎没有影响,并且还可以带来其他内 在的优点。
比较简单的加密算法就是“置换表”算法,这种算法也能 很好达到加密的需要。每一个数据段(总是一个字节)对 应着“置换表”中的一个偏移量,偏移量所对应的值就输 出成为加密后的文件,加密程序和解密程序都需要一个这 样的“置换表”。比如,可以将单词的每一个字母顺延3 个,将单词HELLO变换成KHOOR,接收方再反向解密。
从P2DR模型的示意图我们也可以看出,它 强调安全是一个在安全策略指导下的保护、 检测、响应不断循环的动态过程,系统的 安全在这个动态的过程中不断得到加固。 因此称之为可适应的安全模型。
P2DR模型对安全的描述可以用下面的公式 来表示:
安全=风险分析+执行策略+系统实施+漏洞 监测+实时响应
2.PDRR安全模型
篡改:信息在传递过程中被破坏者修改,导致接 收方收到错误的信息。
伪造:破坏者通过传递某个实体特有的信息,伪 造成这个实体与其它实体进行信息交换,造成真 实实体的损失。
中断
截获
篡改
图12-1 网络攻击分类示意
伪造
其它构成威胁的因素
(1)环境和灾害因素:地震、火灾、磁场 变化造成通信中断或异常;
(2)人为因素:施工造成通信线路中断; (3)系统自身因素:系统升级、更换设备 等。
12.1.2 网络安全策略
安全策略是指在某个安全区域内,所有与安全活 动相关的一套规则。
网络安全策略包括对企业的各种网络服务的安全 层次和用户的权限进行分类,确定管理员的安全 职责,如何实施安全故障处理、网络拓扑结构、 入侵和攻击的防御和检测、备份和灾难恢复等内 容。我们通常所说的安全策略主要指系统安全策 略,主要涉及四个大的方面:物理安全策略、访 问控制策略、信息加密策略、安全管理策略。
12.1.3 网络安全模型
1.P2DR安全模型
P2DR模型是由美国国际互联网安全系统公 司提出的一个可适应网络安全模型 (Adaptive Network Security Model)。
P2DR包括四个主要部分,分别是: Policy——策略,Protection——保护, Detection——检测,Response——响应。
利用秘密钥匙的认证方式。假定A、B两方持有 同一密钥K,其认证过程如图12-2所示:
A
B
生成随机数 R,发送给B
明文:A B C D E F G H I J K L M N O P Q R S T U V W XYZ
暗文:D E F G H I J K L M N O P Q R S T U V W X Y Z ABC
这种加密算法比较简单,加密解密速度都很快,但是一旦 这个“置换表”被对方获得,那这个加密方案就完全被识 破了。更进一步讲,这种加密算法对于黑客破译来讲是相 当直接的,只要找到一个“置换表”就可以了。