23：第8章 网络安全问题

1、第8章 网络平安问题 课件23.主要内容网络平安框架与机制 IPv4网络的平安问题 因特网效力的平安问题 网络平安的加强技术 网络多级平安技术 IPv6网络的平安机制 网络平安根底设备PKI/PMI .主要内容网络平安框架与机制 IPv4网络的平安问题 因特网效力的平安问题 网络平安的加强技术 网络多级平安技术 IPv6网络的平安机制 网络平安根底设备PKI/PMI .信息平安与信息对抗信息平安那么是指防止任何对数据进展未授权访问的措施，或者防止呵斥信息有意无意泄露、破坏、丧失等问题的发生，让数据处于远离危险、免于要挟的形状或特性。而网络平安那么是指计算机网络环境下的信息平安。 “信息对抗也是

2、一个概念广泛的术语，其主要含义是指争斗的双方利用各种手段获取信息的控制权，进而使己方在争斗过程中处于自动位置。.信息的平安需求内容严密性完好性可用性 .信息平安概念与技术的开展单机系统的信息严密阶段 网络信息平安阶段 信息保证阶段 .网络平安框架(平安效力)对等实体鉴别效力 访问控制效力 数据严密效力 数据完好性效力 数据源点鉴别 不可否认效力 .1234567对等实体鉴别YYY访问控制YYYY连接保密YYYYY无连接保密YYYY选择字段保密Y报文流安全YYY可恢复的连接完整性Y无恢复的连接完整性YYY选择字段连接完整性Y无连接完整性YYY选择字段无连接完整性Y数据源点鉴别YYY不可否认来源Y

3、不可否认交付Y网络平安框架层次服务.网络平安机制加密机制 数据签名机制 访问控制机制 数据完好性机制 鉴别交换机制 业务流量填充机制 路由控制机制 公证机制 .网络平安机制机制服务数据加密数据签名访问控制数据完整性交换鉴别业务流填充路由控制公证机构对等实体鉴别YYYY访问控制Y连接的保密性YY选择字段的保密性Y业务流安全YYY数据的完整性YYY数据源鉴别YY禁止否认YYY.主要内容网络平安框架与机制 IPv4网络的平安问题 因特网效力的平安问题 网络平安的加强技术 网络多级平安技术 IPv6网络的平安机制 .网络攻击网络攻击是指网络攻击者利用目前网络通讯协议如TCP/IP协议本身存在的或因配置

4、不当而产生的平安破绽、用户运用的操作系统内在缺陷或者用户运用的程序文语本身所具有的平安隐患等，经过运用网络命令，或者从Internet上下载的公用软件例如，SATAN等网络扫描软件，或者攻击者本人编写的软件，非法进入本地或者远程用户主机系统，非法获得、修正、删除用户系统的信息以及在用户系统上添加渣滓、色情或有害信息如特洛伊木马等一系列过程的总称。.破绽概念破绽(Hole)就是就是系统硬件或者软件存在某种方式的平安方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。大多数的破绽表达在软件系统中，如操作系统软件、网络效力软件、各类运用软件和数据库系统及其运用系统

5、。系统的平安机制本身就有缺陷，或系统管理员对系统的平安配置有缺陷，或在一个平安系统中新添加的功能都能够导致系统破绽的出现。.网络攻击.常见网络攻击技术探测类攻击破绽类攻击控制类攻击欺骗类攻击阻塞类攻击病毒类攻击.探测类攻击探测类攻击主要是搜集目的系统的各种与网络平安有关的信息，为下一步入侵提供协助。 典型的有：破绽信息、效力信息、操作系统信息、网络拓扑信息等。.破绽类攻击破绽类攻击利用的是系统、协议或运用软件本身存在的平安缺陷进展的攻击，往往是许多其他类型攻击的根底 。 常见破绽攻击：缓冲区溢出破绽、UNICODE破绽、ASP破绽、CGI破绽、IPC$破绽、输入法破绽.控制类攻击控制类攻击是一

6、类试图获得目的系统控制权的攻击。典型的控制类攻击： 口令攻击 特洛伊木马攻击.欺骗类攻击欺骗类攻击经过冒充合法网络主机骗取敏感信息，或者经过配置、设置一些假信息来实施欺骗攻击 。常见方式： Web欺骗， IP欺骗.阻塞类攻击阻塞类攻击企图经过强行占有信道资源、网络衔接资源、存储空间资源，使效力器解体或资源耗尽无法继续对外提供效力。常见的方法 Smurf攻击、分布式回绝效力攻击.病毒类攻击计算机病毒就是一段恶意的计算机程序。网络病毒 可以在网络上自动传播的计算机病毒常见网络病毒举例红色代码、震荡波.IPv4的平安问题TCP/IP本身不提供加密传输功能 TCP/IP本身不支持信息流填充机制 TCP

7、/IP本身不提供对等实体鉴别功能 TCP/IP协议体系本身存在缺陷，容易遭遭到攻击由TCP/IP支持的Internet中的各个子网是平等的，难以实现分级平安的网络构造如树状构造，无法实现有效的平安管理。 许多厂商提供的TCP/IP运用层协议适用软件中存在严重的平安破绽，经常被黑客用作网络攻击的工具。 .主要内容网络平安框架与机制 IPv4网络的平安问题 因特网效力的平安问题 网络平安的加强技术 网络多级平安技术 IPv6网络的平安机制 网络平安根底设备PKI/PMI .Web效力的平安问题平安破绽Web欺骗 平安决策问题，暗示 Web欺骗防护.FTP效力的平安问题匿名登录 FTP代理效力器 跳

8、板(Bounce)攻击问题 .Telnet的平安问题传输明文 没有强力认证过程 没有完好性检查 传送的数据都没有加密 .电子邮件的平安问题软件问题outlook, foxmail缓存破绽 历史记录破绽 攻击性代码破绽 .主要内容网络平安框架与机制 IPv4网络的平安问题 因特网效力的平安问题 网络平安的加强技术 网络多级平安技术 IPv6网络的平安机制 网络平安根底设备PKI/PMI .Keberos系统Kerberos系统运用56位DES加密算法加密网络衔接，并且提供用户身份的认证。Kerberos环境依赖于Kerberos认证效力器的存在，它执行密钥管理和控制的功能。Kerberos认证效

9、力器维护一个保管一切客户密钥的数据库。每当两个用户要进展平安通讯及认证恳求时，Kerberos认证效力器就产生会话密钥。.Kerberos的主要功能认证 授权 记账与审计 . Keberos认证协议. Kerberos会话密钥交换过程.Kerberos的缺乏 (1) 它添加了网络环境管理的复杂性，系统管理必需维护Kerberos认证效力器以支持网络。假设Kerberos认证效力器停顿访问或不可访问，用户就不能运用网络(2) 假设Kerberos认证效力器遭到入侵，整个网络的平安性就被破坏(3) 对Kerberos配置文件的维护是比较复杂而且很耗时(4) 一些Kerberos实现对多用户系统是不

10、平安的(5) Kerberos无法防止回绝效力的攻击(6) Kerberos无法防止口令破解程序的攻击.SSL平安协议SSL(Security Socket Layer)是NetsCape公司于1996年推出的平安协议，它为网络运用层的通讯提供了认证、数据严密和数据完好性的效力，较好地处理了Internet上数据平安传输的问题。 SSL的主要目的是为网络环境中两个通讯运用进程Client与Server之间提供一个平安通道。 .SSL平安协议该协议共分上、下两层。下层是SSL记录协议SSL Record Protocol，它的作用是对上层传来的数据加密后传输。SSL记录协议可以建立在任何可靠的传

11、输协议之上如TCP。上层是SSL握手协议SSL Handshake Protocol，它的主要作用是 ：Client和Server之间相互验证身份 ；Client和Server之间协商平安参数 。. SSL与TCP/IP的关系. SSL会话形状变量Session ID由Server选择的代表一次会话的标识Peer Certificate通信对方的证书Compression Method当前使用的压缩算法Cipher Spec当前使用的数据加密算法、hash算法以及算法参数Master SecretClient与Server之间共享的秘密信息is Resumable本次会话是否允许复用的标志.

12、SSL衔接形状变量Server and Client RandomClient与Server各自为每次连接选择的随机数Server Write MAC SecretServer的写MAC密钥Client Write MAC SecretClient的写MAC密钥Server Write KeyServer的数据加密密钥Client的数据解密密钥Client Write KeyClient的数据加密密Server的数据解密密钥Initialization Vector数据加解密的初始化向量(CBC模式)Sequence NumbersClient与Server各自分别维护两个序列号， 一个输入一

13、个输出. SSL握手协议.SSL记录协议SSL 记录协议(SSL Record Protocol)的作用是运用当前的形状对上层传来的数据进展维护。.SSL记录协议SSL记录协议对上层传来的数据进展以下三步的处置 ：(1) 由于运用协议运用的PDU和SSL记录协议运用的PDU长度能够不一样，所以第一步要对运用数据进展分割或重组。(2) 运用当前会话形状中的CompressionMethods对第一步的结果进展紧缩(3) 运用当前会话形状的CipherSpec包括数据加密算法和MAC算法对第二步的结果进展加密和hash运算，算法运用的密钥在当前形状的衔接形状变量中。 .IPSecIP本身不提供平安

14、维护，所以网络入侵者就可以经过数据包嗅探sniffer、IP电子欺骗spoofing、会话截获session hijacking和重放攻击replay等方法来攻击。针对这些问题，IPSec可以有效地维护IP数据包的性数据没有被他人看过和完好性包括数据的真实性及数据未被修正以及一定程度的抗重放才干。 .IPSecIPSec即IP Seccnity，它的目的是为确保IP数据报的平安性。如今，有两个平安机制存于IPSec中，第一个平安机制是认证头AHAuthentication Head，它们提供IP数据报的完好性和认证功能，但不能确保数据的严密性Confidentiality。第二个平安机制是封装

15、平安净荷ESP(Encapsulating Security Payload)。它可以确保IP数据报的严密性，也可以提供完好性和认证功能视加密算法和运用方式而定。在IPSec中，这二个机制可以单独运用，也可一同运用。. IPSec认证头AH格式. IPSec中ESP的格式Security AssociationIdentifier (SPI)Opaque Transform Data(可变长度). 受IPSec维护的数据包.主要内容网络平安框架与机制 IPv4网络的平安问题 因特网效力的平安问题 网络平安的加强技术 网络多级平安技术 IPv6网络的平安机制 网络平安根底设备PKI/PMI .网

16、络多级平安技术 和操作系一致样，网络系统也存在多级平安问题。网络中除了需求操作系统中的强迫访问控制、标志和可信等原理外，还有网络本人的多级平安特性。在网络环境中下，各用户访问要求和所访问目的的敏感程度多有不同，因此，网络应该提供不同平安等级的效力。在多级平安网络中，通常采用军用平安模型，网络中的数据按敏感程度分类并按照主题标志。.网络多级平安技术 可信网络基平安通讯效力器 多级平安信道 . 有TNB支持的多级平安网络. 由通讯效力器支持的多级平安网络. 多级平安信道的分隔表示图. 信道分隔方式的多级平安网络.主要内容网络平安框架与机制 IPv4网络的平安问题 因特网效力的平安问题 网络平安的加

17、强技术 网络多级平安技术 IPv6网络的平安机制 网络平安根底设备PKI/PMI .IPv6新一代网络的平安机制IPv6除了对IP地址作了改动之外，也完全改动了IPv4的数据包格式。IPv6数据包有一个固定大小的根本首部Base Header，其后可以允许有零个或多个扩展首部Extension Header，再后是数据。 IPsec包含两个平安措施：AH(Authentication Head)和ESP(Encapsulating Security Payload)。 . 认证过的TCP数据包举例IPv6报头AHTCP报文段IPv6报头路由报头AHTCP报文段IPv6报头AH端到端选项TCP报文段. 认证报头格式下一个报头有效净荷长度保留SPI序列号字段认证数据（长度可变）. ESP的通用格式32位SPI32位序列号加密数据和参数认证数据.密钥的分发因特网平安协会和密钥管理协议ISAKMP为密钥交换协议的实现提供了一个非常通用的框架。一