网络信息安全课件

第15章网络信息平安网络信息平安是计算机网络的机密性、完整性和可用性的集合，是在分布网络环境中，对信息载体〔处理载体、存储载体、传输载体〕和信息的处理、传输、存储、访问提供平安保护，以防止数据、信息内容或能力被非授权使用、篡改和拒绝效劳。完整的信息平安保障体系应包括保护、检测、响应、恢复等4个方面。本章学习要点：1.网络信息平安根本概念。2.密码学根本原理以及两种密码技术。3.鉴别的根本原理以及公钥根底设施PKI及数字签名。4.访问控制的根本原理。5.网络平安层次模型及各层的平安技术。6.防火墙技术根本概念、主要技术类型以及体系结构。7.VPN根本概念。8.IPSec根本概念。9.入侵检测概念。10.计算机病毒概念。15.1网络信息平安根本概念15.1.1网络信息平安的含义网络信息平安是计算机网络的机密性、完整性和可用性的集合机密性指通过加密数据防止信息泄露完整性指通过验证防止信息篡改可用性指得到授权的实体在需要时可使用网络资源15.1.2网络层面的平安需求维护信息载体的平安运行是网络层面的平安目标。平安威胁包括：物理侵犯系统漏洞网络入侵恶意软件存储损坏平安措施包括：门控系统存储藏份防火墙日志审计防病毒应急响应入侵检测灾难恢复漏洞扫描15.1.3信息层面的平安需求维护信息自身的平安使用是信息层面的平安目标。对信息的平安威胁包括：身份假冒非法访问信息泄露数据受损事后否认平安措施包括：身份认证内容过滤访问控制日志审计数据加密应急响应数据验证灾难恢复数字签名15.2密码学

15.2.1密码学根本原理密码学是以研究数据保密为目的，对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。图15.1密码学模型15.2.2对称密钥密码技术是在密码体制中加密和解密采用同一密钥的技术，又称私钥密码技术。从加密模式上可分为序列密码和分组密码两大类。最常见的对称密钥密码算法有DES和IDEA。DES算法是IBM开发的，并于1977年被美国政府采纳为非机密信息的加密标准。对称密钥密码系统具有加解密速度快、平安强度高等优点。

15.2.3不对称密钥密码技术是在密码体制中加密和解密采用不同的两个相关的密钥技术，又称公钥密码技术。最常用的不对称密钥算法是RSA算法。公钥密码技术的优点是密钥发行与管理方面较私钥密码方便，但处理速度较慢，通常将两者结合使用，到达最正确性能。15.3鉴别15.3.1鉴别的根本原理鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程，一般通过某种复杂的身份认证协议来实现。3种身份认证技术：口令技术身份认证标记密码身份认证协议15.3.2Kerberos鉴别Kerberos鉴别是一种使用对称密钥加密算法来实现通过可信第3方密钥分发中心(KDC)的身份认证系统。提供了网络通信方之间相互的身份认证手段，而且并不依赖于主机操作系统和地址。

3个通信参与方，即需要验证身份的通信双方再加上一个双方都信任的第3方，即密钥分发中心。

Kerberos保持一个它的客户方以及密钥的数据库，这些密钥是KDC与客户方之间共享的，是不能被第3方知道的。

15.3.3公钥根底设施(PKI)在分布式计算系统中提供的使用公钥密码系统和X.509证书平安效劳的根底设施。PKI产品和效劳允许使用者在网络上建立一个平安领域，在该领域中可以签发密钥和证书。PKI支持使用者在建立的平安领域中进行加密密钥和证书的使用和管理，提供密钥管理、证书管理以及平安政策管理等。

CA创立并签发证书目录系统是PKI的重要依靠，目前支持轻量级目录效劳(LDAP)是最根本的要求。15.3.4Hash函数与数字签名1、Hash函数对于任意长度的信息m，经过Hash函数运算后得出一固定长度的数，比方64比特，并满足：(1)Hash函数的输出，要求它的输入是困难的，即C=H(m)，求m是困难的。(2)m计算H(m)是容易的。(3)C1=H(m1)，找m2≠m1，使得H(m1)=H(m2)是困难的。(4)C=H(m),C与m的每一比特相关，并具有高度扩散性。这样Hash函数便可以利用它来作为数字签名。图15.2PKI体系结构利用分组密码构造Hash函数

明文m或密钥k任改变一比特都将引起密文C近一半的比特值发生变化

图15.3链式结构Hash函数2、数字签名数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份签证。假设A要向B送去信息m，A可用A的保密的解密算法DA对m进行加密得DA(m)，再用B的公开算法EB对DA(m)进行加密得C＝EB(DA(m))B收到密文C后先用他自己掌握的解密算DB对C进行解密得DB(C)＝DB(EB(DA(m)))＝DA(m)再用A的公开算法EA对DA(m)进行解密得EA(DA(m))＝m从而得到了明文m。15.4访问控制访问控制是确定来访实体是否具有访问的权力以及实施访问权限的管理的过程和技术。访问控制一般都是基于平安策略和平安模型的常用的有：访问控制表按照行来存储矩阵，在对象效劳器上存储着每个对象的授权访问者及其权限的一张表访问权力表按照列来处理矩阵，每个访问者存储有访问权力表，该表包含了他能够访问的特定对象和操作权限15.5网络平安层次模型图15.4网络平安层次图15.5.1链路层平安节点间专门的平安通信设施15.5.2网络层平安主机对主机的IP网络的平安措施15.5.3传输层平安进程对进程的传输层平安机制，最常用的有SSL、SOCKS和平安RPC等。SSL协议两个层次SSL记录层协议SSL协商协议图15.5SSL结构图高层协议SSL协商层SSL记录层传输层低层协议图15.6SSL协议会话过程示意图15.5.4应用层平安根据所传送内容不同的平安要求的应用平安机制。常用的协议有：PEM为基于SMTP的电子邮件系统提供平安效劳。PGP采用了分布式的信任模型，即由每个用户自己决定该信任哪些用户。S-HTTPWeb上使用的超文本传输协议〔HTTP〕的平安增强版本，提供了文件级的平安机制。SET平安交易技术〔STT〕协议，规定了信用卡持卡人用其信用卡通过Internet进行付费的方法。图15.7中间件层次结构通用平安效劳API(GSS-API)支持各种不同的加密算法、认证协议及其他平安效劳，对用户完全透明。应用程序应用层协议GSS-API中间件层次TCPUDP其他传输层协议15.6防火墙15.6.1防火墙概念1、什么是防火墙防火墙是建立在内外网络边界上的过滤封锁机制内部网络被认为是平安和可信赖的，而外部网络〔通常是Internet〕被认为是不平安和不可信赖的防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的平安政策图15.8防火墙在网络中的位置2、防火墙的功能访问控制功能内容控制功能全面的日志功能集中管理功能自身的平安和可用性流量控制网络地址转换虚拟专用网3.防火墙的局限性防火墙不能防范不经由防火墙的攻击防火墙不能防止感染了病毒的软件或文件的传输防火墙不能防止数据驱动式攻击防火墙不能防范恶意的内部人员防火墙不能防范不断更新的攻击方式

15.6.2防火墙技术1、包过滤技术：根据数据包中包头信息实施有选择地允许通过或阻断。2、应用网关技术：针对每个应用使用专用目的的处理方法。3、状态检测防火墙：是一种相当于4.5层的过滤技术。4、电路级网关：在两个主机首次建立TCP连接时创立一个电子屏障。5、代理效劳器技术：提供给用层效劳的控制，起到内部网络向外部网络申请效劳时中间转接作用。15.6.3防火墙的体系结构1、双重宿主主机体系结构2、被屏蔽主机体系结构3、被屏蔽子网体系结构15.7VPN1、VPN概念VPN是VirtualPrivateNetwork的简称是将物理分布在不同地点的网络通过公用骨干网，尤其是Internet联接而成逻辑上的虚拟子网为了保障信息的平安，VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄露、篡改和复制VPN类型•AccessVPN•IntranetVPN•ExtranetVPN图15.9AccessVPN图15.10IntranetVPN图15.11ExtranetVPN15.7.2VPN技术•密码技术•身份认证技术•隧道技术•密钥管理技术15.8IPSEC

15.8.1IPSec概念是一种由IETF设计的端到端确实保IP层通信平安的机制IPSec协议可以为IP网络通信提供透明的平安效劳15.8.2IPSec功能作为一个隧道协议实现了VPN通信保证数据来源可靠保证数据完整性保证数据机密性15.8.3IPSec体系结构IPSec包含了三个最重要的协议AH：为IP数据包提供三种效劳无连接的数据完整性验证数据源身份认证防重放攻击ESP：提供另外两种效劳数据包加密数据流加密IKE：协议负责密钥管理。图15.12IPSec体系结构15.8.4IPSec运行模式两种运行模式：传输模式：保护的内容是IP分组的载荷。隧道模式：保护的内容是整个原始IP分组。15.9入侵检测

15.9.1入侵检测概念入侵检测是从计算机网络或计算机系统中的假设干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反平安策略的行为和遭到袭击的迹象的一种机制。15.9.2.

入侵检测系统根本结构CIDF模型的根本组成：•事件产生器•事件分析器•响应单元•事件数据库图15.13CIDF模型15.9.3入侵检测系统分类•基于主机的入侵检测系统•基于网络的入侵检测系统•基于内核的入侵检测系统•分布式入侵检测系统15.10计算机病毒

15.10.1.

计算机病毒概念计算机病毒是一种靠修改其它程序来插入或进行自身拷贝，从而感染其它程序的一段程序。计算机病毒特征传染性隐蔽性潜伏性多态性破坏性15.10.2计算机病毒结构•潜伏机制：潜伏机制的功能包括初始化、隐藏和捕捉。

•传染机制：传染机制的功能包括判断和感染。

•表现机制：表现机制的功能包括判断和表现。

15.10.3

计算机病毒防治措施•预防技术•免疫技术•检测技术•消除技术15.11本章小结

网络信息平安是计算机网络的机密性、完整性和可用性的集合，是在分布网络环境中，对信息载体〔处理载体、存储载体、传输载体〕和信息的处理、传输、存储、访问提供平安保护，以防止数据、信息内容或能力被非授权使用、篡改和拒绝效劳。完整的信息平安保障体系应包括保护、检测、响应、恢复等4个方面。密码学是以研究数据保密为目的，对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。在传统密码体制中加密和解密采用的是同一密钥，称为对称密钥密码系统。现代密码体制中加密和解密采用不同的密钥，称为非对称密钥密码系统。鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程，一般通过某种复杂的身份认证协议来实现。Kerberos鉴别是一种使用对称密钥加密算法来实现通过可信第3方密钥分发中心(KDC)的身份认证系统。公钥根底设施(PKI)是在分布式计算系统中提供的使用公钥密码系统和X.509证书平安效劳的根底设施。数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份签证。访问控制是指确定可给予哪些主体访问的权力，确定以及实施访问权限的过程。目前很多计算机系统的平安都是采用ACL访问控制模型。ACL模型提供平安保密和完整性平安策略的根底。从平安角度来看各层能提供一定的平安手段，针对不同层次