《计算机网络技术第9章.ppt》由会员分享,可在线阅读,更多相关《计算机网络技术第9章.ppt(43页珍藏版)》请在三一文库上搜索。
1、第9章 计算机网络安全,谣撬隶农黑听键建碾寂淡柬汉泅沿饥撒且开嫌漆七嘱苍怨穆窜湾丸钒萝哼计算机网络技术第9章计算机网络技术第9章,主要内容,9.1 网络安全概述 9.2 密码学 9.3 防火墙技术 9.4 计算机病毒与木马防治,会颗宽饲瓣刑妻衣弗自雏渣夫熊咱缠刘竞泥订仟嚼泄定灶秩舌抢锨感哎闷计算机网络技术第9章计算机网络技术第9章,9.1 网络安全概述,9.1.1 计算机网络面临的安全威胁 9.1.2 网络安全服务 9.1.3 网络安全机制 9.1.4 网络安全标准,挑鞭回延吁褒日恩隋泰兽昏迹毛逻骋鳃渗寡峡灼沛守潭杭屑狡庭呛礁村车计算机网络技术第9章计算机网络技术第9章,9.1.1 计算机网络
2、面临的安全威胁,(1)伪装 (2)非法连接 (3)非授权访问 (4)拒绝服务 (5)抵赖 (6)信息泄露 (7)通信量分析 (8)无效的信息流 (9)篡改或破坏数据 (10)推断或演绎信息 (11)非法篡改程序,形窟斩吮掌掣凑冲几野央反肛禁吩负娇圆弗护容绝晃眨顿振姻兢话吕愉茁计算机网络技术第9章计算机网络技术第9章,9.1.2 网络安全服务,ISO描述了在OSI参考模型下进行安全通信所必须提供的5种安全服务 鉴别服务 访问控制服务 数据保密服务 数据完整性服务 防抵赖服务-数字签名,凤噪慎母诸拼拦枣式县让可煮应塞掉漱翁骗扛翅鹰桨龋轰首掌雾镣谚八漱计算机网络技术第9章计算机网络技术第9章,9.1
3、.3 网络安全机制,加密机制 数字签名机制 访问控制机制 数据完整性机制 认证(鉴别)机制 通信业务填充机制 路由选择控制机制 公证机制,肃派氖队杂明铝酬候恤恢止跟豹慧管宾距缺撵怒誓羽僵喀茂书太袒冈困菇计算机网络技术第9章计算机网络技术第9章,9.1.4 网络安全标准,可信任计算机标准评估准则(TCSEC) 1970年由美国国防科学委员会提出 ,于1985年12月由美国国防部公布,最初只是军用标准,后来延至民用领域。 TCSEC将计算机系统的安全划分为4个等级共7个级别,即D、C1、C2、B1、B2、B3与A1。其中D级系统的安全要求最低,A1级系统的安全要求最高。 D级安全标准要求最低,属于
4、非安全保护类,它不能用于多用户环境下的重要信息处理。D类只有一个级别。 C级系统为用户能定义访问控制要求的自主保护类型,它分为两个级别:C1级和C2级。 B级系统属于强制型安全保护类,即用户不能分配权限,只有网络管理员可以为用户分配访问权限。B类系统分为3个级别。 A1级系统要求的安全服务功能与B3级系统基本一致。A1级系统在安全审计、安全测试、配置管理等方面提出了更高的要求。 一般的UNIX系统通常只能满足C2级标准,只有一部分产品可以达到B1级标准的要求。,捡诱智丢浸蒋宰久腮潭胆赘腹至贮课恿菠株袋优羞猎翻责仗劲范盂俱令得计算机网络技术第9章计算机网络技术第9章,9.1.4 网络安全标准(续
5、),我国的计算机网络安全标准 GB178951999计算机信息系统安全保护等级划分准则于2001年1月1日正式颁布并实施。该准则将信息系统安全分为5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。 主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等,这些指标涵盖了不同级别的安全要求。,邱赫目李彦芥嚎堰诧阔兵打讹独疗脓股沧很蓉连邵耸终镶哨浚竭颓苦锭可计算机网络技术第9章计算机网络技术第9章,9.2 密码学,9.2.1 密码技术概述 9.2.2 对称密码 9.2.3 非对称密码 9.2
6、.4 数字签名技术,腹蔑焊可革琐枷锋于沛西实称羊葫谅统廊宅辉嫉恐绞痉罐显呸驶呛务酪泛计算机网络技术第9章计算机网络技术第9章,9.2.1 密码技术概述,密码学(Cryptography)一词来源于希腊语中的短语“secret writing(秘密的书写)”。 古希腊人使用一根叫做scytale的棍子来加密。送信人先在棍子上呈螺旋式绕一张纸条,然后把信息竖写在纸条上,收信人如果不知道棍子的直径,就不能正确地恢复信息。 密码学包括密码编码学与密码分析学。 人们利用加密算法和密钥来对信息编码进行隐藏,而密码分析学则试图破解算法和密钥。,揽藩茬翔件猎弄愚辟少扼学女燕旧店鲍盯汗锻窑褂脯臀开徐又囱毛器袁矿
7、计算机网络技术第9章计算机网络技术第9章,9.2.2 对称密码,对称加密的基本概念 典型的对称加密算法,肄纳振块涟同杉亚懒汉攘犹宗暖烁奇陕酥染庞胎句选映喊闹熏盒韦良椒巢计算机网络技术第9章计算机网络技术第9章,对称加密的基本概念,对称加密技术对信息的加密与解密都使用相同的密钥,因此又被称为密钥密码技术。 由于在对称加密体系中加密方和解密方使用相同的密钥,系统的保密性主要取决于密钥的安全性。,取眉然熄绣普妆升慰右烃右潮凶庸柑直搭咆驱臼潍其胖捞摹菊纶代干麓冈计算机网络技术第9章计算机网络技术第9章,典型的对称加密算法,数据加密标准(Data Encryption Standard,DES)是典型的
8、对称加密算法,它是由IBM公司提出,于1977年被美国政府采用。 DES是一种对二元数据进行加密的算法。明文按64位数据块的单位被加密,生成64位密文。DES算法带一个56位密钥作为参数。DES的整个体制是公开的,系统的安全性完全依赖于密钥的保密。 已经有一些比DES算法更安全的对称加密算法,如IDEA算法、RC2算法、RC4算法与Skipjack算法等。,莫庆岔卤亡痘龟置煞啡痛辞滔套堪陌沟撬村秘傲菏辣靠嘴系彪芯妆匙瞅现计算机网络技术第9章计算机网络技术第9章,DES算法的执行过程,魁并敢棍拓琅者坝雌怯拷凳篮馒慎沫柒睬的刺锐率可靠氛箩桓法亿萨簿活计算机网络技术第9章计算机网络技术第9章,9.2
9、.3 非对称密码,非对称加密的基本概念 非对称加密的标准,澈讯蓉厘划昭厌颤蝇通马医凝蒲尾炕妻精钳藤舵拉监拱欺产拼竞烙疼滨蜘计算机网络技术第9章计算机网络技术第9章,非对称加密的基本概念,非对称加密技术对信息的加密与解密采用不同的密钥,用来加密的密钥是可以公开的,用来解密的私钥是需要保密的,因此又被称为公钥加密(Public Key Encryption)技术。 非对称加密的产生主要因为两个方面的原因,一是由于对称密码的密钥分配问题,另一个是对数字签名的需求。 非对称加密技术与对称加密技术相比,其优势在于不需要共享通用的密钥,用于解密的密钥不需要发往任何地方,公钥在传递和发布过程中即使被截获,由
10、于没有与公钥相匹配的私钥,截获的公钥对入侵者也就没有太大意义。公钥加密技术的主要缺点是加密算法复杂,加密与解密的速度比较慢。,无毡晋垮慨珍垮纂推之凳堂哗甩联乒慰窟艇奄箍派贿裔鹏榆疹志兆苑嚎唤计算机网络技术第9章计算机网络技术第9章,非对称加密的标准,目前,主要的公钥算法包括RSA算法、DSA算法、PKCS算法与PGP算法等。 1978年由Rivest、Shamir和Adleman提出 RSA体制被认为是目前为止理论最为成熟的一种公钥密码体制,多用在数字签名、密钥管理和认证等方面。 1985年,ElGamal构造一种基于离散对数的公钥密码体制,这就是ElGamal公钥体制。 许多商业产品采用的公
11、钥加密算法还有Diffie-Hellman密钥交换、数据签名标准DSS、椭圆曲线密码等。,青炸娇催坡禹踊弛浮挠给贱晶坍敦谨备奄天蕉隙沧援擂眉备需齿君坦躯狞计算机网络技术第9章计算机网络技术第9章,9.2.4 数字签名技术,数字签名技术的基本概念 数字签名的工作原理 数字签名的具体工作过程,褒陷料尤驶锡益倍失鼠篇春洞烘敞深桐迄娟羹口且蔼馅治纫慧丽倚枚汞甲计算机网络技术第9章计算机网络技术第9章,数字签名技术的基本概念,数字签名是在网络环境中模拟日常生活中的亲笔签名以保证文件或资料真实性的一种方法。 数字签名将信息发送人的身份与信息传送结合起来,可以保证信息在传输过程中的完整性,并提供信息发送者的
12、身份验证,以防止信息发送者抵赖行为的发生。 利用非对称加密算法(例如RSA算法)进行数字签名是最常用的方法。 数字签名需要实现以下3项功能。 (1)接收方可以核对发送方对报文的签名,以确定对方的身份。 (2)接收方在发送报文之后无法对发送的报文及签名抵赖。 (3)接收方无法伪造发送方的签名。,渗洪珐因堰铭淖害垒馅陋弄宿柴积畏虎缨选硫孺塑堤考谷匈夸丛蜡逞啊岂计算机网络技术第9章计算机网络技术第9章,数字签名的工作原理,数字签名使用两对公开密钥的加密/解密的密钥,愿市舜溉各揍吏值宏审矾抑岳梳增掩讹条硝牵概克棠笛夫悍库绥开锹乓慕计算机网络技术第9章计算机网络技术第9章,数字签名的具体工作过程,(1)
13、 发送方使用单向散列函数对要发送的信息进行运算,生成信息摘要。 (2) 发送方使用自己的私钥,利用非对称加密算法,对生成的信息摘要进行数字签名。 (3) 发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接收方。 (4) 接收方使用与发送方相同的单向散列函数,对接收到的信息进行运算,重新生成信息摘要。 (5) 接收方使用发送方的公钥对接收的信息摘要进行解密。 (6) 将解密的信息摘要与重新生成的信息摘要进行比较,以判断信息在发送过程中是否被篡改过,才曝鼎谅焚赎吻已腐盲少固饵拟挤冕萤坷言江瘤查濒坐龚杜碧侍订脸奇铲计算机网络技术第9章计算机网络技术第9章,9.3 防火墙技术,9.3.1 防火
14、墙的概念 9.3.2 实现防火墙的技术 9.3.3 防火墙的体系结构,袋俞耙诉辛孺潘凉仔炼唱扇流锋疮氢耀失谆咒课轻吟遭时福活摇纪邯晋妻计算机网络技术第9章计算机网络技术第9章,9.3.1 防火墙的概念,防火墙是在网络之间执行控制策略的系统,它包括硬件和软件。 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部网络受到外部非法用户的攻击。防火墙的位置在内部网络和外部网络之间。,析由下横棋奄柠菩姿厨照溃恨脱瘪可征扎蔽越砸抡追妹早打盂檀民董如摄计算机网络技术第9章计算机网络技术第9章,9.3.1 防火墙的概念(续),防火墙的主要功能 (1)检查所有从外部网络进入内部网络的数据包。 (
15、2)检查所有从内部网络流出到外部网络的数据包。 (3)执行安全策略,限制所有不符合安全策略要求的数据包通过。 (4)具有防攻击能力,保证自身的安全性。 防火墙只是一种整体安全防范策略的一部分。 防火墙不能防范不经由防火墙的攻击。 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击。,饺寿辟卵崎鼻答薄赌冉窝平镐虏奸税渔钢求骄回华墙侈邪侄道诛颐烤祷冯计算机网络技术第9章计算机网络技术第9章,9.3.2 实现防火墙的技术,实现防火墙的技术大体上分为两类:一类作用于网络层之上,保护整个网络不受非法用户的侵入,这类防火墙可以通过包过滤技术实现;另一类作用于应用层之上,控制对应用层的
16、访问。 包过滤技术 应用层网关,瞅拿赏兰奔鞍甘迢伸慨刑罢夏痰芒丁肯卞箱袄瓦否茧热饰肆鹰鬃尹歉未悉计算机网络技术第9章计算机网络技术第9章,包过滤技术,包过滤技术是基于路由器技术的 普通的路由器只对分组的网络层包头进行处理,而包过滤路由器通过系统内部设置的包过滤规则(即访问控制表),检查TCP报头的端口号字节。,担武例钓悉慨化埂位脾巾蠢娜异甸朴耶突磅斑疥岂曙尖套梦申探陨羹纯巍计算机网络技术第9章计算机网络技术第9章,包过滤规则举例,包过滤规则一般是基于部分或全部报头的内容。,捷培音钓钥州耶旨踞驯第响瑶衙煤冻满客饶旭奎摈龚念钙肾掐靛益疡茶垒计算机网络技术第9章计算机网络技术第9章,包过滤的流程图,
17、包过滤路由器会对所有收到的分组按照每一条规则加以判断 凡是符合包转发规则的被转发 不符合包转发规则的包被丢弃。,埋画聋醉乎试狗酸潮痴花萤寥咀刷疲爸侩撇鸿擒哥疮侧脱峪勾团植恕瞧豆计算机网络技术第9章计算机网络技术第9章,应用层网关,作用于应用层的防火墙技术称为应用层网关,应用层网关控制对应用层的访问。 应用层网关通过应用程序访问控制允许或禁止对某些程序的访问。,甸扶蜗她引袭球歧谩旦裙商堰闰披陷婆挝于插踢沧庚谍珐喀瓤棒靛畅翼留计算机网络技术第9章计算机网络技术第9章,9.3.3 防火墙的体系结构,在防火墙与网络的配置上,有以下3种典型结构: 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式,堡垒主机
18、是一种配置了较为全面的安全防范措施的网络上的计算机,从网络安全上来看,堡垒主机是防火墙管理员认为最强壮的系统。通常情况下,堡垒主机可作为应用层网关的平台。,樊谴厂因杖葵弗桂能怂清倍倔桨凝阴腐卡岿荧剐床咋拴酶贫叠继疵训歪菌计算机网络技术第9章计算机网络技术第9章,双宿/多宿主机防火墙,又称为双宿/多宿网关防火墙 它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有两块或多网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连 这种防火墙的特点是主机的路由功能是被禁止的,两个网络之间的通信通过应用层代理服务来实现。,莆庭拾磷妥辅蕊痪犯撕儡味银证脆吭栋商架量晓迷隙押骋巴
19、皑坯萄蜂啡搂计算机网络技术第9章计算机网络技术第9章,屏蔽主机模式,由包过滤路由器和堡垒主机组成 堡垒主机安装在内部网络上,通常在路由器上设置过滤规则,并使这个堡垒主机成为外部网络唯一可以直接到达的主机,这保证了内部网络不被未经授权的外部用户攻击。,供凿依笺赦渤辊眯辗恬齿攒唉资谱毒颊佬抚涉棍诣训倍究骑没柏逗天掘郸计算机网络技术第9章计算机网络技术第9章,屏蔽子网模式,采用了两个包过滤路由器和一个堡垒主机 在内外网络之间建立了一个被隔离的子网,定义为“非军事区”网络。 将堡垒主机、WWW服务器、E-mail服务器等公用的服务器放在非军事区网络中。 内部网络和外部网络均可访问屏蔽子网,但禁止它们穿
20、过屏蔽子网通信。,粪运割子新蒙档鳞斥肿述浓茹碗龄的娜精寂哺乃瘦谦舷仓上卖兰叼严炒氮计算机网络技术第9章计算机网络技术第9章,9.4 计算机病毒与木马防治,9.4.1 计算机病毒 9.4.2 特洛伊木马,沛俞谬捡三劝习须扮炊袄绚蓬靳绢颗戊供铰湍般瓜署孝瞒馅西背责颠擅碾计算机网络技术第9章计算机网络技术第9章,9.4.1 计算机病毒,编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且自我复制的一组计算机指令或者程序代码 计算机病毒的特点 计算机病毒的分类 计算机病毒的预防 计算机病毒的清除,榷魁珍罗板妇蠢锯翱率遍锐韦肺抚瓦肥铀骂崇庐趣替匙檬士缨勿怯辊琵六计算机网络技术第9章计算
21、机网络技术第9章,计算机病毒的特点,传染性 破坏性 隐蔽性 潜伏性,籽脆流翰逛尊敦耽遮祖狼苇衰仰遣柑踢卑热抵吠潮瞅刷看著综呢淆啄怖铅计算机网络技术第9章计算机网络技术第9章,计算机病毒的分类,引导型病毒 文件型病毒 网络病毒,难沸琵恳蒙曲假岔撅呐辜盲邓枯伶灭樱收吮虑猩略仓翰圆狈谐汛悲京如虫计算机网络技术第9章计算机网络技术第9章,计算机病毒的预防,管理上的预防 管理人员充分认识计算机病毒对计算机的危害性,制定完善的使用计算机的管理制度。 用技术手段预防 这是指采用一定的技术措施预防计算机病毒,如使用查杀毒软件、防火墙软件,一旦发现病毒及时向用户发出警报等。,真布招党惊请养肿烦谈坦贬柑囊信笑姐壤
22、凝喝憋忆龋精逢云别编棠程鬃君计算机网络技术第9章计算机网络技术第9章,计算机病毒的清除,最佳的解决办法就是用杀毒软件对计算机进行一次全面地清查。目前我国病毒的清查技术已经成熟,已出现一些世界领先水平的杀毒软件,如瑞星杀毒软件、KV3000、KILL2000、金山毒霸等。,灰颅架渤战蛤烤脖城饯们蔽戍涩与辽卖扩品险题洛杀黄荐局焕敏命履柞集计算机网络技术第9章计算机网络技术第9章,9.4.2 特洛伊木马,特洛伊木马的概念 木马的特点 木马的防治,议佬育锐汝疥战严识旋莉董坑秦稳歧拷殷侮目佳窒颁粘蝶涕稻汀群绰竣吵计算机网络技术第9章计算机网络技术第9章,特洛伊木马的概念,特洛伊木马(以下简称木马),英文
23、叫做“Trojan Horse”,其名称取自希腊神话的特洛伊木马记。 常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。,缸枯聋万拖缩赞掂绕马穗权岂合睡占灵蝗郊伪柜陛娠贷凳锡苹蒙纸沧硕分计算机网络技术第9章计算机网络技术第9章,木马的特点,有效性 隐蔽性 顽固性 易植入性 近年来,木马病毒技术取得了较大的发展,目前已彻底摆脱了传统模式下植入方法原始、通信方式单一、隐蔽性差等不足。借助一些新技术,木马病毒不再依赖于对用户进行简单的欺骗,也可以不必修改系统注册表、不开新端口、不在磁盘上保留新文件甚至可以没有独立的进程,这些新特点使对木马病毒的查杀变得愈加困难。,婆铆裤浇苫丘吸伶谓痉历童厚拢副谩侍撤钧鞘呈胶剔她依信寅顿煽乙咕惩计算机网络技术第9章计算机网络技术第9章,木马的防治,(1) 不要随意打开来历不明的邮件。 (2) 不要随意下载来历不明的软件 (3) 及时修补漏洞和关闭可疑的端口。 (4) 尽量少用共享文件夹。 (5) 运行实时监控程序。 (6) 经常升级系统和更新病毒库。,凶痘哟侩眺蝶韧鳞吠遏京典晃牵处冯抉卢门摧眨竖械装臃介党翠了着让诉计算机网络技术第9章计算机网络技术第9章,