Chapter 10网络安全.ppt

1,Chapter 10网络安全,10.1概述 10.2密码学基础知识 10.3数字签名与认证 10.4典型的网络安全威胁 10.5网络安全协议 10.6网络的安全技术,2,Chapter 10网络安全,10.1概述 10.2密码学基础知识 10.3数字签名与认证 10.4典型的网络安全威胁 10.5网络安全协议 10.6网络的安全技术,3,10.1概述,1.常见的不安全因素 物理因素：物理设备的不安全，电磁波泄漏等 系统因素：系统软、硬件漏洞，病毒感染，入侵 网络因素：网络协议漏洞，会话劫持、数据篡改，网络拥塞，拒绝服务 管理因素：管理员安全意识淡漠，误操作,4,2. 不安全的原因,自身的缺陷：系统软硬件缺陷，网络协议的缺陷 开放性 系统开放：计算机及计算机通信系统是根据行业标准规定的接口建立起来的。 标准开放：网络运行的各层协议是开放的，并且标准的制定也是开放的。 业务开放：用户可以根据需要开发新的业务。 黑客攻击 基于兴趣的入侵 基于利益的入侵 信息战,5,3. 网络的潜在威胁,非授权访问（unauthorized access）：非授权用户的入侵。 信息泄露（disclosure of information）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人。 拒绝服务（denial of service）：使得系统难以或不可能继续执行任务。,6,4.网络安全服务,认证（Authentication）:提供某个实体的身份保证 访问控制（Access control）:保护资源，防止对它的非法使用和操纵 数据加密（Data encryption）:保护信息不被泄露 数据完整性（Integrity）:保护信息以防止非法篡改 不可否认性（No-repudiation）:防止参与通信的一方事后否认,7,5.信息安全分类,密码学 加密算法（对称、非对称） 签名算法 系统安全 访问控制和授权 身份认证 审计 入侵检测与病毒防范 网络安全 防火墙技术 网络安全协议 VPN（虚拟专网） 安全路由 电子商务 PKI（公钥基础设施）与CA（认证机构） IKE（因特网密钥交换）,8,6.安全理论与技术,密码理论与技术 认证识别理论与技术 授权与访问控制理论与技术 审计追踪技术 防火墙与访问代理技术 入侵检测技术 反病毒技术,9,7.网络安全的主要任务,保障网络与系统 安全、可靠、高效、可控、持续地运行 保障信息 机密、完整、不可否认地传输和使用,10,8.需要保护的对象,硬件 服务器、路由器、主机（PC&工作站）等 软件 操作系统、应用软件等 数据 电子邮件、电子商务、电子政务、信息发布等,11,安全性、功能性和易用性,真正“安全”的机器是没有联网并且深埋在地下的机器。,安全性,功能性,易用性,12,Chapter 10网络安全,10.1概述 10.2密码学基础知识 . 10.3数字签名与认证 10.4典型的网络安全威胁 10.5网络安全协议 10.6网络的安全技术,13,10.2密码学基础知识,1.基本概念 明文（plaintext) ：作为加密输入的原始信息 密文（ciphertext): 明文加密后的结果 加密（encryption）：是一组含有参数的变换，将明文变为密文的过程 加密算法：对明文进行加密时采用的规则 解密（decryption）：由密文恢复出明文的过程 解密算法：对密文进行解密时采用的规则 密钥(key):参与变换的参数，分别有加密密钥和解密密钥,14,2.密码算法分类,按发展进程或体制分 古典密码:基于字符替换的密码，现在已很少使用了，但是它代表了密码的起源 对称密钥体制（ Symmetric System ）:加密密钥和解密密钥相同，这些算法也叫作单钥密码体制（one-key system) 非对称密钥体制(Asymmetric System) ：加密密钥和解密密钥不同，也叫公钥密码体制（public key system)或双钥密码体制（two-key system） 按加密模式分 序列密码（stream cipher)： 序列密码按位或字节加密，也可以称为流密码，序列密码是手工和机械密码时代的主流。 分组密码(block cipher)： 分组密码将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。,15,算法举例,经典密码 代替密码: 简单代替, 多表代替, 多字母或多码代替 换位密码:凯撒密码 对称加密算法 DES（数据加密标准） ，AES（高级加密标准），IDEA（国际数据加密算法） 非对称公钥算法 RSA ，背包密码, 椭圆曲线, EIGamal， D_H,16,3.凯撒密码,将字母循环前移k位, k=5时 a b c d e f g h i j k l m n o p q r s t u v w x y z f g h i j k l m n o p q r s t u v w x y z a b c d e University-Zsnajwxnyd,17,4.对称密码算法,DES（数据加密标准，Data Encryption Standard ） 背景 1972年，NBS(NIST) 美国国家标准局征集加密标准 1974年，IBM的Tuchman和Meyers发明Luciffer加密算法 1976年，NBS公布DES，1976.11.23. 当年估计破译需要2283年时间。 DES是一种对二元数据进行加密的算法，数据分组长度为64位，密文分组长度也是64位，使用的密钥为64位，有效密钥长度为56位，有8位用于奇偶校验，解密时的过程和加密时相似，但密钥的顺序正好相反，DES的整个体制是公开的，系统的安全性完全靠密钥的保密。,18,DES算法的过程,是在一个初始置换 (IP，Initial Permutation)后，明文组被分成左半部分和右半部分，每部分32位，以L0和R0表示，然后是16轮迭代的乘积变换，称为函数f，将数据和密钥结合起来。16轮之后，左右两部分进行一次交换，再经过一个初始逆置换IP-1 ，算法结束。 初始置换与初始逆置换在密码意义上作用不大，他们的作用在于打乱原来输入x的ASCII码字划分关系，并将原来明文的校验位变成置换输出的一个字节。,19,DES算法流程,20,DES算法的破解,DES使用了近 25年时间，它具有很强的抗密码分析能力，但它的密钥长度只有56比特， 56-bit 密钥有256 = 72,057,584,037,927,936 7.2亿亿之多，随着计算机运算能力的增加，56比特长度的密码系统显得不安全了。 1997年，RSA公司发起破译RC4、RC5、MD2、MD5，以及DES的活动，破译DES奖励10000美金。 由Roche Verse牵头的工程小组动用了70000多台通过因特网连接起来的 计算机系统，花费了96天找到了密钥。 1998年7月，电子前沿基金会花费25万美圆制造的一台机器在不到3天的时间里攻破了DES。 1999年在超级计算机上只要22小时!,21,其他算法,三重DES 使用三（或两）个不同的密钥对数据块进行三次（或两次）加密，三重DES的强度大约和112-bit的密钥强度相当，三重DES有四种模型： DES-EEE3 使用三个不同密钥顺序进行三次加密变换 DES-EDE3 使用三个不同密钥依次进行加密-解密-加密变换 DES-EEE2 其中密钥K1=K3 顺序进行三次加密变换 DES-EDE2 其中密钥K1=K3 依次进行加密-解密-加密变换,22,IDEA,IDEA是国际数据加密算法（International Data Encryption Algorithm ）的缩写，是1990年由瑞士联邦技术学院X.J.Lai和Massey提出的建议标准算法，称作PES（ Proposed Encryption Standard），Lai 和Massey 在1992 年进行了改进，强化了抗差分分析的能力，改称为IDEA ，它也是对64bit大小的数据块加密的分组加密算法，密钥长度为128位，它基于“相异代数群上的混合运算”设计思想算法，用硬件和软件实现都很容易，它比DES在实现上快得多。 64位明文经128位密钥加密成64位密文，穷举分析需要1038次试探，按每秒100万次计算说，则需要1013年。 加密密钥与解密密钥不同，但是从一个主密钥派生出来，因此仍是对称的加密体制，目前尚无破译方法。算法本身倾向于软件实现，加密速度快。,23,5.公开密钥算法,对称密码算法问题： 密钥管理量问题：两两分别用一对密钥，当用户量增大时，密钥空间急剧增大。 对称算法无法实现抗否认需求数字签名 非对称密码体制的基本原则 加密能力与解密能力是分开的 密钥分发简单 需要保存的密钥量大大减少，N个用户只需要N个 可满足不相识的人之间保密通信 可以实现数字签名 加密速度慢，常用于数字签名或加密对称密钥,24,公开密钥算法基本思想,公钥密码又称为双钥密码和非对称密码是1976年由Diffie和Hellman在其“密码学新方向”一文中提出的。 这些体制是基于陷门单向函数的概念。单向函数是一些易于计算但难于求逆的函数，而陷门单向函数就是在已知一些额外信息的情况下易于求逆的 单向函数，这些额外信息就是所谓的陷门。,25,单向陷门函数,(1)给定x， 计算y=f(x)是容易的 (2)给定y，计算x，使y=f(x)是困难的 (3)存在，已知时，对给定的任何y， 若相应的x存在，则计算x使y=f(x)是容易的,26,RSA密码体制基本原理,RSA是MIT的Rivest, Shamir 和Adlemar开发的第一个公钥密码体制。 A.密钥的生成 选择p ,q， p ,q为互异素数，计算n=p*q, (n)=(p-1)(q-1), 选择整数e与(n)互素，即gcd(n),e)=1,1e (n),计算d,使d=e-1(mod (n),公钥Pk=e,n;私钥Sk=d,n B.加密 (用e,n)， 明文是以分组方式加密的，每一个分组的比特数应小于n的二进制表示，即每一个分组的长度应小于log2n 明文Mn， 密文C=Me(mod n). C.解密 (用d,n) 密文C， 明文M=Cd （mod n),27,例：p5，q = 7，n = 35，(n)=24 选d = 11，则e = inv(11, 24) = 11，m = 2 C = me mod n = 211 mod 35 = 18 M = Cd mod n = 1811 mod 35 = 2 例：p = 53，q = 61，n = pq = 3233， (n)52x60 = 3120 令d = 791，则e = 71 令m = RE NA IS SA NC E 即m = 1704 1300 0818 1800 1302 0426 170471 mod 3233 = 3106， C = 3106 0100 0931 2691 1984 2927,28,RSA的安全分析,选取的素数p,q要足够大，使得给定了它们的乘积n，在不知道p,q情况下分解n在计算上是不可行的。 1999年，一个292台计算机组成的网络花了5.2个月时间分解了一个155位的十进制数（512比特）。基于短期安全性考虑，要求n的长度至少应为1024比特，而长期安全性则需n至少为2048比特。,29,其它公钥算法,ELGamal密码 1985年ELGamal设计的密码算法，该算法是基于有限域上离散对数问题求解的困难性。 椭圆曲线密码 1985年N. Koblitz和V. Miller分别独立提出了椭圆曲线密码体制(ECC) ，其依据就是定义在椭圆曲线点群上的离散对数问题的难解性。 Diffie-Hellman密钥交换,30,6.Diffie-Hellman密钥交换,中间人攻击 Alice Eve Bob Alice Eve Bob,YA,YA,YB,YB,31,Chapter 10网络安全,10.1概述 10.2密码学基础知识 10.3数字签名与认证 10.4典型的网络安全威胁 10.5网络安全协议 10.6网络的安全技术,32,10.3数字签名与认证,通信中潜在的威胁 消息伪造 内容篡改 延迟或重播 否认 数字签名-消息的不可否认性 认证-消息的完整,33,1.数字签名,公钥密码学的一个重要应用就是数字签名，数字签名就是利用私钥生成签名，而用公钥验证签名。 一个数字签名方案时是由签名算法和验证算法组成 签名算法利用私钥生成签名，称消息m的签名为sig（m），然后将（m，sig（m）发给接收方 验证算法利用签名者的公钥对sig（m）进行解密，如果解密输出与m一致，则为合法数据。 由于无法识别数字签名与其拷贝之间的差异，所以，在数字签名前应加上时间戳。 数字签名标准（DSS） DSA（数字签名算法，是Elgamal公钥算法的一种变体） RSA,34,2.认证,可用来做认证的函数有三类： (1) 加密函数 用对称密钥加密，信息的完整作为对信息的认证 用公钥密码中的私钥加密，但加密速度太慢，并且很多情况下，消息并不需要加密。 (2) 消息认证码MAC(Message Authentication Code) 是对信源消息的一个编码函数 (3) 散列函数 (Hash Function) 是一个公开的函数它将任意长的信息映射成一个固定长度的信息,35,消息认证码MAC,利用函数f和密钥k ，对要发送的明文x或密文y变换成r bit的消息认证码f(k,x)(或f(k,y) ，将其称为认证符附加在x(或y)之后发出，接收者收到发送的消息序列后，按发方同样的方法对接收的数据(或解密后)进行计算，应得到相应的r bit数据,36,散列函数,单向散列函数（hash，杂凑函数）可以从一段很长的报文中计算出一个固定长度的比特串，这种散列函数通常称为报文摘要（message digest），用于消息的完整性检验。 单向散列函数有以下特性： 给定 P，易于计算出 MD（P） 只给出 MD（P），几乎无法找出 P 无法生成两条具有同样报文摘要的报文 认证方法： 消息 X 任意比特 消息摘要 Z=H(X) 160比特 签名摘要 Y=sigK(Z) 320比特 标准：MD5（128比特），SHA-1（160比特）等,37,3.公钥的管理,非对称密码体制,私有密钥KPV,明文,密文,公开密钥 KPB,密文,明文,摘要,签名,签名,摘要,加密,签名,38,数字证书,39,公钥基础设施（Public Key Infrastructure）,什么是PKI呢？ PKI是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理。 为什么需要PKI？ 电子政务、电子商务对信息传输的安全需求 在收发双方建立信任关系，提供身份认证、数字签名、加密等安全服务 收发双方不需要共享密钥，通过公钥加密传输会话密钥,40,PKI的组成,认证机构CA 证书的签发机构，它是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。 注册机构RA 注册功能也可以由CA直接实现，但随着用户的增加，多个RA可以分担CA的功能，增强可扩展性，应注意的是RA不容许颁发证书或CRL. 证书库 证书的集中存放地，提供公众查询，常用目录服务器提供服务，采用LDAP目录访问协议。 密钥备份及恢复系统 签名密钥对：签名私钥相当于日常生活中的印章效力，为保证其唯一性，签名私钥不作备份。签名密钥的生命期较长。 加密密钥对：加密密钥通常用于分发会话密钥，为防止密钥丢失时丢失数据，解密密钥应进行备份。这种密钥应频繁更换。 证书作废处理系统 证书由于某种原因需要作废，终止使用，这将通过证书作废列表（CRL）来完成。 自动密钥更新 无需用户干预，当证书失效日期到来时，启动更新过程，生成新的证书 密钥历史档案 由于密钥更新，每个用户都会拥有多个旧证书和至少一个当前证书，这一系列证书和相应的私钥组成密钥历史档案。 PKI应用接口系统 是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。 交叉认证 多个PKI独立地运行，相互之间应建立信任关系,41,中国PKI现状,中国的CA中心建设从1998年底开始。第一个电信行业CA-CTCA 2001年成立中国PKI论坛() 三类CA中心 行业性CA中心 中国金融认证中心(CFCA, http:) 金融：建行、招商、中行、工行、农行、交行 区域性CA中心 北京、上海、广东、山东、湖北、安徽CA中心（) 商业性CA中心 企业创办的认证机构 到04年已建成CA中心近80个，发放电子证书超过500万张。问题是各自采用的技术不能互连互通。,42,Chapter 10网络安全,10.1概述 10.2密码学基础知识 10.3数字签名与认证 10.4典型的网络安全威胁 10.5网络安全协议 10.6网络的安全技术,43,10.4典型的网络安全威胁,1.主动攻击与被动攻击 2.常见攻击分类,44,1.主动攻击和被动攻击,主动攻击更改数据流，或伪造假的数据流。 伪装 重放 篡改 拒绝服务 被动攻击对传输进行偷听与监视，获得传输信息。 报文分析 流量分析,即冒名顶替。一般而言，伪装攻击的同时往往还伴随着其他形式的主动攻击,先被动地窃取通信数据，然后再有目的地重新发送,即修改报文的内容。或者对截获的报文延迟、重新排序,阻止或占据对通信设施的正常使用或管理。针对特定目标或是某个网络区域,窃听和分析所传输的报文内容,分析通信主机的位置、通信的频繁程度、报文长度等信息,45,2.常见攻击分类,口令破解：攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令 连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而 假冒被接管方与对方通信 服务拒绝：攻击者可直接发动攻击，也可通过控制其它主机发起攻击，使目标瘫痪，如发送大量的数据洪流阻塞目标 网络窃听：网络的开放性使攻击者可通过直接或间接窃听获取所需信息 数据篡改：攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性,46,常见攻击分类（续）,地址欺骗：攻击者可通过伪装成被信任的IP 地址等方式来骗取目标的信任 社会工程：攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息从而提高攻击成功率 恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞，进而发起攻击 基础设施破坏：攻击者可通过破坏DNS 或路由信息等基础设施，使目标陷于孤立 数据驱动攻击：攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标,47,Chapter 10网络安全,10.1概述 10.2密码学基础知识 10.3数字签名与认证 10.4典型的网络安全威胁 10.5网络安全协议 10.6网络的安全技术,48,10.5网络安全协议,1.网络安全的定义 2.网络安全的特征 3.不同层次的安全协议 4 . IPSec 5 .Email加密协议-PGP,49,1.网络安全的定义,网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不中断。,50,2.网络安全的特征,机密性 信息不泄漏给非授权的用户、实体或者过程的特性。 完整性 数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性 可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。 可控性 对信息的传播及内容具有控制能力，访问控制即属于可控性。,51,3.不同层次的安全协议,链路层：链路隧道协议、加密技术 网络层：包过滤、IPSEC协议、VPN 传输层/会话层 ：SSL 协议 应用层：SHTTP、PGP、S/MIME等,52,Security Protocol Layers,PPTP L2TP,53,4 .IPSecIP Encryption and Authentication,54,55,5. PGP（Pretty Good Privacy）,Email安全加密系统 PGP提供的安全业务： 加密：发信人产生一次性会话密钥，以IDEA、3-DES或CAST-128算法加密报文，采用RSA或D-H算法用收信人的公钥加密会话密钥，并和消息一起送出。 认证：用SHA对消息杂凑，并以发信人的私钥签字，签名算法采用RSA或DSS 。 压缩：ZIP，用于消息的传送或存储。在压缩前签字，压缩后加密。,56,Chapter 10网络安全,10.1概述 10.2密码学基础知识 10.3数字签名与认证 10.4典型的网络安全威胁 10.5网络安全协议 10.6网络的安全技术,57,10.6网络安全技术,1.PDRR网络安全模型 2.接入控制 3.防火墙 4.入侵检测技术 5.入侵预防技术 6.VPN（虚拟专网）,58,1.PDRR网络安全模型,防护（Protection）：接入控制及防火墙 检测（ Detection ）：入侵检测系统 响应（ Response ）：报警、拦截 恢复（Recovery） ：系统恢复、数据恢复,入侵预防系统防火墙入侵检测系统,59,2.接入控制,接入或访问控制是保证网络安全的重要手段，它通过一组机制控制不同级别的主体对目标资源的不同授权访问 系统有三类入侵者： 伪装者（masquerader）：非法用户伪装成合法用户进入系统，一般来自系统外部 违法者（misfeasor）：合法用户，非法访问未授权数据、程序或资源。一般来自系统内部 地下用户（clandestine user）：掌握了系统的管理控制，并能逃避审计和接入控制的用户，来自系统内外部,60,接入控制功能： 阻止非法用户进入系统 允许合法用户按其权限进行各种信息活动 接入控制的构成： 用户的认证与识别 对认证的用户进行授权 接入控制所依赖的信息： 主体：用户或主机或一个程序 客体：是一个可接受访问和受控的实体，可以是一个数据文件、程序或数据库 接入权限：主体对客体的访问权限，如读、写、执行等,61,2.防火墙,防火墙定义 防火墙功能 防火墙分类,62,防火墙定义,防火墙是在两个网络之间强制实行访问控制策略的一个系统或者一组系统 防火墙由多个部件组成，并具有以下特性： 所有的从内部到外部或者从外部到内部的通信都必须经过它 只有内部访问策略授权的通信才允许通过 系统本身具有高可靠性,63,防火墙功能,过滤不安全的服务和禁止非法访问 控制对特殊站点的访问，可以允许受保护网络的一部分主机被外部访问，而其它部分则禁止 提供访问记录和审计等功能,64,防火墙分类,包过滤防火墙 仅根据分组中的信息（地址、端口号、协议）执行相应的过滤规则，每个分组的处理都是独立的 状态检测防火墙 不仅根据分组中的信息，而且还根据记录的连接状态、分组传出请求等来进行过滤 TCP：为建立连接的SYN分组建立状态，只允许对该SYN的应答分组进入。连接建立后，允许该连接的分组进入。 UDP：具有相同的地址和端口号的分组可以等效为一个连接 代理型防火墙 通过对网络服务的代理，检查进出网络的各种服务,65,4.入侵检测,入侵检测：通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测系统的功能： 监控网络与系统 发现入侵企图和异常现象 实时报警、主动响应 入侵检测系统（IDS， Intrusion Detection System）分类： 基于主机的IDS：根据主机的系统日志文件检测入侵事件 基于网络的IDS：根据网络上经过的分组检测入侵行为,66,主机入侵检测(HIDS),安装于被保护的主机中 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源,67,网络入侵检测(NIDS),安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载,68,入侵检测的步骤,信息收集 系统和网络日志文件 进入网络的数据包 目录和文件中不期望的改变 程序执行中的不期望行为 信号分析 模式匹配：与已知的入侵行为进行比较 统计分析：事先对系统对象创建一个统计描述，将检测到的事件与之比较 协议分析