计算机网络8网络安全.ppt

1、8 网络安全,8.1 网络安全概述 8.2 对称密钥系统 8.3 公开密钥系统 8.4 Internet安全,2020/8/6,1,看不见的较量,2008年底, 美国军方禁止在五角大楼内使用所有移动存储设备 五角大楼在自己的局域网中发现了agent.btz蠕虫病毒 1999年, 李文和案中被指控的59项间谍或者不当行为, 唯一被法院确认的所谓不当行为, 便是使用移动存储设备将实验室的保密材料转移到非保密电脑中 防火墙也未必总是安全的 2008年, NASA发现自己的网站受到一种名为stame.exe的软件侵入, 将大量的数据和文件发送到太平洋西部的一个岛屿的电脑系统中 该电脑系统遭到一个黑客组

2、织的劫持, 作为代理服务器将文件发送到黑客组织的系统中,2020/8/6,2,看不见的较量,“物理隔绝”是保证安全的有效手段之一, 但代价昂贵 对于重要的国家机构或者银行系统, 网络安全的投入几乎可以不计代价 网络安全是国家安全的命门 2007年, 爆发了持续三周之久的“第一场国家网络站” 分布式拒绝服务攻击 由于爱沙尼尔决定拆除首都塔林市中心的二战苏军烈士碑, 其官方网站服务器因为激增的访问量而瘫痪 2008年, 格鲁吉亚全国网络陷于瘫痪, 不得不临时租用位于美国境内的服务器,2020/8/6,3,8.1 网络安全概述,网络安全概述 数据加密模型,2020/8/6,4,为什么网络安全变得非常

3、重要,2020/8/6,5,进行网络攻击变得越来越简单 越来越多的个人或公司连入Internet 并不是所有的用户都具有基本的安全知识,网络安全,2020/8/6,6,物理安全 环境、设备、媒介 系统安全 操作系统、路由器、DNS、病毒防护 网络安全 网络结构、通信安全、入侵检测 应用安全 访问控制、信息存储与备份,网络安全威胁,2020/8/6,7,被动攻击 截获信息 主动攻击 更改信息和拒绝用户使用资源 更改报文流 拒绝报文服务 伪造连接初始化,网络面临的安全威胁分类,2020/8/6,8,网络安全目标,2020/8/6,9,防止析出报文内容 防止通信量分析 检测更改报文流 检测拒绝报文服

4、务 检测伪造初始化服务,网络安全手段,2020/8/6,10,被动攻击 采用数据加密技术 主动攻击 加密技术 + 鉴别技术,网络安全趋势,2020/8/6,11,物理隔离 逻辑隔离(防火墙) 防御网络的攻击(抗攻击网关) 防止网络病毒(防病毒网关) 身份认证(AAA) 加密通信和虚拟专用网(VPN) 入侵检测和主动防卫(IDS) 网管、审计和取证(集中网管),8.2 对称密钥系统,DES (Data Encryption Standard),2020/8/6,12,对称密钥系统,2020/8/6,13,在密码系统中, 加密/解密算法是公开的, 而密钥是保密的.,对称密钥系统,2020/8/6,

5、14,对称加密, 即加密密钥与解密密钥相同 对称加密算法有块和流两种方式, 其保密性高, 难以破解, 常用于较长报文的加密,DES(数据加密标准),2020/8/6,15,DES 算法由IBM 发明, 并于1977 年成为美国政府标准 DES是一种数据分块的加密算法, 数据长度为64位 密钥为64位, 其中8位作为奇偶校验位, 有效密钥长度为56位 DES加密过程 首先将明文数据进行初始置换, 得到64位的混乱明文组, 再将其分为2段, 每段32位 然后进行乘积变换, 在密匙的控制下, 做16次迭代 最后进行逆初始变换而得到密文,DES加密过程,2020/8/6,16,对称密钥特点,加密密钥与

6、解密密钥相同, 密钥在传递过程中容易泄漏 密钥量大, 难以进行管理 无法满足网上陌生人进行私人谈话的保密性要求 难以解决数字签名验证的问题,2020/8/6,17,8.3 公开密钥系统,2020/8/6,18,RSA 数字签名 报文鉴别,公开密钥密码体制,2020/8/6,19,由Stanford大学研究人员于1976年提出 使用不同的加密密钥和解密密钥 由已知加密密钥推导出解密密钥在计算上是不可行的 公开密钥密码体制的产生原因 密钥分配 数字签名 公开密钥算法对短报文更有效,公开密钥密码体制,2020/8/6,20,RSA,基于数论中的大数分解问题 寻求两个大素数比较简单, 而将他们的乘积分

7、解开则及其困难 加密算法 加密: Y = Xe mod n 解密: X = Yd mod n 其中, X为明文, Y为密文, n为两个大素数的乘积. PK = e, n, SK = d, n,2020/8/6,21,密钥的产生,计算n n = pq, 其中p和q为两个大素数. n为RSA算法的模数, 明文必须能用小于n的数表示 计算n的欧拉函数 (n) = (p-1)(q-1), (n) 为不超过n并与n互素的数的个数 选择e 从0, (n) -1中选择一个与(n) 互素的数e作为加密指数 计算d ed = 1 mod (n) , 计算d作为解密指数 得到密钥 PK = e, n SK = d

8、, n,2020/8/6,22,例8.1 RSA算法(1),选择两个素数p=7, q=17, n=pq=119 (n)=(p-1)(q-1)=96 从0, 95中选择与96互素的数e=5 5d=1 mod 96, 得到d=77 PK=5, 119, SK=77, 119 加密 设X = 19(明文, 不超过119), Y = 195 mod 119 = 66(密文) 解密 X = 6677 mod 119 = 19(明文),2020/8/6,23,例8.1 RSA算法(2),2020/8/6,24,RSA算法中, 同样的明文映射为同样的密文；RSA体制的保密性在于对大数分解很花时间.,数字签名

9、目标,报文鉴别: 接收者能够核实发送者对报文的签名 报文完整性: 发送者事后不能抵赖对报文的签名 不可否认: 接收者不能伪造对报文的签名,2020/8/6,25,现在已有多种实现各种数字签名的方法, 但采用公钥算法更容易实现.,数字签名实现,2020/8/6,26,数字签名不提供对内容的保密；如果需要, 可再加一级加密/解密算法.,鉴别,在信息的安全领域中, 对付被动攻击的重要措施是加密, 而对付主动攻击中的篡改和伪造则要用鉴别(authentication) 报文鉴别使得通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等)的真伪 使用加密就可达到报文鉴别的目的. 但在网络的

10、应用中, 许多报文并不需要加密. 应当使接收者能用很简单的方法鉴别报文的真伪,2020/8/6,27,报文鉴别,2020/8/6,28,报文摘要(Message Digest)必须满足: 1、任给报文摘要值x, 若想找到报文y使得H(y)=x, 在计算上是不可行的； 2、想找到任意两个报文x和y, 使得H(x)=H(y), 在计算上是不可行的.,实体鉴别,实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次 报文鉴别是对每一个收到的报文都要鉴别报文的发送者,2020/8/6,29,8.4 Internet安全,IPsec 传输层安全 防火墙 VPN,2020/8/6,30,I

11、Psec,IPsec是网络层安全协议 RFC 2411 IPsec除提供对IP数据报的加密外, 还提供源站鉴别(Source Authentication),2020/8/6,31,AH与ESP,IPsec的主要部分是AH(Authentication Header)和ESP(Encapsulation Security Payload) AH提供源站鉴别和数据完整性, 但不能保密 ESP提供源站鉴别、数据完整性和保密,2020/8/6,32,虽然AH协议的功能都已包含在ESP 中, 但AH协议早已广泛使用, 因此还不能废弃.,安全关联(Security Associate),在使用 AH 或

12、 ESP 之前, 先要从源主机到目的主机建立一条网络层的逻辑连接, 即SA 这样, IPsec 就把传统的因特网无连接的网络层转换为具有逻辑连接的层 SA是一个单向连接, 由一个三元组唯一地确定: 安全协议(使用 AH 或 ESP)的标识符 此单向连接的源 IP 地址 一个 32 位的连接标识符, 称为安全参数索引 SPI (Security Parameter Index) 对于一个给定的安全关联 SA, 每一个 IPsec 数据报都有一个存放 SPI 的字段, 通过此 SA 的所有数据报都使用同样的 SPI 值,2020/8/6,33,AH,2020/8/6,34,IP首部的协议字段为51

13、；在传输过程中, 中间路由器不查看AH.,ESP,2020/8/6,35,IP首部的协议字段为50；ESP尾部参与数据报加密.,传输层安全: SSL/TLS,SSL是安全套接层(Secure Socket Layer), 可对万维网客户与服务器之间传送的数据进行加密和鉴别 SSL在双方的联络阶段协商将使用的加密算法和密钥, 以及客户与服务器之间的鉴别 在联络阶段完成之后, 所有传送的数据都使用在联络阶段商定的会话密钥 SSL不仅被所有常用的浏览器和万维网服务器所支持, 而且也是运输层安全协议 TLS (Transport Layer Security)的基础,2020/8/6,36,TLS(T

14、ransport Layer Security)的位置,2020/8/6,37,在发送方, SSL 接收应用层的数据(如 HTTP 或 IMAP 报文), 对数据进行加密, 然后把加了密的数据送往 TCP 套接字；在接收方, SSL 从 TCP 套接字读取数据, 解密后把数据交给应用层.,SSL/TLS功能,SSL服务器鉴别 允许用户证实服务器的身份. 具有 SSL功能的浏览器维持一个表, 上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公钥 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密, 在接收方解密 SSL 客户鉴别 允许服务器证实

15、客户的身份,2020/8/6,38,安全电子交易SET(Secure Electronic Transaction),SET是专为与支付有关的报文进行加密的 SET协议涉及到三方, 即顾客、商家和商业银行 所有在这三方之间交互的敏感信息都被加密 SET要求这三方都有证书 在 SET 交易中, 商家看不见顾客传送给商业银行的信用卡号码,2020/8/6,39,防火墙,防火墙由软件、硬件构成, 用于在两个网络之间实施接入控制 防火墙功能: 阻止或者允许 两类防火墙 包过滤防火墙(网络级) 代理防火墙(应用级),2020/8/6,40,防火墙,2020/8/6,41,包防火墙过滤位于网络层或者传输层

16、.,包过滤防火墙,2020/8/6,42,包过滤(1),Internal network connected to Internet via router firewall Router filters packet-by-packet, decision to forward/drop packet based on certain/configurable criteria,2020/8/6,43,Should arriving packet be allowed in? Departing packet let out?,包过滤(2),Discard packets based on c

17、onfigurable criteria Address filtering Based on source and/or destination address in IP packets Allowing packets with certain IP addresses to go through Blocking packets with certain IP addresses Traffic type filtering Based on the type of traffic in IP header (TCP/UDP port numbers) Allowing certain

18、 types to go through, e.g http (port# 80) Content filtering Based on the content of packets. Blocking packets with some patterns in the content. Specific filtering: ICMP message type, TCP SYN and ACK bits Statistic packet filtering,2020/8/6,44,代理防火墙,2020/8/6,45,代理防火墙过滤位于应用层.,VPN (Virtual Private Network),VPN利用Internet或其它公共互联网络的基础设施为用户创建隧道 提供与专用网络一样的安全和功能保障 VPN用途 通过Internet实现远程用户访问 通过Internet实现网络互连 连接企业