第02章网安全概述(2)

第二章网络安全概述上课教师：田立勤日期：2008年9月第二章网络安全概述田立勤™作业：十次第二章网络安全概述田立勤网络安全模型™安全传输技术包含以下三个基本部分：™(1)消息的安全传输，包括对消息的加密和认证。加密的目的是将消息按一定的方式重新编码以使敌手无法读懂（保重传输过程信息的机密性）。认证的目的是为了检查发送者的身份（保重源头的真实性）。™(2)发送双方共享的某些秘密信息，如加密密钥。™(3)为了获得消息的安全传输，还需要一个可信的第三方，其作用是负责向通信双方分发秘密信息或者在通信双方有争议时进行仲裁。第二章网络安全概述田立勤网络安全模型信息转换报文秘密信息报文秘密信息如仲裁者，秘密信息发布者用户可信任第三方攻击者用户信息转换信息转换报文秘密信息报文秘密信息如仲裁者，秘密信息发布者用户可信任第三方攻击者用户信息转换第二章网络安全概述田立勤网络安全模型™一个安全的网络通信必须考虑以下4个方面：™(1)加密算法；（DES，RSA）™(2)用于加密算法的密钥如何选取（长度）™(3)密钥的发布和共享（密钥本身的安全）；™(4)使用加密算法和密钥以获得安全服务所需的协议（如何传递这些信息，方式、顺序等）第二章网络安全概述田立勤网络安全体系结构™国际标准化组织ISO于1989年2月公布的ISO7498-2“网络安全体系结构”文件，给出了OSI参考模型的安全体系结构，简称OSI安全体系结构。™OSI安全体系结构主要包括网络安全机制和网络安全服务两方面的内容，并给出了OSI网络层次、安全机制和安全服务之间的逻辑关系。™5大类安全服务™8大类安全机制第二章网络安全概述田立勤五大网络安全服务™鉴别服务（Authentication）–对对方实体的合法性、真实性进行确认，以防假冒。这里的实体可以是用户或进程；™访问控制服务（AccessControl）–用于防止未授权用户非法使用系统资源。它包括用户身份认证，用户的权限确认。这种保护服务可提供给用户组。AAA鉴定、授权和计费(Authentication、Authorization和Accounting,读作:“triplea”)（户根据相关协定分配网络资源,包括服务类型限制、带宽大小、IP地址等资源占用时间和数据流量。）第二章网络安全概述田立勤五大网络安全服务™数据完整性服务（Integrity）–阻止非法实体对交换数据的修改、插入、删除™数据保密服务（Confidentiality）–为了防止网络中各个系统之间交换的数据被截获或被非法存取而造成泄密，提供密码加密保护。™抗抵赖性服务–防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据。由两种服务组成：一是不得否认发送：二是不得否认接收（通过签名确认）第二章网络安全概述田立勤八大网络安全机制1.加密机制加密是提供信息保密的核心方法。™对称密钥算法和非对称密钥算法™序列密码算法和分组密码算法™加密算法除了提供信息的保密性之外，它和其他技术结合，例如hash函数，还能提供信息的完整性等，是网络安全的基石。™加密技术也应用于程序的运行，通过对程序的运行实行加密保护，可以防止软件被非法复制，防止软件的安全机制被破坏，这就是相对于数据加密技术的软件加密技术。（反向工程）第二章网络安全概述田立勤2.访问控制机制™访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术。访问控制还可以直接支持数据机密性、数据完整性、可用性以及合法使用的安全目标（访问控制矩阵）。™分为高层(application)访问控制和低层(networkprotocal)访问控制。–高层（应用层）：对用户口令、用户权限、资源属性的检查和对比来实现的（权限的顺序从高到低是资源属性，用户权限)–底层：对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施。–在路由器上设置过滤规则进行数据包过滤，就属于低层访问控制第二章网络安全概述田立勤3.数据完整性机制™数据完整性包括数据单元的完整性和数据序列的完整性两个方面。–数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改，通常是把包括有数字签名的文件用hash函数产生一个标记，接收者在收到文件后也用相同的hash函数处理一遍，看看产生的标记是否相同就可知道数据是否完整。–数据序列的完整性是指发出的数据分割为按序列号编排的许多单元时，在接收时还能按原来的序列把数据串联起来，而不要发生数据单元的丢失、重复、乱序、假冒等情况。第二章网络安全概述田立勤4.数字签名机制A－B,基本方法：Ea私(P）＝》Da公(Ea私(P））实用方法：Eb公（Ea私(P）)＝》Da公（Db私（Eb公（Ea私(P）)）数字签名机制主要解决以下安全问题：1．否认：事后发送者不承认文件是他发送的。2．接收者伪造：接收者伪造了一份文件，却声称是发送者发送的。3．冒充：冒充别人的身份在网上发送文件。4．篡改：接收者私自篡改文件内容(篡改就不能用发送者的公钥解密了）数字签名机制具有可证实性、不可否认性、不可伪造性和不可重用性。第二章网络安全概述田立勤5.交换鉴别机制交换鉴别机制是通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有：1．口令：由发送方给出自己的口令，以证明自己的身份，接收方则根据口令来判断对方的身份。2．密码技术：接收方在收到已加密的信息时，通过自己掌握的密钥解密，能够确定信息的发送者是掌握了另一个密钥的那个人。（如数字签名）A－B,(发送方用私钥加密Ea私(P），接受者用发送者的公钥解密Ea公(Ea私(P）)）。在许多情况下，密码技术还和时间标记、同步时钟、数字签名、第三方公证等相结合，以提供更加完善的身份鉴别。3．特征实物：例如IC卡、指纹、声音频谱等。第二章网络安全概述田立勤6.公证机制网络上鱼龙混杂，很难说相信谁不相信谁（主观的）。同时，网络的有些故障和缺陷也可能导致信息的丢失或延误（客观的）。为了免得事后说不清，可以找一个大家都信任的公证机构（电信公司），各方的交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据，日后一旦发生纠纷，就可以据此做出仲裁（公钥基础设施等）第二章网络安全概述田立勤7.流量填充机制流量填充机制提供针对流量分析的保护外部攻击者有时能够根据数据交换的出现、消失、数量或频率而提取出有用信息。数据交换量的突然改变也可能泄露有用信息。例如当公司开始出售它在股票市场上的份额时，在消息公开以前的准备阶段中，公司可能与银行有大量通信。因此对购买该股票感兴趣的人就可以密切关注公司与银行之间的数据流量以了解是否可以购买。第二章网络安全概述田立勤7.流量填充机制流量填充机制能够保持流量基本恒定，因此观测者不能获取任何信息。流量填充的实现方法是：随机生成数据并对其加密，再通过网络发送。要注意：填充的内容不被对方发现，自己又可以容易区别开来。第二章网络安全概述田立勤8.路由控制机制路由控制机制使得可以指定通过网络发送数据的路径。这样，可以选择那些可信的网络节点，从而确保数据不会暴露在安全攻击之下。路由选择控制机制使得路由能动态地或预定地选取，以便使用物理上安全的子网络、中继站或链路来进行通信，保证敏感数据只在具有适当保护级别的路由上传输第二章网络安全概述田立勤™安全机制与安全服务的关系对照表™防否认与完整性的关系：数据的完整性通过摘要的对比来实现，而摘要一般是经过发送者非对称密钥加密体系的私钥加密的，从而也可以实现发送者的否认第二章网络安全概述田立勤安全评估标准™可信任计算机标准评估准则(TCSEC)–20世纪80年代，美国国防部基于军事计算机系统的保密需要，在20世纪70年代的基础理论研究成果“计算机保密模型”的基础上，制定了“可信任计算机标准评估准则”(TCSEC)，其后又制定了关于网络系统、数据库等方面的一系列安全解释，形成了安全信息系统体系结构的最早原则。至今，美国已研究出100余种达到TCSEC要求的安全系统产品，包括安全操作系统、安全数据库、安全网络部件等™七个等级四个级别：D级，C级，B级，A级™D级：基本没有采用什么安全措施的系统，如DOS；MS-Windows；APPLE的MacintoshSystem7.x等第二章网络安全概述田立勤™C1级–C1级又称选择性安全保护系统，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权限。–文件的拥有者和超级用户可以改动文件中的访问属性，从而对不同的用户给予不同的访问权限。–许多日常的管理工作由超级用户来完成，如创建新的组和新的用户。（典型的UNIX系统）™C2级–C2级别进一步限制用户执行某些命令或访问某些文件的权限。–系统对发生的事件加以审计，并写入日志当中。审计可以记录下系统管理员执行的活动，还附加身份验证，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。第二章网络安全概述田立勤安全评估标准™C2级的常见操作系统有：™zUNIX系统；zXenix；zNovell3.x或更高版本™zWindowsNT。™B1级–B1级即标志安全保护，是支持多级安全(比如秘密和绝密)的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。–政府机构和国防承包商们是B1级计算机系统的主要拥有者。第二章网络安全概述田立勤安全评估标准™B2级也称为结构保护，要求计算机系统中所有对象都加标签，而且给设备分配单个或多个安全级别。–该级别主要解决较高安全级别对象与另一个较低安全级别对象相互通信的问题。™B3级即安全域级别，它使用安装硬件的办法来加强域管理™A级即验证设计，是当前TCSEC中的最高级别，它包含了一个严格的设计、控制和验证过程。其设计必须是从数学上经过验证的第二章网络安全概述田立勤国家标准™由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GBl7895—1999《计算机信息系统安全保护等级划分准则》于2001年1月1日起实施。该准则将信息系统安全分为5个等级™自主保护级™系统审计保护级™安全标记保护级™结构化保护级™访问验证保护级第二章网络安全概述田立勤P2DR模型™美国提出的模型，P2DR是四个英文单词的字头：分别是：Policy（安全策略）；Protection（防护）；Detection（检测）Response（响应）。第二章网络安全概述田立勤P2DR模型™Policy(安全策略)–在了解了网络信息安全系统等级划分后，一个重要的任务就是要制订一个网络安全策略。–一个策略体系的建立包括：安全策略的制订、安全策略的评估、安全策略的执行等。–网络安全策略一般包括两部分：总体的安全策略和具体的安全规则。总体的安全策略用于阐述本部门的网络安全的总体思想和指导方针；而具体的安全规则是根据总体安全策略提出的具体的网络安全实施规则，它用于说明网络上什么活动是被允许的，什么活动是被禁止的。第二章网络安全概述田立勤Protection（防护）™通常采用的防护技术有：数据加密，身份验证，访问控制，授权和虚拟网络(VPN)技术；防火墙技术，安全扫描，入侵检测，路由过滤，数据备份和归档，物理安全，安全管理等。–防护可分为三类：系统安全防护、网络安全防护和信息安全防护。–系统安全防护指操作系统的安全防护，即各个操作系统的安全配置、使用和打补丁等，不同操作系统有不同的防护措施和相应的安全工具。–网络安全防护指网络管理的安全及网络传输的安全。–信息安全防护指数据本身的保密性、完整性和可用性，数据加密就是信息安全防护的重要技术。第二章网络安全概述田立勤Detection（检测）–防护系统可以阻止大多数的入侵事件，但不能阻止所有的入侵事件，特别是那些利用新的系统缺陷、新攻击手段的入侵。如果入侵事件发生，就要启动检测系统进行检测。–攻击者如果穿过防护系统，检测系统就会将其检测出来–检测与防护有根本的区别。防护主要是修补系统和网络缺陷，增加系统安全性能，从而消除攻击和入侵的条件，避免攻击的发生；–检测是根据