第6章 网络安全技术基础

第6章网络安全技术基础学习目标1）了解计算机网络安全的主要内容2）理解并掌握防火墙技术及其实现3）了解认证技术的种类和实现方法4）了解密码体制和加密技术6.1网络信息安全概述6.1.1网络面临的安全威胁计算机网络通信面临的四种威胁：（1）截获（Interception）攻击者从网络上窃听他人的通信内容。（2）中断（Interruption）攻击者有意中断他人在网络上的通信。（3）篡改（Modification）攻击者故意篡改网络上传送的报文。（4）伪造（Fabrication）攻击者伪造信息在网络上传送。网络面临的安全威胁6.1网络信息安全概述安全威胁可以分为两大类：主动攻击：更改信息和拒绝用户使用资源的攻击。（如2,3,4）被动攻击：截获信息的攻击（如1）。6.1网络信息安全概述被动攻击又称为通信量分析，攻击者不干扰信息流，只是观察和分析某一个协议数据单元（PDU）。被动攻击往往是主动攻击的前奏。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。主动攻击从类型上分为：（1）更改报文流（2）拒绝报文服务（3）伪造连接初始化（4）恶意攻击程序（计算机病毒、计算机蠕虫、特洛伊木马和逻辑炸弹）6.1网络信息安全概述计算机网络通信安全的六个目标：（1）防止析出报文内容（2）防止通信量分析（3）检测更改报文流（4）检测拒绝报文服务（5）检测伪造初始化连接（6）防止和检测计算机病毒6.1网络信息安全概述6.1.2计算机网络安全的内容（1）保密性（2）安全协议设计（3）接入控制6.1网络信息安全概述6.1.3计算机网络安全研究的主要问题需要考虑的主要问题：（1）网络防攻击技术（2）网络安全漏洞与对策的研究（3）网络中的信息安全问题（4）防抵赖问题（5）网络内部安全防范（6）网络防病毒（7）网络数据备份与恢复及灾难恢复6.2防火墙技术6.2.1概述防火墙是一种网络安全防护系统，是由软件和硬件构成，用来在网络之间执行控制策略的系统。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。一般都将防火墙设置在内部网络和外部网络之间。防火墙的主要功能包括：1）检查所有从外部网络进入内部网络的数据包；2）检查所有从内部网络流出到外部网络的数据包；3）执行安全策略，限制所有不符合安全策略要求的分组通过；4）具有防攻击能力，保证自身的安全性。6.2防火墙技术6.2.2防火墙的实现防火墙系统往往由包过滤路由器和应用级网关组合而成，由于组合方式有多种，因此防火墙系统的结构也有多种形式。6.2防火墙技术1.包过滤路由器（1）包过滤基本概念yNNy设置包过滤规则分析包参数根据过滤规则确定包是否允许转发是否是包过滤的最后一个规则应用下一个包过滤规则转发该包丢弃该包包过滤路由器示意图包过滤流程图6.2防火墙技术（2）包过滤路由器配置的基本方法过滤规则号方向动作源主机地址源端口号目的主机地址目的端口号协议描述1进入阻塞OTHERHOST****阻塞来自OTHERHOST的数据包2输出阻塞**OTHERHOST**阻塞传到OTHERHOST的数据包3进入允许*＞1023192.3.8.125TCP允许外部用户传送到内部网络电子邮件服务器的数据包4输出允许192.3.8.125*＞1023TCP允许内部邮件服务器传送到外部网络的电子邮件数据包包过滤规则表6.2防火墙技术（3）包过滤方法的优缺点分析优点：1）结构简单，便于管理，造价低。2）由于操作在网络层和传输层进行，所以对应用层透明。缺点：1）在路由器中配置包过滤规则比较困难。2）只能控制到主机一级，不涉及包的内容与用户一级，有局限性。6.2防火墙技术2.应用级网关（1）多归属主机多归属主机又称为多宿主主机，它是具有多个网络接口卡的主机，其结构如图所示。如果将多归属主机用在应用层的用户身份认证与服务请求合法性检查上，那么这一类可以起到防火墙作用的多归属主机就叫做应用级网关，或应用网关。多归属主机网络1网络2网络3网络3网络2网络1网卡1网卡2网卡3多归属主机多归属主机结构示意图6.2防火墙技术（2）应用级网关应用级网关原理示意图如果多归属主机连接了两个网络，那么它可以叫做双归属主机（dual-homedhost）。双归属主机可以用在网络安全与网络服务的代理上。6.2防火墙技术（3）应用代理直实服务器外部响应转发请求Internet代理客户应用层代理服务代理服务器应用协议分析请求转发响应Intranet真实的客户端应用代理是应用级网关的另一种形式，但它们的工作方式不同。应用级网关是以存储转发方式，检查和确定网络服务请求的用户身份是否合法，决定是转发还是丢弃该服务请求。因此从某种意义上说，应用级网关在应用层“转发”合法的应用请求。应用代理与应用级网关不同之处在于：应用代理完全接管了用户与服务器的访问，隔离了用户主机与被访问服务器之间的数据包的交换通道。应用代理的基本工作原理6.2防火墙技术6.2.3防火墙的系统结构1.防火墙系统结构的基本概念防火墙是一个由软件与硬件组成的系统。由于不同内部网络的安全策略与防护目的不同，防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用级网关、应用代理都可以作为防火墙使用。实际的防火墙系统要比以上原理性讨论的问题复杂得多，它们经常将包过滤路由器与应用级网关作为基本单元。采用多级的结构和多种组态。6.2防火墙技术2.堡垒主机的概念从理论上讲，用一个双归属主机作为应用级网关可以起到防火墙的作用。在这种结构中，应用级网关完全暴露给整个外部网络，而应用级网关的自身安全会影响到整个系统的工作，因此从防火墙设计者来说，运行应用级网关软件的计算机系统必须非常可靠。人们把处于防火墙关键部位、运行应用级网关软件的计算机系统称为堡垒主机。客户机双宿主机Internet6.2防火墙技术设置堡垒主机需要注意以下几个问题：（1）在堡垒主机的硬件平台上安装它的操作系统的一个安全版本，使它成为一个可信任的系统；（2）删除不必要的服务和应用软件，保留必须的服务，如DNS、FTP、SMTP与Telnet等服务，安装应用代理软件；（3）配置资源保护、用户身份鉴别与访问控制，设置审计与日志功能；（4）设计堡垒主机防攻击方法，以及被破坏后的应急方案。6.2防火墙技术3.典型防火墙的系统结构分析（1）采用一个包过滤路由器与单堡垒主机组成的防火墙系统结构客户机单堡垒主机路由器Internet采用一个包过滤路由器与单堡垒主机组成的防火墙6.2防火墙技术包过滤路由器与单堡垒主机组成的防火墙数据传输过程6.2防火墙技术（2）采用多级结构的防火墙系统对于安全要求更高的应用领域，还可以采用两个包过滤路由器与两个堡垒主机组成的防火墙系统多级结构的防火墙系统示意图6.3认证技术6.3.1认证技术概述认证技术主要解决网络通信过程中通信双方的身份认可。认证方式一般有账户名／口令认证、使用摘要算法的认证、基于PKI（公钥基础设施）的认证等。大多数情况下，授权和访问控制都是伴随在成功的认证之后的。目前有关认证的使用技术主要有：消息认证、身份认证和数字签名。6.3认证技术6.3.2消息认证1、消息认证的概念消息认证就是消息的接收者能够检验收到的消息是否正确的方法。消息认证又称为完整性校验，它在银行业称为消息认证，在OSI安全模型中称为封装。消息认证的内容应包括：证实消息的信源和信宿；消息内容是否被有意或无意地篡改；消息的序号和时间性是否正确。6.3认证技术2、安全单向散列函数安全单向散列函数即哈希函数，哈希函数提供了消息或文件的指纹，散列指纹是唯一的，因而提供了消息完整性认证。3、常用的摘要算法常用的摘要算法有：消息摘要4算法（MD4）；消息摘要5算法（MD5）；安全散列算法（SHA）。6.3认证技术6.3.3身份认证网络用户的身份认证可以通过下述3种基本途径之一或它们的组合来实现。（1）所知（Knowledge）个人所掌握的密码、口令等。（2）所有（Possesses）个人的身份证、护照、信用卡、钥匙等。（3）个人特征（Characteristics）人的指纹、声音、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征等。根据安全要求和用户可接受的程度，以及成本等因素，可以选择适当的组合，来设计一个自动身份认证系统。6.3认证技术6.3.4数字签名数据加密可以防止信息在传输过程中被截获，但是如何确定发送人的身份问题，就需要使用数字签名技术来解决。1、数字签名的基本概念数字签名将信息发送人的身份与信息传送结合起来，可以保证信息在传输过程中的完整性，并提供信息发送者的身份认证，以防止信息发送者抵赖行为的发生。6.3认证技术2、数字签名的工作原理数字签名的具体工作过程为：（1）发送方使用单向散列函数对要发送的信息进行运算，生成信息摘要；（2）发送方使用自己的私钥，利用非对称加密算法，对生成的信息摘要进行数字签名；（3）发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接收方；（4）接收方使用与发送方相同的单向散列函数，对收到的信息进行运算，重新生成信息摘要；（5）接收方使用发送方的公钥对接收的信息摘要解密；（6）将解密的信息摘要与重新生成的信息摘要进行比较，以判断信息在发送过程中是否被篡改过。6.3认证技术数字签名的工作原理示意图6.4加密技术密码技术是保证网络与信息安全的核心技术之一。密码学包括密码编码学与密码分析学。密码体制的设计是密码学研究的主要内容。人们利用加密算法和一个秘密的值（称为密钥）来对信息编码进行隐蔽，而密码分析学试图破译算法和密钥。两者相互对立，又互相促进地向前发展。6.4加密技术6.4.1密码学的基本概念1、加密算法与解密算法加密的基本思想是伪装明文以隐蔽其真实内容，即将明文伪装成密文，如图所示。伪装明文的操作称为加密，加密时所使用的信息变换规则称为加密算法。由密文恢复出原明文的过程称为解密。解密时所采用的信息变换规则称作解密算法。加密和解密过程示意图6.4加密技术2、密钥的作用加密算法和解密算法的操作通常都是在一组密钥控制下进行的。传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制。如果加密密钥和解密密钥不相同，则称为非对称密码体制。密码算法实际上很难做到绝对保密，因此现代密码学的一个基本原则是：一切秘密寓于密钥之中。在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。6.4加密技术3、什么是密文密文是明文和加密密钥相结合，然后经过加密算法运算的结果。实际上，密文是含有一个参数k的数学变换，即C＝Ek（m）。其中，m是未加密的信息（明文），C是加密后的信息（密文），E是加密算法，参数k称为密钥。密文C是明文m使用密钥k，经过加密算法计算后的结果。6.4加密技术4、密钥长度对于同一种加密算法，密钥的位数越长，破译的困难也就越大，安全性也就越好。但是密钥越长，进行加密和解密过程所需要的计算时间也将越大。我们的目标是要使破译密钥所需要的“花费”比该密钥所保护的信息价值还要大。密码长度密钥组合个数40240＝109951162777656256＝7.205759403793×101664264＝1.844674407371×10191122112＝5.192296858535×10331282128＝3.402823669209×1038密钥长度与密钥组合个数的关系6.4加密技术6.4.2对称加密技术1、对称加密的基本概念对称加密技术对信息的加密与解密都使用相同的密钥，因此又被称为密钥密码技术。但密钥的管理和传送是必须注意解决的问题。对称加密的原理示意图6.4加密技术2、典型的对称加密算法数据加密标准（dataencryptionstandard，DES）是最典型的对称加密算法，它是由IBM公司提出，经过国际标准化组织认定的数据加密的国际标准。DES算法是目前广泛采用的对称加密方式之一，主要用于银行业中的电子资金转账领域。DES算法采用了64位密钥长度，其中8位用于奇偶校验，用户可以使用其余的56位。6.4加密技术6.4.3非对称加密技术1、非对称加密的基本概念