2010-11第5章网络安全技术

计算机与通信工程学院第1页主讲教师：郭力杰Email:guo_lijie163@163.comOffice:XNA109计算机与通信工程学院第2页本章学习要求:了解：网络安全的重要性。掌握：密码体制的基本概念及应用。掌握：防火墙的基本概念。了解：网络入侵检测与防攻击的基本概念与方法。了解：网络病毒防治的基本方法。计算机与通信工程学院第3页5.1网络安全概述网络安全案例2001美机撞毁王伟战机并入侵我领空政府网站遭袭1999通过网络传播的CIH病毒经济损失12亿1999河南某BBS发布虚假帖子造成社会动荡二战美破译日密码，全歼日舰队用google搜索“黑客攻击案例”相关网页达38万多条计算机与通信工程学院第4页5.1.1计算机安全与计算机网络安全通信子网资源子网CCP计算机网络的组成计算机与通信工程学院第5页计算机安全的主要内容计算机硬件的安全性软件安全性数据安全性计算机运行安全性计算机与通信工程学院第6页破坏计算机安全的途径•窃取计算机用户口令、上机或通过网络非法访问数据、复制、删改软件和数据。•通过磁盘、网络等传播计算机病毒。•通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。•偷窃存储有重要数据的存储介质，如光盘、磁带、硬盘、软盘等。•“黑客”通过网络非法侵入计算机系统。计算机与通信工程学院第7页计算机网络安全计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。（狭义观点）计算机网络安全从其本质上来讲就是系统上的信息安全。计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。计算机与通信工程学院第8页从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以，广义的计算机网络安全还包括信息设备的物理安全性，诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算机病毒等。计算机与通信工程学院第9页网络安全的内涵信息的保密性（Security）完整性（Integrity）可靠性（Reliability）实用性（Utility）真实性（Authenticity）占有性（Possession）计算机与通信工程学院第10页可能受到威胁的网络资源•硬件设备，如服务器、交换机、路由器、集线器和存储设备等•软件，如操作系统、应用软件、开发工具等•数据或信息计算机与通信工程学院第11页攻击计算机网络安全的主要途径•通过计算机辐射、接线头、传输线路截获信息。•绕过防火墙和用户口令而进入网络，获取信息或修改数据。•过截获窃听破译数据。•“黑客”通过电话网络尝试进入计算机网络。•向计算机网络注入“病毒”，造成网络瘫痪。计算机与通信工程学院第12页攻击计算机网络安全的方法和类型身份窃取非授权访问冒充合法用户数据窃取破坏数据的完整性拒绝服务事后否认数据流分析干扰系统正常运行病毒恶意攻击计算机与通信工程学院第13页源站目的站截获源站目的站中断源站目的站篡改源站目的站伪造被动攻击主动攻击截获（Interception）:攻击者从网上窃取他人的通信内容。中断（Interruption）:攻击者有意中断他人在网络上的通信。篡改（Modification）:攻击者故意篡改网络上传送的报文。伪造（Fabrication）:攻击者伪造信息在网络上传送。对网络的被动攻击和主动攻击计算机与通信工程学院第14页开放系统互连(OSI)基本参考模型(ISO7498)的五种安全服务方案：l鉴别(Authentication)：包括对等实体鉴别和数据源鉴别，它提供了通信对等实体和数据源的验证。l访问控制(AccessControl)：为防止非授权使用系统资源提供保护。l数据保密(DataConfidendance)：主要是为了保护系统之间数据交换的安全性。5.1.2网络安全体系计算机与通信工程学院第15页l数据完整性(Dataintegrity)：防止非法用户对正常交换数据的破坏或防止交换过程数据丢失。l抗否认(Non-repudiation)：一是带有源证据的抗否认服务，二是带有交付证据的抗否认服务。计算机与通信工程学院第16页计算机网络安全的三个层次安全立法安全管理安全技术计算机与通信工程学院第17页网络安全标准《电子计算机系统安全规范》，1987年10月《计算机软件保护条例》，1991年5月《计算机软件著作权登记办法》，1992年4月《中华人民共和国计算机信息与系统安全保护条例》，1994年2月《计算机信息系统保密管理暂行规定》，1998年2月《关于维护互联网安全决定》，全国人民代表大会常务委员会通过，2000年12月计算机与通信工程学院第18页可信计算机系统评估准则TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）；可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1；D级系统的安全要求最低，A1级系统的安全要求最高。计算机与通信工程学院第19页制定合理的网络管理措施加强网络使用人员的安全措施建立完善的安全管理体制和制度管理规范化、标准化、科学化计算机与通信工程学院第20页用户认证。在网上不透明地发送用户名和密码。确信服务在Internet和Intranet上都有效，即避免在防火墙内外采取不同的安全措施。在实时和存储转发情况下保护通信秘密。确保信息在发送和接收间避免干扰。保护秘密文件，只有授权用户才能访问。安全技术措施计算机与通信工程学院第21页实体访问控制，防止非工作人员接近系统。保护网络介质，加强系统设备而后通信线路的定期检查和维修。数据访问控制，只有授权用户才可访问系统资源。数据存储保护，做好数据备份和安全保管。计算机病毒防护，以预防为主。局域网安全技术计算机与通信工程学院第22页数据通信加密：采用DES、RSA算法等对通信数据加密。通信链路安全保护：选择保密性较好的通信线路和设备，如光纤，重要信息不采用无线电传输。采用局域网络安全的各项措施。广域网安全技术计算机与通信工程学院第23页Internet的安全要求由于Internet是一种真正意义的全球网，所以假如没有加密技术的帮助，所有的通信都会毫无“秘密”可言。对一家打算从事电子商务的公司而言—亦即通过Internet销售产品和提供服务，通信的安全是一个最基本的前提。在Internet网上，每个人都需要、而且有权利保护自己的个人隐私。某人上网之后，对隐私的这种要求并未消失。隐私也不仅仅是信任谁和不信任谁的问题，它也包括匿名的权利。人们在赛伯空间里畅游的时候，一个经常被忽略的问题是个人保持匿名的权利。加密技术可有效地解决这些问题。计算机与通信工程学院第24页5.2数据加密与数据隐藏技术信息加密技术是保障信息安全的核心技术。一个数据加密系统包括加密算法、明文、密文以及密钥，密钥控制加密和解密过程，一个加密系统的全部安全性是基于密钥的，而不是基于算法，所以加密系统的密钥管理是一个非常重要的问题。计算机与通信工程学院第25页名词解释：加密系统：由算法以及所有可能的明文,密文和密钥组成。密码算法：密码算法也叫密码(cipher),适用于加密和解密的数学函数.(通常情况下,有两个相关的函数：一个用于加密,一个用于解密)。明文(plaintext)：未被加密的消息。密文(ciphertext)：被加密的消息。计算机与通信工程学院第26页加密(encrypt),解密(decrypt)：用某种方法伪装消息以隐藏它的内容的过程称为加密；相反的过程叫解密。密钥(key)：密钥就是参与加密及解密算法的关键数据。没有它明文不能变成密文,密文不能明文。加密算法E解密算法D原始明文密文明文加密密钥KE解密密钥KD它必须满足P=D（KD，E（KE，P））函数！计算机与通信工程学院第27页对称算法基于密钥的算法通常有两类：对称算法和公开密钥算法（非对称算法）。对称算法有时又叫传统密码算法，加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加解密的密钥是相同的。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。对称算法的加密和解密表示为：EK（M）=CDK（C）=M计算机与通信工程学院第28页公开密钥算法公开密钥算法（非对称算法）的加密的密钥和解密的密钥不同，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。加密密钥叫做公开密钥（简称公钥），解密密钥叫做私人密钥（简称私钥）。公开密钥K1加密表示为：EK1（M）=C。公开密钥和私人密钥是不同的，用相应的私人密钥K2解密可表示为：DK2（C）=M。计算机与通信工程学院第29页对称加密加密过程解密过程密钥明文密文明文计算机与通信工程学院第30页非对称密钥密码体系加密过程解密过程公钥明文密文明文私钥计算机与通信工程学院第31页5.2.1数据加密算法数据加密算法经历了以下三个阶段。1）古典密码：包括恺撒挪移加密、置换加密。2）对称密钥密码：包括DES和AES。3）公开密钥密码：包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamalD_H等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法等。计算机与通信工程学院第32页两千多年前，罗马国王JuliusCaesare（恺撒）就开始使用目前称为“恺撒密码”的密码系统。•恺撒挪移算法，将明文中的每个字母都移动一段距离。•这种密码系统太脆弱、太容易被攻破了。恺撒密码计算机与通信工程学院第33页恺撒挪移例：Alice要将明文“gaulisdividedintothreepart”加密成密文，传给Bob。计算机与通信工程学院第34页恺撒挪移码加密示例密钥产生）Alice与Bob协定编码方式为明文字母后移4位，即加密密钥及解密密钥同为K=4。密匙：Alice将明文“gaulisdividedintothreepart”转为数字代码：（6，0，20，11，8，18，3，8，21，8，3，4，3，8，13，19，14，19，7，17，4，4，15，0，17，19）。使用加密函数E（m）m+k=m+4（mod26）计算得：（10，4，24，15，12，22，7，12，25，12，7，8，7，12，17，23，17，23，11，21，8，8，19，4，21，23）即密文“K，E，Y，P，M，Z，M，H，I，H，M，R，X，R，X，L，V，I，I，T，E，V，X”。加密：计算机与通信工程学院第35页解密：Bob收到密文“KEYPMZMHIHMRXRXLVIITEVX”=（10，4，24，15，12，22，7，12，25，12，7，8，7，12，17，23，17，23，11，21，8，8，19，4，21，23）使用解密函数D（c）c-k=c-4（mod26）计算，并考虑空格，可还原明文：（6，0，20，11，8，18，3，8，21，8，3，4，3，8，13，19，14，19，7，17，4，4，15，0，17，19）=“gaulisdividedintothreepart”。计算机与通信工程学院第36页下面举例说明法国密码学家Vigenere以他自己的名字命名的维吉利亚密码：P=datasecurity，k=best算法如下：a.制作维吉利亚方阵如表5.1所示。规则是第i行以I打头。维吉利亚密码计算机与通信工程学院第37页表5.1维吉利亚方阵计算机与通信工程学院第38页b.按密钥的长度将P分解若干节。这里best的长度为4，故将明文分解为表5.2所示