网络安全基础与防火墙

网络安全基础与防火墙CIW中国认证网络安全标准第四单元应用加密2010-5-20计算机工程系网络安全课程组3学习目标使用加密的意义和作用使用公共密钥创建信任关系了解对称加密、非对称加密和hash加密了解与加密相关的术语在Windows2000和Linux系统中应用和部署公共密钥加密企业中PKI技术的应用数字签名的作用2010-5-20计算机工程系网络安全课程组4加密的主要功能数据的保密性：加密能防止数据不被未授权的用户知道。身份验证：通过验证用户的加密要素，从而识别用户的身份。保证数据的完整性：加密能保证和检查数据有没有被更改。2010-5-20计算机工程系网络安全课程组5创建信任关系应用加密意味着在两个主机之间建立信任关系，主机利用密钥加密信息，从而保证只有相对应的某个远程主机才能解密信息，加密过程一般用公共密钥完成。公钥的发布方法有两种：手动发布:这种方法通常用在邮件信息的加密里面。自动发布：主要使用到的是公共密钥结构体系，如Windows2000的域里面就是采用了自动发布公钥。2010-5-20计算机工程系网络安全课程组6Round加密术语Round是在加密过程中一个离散过程。通常一种算法要经过很多“轮”的运算。大多数的对称加密算法都使用很多次的轮数进行加密。2010-5-20计算机工程系网络安全课程组7ParallelizationParallelization是指使用多进程、多处理器或多台机器来破解一种加密算法。2010-5-20计算机工程系网络安全课程组8StrongEncryption强加密是使用一些超过128位长度的密钥来实施的。2010-5-20计算机工程系网络安全课程组9对称密钥加密对称密钥加密也称为单密钥加密特点：快速并易于实施，适合大量信息的加密，管理不便，容易被破解。2010-5-20计算机工程系网络安全课程组10对称加密算法的模型2010-5-20计算机工程系网络安全课程组11对称加密算法对称加密算法有:DES(DataEncryptionStandard)数据加密标准TripleDES三重DESRSA算法•RC2andRC4•RC5•RC6Blowfish(upto448bit)andTwofish（upto256）Skipjack美国国家安全局设计的加密程序MARS由IBM设计，速度比DES要快2010-5-20计算机工程系网络安全课程组12数据加密标准DESDES是一种block（块）密文的加密算法，是把数据加密成64位长度的block（块）。使用相同的密钥来加密和解密，这种标准使用一种叫做“diffusionandconfusion”的技术。每64位的数据被分成两半，并利用密钥对每一半进行运算(称做—次round或是轮)，DES运行16个rounds，并且对于每个round运算所使用密钥的位数是不同的。2010-5-20计算机工程系网络安全课程组13TripleDES(三重DES)信息首先被使用56位的密钥加密，然后用另一个56位的密钥译码，最后再用原始的56位密钥加密，实际上运行了三次，也就是原有DES密钥长度的3倍。2010-5-20计算机工程系网络安全课程组14RSA安全公司的对称算法RC2和RC5:RC2是一种block（块）模式的密文，就是把信息加密成64位的数据块。RC5使用128位密钥的算法并有12到16个rounds。RC4:RC4是—种流式的密文而不是块式密文件，加密是动态的，不像RC2有个固定的块大小，就是实时的把信息加密成一个整体。密钥的长度也是可变的，在美国一般密钥长度是128位，向外出口时限制到40位，因为受到美国出口法的限制。LotusNotes，OracleSQL都使用RC4的算法。2010-5-20计算机工程系网络安全课程组15Twofish和MARSTwofish这种算法使用128位的block并且速度很快。Twofish支持28位，192，和256位的密钥，是一种可用于智能卡上的加密算法。MARS是由IBM提出的—种算法，并且速度要比DES还要快，和Twofish一样，它主要也是面向工作在智能卡上而设计的。2010-5-20计算机工程系网络安全课程组16其它的对称加密算法Misty1和Misty2:是由日本三菱电子开发的一种算法，采用一种128位的块密钥加密，每块64位。Misty2经过改进比Misty更快。Gost:最初是由苏联用于研究用途，也是一种块密文的加密方式，密钥长度为256位，每块的长度为4位。Cast256:一种采用64位为一块，而密钥长度为256的块密文加密方式。HNC：用于一系列的私有加密或非正式加密的应用，它由HNC（）公司所开发，主要用于创建分发软件包的访问代码。2010-5-20计算机工程系网络安全课程组17实验4-1使用Apocalypso程序加密和解密文件2010-5-20计算机工程系网络安全课程组18非对称加密也称为公钥加密，成对使用，公钥对外公开，私钥需要安全保护。特点：算法精密，保密性好，密钥便于管理，加密速度慢。2010-5-20计算机工程系网络安全课程组19非对称加密算法的模型（1）2010-5-20计算机工程系网络安全课程组20非对称加密算法的模型（2）2010-5-20计算机工程系网络安全课程组21非对称密钥加密元素非对称密钥加密元素包括:RSA美国国家技术标准局的标准，被广泛采用DSA(DigitalSignatureAlgorithm)用于LINUXDiffie-Hellman密钥交换协议，开放式标准2010-5-20计算机工程系网络安全课程组22HASH加密HASH加密是把一些不同长度的信息转化成杂乱的128位编码，叫做hash值。解密是不可能的，也叫一次性加密，广泛用于身份识别，安全加密，数字签名等。2010-5-20计算机工程系网络安全课程组23HASH算法HASH算法包括:MD2,MD4andMD5:使用不同长度的数据流，产生一个唯一的指纹，用于对E-mail,证书，保证内容完整性的相关应用。安全HASH算法(SHA):由NIST和NSA开发并应用于美国政府，160位hash值，结构与MD5类似，速度比MD5慢25%，比MD5更安全，产生的Hash值比MD5长25%。2010-5-20计算机工程系网络安全课程组24扩展实验4-1在LINUX中用MD5验证HASH算法2010-5-20计算机工程系网络安全课程组25应用加密的过程2010-5-20计算机工程系网络安全课程组26应用加密的过程2010-5-20计算机工程系网络安全课程组27PGP和GPG针对电子邮件和文本文件最流行的高技术加密程序就是PGP和GPG，两者是最成功的采用对称加密和非对称加密技术以及HASH加密的优点的加密程序。安装了PGP或GPG以后，需要生成一对密钥对，这一对密钥是非对称的，即公钥和私钥是各不相同又紧密联系的。PGP和GPG也采用了对称加密技术，在生成公钥和私钥的时候会要求输入一个简单好记的密钥，这个密钥用于保护刚才生成的密钥对。2010-5-20计算机工程系网络安全课程组28实验4-2至4-6学习使用PGP发送加密电子邮件1、安装PGP7.032、生成密钥对3、对公共密钥导出、交换、签名4、交换加密信息5、使用PGP对文件进行加密2010-5-20计算机工程系网络安全课程组29公共密钥体系结构PKIPKI是“PublicKeyInfrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。PKI技术的意义:通过PKI可以构建一个可管、可控、安全的互联网络。通过PKI可以在互联网中构建一个完整的授权服务体系。通过PKI可以建设一个普适性好、安全性高的统一平台。2010-5-20计算机工程系网络安全课程组30PKI的标准X.209（1988）ASN.1基本编码规则的规范X.500（1993）信息技术之开放系统互联：概念、模型及服务简述X.509（1993）信息技术之开放系统互联：鉴别框架PKCS系列标准OCSP在线证书状态协议LDAP轻量级目录访问协议2010-5-20计算机工程系网络安全课程组31虚拟专用网络(VPN)VPN定义：不是真的专用网络，但可以实现专用网络的功能，依靠ISP和NSP，通过VPN设备或软件技术在任意两个节点之间形成一个虚拟的点到点专线技术。特点：安全保障服务质量保证可扩充性和灵活性可管理性2010-5-20计算机工程系网络安全课程组32VPN安全技术隧道技术（Tunneling）PPTP，L2TP,L2F加解密技术（Encryption&Decryption）密钥管理技术（KeyManagement）IKE,SKIP身份认证技术（Authentication）CHAP,MSCHAP2010-5-20计算机工程系网络安全课程组33隧道技术（Tunneling）隧道技术是一种类似于点到点的技术，它在公用网建立一条数据通道（隧道），让数据通过此通道传输。隧道由隧道协议组成。第二层隧道协议：1.PPTP：主要由微软公司在PPP的基础上开发的一种协议，没有对PPP进行修改，将标准PPP加上封装，支持Client-LAN的VPN连接，需要先建立PPP的连接。2.L2F是由思科公司开发的一种提供虚拟拔号的隧道协议，支持LAN－LAN的连接3.L2TP结合两者的优点2010-5-20计算机工程系网络安全课程组34VPN与IPsecIpsec处于各个协议层的中间位置，既能捕获高层的报文，也能捕获低层的报文，附加的安全措施与低层无关对高层透明。安全性：Ipsec更安全，PPTP采用RC4的算法，支持40或128位的加密算法，IPsec采用168位的三重DES算法。2010-5-20计算机工程系网络安全课程组35安全套接字层(SSL)SSL允许两个应用程序通过使用数字证书认证后在网络中进行通信，它还使用加密及信息摘要来保证数据的可靠性。SSL是工作在传输层协议上的，所有的浏览器都支持SSL，所以应用程序在使用它时不需要特殊的代码。SSL2.0最早是由Netscape公司发明的并在1995年成为一项标准，SSL3.0定义于1996年，是当前的标准并且所有浏览器都支持它。2010-5-20计算机工程系网络安全课程组36数字签名数字签名的功能：接收者能够核实发送者对报文的签名发送者事后不能抵赖对报文的签名任何人不能伪造对报文的签名保证数据的完整性，防止截获者在文件中加入其他信息对数据和信息的来源进行保证，以保证发件人的身份数字签名有一定的处理速度，能够满足所有的应用需求第五单元基本攻击2010-5-20计算机工程系网络安全课程组38学习目标描述典型的安全攻击类型识别常见的攻击事件2010-5-20计算机工程系网络安全课程组39攻击行为的动机黑客攻击的动机各不相同，有的为了达到目的，有的是为了获取金钱，有的是为了个人兴趣，有的是因为无知和好奇。要进一步解决安全问题，我们需要了解可能遇到的攻击类型。为了防御黑客，还需要了解黑客所采用的技术、使用的工具及软件。2010-5-20计算机工程系网络安全课程组40暴力破解和字典攻击暴力攻击使用字母、数字和字符的随机组合反复进行试探性访问。暴力攻击程序通过简单地猜测用户名和反复访问服务器来破解一台服务器或数据文件。字典穷举法攻击通过查询一个“字典文件”来尝试破译口令，此文件包括一个很长的单词列表。容易破译用户使用标准的单词设置的口令。使用强密码可有效地防止暴力破解和字典攻击。2010-5-20计算机工程系网络安全课程组41扩展实验5-1使用字典破解工具进行Windows口令破解L0PHTCrackerSamInsideNAT2010-5-20计算机工程系网络安全课程组42系统漏洞和后门系统漏洞是程序中无意造成的缺陷，它形成了一个不被注意的通道。后门是一个在操作系统或程序中无证明文件的通道，通常是由软件开发人员故意放