第8章网络安全与攻防技术祥解.ppt

结束 第8章 网络安全与攻防技术 8.1 信息安全技术 8.2 网络安全 8.3 网络攻击与防范 本章学习要求 了解网络安全的概念 掌握密码体制和应用 掌握主要的认证技术：消息认证、身份认证和数字签名 掌握电子邮件安全协议：PGP和S/MIME 掌握防火墙的概念和种类 了解计算机病毒的概念和基本防范措施 了解入侵检测的方法 8.1 信息安全技术 8.1.1 信息安全基础 8.1.2 密码学 8.1.3 对称加密体系 8.1.4 非对称加密体系 8.1.5 散列函数 8.1.1 信息安全基础 信息安全是指信息能够机密地、完整地、可靠地传输和存储,不受偶然的或者恶意的原因而遭到破坏、更改和泄露。 信息安全具有以下五个特性： (1) 机密性 (2) 完整性 (3) 可用性 (4) 可控性 (5) 可审查性 8.1.2 密码学 密码目的：确保信息不泄露给未授权的实体 加密：对信息进行编码转换 解密：加密的逆过程 明文：被转换的信息 密文：转换后的信息 在编码转换过程中，主要涉及到密钥和加密算法，其中密钥是独立于明文，算法则是编码转换的规则。 8.1.3 对称加密体系 图8-1 对称加密过程 8.1.3 对称加密体系 特点： 1、单密钥 2、在公共信道上传输密钥极容易被截获 3、网络中有N个用户之间要进行相互通信则需要N*（N-1）个密钥。 典型算法： 1、DES算法 2、IDEA算法 3、AES算法 8.1.4 非对称加密体系 图8-3 非对称加密工作过程 8.1.4 非对称加密体系 特点： 1、采用双密钥 2、从加密算法和加密密钥要确定解密密钥，在计算上是不行的。 3、解决常规加密所面临的两大难题：分配密钥的难题；数字签名的难题 主要典型算法： 1、RSA算法 2、DSA算法 8.1.5 散列函数 Hash函数H一般满足以下几个基本要求： (1) 输入x可以为任意长度；输出数据串长度固定； (2) 正向计算容易，即给定任何m，容易算出h=H(m)； (3) 反向计算困难，即p=H-1(m)在计算上是不可行的，这也是散列函数的单向属性； (4) 抗冲突性 8.1.5 散列函数 散列函数具有以下安全特性： (1) 一致性：相同的输入产生相同的输出。 (2) 随机性：消息摘要是随机的，以防被猜出输入消息。 (3) 唯一性：几乎不可能找到两个不同消息产生相同的消息摘要。 (4) 单向性：即如果给出输出，则很难确定出输入消息。 8.2 网络安全 8.2.1 数字签名 8.2.2 认证 8.2.3 IP安全 8.2.4 Web安全 8.2.5 电子邮件的安全 8.2.6 网络系统安全 8.2.1 数字签名 图8-5 数字签名和鉴别 8.2.2 认证 认证目的： 1、验证消息的发送者是真正的，而不是冒充的，此为信源识别； 2、验证消息的完整性，在传送或存储过程中未被篡改、重放或延迟等。 主要的认证技术有： 1、消息认证 2、身份认证 3、数字签名 8.2.3 IP安全 IP层的安全包含三个功能：鉴别、机密性和密钥管理。 1、鉴别机制可以保证IP包确实由声明的发送方所发送； 2、机密性可以保证数据包在传输过程中不被第三方所窃听； 3、密钥管理则用来处理通信密钥的安全交换。 IPSec提供两种安全协议 1、 AH(鉴别首部) 2、 ESP（封装安全有效载荷）。 8.2.4 Web安全 威胁 后果 对策 完整性 修改用户数据 特洛伊木马浏览器 对存储器的修改 修改传输中的报文通信量 信息丢失 危及机器安全 易受到其他威胁攻击 加密的校验和 机密性 在网上窃听 从服务器上偷窃信息 从客户那偷窃信息 有关网络配置的信息 信息丢失 丢失秘密 加密 Web代理 拒绝服务 破坏用户线程 用假的请求来淹没机器 填满硬盘或存储器 通过DNS攻击来孤立机器 破坏性的 骚扰性的 阻止用户完成工作 难以防治 鉴别 扮演合法用户 伪造数据 误传用户 相信假信息是合法的 加密技术 表8-2 Web所面临的威胁 8.2.5 电子邮件的安全 电子邮件除了提供正常的收发邮件功能外，还应提供相应的鉴别和机密性服务。 目前使用较为广泛的有两种技术： 1、PGP 主要提供了5种服务：鉴别、机密性、压缩、分段和基数64转换。 2、S/MIME (1)加密的数据 (2)签名的数据 (3)清澈签名的数据 (4)签名并且加密的数据： 8.2.6 网络系统安全 8.2.6.1 防火墙 8.2.6.2 防病毒 8.2.6.3 虚拟专用网(VPNs) 8.2.6.4 网络管理安全 8.2.6.1 防火墙 防火墙的基本目标： (1