网络安全技术讲座.ppt

第1章 引论 1.1 网络安全概述 1.2 安全的历史回顾 1.3 网络安全处理 1.4 密码学 1.5 本章小结 习题 1.1 网络安全概述 1.1.1 网络安全的概念 首先从信息安全的一般性定义来阐述。 Merriam Webster在线词典（）对信息这个词作了广泛而精确的阐述：信息是从调查、研究和教育获得的知识，是情报、新闻、事实、数据，是代表数据的信号或字符，是代表物质的或精神的经验的消息、经验数据、图片。 在线词典对安全这个词的阐述是：安全是避免危险、恐惧、忧虑的度量和状态。 将上述信息和安全两个词的定义合并起来，可给出信息安全的一般性定义：信息安全是防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施（量度）。 从信息安全的一般性定义，进一步引出本书的主题——网络安全的定义。 为此先给出计算机网络的定义。计算机网络是地理上分散的多台自主计算机互联的集合。自主计算机这一概念排除了网络系统中主从关系的可能性。互联必须遵循约定的通信协议，由通信设备、通信链路及网络软件实现。计算机网络可实现信息交互、资源共享、协同工作及在线处理等功能。 为了保证安全，需要自主计算机的安全；互联的安全，即用以实现互联的通信设备、通信链路、网络软件、网络协议的安全；各种网络应用和服务的安全。总之，我们强调的是在分布网络环境下的安全。 计算机网络的通信采用分组交换方式，分组从源站出发通过路由器在网络中传送，最终到达目的站接收。目前广泛采用TCP/IP协议，所用的地址即IP地址。不难看出，这种基于IP的Internet有很多不安全的问题。下面分别予以阐述。 1. IP安全 在Internet中，当信息分组在路由器间传递时，对任何人都是开放的，路由器仅仅搜集信息分组中的目的地址，但不能防止其内容被窥视。当黑客企图攻击网络前，他必须设法登录到接入网上的某些计算机，观察流动的数据分组，找到他感兴趣的内容。如果他接近并进入到某公司的一台外围计算机，他就极有可能监视进出这一系统的所有数据。 黑客最感兴趣的是包含口令的数据分组。口令窃听十分容易，而且是Internet最常见的攻击。黑客要安装一个用于窃取用户名和口令的分组窃听程序，这些程序可帮助黑客窃取每次登录会话信息中的头几十个字节，并保存起来。这些字节包括用户名和口令，口令通常是加密的，需要对日常口令进行破解，用破解的口令登录其他计算机。 除了网络窃听外，另一种攻击称为网络主动攻击，即在通信系统中主动插入和删除信息分组。因为网络通信是基于分组的，分组的传输经过不同的路径最后在目的地组装，黑客利用现有的通信通道，任意地插入信息分组。这叫做IP欺骗，实现起来很容易，信息分组中包括源地址和目的地址，但黑客可对其进行修改。黑客创建一个看似发自某一站点的信息分组，当Internet上的计算机看到一个分组来自于它所信任的计算机时，它就会认为对方发出的信息分组也是可信的。黑客就是利用这些信任关系攻入某台计算机，发送一个来自被信任计算机的伪造信息分组，以使目的计算机信任并接收。 另一种主动攻击称为路由攻击，这时攻击者告诉网上的两个结点，它们之间最近的传输线路就是经过他这台计算机的路径，这就使该台计算机的侦听变得更容易。 要解决这些问题，在理论上显得较容易，但实现起来却不尽然。如果把信息分组加密，传输过程中就不易解读；如果对数据分组进行验证，就可发觉插入了伪造信息分组或删除了某个信息分组。对Internet上信息分组的加密有多种方法，例如，能对一台计算机的用户经网络登录另一台计算机的连接进行加密并验证的方法，可以加密验证Internet上的Web数据流的方法，能加密验证IP通道上所有信息的方法等。 2. DNS安全 Internet对每台计算机的命名方案称为域名系统（DNS）。域名和IP地址是一一对应的，域名易于记忆，用得更普遍。当用户要和Internet上某台计算机交换信息时，只需使用域名，网络会自动转换成IP地址，找到该台计算机。同时域名也用于建立URL地址和E-mail地址。 DNS有两个概念上独立的要点：一个是抽象的，即指明名字语法和名字的授权管理规则；另一个是具体的，即指明一个分布计算系统的实现，它能高效地将名字映射到地址。 域名方案应包括一个高效、可靠、通用的分布系统，实现名字对地址的映射。分布的系统是指由分布在多个网点的一组服务器协同操作解决映射问题。高效的系统是指大多数名字映射在本地操作，只有少数名字映射需要在Internet上通信。通用的系统是指它不仅使用机器名。可靠的系统是指单台计算机的故障不会影响系统的正常运行。 DNS系统并不总是安全的。当一台计算机向DNS服务器发出查询请求，并收到回应时，它认为这一回应是正确的，DNS服务器也是真实的。其实DNS服务