网络安全与攻防技术.pptVIP

第8章网络安全与攻防技术8.1信息安全技术8.2网络安全8.3网络攻击与防范了解网络安全的概念掌握密码体制和应用掌握主要的认证技术：消息认证、身份认证和数字签名掌握电子邮件安全协议：PGP和S/MIME掌握防火墙的概念和种类了解计算机病毒的概念和基本防范措施了解入侵检测的方法本章学习要求AEDBC密码学对称加密体系散列函数非对称加密体系信息安全基础8.1信息安全技术信息安全是指信息能够机密地、完整地、可靠地传输和存储,不受偶然的或者恶意的原因而遭到破坏、更改和泄露。信息安全具有以下五个特性：机密性完整性可用性 可控性可审查性8.1.1信息安全基础01密码目的：确保信息不泄露给未授权的实体02加密：对信息进行编码转换03解密：加密的逆过程04明文：被转换的信息05密文：转换后的信息06在编码转换过程中，主要涉及到密钥和加密算法，其中密钥是独立于明文，算法则是编码转换的规则。8.1.2密码学8.1.3对称加密体系图8-1对称加密过程单密钥在公共信道上传输密钥极容易被截获网络中有N个用户之间要进行相互通信则需要N*（N-1）个密钥。特点：1典型算法：DES算法IDEA算法AES算法28.1.3对称加密体系8.1.4非对称加密体系图8-3非对称加密工作过程采用双密钥从加密算法和加密密钥要确定解密密钥，在计算上是不行的。解决常规加密所面临的两大难题：分配密钥的难题；数字签名的难题特点：1RSA算法DSA算法主要典型算法：28.1.4非对称加密体系输入x可以为任意长度；输出数据串长度固定；正向计算容易，即给定任何m，容易算出h=H(m)；反向计算困难，即p=H-1(m)在计算上是不可行的，这也是散列函数的单向属性；抗冲突性Hash函数H一般满足以下几个基本要求：8.1.5散列函数01一致性：相同的输入产生相同的输出。02随机性：消息摘要是随机的，以防被猜出输入消息。03唯一性：几乎不可能找到两个不同消息产生相同的消息摘要。04单向性：即如果给出输出，则很难确定出输入消息。散列函数具有以下安全特性：8.1.5散列函数AEDFBC认证IP安全电子邮件的安全Web安全网络系统安全数字签名8.2网络安全8.2.1数字签名图8-5数字签名和鉴别验证消息的发送者是真正的，而不是冒充的，此为信源识别；验证消息的完整性，在传送或存储过程中未被篡改、重放或延迟等。认证目的：消息认证身份认证数字签名主要的认证技术有：8.2.2认证鉴别机制可以保证IP包确实由声明的发送方所发送；机密性可以保证数据包在传输过程中不被第三方所窃听；密钥管理则用来处理通信密钥的安全交换。IP层的安全包含三个功能：鉴别、机密性和密钥管理。01AH(鉴别首部) ESP（封装安全有效载荷）。IPSec提供两种安全协议028.2.3IP安全8.2.4Web安全威胁后果对策完整性修改用户数据特洛伊木马浏览器对存储器的修改修改传输中的报文通信量信息丢失危及机器安全易受到其他威胁攻击加密的校验和机密性在网上窃听从服务器上偷窃信息从客户那偷窃信息有关网络配置的信息信息丢失丢失秘密加密Web代理拒绝服务破坏用户线程用假的请求来淹没机器填满硬盘或存储器通过DNS攻击来孤立机器破坏性的骚扰性的阻止用户完成工作难以防治鉴别扮演合法用户伪造数据误传用户相信假信息是合法的加密技术表8-2Web所面临的威胁8.2.5电子邮件的安全电子邮件除了提供正常的收发邮件功能外，还应提供相应的鉴别和机密性服务。目前使用较为广泛的有两种技术： 1、PGP 主要提供了5种服务：鉴别、机密性、压缩、分段和基数64转换。 2、S/MIME (1)加密的数据 (2)签名的数据 (3)清澈签名的数据 (4)签名并且加密的数据：标题01防火墙02防病毒04网络管理安全03虚拟专用网(VPNs)8.2.6网络系统安全8.2.6.1防火墙防火墙的基本目标：内部网络和外部网络之间的所有通信量都要经过防火墙的检测。只有授权的协议和服务，通过防火墙安全策略定义后才能被允许通过。本身具有防攻击的能力。防火墙主要有两种类型，分别是包过滤防火墙和应用级网关。8.2.6.2防病毒计算机病毒也有其生命周期，一般经历四个阶段： (1)潜伏阶段 (2)繁殖阶段 (3)触发阶段