866第八章 計(jì)算機(jī)網(wǎng)絡(luò)安全

1、8.1網(wǎng)絡(luò)安全問題概述8.2數(shù)據(jù)加密技術(shù)8.3防火墻技術(shù)8.4其它網(wǎng)絡(luò)安全技術(shù)8.5計(jì)算機(jī)網(wǎng)絡(luò)管理 第八章 計(jì)算機(jī)網(wǎng)絡(luò)安全 當(dāng)資源共享廣泛用于政治、軍事、經(jīng)濟(jì)以及社會(huì)的各個(gè)領(lǐng)域，網(wǎng)絡(luò)的用戶來(lái)自社會(huì)各個(gè)階層與部門時(shí)，大量在網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)就需要保護(hù)。這些數(shù)據(jù)在存儲(chǔ)和傳輸過程中，都有可能被盜用、暴露或篡改。本章將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問題的基本內(nèi)容進(jìn)行初步的討論，更深入的了解還需要進(jìn)一步查閱有關(guān)文獻(xiàn)。8.1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的定義計(jì)算機(jī)網(wǎng)絡(luò)安全的定義 國(guó)際標(biāo)準(zhǔn)化組織(iso)對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭

2、到破壞、更改和泄露。 8.1網(wǎng)絡(luò)安全問題概述網(wǎng)絡(luò)安全問題概述8.1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容 1.可靠性： 2.可用性： 3.保密性： 4.完整性： 5.真實(shí)性：8.1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅 1.截獲 ：當(dāng)甲通過網(wǎng)絡(luò)與乙通信時(shí)，如果不采取任何保密措施，那么其他人(如丙)，就有可能偷聽到他們的通信內(nèi)容。 2.中斷 ：當(dāng)用戶正在通信時(shí)，有意的破壞者可設(shè)法中斷他們的通信。 3.篡改：乙給甲發(fā)了如下一份報(bào)文：“請(qǐng)給丁匯一百元錢，乙”。報(bào)文在轉(zhuǎn)發(fā)過程中經(jīng)過丙，丙把“丁”改為“丙”。這就是報(bào)文被篡改。 4.偽造：用計(jì)算機(jī)通信時(shí)，若甲的屏幕上顯示出“我

3、是乙”時(shí)，甲如何確信這是乙而不是別人呢? 對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊源站源站目的站中斷目的站偽造源站目的站截獲被動(dòng)攻擊源站目的站篡改主動(dòng)攻擊 另外還有一種特殊的主動(dòng)攻擊就是惡意程序(rogue program)的攻擊。惡意程序種類繁多，對(duì)網(wǎng)絡(luò)安全威脅較大的主要有以下幾種： 1.計(jì)算機(jī)病毒： 2.計(jì)算機(jī)蠕蟲： 3.邏輯炸彈:8.1.4 保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的措施保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的措施 1物理措施： 2訪問控制： 3數(shù)據(jù)加密： 4防止計(jì)算機(jī)網(wǎng)絡(luò)病毒： 5其他措施： 8.2.1 數(shù)據(jù)加密概念數(shù)據(jù)加密概念 所謂數(shù)據(jù)加密是指通過對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密來(lái)保障網(wǎng)絡(luò)資源的安全性。加密是保證網(wǎng)絡(luò)資源安全的基

4、礎(chǔ)技術(shù)，是一種主動(dòng)安全防御策略。 數(shù)據(jù)秘密性要求被存儲(chǔ)或被傳輸?shù)臄?shù)據(jù)是經(jīng)過偽裝的，即使數(shù)據(jù)被第三者竊取或竊聽都無(wú)法破譯其中的內(nèi)容，通常是采用密碼技術(shù)來(lái)實(shí)現(xiàn)。 8.2數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密、解密原理加密算法通信信道解密算法明文m明文m密文c密文c加密密鑰ke解密密鑰kd竊取者接收方發(fā)送方8.2.2 對(duì)稱密鑰加密技術(shù)對(duì)稱密鑰加密技術(shù) 對(duì)稱密鑰加密也叫作私鑰加密，加密和解密使用相同密鑰，并且密鑰是保密的，不向外公布。對(duì)稱密鑰加密原理安全信道加密算法通信信道解密算法明文m明文m密文c密文c加密密鑰ke解密密鑰kd竊取者接收方發(fā)送方 對(duì)稱密鑰加密方法中，比較典型的加密算法是數(shù)據(jù)加密標(biāo)準(zhǔn)(des

5、)算法。它是由ibm公司研制，于1977年被美國(guó)定為聯(lián)邦信息標(biāo)準(zhǔn)，iso也將它作為數(shù)據(jù)加密標(biāo)準(zhǔn)。 加密步驟2逆e函數(shù)變換變換e 函數(shù)變換加密步驟1明文64bit密文64bit密鑰54bitdes加密算法流程8.2.3 非對(duì)稱密鑰加密技術(shù)非對(duì)稱密鑰加密技術(shù) 公開密鑰加密技術(shù)也稱非對(duì)稱密碼加密技術(shù)，它有兩個(gè)不同的密鑰：一個(gè)是公布于眾，誰(shuí)都可以使用的公開密鑰，一個(gè)是只有解密人自己知道的秘密密鑰。在進(jìn)行數(shù)據(jù)加密時(shí)，發(fā)送方用公開密鑰將數(shù)據(jù)加密，對(duì)方收到數(shù)據(jù)后使用秘密密鑰進(jìn)行解密。 非對(duì)稱密鑰加密原理密文c公開信道明文m加密密鑰pkb發(fā)送方明文m解密密鑰skb接收方pkb/skb分別為收方的公開/私用密鑰

6、加密算法解密算法 最常用的公開密鑰算法有rsa。rsa算法是由美國(guó)麻省理工學(xué)院mit的三位科學(xué)家rivest、shamir和adleman于1977年提出的，并以三人的姓氏首字母命名。該算法所根據(jù)的原理是利用了數(shù)論的一個(gè)事實(shí)，即尋找兩個(gè)大素?cái)?shù)，并相乘生成為一個(gè)合數(shù)比較容易，但是要把一個(gè)合數(shù)分解為兩個(gè)素?cái)?shù)卻極其困難，該算法可以表述如下： 1密鑰的產(chǎn)生 2加密過程 3解密過程 1密鑰的產(chǎn)生。假設(shè)m是想要傳送的明文，現(xiàn)任選兩個(gè)很大的素?cái)?shù)p與g，使得模數(shù)n=pgm；選擇正整數(shù)e，使得e與(p-1) (g-1)互素，這里 (p-1) (g-1)表示兩者相乘；再利用輾轉(zhuǎn)相除法，求得解密指數(shù)d，使得(ed)

7、 mod (p-1) (g-1)=1。 這樣，就得到(e，n)是用于加密的公開密鑰，可以公布出去；(d，n)是用于解密的密鑰，必須保密。 2加密過程。使用(e,n)對(duì)明文m進(jìn)行加密，算法為：c= me modn。c即是m加密后的密文。 3解密過程。使用(d,n)對(duì)密文c進(jìn)行解密，算法為：m= cd modn。求得的m即為對(duì)應(yīng)于密文c的明文。 8.2.4 網(wǎng)絡(luò)加密技術(shù)網(wǎng)絡(luò)加密技術(shù) 在計(jì)算機(jī)網(wǎng)絡(luò)中，數(shù)據(jù)加密包括傳輸過程中的數(shù)據(jù)加密和存儲(chǔ)數(shù)據(jù)加密。對(duì)于傳輸加密，一般有硬件加密和軟件加密兩種實(shí)現(xiàn)方法。使用硬件數(shù)據(jù)保密機(jī)時(shí)，在公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是不可懂的加密密文。 數(shù)據(jù)加密機(jī)在網(wǎng)絡(luò)中的位置外部網(wǎng)絡(luò)密文

8、信息modem數(shù)據(jù)加密機(jī)8.3.1 防火墻的基本概念防火墻的基本概念 防火墻從本質(zhì)上說是一種保護(hù)裝置，可從三個(gè)層次上來(lái)理解防火墻的概念： 首先，“防火墻”是一種安全策略，它是一類防范措施的總稱。 8.3防火墻技術(shù)防火墻技術(shù) 其次，防火墻是一種訪問控制技術(shù)，用于加強(qiáng)兩個(gè)網(wǎng)絡(luò)或多個(gè)網(wǎng)絡(luò)之間的訪問控制。 最后，防火墻作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的隔離設(shè)備，它是由一組能夠提供網(wǎng)絡(luò)安全保障的硬件、軟件構(gòu)成的系統(tǒng)。1防火墻的優(yōu)點(diǎn) 1)防火墻能強(qiáng)化安全策略。 2)防火墻能有效地記錄intemet上的活動(dòng)。 3)防火墻限制暴露用戶點(diǎn)。 4)防火墻是安全策略的檢查站 網(wǎng)關(guān)過濾器過濾器外部?jī)?nèi)部防火墻規(guī)劃2防火墻的不

9、足之處 1)不能防范惡意的知情者。 2)不能防范不通過它的連接。 3)不能防備全部的威脅。 4)不能防火墻不能防范病毒。8.3.2 防火墻的技術(shù)原理防火墻的技術(shù)原理1包過濾技術(shù) 包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則，通過檢查ip數(shù)據(jù)包來(lái)確定是否允許該數(shù)據(jù)包通過。而那些不符合規(guī)定的ip地址會(huì)被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。 2代理技術(shù) 顧名思義，所謂“代理”就是代表別的事物而動(dòng)作的人或機(jī)構(gòu)。代理技術(shù)的基本思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信，但是它們不能越過它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器，它運(yùn)行在兩個(gè)

10、網(wǎng)絡(luò)之間，對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。 代理的實(shí)現(xiàn)過程代理服務(wù)器用戶外部主機(jī)實(shí)際的連接感覺的連接3狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點(diǎn)，能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。同包過濾技術(shù)一樣，它能夠檢測(cè)通過ip地址、端口號(hào)以及tcp標(biāo)記，過濾進(jìn)出的數(shù)據(jù)包。只是在分析應(yīng)用層數(shù)據(jù)時(shí)，它與一個(gè)應(yīng)用層網(wǎng)關(guān)不同的是，它并不打破客戶機(jī)/服務(wù)機(jī)模式，允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。 8.3.3 防火墻系統(tǒng)的實(shí)現(xiàn)類型防火墻系統(tǒng)的實(shí)現(xiàn)類型 1包過濾防火墻 也稱作包過濾路由器，它是最基本、最簡(jiǎn)單的一種防火墻，可以在一般的路由器上實(shí)現(xiàn)也可以在基于主機(jī)的路由器上實(shí)現(xiàn)。 包過濾防火墻inte

11、rnet內(nèi)部網(wǎng)絡(luò)serverpcpc包過濾路由器 2雙穴網(wǎng)關(guān)防火墻 這種防火墻系統(tǒng)由一臺(tái)特殊主機(jī)來(lái)實(shí)現(xiàn)。這臺(tái)主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接口，一端接外部網(wǎng)絡(luò)，一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò)，并運(yùn)行代理服務(wù)器，故被稱為雙穴網(wǎng)關(guān)。雙穴網(wǎng)關(guān)防火墻不使用包過濾規(guī)則，而是在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置一個(gè)網(wǎng)關(guān)(雙穴網(wǎng)關(guān))，隔斷ip層之間的直接傳輸。 網(wǎng)絡(luò) 代理 網(wǎng)絡(luò)接口 服務(wù)器 接口雙穴網(wǎng)關(guān)防火墻internet內(nèi)部網(wǎng)絡(luò)serverpcpc雙穴主機(jī) 3屏蔽主機(jī)網(wǎng)關(guān)防火墻 屏蔽主機(jī)網(wǎng)關(guān)防火墻由一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)組成。在這種配置中，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路

12、由器上進(jìn)行配置，使得外部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī)，而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其他主機(jī)。 屏蔽主機(jī)網(wǎng)關(guān)防火墻internet內(nèi)部網(wǎng)絡(luò)serverpcpc包過濾路由器堡壘主機(jī) 4屏蔽子網(wǎng)防火墻 考慮到屏蔽主機(jī)網(wǎng)關(guān)防火墻方案中，堡壘主機(jī)存在被繞過的可能，有必要在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間設(shè)置一個(gè)孤立的子網(wǎng)，這就是“屏蔽子網(wǎng)”。屏蔽子網(wǎng)防火墻在屏蔽主機(jī)網(wǎng)關(guān)防火墻的配置上加上另一個(gè)包過濾路由器。 internet內(nèi)部網(wǎng)絡(luò)serverpcpc屏蔽子網(wǎng)防火墻堡壘主機(jī)過濾路由器過濾路由器信息服務(wù)器屏蔽子網(wǎng)8.4.1 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 數(shù)字簽名必須保證以下三點(diǎn)： 1.接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；

13、2.發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名； 3.接收者不能偽造對(duì)報(bào)文的簽名。 8.4其它網(wǎng)絡(luò)安全技術(shù)其它網(wǎng)絡(luò)安全技術(shù)deskapkaxxdska (x)發(fā)送方a接收方b數(shù)字簽名的實(shí)現(xiàn)8.4.2 訪問控制技術(shù)訪問控制技術(shù) 實(shí)現(xiàn)訪問控制方法的常用方法有三種：一是要求用戶輸入用戶名和口令；二是采用一些專門的物理識(shí)別設(shè)備，如訪問卡、鑰匙或令牌；三是采用生物統(tǒng)計(jì)學(xué)系統(tǒng)，可以通過某種特殊的物理特性對(duì)人進(jìn)行惟一性識(shí)別。 8.4.3 認(rèn)證技術(shù)認(rèn)證技術(shù) 認(rèn)證和保密是網(wǎng)絡(luò)信息安全的兩個(gè)重要方面。加密保證了網(wǎng)絡(luò)信息的機(jī)密性，認(rèn)證則保護(hù)了信息的真實(shí)性和完整性。保密不能自然地提供認(rèn)證性，而認(rèn)證也無(wú)法自動(dòng)提供保密性。采用認(rèn)證技

14、術(shù)目的有兩個(gè)：一是識(shí)別信源的真實(shí)性，即驗(yàn)證發(fā)信人確實(shí)不是冒充的；二是檢驗(yàn)發(fā)送信息的完整性，即驗(yàn)證信息在傳送過程中是否被篡改、重發(fā)或延遲。一個(gè)安全的認(rèn)證系統(tǒng)應(yīng)該能夠滿足這兩個(gè)要求。 8.4.4 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 入侵檢測(cè)技術(shù)是一種免受攻擊的主動(dòng)保護(hù)網(wǎng)絡(luò)安全技術(shù)。由于常作為防火墻的合理補(bǔ)充，被稱為第二道防火墻，它從網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象，從而使系統(tǒng)管理可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。 8.4.5 防病毒技術(shù)防病毒技術(shù) 網(wǎng)絡(luò)防病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消除病毒三種技術(shù)。 1預(yù)防病毒技術(shù)： 2檢測(cè)病毒技術(shù)：

15、3消除病毒技術(shù)： 網(wǎng)絡(luò)管理是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)理論與技術(shù)發(fā)展的另外一個(gè)分支。特別是隨著通信與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)的社會(huì)化，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行質(zhì)量提出了越來(lái)越高的要求，網(wǎng)絡(luò)的高效率和可靠性成為人們關(guān)注的重點(diǎn)。 8.5 計(jì)算機(jī)網(wǎng)絡(luò)管理計(jì)算機(jī)網(wǎng)絡(luò)管理8.5.1計(jì)算機(jī)網(wǎng)絡(luò)管理概述計(jì)算機(jī)網(wǎng)絡(luò)管理概述 所謂網(wǎng)絡(luò)管理就是指采用某種技術(shù)和策略以能夠保證整個(gè)網(wǎng)絡(luò)能夠正常運(yùn)行、疏通業(yè)務(wù)量和提高網(wǎng)絡(luò)接通率的一個(gè)系統(tǒng)。它不僅涉及到各個(gè)廠商的網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)設(shè)備，而且涉及到多個(gè)國(guó)際標(biāo)準(zhǔn)、國(guó)內(nèi)標(biāo)準(zhǔn)以及各個(gè)廠商的內(nèi)部標(biāo)準(zhǔn)，是一個(gè)比較復(fù)雜的大系統(tǒng)。一般地說，具有優(yōu)秀網(wǎng)絡(luò)管理系統(tǒng)的網(wǎng)絡(luò)，都能獲得比較高的運(yùn)行效率和很高的可靠

16、性。 一個(gè)網(wǎng)絡(luò)管理系統(tǒng)從邏輯上可以分為三個(gè)部分： 1.管理對(duì)象（managed object） 2.管理進(jìn)程（managed process） 3.管理協(xié)議（management protocol） 8.5.2網(wǎng)絡(luò)管理模型網(wǎng)絡(luò)管理模型 在internet的網(wǎng)絡(luò)管理模型中，每個(gè)網(wǎng)絡(luò)元素上都有一個(gè)負(fù)責(zé)執(zhí)行管理任務(wù)的管理代理（agent），整個(gè)網(wǎng)絡(luò)有多個(gè)對(duì)網(wǎng)絡(luò)實(shí)施集中式管理的管理進(jìn)程。那么，網(wǎng)絡(luò)管理標(biāo)準(zhǔn)就用來(lái)定義網(wǎng)絡(luò)控制中心與各個(gè)管理代理之間的通信。管理進(jìn)程（網(wǎng)管中心）管理代理管理對(duì)象管理代理管理對(duì)象外部代理管理對(duì)象外部代理管理對(duì)象internet的網(wǎng)絡(luò)管理模型8.5.3網(wǎng)絡(luò)管理功能網(wǎng)絡(luò)管理功能 1

17、配置管理 ： 2故障管理 ： 3性能管理 ： 4安全管理： 5記帳管理 ：8.5.4 網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議 snmp是internet組織用來(lái)管理因特網(wǎng)和以太網(wǎng)的網(wǎng)管協(xié)議，它通過輪詢、設(shè)置關(guān)鍵字和監(jiān)視網(wǎng)絡(luò)事件來(lái)管理整個(gè)網(wǎng)絡(luò)。snmp協(xié)議雖然出現(xiàn)時(shí)間不長(zhǎng)，但其發(fā)展速度卻非常之快，目前已經(jīng)遠(yuǎn)遠(yuǎn)超出了internet的使用范圍，成為一個(gè)事實(shí)上的工業(yè)標(biāo)準(zhǔn)被廣泛應(yīng)用在國(guó)際的網(wǎng)絡(luò)管理領(lǐng)域。 snmp是一系列協(xié)議組和規(guī)范，它提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法，snmp也為設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問題和錯(cuò)誤提供了一種方法。它的網(wǎng)絡(luò)管理模型主要由管理進(jìn)程、管理代理和被管對(duì)象組成。 管理代理mi

18、b 管理代理mib 管理代理mib 管理進(jìn)程snmp網(wǎng)管系統(tǒng)模型主機(jī) 網(wǎng)關(guān) 終端服務(wù)器8.5.5 典型的網(wǎng)絡(luò)管理系統(tǒng)典型的網(wǎng)絡(luò)管理系統(tǒng) 下面我們將以ibm公司的netview為例，介紹典型的網(wǎng)絡(luò)管理軟件的功能與使用。 1netview的功能模塊 1) 網(wǎng)絡(luò)通信控制設(shè)施nccf 2)網(wǎng)絡(luò)故障檢測(cè)應(yīng)用軟件npda 3)網(wǎng)絡(luò)邏輯數(shù)據(jù)管理軟件nldm 4)高效網(wǎng)絡(luò)管理設(shè)施nmpf 5)vtam節(jié)點(diǎn)控制應(yīng)用軟件vnca會(huì)話歷史庫(kù)報(bào)文日志庫(kù)事件與統(tǒng)計(jì)會(huì)話監(jiān)視 （nldm）硬件監(jiān)測(cè) （npda）命令處理 （nccf）netview ost會(huì)話與路由信息事件與統(tǒng)計(jì)信息命令與響應(yīng)信息vtam網(wǎng)管員netview的主要功能模塊sna網(wǎng)絡(luò)服務(wù)器