計算機網(wǎng)絡 網(wǎng)絡安全

計算機網(wǎng)絡網(wǎng)絡安全第1頁，共57頁，2023年，2月20日，星期四2008年底,美國軍方禁止在五角大樓內(nèi)使用所有移動存儲設備五角大樓在自己的局域網(wǎng)中發(fā)現(xiàn)了agent.btz蠕蟲病毒1999年,李文和案中被指控的59項"間諜或者不當行為",唯一被法院確認的所謂不當行為,便是使用移動存儲設備將實驗室的保密材料轉(zhuǎn)移到非保密電腦中防火墻也未必總是安全的2008年,NASA發(fā)現(xiàn)自己的網(wǎng)站受到一種名為stame.exe的軟件侵入,將大量的數(shù)據(jù)和文件發(fā)送到太平洋西部的一個島嶼的電腦系統(tǒng)中該電腦系統(tǒng)遭到一個黑客組織的"劫持",作為代理服務器將文件發(fā)送到黑客組織的系統(tǒng)中2023/5/72第2頁，共57頁，2023年，2月20日，星期四“物理隔絕”是保證安全的有效手段之一,但代價昂貴對于重要的國家機構(gòu)或者銀行系統(tǒng),網(wǎng)絡安全的投入幾乎可以不計代價網(wǎng)絡安全是國家安全的命門2007年,爆發(fā)了持續(xù)三周之久的“第一場國家網(wǎng)絡站”–分布式拒絕服務攻擊由于愛沙尼爾決定拆除首都塔林市中心的二戰(zhàn)蘇軍烈士碑,其官方網(wǎng)站服務器因為激增的訪問量而癱瘓2008年,格魯吉亞全國網(wǎng)絡陷于癱瘓,不得不臨時租用位于美國境內(nèi)的服務器2023/5/73第3頁，共57頁，2023年，2月20日，星期四網(wǎng)絡安全概述數(shù)據(jù)加密模型2023/5/74第4頁，共57頁，2023年，2月20日，星期四2023/5/75進行網(wǎng)絡攻擊變得越來越簡單越來越多的個人或公司連入Internet并不是所有的用戶都具有基本的安全知識第5頁，共57頁，2023年，2月20日，星期四2023/5/76物理安全環(huán)境、設備、媒介系統(tǒng)安全操作系統(tǒng)、路由器、DNS、病毒防護網(wǎng)絡安全網(wǎng)絡結(jié)構(gòu)、通信安全、入侵檢測應用安全訪問控制、信息存儲與備份第6頁，共57頁，2023年，2月20日，星期四2023/5/77被動攻擊截獲信息主動攻擊更改信息和拒絕用戶使用資源更改報文流拒絕報文服務偽造連接初始化第7頁，共57頁，2023年，2月20日，星期四2023/5/78第8頁，共57頁，2023年，2月20日，星期四2023/5/79防止析出報文內(nèi)容防止通信量分析檢測更改報文流檢測拒絕報文服務檢測偽造初始化服務第9頁，共57頁，2023年，2月20日，星期四2023/5/710被動攻擊采用數(shù)據(jù)加密技術(shù)主動攻擊加密技術(shù)+鑒別技術(shù)第10頁，共57頁，2023年，2月20日，星期四2023/5/711物理隔離邏輯隔離(防火墻)防御網(wǎng)絡的攻擊(抗攻擊網(wǎng)關)防止網(wǎng)絡病毒(防病毒網(wǎng)關)身份認證(AAA)加密通信和虛擬專用網(wǎng)(VPN)入侵檢測和主動防衛(wèi)(IDS)網(wǎng)管、審計和取證(集中網(wǎng)管)第11頁，共57頁，2023年，2月20日，星期四DES(DataEncryptionStandard)2023/5/712第12頁，共57頁，2023年，2月20日，星期四2023/5/713在密碼系統(tǒng)中,加密/解密算法是公開的,而密鑰是保密的.第13頁，共57頁，2023年，2月20日，星期四2023/5/714對稱加密,即加密密鑰與解密密鑰相同對稱加密算法有"塊"和"流"兩種方式,其保密性高,難以破解,常用于較長報文的加密第14頁，共57頁，2023年，2月20日，星期四2023/5/715DES算法由IBM發(fā)明,并于1977年成為美國政府標準DES是一種數(shù)據(jù)分塊的加密算法,數(shù)據(jù)長度為64位密鑰為64位,其中8位作為奇偶校驗位,有效密鑰長度為56位DES加密過程首先將明文數(shù)據(jù)進行初始置換,得到64位的混亂明文組,再將其分為2段,每段32位然后進行乘積變換,在密匙的控制下,做16次迭代最后進行逆初始變換而得到密文第15頁，共57頁，2023年，2月20日，星期四2023/5/716第16頁，共57頁，2023年，2月20日，星期四加密密鑰與解密密鑰相同,密鑰在傳遞過程中容易泄漏密鑰量大,難以進行管理無法滿足網(wǎng)上陌生人進行私人談話的保密性要求難以解決數(shù)字簽名驗證的問題2023/5/717第17頁，共57頁，2023年，2月20日，星期四2023/5/718RSA數(shù)字簽名報文鑒別第18頁，共57頁，2023年，2月20日，星期四2023/5/719由Stanford大學研究人員于1976年提出使用不同的加密密鑰和解密密鑰由已知加密密鑰推導出解密密鑰在計算上是不可行的公開密鑰密碼體制的產(chǎn)生原因密鑰分配數(shù)字簽名公開密鑰算法對短報文更有效第19頁，共57頁，2023年，2月20日，星期四2023/5/720第20頁，共57頁，2023年，2月20日，星期四基于數(shù)論中的大數(shù)分解問題尋求兩個大素數(shù)比較簡單,而將他們的乘積分解開則及其困難加密算法加密:Y=Xemodn解密:X=Ydmodn其中,X為明文,Y為密文,n為兩個大素數(shù)的乘積.PK={e,n},SK={d,n}2023/5/721第21頁，共57頁，2023年，2月20日，星期四計算nn=pq,其中p和q為兩個大素數(shù).n為RSA算法的模數(shù),明文必須能用小于n的數(shù)表示計算n的歐拉函數(shù)Φ(n)=(p-1)(q-1),Φ(n)為不超過n并與n互素的數(shù)的個數(shù)選擇e從[0,Φ(n)-1]中選擇一個與Φ(n)互素的數(shù)e作為加密指數(shù)計算ded=1modΦ(n),計算d作為解密指數(shù)得到密鑰PK={e,n}SK={d,n}2023/5/722第22頁，共57頁，2023年，2月20日，星期四選擇兩個素數(shù)p=7,q=17,n=pq=119Φ(n)=(p-1)(q-1)=96從[0,95]中選擇與96互素的數(shù)e=55d=1mod96,得到d=77PK={5,119},SK={77,119}加密設X=19(明文,不超過119),Y=195mod119=66(密文)解密X=6677mod119=19(明文)2023/5/723第23頁，共57頁，2023年，2月20日，星期四2023/5/724RSA算法中,同樣的明文映射為同樣的密文；RSA體制的保密性在于對大數(shù)分解很花時間.第24頁，共57頁，2023年，2月20日，星期四報文鑒別:接收者能夠核實發(fā)送者對報文的簽名報文完整性:發(fā)送者事后不能抵賴對報文的簽名不可否認:接收者不能偽造對報文的簽名2023/5/725現(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法,但采用公鑰算法更容易實現(xiàn).第25頁，共57頁，2023年，2月20日，星期四2023/5/726數(shù)字簽名不提供對內(nèi)容的保密；如果需要,可再加一級加密/解密算法.第26頁，共57頁，2023年，2月20日，星期四在信息的安全領域中,對付被動攻擊的重要措施是加密,而對付主動攻擊中的篡改和偽造則要用鑒別(authentication)報文鑒別使得通信的接收方能夠驗證所收到的報文(發(fā)送者和報文內(nèi)容、發(fā)送時間、序列等)的真?zhèn)问褂眉用芫涂蛇_到報文鑒別的目的.但在網(wǎng)絡的應用中,許多報文并不需要加密.應當使接收者能用很簡單的方法鑒別報文的真?zhèn)?023/5/727第27頁，共57頁，2023年，2月20日，星期四2023/5/728報文摘要(MessageDigest)必須滿足:1、任給報文摘要值x,若想找到報文y使得H(y)=x,在計算上是不可行的；2、想找到任意兩個報文x和y,使得H(x)=H(y),在計算上是不可行的.第28頁，共57頁，2023年，2月20日，星期四實體鑒別是在系統(tǒng)接入的全部持續(xù)時間內(nèi)對和自己通信的對方實體只需驗證一次報文鑒別是對每一個收到的報文都要鑒別報文的發(fā)送者2023/5/729第29頁，共57頁，2023年，2月20日，星期四IPsec傳輸層安全防火墻VPN2023/5/730第30頁，共57頁，2023年，2月20日，星期四IPsec是網(wǎng)絡層安全協(xié)議[RFC2411]IPsec除提供對IP數(shù)據(jù)報的加密外,還提供源站鑒別(SourceAuthentication)2023/5/731第31頁，共57頁，2023年，2月20日，星期四IPsec的主要部分是AH(AuthenticationHeader)和ESP(EncapsulationSecurityPayload)AH提供源站鑒別和數(shù)據(jù)完整性,但不能保密ESP提供源站鑒別、數(shù)據(jù)完整性和保密2023/5/732雖然AH協(xié)議的功能都已包含在ESP中,但AH協(xié)議早已廣泛使用,因此還不能廢棄.第32頁，共57頁，2023年，2月20日，星期四在使用AH或ESP之前,先要從源主機到目的主機建立一條網(wǎng)絡層的邏輯連接,即SA這樣,IPsec就把傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡層轉(zhuǎn)換為具有邏輯連接的層SA是一個單向連接,由一個三元組唯一地確定:安全協(xié)議(使用AH或ESP)的標識符此單向連接的源IP地址一個32位的連接標識符,稱為安全參數(shù)索引SPI(SecurityParameterIndex)對于一個給定的安全關聯(lián)SA,每一個IPsec數(shù)據(jù)報都有一個存放SPI的字段,通過此SA的所有數(shù)據(jù)報都使用同樣的SPI值2023/5/733第33頁，共57頁，2023年，2月20日，星期四2023/5/734IP首部的協(xié)議字段為51；在傳輸過程中,中間路由器不查看AH.第34頁，共57頁，2023年，2月20日，星期四2023/5/735IP首部的協(xié)議字段為50；ESP尾部參與數(shù)據(jù)報加密.第35頁，共57頁，2023年，2月20日，星期四SSL是安全套接層(SecureSocketLayer),可對萬維網(wǎng)客戶與服務器之間傳送的數(shù)據(jù)進行加密和鑒別SSL在雙方的聯(lián)絡階段協(xié)商將使用的加密算法和密鑰,以及客戶與服務器之間的鑒別在聯(lián)絡階段完成之后,所有傳送的數(shù)據(jù)都使用在聯(lián)絡階段商定的會話密鑰SSL不僅被所有常用的瀏覽器和萬維網(wǎng)服務器所支持,而且也是運輸層安全協(xié)議TLS(TransportLayerSecurity)的基礎2023/5/736第36頁，共57頁，2023年，2月20日，星期四2023/5/737在發(fā)送方,SSL接收應用層的數(shù)據(jù)(如HTTP或IMAP報文),對數(shù)據(jù)進行加密,然后把加了密的數(shù)據(jù)送往TCP套接字；在接收方,SSL從TCP套接字讀取數(shù)據(jù),解密后把數(shù)據(jù)交給應用層.第37頁，共57頁，2023年，2月20日，星期四SSL服務器鑒別允許用戶證實服務器的身份.具有SSL功能的瀏覽器維持一個表,上面有一些可信賴的認證中心CA(CertificateAuthority)和它們的公鑰加密的SSL會話客戶和服務器交互的所有數(shù)據(jù)都在發(fā)送方加密,在接收方解密SSL客戶鑒別允許服務器證實客戶的身份2023/5/738第38頁，共57頁，2023年，2月20日，星期四SET是專為與支付有關的報文進行加密的SET協(xié)議涉及到三方,即顧客、商家和商業(yè)銀行所有在這三方之間交互的敏感信息都被加密SET要求這三方都有證書在SET交易中,商家看不見顧客傳送給商業(yè)銀行的信用卡號碼2023/5/739第39頁，共57頁，2023年，2月20日，星期四防火墻由軟件、硬件構(gòu)成,用于在兩個網(wǎng)絡之間實施接入控制防火墻功能:阻止或者允許兩類防火墻包過濾防火墻(網(wǎng)絡級)代理防火墻(應用級)2023/5/740第40頁，共57頁，2023年，2月20日，星期四2023/5/741包防火墻過濾位于網(wǎng)絡層或者傳輸層.第41頁，共57頁，2023年，2月20日，星期四2023/5/742第42頁，共57頁，2023年，2月20日，星期四InternalnetworkconnectedtoInternetviarouterfirewallRouterfilterspacket-by-packet,decisiontoforward/droppacketbasedoncertain/configurablecriteria2023/5/743

Shouldarrivingpacketbeallowedin?Departingpacketletout?第43頁，共57頁，2023年，2月20日，星期四DiscardpacketsbasedonconfigurablecriteriaAddressfilteringBasedonsourceand/ordestinationaddressinIPpacketsAllowingpacketswithcertainIPaddressestogothroughBlockingpacketswithcertainIPaddressesTraffictypefilteringBasedonthetypeoftrafficinIPheader(TCP/UDPportnumbers)Allowingcertaintypestogothrough,e.ghttp(port#80)ContentfilteringBasedonthecontentofpackets.Blockingpacketswithsomepatternsinthecontent.Specificfiltering:ICMPmessagetype,TCPSYNandACKbitsStatisticpacketfiltering2023/5/744第44頁，共57頁，2023年，2月20日，星期四2023/5/745代理防火墻過濾位于應用層.第45頁，共57頁，2023年，2月20日，星期四VPN利用Internet或其它公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道提供與專用網(wǎng)絡一樣的安全和功能保障VPN用途通過Internet實現(xiàn)遠程用戶訪問通過Internet實現(xiàn)網(wǎng)絡互連連接企業(yè)內(nèi)部網(wǎng)絡計算機2023/5/746第46頁，共57頁，2023年，2月20日，星期四2023/5/747PrefixRangeTotal10/8to55224172.16/12to55220192.168/16to55216第47頁，共57頁，2023年，2月20日，星期四2023/5/748第48頁，共57