網(wǎng)絡(luò)信息安全課件

第15章網(wǎng)絡(luò)信息平安網(wǎng)絡(luò)信息平安是計(jì)算機(jī)網(wǎng)絡(luò)的機(jī)密性、完整性和可用性的集合，是在分布網(wǎng)絡(luò)環(huán)境中，對信息載體〔處理載體、存儲載體、傳輸載體〕和信息的處理、傳輸、存儲、訪問提供平安保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容或能力被非授權(quán)使用、篡改和拒絕效勞。完整的信息平安保障體系應(yīng)包括保護(hù)、檢測、響應(yīng)、恢復(fù)等4個(gè)方面。本章學(xué)習(xí)要點(diǎn)：1.網(wǎng)絡(luò)信息平安根本概念。2.密碼學(xué)根本原理以及兩種密碼技術(shù)。3.鑒別的根本原理以及公鑰根底設(shè)施PKI及數(shù)字簽名。4.訪問控制的根本原理。5.網(wǎng)絡(luò)平安層次模型及各層的平安技術(shù)。6.防火墻技術(shù)根本概念、主要技術(shù)類型以及體系結(jié)構(gòu)。7.VPN根本概念。8.IPSec根本概念。9.入侵檢測概念。10.計(jì)算機(jī)病毒概念。15.1網(wǎng)絡(luò)信息平安根本概念15.1.1網(wǎng)絡(luò)信息平安的含義網(wǎng)絡(luò)信息平安是計(jì)算機(jī)網(wǎng)絡(luò)的機(jī)密性、完整性和可用性的集合機(jī)密性指通過加密數(shù)據(jù)防止信息泄露完整性指通過驗(yàn)證防止信息篡改可用性指得到授權(quán)的實(shí)體在需要時(shí)可使用網(wǎng)絡(luò)資源15.1.2網(wǎng)絡(luò)層面的平安需求維護(hù)信息載體的平安運(yùn)行是網(wǎng)絡(luò)層面的平安目標(biāo)。平安威脅包括：物理侵犯系統(tǒng)漏洞網(wǎng)絡(luò)入侵惡意軟件存儲損壞平安措施包括：門控系統(tǒng)存儲藏份防火墻日志審計(jì)防病毒應(yīng)急響應(yīng)入侵檢測災(zāi)難恢復(fù)漏洞掃描15.1.3信息層面的平安需求維護(hù)信息自身的平安使用是信息層面的平安目標(biāo)。對信息的平安威脅包括：身份假冒非法訪問信息泄露數(shù)據(jù)受損事后否認(rèn)平安措施包括：身份認(rèn)證內(nèi)容過濾訪問控制日志審計(jì)數(shù)據(jù)加密應(yīng)急響應(yīng)數(shù)據(jù)驗(yàn)證災(zāi)難恢復(fù)數(shù)字簽名15.2密碼學(xué)

15.2.1密碼學(xué)根本原理密碼學(xué)是以研究數(shù)據(jù)保密為目的，對存儲或者傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對信息的竊取的技術(shù)。圖15.1密碼學(xué)模型15.2.2對稱密鑰密碼技術(shù)是在密碼體制中加密和解密采用同一密鑰的技術(shù)，又稱私鑰密碼技術(shù)。從加密模式上可分為序列密碼和分組密碼兩大類。最常見的對稱密鑰密碼算法有DES和IDEA。DES算法是IBM開發(fā)的，并于1977年被美國政府采納為非機(jī)密信息的加密標(biāo)準(zhǔn)。對稱密鑰密碼系統(tǒng)具有加解密速度快、平安強(qiáng)度高等優(yōu)點(diǎn)。

15.2.3不對稱密鑰密碼技術(shù)是在密碼體制中加密和解密采用不同的兩個(gè)相關(guān)的密鑰技術(shù)，又稱公鑰密碼技術(shù)。最常用的不對稱密鑰算法是RSA算法。公鑰密碼技術(shù)的優(yōu)點(diǎn)是密鑰發(fā)行與管理方面較私鑰密碼方便，但處理速度較慢，通常將兩者結(jié)合使用，到達(dá)最正確性能。15.3鑒別15.3.1鑒別的根本原理鑒別是指可靠地驗(yàn)證某個(gè)通信參與方的身份是否與他所聲稱的身份一致的過程，一般通過某種復(fù)雜的身份認(rèn)證協(xié)議來實(shí)現(xiàn)。3種身份認(rèn)證技術(shù)：口令技術(shù)身份認(rèn)證標(biāo)記密碼身份認(rèn)證協(xié)議15.3.2Kerberos鑒別Kerberos鑒別是一種使用對稱密鑰加密算法來實(shí)現(xiàn)通過可信第3方密鑰分發(fā)中心(KDC)的身份認(rèn)證系統(tǒng)。提供了網(wǎng)絡(luò)通信方之間相互的身份認(rèn)證手段，而且并不依賴于主機(jī)操作系統(tǒng)和地址。

3個(gè)通信參與方，即需要驗(yàn)證身份的通信雙方再加上一個(gè)雙方都信任的第3方，即密鑰分發(fā)中心。

Kerberos保持一個(gè)它的客戶方以及密鑰的數(shù)據(jù)庫，這些密鑰是KDC與客戶方之間共享的，是不能被第3方知道的。

15.3.3公鑰根底設(shè)施(PKI)在分布式計(jì)算系統(tǒng)中提供的使用公鑰密碼系統(tǒng)和X.509證書平安效勞的根底設(shè)施。PKI產(chǎn)品和效勞允許使用者在網(wǎng)絡(luò)上建立一個(gè)平安領(lǐng)域，在該領(lǐng)域中可以簽發(fā)密鑰和證書。PKI支持使用者在建立的平安領(lǐng)域中進(jìn)行加密密鑰和證書的使用和管理，提供密鑰管理、證書管理以及平安政策管理等。

CA創(chuàng)立并簽發(fā)證書目錄系統(tǒng)是PKI的重要依靠，目前支持輕量級目錄效勞(LDAP)是最根本的要求。15.3.4Hash函數(shù)與數(shù)字簽名1、Hash函數(shù)對于任意長度的信息m，經(jīng)過Hash函數(shù)運(yùn)算后得出一固定長度的數(shù)，比方64比特，并滿足：(1)Hash函數(shù)的輸出，要求它的輸入是困難的，即C=H(m)，求m是困難的。(2)m計(jì)算H(m)是容易的。(3)C1=H(m1)，找m2≠m1，使得H(m1)=H(m2)是困難的。(4)C=H(m),C與m的每一比特相關(guān)，并具有高度擴(kuò)散性。這樣Hash函數(shù)便可以利用它來作為數(shù)字簽名。圖15.2PKI體系結(jié)構(gòu)利用分組密碼構(gòu)造Hash函數(shù)

明文m或密鑰k任改變一比特都將引起密文C近一半的比特值發(fā)生變化

圖15.3鏈?zhǔn)浇Y(jié)構(gòu)Hash函數(shù)2、數(shù)字簽名數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份簽證。假設(shè)A要向B送去信息m，A可用A的保密的解密算法DA對m進(jìn)行加密得DA(m)，再用B的公開算法EB對DA(m)進(jìn)行加密得C＝EB(DA(m))B收到密文C后先用他自己掌握的解密算DB對C進(jìn)行解密得DB(C)＝DB(EB(DA(m)))＝DA(m)再用A的公開算法EA對DA(m)進(jìn)行解密得EA(DA(m))＝m從而得到了明文m。15.4訪問控制訪問控制是確定來訪實(shí)體是否具有訪問的權(quán)力以及實(shí)施訪問權(quán)限的管理的過程和技術(shù)。訪問控制一般都是基于平安策略和平安模型的常用的有：訪問控制表按照行來存儲矩陣，在對象效勞器上存儲著每個(gè)對象的授權(quán)訪問者及其權(quán)限的一張表訪問權(quán)力表按照列來處理矩陣，每個(gè)訪問者存儲有訪問權(quán)力表，該表包含了他能夠訪問的特定對象和操作權(quán)限15.5網(wǎng)絡(luò)平安層次模型圖15.4網(wǎng)絡(luò)平安層次圖15.5.1鏈路層平安節(jié)點(diǎn)間專門的平安通信設(shè)施15.5.2網(wǎng)絡(luò)層平安主機(jī)對主機(jī)的IP網(wǎng)絡(luò)的平安措施15.5.3傳輸層平安進(jìn)程對進(jìn)程的傳輸層平安機(jī)制，最常用的有SSL、SOCKS和平安RPC等。SSL協(xié)議兩個(gè)層次SSL記錄層協(xié)議SSL協(xié)商協(xié)議圖15.5SSL結(jié)構(gòu)圖高層協(xié)議SSL協(xié)商層SSL記錄層傳輸層低層協(xié)議圖15.6SSL協(xié)議會話過程示意圖15.5.4應(yīng)用層平安根據(jù)所傳送內(nèi)容不同的平安要求的應(yīng)用平安機(jī)制。常用的協(xié)議有：PEM為基于SMTP的電子郵件系統(tǒng)提供平安效勞。PGP采用了分布式的信任模型，即由每個(gè)用戶自己決定該信任哪些用戶。S-HTTPWeb上使用的超文本傳輸協(xié)議〔HTTP〕的平安增強(qiáng)版本，提供了文件級的平安機(jī)制。SET平安交易技術(shù)〔STT〕協(xié)議，規(guī)定了信用卡持卡人用其信用卡通過Internet進(jìn)行付費(fèi)的方法。圖15.7中間件層次結(jié)構(gòu)通用平安效勞API(GSS-API)支持各種不同的加密算法、認(rèn)證協(xié)議及其他平安效勞，對用戶完全透明。應(yīng)用程序應(yīng)用層協(xié)議GSS-API中間件層次TCPUDP其他傳輸層協(xié)議15.6防火墻15.6.1防火墻概念1、什么是防火墻防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機(jī)制內(nèi)部網(wǎng)絡(luò)被認(rèn)為是平安和可信賴的，而外部網(wǎng)絡(luò)〔通常是Internet〕被認(rèn)為是不平安和不可信賴的防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的平安政策圖15.8防火墻在網(wǎng)絡(luò)中的位置2、防火墻的功能訪問控制功能內(nèi)容控制功能全面的日志功能集中管理功能自身的平安和可用性流量控制網(wǎng)絡(luò)地址轉(zhuǎn)換虛擬專用網(wǎng)3.防火墻的局限性防火墻不能防范不經(jīng)由防火墻的攻擊防火墻不能防止感染了病毒的軟件或文件的傳輸防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊防火墻不能防范惡意的內(nèi)部人員防火墻不能防范不斷更新的攻擊方式

15.6.2防火墻技術(shù)1、包過濾技術(shù)：根據(jù)數(shù)據(jù)包中包頭信息實(shí)施有選擇地允許通過或阻斷。2、應(yīng)用網(wǎng)關(guān)技術(shù)：針對每個(gè)應(yīng)用使用專用目的的處理方法。3、狀態(tài)檢測防火墻：是一種相當(dāng)于4.5層的過濾技術(shù)。4、電路級網(wǎng)關(guān)：在兩個(gè)主機(jī)首次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障。5、代理效勞器技術(shù)：提供給用層效勞的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請效勞時(shí)中間轉(zhuǎn)接作用。15.6.3防火墻的體系結(jié)構(gòu)1、雙重宿主主機(jī)體系結(jié)構(gòu)2、被屏蔽主機(jī)體系結(jié)構(gòu)3、被屏蔽子網(wǎng)體系結(jié)構(gòu)15.7VPN1、VPN概念VPN是VirtualPrivateNetwork的簡稱是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet聯(lián)接而成邏輯上的虛擬子網(wǎng)為了保障信息的平安，VPN技術(shù)采用了鑒別、訪問控制、保密性、完整性等措施，以防止信息被泄露、篡改和復(fù)制VPN類型?AccessVPN?IntranetVPN?ExtranetVPN圖15.9AccessVPN圖15.10IntranetVPN圖15.11ExtranetVPN15.7.2VPN技術(shù)?密碼技術(shù)?身份認(rèn)證技術(shù)?隧道技術(shù)?密鑰管理技術(shù)15.8IPSEC

15.8.1IPSec概念是一種由IETF設(shè)計(jì)的端到端確實(shí)保IP層通信平安的機(jī)制IPSec協(xié)議可以為IP網(wǎng)絡(luò)通信提供透明的平安效勞15.8.2IPSec功能作為一個(gè)隧道協(xié)議實(shí)現(xiàn)了VPN通信保證數(shù)據(jù)來源可靠保證數(shù)據(jù)完整性保證數(shù)據(jù)機(jī)密性15.8.3IPSec體系結(jié)構(gòu)IPSec包含了三個(gè)最重要的協(xié)議AH：為IP數(shù)據(jù)包提供三種效勞無連接的數(shù)據(jù)完整性驗(yàn)證數(shù)據(jù)源身份認(rèn)證防重放攻擊ESP：提供另外兩種效勞數(shù)據(jù)包加密數(shù)據(jù)流加密IKE：協(xié)議負(fù)責(zé)密鑰管理。圖15.12IPSec體系結(jié)構(gòu)15.8.4IPSec運(yùn)行模式兩種運(yùn)行模式：傳輸模式：保護(hù)的內(nèi)容是IP分組的載荷。隧道模式：保護(hù)的內(nèi)容是整個(gè)原始IP分組。15.9入侵檢測

15.9.1入侵檢測概念入侵檢測是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的假設(shè)干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和遭到襲擊的跡象的一種機(jī)制。15.9.2.

入侵檢測系統(tǒng)根本結(jié)構(gòu)CIDF模型的根本組成：?事件產(chǎn)生器?事件分析器?響應(yīng)單元?事件數(shù)據(jù)庫圖15.13CIDF模型15.9.3入侵檢測系統(tǒng)分類?基于主機(jī)的入侵檢測系統(tǒng)?基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?基于內(nèi)核的入侵檢測系統(tǒng)?分布式入侵檢測系統(tǒng)15.10計(jì)算機(jī)病毒

15.10.1.

計(jì)算機(jī)病毒概念計(jì)算機(jī)病毒是一種靠修改其它程序來插入或進(jìn)行自身拷貝，從而感染其它程序的一段程序。計(jì)算機(jī)病毒特征傳染性隱蔽性潛伏性多態(tài)性破壞性15.10.2計(jì)算機(jī)病毒結(jié)構(gòu)?潛伏機(jī)制：潛伏機(jī)制的功能包括初始化、隱藏和捕捉。

?傳染機(jī)制：傳染機(jī)制的功能包括判斷和感染。

?表現(xiàn)機(jī)制：表現(xiàn)機(jī)制的功能包括判斷和表現(xiàn)。

15.10.3

計(jì)算機(jī)病毒防治措施?預(yù)防技術(shù)?免疫技術(shù)?檢測技術(shù)?消除技術(shù)15.11本章小結(jié)

網(wǎng)絡(luò)信息平安是計(jì)算機(jī)網(wǎng)絡(luò)的機(jī)密性、完整性和可用性的集合，是在分布網(wǎng)絡(luò)環(huán)境中，對信息載體〔處理載體、存儲載體、傳輸載體〕和信息的處理、傳輸、存儲、訪問提供平安保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容或能力被非授權(quán)使用、篡改和拒絕效勞。完整的信息平安保障體系應(yīng)包括保護(hù)、檢測、響應(yīng)、恢復(fù)等4個(gè)方面。密碼學(xué)是以研究數(shù)據(jù)保密為目的，對存儲或者傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對信息的竊取的技術(shù)。在傳統(tǒng)密碼體制中加密和解密采用的是同一密鑰，稱為對稱密鑰密碼系統(tǒng)?，F(xiàn)代密碼體制中加密和解密采用不同的密鑰，稱為非對稱密鑰密碼系統(tǒng)。鑒別是指可靠地驗(yàn)證某個(gè)通信參與方的身份是否與他所聲稱的身份一致的過程，一般通過某種復(fù)雜的身份認(rèn)證協(xié)議來實(shí)現(xiàn)。Kerberos鑒別是一種使用對稱密鑰加密算法來實(shí)現(xiàn)通過可信第3方密鑰分發(fā)中心(KDC)的身份認(rèn)證系統(tǒng)。公鑰根底設(shè)施(PKI)是在分布式計(jì)算系統(tǒng)中提供的使用公鑰密碼系統(tǒng)和X.509證書平安效勞的根底設(shè)施。數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份簽證。訪問控制是指確定可給予哪些主體訪問的權(quán)力，確定以及實(shí)施訪問權(quán)限的過程。目前很多計(jì)算機(jī)系統(tǒng)的平安都是采用ACL訪問控制模型。ACL模型提供平安保密和完整性平安策略的根底。從平安角度來看各層能提供一定的平安手段，針對不同層次