《网络工程师课件.ppt》由会员分享,可在线阅读,更多相关《网络工程师课件.ppt(49页珍藏版)》请在第壹文秘上搜索。
1、第六章第六章 网络安全网络安全网络安全概念网络安全概念o 网络安全从本质上说就是网络上的信息安全。网络安全从本质上说就是网络上的信息安全。o 广义地说,凡是涉及网络上信息的保密性、广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全要研究的领域。术和理论,都是网络安全要研究的领域。o 网络安全的一个通用定义:网络安全的一个通用定义: 网络安全是指网络系统的硬件、软件及其系统中网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改
2、、泄露,系统连续可靠地正而遭到破坏、更改、泄露,系统连续可靠地正常运行,网络服务不中断。常运行,网络服务不中断。计算机网络的脆弱性计算机网络的脆弱性体系结构的脆弱性。体系结构的脆弱性。网络体系结构要求上层调用下层的服务,上层是服务网络体系结构要求上层调用下层的服务,上层是服务调用者,下层是服务提供者,当下层提供的服务出错时,会使上层的工作调用者,下层是服务提供者,当下层提供的服务出错时,会使上层的工作受到影响。受到影响。网络通信的脆弱性。网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障,然而通信协议或通信系
3、统的安全缺陷往往节点之间进行信息交换的保障,然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。危及到网络系统的整体安全。网络操作系统的脆弱性。网络操作系统的脆弱性。目前的操作系统,无论是目前的操作系统,无论是WindowsWindows、UNIXUNIX还是还是NetwareNetware都存在安全漏洞,这些漏洞一旦被发现和利用将对整个网络系统造都存在安全漏洞,这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。成巨大的损失。网络应用系统的脆弱性。网络应用系统的脆弱性。随着网络的普及,网络应用系统越来越多,网络随着网络的普及,网络应用系统越来越多,网络应用系统也可能存在安全漏洞
4、,这些漏洞一旦被发现和利用将可能导致数应用系统也可能存在安全漏洞,这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏,应用系统瘫痪,甚至威胁到整个网络的安全。据被窃取或破坏,应用系统瘫痪,甚至威胁到整个网络的安全。网络管理的脆弱性。网络管理的脆弱性。在网络管理中,常常会出现安全意识淡薄、安全制度在网络管理中,常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等,这不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等,这种人为造成的安全漏洞也会威胁到整个网络的安全。种人为造成的安全漏洞也会威胁到整个网络的安全。信信 息息 安安 全全可靠性可用性真实
5、性保密性完整性不可抵赖性可靠性可靠性可靠性是网络信息系统能够在规定条件下和规定的可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。时间内完成规定的功能的特性。可靠性包括:可靠性包括: 硬件可靠性硬件可靠性 软件可靠性软件可靠性 通讯可靠性通讯可靠性 人员可靠性人员可靠性 环境可靠性环境可靠性可用性可用性可用性即网络信息系统在需要时,允许授权可用性即网络信息系统在需要时,允许授权用户或实体使用的特性;或者是网络信息系用户或实体使用的特性;或者是网络信息系统部分受损或需要降级使用时,仍能为授权统部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。用户提供有效服务的特性
6、。真实性真实性确保网络信息系统的访问者与其声称的身份确保网络信息系统的访问者与其声称的身份是一致的;是一致的;确保网络应用程序的身份和功能与其声称的确保网络应用程序的身份和功能与其声称的身份和功能是一致的;身份和功能是一致的;确保网络信息系统操作的数据是真实有效的确保网络信息系统操作的数据是真实有效的数据。数据。保密性保密性保密性是防止信息泄漏给非授权个人或实体,保密性是防止信息泄漏给非授权个人或实体,只允许授权用户访问的特性。只允许授权用户访问的特性。保密性是一种面向信息的安全性,它建立在保密性是一种面向信息的安全性,它建立在可靠性和可用性的基础之上,是保障网络信可靠性和可用性的基础之上,是
7、保障网络信息系统安全的基本要求。息系统安全的基本要求。完整性完整性完整性是信息在未经合法授权时不能被改变完整性是信息在未经合法授权时不能被改变的特性,也就是信息在生成、存储或传输过的特性,也就是信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。造、乱序、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、正确存持信息的原样,即信息的正确生成、正确存储和正确传输。储和正确传输。不可抵赖性不可抵赖性不可抵赖性也称作不可否认性,即在网络信
8、不可抵赖性也称作不可否认性,即在网络信息系统的信息交互过程中所有参与者都不可息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。能否认或抵赖曾经完成的操作的特性。安全攻击安全攻击o主动攻击(主动攻击(active attacks):):n试图改变系统资源或影响系统的操作;试图改变系统资源或影响系统的操作;n例如:例如:o伪装(伪装(masquerade):一个实体假冒另一个实体;):一个实体假冒另一个实体;o重放(重放(replay):从网络中被动地获取一个数据单元,经过一段时间后重):从网络中被动地获取一个数据单元,经过一段时间后重新发送到网络中;新发送到网络中;o消息修
9、改:改变消息的部分内容、推迟发送消息或改变消息的发送顺序;消息修改:改变消息的部分内容、推迟发送消息或改变消息的发送顺序;o拒绝服务(拒绝服务(denial of service):):阻止通信设施的正常使用或管理。阻止通信设施的正常使用或管理。n对付这类攻击的主要方法是检测攻击,然后设法从攻击造成的破坏中对付这类攻击的主要方法是检测攻击,然后设法从攻击造成的破坏中恢复。恢复。o被动攻击(被动攻击(passive attacks):):n试图从系统中获取信息,但不影响系统资源;试图从系统中获取信息,但不影响系统资源;n例如:例如:o偷听:为了获得正在传输的内容;偷听:为了获得正在传输的内容;o
10、流量分析:为了从通信频度、消息长度等流量模式来推断通信的性质;流量分析:为了从通信频度、消息长度等流量模式来推断通信的性质;n对付这类攻击的最好方法是预防而不是检测。对付这类攻击的最好方法是预防而不是检测。基本安全技术基本安全技术o 数据加密数据加密o 数字签名数字签名o 身份认证身份认证o 防火墙防火墙o 内容检查内容检查数据加密机制数据加密机制密码技术是保障信息安全的核心技术。密码技术是保障信息安全的核心技术。 消息被称为明文。用某种方法伪装消息以隐藏消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密。它的内容的过程称为加密。 加了密的消息称为密文。而把密文转变为明文加了密的消
11、息称为密文。而把密文转变为明文的过程称为解密。的过程称为解密。信息加密是保障信息安全的最基本、最核心信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密也是现代的技术措施和理论基础。信息加密也是现代密码学主要组成部分。密码学主要组成部分。密码学基本概念密码学基本概念伪装(变换)之前的信息是原始信息,称为明文(伪装(变换)之前的信息是原始信息,称为明文(plain text);伪装之后的信息,看起来是一串无意义的乱码,称为);伪装之后的信息,看起来是一串无意义的乱码,称为密文(密文(cipher text)。)。把明文伪装成密文的过程称为加密(把明文伪装成密文的过程称为加密(en
12、cryption),该过程),该过程使用的数学变换就是加密算法;将密文还原为明文的过程称为使用的数学变换就是加密算法;将密文还原为明文的过程称为解密(解密(decryption),该过程使用的数学变换称为解密算法。),该过程使用的数学变换称为解密算法。加密与解密通常需要参数控制,该参数称为密钥。加、解密密加密与解密通常需要参数控制,该参数称为密钥。加、解密密钥相同称为对称性或单钥型密钥,不同时就成为不对称或双钥钥相同称为对称性或单钥型密钥,不同时就成为不对称或双钥型密钥。型密钥。信息加密技术信息加密技术o 数据加密原理数据加密原理对称密码体制和非对称密码体制对称密码体制和非对称密码体制当加当加
13、/解密函数使用相同的密钥时,可以将它们表示为:解密函数使用相同的密钥时,可以将它们表示为:EK(M)=C加密函数加密函数DK(C)=M解密函数解密函数其中,其中,M表示明文,表示明文,C表示密文,表示密文,K表示密钥,表示密钥,Ek表示加密算法,表示加密算法,Dk表表示解密算法。示解密算法。对称密码体制具有以下特征:对称密码体制具有以下特征: DK(EK(M) )=M当加当加/解密函数使用不同的密钥时,可以将它们表示为:解密函数使用不同的密钥时,可以将它们表示为:EK1(M)=C加密函数加密函数DK2(C)=M解密函数解密函数其中,其中,M表示明文,表示明文,C表示密文,表示密文,K1表示加密
14、密钥,表示加密密钥,K2表示解密密钥,表示解密密钥,Ek表示加密算法,表示加密算法,Dk表示解密算法,表示解密算法, K1为公钥,为公钥,k2为私钥为私钥非对称密码体制具有以下特征:非对称密码体制具有以下特征: DK2(EK1(M) )=M加密体制的分类加密体制的分类按照对明文的处理方式按照对明文的处理方式 分组密码算法:将明文分成固定长度的组,用同一密钥分组密码算法:将明文分成固定长度的组,用同一密钥和算法对每一块加密,输出是固定长度的密文。和算法对每一块加密,输出是固定长度的密文。 序列密码算法:又称流密码,每次加密一位或一字节明序列密码算法:又称流密码,每次加密一位或一字节明文。文。传统
15、基础加密方法传统基础加密方法置换密码置换密码 在置换密码中,每个字母或每在置换密码中,每个字母或每一组字母被另一个字母或另一组字母来取代,一组字母被另一个字母或另一组字母来取代,从而将明文中的字母掩盖起来,也就是在密从而将明文中的字母掩盖起来,也就是在密文中将明文伪装起来。文中将明文伪装起来。换位密码换位密码 它不更改保持明文的字母,但它不更改保持明文的字母,但是重新对字母进行排序,形成新的密文序列。是重新对字母进行排序,形成新的密文序列。现代加密体制分类现代加密体制分类对称密钥体制对称密钥体制非对称钥码体制非对称钥码体制对称密钥算法的优缺点对称密钥算法的优缺点优点:优点: 加解密速度快。加解
16、密速度快。缺点:缺点: 网络规模扩大后,密钥管理很困难;网络规模扩大后,密钥管理很困难; 无法解决消息确认问题;无法解决消息确认问题; 缺乏自动检测密钥泄露的能力。缺乏自动检测密钥泄露的能力。非对称密钥算法的优缺点非对称密钥算法的优缺点优点:优点: 可以适用网络的开放性要求,密钥管理相对简可以适用网络的开放性要求,密钥管理相对简单;单; 可以实现数字签名功能。可以实现数字签名功能。缺点:缺点: 算法一般比较复杂,加解密速度慢。算法一般比较复杂,加解密速度慢。DES简介简介DESDES(Data Encryption StandardData Encryption Standard,数据加密标准)是,数据加密标准)是由由IBMIBM公司研制的一种加密算法,美国国家标准局于公司研制的一种加密算法,美国国家标准局于19771977年把它作为非机要部门使用的数据加密标准。近三年把它作为非机要部门使用的数据加密标准。近三十年来,它一直活跃在国际保密通信的舞台上,扮演了十年来,它一直活跃在国际保密通信的舞台上,扮演了十分重要的角色,并经过不断的改进,形成一套较为完十分重要的角色,并经过不断的改进,