第7章_网络安全与网络管理剖析.ppt

7.1 网络安全研究的主要问题 网络安全的概念 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续正常地运行，网络服务不中断。 网络安全的特征 （1）保密性。信息不泄露给非授权用户、实体或过程，或供其利用的特性。 （2）完整性。数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性。可被授权实体访问并按需求使用的特性。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性。对信息的传播及内容具有控制能力。 （5）可审查性。出现安全问题时提供依据与手段。 网络安全研究的主要问题 1．网络防攻击问题 2．网络安全漏洞与对策问题 3．网络中的信息安全保密问题 4．防抵赖问题 5．网络内部安全防范问题 6．网络防病毒问题 7．垃圾邮件与灰色软件问题 8．网络数据备份与恢复、灾难恢复问题 数据加密的概念 所谓数据加密技术是指将一个信息经过加密密钥及加密函数转换，变成没有任何规律的密文，而接收方则将此密文经过解密函数、解密密钥还原成明文。 密码学是包含两个分支：密码编码学和密码分析学。密码编码学是对信息进行编码，实现隐蔽信息；密码分析学是研究一门分析和破译密码的学问。 在网络信息传输过程中，当需要对消息进行保密操作时，就需要密码编码学对信息进行保密处理。 密码体制 密码体制也叫密码系统，是指能完整地解决信息安全中的机密性、数据完整性、认证、身份识别、可控性及不可抵赖性等问题的。 一个密码体制由明文、密文、密钥、加密和解密运算这四个基本要素构成。 对称加密技术 对称密码体制是一种传统密码体制，也称为私钥密码体制。在对称加密系统中，加密和解密采用相同的密钥。因为加解密密钥相同，需要通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，这样就可以实现数据的机密性和完整性。 大多数古典算法属于对称密码体制，例如凯撒加密机制、维吉尼亚算法、简单替换、多表替换算法等。现代对称密码算法有DES（数据加密标准）、3DES、AES（高级加密标准）、IDEA等。 对称加密技术 在对称加密系统中，加密和解密采用相同的密钥。 非对称加密技术 非对称密码体制也叫公钥加密技术。在公钥加密系统中，加密和解密使用两个不同的密钥，加密密钥（公开密钥）向公众公开，谁都可以使用，解密密钥（秘密密钥）只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，因此称为公钥密码体制。 非对称加密的工作过程 公钥加密系统的主要功能：机密性、确认、数据完整性、不可抵赖性。 公钥密钥的密钥管理比较简单，可方便的实现数字签名和验证。但算法复杂，加密数据的速率较低。 身份认证技术 身份认证是指计算机及网络系统确认用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。 身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。 身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。只有实现了有效的身份认证，才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。 身份认证概述 在真实世界中，验证一个用户的身份主要通过以下三种方式：所知。、所有、本身特征。 在计算机网络安全领域，将认证（Authentication）、授权（Authorization）与审计（Accounting）统称为AAA或3A。 基于密码的身份认证 密码通常由一组字符串来组成，为便于用户记忆，一般用户使用的密码都有长度的限制。但出于安全考虑，在使用密码时需要注意以下几点： （1）不使用默认密码； （2）设置足够长的密码； （3）不要使用结构简单的词或数字组合； （4）增加密码的组合复杂度； （5）使用加密； （6）避免共享密码； （7）定期更换密码。 1.一次性密码技术 使用一次性密码技术可以防止重放攻击的发生，这相当于用户随身携带一个密码本，按照与目标主机约定好的次序使用这些密码。用户每一次登录系统所用的密码都是不一样的，攻击者通过窃听得到的密码无法用于下一次认证。当密码全部用完后再向系统管理员申请新的密码本。 一次性密码技术有其安全的地方，但实际使用过程中很不方便。如密码更改问题，初始化问题，本次密码全部使用完后，必须向管理员重新申请新的密码。 2.动态口令技术 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫做动态令牌的专用硬件，内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法，根据当前时间或使