第2章 网络攻防相关概念.ppt

第二章 网络攻防相关概念 2.1 OSI安全体系结构 1983年国际标准化组织ISO，开放式系统互连的参考模型OSI/RM 定义了计算机网络功能的七层 1989年，ISO7498-2标准颁布，确立了OSI参考模型的信息安全体系结构 不着眼于解决某一特定安全问题，而是提供一组公共的安全概念和术语，用来描述和讨论安全问题和解决方案，对构建具体网络环境的信息安全构架有重要的指导意义。 2.1 OSI安全体系结构 OSI安全体系结构是安全服务与相关安全机制的一般性描述，说明了安全服务怎样映射到网络的层次结构中去，并且简单讨论了它们在其中的合适位置 主要包括三部分内容：安全服务、安全机制和安全管理 核心内容包括五大类安全服务以及提供这些服务所需要的八个特定的安全机制和五个普遍安全机制 2.1 OSI安全体系结构 2.1.1 五类安全服务 鉴别服务 提供对等实体的身份鉴别和数据起源鉴别，使得当某层使用低层提供的服务时,确信与之打交道的对等实体正是它所需要的实体。 数据起源鉴别必须与实体鉴别等其他服务相结合才能保证当前通信过程的源真实性。鉴别可以是单向的也可以是双向的，可以带有效期检验也可以不带。这种服务能够提供各种不同程度的保护。 2.1.1 五类安全服务 访问控制服务 对OSI协议的可访问资源提供保护，按照访问控制策略进行访问，防止非授权的访问。 这些资源可以是经OSI协议访问到的OSI资源或非OSI资源。这种保护服务可应用于对资源的各种不同类型的访问（例如 使用通信资源； 读、写或删除信息资源；处理资源的执行）或应用于对一种资源的所有访问。 访问控制服务包括策略和授权两部分，策略部分决定了访问控制的规则，实施部分则据此进行授权。 2.1.1 五类安全服务 数据保密性服务 对用户数据提供针对非授权泄漏的保护，保护对象为面向连接或者无连接的或者特定字段及通信业务流。数据保密性服务包括： 连接保密：为一次连接上的全部用户数据保证其机密性； 无连接保密：为单个无连接的SDU（服务数据单元）中的全部用户数据保证其机密性 选择字段保密：为那些被选择的字段保证其机密性, 这些字段或处于某个连接的用户数据中, 或为单个无连接的SDU中的字段。 业务流保密：使得通过观察通信业务流而不可能推断出其中的机密信息 2.1.1 五类安全服务 数据完整性服务 提供数据完整性保护，防止通过违反安全策略的方式进行非法修改（包括篡改、重排序、删除和假冒） 可恢复的连接完整性：为连接上的所有用户数据保证完整性, 并检测整个服务数据单元序列中的数据遭到的任何篡改、插入、删除或重演（同时试图补救恢复） 不可恢复的连接完整性：与上相同，只是不作补救恢复 选择字段的连接完整性 无连接完整性：当由某层提供时, 对发出请求的上层实体提供完整性保证。另外, 在一定程度上也能提供对重演的检测。 选择字段无连接完整性：为单位无连接的SDU中的被选字段保证完整性, 所取形式为确定被选字段是否遭受了篡改。 2.1.1 五类安全服务 抗抵赖性服务 抗抵赖服务为数据的接收者提供数据来源的证据，对通信双方进行特定通信过程的不可否认性验证。抗抵赖性服务包括： 有数据原发证明的抗抵赖：为数据的接收者提供数据来源的证据。这将使发送者谎称未发送过这些数据或否认它的内容的企图不能得逞。 有交付证明的抗抵赖：为数据的发送者提供数据交付证据。这将使得接收者事后谎称未收到过这些数据或否认它的内容不能得逞。 数据加密 加密技术 加密密钥：加密和解密过程中使用的一串数字 加密算法：作用于密钥和明文（或密文）的一个数学函数 密文：明文和密钥结合，经过加密算法运算的结果 在同一种加密算法下，密钥的位数越长，安全性越好 加密技术分类 秘密密钥加密技术（常规密钥加密技术、对称密钥加密技术） 公开密钥加密技术（非对称密钥加密技术） 秘密密钥加密技术 用户需保存的密钥数 秘密密钥加密技术的特点 算法简单、速度快，被加密的数据块长度可以很大 密钥在加密方和解密方之间传递和分发必须通过安全通道进行 公开密钥加密技术 用户需保存的密钥数 公开密钥加密技术的特点 算法复杂、速度慢，被加密的数据块长度不宜太大 公钥在加密方和解密方之间传递和分发不必通过安全通道进行 著名的加密算法 秘密密钥加密算法 数据加密标准（data encryption Standard，DES） 公开密钥加密算法 RSA（RSA是发明者Rivest、Shamir和 Adleman名字首字母的组合） 秘密密钥加密技术和公开密钥加密技术的结合 数字签名 1.数字签名的基本方法 计算需要签名信息的消息摘要 利用公开密钥加密算法和用户的私钥对消息摘要签名 2.为什么不对信息直接签名？ 公钥加密算法复杂、加密速度慢，不适合处理大数据块信息 消息摘要技术能将