计算机网络课件(蔡开裕)——Ch9 网络安全.pptVIP

对公钥的攻击 黑客H从公钥库中窃取A的公钥Ka，然后用自己的公钥Kh替换Ka 当B要向A发送信息时，B会检索公钥库查找A的公钥，这时B得到的是Kh 他用Kh加密信息后发送给A，A的私钥无法解密 H可以截获加密信息并用自己的私钥解密，再使用Ka加密信息后发送给A A、B并不知道信息被截获。 数字证书（Digital Certificate） 数字证书是公开密钥体制的一种密钥管理媒介，它是权威性的电子文档，用于证明某一主体（如用户、服务器、软件代码等）的身份以及其公钥的合法性； 数字证书就是将用户身份与公钥绑定； 公钥必须采用数字证书的方式分发，以防止被假冒；而且数字证书不能由用户自己产生，应由证书管理机构为公钥签发数字证书。 CA（Certificate Authority ） 证书授权机构（CA）就是承担网上安全认证服务、签发数字证书、并能确认用户身份的机构； 国外有许多权威CA机构：如Verisign、Cybertrust、CommerceNet和美国邮政局等； 国内金融界99年已开始共建基于公钥基础设施PKI （Public Key Infrastructure）的金融权威认证中心（PCA），作为电子商务信息安全的基础设施。 CA机构功能 验证证书申请者的身份与背景资料; 确保CA本身用于为证书签名的非对称密钥的有效性； 确保整个签证过程及签名私钥的安全； 管理证书材料信息（证书序列号、CA标识等）; 确保证书主体标识唯一性，防止重名; 确定并检查证书的有效期限; 发布并维护作废证书表（CRL）; 对整个证书签发过程做日志记录; 向申请人发证书和通知。 数字证书用途 认证 防否认（数字签名） 授权 数据保密 数据完整性 证书内容（X.509 V3) 版本 序列号 签名算法 管理机构名称 有效期 拥有者名 拥有者公钥信息 扩展项 证书撤消列表CRL 证书即使没有过期并不一定就是有效的，比如私钥失密或证书某些内容须变动，证书就可能被撤消。 X.509标准中规定了用CRL向网上传播所有声明撤消的证书，直到撤消证书签发时给定的失效时刻。 CRL列出了被撤消的证书，带有CA的签名，由CA负责定期更新。 9.5 防火墙 防火墙技术 常见的放火墙有三种类型：1、分组过滤防火墙；2、应用代理防火墙；3、状态检测防火墙。 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。 入侵检测系统的概念 入侵检测系统1DS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。 入侵检测系统的类型 根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。 1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。 入侵检测的步骤 入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤： 信息收集、数据分析和响应。 9.6 因特网安全 1.IP安全概述 大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX和NETBEUA等），这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构，除了数据链路层外，TCP/IP的所有协议的数据都是以IP数据报的形式传输的，TCP/IP协议簇有两种IP版本：版本4（IPv4）和版本6（IPv6）。IPv6是IPv4的后续版本，IPv6简化了IP头，其数据报更加灵活，同时IPv6还增加了对安全性的考虑。 1.1 IP安全的必要性