第8 章节网络安全.ppt

计算机实用网络 第 8 章网络安全 第8章 网络安全 8.1 网络安全概述 8.1.1 网络安全的含义 8.1.2 网络面临的威胁 8.1.3 网络安全技术 8.2 数据加密与认证 8.2.1 密码学概述 8.2.2 数据链路层加密 第8章 网络安全(续) 8.2.3 网络层和传输层加密 8.2.4 应用层加密 8.3 防火墙技术 8.3.1 概述 8.3.2 防火墙的体系结构 8.3.3 防火墙的技术类型 8.4 入侵检测技术 第8章 网络安全(续) 8.4.1 概述 8.4.2 常见的入侵方法和手段 8.4.3 常用的入侵检测技术 8.5 IP安全协议集IPSec 8.5.1 概述 8.5.2 安全关联（SA） 8.5.3 封装安全载荷（ESP） 8.5.4 验证头（AH） 本章最重要的内容 (1) 密码理论与技术 (2) 安全访问控制技术 (3) 信息对抗理论与技术 8.1 网络安全概述 8.1.1 网络安全的含义 网络安全是指网络系统的部件、程序、数据的安全性，它通过网络信息的存储、传输和使用过程体现。网络安全包括物理安全和逻辑安全。网络安全从其本质上来讲就是网络上的信息安全。 网络安全的含义 保密性 完整性 可用性 可控性 可靠性 8.1.2 网络面临的威胁 通常入侵者可以分为两类：内部的入侵者和外部的入侵者。 这两种入侵者进入系统的主要途径有三种 ： （1）物理侵入 （2）系统侵入 （3）远程侵入 TCP/IP协议族的安全缺陷 物理层 双绞线和铜缆不可避免的会产生电磁辐射和电磁泄漏，如果有足够的设备和耐心，完全可以接收到通信链路中传输的信号并加以还原，窃取重要信息，甚至插入，删除信息。无线信道的安全性更加脆弱，几乎不可避免的会遭受被动攻击。采用光纤方式传输不会产生辐射，可以提高安全性能，但是非授权用户仍然可以通过截断、搭线的方式进行窃听和修改。 TCP/IP协议族的安全缺陷（2） 数据链路层 数据监听是数据链路层最常见的攻击手段。目前的局域网基本上都采用以广播为技术基础的以太网，各主机处于同一信任域，传输信息可以相互监听。 网络层 包括：IP欺骗漏洞、源路由攻击漏洞、利用ICMP的Redirect报文破坏路由机制等。 TCP/IP协议族的安全缺陷（3） 传输层 TCP协议三次握手协议漏洞 、TCP/UDP源端口可伪造漏洞 应用层 应用层的很多协议缺少严格的加密认证机制，Telnet、FTP、SMTP等协议缺乏强有力的认证，口令传输也缺乏加密措施等。 8.1.3 网络安全技术 网络安全的内容包括了系统安全和信息安全两个部分。网络安全通常依赖于三种技术： （1）密码技术，实现对信息的加密、身份鉴别等 （2）安全访问控制技术，包含存取控制、认证、授权等技术 （3）信息对抗理论与技术，包括信息伪装、分析、监控，检测，反击，响应等 8.2 数据加密与认证 对网络通信链路上的数据进行加密，以及对网络通信双方身份的鉴别和认证，是网络安全所需要考虑的两个重要问题。 8.2.1 密码学概述 现代密码系统由一个将明文(P)和密钥(K)映射到密文(C)的操作构成： C ← K[P] 其中明文P是加密前的报文，密钥K是独立于明文的值，是加密算法的一个参数，密文C就是明文P在参数为K的加密算法下的输出。 通常，存在一个逆操作，将密文和密钥K- 1映射到原始明文： P ← K- 1[C] 私钥密码学与DES加密算法 传统的密码系统，有时也称为私钥(private key)或对称密码系统，加密和解密采用同一个密钥，即：K=K-1 DES是IBM应美国国家标准局（NBS）制定一个密码标准的要求而开发的。它最初被非机密联邦政府部门所采用，于1978年1月15日生效。其后每隔五年，就对它进行一次复审。1993年，确认了DES可作为财经和鉴别之用 DES DES采用分组密码机制，它对固定长度的分组进行操作，即将64位的明文分组映射为64位的密文分组，反之亦然。DES的密钥长度为64位，其中包括8位很少使用的奇偶校验位。DES加密是通过一系列复杂的排列和替换而实现的，然后将操作的结果与输入相异或。该过程重复16次，每次都使用密钥位的不同位序。 DES（2） 一般在实际加密过程中，把一次DES过程用作最基本的操作，然后采用一些操作模式来实现对报文的加密 ： （1）电子码本模式 （2） 密码分组链模式 公开密钥密码学与RSA加密算法 在传统密码系统中，通信双方在开始通信之前必须共享同一秘密密钥。 公开密