第7章 网络的安全及管理.ppt

第7章 网络的安全与管理 7.1 网络系统与安全概述 7.2 加密技术 7.3 防火墙技术 7.4 入侵检测技术 7.5 虚拟专用网络 小结 7.1 网络系统与安全概述 计算机网络是一个复杂的系统，包括多台计算机、多个用户、软件和 硬件，我们把其抽象化为网络体系结构模型来研究。 OSI参考模型把网络分为七层：物理层、数据链路层、网络层、传输 层、会话层、表示层、应用层 常见的网络安全问题有：FTP文件传输、WWW服务的安全问题、电 子邮件的安全问题、DNS服务的安全问题、网络管理服务安全问题、网络 文件系统的安全问题 信息安全技术的体系结构 7.2 加密技术 7.2.1 对称密钥算法 对称密钥算法，又称为传统密码算法，该算法的加密密钥能够从解密 密钥中推算出来，同时解密密钥也可以从加密密钥中推算出来 对称密钥算法的工作原理 DES算法 7.2.2 公开密钥算法 公开密钥算法的流程如图 RSA算法的过程： （1）找两素数p和q。 （2）取n=p*q。 （3）取t=(p-1)*(q-1)。 （4）任意取一个数e，要求满足et并且e与t互素。 （5）取满足方程d*e%t==1的数d。 7.2.3 单向散列算法 单向散列函数一般用于产生消息摘要，密钥加密等。主要的散列算法 有MD5、SHA、MAC。 （1）MD5（Message Digest 5）是RSA数据安全公司开发的一种单向 散列算法，MD5可以用来把不同长度的数据块进行暗码运算成一个128位的 数值。 （2）SHA（Secure Hash Algorithm）可以对任意长度的数据运算生成 一个160位的数值。 （3）MAC（Message Authentication Code，消息认证代码）是一种使 用密钥的单向函数，可以用它们在系统上或用户之间认证文件或消息 7.2.4 数字签名 数字签名的应用过程是： （1）被发送文件采用哈希算法对原始报文进行运算，得到一个固定长 度的数字串，称为报文摘要（Message Digest），不同的报文所得到的报 文摘要不同，但对相同的报文它的报文摘要却是惟一的。 （2）数据源发送方使用自己的私钥对数据校验和或其他与数据内容有 关的变量进行加密处理，完成对数据的合法“签名”，数字签名将作为报文的 附件和报文一起发送给接收方。 （3）数据接收方利用对方的公钥来解读收到的“数字签名”，并将解读 结果用于对数据完整性的检验，以确认签名的合法性 数字签名技术 7.2.5 电子邮件的加密与PGP PGP的报文有报文的IDEA密钥部分以及使用IDEA加密压缩的签字部 分和报文部分三个部分组成。 PGP报文格式如图 当需要公开发表声明时，可以使用PGP签名，发表时只签名而不加 密，声明人为了证实自己的身份，可以用自己的私匙签名 7.3 防火墙技术 一般安装防火墙的网络拓扑结构如图 7.3.1 防火墙的分类 1. 包过滤防火墙 2. 应用网关防火墙 3. 代理服务器防火墙 4. 网络地址转换 5. 状态检测防火墙 7.3.2 防火墙实施方案 双宿主机网关 2. 屏蔽主机网关 1）单宿堡垒主机类型 2）双宿堡垒主机类型 3. 屏蔽子网 屏蔽子网型防火墙是在内部网和外部网之间建立一个被隔离的子网， 用两个包过滤路由器分别连接内部网络与外部网络，隔离内部网络和外部 网络，两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”， 两个路由器中一个控制内部网络的数据流 7.4 入侵检测技术 入侵检测技术是一种用于检测计算机网络中违反安全策略行为的技术 入侵检测系统主要要解决如何充分并可靠的抽取描述行为特征的数 据，以及如何根据特征数据的描述高效准确的判断行为的性质 7.4.1 入侵检测方法 1 . 基于异常行为的入侵检测 基于异常行为的入侵检测首先给用户、文件、目录和设备等系统对象 创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作 失败次数和延时等） 2. 基于特征的入侵检测 特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的 事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警 7.4.2