第11章 网络安全技术-精品·公开课件.ppt

第11章 网络安全技术 11.1 网络安全概述 11.2 信息加密技术 11.3 报 文 鉴 别 11.4 防火墙技术 11.5　入 侵 检 测 11.6 网络安全协议 11.1 网络安全概述 11.1.1 网络安全的概念 网络安全是指为使网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，而采取的相应的手段和技术。 网络系统安全主要的要求如下。 1．保密性（Confidentiality） 保密性包含两点内容： 一是保证计算机及网络系统的硬件、软件和数据只能为合法用户所使用，可以采用专用的加密线路实现，如使用虚拟专网（VPN）构建网络； 二是由于无法绝对防止非法用户街区网络上的数据，故必须采用数据加密技术以确保数据本身的保密性。 2．完整性（Integrity） 3．可用性（Availability） 4．身份认证（Authentication） 5．不可抵赖性（Non-repudiation） 6．授权和访问控制（Access Control） 网络的安全程度被定义为该网络被攻击成功的可能性。 11.1.2 网络安全的分层理论 1．物理安全 （1）电磁辐射与搭线窃听： （2）盗用： （3）偷窃： （4）硬件故障： （5）超负荷： （6）火灾及自然灾害： 2．网络安全 网络安全问题主要有如下情况。 （1）非授权访问： ① 假冒用户： ② 假冒主机： ③ IP盗用（IP Stealing）： ④ IP诈骗（IP Spoofing）： （2）对信息完整性的攻击： （3）拒绝服务攻击： 3．系统安全 主要问题有以下几种。 （1）系统本身安全性不足。 （2）未授权的存取。 （3）越权使用。 （4）保证文件系统的完整性。 4．应用安全 5．人员安全管理 11.1.3 网络安全策略 1．物理安全策略 2．访问控制策略 （1）入网访问控制： （2）网络的权限控制： （3）目录级安全控制： （4）属性安全控制： （5）网络服务器安全控制： （6）网络检测和锁定控制： （7）网络端口和节点的安全控制： （8）防火墙控制： 3．信息加密策略 4．网络安全管理策略 11.2 信息加密技术 11.2.1 密码技术基础 （1）随着网络规模的扩大，密钥管理、分配成为难题，因为密钥不能通过网络传输分发，所以在网络环境下，不适合单独使用。 （2）无法解决报文鉴别、确认的问题。 （3）缺乏自动检测密钥泄露的能力。 11.2.2 加密算法 1．数据加密标准DES 2．公钥加密算法RSA 密钥E、D和M满足下述条件： （1）M是两个大素数P、Q的乘积，从而M的欧拉数j (M)＝(P－1)×(Q－1)； （2）D是大于P、Q的并与j (M)互素的正整数。 （3）E是D关于j (M)的乘逆，满足ED＝1mod(j (M))，其含义是E和D的乘积除以j (M)的余数为1。 11.2.3 数字签名 数字签名必须具备以下3个特性： （1）接收者能够识别、验证发送者对报文的签名； （2）发送者签名后否认签名的报文； （3）接收者或第三方不能伪造发送者对报文的签名。 Ksa：发送方A的私钥。 Kgb：接收方B的公钥。 Ksb：接收方B的私钥。 Kgb：发送方A的公钥。 11.3 报 文 鉴 别 （1）任给一个报文摘要值x，如果要找到一个报文y，使得H(y)＝x，则在计算上是不可能的； （2）如果要找到任意两个报文x合y，使得H(x)＝H(y)，在计算上是不可能的。 MD5是报文摘要算法中应用较多的一个，其对任意长度的报文进行运算后得出128位的MD报文摘要代码。该算法的运算过程如下。 （1）先将任意长度的报文按模264计算其余数（64位），追加在报文后面。这说明后面得出的MD代码已经包含了报文的长度信息。 （2）在报文和余数之间填充1～512位，使填充后的总长度是512的整数倍，填充的数据第一位是1，后面全是0。 （3）将追加和填充后的报文分割成一个个长度是512位的数据块，再将512位的报文数据分割成4个128位的数据块，依次送到不同的散列函数进行4轮计算，每一轮又按32位的小数据块进行复杂的运算，一直到最后计算出MD5报文摘要代码 11.4 防火墙技术 1．包过滤防火墙 2．应用级网关（代理服务器） 3．状态检测防火墙 11.5　入 侵 检 测 11.5.1　入侵检测的概念 入侵检测（Intrusion Detection）用来识别针对计算机、网络系统（含硬件系统、软件系统和信息资源等）的非法攻击和使用，包括检测外部非法入侵者的恶意攻击和试探、