Chapter 10网络安全知识讲稿.pptVIP

防火墙功能 过滤不安全的服务和禁止非法访问 控制对特殊站点的访问，可以允许受保护网络的一部分主机被外部访问，而其它部分则禁止 提供访问记录和审计等功能 防火墙分类 包过滤防火墙 仅根据分组中的信息（地址、端口号、协议）执行相应的过滤规则，每个分组的处理都是独立的 状态检测防火墙 不仅根据分组中的信息，而且还根据记录的连接状态、分组传出请求等来进行过滤 TCP：为建立连接的SYN分组建立状态，只允许对该SYN的应答分组进入。连接建立后，允许该连接的分组进入。 UDP：具有相同的地址和端口号的分组可以等效为一个连接 代理型防火墙 通过对网络服务的代理，检查进出网络的各种服务 4.入侵检测 入侵检测：通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测系统的功能： 监控网络与系统 发现入侵企图和异常现象 实时报警、主动响应 入侵检测系统（IDS， Intrusion Detection System）分类： 基于主机的IDS：根据主机的系统日志文件检测入侵事件 基于网络的IDS：根据网络上经过的分组检测入侵行为 主机入侵检测(HIDS) 安装于被保护的主机中 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源 网络入侵检测(NIDS) 安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载 入侵检测的步骤 信息收集 系统和网络日志文件 进入网络的数据包 目录和文件中不期望的改变 程序执行中的不期望行为 信号分析 模式匹配：与已知的入侵行为进行比较 统计分析：事先对系统对象创建一个统计描述，将检测到的事件与之比较 协议分析：分析异常的协议规程 完整性分析：关注某个文件或对象是否被更改 Chapter 10网络安全 10.1概述 10.2密码学基础知识 10.3数字签名与认证 10.4典型的网络安全威胁 10.5网络安全协议 10.6网络的安全技术 10.3数字签名与认证 通信中潜在的威胁 消息伪造 内容篡改 延迟或重播 否认 数字签名-消息的不可否认性 认证-消息的完整 1.数字签名 公钥密码学的一个重要应用就是数字签名，数字签名就是利用私钥生成签名，而用公钥验证签名。 一个数字签名方案时是由签名算法和验证算法组成 签名算法利用私钥生成签名，称消息m的签名为sig（m），然后将（m，sig（m））发给接收方 验证算法利用签名者的公钥对sig（m）进行解密，如果解密输出与m一致，则为合法数据。 由于无法识别数字签名与其拷贝之间的差异，所以，在数字签名前应加上时间戳。 数字签名标准（DSS） DSA（数字签名算法，是Elgamal公钥算法的一种变体） RSA 2.认证 可用来做认证的函数有三类： (1) 加密函数 用对称密钥加密，信息的完整作为对信息的认证 用公钥密码中的私钥加密，但加密速度太慢，并且很多情况下，消息并不需要加密。 (2) 消息认证码MAC(Message Authentication Code) 是对信源消息的一个编码函数 (3) 散列函数 (Hash Function) 是一个公开的函数它将任意长的信息映射成一个固定长度的信息 消息认证码MAC 利用函数f和密钥k ，对要发送的明文x或密文y变换成r bit的消息认证码f(k,x)(或f(k,y)) ，将其称为认证符附加在x(或y)之后发出，接收者收到发送的消息序列后，按发方同样的方法对接收的数据(或解密后)进行计算，应得到相应的r bit数据 散列函数 单向散列函数（hash，杂凑函数）可以从一段很长的报文中计算出一个固定长度的比特串，这种散列函数通常称为报文摘要（message digest），用于消息的完整性检验。 单向散列函数有以下特性： 给定 P，易于计算出 MD（P） 只给出 MD（P），几乎无法找出 P 无法生成两条具有同样报文摘要的报文 认证方法： 消息 X 任意比特 消息摘要 Z=H(X) 160比特 签名摘要 Y=sigK(Z) 320比特 标准：MD5（128比特），SHA-1（160比特）等 3.公钥的管理 非对称密码体制 C7D08FF 私有密钥KPV 明文 ＋ 密文 公开密钥 KPB 密文 ＋ 明文 摘要 ＋ 签名 签名 ＋ 摘要 加密 签名 数字证书 公钥基础设施（Public Key Infrastructure） 什么是PKI呢？ PKI是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。能够为所有网络应用提供采用加密和数字签名等