《第9章网络安全.pptx》由会员分享,可在线阅读,更多相关《第9章网络安全.pptx(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、任课教师:任课教师:计算机网络9第9章 网络安全目录CONTENTS网络安全概述VPN技术防火墙技术入侵检测技术1335246加密技术小结&习题目录CONTENTS网络安全概述网络安全概述VPN技术防火墙技术入侵检测技术1335246加密技术小结&习题 9.1 网络安全概述网络系统的安全目标:1、可用性2、可靠性3、完整性4、保密性5、不可抵赖性9.1 网络安全概述计算机网络信息系统的其他安全目标:1、可控性2、可审查性3、认证4、访问控制目录CONTENTS网络安全概述VPN技术防火墙技术入侵简称技术1335246加密技术加密技术小结习题9.2 加密技术密码技术包括密码算法设计、密码分析、安
2、全协议、身份密码技术包括密码算法设计、密码分析、安全协议、身份认证、消息确认、数字签名、密钥管理、密钥托管等。可认证、消息确认、数字签名、密钥管理、密钥托管等。可以说密码技术是保护大型通信网络上信息安全传输的唯一以说密码技术是保护大型通信网络上信息安全传输的唯一有效手段,是保障信息安全的核心技术。它不仅能够保证有效手段,是保障信息安全的核心技术。它不仅能够保证机密性信息的加密,而且能完成数字签名、身份认证等功机密性信息的加密,而且能完成数字签名、身份认证等功能。能。9.2.1 密码学概述图9-1 使用一个密钥的加/解密示意图密钥密钥原始明文m密文c加密E解密D明文m9.2.1 密码学概述一个密
3、码体制是满足以下条件的五元组(P,C,K,E,D):(1)P表示所有可能的明文组成的有限集(明文空间)。(2)C表示所有可能的密文组成的有限集(密文空间)。(3)K表示所有可能的密钥组成的有限集(密钥空间)(4)对任意的kK,都存在一个加密算法EkE和相应的解密算法DkD。并且对每一个Ek:PC和Dk:CP,对任意的明文xP,均有Dk(Ek(x)=x。9.2.2 对称密钥算法对称算法就是加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加/解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏
4、密钥就意味着任何人都能对消息进行加/解密。序列密码图9-2 序列密码密文Ci明文Pi加密密钥流Ki密钥流发生器明文Pi加密密钥流Ki密钥流发生器分组密码图9-5 一轮DES图9-6 DES算法的主要过程9.2.3 公钥密码算法公钥密钥算法应满足以下要求:接收方产生密钥对(公开密钥PKB和秘密密钥SKB)是计算上容易的;发送方A用收方的公开密钥对消息m加密以产生密文c在计算上是容易的;收方B用自己的秘密密钥对c解密在计算上是容易的;敌手由B的公开钥求秘密钥在计算上是不可行的。敌手由密文c和B的公开钥恢复明文m在计算上是不可行的。加、解密的次序可换。其中最后一条虽然非常有用,但不是对所有的算法都做
5、要求。RSA加密算法的过程如下:(1)取两个随机大素数p和q(保密)(2)计算公开的模数r=pq(公开)(3)计算秘密的欧拉函数(r)=(p-1)(q-1)(保密),两个素数p和q不再需要,应该丢弃,不要让任何人知道。(4)随机选取整数e,满足gcd(e,(r)=1(公开e,加密密钥)(5)计算d,满足de1(mod(r)(保密d,解密密钥,陷门信息)(6)将明文x(其值的范围在0到r-1之间)按模为r自乘e次幂以完成加密操作,从而产生密文y(其值也在0到r-1范围内)y=xe(mod r)(7)将密文y按模为r自乘d次幂,完成解密操作x=yd(mod r)9.2.4 密码协议密钥建立协议认证
6、协议9.2.5 数字签名数字签名应满足的要求:收方能够确认或证实发方的签名,但不能伪造,简记为R1-条件发方发出签名的消息给收方后,就不能再否认他所签发的消息,简记为S-条件收方对已收到的签名消息不能否认,即有收报认证,简记作R2-条件第三者可以确认收发双方之间的消息传送,但不能伪造这一过程,简记T-条件目录CONTENTS网络安全概述VPN技术技术防火墙技术入侵检测技术1335246加密技术小结&习题9.3.1 VPN概述VPN(Virtual Private Network,虚拟专用网),是一种利用公共网络来构建的私人专用网络技术,用于构建VPN的公共网络包括Internet、帧中继、AT
7、M等。廉价的网络接入严格的用户认证高强度的数据保密 9.3.2 VPN的组网方式远程访问虚拟专用网(Access VPN)、企业内部虚拟专用网(Intranet VPN)和企业扩展虚拟专用网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。9.3.3 VPN的体系结构1网络服务商提供的网络服务商提供的VPN2基于防火墙的基于防火墙的VPN3.基于黑匣的基于黑匣的VPN9.3.4 VPN的关键技术隧道技术(1)点到点隧道协议PPTP和第二层隧道协议L2TP(2)第三层隧道协议-GRE
8、和IPSec协议安全技术(1)加解密技术(2)身份认证技术(3)QoS技术9.3.5 IPSec VPN IPSec VPN是指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force(IETF)于1998年11月公布的IP安全标准,其目标是为IPv4和IPv6提供透明的安全服务定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。9.3.5 IPSec VPN安全体系结构封装安全载荷(ESP)协议验证头(AH)协议加密算法验证算法解释域(DOI)密钥管
9、理策略目录CONTENTS网络安全概述VPN技术防火墙技术防火墙技术入侵检测技术1335246加密技术小结&习题9.4 防火墙技术9.4.1 防火墙的设计策略机构的安全策略主要包括物理安全策略、访问控制策略、信息加密策略、网络安全管理策略等几个方面。其中最为重要的是网络访问控制策略,它用来保证网络资源不被非法使用和非常访问,主要是定义哪些用户能够登录到服务器并获取网络资源,授权用户可以访问网络资源的权限,允许或禁止的服务。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。9.4.2 包过滤技术简单包
10、过滤(静态包过滤)动态包过滤9.4.3代理服务技术代理服务器必须完成以下功能:1能够接收和解释客户端的请求;2能够创建到服务器的新连接;3能够接收服务器发来的响应;4能够发出或解释服务器的响应并将该响应传回给客户端。9.4.5 状态监视技术目录CONTENTS网络安全概述VPN技术防火墙技术入侵检测技术入侵检测技术1335246加密技术小结&习题9.5 入侵检测技术它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误
11、操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此,它是防火墙的合理补充,被认为是防火墙之后的第二道安全防线。9.5.1入侵检测的概念入侵检测的一般过程是:信息收集、数据的检测分析、根据安全策略做出响应。9.5.2 入侵检测的分类根据检测技术分类(1)异常检测(Anomaly detection)(2)特征检测(Signature-based Detection)(3)专家系统根据数据来源分类(1)基于主机的入侵检测系统(HIDS)(2)基于网络的入侵检测系统(NIDS)(3)分布式入侵检测系统9.5.3 通用入侵检测框架通 用 入 侵 检 测 框 架 CIDF(Common Intr
12、usion Detection Framework)所做的工作主要包括四部分:IDS的体系结构、通信机制、描述语言和应用编程接口API。CIDF在IDES和NIDES的基础上提出了一个通用模型,将入侵检测系统分为事件产生器、事件分析器、响应单元和事件数据库四个基本组件。为了保证各个组件之间安全、高效的通信,CIDF将通信机制构造成一个三层模型:GIDO层、消息层和协商传输层。CIDF的工作重点是定义了一种应用层的语言CISL(公共入侵规范语言),用来描述IDR组件之间传送的信息,以及制定一套对这些信息进行编码的协议。CIDF的API负责GIDO的编码、解码和传递,它提供的调用功能使得程序员可以在不了解编码和传递过程具体细节的情况下,以一种很简单的方式构建和传递GIDO。目录CONTENTS网络安全概述VPN技术防火墙技术入侵检测技术1335246加密技术习题习题习题9.1简述网络安全的目标。9.2加密体制有几元组构成?9.3举例已用到的VPN技术。9.4防火墙有几种检测技术?9.5入侵检测的技术有哪些?