1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络安全技术基础,Network Security Technology Essentials Training Course,课 程 简 介,课 程 综 述,课 程 综 述,课 程 内 容,本课程以分析计算机网络面临的安全威胁为起点,阐述了常用的网络安全技术,介绍了主流网络安全产品和常用网络安全策略,并着重强调内容安全(防病毒)在网络安全中的重要地位。,分析计算机网络面临的安全威胁,阐述常用的计算机网络安全技术,介绍主要的网络安全产品类型,推荐企业网络安全策略,课 程 综 述,课程目标,本课程的目标是提高
2、学员的网络安全意识,使学员熟悉基本的网络安全理论知识和常用网络安全产品,了解部署整个网络安全的防护系统和策略的方法。在此基础上,让学员充分了解病毒防范的重要性和艰巨性,了解“内部人员的不当使用”和“病毒”是整个网络系统中最难对付的两类安全问题。,全面了解基本的网络弱点,了解安全技术原理,了解各类安全技术的产品及其实现方式,了解内容安全(防病毒)的难度及在网络安全中日益重要的地位,网络安全概述,第一章,网 络 安 全 概 述,本 章 概 要,本章介绍网络安全的定义、安全网络的基本特征以及计算机网络面临的威胁。本章内容包含以下几部分:,网络安全背景,计算机网络面临的威胁,网络安全的定义,安全网络的
3、基本特征,网 络 安 全 概 述,课 程 目 标,通过本章的学习,学员应能够了解:,网络安全的定义及其涵盖的范围,计算机网络面临的威胁主要来自哪些方面,安全的计算机网络的基本特征,在我们的生活中,经常可以听到下面的报道:,XX,网站受到黑客攻击,XX,计算机系统受到攻击,造成客户数据丢失,目前又出现,XX,计算机病毒,已扩散到各大洲,网络安全的背景,计算机网络在带给我们便利的同时已经体现出了它的脆弱性,网络安全的背景,经常有网站遭受黑客攻击,网络安全的背景,用户数据的泄漏,网络安全的背景,调查显示:网络攻击数量与日俱增,www.cert.org/stats/cert_stats.html,In
4、cidents reported to CERT/CC in recent years,Year,网络安全的背景,网络病毒在全球范围内高速扩散,2001,年7月19日,01:05:00,2001,年7月19日 20,:15:00,网络病毒在全球范围内高速扩散,Sat Jan 25 05:29:00 2003Sat Jan 25 06:00:00 2003,网络安全的背景,黑客攻击技术与网络病毒日趋融合,网络安全的背景,攻击者需要的技能日趋下降,攻击工具复杂性,攻击者所需技能,网络安全面临的威胁,互联网在推动社会发展的同时,也面临着日益严重的安全问题:,信息系统存在诸多弱点,企业外部的网络攻击,
5、企业内部发起的网络破坏,计算机病毒的破坏,计算机网络的最大威胁是来自企业内部员工的恶意攻击和计算机病毒的威胁。,网络安全面临的威胁,网络面临多种风险,物理风险,系统风险,信息风险,应用风险,其它风险,网络的风险,管理风险,设备防盗,防毁,链路老化人为破坏,网络设备自身故障,停电导致无法工作,机房电磁辐射,其他,信息存储安全,信息传输安全,信息访问安全,其他,身份鉴别,访问授权,机密性,完整性,不可否认性,可用性,计算机病毒,外部攻击,内部破坏,其他风险,软件弱点,是否存在管理方面的风险需,有无制定相应的安全制度,安全拓扑,安全路由,Internet,磁盘意外损坏,光盘意外损坏,磁带被意外盗走,
6、导致数据丢失,导致数据无法访问,信息系统的弱点,信息存储的弱点,信息系统的弱点,信息传输的弱点,搭线窃听信息,总部,下属机构,黑客,信息泄密,信息被篡改,Internet,企业网络,非法用户,非法登录,合法用户,越权访问,信息系统的弱点,计算机网络,信息被非法访问,信息被越权访问,信息被非授权访问,各种网络攻击,企业外部的网络攻击,1993年3月1日,由于骇客入侵,纽约市区供电中断8个小时,造成巨大经济损失。,1998年6月,国内某著名银行一用户通过网络使用非法手段盗支36万元人民币。,1999年8月,一少年侵入德里医院篡改血库信息,致使12名病人因错误输血而死亡。,据美国金融时报报道,现在平
7、均每20秒就发生一次入侵计算机网络的事件;超过1/3的互联网被攻破。,各种网络攻击,企业内部的网络破坏,统计显示:来自企业内部的网络破坏更加危险;,员工的不正常使用也是企业内网的一个重要不安全因素。,尽管企业外部的攻击可以对企业网络造成巨大威胁,企业内部员工的不正确使用和恶意破坏是一种更加危险的因素。,摘自,ICSA/FBI,2001,计算机病毒的破坏,1998年,,CIH,病毒影响到2000万台计算机;,1999年,梅利莎造成8000万美元损失;,2000年,爱虫病毒影响到1200万台计算机,损失高达几十亿美元;,2001年,红色代码病毒,目前造成的损失已超过十二亿美元。,现在计算机病毒已达
8、5万多种,并呈几何级数增长,网络安全问题的严重性,网络安全隐患到处存在,据美国金融时报报道,现在平均每20秒就发生一次入侵计算机网络的事件;超过1/3的互联网被攻破。,被认为保护措施最严密的美国白宫被多次闯入。,中国国内80的网络存在安全隐患,20的网站有严重安全问题。,网络安全问题的严重性,网络安全问题造成的巨大损失,据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数亿美元,并且呈逐年上升的趋势。,美国,FBI,统计数据:美国每年因为网络安全问题而造成的经济损失高达75亿美圆。,网络安全的定义,广义的网络安全定义:凡是涉及到网络上信息的安全性,完整性,可用性,真实性和可控性
9、的相关理论和技术都是网络信息安全所要研究的领域。,狭义的网络安全定义:指信息内容的安全性,即保护信息的秘密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗、盗用等有损合法用户利益的行为,保护合法用户的利益和隐私。,本课程涉及的网络安全是指狭义的网络安全。,网络安全从其本质上来讲就是网络上的信息安全,它涉及的范围相当广。,安全网络的特征,安全的网络具有下列四个特征:,保密性,完整性,可用性,可控性,如何构建一个安全的网络?,构建计划周密、安全可行的安防体系,人,制度,技术,安防体系,完整的安防体系应该由人、制度和技术三方面组成;,本课程的第二章到第四章讨论了网络安全技术的相关
10、问题;,本课程第五章着重讨论了安防体系中人和制度的因素,并提出了规划企业安防体系的一般方法。,计算机网络面临的安全威胁,第二章,本章概要,计算机网络面临的安全威胁,本章分析了威胁计算机网络安全的各种因素,具体如下:,网络安全漏洞,网络攻击概述,网络攻击手段,计算机病毒的危害,网络安全漏洞,系统存在安全方面的脆弱性,非法用户得以获得访问权,合法用户未经授权提高访问权限,系统易受来自各方面的攻击,网络安全漏洞的概念,网络协议的安全漏洞,操作系统的安全漏洞,应用程序的安全漏洞,安全漏洞的分类,网络安全漏洞,系统和软件的设计存在缺陷,通信协议不完备;如,TCP/IP,协议就有很多漏洞。,技术实现不充分
11、;如很多缓存溢出方面的漏洞就是在实现时缺少必要的检查。,配置管理和使用不当也能产生安全漏洞;如口令过于简单,很容易被黑客猜中。,安全漏洞产生的原因,网络安全漏洞,常见的,Internet,服务中都存在安全漏洞:,安全漏洞,FTP,文件传输,的安全漏洞,WWW,服务,的安全漏洞,Usenet,新闻,的安全漏洞,网络服务,的安全漏洞,网络文件系统,的安全漏洞,电子邮件的,安全漏洞,Telnet,的,安全漏洞,网络安全漏洞,常见的,Internet,服务中都存在安全漏洞:,安全漏洞,FTP,文件传输,的安全漏洞,WWW,服务,的安全漏洞,Usenet,新闻,的安全漏洞,网络服务,的安全漏洞,网络文件
12、系统,的安全漏洞,电子邮件的,安全漏洞,Telnet,的,安全漏洞,网络攻击,病毒破坏,网络攻击概述,网络攻击的概念,利用安全漏洞,使用攻击软件或命令,使用网络命令,使用专用网络软件,自己编写攻击软件,攻击具体内容,非法获取、修改或删除用户系统信息,在用户系统上增加垃圾、色情或有害的信息,破坏用户的系统,网络攻击概述,常见的网络攻击者,骇客(,Hacker),黑客(,Cracker),幼稚黑客(,Script Kiddie),内奸,工业间谍,病毒制造者,网络攻击概述,网络攻击的工具,分布式工具(,Distributed,Tool,),攻击程序(,Intrusion Program),自治代理(
13、,Autonomous Agents,),工具集(,Tool Sets),用户命令(,User Command),网络攻击概述,一个网络攻击的组成,网络攻击,攻击者,工具,访问,结果,目标,骇客,黑客,幼稚黑客,内奸,工业间谍,分布式工具,程序,自治代理,工具集,用户命令,信息破坏,信息暴露,服务偷窃,服务拒绝,破坏,配置的脆弱点,实现的漏洞,黑客,用户命令,配置的脆弱点,信息破坏,破坏,网络攻击的类型,拒绝服务:使遭受的资源目标不能继续正常提供服务,侵入攻击:攻击者窃取到系统的访问权并盗用资源,信息盗窃:攻击者从目标系统中偷走数据。,信息篡改:攻击者篡改信息内容。,网络攻击主要可以分为以下几
14、种类型:,网络攻击的类型,拒绝服务(,Denial of Service),CPU,拒绝服务,网络攻击的类型,信息盗窃(,Eavesdropping),信息盗窃,telnet foo.bar.org,username:dan,password:,m-y-p-a-s-s-w-o-r-d d-a-n,网络攻击的类型,侵入攻击(,Intrusion),Bob,侵入攻击,Im Bob,Please let me Log in.,网络攻击的类型,信息篡改(,Loss of Integrity),Bank,Customer,Deposit$1000,Deposit$100,信息篡改,常见的网络攻击手段,主
15、要网络攻击手段,E-Mail,炸弹 (,E-Mail Bombing),逻辑炸弹 (,Logic Bombing),DDos,攻击 (,Distributed Denial of Service),特洛伊木马 (,Trojan Horse Program),口令入侵 (,Password Intrusion),网络窃听 (,Eavesdropping),IP,地址欺骗 (,IP Spoofing),病毒攻击 (,Viruses),计算机病毒的危害,计算机病毒的概念,计算机病毒的特征,计算机病毒的种类,网络病毒,网络病毒的特点及危害性,常见的网络病毒,病毒网络攻击的有效载体,本部分主要讨论以下几
16、内容:,计算机病毒的概念,计算机病毒是指一段具有自我复制和传播功能的计算机代码,这段代码通常能影响计算机的正常运行,甚至破坏计算机功能和毁坏数据。,计算机病毒的特征,病毒是一段可执行的程序,病毒具有广泛的传染性,病毒具有很强的隐蔽性,病毒具有潜伏性,病毒具有可触发性,病毒具有破坏性,计算机病毒的种类,启动型病毒,文件型病毒,宏病毒,Script,病毒,JAVA,病毒,Shockwave,病毒,网络病毒的概念,利用网络协议及网络的体系结构作为传播的途径或传播机制,并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。,网络病毒的特点及危害,破坏性强,传播性强,针对性强,扩散面广,传染方式多,消除
17、难度大,常见的网络病毒,蠕虫病毒,多态病毒,伙伴病毒,梅利莎病毒,BO,病毒,隐藏病毒,JAVA,病毒,病毒网络攻击的有效载体,网络的新威胁病毒+网络攻击,网络安全技术基础,第三章,网络安全技术基础,本 章 概 要,本章首先介绍了计算机网络的基本知识,然后分别就各种网络安全技术进行了阐述。本章涉及的网络安全技术有:,数据加密技术(,Encryption),身份认证技术(,Authentication),包过滤技术(,Packet Filtering),资源授权使用(,Authorization),内容安全(防病毒)技术,网络安全技术基础,课 程 目 标,通过本章的学习,学员应能够了解:,计算机
18、网络的基本知识和常用网络协议,常用的网络安全技术及其适用范围,内容安全(防病毒)技术在网络安全领域的重要地位,计算机网络基础知识,计算机网络的分层结构,复杂的计算机网络,计算机网络的七层模型(,OSI),TCP/IP,网络的层次结构,常用的网络协议和网络技术,TCP/IP,协议族,局域网技术和广域网技术,常见的,Internet,服务,复杂的计算机网络,计算机网络分层结构,IBM 3274,Dial-on-,Demand,SDLC,T1/E1,X,Windo,w,s,ASCII,Pr,otocol,T,ranslator,LA,T Host,P,oint-to-P,oint,SMDS,X.25
19、,Frame Rela,y,IBM Mainframe,with FEP,FDDI,Dial Backup,Dial,Bac,kup,Load,Sharing,LAN,Switch,LAN Switch,Inter-,Switch,Link,(ISL),VLANs,Switch 1,Switch 2,Switch 3,Switch 4,Router 1,Router 2,Router 3,Router 4,Router 5,Router 6,Router 7,Router 8,OSI,七层模型,计算机网络分层结构,应用层,Application Layer,表示层,Presentation L
20、ayer,会话层,Session Layer,传输层,Transport Layer,网络层,Network Layer,数据链路层,Data Link Layer,物理层,Physical Layer,与用户应用的接口,数据格式的转换,会话管理与数据同步,端到端的可靠传输,分组传送、路由选择、流量控制,相邻节点间无差错地传送帧,在物理媒体上透明传送位流,OSI,七层模型,计算机网络分层结构,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,网络层,数据链路层,物理层,网络层,数据链路层,物理层,应用层协议,表示层协议,会话
21、层协议,传输层协议,主机,A,主机,B,路由器,路由器,计算机网络分层结构,TCP/IP,网络层次结构,应用层,Application Layer,表示层,Presentation Layer,会话层,Session Layer,传输层,Transport Layer,网络层,Network Layer,数据链路层,Data Link Layer,物理层,Physical Layer,应用层,Application Layer,传输层,Transport Layer,互联网络层,Inter-Networking Layer,网络接口层,Network Access Layer,TCP/IP,网
22、络分层结构,OSI,网络分层结构,计算机网络分层结构,应用层,Application Layer,传输层,Transport Layer,互联网络层,Inter-Networking Layer,网络接口层,Network Access Layer,X Window,NFS,SMTP,DNS,SNMP,HTTP,FTP,Telnet,UDP,TCP,IP,RARP,ARP,BootP,ICMP,FDDI,Token Ring,X.25,Ethernet,TCP/IP,网络层次结构,常用的网络协议和网络技术,TCP/IP,协议族(网络互联层和传输层),IP,协议:,Internet Protoc
23、ol,TCP,协议:,Transmission Control Protocol,UDP,协议:,User Datagram Protocol,ICMP,协议:,Internet Control Message Protocol,ARP,协议:,Address Resolution Protocl,RARP,协议:,Reversed Address Resolution Protocol,常用的网络协议和网络技术,TCP/IP,协议族(应用层),HTTP,:,HyperText Transmission Protocol,FTP,:,File Transmission Protocol,SMT
24、P,:,Simple Mail Transmission Protocol,DNS,:,Domain name Service,SNMP:Simple Network Management Protocol,Telnet,POP3,常用的网络协议和网络技术,TCP/IP,协议支持的链路层协议,Ethernet,Token Ring,FDDI,HLDC,PPP,X.25,Frame Relay,TCP/IP,协议几乎能支持所有的链路层协议,包括局域网协议和广域网协议,常用的网络协议和网络技术,局域网(,LAN),技术,令牌环网(,Token Ring),分布式光纤接入(,FDDI),以太网/快速
25、以太网/千兆以太网(,Ethernet/Fast Ethernet/Gigabit Ethernet),常用的网络协议和网络技术,局域网(,LAN),常见设备,集线器(,HUB),交换机(,Switch),网卡(,NIC),PCMCIA,网卡,常用的网络协议和网络技术,广域网(,WAN),技术,租用专线(,Leased Line,),帧中继技术(,Frame Relay),电话拨号接入技术(,Dial Up),ISDN,拨号接入技术(,ISDN),虚拟专用网技术(,VPN),Service provider,常用的网络协议和网络技术,广域网(,WAN),常见设备,ADSL,路由器,Cable
26、Modem,ISDN,适配器,常见的,Internet,服务,电子邮件,WWW,服务,Telnet,文件传输,网络管理,拨号网络,数据加密技术,数据加密的概念,数据加密技术原理,数据传输的加密,常用加密协议,本部分涉及以下内容:,数据加密的概念,数据加密模型,密文,网络信道,明文,明文,三要素:信息明文(,Plaintext),、密钥(,Key),、,信息密文(,Ciphertext).,加密密钥,信息窃取者,解密密钥,加密算法,解密算法,数据加密的概念,数据加密技术的概念,数据加密(,Encryption),是指将明文信息(,Plaintext),采取数学方法进行函数转换成密文(,Ciphe
27、rtext),,只有特定接受方才能将其解密(,Decryption),还原成明文的过程。,明文(,Plaintext),:加密前的原始信息;,密文(,Ciphertext),:明文被加密后的信息;,密钥(,Key):,控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥;,加密(,Encryption):,将明文通过数学算法转换成密文的过程;,解密(,Decryption):,将密文还原成明文的过程。,数据加密的概念,数据加密技术的应用,数据保密;,身份验证;,保持数据完整性;,确认事件的发生。,数据加密技术原理,对称密钥加密(保密密钥法),非对称密钥加密(公开密钥法),混合加密算
28、法,哈希(,Hash),算法,数字签名,数字证书,公共密钥体系,数据加密技术原理,数据加密技术原理,对称密钥加密(保密密钥法),加密算法,解密算法,密钥,网络信道,明文,明文,密文,加密密钥,解密密钥,两者相等,数据加密技术原理,非对称密钥加密(公开密钥加密),加密算法,解密算法,公开密钥,网络信道,明文,明文,密文,私有密钥,公钥,私钥,公钥,私钥,不可相互推导,不相等,数据加密技术原理,混合加密系统,对称密钥加密算法,对称密钥解密算法,对称密钥,网络信道,明文,明文,密文,混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷!,非对称密钥加密算法,非对称密钥解密算法,
29、对称密钥,公开密钥,私有密钥,混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合,数据加密技术原理,哈希(,Hash),算法,信息,加密,解密,网络信道,信息,密文,哈希算法(,hash algorithm),,也叫信息标记算法(,message-digest algorithm),,可以提供数据完整性方面的判断依据。,哈希算法,结果相同,则数据未被篡改,比较,结果不同,则数据已被篡改,信息标记,(,digest),常用的哈希算法:,MD5,SHA-1,哈希算法,数据加密技术原理,数字签名,数字签名(,digital signature),技术通过某种加密算法,在一条地址消息的尾部添加一
30、个字符串,而收信人可以根据这个字符串验明发信人的身份,并可进行数据完整性检查。,数据加密技术原理,数字签名的工作原理,非对称加密算法,非对称解密算法,Alice,的私有密钥,网络信道,合同,Alice,的公开密钥,哈希算法,标记,标记-2,合同,哈希算法,比较,标记-1,如果两标记相同,则符合上述确认要求,。,Alice,Bob,假定,Alice,需要传送一份合同给,Bob,。,Bob,需要确认:,合同的确是,Alice,发送的,合同在传输途中未被修改,数据加密技术原理,数字签名的作用,唯一地确定签名人的身份;,对签名后信件的内容 是否又发生变化进行验证;,发信人无法对信件的内容进行抵赖。,当
31、我们对签名人同公开密钥的对应关系产生疑问时,我们需要第三方颁证机构(,CA:Certificate Authorities),的帮助。,数据加密技术原理,数字证书,数字证书相当于电子化的身份证明,应有值得信赖的颁证机构(,CA,机构)的数字签名,可以用来强力验证某个用户或某个系统的身份及其公开密钥。,数字证书既可以向一家公共的办证机构申请,也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。,数据加密技术原理,数字证书标准:,X.509,X.509,是由国际电信联盟(,ITU-T),制定的数字证书标准。在,X.500,确保用户名称惟一性的基础上,X.509,为,X.5
32、00,用户名称提供了通信实体的鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口。,X.509,的最初版本公布于1988年。,X.509,证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、,CA,标识符、签名算法标识、签发者名称、证书有效期等信息。,X.509,标准的最新版本是,X.509v3,,它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展信息字段,用来提供更多的灵活性及特殊应用环境下所需的信息传送,。,数据加密技术原理,数字证书中的常见内容,发信人的公开密钥;,发信人的姓名;,证书颁发者的名称;,证书的序列号;,证书颁发者的数字签名;,证书的有效期限。
33、,数据加密技术原理,申请数字证书,并利用它发送电子邮件,用户向,CA,机构申请一份数字证书,申请过程会生成他的公开/私有密钥对。公开密钥被发送给,CA,机构,,CA,机构生成证书,并用自己的私有密钥签发之,然后向用户发送一份拷贝。,用户的同事从,CA,机构查到用户的数字证书,用证书中的公开密钥对签名进行验证。,用户把文件加上签名,然后把原始文件同签名一起发送给自己的同事。,证书申请,签发的数字证书,文件和数字签名,数字证书的验证,用户,同事,CA,数据传输的加密,链路加密方式,SH:,会话层包头;,TH:,传输层包头;,NH:,网络层包头;,LH:,链路层包头;,E:,链路层包尾;,应用层,表
34、示层,会话层,传输层,网络层,链路层,物理层,Message,Message,SH,Message,TH,NH,LH,LH,SH,TH,SH,NH,TH,SH,NH,TH,SH,Message,Message,Message,Message,E,E,:明文信息,:密文信息,数据传输的加密,链路加密方式,用于保护通信节点间传输的数据,通常用硬件 在物理层或数据链路层实现。,优点,由于每条通信链路上的加密是独立进行的,因此当某条链路受到破坏不会导致其它链路上传输的信息的安全性。,报文中的协议控制信息和地址都被加密,能够有效防止各种流量分析。,不会减少网络有效带宽。,只有相邻节点使用同一密钥,因此,
35、密钥容易管理。,加密对于用户是透明的,用户不需要了解加密、解密过程。,数据传输的加密,链路加密方式,缺点,在传输的中间节点,报文是以明文的方式出现,容易受到非法访问的威胁。,每条链路都需要加密/解密设备和密钥,加密成本较高。,数据传输的加密,端对端加密方式,应用层,表示层,会话层,传输层,网络层,链路层,物理层,Message,Message,SH,Message,TH,NH,LH,LH,SH,TH,SH,NH,TH,SH,NH,TH,SH,Message,Message,Message,Message,E,E,SH:,会话层包头;,TH:,传输层包头;,NH:,网络层包头;,LH:,链路层包
36、头;,E:,链路层包尾;,:明文信息,:密文信息,数据传输的加密,端对端加密方式,在源节点和目标节点对传输的报文进行加密和解密,一般在应用层或表示层完成。,优点,在高层实现加密,具有一定的灵活性。用户可以根据需要选择不同的加密算法。,缺点,报文的控制信息和地址不加密,容易受到流量分析的攻击。,需要在全网范围内对密钥进行管理和分配。,常用加密协议,SSL,协议:,安全套接层协议(,Secure Socket Layer)。,SSL,是建立安全通道的协议,位于传输层和应用层之间,理论上可以为任何数量的应用层网络通信协议提供通信安全。,SSL,协议提供的功能有安全(加密)通信、服务器(或客户)身份鉴
37、别、信息完整性检查等。,SSL,协议最初由,Netscape,公司开发成功,是在,Web,客户和,Web,服务器之间建立安全通道的事实标准。,SSL,协议大量使用于网站的安全连接。,常用加密协议,数据链路层和物理层,网络层(,IP),传输层(,TCP),安全套接层(,SSL),Telnt,mail,news,ftp,nntp,dns,等,S/MIME,HTTP,S-HTTP,SSL,协议:,安全套接层协议所在层次,常用加密协议,SSL,协议:,建立,SSL,协议的六个步骤,建立,SSL,协议的前三个步骤,1。客户传送“,ClientHello”,2。服务器传送“,ServerHello”,3。
38、服务器传送公开密钥,服务器,服务器,服务器,客户端,客户端,客户端,公开密钥,常用加密协议,SSL,协议:,建立,SSL,协议的六个步骤,建立,SSL,协议的后三个步骤,4。客户传送秘密密钥给服务器,5。服务器和客户端均传送“,ChangeCipherSpec”,和“,Finished”,给对方,6。客户端与服务器开始使用秘密密钥交换资料,服务器,服务器,服务器,客户端,客户端,客户端,常用加密协议,TLS,协议:,传输层安全协议(,Transport Layer Security)。,TLS,协议由,IETF(Internet Engineering Task Force),组织开发。,TL
39、S,协议是对,SSL 3.0,协议的进一步发展。,同,SSL,协议相比,,TLS,协议是一个开放的、以有关标准为基础的解决方案,使用了非专利的加密算法。,常用加密协议,IP-Sec,协议(,VPN,加密标准):,Internet,InternalNetwork,Encrypted IP,与,SSL,协议不同,,IP-Sec,协议试图通过对,IP,数据包进行加密,从根本上解决因特网的安全问题。,IP-Sec,是目前远程访问,VPN,网的基础,可以在,Internet,上创建出安全通道来。,常用加密协议,IP-Sec,协议:,IP HDR,May Be Encrypted,IP HDR,Data,
40、IPsec HDR,Data,IP HDR,Data,IPsec HDR,IP HDR,New IP HDR,May Be Encrypted,Data,信道模式,透明模式,IP-Sec,协议有两种模式:,透明模式:把,IP-Sec,协议施加到,IP,数据包上,但保留数据包原来的数据头;,信道模式:把数据包的一切内容都加密(包括数据头),然后再加上一个新的数据头。,常用加密协议,其它加密协议与标准:,SSH:Secure Shell,,在,UNIX,操作系统中用于远程控制,Web,服务器和其他服务器。,DNSSEC:Domain Name Server Security,,主要用于分布式域名服
41、务。,GSSAPI:Generic Security Services API,,为各种密码学提供身份鉴别、密钥交换、数据加密的平台。,PGP,协议:,Pretty Good Protocol,,适合于加密文件和加密电子邮件。,身份鉴别技术,Is that Alice?,Hi,this is Alice.Please send me data.,Internet,身份鉴别技术的提出,在开放的网络环境中,服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。,身份鉴别技术,常用的身份鉴别技术,基于用户名和密码的身份鉴别,基于对称密钥密码体制的身份鉴别技术,基于,KDC(
42、,密钥分配中心)的身份鉴别技术,基于非对称密钥密码体制的身份鉴别技术,基于证书的身份鉴别技术,身份鉴别技术,Yes.I have a user named“Alice”whose password is“byebye”.I can send him data.,Hi,this is Alice.My User Id is“Alice”,my password is“byebye”.Please send me data.,Internet,基于用户名和密码的身份鉴别,身份鉴别技术,This is Bob.Are you Alice?,Hi,this is Alice.Are you Bob?,
43、Internet,基于对称密钥体制的身份鉴别,A,在这种技术中,鉴别双方共享一个对称密钥,KAB,,该对称密钥在鉴别之前已经协商好(不通过网络)。,R,B,K,AB,(R,B,),R,A,K,AB,(R,A,),Alice,Bob,身份鉴别技术,This is Bob.Are you Alice?,Hi,this is Alice.Are you Bob?,Internet,基于,KDC,的身份鉴别技术,A,K,A,(B,K,S,),基于,KDC(Key Distribution Center,,密钥分配中心)的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中,参与
44、鉴别的实体只与,KDC,共享一个对称密钥,鉴别通过,KDC,来完成。,K,B,(A,K,S,),Alice,Bob,KDC,身份鉴别技术,基于非对称密钥体制的身份鉴别,在这种技术中,双方均用对方的公开密钥进行加密和传输。,This is Bob.Are you Alice?,Hi,this is Alice.Are you Bob?,Internet,E,PKB,(A,R,A,),E,PKA,(R,A,R,B,K,S,),K,S,(R,B,),Alice,Bob,身份鉴别技术,基于证书的身份鉴别技术,为解决非对称密钥身份鉴别技术中存在的“公开密钥真实性”的问题,可采用证书对实体的公开密钥的真实
45、性进行保证。,This is Bob.Are you Alice?,Hi,this is Alice.Are you Bob?,Internet,PK,B,(A,K,S,),C,A,PK,A,(B,K,S,),Alice,Bob,资源使用授权,资源使用授权的概念,当用户登陆到系统时,其任何动作都要受到约束,在使用者和各类系统资源间建立详细的授权映射,确保用户只能使用其授权范围内的资源。,通过访问控制列表(,ACL:Access Control List),来实现资源使用授权,。,系统中的每一个对象与一个,ACL,关联。,ACL,中包含一个或多个访问控制入口(,Access Control En
46、try,ACE),。,资源使用授权,资源使用授权实例分析,Internet,Intranet,DNS/Mail,DMZ,Telnet,Joe,Inside Host A,Firewall,Internet,Secure Monitor,Joe,User Profile,id=Joe,Fail=0,Service=Shell,Cmd=Telnet,Permit Host A,Cmd=FTP,Permit Host B,包过滤技术,包过滤技术的基本概念,包过滤技术指在网络中适当的位置(作用在网络层和传输层)对数据包有选择的通过;,选择的依据是系统内设置的过滤规则(分组包头源地址,目的地址和端口号、
47、协议类型等标志确定是否允许数据包通过);,只有满足过滤规则的数据包才被转发到相应的网络接口;,其余数据包则被从数据流中删除。,包过滤一般由屏蔽路由器来完成。,包过滤技术是防火墙最常用的技术。,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据,TCP,报头,IP,报头,分组过滤判断信息,企业内部网,屏蔽路由器,数据包,包过滤技术,包过滤技术的基本原理,数据包,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,控制策略,包过滤技术,包过滤技术的特点,较
48、高的网络性能。,成本较低。,不足:,优点:,包过滤技术是安防强度最弱的防火墙技术。,虽然有一些维护工具,但维护起来十分困难。,IP,包的源地址、目的地址、,TCP,端口号是唯一可以用于判断是否允许包通过的信息。,不能阻止,IP,地址欺骗,不能防止,DNS,欺骗。,内容安全(防病毒)技术,病毒检测方法,比较法,搜索法,特征字的识别法,分析法,病毒清除方法,文件型病毒的清除,引导型病毒的清除,内存杀毒,未知病毒的检测,压缩文件病毒的检测和清除,计算机病毒的检测,病毒检测方法:,搜索法,分析法,特征字,识别法,比较法,病毒检测方法,计算机病毒的检测,比较法,比较法是通过用原始备份与被检测的引导扇区或
49、文件进行比较,来判断系统是否感染病毒的方法。,文件长度的变化和文件中程序代码的变化都可以用来作为比较法判断有无病毒的依据。,比较法的优点:,简单、方便,不需专用软件,并且还能发现尚不 能被现有的查病毒程序发现的计算机病毒。,比较法的缺点:,无法确认病毒的种类。当发现差异时,无法判断产生差异的原因是由于病毒的感染,还是由于突然停电、程序失控、恶意程序破坏等原因造成的。,计算机病毒的检测,搜索法,搜索法的主要缺点:,当被扫描的文件很长时,扫描所花的时间也多。,当新的病毒特征串未加入病毒代码库时,老版本的扫描程序无法识别新病毒。,当病毒产生新的变种时,病毒特征串被改变,因此可以躲过扫描程序。,容易产
50、生误报警。,搜索法是用每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串所代表的病毒。,被广泛应用。,计算机病毒的检测,特征字的识别法,同搜索法不同,特征字识别法只需从病毒体内抽取很少几个关键的特征字,组成特征字库,可进行病毒的查杀。,由于需要处理的字节很少,又不必进行串匹配,特征字识别法的识别速度大大高于搜索法。,特征字识别法比搜索法更加注意“程序活性”,减少了错报的可能性。,计算机病毒的检测,分析法,分析法是反病毒专家使用的方法,不适合普通用户。,反病毒专家采用分析法对染毒文件和病毒代码进行分析,得出分析结果后形成反病毒产品。,分析法可分为动态和静
浙ICP备2021020529号-1 | 浙B2-20240490 
