搜索
11IP技术及应用之九网络安全2网络安全管理基本概念信息加密技术网络安全威胁网络安全防范目录31.1网络安全现状与问题1.1.1网络安全现状根据美国CERT安全事件统计数据可得安全事件变化趋势图。CERT各年接到的安全事件报告数019881990199219941996199820002002时间安全事件400001000001600002003200119991997199519931991198914000012000080000600002000041.1.2典型网络安全问题目前,主要有10个方面的网络安全问题急需解决:(1)信息应用系统与网络的关系日益紧密,人们对网络的依赖性增强。(2)网络系统中安全漏洞日益增多,技术和管理上斗有漏洞。(3)恶意代码危害性高。(4)网络攻击技术日趋复杂,而攻击操作容易完成,攻击工具广为流行。(5)国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。5(6)网络系统中软硬件产品的单一性,易造成大规模网络安全事件的发生,特别是网络蠕虫安全事件的发生。(7)网络安全建设涉及人员众多,安全和易用性特别难以平衡。(8)网络安全管理问题依然是一个难题,主要有:*用户信息安全防范意识不强。例如,选取弱口令,使得攻击者从远程即可直接控制主机。*网络服务配置不当,开放了过多的网络服务。例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接ping内部网主机,允许建立空连接。*安装有漏洞的软件包。6*缺省配置。例如,网络设备的口令直接用厂家的缺省配置。*网络系统中软件不打补丁或补丁不全。*网络安全敏感信息泄露。例如DNS服务信息泄露。*网络安全防范缺乏体系。*网络信息资产不明,缺乏分类、分级处理。*网络安全管理信息单一,缺乏统一分析与管理平台。*重技术,轻管理。例如,没有明确的安全管理策略、安全组织及安全规范。27目录网络安全管理基本概念信息加密技术网络安全威胁网络安全防范8基本概念密码学的主要目的是保持明文的秘密以防止攻击者获知;密码分析学是在不知道密钥的情况下识别出明文的科学。明文,是指需要采用密码技术进行保护的消息。密文则是指用密码技术处理“明文”后的结果,通常称为加密消息。将明文变换成密文的过程称作加密(encryption)。由密文恢复出原明文的过程称作解密(decryption)。加密过程所使用的一组操作运算规则称作加密算法;解密时使用的一组运算规则称作解密算法。加密和解密算法的操作通常都是在密钥(key)控制下进行的,分别称为加密密钥和解密密钥。2.1密码学92.2密码体制分类2.2.1私钥密码体制私钥密码体制又称作对称密码体制。该体制的特点是加密和解密使用相同的密钥。私钥密码体制可看成保险柜,密钥就是保险柜的号码。持有号码的人能够打开保险柜,放入文件,然后再关闭它。持有号码的其他人可以打开保险柜,取出文件。没有保险柜号码的人就必须摸索保险柜的打开方法。加密明文密文密文解密明文10私钥密码体制的密钥分配和管理是极为重要的问题。为了保证加密消息的安全,密钥分配必须使用安全途径。同时,消息发送方和接收方都需要安全保管密钥,防止非法用户读取。私钥密码体制的缺陷:密钥分配问题、密钥管理问题以及无法源认证。虽然私钥密码体制有不足之处,但私钥密码算法处理速度快,常常用作数据加密处理。目前,私钥密码典型算法已有DES、IDEA、AES等,其中,DES是美国早期数据加密标准,现在已经被AES取代。112.2.2公钥密码体制公钥密码体制又称作非对称密码体制,基本原理是在加密和解密的过程中使用不同的密钥处理方式。其中,加密密钥可以公开,而只需要把解密密钥安全存放即可。在安全性方面,密码算法即使公开时,由加密密钥推知解密密钥的计算也是不可行的。公钥密码体制原理如下图所示。加密明文公钥密文密文私钥解密明文12公钥密码体制可看成邮箱,任何人都能容易地把邮件放进邮箱,只要打开口子投进去就行了。把邮件放进邮箱是一件公开的事情,但打开邮箱需持有秘密信息(钥匙或组合密码)。与对称密码体制相比较,公钥密码体制有以下优点:(1)密钥分发方便,可以以公开方式分配加密密钥。(2)密钥保管量少。网络中的消息发送方可以共用一个公开加密密钥,从而减少密钥数量。只要接收方的解密密钥保密,消息的安全性就能实现。(3)支持数字签名。目前,只有三类体制被证明是安全和有效的,即RSA体制、ELGamal体制以及椭圆曲线密码体制。3132.2.3混合密码体制混合密码体制利用公钥密码体制分配私钥密码体制的密钥,消息的收发双方共用这个密钥,然后按照私钥密码体制方式,进行加密和解密运算。14消息发送者Alice消息接收者Bob加密消息Bob的公钥数字信封Enerypt明文消息Enerypt对称密钥明文解密解密Bob私钥321对称密钥4第一步,消息发送者Alice用对称密钥把需要发送的消息加密。第二步,Alice用Bob的公开密钥将对称密钥加密,形成数字信封,然后一起把加密消息和数字信封传送给Bob。第三步,Bob收到Alice的加密消息和数字信封后,用自己的私钥将数字信封解密,获取Alice加密消息时的对称密钥。第四步,Bob使用Alice加密的对称密钥把收到的加密消息解开。152.3杂凑函数杂凑函数简称Hash函数,它能够将任意长度的信息转换成固定长度哈希值(又称数字摘要或消息摘要),并且任意的不同消息或文件所生成的哈希值是不一样。Hash函数在网络安全应用中,不仅能用于保护消息或文件的完整性,而且也能用作密码信息的安全存储。目前,主要Hash算法有MD2、MD4、MD5、SHA。其中,MD5能产生128比特长度的哈希值,它的使用广泛,常用于网络中文件的完整性检查。SHA在美国政府中使用,作为安全哈希标准,SHA产生的哈希值比MD5长,有160比特。162.4数字签名数字签名(DigitalSignature)是手写签名的电子模拟,是通过电子信息计算处理,产生的一段特殊字符串消息,该消息具有与手写签名一样的特点,是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的。因而,通常将这种消息称为数字签名。17一个数字签名方案一般由签名算法和验证算法组成。签名算法的密钥是秘密的,只有签名人掌握;验证算法则是公开的,以便他人验证。签名过程是——签名者利用秘密密钥(私钥)对需签名的数据进行加密,验证方利用签名者的公开密钥(公钥)对签名数据做解密运算。签名与加密的不同之处在于,加密的目的是保护信息不被非授权用户访问,而签名的目的是让消息接收者确信信息的发送者是谁,信息是否被他人篡改。18假设Alice需要签名发送一份电子合同文件给Bob。Alice的签名步骤如下:第一步,Alice使用Hash函数将电子合同文件生成一个消息摘要。第二步,Alice使用自己的私钥,把消息摘要加密,形成一个数字签名。第三步,Alice把电子合同文件和数字签名一同发送给Bob。电子合同消息摘要带签名的电子合同用发送者的私钥签名Hash函数419Bob收到Alice发送的电子合同文件及数字签名后,要验证电子合同文件是Alice所认可的,验证步骤如下:第一步,Bob使用与Alice相同的Hash算法,计算出所收到电子合同文件的消息摘要。第二步,Bob使用Alice的公钥,解密来自Alice的加密消息摘要,恢复出Alice原来的消息摘要。第三步,Bob比较自己产生的消息摘要和恢复出来的消息摘要之间的异同。若两个消息摘要相同,则表明电子合同文件来自Alice。如果两个消息摘要的比较结果不一致,则表明电子合同文件已被篡改。已签名的电子合同电子合同Hash函数消息摘要比较消息摘要用发送者公钥解密签名20目录网络安全管理基本概念信息加密技术网络安全威胁网络安全防范213.1网络面临的安全威胁3.1.1网络存在的安全威胁u常见的有计算机病毒、拒绝服务攻击、内部、外部泄密、蠕虫、逻辑炸弹、信息丢失、篡改、销毁、特洛伊木马、黑客攻击和后门、隐蔽通道等。223.1.2安全威胁的类型(1)内部窃密和破坏内部涉密人员有意或无意泄密、更改记录信息;内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息;内部人员破坏网络系统。(2)截收攻击者通过搭线或在电磁波辐射的范围内安装截收装置等方式,截获机密信息,或通过对信息流和流向、通信频度和长度等参数的分析,推出有用信息。它不破坏传输信息的内容,不易被察觉。(3)非法访问非法用户如黑客进入网络或系统,进行违法操作;合法用户以未授权的方式进行操作。(4)破坏信息的完整性篡改,改变信息流的次序、时序,更改信息的内容、形式;删除,删除某个消息或消息的某些部分;插入,在消息中插入一些信息,让接收方读不懂或接收错误的信息。23(5)冒充冒充领导发布命令、调阅文件;冒充主机欺骗合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源;接管合法用户,欺骗系统,占用合法用户的资源。(6)破坏系统的可用性使合法用户不能正常访问网络资源;使有严格时间要求的服务不能及时得到响应;摧毁系统。(7)重放攻击者截获并录制信息,然后在必要的时候重发或反复发送这些信息。(8)抵赖发信者事后否认曾经发送过某条消息;或发送过某些内容;或接收过某条信息等。(9)其他威胁计算机病毒、电磁泄漏、各种灾害、操作失误等。243.2网络安全漏洞(1)IP地址欺骗——用来突破一个目标主机或用作发起DoS拒绝服务攻击。(2)隐蔽通道——隐蔽通道或秘密通道可被某个进程或者应用利用,以违反系统安全规定的方式而传输信息。隐蔽通道普遍存在于TCP/IP协议簇的所有底层协议中。(3)IP分片攻击——正常操作中,IP分片不会重叠,但攻击者可能特意构造分片分组,以误导路由器或防火墙。这些分组通常都很小,因为数据和计算量大,对终端系统来说是很难应付的。此类攻击的一个用途是绕过入侵检测系统(IDS)的传感器(sensor)。(4)TCP标志——TCP进行数据交换三次握手过程中会用到不同的标志(flag),这些标志会影响TCP分段被处理的方式。攻击者可以通过对标志位正常操作或设置的利用来发起DoS攻击,这会引起网络服务或Web服务器崩溃或中止响应。525(5)SYN泛洪——TCP/IP协议会在整个会话生命期内使用多个定时器,要让TCP/IP数据传输恰当而准确,这些定时器会被攻击者用来禁止服务甚至进入系统。攻击者能够利用此漏洞将某台主机从网络中移除很多秒,在此期间,这个临时被禁止的平台就可被用来发起其他突破或者安装一个后门。(6)用FIN关闭连接——四次握手机制中,发送者和接收者都期望对所收到的FIN分组发送一个确认。在一次试图中断连接的攻击过程中,被伪造的FIN数据分组具有正确的序列号,目标主机会认为这是有效分组。一旦分组被构造并发送,接收主机会认为被欺骗的发送者没有更多的数据要发送了,再收到任何其他分组就会被忽略并丢弃。(7)连接劫持——TCP连接可能会被非授权用户轻易地劫持。263.3恶意代码防范技术的原理3.3.1恶意代码概述3.3.2计算机病毒3.3.3特洛伊木马3.3.4网络蠕虫3.3.5其他恶意代码273.3.1恶意代码概述恶意代码是一种违背目标系统安全策略的程序代码,可造成目标系统信息泄露和资源滥用,破坏系统的完整性及可用性。恶意代码的种类主要包括计算机病毒(ComputerVirus)、蠕虫(Worms)、特洛伊木马(TrojanHorse)、逻辑炸弹(LogicBombs)、细菌(Bacteria)、恶意脚本(MaliciousScripts)和恶意ActiveX控件、间谍软件(Spyware)等。根据恶意代码的传播特性,可以将恶意代码分成两大类,如图所示。28恶意代码计算机病毒被动传播主动传播特洛伊木马间谍软件逻辑炸弹网络蠕虫其他恶意代码的分类293.3.2计算机病毒1.计算机病毒的概念与特性计算机病毒是一组具有自我复制、传播能力的程序代码。目前的计算机病毒数量已达到数万种,但所有计算机病毒都具有四个基本特点:30(1)隐蔽性。使得