搜索
第7章网络安全与网络管理袁津生主编主要内容7.1网络安全研究的主要问题7.2数据加密技术7.3身份认证技术7.4防火墙技术7.5网络管理主要内容网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络管理的目的是协调、保持网络系统的高效、可靠运行,当网络出现故障时,能及时报告和处理。本章主要介绍数据加密技术、身份鉴别技术、防火墙技术以及网络管理技术。7.1网络安全研究的主要问题网络安全的概念网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续正常地运行,网络服务不中断。网络安全的特征(1)保密性。信息不泄露给非授权用户、实体或过程,或供其利用的特性。(2)完整性。数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。(3)可用性。可被授权实体访问并按需求使用的特性。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。(4)可控性。对信息的传播及内容具有控制能力。(5)可审查性。出现安全问题时提供依据与手段。网络安全研究的主要问题1.网络防攻击问题2.网络安全漏洞与对策问题3.网络中的信息安全保密问题4.防抵赖问题5.网络内部安全防范问题6.网络防病毒问题7.垃圾邮件与灰色软件问题8.网络数据备份与恢复、灾难恢复问题7.2数据加密技术数据加密的概念所谓数据加密技术是指将一个信息经过加密密钥及加密函数转换,变成没有任何规律的密文,而接收方则将此密文经过解密函数、解密密钥还原成明文。密码学是包含两个分支:密码编码学和密码分析学。密码编码学是对信息进行编码,实现隐蔽信息;密码分析学是研究一门分析和破译密码的学问。在网络信息传输过程中,当需要对消息进行保密操作时,就需要密码编码学对信息进行保密处理。密码体制密码体制也叫密码系统,是指能完整地解决信息安全中的机密性、数据完整性、认证、身份识别、可控性及不可抵赖性等问题的。一个密码体制由明文、密文、密钥、加密和解密运算这四个基本要素构成。E运算加密算法D运算解密算法因特网明文X明文X密文Y密文Y加密解密加密密钥解密密钥AB对称加密技术对称密码体制是一种传统密码体制,也称为私钥密码体制。在对称加密系统中,加密和解密采用相同的密钥。因为加解密密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。大多数古典算法属于对称密码体制,例如凯撒加密机制、维吉尼亚算法、简单替换、多表替换算法等。现代对称密码算法有DES(数据加密标准)、3DES、AES(高级加密标准)、IDEA等。对称加密技术在对称加密系统中,加密和解密采用相同的密钥。加密过程解密过程密钥明文密文明文非对称加密技术非对称密码体制也叫公钥加密技术。在公钥加密系统中,加密和解密使用两个不同的密钥,加密密钥(公开密钥)向公众公开,谁都可以使用,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,因此称为公钥密码体制。E加密算法D解密算法密钥对产生源发送者接收者加密密钥PK解密密钥SK密文Y=EPK(X)明文X=DSK(EPK(X))明文X非对称加密的工作过程公钥加密系统的主要功能:机密性、确认、数据完整性、不可抵赖性。公钥密钥的密钥管理比较简单,可方便的实现数字签名和验证。但算法复杂,加密数据的速率较低。密文YE运算加密算法D运算解密算法加密解密明文X明文XABB的私钥SKB密文Y因特网B的公钥PKB7.3身份认证技术身份认证技术身份认证是指计算机及网络系统确认用户身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,提供一种判别和确认用户身份的机制。身份认证技术在信息安全中处于非常重要的地位,是其他安全机制的基础。只有实现了有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。身份认证概述在真实世界中,验证一个用户的身份主要通过以下三种方式:所知。、所有、本身特征。在计算机网络安全领域,将认证(Authentication)、授权(Authorization)与审计(Accounting)统称为AAA或3A。用户审计数据库授权数据库访问控制认证系统资源基于密码的身份认证密码通常由一组字符串来组成,为便于用户记忆,一般用户使用的密码都有长度的限制。但出于安全考虑,在使用密码时需要注意以下几点:(1)不使用默认密码;(2)设置足够长的密码;(3)不要使用结构简单的词或数字组合;(4)增加密码的组合复杂度;(5)使用加密;(6)避免共享密码;(7)定期更换密码。1.一次性密码技术使用一次性密码技术可以防止重放攻击的发生,这相当于用户随身携带一个密码本,按照与目标主机约定好的次序使用这些密码。用户每一次登录系统所用的密码都是不一样的,攻击者通过窃听得到的密码无法用于下一次认证。当密码全部用完后再向系统管理员申请新的密码本。一次性密码技术有其安全的地方,但实际使用过程中很不方便。如密码更改问题,初始化问题,本次密码全部使用完后,必须向管理员重新申请新的密码。2.动态口令技术动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫做动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。基于地址的身份认证1.地址认证基于地址的身份认证主要有IP地址认证和MAC地址认证。2.智能卡认证智能卡也称IC卡,是由一个或多个集成电路芯片(包括固化在芯片中的软件)组成的设备,可以安全地存储密钥、证书和用户数据等敏感信息,防止硬件级别的窜改。智能卡芯片在很多应用中可以独立完成加密、解密、身份认证、数字签名等对安全较为敏感的计算任务,从而能够提高应用系统抗病毒攻击以及防止敏感信息的泄漏。生物特征身份认证生物特征认证又称为“生物特征识别”,是指通过计算机利用人体固有的物理特征或行为特征鉴别个人身份。1.指纹认证指纹是人的生物特征的一种重要的表现形式,具有“人人不同”和“终身不变”的特征,以及附属于人的身体的便利性和不可伪造的安全性。2.虹膜认证虹膜(眼睛中的彩色部分)是眼球中包围瞳孔的部分,上面布满极其复杂的锯齿网络状花纹,而每个人虹膜的花纹都是不同的。虹膜识别技术就是应用计算机对虹膜花纹特征进行量化数据分析,用以确认被识别者的真实身份。数字签名数字签名(DigitalSignature)又称公钥数字签名或电子签章,是以电子形式存储于信息中或逻辑上与之有联系的数据,用于辨识数据签署人的身份,并表明签署人对数据中所包信息的认可。基于公钥密码体制和私钥密码体制都可获得数字签名,目前主要是基于公钥密码体制的数字签名。数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名工作原理数字签名经常采用一种称为摘要的技术,摘要技术主要是采用HASH(哈希)函数。HASH函数提供了一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串(称为HASH值),将一段长的报文通过函数变换,转换为一段定长的报文,即摘要。生成摘要发送方私钥明文发送方接收方信息摘要信息摘要加密过程HASH函数信息摘要明文明文信息摘要明文生成摘要信息摘要HASH函数发送方公钥解密过程信息摘要比较身份认证7.4防火墙技术防火墙的概念防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。防火墙位于外部网络和内部网络之间。外部网络位于防火墙的外面,内部网络位于防火墙的里面。一般都把防火墙里面的网络称为“可信任网络”,而把防火墙外面的网络称为“不可信任的网络”。防火墙的位置与作用外部网络防火墙内部网络不可信赖的网络可信赖的网络防火墙的功能(1)防火墙是网络安全的屏障一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。(2)防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。(3)对网络存取和访问进行监控审计如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。(4)防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙的种类根据防范方式和侧重点的不同可将防火墙分为:包过滤防火墙、应用级代理防火墙、电路级代理防火墙。包过滤防火墙工作在IP层,根据IP分组的IP头及部分传输层的头部信息,对分组是否满足访问控制规则进行判定,从而对分组做出转发或丢弃的操作。应用级代理防火墙工作在OSI参考模型的应用层及表示层。应用级代理服务器为各种不同的网络应用提供定制的网络服务。电路级代理是在客户和服务器之间不解释应用协议即建立回路。包过滤防火墙Internet内部网络服务器工作站网络层数据链路层物理层网络层数据链路层物理层包过滤规则包过滤路由器外部网络防火墙应用级代理防火墙外部网络代理服务器防火墙内部网络真正服务器Internet客户实际的连接虚拟的连接实际的连接防火墙的体系结构双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口,它位于内部网络和外部网络之间,它能从一个网络接收IP数据包并将之发往另一网络。屏蔽主机体系结构由包过滤路由器和堡垒主机组成。包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全。屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系——周边网络。双重宿主主机体系结构外部网络应用级代理防火墙内部网络服务器工作站Internet发送到外部网络的包进入内部网络的包屏蔽主机体系结构Internet内部网络堡垒主机199.24.180.10文件服务器199.24.180.1工作站包过滤路由器包过滤路由表199.24.180.1199.24.180.10目的IP转发至IP屏蔽子网体系结构内部网络Internet过滤子网服务器工作站外部包过滤路由器外部网络内部网络内部包过滤路由器外部堡垒主机内部堡垒主机被保护的内部网络被保护的内部网络过滤子网过滤子网7.5网络管理网络管理的概念网络管理是指规划、监督、设计和控制网络资源使用和网络的各种活动,以使网络的性能达到最优。网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制。网络管理的目的是协调、保持网络系统的高效、可靠运行,当网络出现故障时,能及时报告和处理。通过网络管理可以控制用户的访问、跟踪用户与网络的连接,改变网络登录口令,记录网络访问历史等,从而为网络提供一个安全的环境。网络管理的基本功能网