第9章计算机网络安全

第9章计算机网络安全计算机网络技术与应用第9章计算机网络安全•本章内容–9.1网络安全概述–9.2数据加密技术及其应用–9.3数字证书与身份认证–9.4防火墙技术及其应用–9.5虚拟专用网技术及其应用9.1网络安全概述•9.1.1网络安全的概念•9.1.2网络面临的威胁与对应措施•9.1.3网络安全体系计算机网络技术与应用9.1.1网络安全的概念计算机网络技术与应用1．网络安全定义•网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。网络安全的含义如下：（1）运行系统的安全（2）信息存储的安全（3）信息传播的安全（4）信息内容的安全计算机网络技术与应用2．网络安全的特征（1）信息保密性（2）信息完整性（3）服务可用性（4）访问可控性（5）可审查性9.1.2网络面临的威胁与对应措施计算机网络技术与应用（1）网络攻击（2）网络安全漏洞（3）信息泄露（4）网络病毒（5）来自网络内部的安全问题（6）数据备份与恢复9.1.3网络安全体系计算机网络技术与应用一个完整的网络信息安全体系包括三类措施:•一是国家的法律政策和企业的规章制度、以及网络安全教育等外部环境；•二是技术方面的措施，如防火墙技术、数据加密技术、防毒技术、身份验证技术等；•三是审计与管理措施计算机网络技术与应用技术上看应包含以下技术措施：（1）访问控制（2）定期检查安全漏洞（3）攻击监控（4）加密通讯（5）认证（6）备份和恢复（7）多层防御（8）隐藏内部信息（9）设立安全监控中心9.2数据加密技术及其应用•9.2.1数据加密的概念•9.2.2数据加密方法计算机网络技术与应用9.2.1数据加密的概念计算机网络技术与应用1．数据加密基本概念加密就是将信息通过一定的算法转换成不可读的形式•加密前的数据叫明文•加密后的数据叫密文•用于实现加密的算法叫加密算法•算法中使用的参数叫加密密钥•用于将密文转换成明文的算法称为解密算法•算法中使用的参数叫解密密钥。加密算法传输或存储解密算法图9-1数据加密模型明文密文解密密钥加密密钥密文明文计算机网络技术与应用2．密钥及其作用•加密算法和解密算法的操作通常都是在一组密钥控制下进行的,密码体制有两个基本构成要素，即算法和密钥。•算法是运算的规则，密钥则是一组参加运算的数字串。•算法是相对稳定的，而密钥可以视为加密算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系。•因此现代密码学的一个基本原则是：一切秘密寓于密钥之中。•对于同一种加密算法，密钥的位数越长，破译的困难也就越大，安全性也就越好。计算机网络技术与应用3．加密通信的过程•通信双方通过秘密途径协商一个密钥•用户A将发送的数据用这个密钥按照一定的算法加密•用户A将密文和密钥通过网络传输给用户B•用户B收到密钥和密文后，用密钥和解密算法解密密文9.2.2数据加密方法计算机网络技术与应用•加密技术分为两类，即对称加密和非对称加密。•如果密码体制所用的加密密钥和解密密钥相同或由一个密钥能够推导出另一个密钥，称为对称密码体制。•如果加密密钥和解密密钥不相同，则称为非对称密码体制。计算机网络技术与应用1．对称加密对称加密即信息的发送方和接收方用同一个密钥去加密和解密数据，对称密钥的代表是数据加密标准DES对称加密的特点（1）加密密钥和解密密钥相同，用什么密钥加密就用什么密钥解密。（2）加密速度快，抗破译性强（3）可以多次使用DES对文件重复加密（4）密钥使用一定时间就得更换，每次起用新密钥时均需要经过秘密渠道将密钥传递给对方。（5）密钥量大，与N个人通信要保存N个密钥，N个人彼此通信，密钥量将达到N（N-1）/2个密钥。（6）无法满足不相识的人进行私人谈话的保密要求。（7）不能解决数字签名、身份验证问题。计算机网络技术与应用2．非对称加密•使用一对密钥来分别完成加密和解密操作，用一个密钥加密，则用加密的密钥不能解密，只能用另一个密钥解密。两个密钥中一个叫公钥，可以像电话簿一样公开发布，另一个叫私钥，由用户自己秘密保存。典型非对称密钥密码体制是RSA。（1）通信双方各自先生成一对密钥，公钥送给传送给另一方，私钥自己保存。（2）发送方用接收方的公开密钥对信息加密，传送给接收方。（3）接收方用自己的私有密钥对文件进行解密得到文件的明文。使用非对称密钥加密传输数据的过程：计算机网络技术与应用非对称密钥的特点：（1）密钥分配简单，公开密钥可以向电话簿一样分发给用户。（2）密钥保存数量少，N个成员相互通信，只需N个密钥。（3）互不相识的人可以进行保密通信。（4）可以实现数据传输的机密性、数字签名、身份验证、防抵赖、防伪造，通过与对称加密相结合也可以验证数据完整性。9.3数字证书与身份认证•9.3.1数字摘要•9.3.2数字签名技术•9.3.3数字证书•9.3.4身份认证计算机网络技术与应用9.3.1数字摘要计算机网络技术与应用1．数字摘要技术•数字摘要(DigitalDigest)是一种对传输的数据进行某种散列运算得到固定比特的摘要值•它与原始信息报文之间有一一对应的关系，又称数字指纹或数字手印。•依据这个“指纹”，接收方可以验证数据在传输过程中是否被篡改。计算机网络技术与应用•通信双方先约定一种哈希算法，发送方将发送的数据经哈希算法处理后，得到数字摘要；•将这个摘要和原始报文一起发送给接收者；•接收者收到数据和摘要后，用同样的哈希算法对报文进行运算，也算出一个摘要；•然后和收到的摘要做比较，若结果相同就说明数据传输过程中没有被篡改，或者说数据是完整的。2．用数字摘要验证数据完整性9.3.2数字签名技术计算机网络技术与应用1．数字签名的定义•所谓数字签名，也称为电子签名，指在利用电子信息加密技术实现在网络传送信息报文时，附加一个特殊的唯一代表发送者个人身份的标记，起到传统手书签名或印章的作用。•数字签名技术从原理上说是利用了公开密钥加密算法和数字摘要技术，主要是为了解决电子文件或信息报文在通过网络传送后的可能产生的否认与真实性问题。计算机网络技术与应用2．带数字签名的数据传输过程（1）发送方借助数字摘要技术，使用公开的单向Hash函数（如SHA1）对报文M进行数学变换，得到报文的数字摘要A。（2）发送方用自己的私有密钥对数字摘要A进行加密，得到一组加密的比特串，由于私有密钥只有自己才有，所以把这个加密的比特串叫做数字签名。（3）发送方把产生的数字签名附在信息报文M之后，用接收方的公钥对数据进行加密，然后通过网络发给接收方。（4）接收方收到加密的数字签名和信息报文。计算机网络技术与应用（5）接收方利用自己的私有密钥进行解密，得到数字签名A和数据报文M。（6）接收方用发送方的公钥解密数字签名得到发送方的消息摘要A，同时也证明了发送方的身份，发送方不能抵赖（因为公钥私钥对是权威机构发放的，公钥是众所周知的）。（7）接收方再将得到的报文M用与发送方一样的单向Hash函数进行数学变换，产生数字摘要A’。（8）接收方将数字摘要A与数字摘要A’进行比较，如果相同，说明报文M在传输过程中没有被篡改。计算机网络技术与应用图9-2带数字签名的数据传输过程B的私钥⑧鉴别数据完整性发送的数据明文数字摘要AA的签名加密的数据和签名①Hash算法②加密B的公钥③加密加密的数据和签名数据明文④传输A的签名数字摘要AA的公钥数字摘要A’⑦Hash算法A的私钥⑤解密⑥解密⑤解密发送方A接收方B9.3.3数字证书计算机网络技术与应用1．数字证书的概念和类型•数字证书是由权威机构——CA证书授权中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档•它捆绑了个人或企业的真实身份，使人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。计算机网络技术与应用2．数字证书的内容（1）证书的版本号（2）数字证书的序列号（3）证书拥有者的姓名（4）证书拥有者的公开密钥（5）公开密钥的有效期（6）签名算法（7）办理数字证书的单位（8）办理数字证书单位的数字签名计算机网络技术与应用3．数字证书的使用1）数字证书的申请•携带有关证件到各地的证书受理点，或者直接到证书发放机构即CA中心申请。2）数字证书的使用•准备好装有证书的存储介质•操作前必须先安装CA根证书•根据提示插入证书介质（IC卡或Key）•输入密码口令•密码验证正确后系统将自动调用数字证书进行相关操作。9.3.4身份认证计算机网络技术与应用1．身份认证的概念身份认证技术用于在计算机网络中确认操作者身份。2．身份认证方法在真实世界，对用户的身份认证基本方法可以分为这三种：（1）根据用户所知道的信息来证明用户的身份；（2）根据用户所拥有的东西来证明用户的身份；（3）直接根据用户独一无二的身体特征来证明用户的身份。计算机网络技术与应用在网络世界中身份认证：1）静态密码2）智能卡（IC卡）3）短信密码4）动态口令牌5）USBKEY6）数字签名7）生物识别技术9.4防火墙技术及其应用•9.4.1防火墙的概念•9.4.2数据包过滤型防火墙•9.4.3应用级网关•9.4.4防火墙的实现计算机网络技术与应用9.4.1防火墙的概念计算机网络技术与应用1．防火墙的概念“防火墙”是一种计算机硬件和软件的组合，是在网络之间执行安全策略的系统，它布置在内部网络与外部网络之间，通过检查所有进出内部网络的数据包，分析数据包的合法性，判断是否会对网络安全构成威胁，在外部网与内部网之间建立起一个安全屏障，从而保护内部网免受非法用户的侵入图9-3防火墙的位置内部网络外部网络计算机网络技术与应用防火墙的主要功能包括：（1）检查所有从外部网络送入内部网络的数据包；（2）检查所有从内部网络流出到外部网络的数据包；（3）执行安全策略，限制所有不符合安全策略要求的数据包通过；（4）具有防攻击能力，保证自身的安全性;（5）记录通过防火墙的信息内容和活动；计算机网络技术与应用2．防火墙实现技术防火墙实现技术一般分为两类：（1）网络级防火墙。主要是用来防止内部网络出现外来非法入侵。属于这类的技术有分组过滤路由器和授权服务器。（2）应用级防火墙。从限制用户对应用程序的访问来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。9.4.2数据包过滤型防火墙计算机网络技术与应用1．数据包过滤路由器这种防火墙实现在路由器上，在路由器上运行防火墙软件，对通过的IP分组，检查他们的IP分组头，检查内容可以是报文类型、源IP地址、目的IP地址、源端口号、目的端口号等，再根据事先确定好的规则，决定哪些分组允许通过，哪些分组禁止通过。计算机网络技术与应用1）设置分组过滤规则2）检查通过路由器的分组•在路由器上先设置分组过滤规则，该规则可以用源IP地址、目的IP地址、源端口、目的端口、协议类型等参数，根据数据包进出方向来设置是允许通过还是阻止通过；•当有IP分组进出数据包过滤路由器时，路由器从数据包中提取相关参数，如IP地址、端口号、协议类型等，然后对照规则表中的规则逐条检查，符合转发规则的分组可以通过，符合阻止规则的分组将被丢弃。如果即不符合转发规则，也不符合阻止规则的就执行默认规则。计算机网络技术与应用防火墙访问控制规则表图9-4数据包过滤型防火墙的原理进入内部网络访问外部网络内部网络外部网络•规则是按顺序执行的，如果符合了列在前面的某项规则，检查工作就停止，后面的规则就不会得到执行，正因为如此，在设置访问控制规则时，规则的次序非常重要，如果次序安排不当，可能会使某些规则的功能丧失。计算机网络技术与应用2．数据包过滤规则举例设内部网络有服务器，其IP地址是202.112.16.2，TCP端口80，该服务器允许所有外部用户访问；内部网有电子邮件服务器，其IP地址202.112.16.3，TCP端口25，允许IP地址为60.1.1.2的外部用户访问，阻止主机ABC进入内部网络；默认规则：阻止。根据上上述要求，配置访问控制规则表如表9-1。规则号方向动作源主机地址源端口目的主机地址目的