第一讲计算机网络安全概述1、解决网络安全问题的策略要解决好网络安全问题,为计算机网络系统运行提供一个良好的环境,需要在三方面努力,即:网络安全硬件、网络安全软件和网络安全服务。网络安全硬件包括:防火墙、虚拟专用网、独立专用网、入侵检测系统、认证令牌与卡、生物识别系统、加密机与芯片。网络安全软件包括:安全内容管理、防火墙、虚拟专用网、入侵检测系统、安全3A(authorizationauthenticationadministration/accounting,即授权、认证和管理/收费)、加密。其中网络安全内容管理包括防病毒、网络控制和邮件扫描等。网络安全服务包括:顾问咨询、设计实施、支持维护、教育培训、安全培训。2、网络安全及其学科的定义网络安全是一门设计计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的因素而受到破坏、更改或泄漏,系统可正常地运行。本质上讲,网络安全就是网络信息安全;从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控制性的相关技术和理论都是网络安全研究的领域。3、信息安全及定义信息安全(informationsecurity)是指信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)的保持。信息的保密性是指保障信息只为那些被授权使用的人使用;信息的完整性是指信息在传输、存储、处理和利用的过程中不被篡改、丢失、缺损等;信息的可用性是指被授使用的人在需要使用信息的时候即可使用信息。4、网络防火墙网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问或破坏网络资源,保护内部网络资源的一种安全技术。防火墙可以是硬件也可以是软件,还可以是软件硬件结合起来实现,它通过对两个网络之间传输的数据包按既定的安全策略来实施检查以决定网络之间的访问是否被允许,防火墙也负责实时监控网络运行状态。防火墙是一种基本的网络安全防护工具,是网络安全的第一道防线,它可识别并阻挡许多黑客攻击行为,但是它也对下列入侵无能为力,如:通过防火墙以外的其它手段侵入网络的攻击;来自内部的蓄意或过失性操作所带来的威胁;传输已感染病毒的软件或文件所带来的威胁;数据驱动型攻击。防火前一般被置于:1)单位内部网络与互联网的接口处;2)单位内部各VLAN之间;3)单位总部与各分支机构之间。5、入侵检测技术入侵检测技术是一种利用系统审计记录及时发现并报告系统中的未授权访问和异常事件存在的一种安全技术。入侵检测技术的工作效率受到审计记录和知识库的影响。入侵检测产品主要包含传感器(sensor)与控制台(console)两部分。传感器采集、分析数据并生成安全事件,而控制台则起中央管理作用,负责与管理员沟通,以及时对已经检测到的威胁采取措施。入侵检测产品可分为基于网络的、基于主机的混合型三类。6、信息系统安全信息系统安全技术主要涉及到加密、解密和公钥基础设施。要保证一个信息系统的安全,包括如下四个方面的内容:1)数据传输安全性即采用数据加密来保证数据在公网上的传输不被第三者窃取,如结合对称密钥和公开密钥加密技术实现的数字信封技术。2)数据完整性即保证数据在传输过程不被篡改,散列函数和数字签名是常用的保证数据完整性的技术。多重数字签名可保证多方通信时的数据完整性。3)身份验证即采用口令字技术、公开密钥技术或数字签名技术以及数字证书技术等来实现对通信双方进行身份真实性确认的一种安全技术。4)不可抵赖性即通过数字签名、数字证书等技术来确保信息发送或接收时带有特有的、不可复制的信息,以保证通信双方在交易时不发生纠纷。第二讲密码学概述与公开密钥体系基础1、密码学密码学(cryptology)是研究秘密书写的原理和破译密码的方法的一门科学,主要包括密切相关的两个方面:意识密码编码学(cryptography),主要研究如何设计出好的密码体制的方法,保护信息不被侦破;二是密码分析学(cryptanalysis),研究攻破一个密码系统的方法,回复被隐藏起来的信息。2、密码系统一个密码系统包括明文(cleartext或plaintext)字母空间,密钥(key)和算法(algorithm),其中算法和密钥是基本单元。算法是一些公式,法则,给定明文与密文之间的变换方法。密钥可以看作是算法的参数。3、Polybius校验表加密Polybius校验表由一个5*5的网格组成,网格中包含26个英文字母,其中I和J在同一格中。每一个字母被转换成两个数字,即第一个字母所在的行数,第二个是字母所在的列数。如字母A就对应着11,字母B对应着12,以此类推。使用这种密码可以将明文“message”置换为密文“32154343112215”。4、密码体制分类按对明文的加密方式的不同,传统的密码体制可以分为两类:一类方式中,将明文字符串分成多个字符的组,逐一进行加密得到密码,被称作流密码或序列密码。5、密码攻击根据攻击的方式不同,密码攻击可分为主动攻击(activeattack)和被动攻击(passiveattack)两类。采用截获密文进行分析的攻击叫被动攻击;采用删除、修改、增添、重放、伪造等手段破坏系统正常通信并进行密码分析的攻击叫主动攻击。6、凯撒密码“凯撒密码”是古罗马凯撒大帝用来保护重要军情的加密系统。它是一种替代密码,通过将字母按顺序推后起k位起到加密作用。假定选择字母按顺序推后3位作为密码,那么指令:RETURNTOROME加密后就成为:UHWXUAWRURPH。只要通信双方通过某安全渠道知道了密钥k,则密码和解密过程就很容易进行。但通常情况下明文和密文空间中元素个数n均很小,且0=kn,所以,要破解任意密码最多只需尝试n次即可得到有意义的明文,这种攻击称作穷举攻击(Exhaustivekeysearch)。7、简单置换密码系统8、DES数据加密标准(dataencryptionstandard,DES)出自IBM,并在1997年被美国政府正式采纳,在保护金融数据的安全中它得到广泛应用,通常自动取款机ATM都是用DES.9、对称密码体制的总结:1)同一个密钥,既用于加密也用于解密;2)加密与解密速度快;3)安全性高;4)所得到的密文紧凑;5)要在收发双方安全地传递密钥,在现实环境下很难做到;6)通信参与者数目较大时,系统所需密钥数与参与者的数目的平方成正比,密钥管理难度很大,故对称密码体制很难用于参与者数目较多的情况;7)对称加密技术不适合于数字签名和不可否认性控制。10、公钥密码体制公开密钥体制中,每个用户U均拥有两个密钥,一个是加密密钥K,另一个是解密密钥Ke,另一个是解密密钥Kd,且对于任意可能的消息m,均有(即要求):PK1:D(Kd,E(Ke,m))=m这样,假定A要发信息给B,则A只要从公告环境中均查到B的加密密钥Keb即可完成信息的加密:E(Keb,m)=c;而当B收到11、数字签名数字签名的基本要求是:1)收方能根据信任的第三方来证明报文内容的真实性;2)发方不能根据自己的利益要求,事后对报文真实性进行否认;3)收方不能根据自己的利益要求对报文或签名进行伪造。12、数字签名的过程要确认用户身份,发送方应该具备一对用于数字签名的密钥对KDSe和KDSd,且对任意消息m满足下式:PK4:E(KDSe,D(KDSd,m))=m数据发送方在签名时执行:c=D(KDSd,m)接收方在确认发送方身份时执行:m=E(KDSe,c)=E(KDSe,D(KDSd,m))此时,,KDSe、KDSd均是数据发送方的签名密钥,几乎所有人均可以执行接受者的操作,读出m,但是只有发送方才能产生如下偶对:(m,D(KDSd,m)),故使用这个偶对可以对所有人发布一个确认发送者身份的消息,可以防止发送者事后否认。如果要保证只有授权用户才可以读消息,则在发送消息的时候可以加入授权者的公钥,收发双方操作如下:发送方:c=E(Keb,D(KDSda,m))接收方:E(KDSea,D(Kdb,c))=E(KDSea,D(Kdb,E(Keb,D(KDSda,m))))=m这样,尽管其他用户知道KDSea和c但是他们不知道B的私钥Kdb,故也不能解密出m,秘密消息就被安全传送到B了。13、公钥密码体制的特点1)两个密钥,一个用于加密另一个用于解密2)加密体制是安全的3)发送者不必分发密钥给接受者,故不用建立专用渠道用于密钥分发与管理,也不存在密钥被截获的可能性4)系统分发的密钥数只是用户的公钥,与用户数量一致5)支持数字签名6)加密和解密过程较之于对称密钥体制为慢7)可能导致密文变长14、RSA密码体制RSA算法是最著名的公开密码体制,1978年提出,基于大数分解(NP)的难度。其公开密钥e和私人密钥d是一对大素数的函数,从一个公开密钥e和密文c中恢复出明文m的难度等价于分解两个大素数之积n。RSA算法过程:首先是设计密钥,然后是对消息加密,最后是对密文解密。1、设计密钥先产生两个足够大的强质数p、q(通常为百余位长)。可得p与q的乘积n=p*q。再由p和q算出另一个数z=(p-1)*(q-1),然后再选取一个与z互素的奇数e(1ez),称e为公开指数;从这个e值找出另一个值d(1dz),满足e*d=1mod(z)。舍弃p和q(但绝不能泄露)。由此而得到的两组数(n,e)和(n,d)分别被称为公开密钥和秘密密钥,或简称为公钥和私钥。2、加密对于明文M,用公钥(n,e)加密可得到密文C:C=Memod(n)3、解密对于密文C,用私钥(n,d)解密可得到明文M。M=Cdmod(n)当定义先用私钥(n,d)进行解密后,然后用公钥(n,e)进行加密,就是数字签名。第三讲防火墙基础1、防火墙的概念防火前是设置在不同网络或网络安全域之间的一系列部件的集合,它执行预先制定好的访问控制策略,决定内部网络与外部网络之间的访问方式。作为一种隔离技术,防火墙一方面要拒绝未经授权的用户访问网络或存取敏感数据;另一方面要保证合法用户不受妨碍地使用2、防火墙的作用1)网络安全的屏障,即通过执行精心设计的网络安全策略,防火墙可以阻止不安全的服务访问网络,最大限度地保证网络安全。2)可以强化网络安全策略,即通过将网络安全配置集中在防火墙进行,既减少组织与管理的麻烦,还更经济。3)对网络存取和访问进行监控审计。在如果所有通信都必须通过防火墙来完成,则防火墙可以对通信内容进行日志记录和网络情况统计。当网络被攻击时可以及时报警并采取措施。4)防止内部网络信息的外泄。通过防火墙对内部网络的划分,可实现对内部网络重点网段的隔离,从而减少重点网段敏感数据对全网安全带来的影响。同时使用防火墙屏蔽内部网络的细节,可以减少诸如Finger.、DNS等服务带来的不良影响。5)除了安全作用,防火墙还支持VPN。3、防火墙工作原理根据防火墙功能实现在TCP/IP模型中的层次,防火墙工作原理可以分为三类:一是分组过滤技术,在网络层实现防火墙功能;一是代理服务技术,在应用层实现防火墙功能;一是状态检测技术,在网络层、传输层和应用层实现防火墙功能。分组过滤技术本技术基于路由器技术,通常由分组过滤路由器对IP分组进行分组选择,允许或拒绝特定的IP分组。分组过滤的依据主要有源IP、目的IP、源端口、目的端口。基于源或目的IP的过滤根据制定的安全规则,将具有特定IP特性的分组过滤掉,从而实现对内部网络的保护。分组过滤技术的优点:逻辑简单;价格便宜;对网络性能影响小;对用户透明性好;与具体的应用程序无关;易于安装。分组过滤技术的缺点:1)配置基于分组过滤的防火墙,需要对TCP、IP以及各种应用协议有较深入的了解,否则容易配置出错。2)过滤过程只能对网络层的数据包进行判别,无法满足一些特殊的安全要求,如身份鉴别机制无法实现。代理服务技术代理服务技术是由一个高层的应用网关作为代理服务器,接受来自外部的应用连接请