温州大学城市学院网络系Network.wzu.edu.cn1第6章网络安全2温州大学城市学院网络系network.wzu.edu.cn网络安全威胁的类型网络安全威胁的类型有以下几种:窃听假冒重放流量分析:通过对网络信息流量的观察与分析推测出网上传输的有用信息数据完整性破坏拒绝服务资源的非授权使用3温州大学城市学院网络系network.wzu.edu.cn安全措施的目标访问控制:确保会话对方有权做他所声称的事情认证:确保会话对方的资源同他声称的相一致完整性:确保接受到的信息同发送的一致审计:确保任何发生的交易在事后可以被证实保密:确保敏感信息不被窃听4温州大学城市学院网络系network.wzu.edu.cn基本安全技术目前的网络安全措施有数据加密、数字签名、身份认证、防火墙和入侵检测等数据加密:是通过对信息的重新组合使得只有收发双方才能解码并还原信息的一种手段数字签名:可以用来证明消息确实是由发送者签发的身份认证:认证一个用户的合法性,如指纹等防火墙:位于两个网络之间的屏障,一边是内网,一边是外网,按照系统管理员预先定义的规则控制数据包的进出内容检查:5温州大学城市学院网络系network.wzu.edu.cn密码学的基本概念明文:信息的原始形式密文:明文经过变换加密后的形式加密:由明文变成密文的过程称为加密,加密通常由加密算法来实现解密:将密文变成明文的过程称为解密,解密是由解密算法实现的密钥:为了有效地控制加密和解密算法实现,在其处理过程中要有通讯双方掌握的专门信息参与,这种专门信息叫做密钥6温州大学城市学院网络系network.wzu.edu.cn传统的密码技术之一:数据表示传统加密方法的主要应用对象是对文字信息进行加密。文字由字母表中的一个个字母组成,字母表可以按排列顺序进行一定的编码,把字母从前到后都用数字表示如下:ABCDEFGHIJKLMN1234567891011121314OPQRSTUVWXYZ151617181920212223242526若把字母表看成是循环的,那么字符的运算就可以用求模运算来表示:c=xmodn7温州大学城市学院网络系network.wzu.edu.cn替代密码替代密码是使用替代法进行加密所产生的密码,替代法加密是用另一个字母表中的字母代明文中的字母在替代法加密体制中,使用了密钥字母表。它可以由明文字母表构成,也可以由多个字母表构成。如果是由一个字母表构成的替代密码,称为单表密码,其替代过程是在明文和密码字符之间进行一对一的映射如果是由多个字母表构成的替代密码,称为多表密码,其替代过程与前者不同之处在于明文的同一字符可以在密码文中表现为多种字符8温州大学城市学院网络系network.wzu.edu.cn替代密码-凯撒密码又叫循环移位密码,是一种典型的单表替代密码,它的加密方法就是把明码中的所有字母都用它右边的第K个字母代替,并认为Z后边又是A,这种映射关系表示为如下函数:F(a)=(a+k)modna表示明文字母n为字符集中字母个数k为密钥9温州大学城市学院网络系network.wzu.edu.cn周期替代密码是一种常用的多表替代密码,又称维吉尼亚密码这种替代法是循环的使用有限个字母来实现替代的一种方法若明文信息m1m2m3m4m5…mn,采用n个字母(n个字母为B1B2…Bn)替代,那么,m1将根据字母Bn的特征来替代,mn+1又将根据B1的特征来替代,mn+2又将根据b2的特征来替代,如此循环10温州大学城市学院网络系network.wzu.edu.cn换位密码换位密码是采用移位法进行加密的,它把明文中的字母重新排列,本身不变,但位置变了列换位法矩阵换位法11温州大学城市学院网络系network.wzu.edu.cn数据加密标准DES是美国国家标准局开始研究除国防部以外的其它部门的计算机系统的数据加密标准,其加密算法达到以下几点:必须提供高度的安全性具有相当高的复杂性安全性应不依赖于算法的保密,其加密的安全性仅以加密密钥的保密为基础必须适用于不同的用户和不同的场合实现经济、运行有效必须能够验证,允许出口12温州大学城市学院网络系network.wzu.edu.cn数据加密标准DESDES是一种分组密码,是两种基本的加密组块替代和换位的细致而复杂结合DES算法是对称的DES的输入分为64位的分组,使用64位的密钥进行变换DES算法大致可以分成四个部分:初始置换、迭代过程、逆置换和子密钥生成13温州大学城市学院网络系network.wzu.edu.cn公开密钥密码体制—RSA算法及应用传统密码体制:又叫对称密钥密码体制,加密密钥与解密密钥一样,在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题公开密钥密码体制:又叫不对称密钥密码体制,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用;解密密钥只有解密人自己知道,分别称为“公开密钥”和“秘密密钥”14温州大学城市学院网络系network.wzu.edu.cnRAS公开密钥密码系统RSA公开密钥密码系统是由R.Rivest、A.Shamir和L.Adleman于1977年提出的。其工作原理可用以下说明,如两个质数11和13,计算出其乘积是很容易的,但对于一个乘积n难以找出它的两个巨大的质数因子15温州大学城市学院网络系network.wzu.edu.cnRSA的安全性RSA公开密钥密码体制的安全性取决于从公开密钥(n,e)计算出秘密密钥(n,d)的困难程度16温州大学城市学院网络系network.wzu.edu.cn报文摘要散列(Hash)算法是将任意长度的二进制串映射为固定长度的二进制串,这个长度较小的二进制串称为散列值对任意长的明文M进行单向散列变换,计算固定长度的比特串,作为报文摘要。对Hash函数h=H(M)的要求如下:可用于任意大小的数据块能产生固定大小的输出软/硬件容易实现对于任意m,找出x,满足H(x)=m,是不可计算的17温州大学城市学院网络系network.wzu.edu.cn报文摘要报文摘要算法(MD5):将明文报文按512位分组,产生128位的报文摘要安全散列算法(SHA-1):输入报文小于264位,产生160位的报文摘要散列式报文认证码(HMAC):18温州大学城市学院网络系network.wzu.edu.cn数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的双方都需要验证对方数字证书的有效性,从而解决相互间的信任问题数字证书采用公钥体制,每个用户有一个私钥,用它进行解密和签名,同时设定一个公钥,并由本人公开,为一组用户所共享,用于加密和验证。一般情况下证书中有密钥的有效时间,发证机构的名称和该证书的序列号等信息数字证书的格式遵循ITUTX.509标准19温州大学城市学院网络系network.wzu.edu.cn密钥的种类基本密钥:由用户选定或由系统分配给用户的、可在较长时间内由一对用户所专用的密钥,也称用户密钥会话密钥:两个终端用户在交换数据时使用的密钥公开密钥与私有密钥20温州大学城市学院网络系network.wzu.edu.cn密钥管理体制在美国信息保障技术框架中定义的密钥管理体制主要有三种:适用于封闭网的技术,以传统的密钥分发中心为代表的KMI机制适用于开放网的PKI机制适用于规模化专用网的SPK技术21温州大学城市学院网络系network.wzu.edu.cn安全套接层(SSL)SSL是Netscape于1994年开发的传输层安全协议,用于实现WEB安全通信SSL的基本目标是实现两个应用实体之间安全可靠的通信SSL协议分为两层:底层是SSL记录协议,运行在传输层协议TCP上,用于封装各种上层协议一种被封装的上层协议是SSL握手协议,由服务器和客房机用来进行身份认证,并且协商通信中使用的加密算法和密钥22温州大学城市学院网络系network.wzu.edu.cnSSL协议栈SSL握手协议SSL改变密码协议SSL警告协议HTTP应用层SSL记录协议TCPIP23温州大学城市学院网络系network.wzu.edu.cn应用层安全协议—S-HTTPS-HTTP:安全的超文本传输协议,是一个面向报文的安全通信协议,是HTTP协议的扩展其设计目的是保证商业贸易信息的传输安全,促进电子商务的发展然而由于SSL的迅速出现,S-HTTP未能得到广泛的应用24温州大学城市学院网络系network.wzu.edu.cnPGP1991年开发的电子邮件加密软件包使用最为广泛的电子邮件加密软件,其原因:能够在各种平台上免费使用基于比较安全的加密算法具有广泛的应用领域,既可用于加密文件,也可用于个人安全通信不是由政府或标准化组织开发和控制的PGP提供两种服务:数据加密和数字签名PGP使用RSA公钥证书进行身份认证使用IDEA进行数据加密使用MD5进行数据完整性验证PGP证书格式的特点是单个证书可能包含多个标签25温州大学城市学院网络系network.wzu.edu.cnS/MIME是RSA数据安全公司开发的软件提供的安全服务有:报文完整性验证、数字签名和数据加密26温州大学城市学院网络系network.wzu.edu.cn安全的电子交易(SET)是一个安全协议和报文格式的集合SET提供以下3种服务:在交易涉及的各方之间提供安全信道使用X。509数字证书实现安全的电子交易保证信息的机密性27温州大学城市学院网络系network.wzu.edu.cnSET交易过程客户在银行开通了VISA银行帐户客户收到一个数字证书第三方零售商从银行收到了自己的数字证书,其中包含零售商的公钥和银行的公钥客户通过网页或电话发出订单客户通过浏览器验证了零售商的证书,确认零售商是合法的浏览器发出定购报文,这个报文是通过零售商的公钥加密的,而支付信息是通过银行的公钥加密的零售商检查客户的数字证书以验证客户的佥性零售商把订单信息发给银行银行验证零售商和定购信息银行进行数字签名,零售商就可以签署订单了28温州大学城市学院网络系network.wzu.edu.cnKerberos是一项认证服务解决的问题是:在公开的分布式环境中,工作站上的用户希望访问颁布在网络的服务器,希望网络服务器能限制授权用户的访问有两个Kerberos版本很常用,第4版和第5版29温州大学城市学院网络系network.wzu.edu.cn网络安全级别1983年美国国防部发表的《可信计算机标准评价准则》把计算机安全等级分为4类7级:D级:最低安全保护级,不设置任何安全保护措施,软硬件都容易被侵袭,DOS,WINDOWS95/98C1级:选择性安全保护级,对硬件采取简单的安全措施,用户要有登录认证和访问权限限制,但不能控制已登录用户的访问级别,早期的UNIX,NETWARE3.0以下版本系统C2级:访问控制环境保护级,比C1级增加了几个特征,如系统审计、安全事件等,UNIX、NETWARE3.X及以上、WINDOWSNT30温州大学城市学院网络系network.wzu.edu.cn网络安全级别(续)B1级:标记安全保护级,支持多级安全,该级别是支持秘密、绝密信息保护的第一个级别,主要为政府机构和防御承包商B2级:结构化安全保护级,对系统中所有对象都加上标记,并给各设备分配安全级别B3级:安全域级,要求用户工作站或终端通过可信任途径连接网络系统A级:验证设计安全级,是最高安全级,包含了低级别所有的特征。31温州大学城市学院网络系network.wzu.edu.cn防火墙防火墙可由计算机硬件和软件系统组成内部网和外部网进行互连时,必须使用一个中间设备,这个中间设备可以是专门的互连设备(如路由器或网关),也可以是网络中的某个节点这个中间设备至少具有两个物理链路,一条通往外部网络,一条通往内部网络,防火墙的作用是防止不希望的、未授