算机三级网络技术课件.ppt
第六章,第6章 网络安全技术,6.1 网络管理,3,6.1.1 网络管理概述,1网络管理的定义为保证网络系统能够持续、稳定、安全、可靠和高效地运行,对网络实施的一系列方法和措施。任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息,将结果显示给管理员并进行处理,从而控制网络中的设备、设施,工作参数和工作状态,以实现对网络的管理。2网络管理的目标 减少停机时间,改进响应时间,提高设备利用率;减少运行费用,提高效率;减少或消除网络瓶颈;使网络更容易使用;安全。,4,6.1.1 网络管理概述,2网络管理员的职责网络管理过程包括数据收集、数据处理、数据分析和报告生成,这一过程可以是自动的,也可以是管理员的手工劳动。网络管理员职责担负着网络的规划、建设、维护、扩展、优化和故障检修等任务,5,3网络管理模型,网络管理者:运行在计算机操作系统之上的一组应用程序,负责从各代理处收集管理信息,进行处理,获取有价值的管理信息,达到管理的目的。代理:位于被管理的设备内部,是被管对象上的管理程序。管理者和代理之间的信息交换方式:从管理者到代理的管理操作从代理到管理者的事件通知,6,6.1.2 网络管理功能,包括5大功能域:配置管理故障管理性能管理计费管理安全管理,7,1配置管理,掌握和控制网络的配置信息,从而保证网络管理员可以跟踪、管理网络中各种设备的运行状态配置管理的内容一般分为:对设备的管理对设备连接关系的管理,8,2故障管理,对网络中的问题或故障进行定位的过程目标:自动监测网络硬件和软件中的故障并通知用户,以便网络有效地运行故障报告的形式:通常采用的故障报告形式有文字、图形和声音信号等。在图形报告中,一般采用下面的颜色方案:绿色表示设备无错误运行;黄色表示设备可能存在一个错误;红色表示设备处于错误状态;蓝色表示设备运行,但处于错误状态;橙色表示设备配置不当;灰色表示设备无信息;紫色表示设备正在被查询。,9,2故障管理(续),故障管理的步骤:包括:发现故障,判断故障症状,隔离故障,修复故障,记录故障的检修过程及其结果。故障管理的作用:通过提供网络管理者快速地检查问题并启动恢复过程的工具,使网络的可靠性得到增强故障管理功能:包括:接收差错报告并做出反映,建立和维护差错日志并进行分析;对差错地诊断测试;对故障进行过滤,同时对故障通知进行优先级判断;追踪故障,确定纠正故障的方法措施。,10,3性能管理,网络性能:主要包括网络吞吐量、响应时间、线路利用率、网络可用性等参数。性能管理目标:通过监控网络的运行状态调整网络性能参数来改善网络的性能,确保网络平稳运行。从概念上讲,性能管理包括监视和调整两大功能,具体包括:性能参数的收集和存储性能参数的显示和分析性能阈值的管理性能调整,11,4计费管理,主要目的:记录网络资源的使用,控制和监测网络操作的费用和代价。主要作用:能够测量和报告基于个人或团体用户的计费信息,分配资源并计算传输数据的费用,然后给用户开出账单主要功能建立和维护计费数据库;建立和管理相应的计费策略;限量控制;信息查询,12,5安全管理,目标:提供信息的隐隐蔽、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。主要内容:对网络资源以及重要信息的访问进行约束和控制主要功能:标识重要的网络资源;确定重要的网络资源和用户集之间的映射关系;监视对重要网络资源的访问;记录对重要网络资源的非法访问;信息加密管理。,13,6.1.3 网络管理协议,SNMP简单网络管理协议,应用最广泛CMISCMIP公共管理信息服务/公共管理信息协议OSI提供的网络管理协议簇 LMMPIEEE制定的局域网和城域网管理标准,用于管理物理层和数据链路层的OSI设备,它的基础是CMIP。RMON主要用于网络监视的,它是对SNMP的补充,它定义了监视局域网通信的信息库,与SNMP协议配合可以提供更有效的管理性能。,14,1简单网管协议(SNMP),(1)SNMP版本SNMP v1是事实上的网络管理工业标准,但在安全性和数据组织上存在一些缺陷。SNMP v2是SNMP v1的增强版,在系统管理接口、协作操作、信息格式、管理体系结构和安全性几个方面有较大的改善。SNMP v3在SNMP v2基础之上增加、完善了安全和管理机制。,15,1简单网管协议(SNMP),(2)SNMP管理模型,16,1简单网管协议(SNMP),(2)SNMP管理模型网络管理站:负责管理代理和管理信息库,它以数据报表的形式发出和传送命令,从而达到控制代理的目的。代理:收集被管理设备的各种信息并响应网络中SNMP服务器的要求,把它们传输到中心的SNMP服务器的MIB数据库中。管理信息库MIB:负责存储设备的信息,是SNMP分布式数据库的分支数据库。SNMP协议:用于网络管理站与被管设备的网络管理代理之间交互管理信息。两种信息交换机制:轮询监控Trap(陷阱),17,2 CMIS/CMIP,CMIS/CMIP公共管理信息服务/公共管理信息协议,是OSI提供的网络管理协议簇CIMS定义了每个网络组成部分提供的网络管理服务CMIP是实现CIMS服务的协议CMIS/CMIP采用管理者-代理模型在电信管理网(TMN)中,管理者和代理之间的所有的管理信息交换都是利用CMIS和CMIP实现的,6.2 信息安全技术概述,19,6.2.1 信息安全的组成,1物理安全在物理媒介层次上对存储和传输的信息加以保护,它是保护计算机网络设备、设施免遭地震、水灾和火灾等环境事故以及人为操作错误或各种计算机犯罪行为而导致破坏的过程。保证网络信息系统各种设备的物理安全是整个网络信息系统安全的前提。2安全控制在操作系统和网络通信设备上对存储和传输信息的操作和进程进行控制和管理,主要是在信息处理层次上对信息进行初步的安全保护。3安全服务在应用层对信息的保密性、完整性和来源真实性进行保护和认证,满足用户的安全需求,防止和抵御各种安全威胁和攻击。,20,6.2.2 信息安全系统的设计原则,木桶原则信息均衡、全面地进行安全保护,提高整个系统的“安全最低点”的安全性能。整体原则有一整套安全防护、监测和应急恢复机制。有效性与实用性原则不能影响系统正常运行和合法用户的操作。安全性评价原则系统是否安全取取决于系统的用户需求和具体的应用环境。等级性原则安全层次和安全级别。动态化原则整个系统内尽可能引入更多可变因素,并具有良好的扩展性。,21,6.2.3 信息技术安全性等级,可信计算机系统评估准则(TCSEC)由美国国防部和国家标准技术研究所制订的,又称桔皮书。信息技术安全评估准则(ITSEC)由欧洲四国于1989年联合提出的,俗称白皮书。通用安全评估准则(CC)由美国国家标准技术研究所和国家安全局、欧洲四国(英、法、德、荷兰)以及加拿大等6国7方联合提出的,已成为国际标准ISO/IEC 15408。美国信息安全联邦准则(FC)计算机信息系统安全保护等级划分准则我国国家质量技术监督局也于1999年发布我国的国家标准,22,1可信计算机系统评估准则TCSEC,23,6.2.3 信息技术安全性等级,2信息技术安全评测准则(ITSEC)7个评估级别安全性从低到高的顺序是E0、E1、E2、E3、E4、E5、E63通用安全评估准则(CC)7个评估级别从低到高分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7,6.3 信息安全分析与安全策略,25,6.3.1 信息安全的概念和模型,1网络安全的基本因素保密性:确保信息不暴露给未授权的实体或进程。完整性:只有得到允许的人才能修改数据,并能判别出数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。合法性:每个想获得访问的实体都必须经过鉴别或身份验证。2网络安全的组成物理安全、人员安全、符合瞬时电磁脉冲辐射标准、数据安全操作安全、通信安全、计算机安全、工业安全,26,3网络安全模型,27,4网络安全的基本任务,(1)设计加密算法,进行安全性相关的转换;(2)生成算法使用的保密信息;(3)开发分发和共享保密信息的方法;(4)指定两个主体要使用的协议,并利用安全算法和保密信息来实现特定的安全服务。,28,6.3.2 安全威胁,安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。安全威胁可分为故意的(如黑客渗透)和偶然的(如信息被发往错误的地址)两类。故意威胁又可进一步分为被动和主动两类。,29,1基本的威胁,信息泄漏或丢失针对信息机密性的威胁,它指敏感数据在有意或无意中被泄漏出去或丢失包括:信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或塔线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息);信息在存储介质中丢失或泄漏;通过建立隐蔽通道等窃取敏感信息等。破坏数据完整性以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。拒绝服务不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。非授权访问没有预先经过同意就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。主要形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。,30,1基本的威胁,信息泄漏或丢失敏感数据在有意或无意中被泄漏出去或丢失针对信息机密性的威胁破坏数据完整性窃取对数据的使用权,删除、修改、插入或重发某些重要信息针对信息完整性的威胁拒绝服务执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用针对可用性的威胁非授权访问没有预先经过同意就使用网络或计算机资源被看作非授权访问主要形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等针对信息合法性的威胁,31,3渗入威胁和植入威胁,渗入威胁假冒某个未授权实体使守卫者相信它是一个合法的实体,从而攫取该合法用户的特权。旁路控制攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”。利用这些“特征”,攻击者绕过防线守卫者渗入系统内部。授权侵犯也称为“内部威胁”,授权用户将其权限用于其他未授权的目的。植入威胁特洛伊木马在正常的软件中隐藏一段用于其他目的的程序,这段隐藏的程序段常常以安全攻击作为其最终目标。陷门在某个系统或某个文件中设置的“机关”,使得在提供特定的输人数据时,允许违反安全策略。,32,4潜在威胁,对基本威胁或主要的可实现的威胁进行分析,可以发现某些特定的潜在威胁,而任意一种潜在威胁都可能导致发生一些更基本的威胁。例如,如果考虑信息泄露这种基本威胁,有可能找出4种潜在威胁:窃听、通信量分析、人员疏忽、媒体清理。,33,5病毒,病毒的定义:计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。反病毒技术主要分类:预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在主要手段:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等。检测病毒技术通过对计算机病毒的特征来进行判断的侦测技术主要手段:如自身校验、关键字、文件长度的变化等消除病毒技术通过对病毒的分析,杀除病毒并恢复原文件网络反病毒技术对网络服务器中的文件进行频繁地扫描和监测;在工作站上使用防病毒芯片对网络目录及文件设置访问权限,34,6.3.3 安全攻击,1安全攻击的手段,35,2被动攻击和主动攻击,被动攻击对信息的保密性进行攻击,即通过窃听网络上传输的信息并加以分析从而获得有价值的情报,但它并不修改信息的内容目标是获得正在传送的信息,其特点是偷听或监视信息的传递被动攻击主要手段:信息内容泄露:信息在通信过程中因被监视窃听而泄露,或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露。通信量分析:通过确定通信位置和通信主机的身份,观察交换消息的频度和长度,并利用这些信息来猜测正在进行的通信特性。,36,2被动攻击和主动攻击,主动攻击攻击信息来源的真实性、信息传输的完整性和系统服务的可用性有意对信息进行修改、插入和删除主动攻击主要手段:假冒:一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。重放:涉及被动捕获数据单元及其后来的重新传送,以产生未经授权的效果。修改消息:改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。拒绝服务:禁止通信实体的正常使用或管理。,37,3服务攻击和非服务攻击,服务攻击针对某种特定网络服务的攻击例如:针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击原因:TCP/IP协议缺乏认证、保密措施。非服务攻击不针对某项具体应用服务,而是基于网络层等低层协议而进行原因:TCP/IP协议(尤其是IPv4)自身的安全机制不足,38,6.3.4 安全策略与安全管理,1安全策略的组成威严的法律先进的技术严格的管理2安全管理原则多人负责原则任期有限原则职责分离原则3安全管理实现根据工作的重要程度,确定该系统的安全等级根据确定的安全等级,确定安全管理的范围制订相应的机房出入管理制度制订严格的操作规程制订完备的系统维护制度制订应急措施,6.4 加密技术,40,6.4.1 密码学的基本概念,保密学:研究密码系统或通信安全的科学两个分支:密码学:对信息进行编码实现隐蔽信息的一门学问。密码分析学:研究分析破译密码的学问,41,6.4.1 密码学的基本概念,42,密码系统的分类,按将明文转化为密文的操作类型分为:置换密码易位密码按明文的处理方法可分为:分组密码(块密码)序列密码(流密码)按密钥的使用个数分为:对称密码体制非对称密码体制。,43,1置换密码和易位密码,置换密码将将明文的每个元素(如比特、字母、比特和字母的组合等)置换成其它元素恺撒密码 原始消息(明文)中的每一个字母都用该字母后的第n个字母来替换,其中n就是密钥。例如使加密字母向右移4个字母,即,a换成E、b换成F、c换成G、z换成D。这样,如果对明文attack进行加密,密钥为4,则加密后形成的密文就是EXXEGO。单字母表替换,44,1置换密码和易位密码,易位密码易位是将明文的元素进行重新布置。,45,2分组密码和序列密码,分组密码将明文划分成固定的n比特的数据块,然后以块为单位,在密钥的控制下进行一系列的线性或非线性的变化而得到密文,每个明文输入块生成一个密文输出块优点:明文信息良好的扩散性;对插入的敏感性;不需要密钥同步;较强的适用性,适合作为加密标准缺点:加密速度慢;错误扩散和传播。主要算法:DES(数据加密标准)和IDEA(国际数据加密算法)序列密码每次处理明文的1比特,然后立刻输出相应的密文比特。优点:处理速度快,实时性好;错误传播小;不易被破译;适用于军事、外交等保密信道。缺点:明文扩散性差;插入信息的敏感性差;需要密钥同步。,46,3对称加密和非对称加密,对称加密发送方使用的加密密钥和接受方使用的解密密钥相同,或从其中一个密钥易于得出另一个密钥其特点:计算量小、加密效率高缺点:在分布式系统上使用较为困难,主要是密钥管理困难常用算法:DES、IDEA、TDEA、RC2、RC4、RC5等算法非对称加密发送方使用的加密密钥和接受方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥特点:有两个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程“数字签名”:用于防止通信一方的抵赖行为主要算法:RSA、DSA、Diffie-Hellman、ECC等不可逆加密算法又称为单向散列算法加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据常用的单向散列算法主要有:MD5、SHA等,47,4网络中的加密技术,链路加密每条通信链路上的加密是独立实现节点到节点加密解决在节点中数据是明文的缺点在中间节点里装有加、解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换,48,4网络中的加密技术(续),端到端加密端到端加密是在源结点和目的结点中对传送的PDU(协议数据单元)进行加密和解密报文的安全性不会因中间结点的不可靠而受到影响PDU的控制信息部分(如源结点地址、目的结点地址、路由信息等)不能被加密,否则中间结点就不能正确选择路由,49,(1)密码分析攻击类型,基于一个基本假设:秘密必须全寓于密钥中 上述四种攻击类型的强度按序递增,50,(2)加密算法的安全性,若一个加密算法能满足以下两个条件之一就认为该算法是在计算上是安全的:一是破译的代价超出加密信息本身的价值二是破译的时间超出了信息的有效期蛮力攻击尝试任何可能的密钥,直到能够将密文正确解释为明文为止一般情况下,要试一半的可能密钥才能成功例如,某计算机的处理解密速度为1密钥/微秒,要破译用56比特密钥生成的密文,则需要的时间为 256/1(微秒)=7.21016/(365243600106)r(年)2.3103(年),51,6.4.2 对称加密技术,1对称加密的模型,52,6.4.2 对称加密技术,2对称加密的要求需要强大的加密算法算法至少应该满足:即使对手知道了算法并能访问一些或更多的密文,也不能译出全部密文或得出密钥。发送方和接收方必须用安全的方式来获得保密密钥的副本,必须保证密钥的安全。算法不必是秘密的,而只需要对密钥进行保密即可。对称密钥密码体制的安全性取决于密钥的安全性,而不是算法的安全性,即破密者知道密文和加密/解密算法,解密也是不可能的。,53,3常用的对称加密算法,DESDES数据加密标准DES是一种分组密码在加密前,先对整个明文进行分组。每一个组长为64位。然后对每个64位二进制数据进行加密处理,产生一组64位密文数据使用的密钥为64位,实际密钥长度为56位,有8位用于奇偶校验。,54,3常用的对称加密算法(续),TDEATDEA(三重DEA,或称为3DES)使用两个密钥,执行三次DES算法在三重DES,加密时是E-D-E,解密时是D-E-D,其密钥长度是112位加密时用E-D-E,而不使用E-E-E的目的是与现有DES系统的向后兼容,当K1=K2时,三重DES的效果与现在DES的效果完全一样。,55,3常用的对称加密算法(续),RC5RC5的分组长度和密钥长度都是可变的可以在速度和安全性之间进行折中IDEAIDEA国际数据加密算法IDEA使用128位密钥采用3种运算:异或、模加、模乘,容易用软件和硬件实现与DES相似,IDEA也是先将明文划分成多个64bit长的数据分组,然后经过8次迭代和一次变换,得出64bit密文。,56,6.4.3 公钥加密技术,1公钥密码体制的模型有两种模型:加密模型、认证模型,57,6.4.3 公钥加密技术,几点错误观点:公钥加密比常规加密更具有安全性公钥加密是一种通用机制,常规加密已经过时,58,2常用的公钥体制,公钥安全基础:数学中的难解问题两大类:基于大整数因子分解问题,如RSA体制;基于离散对数问题,如Elgamal体制、椭圆曲线密码体制等。RSA基本原原理:寻找大素数是相对容易的,而分解两个大素数的积在计算上是不可行的RSA算法的安全性建立在难以对大数提取因子的基础上。与DES相比,缺点是加密、解密的速度太慢RSA体制很少用于数据加密,而多用在数字签名、密钥管理和认证等方面,59,2常用的公钥体制(续),Elgamal公钥体制基于离散对数的公钥密码体制密文不仅信赖于待加密的明文,而且信赖于用户选择的随机参数,即使加密相同的明文,得到的密文也是不同的。加密算法的非确定性背包公钥体制基本原理:背包问题,60,6.4.4 密钥管理,主要涉及到两方面的问题:密钥的生存周期授权使用该密钥的周期密钥分发技术将密钥发送到数据交换的两方,而其他人无法看到的方法实现方法KDC(密钥分发中心)技术:保密密钥的分发CA(证书权威机构)技术:公钥和保密密钥的分发,61,1密钥的生存周期,密钥要有生存周期的原因:一个密钥使用得太多,会给攻击者增大收集密文的机会,拥有大量的密文有助于密码分析,易于破解密文;假定一个密钥受到危及或一个特定密钥的加密/解密过程被分析,则限定密钥的使用期限就相当于限制危险的发生。密钥的生存周期密钥的产生;密钥分发;启用密钥/停用密钥;替换密钥或更新密钥;撤销密钥;销毁密钥。,62,2保密密钥的分发,63,3公钥的分发,主要手段:数字证书,在数字证书中包含用户的公钥证书权威机构(CA):数字证书由证书权威机构(CA)通常是政府部门或金融机构,它保证证书的有效性,并负责证书注册、分发,并当证书包含的信息变得无效之后撤消(收回)证书。数字证书X.509公钥证书简单PKI证书PGP证书属性证书,64,X.509版本的证书结构,6.5 认证技术,66,6.5.1 认证技术概述,认证技术主要解决网络通信过程中通信双方的身份认可,它对于开放环境中的各种信息系统的安全有重要作用。认证过程通常涉及到加密和密钥交换。认证、授权和访问控制都与网络上的实体有关:认证:验证一个最终用户或设备(例如客户机、服务器、交换机、路由器、防火墙等)的身份的过程,即建立信息发送者和/或接收者的身份。授权:把访问权限授予某一个用户、用户组或指定系统的过程。授权是在用户标识出自己的身份之后,系统确认并允许用户做哪些事情。访问控制:限制系统资源中的信息只能流到网络中的授权个人或系统。认证技术主要有:消息认证、身份认证、数字签名,67,6.5.2 消息认证,1消息认证的目的消息认证:对付主动攻击中的篡改和伪造,使得通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等)的真伪消息认证方法:报文摘要2消息认证的工作原理消息认证的基础是安全单向的散列函数,以变长的信息输入,把其压缩成一个定长的值输出。若输入的信息改变了,则输出的定长值(摘要)也会相应改变。从数据完整性保护的角度来看,报文摘要可为制定的数据产生一个不可仿造的特征,伪造一个报文并使其具有相同的报文摘要是计算不可行的。,68,2消息认证的工作原理,69,3常用的摘要算法,MD5对任意长度的报文进行运算,最后得到128位的MD报文摘要代码MD5的算法大致的过程如下:先将任意长的报文按模264计算其余数(64 位),追加在报文的后面。这就是说,最后得出的MD代码已包含了报文长度的信息;在报文和余数之间填充1512 位,使得填充后的总长度是512的整数倍。填充比特的首位是1,后面都是0;将追加和填充后的报文分割为一个个512 位的数据块,512 位的报文数据分成4个128 位的数据块依次送到不同的散列函数进行4轮计算。每一轮又都按32 位的小数据块进行复杂的运算;最后计算出128 位 MD5报文摘要代码Radius(拨号认证协议)、OSPF(路由协议)、SNMP的安全协议等都是使用共同密钥加上MD5进行认证的SHA与MD5相似,用512位长的数据块经过复杂运算,产生的散列值是160位SHA比MD5更安全,但计算速度要比MD5慢,70,6.5.3 身份认证,身份认证是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程。网络安全的一切东西都是建立在身份认证的基础之上,在确定用户的身份之前,网络不会把访问权限授权给用户身份认证大致可分为3种:一是个人知道的某种事物,如口令、账号、个人识别码等;二是个人持证(也称令牌),如图章、标志、钥匙、护照等;三是个人特征,如指纹、声纹、手形、视网膜、血型、基因、笔迹、习惯性签字等。,71,1口令机制,过程不加密,即口令容易被监听和解密。口令是由数字、字母组成的长为58的字符串口令系统最严重的脆弱点是外部泄露和口令猜测,另外还有线路窃听、威胁验证者和重放等。保护口令措施:对用户和系统管理者进行教育,增强他们的安全意识;建立严格的组织管理办法和执行手续;确保口令必须被定期地改变;保证每个口令只与一个人有关;确保口令从来不被再现在终端上;使用易记的口令。,72,1口令机制,被猜测措施:限制非法认证的次数;实时延迟插入到口令验证过程阻止一个计算机自动口令猜测程序的生产串防止太短的口令以及与用户名账户名或用户特征相关的口令确保口令被定期地改变;取消安装系统时所用的预设口令;使用机器产生的而不是用户选择的口令。,73,6.5.3 身份认证,2个人持证持证为个人持有物,如磁卡、智能卡等磁卡常和个人标识号PIN一起使用智能卡将微处理器芯片嵌在宿卡上来代替无源存储磁条,存储信息远远大于磁条的250字节,且具有处理功能,卡上的处理器有4K字节的小容量EPROM3个人特征主要技术有:指纹识别、声音识别、笔迹识别、虹膜识别和手形等。,74,6.5.4 数字签名,1数字签名概述用于确认发送者身份和消息完整性的一个加密的消息摘要,它应该满足以下4点要求:收方能够确认发方的签名,但不能伪造;发方发出签名的消息后,就不能再否认他所签发的消息;收方对已收到的签名消息不能否认,即有收报认证;第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。数字签名方法:对称密码体系(如DES)公钥密码体系公证体系,75,6.5.4 数字签名,1数字签名概述最常用的实现方法:建立在公钥密码体系和单向散列函数算法(如MD5、SHA)的组合基础上数字签名与消息认证的区别:消息认证使收方能验证消息发送者及其所发的消息是否被篡改过。当收发双方之间有利害冲突时,单纯用消息认证就无法解决他们之间的纠纷,此时,必须借助于数字签名技术。数字签名与数据加密的区别:数字签名使用的是公钥密码体制中的认证模型,发送者使用自己的私钥加密消息,接收者使用发送者的公钥解密消息。数据加密使用的是公钥密码体制中的加密模型,发送者使用接收者的公钥加密消息接收者使用自己的私钥解密消息。,76,2基于公钥密码体系的数字签名,数字签名的创建利用公钥密码体制,数字签名是一个加密的消息摘要,附加在消息后面。过程如下:首先是生成被签名的电子文件,然后对电子文件用哈希算法做数字摘要,再对数字摘要用签名私钥做非对称加密,即作数字签名;之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装,形成签名结果发送给收方,待收方验证。数字签名的验证接收方首先用发方公钥解密数字签名,导出数字摘要,并对电子文件原文作同样哈希算法得一个新的数字摘要,将两个摘要的哈希值进行结果比较,相同签名得到验证,否则无效。,6.6 安全技术应用,78,6.6.1 身份认证协议,身份认证是用来获得对谁或对什么事情信任的一种方法。身份认证的方法分为两种:本地控制可信任的第三方提供确认常用的认证机制:S/Key口令协议、令牌口令认证、PPP、TACACS+、RADIUS、Kerberos、DCE和X.509,79,6.6.1 身份认证协议(续),1S/Key口令协议基于MD4和MD5的一次性口令生成方案用于对付重放攻击2PPP认证协议用于建立电话线或ISDN拨号连接的协议三种标准认证机制:口令认证协议(PAP)易于实现,但口令是以明文传送的,没有重放保护挑战握手协议(CHAP)口令加密,有重放保护可扩展认证协议支持更强健的认证,比较灵活,但使用不广泛,80,6.6.1 身份认证协议(续),3Kerberos协议为分布式计算环境提供了一种对用户双方进行验证的认证方法一种对称密码网络认证协议,建立在对称加密(DES)的基础上采用可信任的第3方密钥分配中心(KDC)保存与所有密钥持有者通信的主密钥主要目标:身份认证、计费和审计。,81,6.6.2 电子邮件的安全,1PGP完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术,也可用于文件存储PGP没有使用什么新的概念,只是将现有的一些算法如MD5、RSA以及IDEA等综合在一起,82,6.6.2 电子邮件的安全(续),2S/MIMEMIME:多用途Internet邮件扩展协议,允许以标准化的格式在电子邮件消息中包含文本、音频、图形、视频和类似的信息。S/MIME在MIME的基础上添加了安全性元素。,83,6.6.3 Web安全,1Web服务器的安全Web服务器的安全问题服务器向公众提供了不应该提供的服务服务器把本应私有的数据放到了可公开访问的区域服务器信赖了来自不可信赖数据源的数据Web站点的访问控制的级别:IP地址限制用户验证Web权限NTFS权限,84,2浏览器的安全,如何保护自己的计算机AetiveX控件、Java小程序被恶意使用,会给用户的计算机带来危害将因特网世界划分成几个区域:如Internet区域、本地Intranet区域、可信站点区域、受限站点区域等如何验证站点的真实性借助于CA安全认证中心发放的证书来实现如何避免他人假冒自己的身份在因特网中活动CA安全认证中心申请自己的证书表明自己身份在与Web站点交互敏感信息时如何避免第三方偷看或篡改等对敏感信息进行保护,避免第三方偷看或篡改,85,3Web的通信安全,超文本传输协议HTTP,不能提供数据的保密性、完整性以及认证服务Web服务器与浏览器通信安全的方案主要有:SSL(安全套接层协议)IPSec(IP安全),86,SSL,SSLSecure Sockets Layer,安全套接层协议用于保护传输层安全的开放协议,在应用层协议和低层的TCPIP之间提供数据安全为TCPIP连接提供数据加密、服务器认证、消息完整性和可选的客户机认证工作过程:浏览器请求与服务器建立安全会话;Web服务器将自己的证书和公钥发给浏览器;Web服务器与浏览器协商密钥位数(40位或128位;浏览器产生会话密钥,并用Web服务器的公钥加密传给Web服务器;Web服务器用自己的私钥解密;Web服务器和浏览器用会话密钥加密和解密,实现加密传输。,87,SSL的工作过程,88,IPSec,IPSecIP Security,IP安全一套用于网络层安全的协议在IP层上提供访问控制、无连接完整性、数据源认证、拒绝重放包、加密和流量保密服务IPSec想专门用于IPv6,但也可以用于IPv4,6.7 防火墙技术,90,6.7.1 防火墙的基本概念,1防火墙的定义防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策,控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。,91,2防火墙的分类,包过滤防火墙在网络层依据系统的过滤规则,对数据包进行选择和过滤,这种规则又称为访问控制表(ACLs)通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过通常安装在路由器上应用网关也称代理服务器在应用层上建立协议过滤和转发功能针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告通常安装在专用工作站系统上,92,6.7.1 防火墙的基本概念,3防火墙的设计目标进出内部网的通信量必须通过防火墙。只有那些在内部网安全策略中定义了的合法的通信才能够进出防火墙。防火墙自身应该能够防止渗透。4防火墙的不足防火墙不能对付来自内部的攻击。防火墙对网络病毒的攻击通常无能为力。防火墙无法阻止绕过防火墙的攻击。5防火墙的功能防火墙定义了惟一的一个瓶颈,以禁止脆弱的服务进入或离开网络;通过防火墙可以监视与安全有关的事件;防火墙可以为几种与安全无关的Internet服务提供方便的平台,例如地址转换(NAT)、网络管理功能部;防火墙可以作为诸如IPSec的平台。,93,6.7.2 防火墙的设计策略,1防火墙的设计策略两种基本的设计策略:允许任何服务除非被明确禁止禁止任何服务除非被明确允许按照其特征,防火墙的设计策略网络策略服务访问策略,94,2防火墙的技术,服务控制确定在围墙外面和里面可以访问的因特网服务类型方向控制。确定数据包的流向用户控制根据请求访问的用户来确定是否提供该服务行为控制控制如何使用某种特定的服务,95,3防火墙的部署,在局域网内的VLAN之间控制信息流向时加入防火墙。Intranet与Internet之间连接时加入防火墙。在广域网系统中,总部局域网与分支机构一般通过公共网(如DDN、Frame Relay)连接,需要采用防火墙隔离,并利用某些软件提供的功能构成虚拟专网VPN。如果总部的局域网和分支机构的局域网是通过Internet连接的,需要各自安装防火墙,并组成虚拟专网。在远程用户拨号访问时,需要加入防火墙。利用一些防火墙软件提供的负载平衡功能,ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志记录等功能。两网对接时可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(DMZ,De-Militarized Zone,非军事区)、存取安全控制,消除传统软件防火墙的瓶颈问题。,典型考题分析,97,【例6-1】网络管理的目标是最大限度地增加网络的可用时间,提高网络设备的利用率,改善网络性能、服务质量和_。(2004年9月)答案:安全性,98,【例6-2】有关网络管理员的职责,下列哪种说法是不正确的?_。(2003年4月)A)网络管理员应该对网络的总体布局进行规划B)网络管理员应该对网络故障进行检修C)网络管理员应该对网络设备进行优化配置D)网络管理员应该负责为用户编写网络应用程序答案:D,99,【例6-3】在因特网中,一般采用的网络管理模型是_。(2006年4月)A)浏览器/服务器B)客户机/服务器C)管理者/代理D)服务器/防火墙答案:C,100,【例6-4】在一般网络管理模型中,一个管理者可以和多个_进行信息交换,实现对网络的管理。(2006年9月)答案:代理,101,【例6-5】以下的网络管理功能中,哪一个不属于配置管理?_(2005年4月)A)初始化设备B)关闭设备C)记录设备故障D)启动设备答案:C,102,【例6-6】在网络管理中,通常在图形报告中使用颜色指示网络设备的运行状态,在配色方案中,表示设备处于错误状态使用的颜色为_。(2003年4月)A)绿色B)红色C)黄色D)蓝色答案:B,103,【例6-7】网络故障管理的一般步骤包括:发现故障、判断故障、_故障、修复故障、记录故障。(2006年4月)答案:隔离,104,【例6-8】下面哪个网络管理功能使得网络管理人员可以通过改变网络设置来改善网络性能?_(2005年9月)A)配置管理B)计费管理C)性能管理D)故障管理答案:C,105,【例6-9】以下有关网络管理功能的描述中,哪个是错误的?_(2006年9月)A)配置管理是掌握和控制网络的配置信息B)故障管理是对网络中的故障进行定位C)性能管理监视和调整工作参数,改善网络性能D)安全管理是使网络性能维持在较好水平答案:D,106,【例6-10】下面哪一种不是网络管理协议?_(2002年9月)A)SNMPB)LAPBC)CMIS/CMIP D)LMMP答案:B,107,【例6-11】SNMP 是最常用的计算机网络管理协议。SNMPv3 在 SNMPv2 基础上增加、完善了_和管理机制。(2006年9月)答案:安全,108,【例6-12】在电信管理网中,管理者和代理之间的管理信息交换是通过CMIS和_实现的。(2005年9月)答案:CMIP,109,【例6-13】保护计算机网络设备免受环境事故的影响属于信息安全的哪个方面?_(2005年9月)A)人员安全B)物理安全C)数据安全D)操作安全答案:B,110,【例6-14】有一种原