第8章網絡安全技術

1《計算機網絡技術》陳代武主編--第8章網絡安全技術8.1網絡安全概述

8.1.1網絡安全的基本概念

8.1.2網絡安全的層次結構

8.1.3網絡安全模型

8.1.4常見的網絡安全技術8.2網絡病毒防范技術

8.2.1病毒的概念及分類

8.2.2病毒的傳播方式

8.2.3病毒的結構及工作原理

8.2.4殺毒技術第8章主要內容2《計算機網絡技術》陳代武主編--第8章網絡安全技術8.3數據加密技術

8.3.1傳統加密技術

8.3.2數據加密標準DES8.3.3公鑰密碼系統

8.4防火墻技術

8.4.1防火墻的概念及原理

8.4.2防火墻技術

8.4.3防火墻的體系結構

8.4.4防火墻的前沿技術8.5案例分析8.6本章小結第8章主要內容（續1）3《計算機網絡技術》陳代武主編--第8章網絡安全技術了解網絡安全的；了解防火墻的前沿技術；理解計算機網絡病毒的概念及分類、病毒的傳播方式及工作原理；理解數據加密標準的原理；掌握防火墻的概念、原理。第8章教學目標4《計算機網絡技術》陳代武主編--第8章網絡安全技術本章知識結構

5《計算機網絡技術》陳代武主編--第8章網絡安全技術網絡安全的定義網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全本質上來講就是信息安全。8.1網絡安全概述

8.1.1網絡安全的基本概念6《計算機網絡技術》陳代武主編--第8章網絡安全技術計算機網絡面臨的安全性威脅

計算機網絡上的通信面臨以下的四種威脅：

(1)截獲——從網絡上竊聽他人的通信內容。

(2)

中斷——有意中斷他人在網絡上的通信。

(3)篡改——故意篡改網絡上傳送的報文。

(4)偽造——偽造信息在網絡上傳送。截獲信息的攻擊稱為被動攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。7《計算機網絡技術》陳代武主編--第8章網絡安全技術對網絡的被動攻擊和主動攻擊截獲篡改偽造中斷被動攻擊主動攻擊目的站源站源站源站源站目的站目的站目的站8《計算機網絡技術》陳代武主編--第8章網絡安全技術被動攻擊和主動攻擊在被動攻擊中，攻擊者只是觀察和分析某一個協議數據單元PDU而不干擾信息流。主動攻擊是指攻擊者對某個連接中通過的PDU進行各種處理。更改報文流拒絕報文服務偽造連接初始化

9《計算機網絡技術》陳代武主編--第8章網絡安全技術安全措施的目標主要有以下幾類訪問控制(AccessControl)確保會話對方(人或計算機)有權做他所聲稱的事情。認證(Authentication)確保會話對方的資源(人或計算機)同他聲稱的一致。完整性(Integrity)確保接收到的信息同發送的一致。審計(Accountability)確保任何發生的交易在事后可以被證實，即不可抵賴性。保密(Privacy)確保敏感信息不被竊聽。8.1.1網絡安全的基本概念10《計算機網絡技術》陳代武主編--第8章網絡安全技術安全的目標對于非授權者，進不去、看不懂、添不亂、搞不壞；對于授權者，不可越權、不可否認；對于管理者，可監督、可審計、可控制。8.1.1網絡安全的基本概念11《計算機網絡技術》陳代武主編--第8章網絡安全技術網絡安全的特點保密性是指對信息或資源的隱藏。完整性指的是數據或資源的可信度，通常使用防止非法的或者未經授權的數據改變來表達完整性。可用性指的是對信息或資源的期望使用能力。可控性指對信息及信息系統實施安全監控管理。信息的不可否認性保證信息行為人不能否認自己的行為。8.1.1網絡安全的基本概念12《計算機網絡技術》陳代武主編--第8章網絡安全技術1、物理安全物理安全指的是物理介質層次上對存儲和傳輸的網絡信息的安全保護。影響物理安全的因素自然災害、物理損壞和設備故障；電磁輻射等；操作失誤等。8.1.2網絡安全的層次結構13《計算機網絡技術》陳代武主編--第8章網絡安全技術2、安全控制對存儲和傳輸的網絡信息的操作和進程進行控制和管理。操作系統的安全控制。網絡接口的安全控制。網絡互聯設備的安全控制。8.1.2網絡安全的層次結構14《計算機網絡技術》陳代武主編--第8章網絡安全技術3、安全服務在應用程序層對網絡信息的保密性、完整性和信源的真實性進行保護和鑒別，以滿足用戶的安全需求。安全機制；安全連接；安全協議；安全策略。8.1.2網絡安全的層次結構15《計算機網絡技術》陳代武主編--第8章網絡安全技術信息系統的四方模型

8.1.3網絡安全模型16《計算機網絡技術》陳代武主編--第8章網絡安全技術網絡安全模型

8.1.3網絡安全模型17《計算機網絡技術》陳代武主編--第8章網絡安全技術防火墻加密身份認證數字簽名內容檢查8.1.4常見的網絡安全技術18《計算機網絡技術》陳代武主編--第8章網絡安全技術8.2網絡病毒防范技術

8.2.1病毒的概念及分類計算機病毒的定義“病毒”指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒的特點計算機病毒是人為的特制程序，具有自我復制能力、很強的感染性、一定的潛伏性、特定的觸發性和很大的破壞性。19《計算機網絡技術》陳代武主編--第8章網絡安全技術計算機病毒的分類按病毒存在的媒體分網絡病毒；文件病毒；引導型病毒。按病毒傳染的方法分駐留型病毒；非駐留型病毒。8.2.1病毒的概念及分類20《計算機網絡技術》陳代武主編--第8章網絡安全技術網絡傳播因特網、局域網計算機硬件設備傳播固定存儲介質、移動存儲介質8.2.2病毒的傳播方式21《計算機網絡技術》陳代武主編--第8章網絡安全技術病毒的結構搜索子程序自我復制子程序病毒的工作機理觸發--傳染--破壞8.2.3病毒的結構及工作原理22《計算機網絡技術》陳代武主編--第8章網絡安全技術殺毒方法專殺工具；防毒。常用的反病毒軟件瑞星殺毒軟件；江民殺毒軟件；卡巴斯基；金山毒霸；360安全衛士。8.2.4殺毒技術23《計算機網絡技術》陳代武主編--第8章網絡安全技術8.3數據加密技術加密的基本概念密碼技術包含兩個方面：加密和解密；加密就是研究、編寫密碼系統，把數據和信息轉換為不可識別的密文的過程；解密就是研究密碼系統的加密途徑，恢復數據和信息本來面目的過程；加密和解密過程共同組成了加密系統。24《計算機網絡技術》陳代武主編--第8章網絡安全技術8.3數據加密技術加密的基本概念在加密系統中，要加密的信息稱為明文(Plaintext)；明文經過變換加密后的形式稱為密文(Ciphertext)；由明文變為密文的過程稱為加密(Enciphering)，通常由加密算法來實現；由密文還原成明文的過程稱為解密(Deciphering)，通常由解密算法來實現；為了有效地控制加密和解密算法的實現，在其處理過程中要有通信雙方掌握的專門信息參與，這種信息被稱為密鑰(Key)。25《計算機網絡技術》陳代武主編--第8章網絡安全技術明文X

截獲密文Y一般的數據加密模型加密密鑰K明文X密文Y截取者篡改ABE

運算加密算法D運算解密算法因特網解密密鑰K26《計算機網絡技術》陳代武主編--第8章網絡安全技術8.3數據加密技術對稱密鑰加密算法和非對稱加密算法對稱加密算法是指加密和解密過程都使用同一個密鑰；它的特點是運算速度非常快，適合用于對數據本身的加密解密操作；常見的對稱算法如各種傳統的加密算法、DES算法等。27《計算機網絡技術》陳代武主編--第8章網絡安全技術8.3數據加密技術對稱密鑰加密算法和非對稱加密算法非對稱加密算法(公開密鑰系統）使用2個密鑰，一個稱為公鑰，一個稱為私鑰。公鑰用于加密，私鑰用于解密；非對稱算法比較復雜，運算速度慢；使用非對稱算法對數據進行簽名；如RSA算法、PGP算法等，通常用于數據加密；此方法已廣泛用于Internet的數據加密傳送和數字簽名。28《計算機網絡技術》陳代武主編--第8章網絡安全技術8.3數據加密技術加密的方式鏈路加密把網絡層以下的加密叫鏈路加密；主要用于保護通信結點間傳輸的數據，加解密由置于線路上的密碼設備實現。結點加密在傳輸層上進行加密；主要是對源結點和目標結點之間傳輸數據進行加密保護。端對端加密網絡層以上的加密稱為端對端加密；它是面向網絡層主體，對應用層的數據信息進行加密，易于用軟件實現。29《計算機網絡技術》陳代武主編--第8章網絡安全技術替換密碼在代替密碼中，用一組密文字母來代替一組明文字母以隱藏明文，但保持明文字母的位置不變，例如：

a、b、c、d、……、x、y、z

d、e、f、g、……、a、b、c

若明文為student，則密文為vwxghqw8.3.1傳統加密技術表8-1單字母表替換映射表明文ABCDEFGHIJKLMNOPQRSTUVWXYZ密文QWERTYUIOPASDFGHJKLZXCVBNM30《計算機網絡技術》陳代武主編--第8章網絡安全技術變位密碼列變位密碼列變位密碼的密鑰是一個不含任何重復字母的單詞或短語;然后將明文排序，以密鑰中的英文字母大小順序排出列號;最后以列的順序寫出密文。8.3.1傳統加密技術31《計算機網絡技術》陳代武主編--第8章網絡安全技術列變位密碼密鑰MEGABUCK列號74512836PLEASETRANSFERONQMILLIONDOLLARSTOMYSWISSBANKACCOUNTSIXTWOTWOABCD8.3.1傳統加密技術明文PLEASETRANSFERONEMILLIONDOLLARSTOMYSWISSBANKACCOUNTSIXTWOTWO密文AFLLSKSOSELAWAIATOOSSCTCLNMOMANTESILYNTWRNNTSOWDPAEDOBUOERIRICXB32《計算機網絡技術》陳代武主編--第8章網絡安全技術分組密碼簡介對稱密碼有兩種類型：分組密碼(BlockCipher)和流密碼(StreamCipher);分組密碼一次處理一塊輸入，每個輸入塊生成一個輸出塊;流密碼對輸入元素進行連續處理，同時產生連續單個輸出元素;數據加密標準屬于分組密碼。8.3.2數據加密標準DES33《計算機網絡技術》陳代武主編--第8章網絡安全技術DES的歷史數據加密標準(DataEncryptionStandard，DES)。1973年，美國國家標準局(NBS)征集聯邦數據加密標準的方案。1975年3月17日，NBS公布了IBM公司提供的密碼算法，以標準建議的形式在全國范圍內征求意見。經過兩年多的公開討論之后，1977年7月15日，NBS宣布接受這個建議，作為聯邦信息處理標準46號，數據加密標準DES正式頒布，供商業界和非國防性政府部門使用。8.3.2數據加密標準DES34《計算機網絡技術》陳代武主編--第8章網絡安全技術DES算法流程8.3.2數據加密標準DES35《計算機網絡技術》陳代武主編--第8章網絡安全技術8.3.3公鑰密碼系統公鑰密碼系統使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。最著名的公鑰密碼體制是RSA體制，它基于數論中大數分解問題的體制，由美國三位科學家Rivest,Shamir

和Adleman

于1976年提出并在1978年正式發表的。36《計算機網絡技術》陳代武主編--第8章網絡安全技術公鑰密碼體制密文Y

E

運算加密算法D運算解密算法加密解密明文X明文X

ABB的私鑰SKB密文Y

因特網B的公鑰PKB37《計算機網絡技術》陳代武主編--第8章網絡安全技術加密密鑰與解密密鑰在公鑰密碼體制中，加密密鑰(即公鑰)PK

是公開信息，而解密密鑰(即私鑰或秘鑰)SK

是需要保密的。加密算法E

和解密算法D

也都是公開的。雖然秘鑰SK

是由公鑰PK

決定的，但卻不能根據PK

計算出SK。38《計算機網絡技術》陳代武主編--第8章網絡安全技術應當注意任何加密方法的安全性取決于密鑰的長度，以及攻破密文所需的計算量。在這方面，公鑰密碼體制并不具有比傳統加密體制更加優越之處。由于目前公鑰加密算法的開銷較大，在可見的將來還看不出來要放棄傳統的加密方法。公鑰還需要密鑰分配協議，具體的分配過程并不比采用傳統加密方法時更簡單。39《計算機網絡技術》陳代武主編--第8章網絡安全技術公鑰算法的特點發送者A用B的公鑰PKB

對明文X

加密（E

運算）后，在接收者B用自己的私鑰SKB

解密（D

運算），即可恢復出明文：

(7-4)解密密鑰是接收者專用的秘鑰，對其他人都保密。加密密鑰是公開的，但不能用它來解密，即

(7-5)40《計算機網絡技術》陳代武主編--第8章網絡安全技術公鑰算法的特點（續）加密和解密的運算可以對調，即

在計算機上可容易地產生成對的PK

和

SK。從已知的

PK

實際上不可能推導出SK，即從PK

到SK

是“計算上不可能的”。加密和解密算法都是公開的。（7-6）41《計算機網絡技術》陳代武主編--第8章網絡安全技術RSA算法8.3.3公鑰密碼系統42《計算機網絡技術》陳代武主編--第8章網絡安全技術RSA算法實例8.3.3公鑰密碼系統p=17,q=11,n=187,z=160選擇與160互質的數,d=23找到一個e,e=7,使e×d=1(mod160)公鑰(7,187),私鑰(23,187)(1)選擇兩個大素數P和q;(2)計算n=P×q和z=(p-1)(q-1);(3)選擇一個與z互質的數，令其為d；(4)找到一個e使滿足e×d=1(modz)公鑰(e,n),私鑰（d,n）43《計算機網絡技術》陳代武主編--第8章網絡安全技術8.3.3公鑰密碼系統(1)加密：設要加密的明文為M=88，則C=Me(modn)=887(mod187)=11,于是對應的密文為C=11;(2)解密：接收方收到密文后進行解密，計算M=Cd(mod187)=1123(mod187)=88,恢復出原文。44《計算機網絡技術》陳代武主編--第8章網絡安全技術8.4防火墻技術防火墻在網絡中位置45《計算機網絡技術》陳代武主編--第8章網絡安全技術防火墻=過濾器+安全策略（網關）防火墻提供的四種服務：服務控制：確定可以訪問的網絡服務類型。方向控制：特定服務的方向流控制。用戶控制：內部用戶、外部用戶所需的某種形式的認證機制。行為控制：控制如何使用某種特定的服務。8.4.1防火墻的概念及原理46《計算機網絡技術》陳代武主編--第8章網絡安全技術包過濾型防火墻“包過濾”通過將每一輸入輸出包中發現的信息同訪問控制規則相比較來決定阻塞或放行包;通過檢查數據流中每一個數據包的源地址、目的地址、所有端口、協議狀態等因素，或它們的組合來確定是否允許該數據包通過。如果包在這一測試中失敗，將在防火墻處被丟棄。8.4.2防火墻技術47《計算機網絡技術》陳代武主編--第8章網絡安全技術應用代理級防火墻應用代理級防火墻通過在協議棧的最高層(應用層)檢查每一個包從而提供足夠的應用級連接信息。8.4.2防火墻技術48《計算機網絡技術》陳代武主編--第8章網絡安全技術電路級網關型防火墻不允許進行端點到端點的TCP連接，而是建立兩個TCP連接，一個在網關和內