网络组成原理:网络安全
8.1 网络空间安全与网络安全的基本概念
8.1.1 网络空间安全与网络安全的基本概念
应用安全
系统安全 网络安全 密码学及应用
网络安全基础
8.1.2 网络空间安全理论体系
网络空间安全理论包括三大体系:基础理论体系,技术理论体系,应用理论体系
网络安全研究的基本内容:
应用理论 电子商务,电子政务,物联网及云计算安全
体系 各种网络安全应用技术
技术理论 芯片,操作系统,数据库 通信安全,互联网安全,网络对抗
体系 中间件安全等 网络安全管理等
系统安全理论与技术 网络安全理论与技术
基础理论 网络空间安全体系结构 对称加密,公钥加密
体系 大数据安全,对抗博弈等 密码分析,量子密码等
网络空间理论 密码学
8.1.3 OSI安全体系结构
网络安全体系结构的三个概念:
安全攻击(security attack)
安全服务(security service)
安全机制(security mechanism)
1,安全攻击
被动攻击
窃听或监听数据传输
主动攻击
截获数据
篡改或重放数据
伪造数据
2,网络安全服务
5类安全服务:
认证:提供对通信实体和数据来源认证与身份鉴别
访问控制:通过对用户身份认证和用户权限的确认,防止未授权用户非法使用系统资源
数据机密性:防止数据在传输过程中被泄露或被窃听
数据完整性:确保接受的数据与发送数据的一致性,防止数据被修改,插入,删除或重放
防抵赖:确保数据有特定的用户发出,证明由特定的一方接收,防止发送方在接收数据后否认或接收方
在收到数据后否认现象的发生
3,网络安全机制
加密
数字签名
访问控制
数据完整性
认证
流量填充:通过在数据流填充冗余字段的方法,预防网络攻击者对网络上传输的流量进行分析
路由控制:预先安排路径,使用安全的子网与链路,保证数据传输安全
公正:公正机制通过第三方参与的数字签名机制,对通信实体进行实时或非实时的公证
预防伪造签名与抵赖
4,网络安全模型与网络安全访问模型
网络安全模型
网络安全访问模型
详情见图 8.4 网络安全模型及网络安全访问模型
5,用户对网络安全的需求
可用性
机密性
不可否认性
可控性
8.1.4 网络安全研究的主要内容
IPv4/IPv6 安全
VPN
网络安全协议
无线通信安全
网络通信安全
网络攻击与防护
网络漏洞检测与防护
入侵检测与防御
防火墙技术
8.2 加密与认证技术
8.2.1 密码算法与密码体制的基本概念
1,加密算法与解密算法
2,密钥的作用
8.2.2 对称密码体系
在传统的对称密码体系中,加密用的密钥与解密用的密钥是相同的,密钥在通信中需严格保密
对称加密的工作原理:
|-------密钥------|
| |
明文 --加密过程--> 密文 --解密过程--> 明文
典型的对称加密算法
数据加密标准(data eccryption standard,DES)是最典型的对称加密算法
IDEA 算法,RC2 算法,RC4 算法,Skipjack 算法
8.2.3 非对称密码体系
非对称加密系统中,加密用的公钥与解密用的私钥是不同的,加密用的公钥可以公开
而加密用的私钥需要保密
非对称加密工作的原理:
发送端 接收端
明文 --> 加密算法E --> 密文 --> 解密算法D --> 明文
公钥 私钥
非对称加密的标准
主要的公钥算法包括:RSA算法,DSA算法,PKCS算法与PGP算法
8.2.4 公钥基础设施
1,公钥基础设施的基本概念
公钥基础设施(public key infrastructure,PKI)是利用公钥加密和数字签名技术建立的安全服务基础设施
2,PKI系统的工作原理
PKI的认证(certificate authority)中心
认证中心的注册认证(registration authority,RA)中心
特权管理基础设施(privilege manage infrastructure,PMI)
详情见图 8.11 PKI工作原理示意图
8.2.5 数字签名技术
1,数组签名技术的基本概念
数字签名将信息发送人的身份与信息传送结合起来,可以保证信息在传输过程中的完整性,并提供信息发送者的身份
认证,以防止信息发送者抵赖行为的发生
2,数字签名的工作原理
在使用非对称加密算法进行数字签名前,通常先使用单向散列函数或称哈希函数对要签名的信息进行计算
生成信息摘要,并对信息摘要进行签名
常用的数字签名算法是 信息摘要MD5(message digest 5)算法
详情见图 8.12 数字签名的工作原理示意图
8.2.6 身份认证技术的发展
所知:个人所掌握的密码,口令等
所有:个人的身份证,护照,信用卡,钥匙等
个人特征:人的指纹,声音,笔迹,手形,脸形,血型,虹膜,DNA等
8.3 网络安全协议
8.3.1 网络层安全与IPSec 协议,IPSec VPN
1,IPSec 安全体系结构
2,IPSec 的主要特征
IPSec的安全服务是在IP层提供的,可以为任何高层协议如TCP,UDP,ICMP,BGP提供服务
IPSec安全体系主要由认证头协议,封装安全载荷协议与Internet密钥交换协议等组成
认证头(authentication header,AH)协议用于增强IP协议的安全性,提供对IP分组
源认证,IP分组数据传输完整性与方重放攻击的安全服务
封装安全载荷(encapsulating security payload,ESP)协议提供IP分组源认证,IP分组
数据完整性,秘密性与防重放攻击的安全服务
Internet密钥交换(Internet key exchange,IKE)协议用于协商AH协议与ESP协议所使用
的密码算法与密钥管理体制
安全关联(security association,SA)是IPSec的工作基础
IPSec定义了两种保护IP分组的模式:传输模式与隧道模式
IPSec对于IPv4是可选的,但是IPv6基本的组成部分
3,AH 协议基本工作原理
AH协议可以工作在传输模式,也可以工作在隧道模式。
详情见图 8.13 传输模式的AH协议工作原理示意图
4,隧道模式(ESP)工作原理
隧道模式工作原理示意图
IP分组头|高层数据 Internet IP分组头|高层数据
IPSec VPN
主机A -()- 安全网关A -()----隧道------()----安全网关B----()---主机B
主机 主机
主机 主机
| 认证部分 |
新IP头|ESP头|IP分组头|高层数据|ESP认证数据
| 加密部分 |
8.3.2 传输层安全与SSL,TLP协议
1,SSL协议的基本概念
安全套接层(secure sockets layer,SSL)协议,使用非对称加密体制和数字证书技术
用于保护 Web应用安全
类似的有:PCT(private communication technology)协议
TLP(Transefer Layer Protocol)协议
2,SSL协议的特点
SSL 协议在层次结构中的位置
SSL 客户端 SSL服务器端
HTTP HTTP
SSL SSL
TCP TCP
IP IP
------------Internet------------
主要用于HTTP协议
SSL协议处于端系统的应用层与传输层之间,在TCP协议上建立一个加密的安全通道
当HTTP协议使用SSL协议时,关于HTTP请求部分不变,
发送端:应用进程所产生的报文将通过SSL协议加密之后,再通过TCP连接传送出去
接收端:TCP将加密的报文传给SSL协议解密后,再传送到应用层HTTP协议
Web系统采用SSL协议时,Web服务器默认端口 80->443,HTTP->HTTPS
SSL协议包含两个协议:
SSL握手协议:实现双方加密算法协商与密钥传递
SSL记录协议:定义SSL数据传输格式,实现对数据的加密与解密操作
8.3.3 应用层安全与PGP、SET协议
1,电子邮件安全的基本概念
2,PGP协议的基本工作原理
对称加密算法(加密速度快,对称密钥)进行原数据的第一层加密,使用非对称加密算法(公钥,私钥)对
已加密数据进行二次加密(安全),然后进行发送
详情见图 8.16 数字信封工作原理示意图
3,Web安全问题的严重性
4,SET协议产生的背景
5,SET系统结构
商家 收单银行
认证中心(CA)
持卡人 发卡银行 支付网关
6,SET协议的基本工作原理
秘密性:通过对称、非对称密码机制与数字信封技术保护数据
认证:通过CA中心实现身份验证
完整性:通过数字签名机制确保信息未被改动
8.4 网络攻击与防御
8.4.1 网络攻击的基本概念
1,网络攻击的分类
系统入侵类攻击
缓冲区溢出攻击
欺骗类攻击
IP欺骗,ARP欺骗,DNS欺骗,Web欺骗,电子邮件欺骗,源路由欺骗,地址欺骗,口令欺骗
拒绝服务攻击
2,网络安全威胁的层次
主干网络的威胁
TCP/IP 协议安全威胁
网络应用威胁
3,网络攻击的手段
欺骗类攻击
拒绝服务/分布式拒绝服务类攻击
拒绝服务(DoS)攻击与 分布式拒绝服务(DDoS)攻击
信息收集类攻击
扫描攻击,体系结构探测攻击,利用服务攻击
漏洞类攻击
网络协议类,操作系统类,应用软件类,数据库类
8.4.2 DoS 攻击与 DDoS 攻击
1,DoS攻击的基本概念
拒绝服务(denial of service)攻击以消耗网络资源,造成服务质量下降
常见的DoS攻击方法:
制造大量广播包或传输大量文件,占用网络链路与路由器带宽资源
制造大量电子邮件,错误日志信息,垃圾邮件,占用主机共享的磁盘资源
制造大量无用信息或进程通信交互信息,占用CPU和系统内存资源
2,DDoS攻击的基本概念
分布式拒绝服务(distribution denial of service,DDoS)攻击
攻击控制台
攻击服务器层
攻击执行层
攻击目标
特征如下:
被攻击的主机上有大量等待的TCP连接
网络中充斥着大量的无用数据包,并且数据报的源地址是伪造的
大量无用数据报造成网络拥塞,使被攻击的主机无法正常的与外界通信
被攻击主机无法正常的回应合法用户的服务请求
严重时会造成主机系统瘫痪
8.5 入侵检测技术
8.5.1 入侵检测的基本概念
入侵检测系统(intrusion detection sustem,IDS)是对计算机和网络资源的恶意
使用行为进行识别的系统
1,入侵检测的基本功能
2,入侵检测系统的结构
事件发生器
事件分析器
响应单元
事件数据库
8.5.2 入侵检测的基本方法
1,入侵检测方法
异常检测
误用检测
2,入侵检测系统分类
基于主机的入侵检测系统
基于网络的入侵检测系统
8.5.3 蜜罐技术的基本概念
1,蜜罐技术的基本概念
蜜罐(honeypot) 是一个包含漏洞的诱骗系统,模拟情况来引入攻击,进而保护主机
2,蜜罐的分类与结构
研究性蜜罐
实用型蜜罐
8.6 防火墙技术
8.6.1 防火墙的基本概念
防火墙(firewall)是在网络之间执行控制策略的系统,包括硬件和软件。
防火墙技术两类
网络层防火墙
基于数据包 源地址 目标地址 协议和端口 控制流量
应用层防火墙
数据包 源地址 目标地址 协议和端口 用户名 时间段 内容 防病毒进入内网
防火墙网络拓扑
边缘防火墙
三向外围网
背靠背防火墙
单一网卡防火墙
8.6.2 包过滤路由器
1,包过滤的基本概念
包过滤技术是基于路由器技术。路由器按照系统内部设置到分组过滤规则(即访问控制表),检查
每个分组的源IP地址,目的IP地址,决定该分组是否应该转发。
包过滤路由器需要检查TCP报头的端口号字节,包过滤规则一般是基于部分或全部报头的内容
2,包过滤路由器配置的基本方法
包过滤路由器也被称为屏蔽路由器,包过滤路由器是被保护的内部网络与外部不信任网络之间的第一道防线
8.6.3 应用级网关的概念
1,多归属主机
多归属主机又称为多宿主主机,是具有多个网络接口卡的主机,每个网络接口与一个网络连接,
具有在不同网络间交换数据的“路由”能力,也被称为 “网关”
2,应用级网关
判定用户身份和服务请求是否非法
3,应用代理
应用代理是应用级网关的另一种形式
应用级网关:以存储转发方式,检查和确定网络服务请求的用户身份是否合法,决定是转发还是丢弃该服务请求,
在应用层“转发”合法的应用请求
而应用代理完全接管了用户与服务器的访问,隔离了用户主机与被访问服务器之间的数据包的交换通道
8.6.4 防火墙的系统的结构
1,防火墙系统结构的基本概念
防火墙是一个有软件和硬件组成的系统
2,堡垒主机的概念
人们将处于防火墙关键部位、运行应用级网关软件的计算机系统成为堡垒主机(bastion host)
3,防火墙系统结构表示
| 符号 | 描述 |
|---|---|
| S | 包过路由器 |
| BI | 只有一个网络接口的堡垒主机 |
| B2 | 有两个网络接口的堡垒主机 |
4,典型防火墙的系统结构分析
采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构
采用多级结构的防火墙系统
8.6.5 防火墙报文过滤规则制定方法
1,指定网络安全策略的基本思路
凡是没有明确表示允许的就禁止
凡是没有明确表示禁止的就要被允许
2,防火墙报文过滤规则的指定方法示例
ICMP报文过滤规则
Web访问的报文过滤规则
FTP访问的报文过滤规则
Email服务的报文过滤规则
8.7 网络安全发展的新动向
网络攻击动机的变化
网络攻击对象与形式的变化
小结
网络安全研究对象包括
应用安全
系统安全
网络安全
网络安全基础
密码学及其应用
5类服务标准
认证
访问控制
数据机密性
数据完整性
密码技术
对称加密
非对称加密
网络安全协议
网络层 IPSec 与 IPSec VPN 协议
传输层 SSL 与 TLP 协议
应用层 PGP 与 SET 协议
网络攻击类型
欺骗类攻击
DoS/DDoS 类攻击
信息收集类攻击
漏洞类攻击
入侵检测系统
设置防火墙
网络攻击动机
1473
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
