第8章网络安全与维护

Anhui Technical College Of Mechanical and Electrical Engineering 第第8章章 网络安全与维护网络安全与维护主讲主讲：方继才方继才2E-mail：本章主要内容本章主要内容 网络安全问题网络安全问题概述概述 信息加密技术信息加密技术 计算机病毒及黑客入侵计算机病毒及黑客入侵 防火墙技术防火墙技术 网络安全策略与机制网络安全策略与机制3E-mail：8.1 网络安全问题概述网络安全问题概述 计算机网络上的通信面临以下的四种威胁：计算机网络上的通信面临以下的四种威胁：截获截获、中断中断、篡改篡改、伪造伪造1、被动攻击和主动攻击、被动攻击和主动攻击8.1.1 计算机网络面临的安全性威胁计算机网络面临的安全性威胁截获截获篡改篡改伪造伪造中断中断被动攻击被动攻击主主 动动 攻攻 击击目的站目的站源站源站源站源站源站源站源站源站目的站目的站目的站目的站目的站目的站4E-mail：2、恶意程序、恶意程序(rogue program)计算机病毒计算机病毒 计算机蠕虫计算机蠕虫 特洛伊木马特洛伊木马 逻辑炸弹逻辑炸弹5E-mail：8.1.2 计算机网络安全的内容计算机网络安全的内容 保密性保密性：未经授权不能访问。：未经授权不能访问。完整性完整性：信息不丢失、不被破坏：信息不丢失、不被破坏 可用性可用性：需要时能访问：需要时能访问 不可抵赖性不可抵赖性：数字签名技术：数字签名技术 可控性可控性：对网络的监督和控制：对网络的监督和控制6E-mail：补充：信息加密技术补充：信息加密技术 明文 XE加密算法D解密算法加密密钥 K解密密钥 K明文 X密文 Y=EK(X)截取者截获篡改密钥源安全信道一般的数据加密模型一般的数据加密模型7E-mail：1、常规密钥密码体制、常规密钥密码体制 所谓所谓常规密钥密码体制常规密钥密码体制，即加密密钥与解密密，即加密密钥与解密密钥是相同的密码体制。钥是相同的密码体制。这种加密系统又称为这种加密系统又称为对称密钥系统对称密钥系统。在常规密钥密码体制中的两种最基本的密码：在常规密钥密码体制中的两种最基本的密码：替代密码替代密码 置换密码置换密码8E-mail：替代密码与置换密码替代密码与置换密码 替代密码替代密码(substitution cipher)的原理可用一的原理可用一个例子来说明。（密钥是个例子来说明。（密钥是 3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesar cipherFDHVDU FLSKHU明文密文明文 c 变成了密文 F9E-mail：置换密码置换密码 置换密码置换密码(transposition cipher)则是按照某一规则是按照某一规则重新排列消息中的比特或字符顺序。则重新排列消息中的比特或字符顺序。CIPHER145326attackbeginsatfour密钥顺序明文10E-mail：密文的得出密文的得出CIPHER145326attackbeginsatfour密钥顺序明文因此密文就是：abacnuaiotettgfksr 11E-mail：CIPHER145326attackbeginsatfour接收端收到密文后按列写下接收端收到密文后按列写下密钥顺序明文先写下第 1 列密文 aba 收到的密文：abacnuaiotettgfksr 12E-mail：CIPHER145326attackbeginsatfour密钥顺序明文再写下第 2 列密文 cnu 收到的密文：abacnuaiotettgfksr 接收端收到密文后按列写下接收端收到密文后按列写下13E-mail：CIPHER145326attackbeginsatfour密钥顺序明文再写下第 3 列密文 aio 收到的密文：abacnuaiotettgfksr 接收端收到密文后按列写下接收端收到密文后按列写下14E-mail：CIPHER145326attackbeginsatfour密钥顺序明文再写下第 4 列密文 tet 收到的密文：abacnuaiotettgfksr 接收端收到密文后按列写下接收端收到密文后按列写下15E-mail：CIPHER145326attackbeginsatfour密钥顺序明文再写下第 5 列密文 tgf 收到的密文：abacnuaiotettgfksr 接收端收到密文后按列写下接收端收到密文后按列写下16E-mail：CIPHER145326attackbeginsatfour密钥顺序明文最后写下第 6 列密文 ksr 收到的密文：abacnuaiotettgfksr 接收端收到密文后按列写下接收端收到密文后按列写下17E-mail：CIPHER145326attackbeginsatfour接收端从密文解出明文接收端从密文解出明文密钥顺序明文最后按行读出明文收到的密文：abacnuaiotettgfksr 得出明文：attackbeginsatfour 18E-mail：3、公开密钥密码体制、公开密钥密码体制 公开密钥密码体制使用公开密钥密码体制使用不同的加密密钥与解密不同的加密密钥与解密密钥密钥，是一种，是一种“由已知加密密钥推导不出解密由已知加密密钥推导不出解密密钥密钥”的密码体制。的密码体制。公开密钥密码体制的公开密钥密码体制的产生的原因产生的原因 由于常规密钥密码体制的密钥分配问题由于常规密钥密码体制的密钥分配问题 由于对数字签名的需求由于对数字签名的需求3.1 3.1 公开密钥密码体制的特点公开密钥密码体制的特点19E-mail：加密密钥与解密密钥加密密钥与解密密钥 在公开密钥密码体制中，加密密钥在公开密钥密码体制中，加密密钥(即公开密即公开密钥钥)PK 是公开信息是公开信息，而解密密钥，而解密密钥(即秘密密钥即秘密密钥)SK 是需要保密是需要保密的。的。加密算法加密算法 E 和解密算法和解密算法 D 也都是公开的。也都是公开的。虽然秘密密钥虽然秘密密钥 SK 是由公开密钥是由公开密钥 PK 决定的，决定的，但却但却不能根据不能根据 PK 计算出计算出 SK。20E-mail：公开密钥算法的特点公开密钥算法的特点(1)发送者用加密密钥发送者用加密密钥 PK 对明文对明文 X 加密后，在加密后，在接收者用解密密钥接收者用解密密钥 SK 解密，即可恢复出明文，解密，即可恢复出明文，或写为：或写为：DSK(EPK(X)X 解密密钥是接收者专用的秘密密钥；解密密钥是接收者专用的秘密密钥；此外，加密和解密的运算可以对调，即此外，加密和解密的运算可以对调，即 EPK(DSK(X)X21E-mail：公开密钥算法的特点公开密钥算法的特点(2)加密密钥是公开的，但不能用它来解密加密密钥是公开的，但不能用它来解密，DPK(EPK(X)X (3)在计算机上可容易地产生成对的在计算机上可容易地产生成对的 PK 和和 SK。(4)从已知的从已知的 PK 实际上不可能推导出实际上不可能推导出 SK，即从，即从 PK 到到 SK 是是“计算上不可能的计算上不可能的”。(5)加密和解密算法都是公开的加密和解密算法都是公开的。22E-mail：公开密钥密码体制公开密钥密码体制 接收者接收者发送者发送者E加密算法加密算法D解密算法解密算法加密密钥加密密钥 PK解密密钥解密密钥 SK明文明文 X密文密文 Y=EPK(X)密钥对密钥对产生源产生源明文明文 X=DSK(EPK(X)23E-mail：3.2 RSA公开密钥密码体制公开密钥密码体制 RSA 公开密钥密码体制的原理是：公开密钥密码体制的原理是：根据数论，根据数论，寻求两个大素数比较简单，而将它们的乘积分寻求两个大素数比较简单，而将它们的乘积分解开则极其困难。解开则极其困难。用户有两个密钥：用户有两个密钥：加密密钥加密密钥 PK 和解密密钥和解密密钥 SK。用户把用户把加密密钥公开加密密钥公开，使得系统中任何其他用，使得系统中任何其他用户都可使用，而对户都可使用，而对解密密钥则保密解密密钥则保密。24E-mail：例子说明：例子说明：设选择了两个素数，设选择了两个素数，p 3,q 11。计算出计算出 n pq 3 11 33。计算出计算出 (n)(p 1)(q 1)20。从从0,19中选择一个与中选择一个与 20 互素的数互素的数e，选选 e 3。得到：。得到：3d mod 20 1 解出解出d。不难得出，。不难得出，d 7。则公开密钥则公开密钥PK 3,33,秘密密钥秘密密钥SK 7,33。25E-mail：例子说明：（续）例子说明：（续）设要传输的明文：设要传输的明文：P(10011)219n输出密文：输出密文：Y Xe mod n 193 mod 33 6859 mod 33 28 (11100)2还原密文：还原密文：X Yd mod n 287 mod 33 19 (10011)226E-mail：3.3 数字签名数字签名 数字签名必须保证以下三点数字签名必须保证以下三点：(1)接收者能够核实发送者对报文的签名；接收者能够核实发送者对报文的签名；(2)发送者事后不能抵赖对报文的签名；发送者事后不能抵赖对报文的签名；(3)接收者不能伪造对报文的签名。接收者不能伪造对报文的签名。采用公开密钥算法要比采用常规密钥算法更容采用公开密钥算法要比采用常规密钥算法更容易实现。易实现。27E-mail：数字签名的实现数字签名的实现 DSKPK用公开密钥用公开密钥 核实签名核实签名用秘密密钥用秘密密钥 进行签名进行签名X发送者发送者 A接收者接收者 BDSK(X)XE28E-mail：具有保密性的数字签名 DSKAPKA用公开密钥用公开密钥 核实签名核实签名用秘密密钥用秘密密钥 签名签名X发送者发送者 A接收者接收者 BDSKA(X)XEEPKB用公开密钥用公开密钥 加密加密EPKB(DSKA(X)DSKB用秘密密钥用秘密密钥 解密解密DSKA(X)密文密文29E-mail：8.2 电脑病毒概述与黑客入侵电脑病毒概述与黑客入侵 8.2.1 电脑病毒的定义、特点和分类电脑病毒的定义、特点和分类 8.2.2 电脑病毒的传播途径、识别与防治电脑病毒的传播途径、识别与防治 8.2.3 常用杀毒软件简介常用杀毒软件简介 8.2.4 黑客的概念及特征黑客的概念及特征 8.2.5 常见的黑客攻击方法常见的黑客攻击方法 8.2.6 防范黑客的措施防范黑客的措施30E-mail：8.2.1_1 什么是电脑病毒什么是电脑病毒 电脑病毒是一种电脑病毒是一种人为编制人为编制的可以的可以破坏破坏计算机系计算机系统和制造网络故障的统和制造网络故障的计算机程序计算机程序。它常常寄生在它常常寄生在系统启动区系统启动区、设备驱动程序设备驱动程序、以、以及一些及一些可执行文件可执行文件内。内。电脑病毒几乎可以嵌入到任何应用程序中，并电脑病毒几乎可以嵌入到任何应用程序中，并能利用系统资源进行能利用系统资源进行自我复制传播自我复制传播，破坏电脑，破坏电脑系统。系统。31E-mail：8.2.1_2 电脑病毒的特点电脑病毒的特点 病毒通常具有以下特征：病毒通常具有以下特征：破坏性破坏性 传染性（传播性）传染性（传播性）隐蔽性隐蔽性 潜伏期潜伏期 激发性激发性32E-mail：8.2.1_3 电脑病毒的分类电脑病毒的分类 按表现性质，可分为按表现性质，可分为良性良性的和的和恶性恶性的。的。按被激活的时间，可分为按被激活的时间，可分为定时定时的和的和随机随机的。的。按入侵系统的途径，可分为按入侵系统的途径，可分为源码源码病毒、病毒、入侵入侵病毒、病毒、操作系统操作系统病毒和病毒和外壳外壳病毒（病毒（DOS）。）。按传染方式，可分为按传染方式，可分为引导型引导型病毒、病毒、文件型文件型病病毒（感染毒（感染.exe和和.com文件）及文件）及混合型混合型病毒。病毒。33E-mail：8.2.2_1 电脑病毒的传播途径电脑病毒的传播途径 可移动存储设备可移动存储设备。通过通过网络网络传染传染。使用使用盗版光盘盗版光盘，或使用，或使用外来软件外来软件。安装和使用安装和使用盗版游戏盗版游戏，及拷入游戏。，及拷入游戏。34E-mail：8.2.2_2 电脑病毒的攻击方式电脑病毒的攻击方式 根据根据攻击目标攻击目标分类：分类：主要有内存、磁盘、系统数据、文件和主要有内存、磁盘、系统数据、文件和CMOS等等 根据根据破坏程度破坏程度分类分类:干扰系统正常运行、影响电脑运行速度干扰系统正常运行、影响电脑运行速度 扰乱屏幕显示、影响键盘和鼠标扰乱屏幕显示、影响键盘和鼠标 发出噪声和干扰打印机等发出噪声和干扰打印机等35E-mail：8.2.2_3 电脑病毒防治技术电脑病毒防治技术 电脑病毒的电脑病毒的预防预防 已知病毒的预防和对未来病毒的预防已知病毒的预防和对未来病毒的预防 电脑病毒的电脑病毒的检测检测 依据病毒特征和指定程序或数据是否被改变依据病毒特征和指定程序或数据是否被改变 电脑病毒的清除电脑病毒的清除 电脑病毒的免疫电脑病毒的免疫 36E-mail：8.2.2_4 网络安全设置网络安全设置 为为Internet中的区域中的区域设置安全级别设置安全级别 在在Internet中，用户可自定义某个区域中中，用户可自定义某个区域中Web内容的安全级别，安全级别越高就越安内容的安全级别，安全级别越高就越安全。全。邮件安全邮件安全设置：设置：设置过滤垃圾邮件的功能设置过滤垃圾邮件的功能 使用防病毒软件使用防病毒软件37E-mail：8.2.3 常用防病毒软件常用防病毒软件 瑞星瑞星20082008（国内产品）。（国内产品）。金山毒霸金山毒霸20082008（国内产品）。（国内产品）。诺顿诺顿20082008（国外产品）。（国外产品）。江民杀毒江民杀毒20082008 （国内产品）。（国内产品）。卡巴斯基卡巴斯基、天网、天网、PC-CillinPC-Cillin（趋势趋势）、熊猫）、熊猫卫士、卫士、美咖啡、冰岛美咖啡、冰岛等。等。38E-mail：瑞星瑞星2008图图39E-mail：金山毒霸金山毒霸2008图图40E-mail：江民杀毒江民杀毒 2008图图41E-mail：8.2.4 黑客的概念及特征黑客的概念及特征 黑客来自英文黑客来自英文“Hacker”，指那些利用计算，指那些利用计算机某种技术或其他手段，机某种技术或其他手段，善意或恶意善意或恶意地进入其地进入其非授权非授权范围以内的计算机或网络空间的人。范围以内的计算机或网络空间的人。目前，黑客的特征，主要表现在目前，黑客的特征，主要表现在:黑客群体黑客群体扩大化扩大化 黑客的黑客的组织化和集团化组织化和集团化 黑客行为的黑客行为的商业化商业化 黑客行为的黑客行为的政治化政治化 42E-mail：8.2.5 常见的黑客攻击方法常见的黑客攻击方法 Web 欺骗技术欺骗技术 放置放置特洛伊木马程序特洛伊木马程序 口令攻击口令攻击 电子邮件攻击电子邮件攻击 网络监听网络监听 端口扫描攻击端口扫描攻击 缓冲区溢出缓冲区溢出 口令攻击口令攻击 暴力破解暴力破解 密码控测密码控测 网络监听网络监听 登录界面攻击法登录界面攻击法43E-mail：8.2.6 防范黑客的措施防范黑客的措施 要提高安全意识要提高安全意识 要使用要使用防火墙防火墙 使用使用反黑客软件反黑客软件 尽量不暴露自己的尽量不暴露自己的 IP（用代理）（用代理）要安装要安装杀毒软件杀毒软件 作好数据的备份作好数据的备份 44E-mail：8.3 防火墙防火墙(firewall)防火墙是由软件、硬件构成的系统防火墙是由软件、硬件构成的系统，用来在两，用来在两个网络之间实施接入控制策略。个网络之间实施接入控制策略。防火墙内的网络称为防火墙内的网络称为“可信赖的网络可信赖的网络”，而，而将外部的因特网称为将外部的因特网称为“不可信赖的网络不可信赖的网络”G G内联网内联网可信赖的网络可信赖的网络不可信赖的网络不可信赖的网络分组过滤分组过滤路由器路由器 R R分组过滤分组过滤路由器路由器 R R应用网关应用网关外局域网外局域网内局域网内局域网防火墙防火墙因特网因特网45E-mail：8.3.1 防火墙的功能防火墙的功能 从总体上看从总体上看,应该具有以下应该具有以下五大基本功能五大基本功能:防火墙是网络防火墙是网络安全的屏障安全的屏障 防火墙可以防火墙可以强化强化网络安全策略网络安全策略 对网络存取和访问进行对网络存取和访问进行监控审计监控审计 防止防止内部信息的外泄内部信息的外泄 对网络攻击进行对网络攻击进行检测检测和告警。和告警。防火墙的功能概括起来有两个：防火墙的功能概括起来有两个：阻止和允许阻止和允许。46E-mail：8.3.2 防火墙技术分类防火墙技术分类(1)网络级防火墙网络级防火墙用来防止整个网络出现外用来防止整个网络出现外来非法的入侵。属于这类的有来非法的入侵。属于这类的有包过滤包过滤和和授权服授权服务器务器。47E-mail：8.3.2 防火墙技术分类防火墙技术分类(2)应用级防火墙应用级防火墙直实服务器外部 响应转发请求Internet代理客户应用层代理服务代理服务器应用协议分析请求转发响应Intranet真实的客户端48E-mail：8.4 网络安全策略与机制网络安全策略与机制8.4.1 网络安全策略网络安全策略 加密加密策略（链路加密和端到端加密）策略（链路加密和端到端加密）鉴别鉴别策略策略 防火墙防火墙技术技术 回拨技术回拨技术 其他策略：物理安全策略、访问控制策略等其他策略：物理安全策略、访问控制策略等 49E-mail：8.4.2 网络安全机制网络安全机制 加密机制加密机制 数字签名机制数字签名机制 访问控制机制访问控制机制 数据完整性机制数据完整性机制 鉴别交换机制鉴别交换机制 防业务流分析机制防业务流分析机制 路由控制机制路由控制机制 公证机制公证机制50E-mail：本章内容回顾本章内容回顾 网络安全问题网络安全问题概述概述 信息加密技术信息加密技术 计算机病毒及黑客入侵计算机病毒及黑客入侵 防火墙技术防火墙技术 网络安全策略与机制网络安全策略与机制 习题：习题：P206 三（三（1、2、4）Anhui Technical College Of Mechanical and Electrical Engineering