计算机网络安全技术.ppt

第6章 计算机网络安全技术,本章重点：,（1）网络安全威胁：包括窃听、破坏、重发、假冒、拒绝服务、网络病毒（2）网络安全技术分类：包括身份验证、完整性、审计、信息伪装技术（3）数据加密技术：包括私密密钥加密、公开密钥加密、信息摘要算法（4）身份验证技术：包括身份认证、数字签名、哈希函数,（5）跟踪审计技术：包括侵检测技术、Windows NT系统入侵检测（6）防火墙技术：包括防火墙的含义、种类、结构（7）网络安全风险评估：包括风险评估对象、风险评估方法（8）网络安全技术新发展：包括结构标准化、应用综合化、自我完善趋势,6.1网络安全威胁,6.1.1网络窃听6.1.2完整性破坏6.1.3数据修改6.1.4重发（重放）6.1.5假冒6.1.6服务否认（拒绝服务）6.1.7计算机（网络）病毒,6.2网络安全技术分类,网络安全技术可以分为四大类，即身份验证技术、网络数据完整性技术、网络活动审计技术和信息伪装技术。6.2.1身份验证技术6.2.1.1含义6.2.1.2数字签名,6.2.2数据完整性技术6.2.2.1含义6.2.2.2数据加密技术6.2.2.3访问控制1.含义2.组成元素,访问控制包括三个基本元素，即：可访问对象访问用户访问类型3.访问控制列表ACL如表6-1所示。,6.2.2.4防火墙技术防火墙示意图如图6-1所示。,图6-1防火墙网络,6.2.3 跟踪审计技术6.2.4信息伪装技术,6.3数据加密技术,6.3.1传统加密算法6.3.2私密密钥加密算法6.3.3公开密钥加密算法6.3.3.1 RSA算法6.3.3.2 Diffie-Hellman算法如图6-2所示。,图6-2不安全网络上的SKIP,如图6-3所示,图6-3 组合密钥系统,6.3.4信息摘要算法信息摘要算法具有如下特征：给定P，很容易计算MD（P），但给定MD（P），却很难找到P。（2）不同的信息的摘要总是不同的，而同样的明文的“摘要”必定是一致的。如图6-4所示。,图6-4 信息摘要用于数字签名的过程,6.4身份验证技术,6.4.1身份认证6.4.1.1信息验证6.4.1.2用户鉴别1.基于共享秘密密钥的鉴别2.基于公开密钥的鉴别3.基于信息摘要的鉴别4.基于密钥分配中心的鉴别,6.4.1.3 认证中心 1.数字时戳（Digital Time-Stamp，DTS）2.数字凭证（Digital ID，Digital Certificate）6.4.2数字签名,6.4.3哈希函数6.4.3.1哈希函数的作用6.4.3.2哈希函数定义6.4.3.3 构造哈希函数1.利用DES构造哈希函数2.利用RSA构造哈希函数,6.5跟踪审计技术,6.5.1入侵检测技术6.5.1.1入侵检测的概念6.5.1.2入侵检测的对象6.5.1.3入侵检测的工具6.5.1.4扫描器工作原理6.5.1.5入侵响应与防御,6.5.2网络系统入侵检测举例Windows NT事件查看器的界面如图6-5所示。,图6-5,6.5.2.2系统日志系统日志如图6-6所示。,图6-6系统日志,6.5.2.3安全日志安全日志如图6-7所示,图6-7安全日志,6.5.2.4应用程序日志,应用程序日志如图6-8所示。,图6-8应用程序日志,6.5.2.5事件日志设置,Windows NT事件日志设置界面如图6-9所示。,图6-9,6.6防火墙技术,6.6.1防火墙的含义 6.6.2防火墙的种类6.6.2.1包过滤防火墙如图6-10所示。,图6-10包过滤防火墙,6.6.2.2代理服务防火墙如图6-11所示。,图6-11 代理服务器,6.6.3防火墙的结构6.6.3.1双宿主机结构如图6-12所示。,图6-14子网过滤结构防火墙,6.6.3.3子网过滤结构子网过滤结构如图6-14所示。,6.7网络安全风险评估,6.7.1风险评估对象6.7.1.1计算机网络硬件系统6.7.1.2计算机网络软件系统,6.7.2风险评估方法6.7.2.1定性分析法6.7.2.2定量分析方法6.7.2.3软件分析法6.7.2.4泄露分析法6.7.2.5方案分析法6.7.2.6质询法,6.7.3安全性评估标准英国贸易和工业发展部的绿皮书（Green Book）。德国信息安全局的ZSIEC法国的蓝白红皮书（Blue-White-Red Book）（SCSSI）。欧洲工同体制定了信息技术安全评价准则ITSEC（Information Technology Security Evaluation Criteria）。,美国国防部计算机系统评价准则TCSEC（Trusted Computer System Evaluation Criteria），即橙皮书（Orange Book）。美国国家计算机安全中心NCSC（National Computer Security Center）,6.8 网络安全技术新发展,6.8.1信息网络安全结构标准化趋势ISO的安全体系结构模型（ISO 7498-2）如图6-15所示。,图6-15 OSI安全参考模型,6.8.2网络安全技术应用综合化趋势如图6-16所示。,图6-16网络安全综合化,6.8.3网络安全技术的自我完善趋势三重DES加密示意图如图6-17所示。,图6-17 三重DES加密,重要的入侵检测系统包括：（1）IDS（Intrusion Detection System）：用于检测外部入侵者的入侵行为和内部用户的非法活动。其应用原理如图6-18所示。（2）IDES（ID Expert System）：属于IDS类型，使用用户特征技术和专家系统检测入侵活动。其原理如图6-19所示。（3）NSM（Network Security Monitor）：NSM不使用审计数据作为入侵检测的依据，而是监视广播信道，观察所有的网络流量。NSM的突出特点是使入侵者无法察觉被监视。其原理如图6-20所示。,图6-18 IDS,图6-19 IDES,图6-20 NSM,思考题（1）网络安全威胁有哪些？（2）网络安全技术的种类。（3）数据加密技术有哪些？（4）身份验证技术有哪些？,（5）跟踪审计技术有哪些？（6）什么是身份认证？（7）什么是数字签名？（8）防火墙技术的含义、种类、结构。（9）网络安全风险评估的对象有哪些。（10）网络安全技术新发展方向。,