第 8章网络管理与网络安全本章主要内容
网络系统管理的概念和基本功能,简单网络管理协议 SNMP的组成及应用,实用网络管理系统;网络安全的基本概念,影响网络安全的因素和网络安全对策,数据加密的基本概念、常用的加密算法和鉴别技术的应用,网络防火墙的概念、技术分类和应用。
本章要求:
了解简单网络管理协议的组成及应用
了解影响网络安全的因素和网络安全对策
了解数据加密的基本概念、常用的加密方法和鉴别技术的应用
了解网络防火墙的概念、技术和应用
掌握网络管理的基本功能、网络安全的基本概念和内涵本章分为三小节:
8,1 网络管理:简单网络管理协议,
常用网络管理系统
8,2 网络安全:网络安全概述,数据加密技术,鉴别技术
8,3 防火墙:防火墙的概念,技术分类和应用
8,1 网络管理
1,网络管理概述
(1) 网络管理的概念
为保证网络系统稳定、高效和可靠运行,
对网络的各种软硬件设施和人员进行的综合管理。网络管理主要是要保障网络设备的正常运行、监控网络的各项功能、
优化网络的拓扑结构等。
(2) 网络管理的要求
网络管理离不开,
现代网络管理方法和技术;
网络管理工具 (网管软件 );
网络管理协议。
(3) 网络管理的内容
网络管理的基本内容包括:
(1) 数据通信网中的流量控制
(2) 路由选择策略管理
(3) 网络安全保护
(4) 网络的故障诊断与修复
(4) 网络管理系统组成
网络管理系统 是 用于实现对网络全面、
有效管理和实现网络管理目标的系统。
一个网管系统从逻辑上包括 管理对象,
管理进程,管理信息库 和 管理协议 四部分。
管理对象,是指网络客户机和网络设备等,如服务器、工作站、集线器、路由器、交换机、网卡等。 这些网络设备对应的具体可以操作的数据等也是网络管理的对象,如网络设备的工作状态和工作参数等数据。
管理进程 manager,用于对网络设备和设施进行全面管理和控制的软件。它驻留在网络管理站上。
管理信息库 MIB,用于记录网络中被管理对象的相关信息。
管理协议,负责在管理系统和管理对象之间传输操作命令和解释管理操作命令。
一个管理进程 (manager)可以与多个管理代理 (agent)进行信息交互,同时一个管理代理也可以接受来自多个管理进程的管理操作。
管理进程管理信息库 代理/管理对象网络管理协议网络管理系统的逻辑模型
2,网络管理功能
在 OSI 7498-4文件定义的网络管理标准中,
将网络管理功的能分为 配置管理,性能管理,故障管理,安全管理 和 计费管理五个功能域。
网络管理是为网络管理员进行监视、控制和维护网络而设计的。
(1) 配置管理
为适应和支持网络中用户、设备、系统的变化,调整软硬件运行参数,以保证网络正常运行,要进行网络的配置管理。网络配置是指网中每个设备的功能、点的连接关系和工作参数等,反映的是网络状态。
配置管理 主要包括网络节点地址分配管理、
节点接入和撤消的自动管理、远程加载与转储管理及虚拟网络节点的配置等。配置管理就是用来定义、记录、控制和检测网络中的被管理对象的集合。
(2) 性能管理
性能管理 主要是通过收集、分析和测试网络性能参数,评价网络运行过程中的主要性能指标,为管理机构提供决策依据。
通常影响网络性能的参数有:网络吞吐量、
响应时间、线路利用率、费用、负载等。
网络性能管理分为网络监控和网络控制。
网络监控是对网络工作状态信息的收集和整理;
网络控制是指为改善网络设备性能而采取的动作和措施。
(3) 故障管理
网络故障管理 是指对网络系统故障的预防、检测 (诊断 )、恢复或排除等操作进行管理。其目的是保证网络提供连续、可靠的服务。
网络故障管理的 三步曲,预防、检测 (诊断 )和排除 (恢复、纠正 )
预防,关键数据的存储、备份,硬件的随时维护和更新等。
检测,检测被管理对象的故障现象,进行系统诊断、测试和分析,以便跟踪和识别故障,找出故障原因和故障点。
排除,隔离故障源,尽快排除故障,恢复系统运行。
(4) 安全管理
网络安全管理 是用来保护网络资源和网络用户的安全。安全管理主要是针对网络环境的各种人为因素对网络造成的威胁。如非法用户对网络资源的侵害 (盗用、
更改和破坏 )、合法用户对网络资源的非法访问等。
安全管理的策略 有安全立法、安全行政人事管理、网络软硬件安全保护、系统访问控制、数据加密保护、采用防火墙技术和防病毒技术等。
(5) 计费管理
网络计费管理 就是控制和管理用户使用的网络资源,核算用户费用等。
计费管理中要核算和计费的网络资源主要包括:硬件资源,软件和数据资源,网络服务和其他网络设施开销。
计费管理的作用有二:
对网络资源的使用情况进行统计,以便系统合理地调度和分配资源,为用户提供高效的服务。
核算资源费用,进行系统收费管理。
大部分企业网对内部用户使用的资源不收取费用,主要是达到第一个目的。
在实际网络管理过程中网络管理功能非常广泛,包括很多方面。除以上五种基本功能外还有网络规划、数据库管理、
操作人员管理等。
3,简单网络管理协议
ISO提出了网络管理协议标准 CMIS (公共管理信息服务 )和 CMIP (公共管理信息协议 ) 。 CMIS/CMIP 与 OSI/RM一样,未得到社会的广泛支持,几乎无产品,只有参考价值。而 TCP/IP的 SNMP (简单网络管理协议 )得到厂商的一致支持。
(1) SNMP的发展
SNMP是一个网络应用层协议。网络管理人员使用该协议可以较容易地管理网络,
发现和解决网络问题。
1987年 11月因特网工程任务组 IETF
(Internet Engineering Task Force)提出了简单网关管理协议 SGMP,随后公布的
SNMP v1即是在 SGMP基础上发展起来的。
SNMPv1是一个简单的协议,在大规模网络上也易于实现。
1993年 IETF 提出的 SNMPv2 对 SNMP v1
在数据的分布式管理和安全性方面进行了改进。
1999年公布的 SNMPv3 对 SNMPv2在安全和可管理体系结构方面又有了较大的改进。
(2) SNMP 网络管理模型
SNMP网络管理模型:管理进程
(Manager Station)、管理代理 (Agent)和管理信息库 (MIB)。
模型如图示:
…
网络管理站
(管理进程 )
代理被管站
MIB
SNMP
主 机 路由器网关SNMP模型代理被管站
MIB
代理被管站
MIB
① 管理进程:
管理进程 (Manager)是网络管理的核心软件,一般是安装在被称为“网络管理站”
的主机上。在该主机上运行网络管理协议、网络管理支持工具和网络管理应用软件。
每个网络中至少有一个网络管理站,它运行管理进程软件,对其它站进行管理。
Manager完成各种网络管理功能。通过各设备中的管理代理对网络中的各种资源实施检测和控制。网管操作人员通过
Manager 对全网进行管理。
② 管理代理:
管理代理 Agent是驻留在被管理站上的一套软件,它负责执行 Manager的管理操作。
Agent直接操作本地信息库 MIB,如果
Manager需要,它可根据要求改变本地
MIB或提取数据传回到 Manager。
Agent可从 MIB中读取各种变量值;也可以在 MIB中修改各种变量值;并与
Manager进行通信,以响应其管理请求。
被管理站包括主机、网关、服务器、路由器、交换机等网络设备。
③ 管理信息库
管理信息库 MIB是一个概念上的数据库。
管理代理所收集的包括网络设备的系统信息、资源使用及各网段信息流量等管理信息都存放在 MIB中。每个 Agent拥有自己的本地 MIB,各 Agent控制的管理对象共同构成全网的管理信息库。
MIB包括报文分组计数、出错计数、用户访问计数,IP路由选择表等。
Manager通过查看 MIB的内容实现对网络的检测,通过修改 MIB的内容完成对网络的控制。
SNMP提供的是面向无连接的服务,采用轮询法进行管理。 Manager 每隔一段时间向每个 Agent发出询问,以获取管理信息。当被管理对象发生紧急情况时,
Agent主动向 Manager汇报。
(3) SNMP的命令
SNMP定义了一套用于 Manager和 Agent
之间进行通信的命令,通过这些命令来实现管理功能。
SNMP的操作主要有四类:存、取、陷阱和通知。
取 (Get)操作:有 get request,get next
request,get bulk request和 get response等命令,主要是从 Agent那里取得指定的
MIB变量值和对这些取请求的响应。
写 (Set)操作,有 set request和 set response
命令,用于写入 Agent指定的 MIB变量值和对写操作的响应。
陷阱 (Trap)操作:用于当网络发生错误或出现紧急情况时,Agent立即向网络管理站报警,不需等待接收方响应。
通知 (Inform)操作:有 Inform request和
Inform response命令,用于在不同的管理进程之间发送管理信息和陷阱信息,及收到这些信息的响应。
(4) SNMPv2
SNMP的优点是简单、便捷,因此得到了广泛应用。但它还存在着诸如不能有效地传输大块数据,不能将网络管理功能分散化,安全性能不够理想等缺点。
1996年推出的 SNMPv2能够克服上述缺点,但在安全性方面也过于复杂。
SNMPv2采用了较好的分散化管理方法。
在一个网络中可以有多个顶级管理站,
每个管理站管理网络的一部分代理进程,
并指派若干个代理进程使之具有管理其他代理进程的功能。
4,实用网络管理平台和工具
常见的作为网络管理者运行的网络管理系统软件有,HP 公司的 Open View,
IBM 公司的 NetView,SUN公司的
SunNet Manager,Cabletron公司的
SPECTRUM和 Novell公司的 NetWare
Manage Wise。
HP Open View是第一个综合的实用的网络管理系统,SunNet Manager是第一个基于 UNIX的网络管理系统,但它们都不能提供对 NetWare,SNA,DECnet、
X.25和无线通信交换机及其他非 SNMP设备的管理功能。
NetWare Manage Wise提供对 NetWare
操作系统的管理功能。
Cabletron SPECTRUM是一个可扩展的、
智能的网络管理系统。它支持 NetWare
操作系统和 Apple TalK,IPX等协议。
8,2 网络安全
1,网络安全概述
(1) 网络安全的概念
,网络安全”可理解为“网络系统不存在任何威胁状态”。为防范诸如病毒的破坏、
黑客的入侵、计算机犯罪、人为的主动或被动攻击等威胁,而采取一些措施则可保证网络系统的安全。
网络安全 是指采取各种技术和管理措施防止网络中各种资源不被有意或无意地破坏和侵害等 。
网络系统安全主要涉及系统的可靠性,软件和数据的完整性,可用性和保密性几方面的问题 。
系统的可靠性,保证网络系统不因各种因素的影响而中断正常工作;
数据的完整性,保护网络系统中存储和传输的软件 (程序 )与数据不被非法操作,
如删除,添加,更改等;
数据的可用性,保证数据完整的同时还能被正常利用和操作;
数据的保密性,数据的保密性主要是利用 密码技术 对数据进行加密处理,保证在系统中存储和网络上传输的数据不被无关人员识别。
(2) 网络系统的威胁
无意威胁 是在无预谋的情况下破坏了系统的安全性、可靠性或资源的完整性等
无意威胁主要是由一些偶然因素引起,
如软、硬件的机能失常,不可避免的人为错误,电源故障和自然灾害等。
故意威胁 实际上就是,人为攻击,。由于网络本身存在缺陷,因此总有某些人或某些组织想方设法利用网络系统达到某种目的,如从事工业、商业或军事情报的搜集工作的间谍,对相应领域的网络信息是最感兴趣的,他们对网络系统的安全构成了主要威胁。
被动攻击和主动攻击,对网络系统的攻击,可从随便浏览信息到使用特殊技术对系统进行攻击以得到有针对性的信息 。
这些攻击又可分为被动攻击和主动攻击 。
被动攻击 是指攻击者只通过观察网络线路上的信息,而不干扰信息的正常流动,
如被动地搭线窃听或非授权地阅读信息;
主动攻击 是指攻击者对传输中的信息或存储的信息进行各种非法处理,如有选择地更改、插入、延迟、删除或复制信息。
被动攻击不易被发现,但较容易处理,如采用加密技术即可。
主动攻击容易被觉察,但不容易防止,可采用加密技术、签名技术和鉴别技术解决。
发送方 接收方攻击者
(a) 被动攻击发送方 接收方攻击者
(b) 主动攻击被动攻击和主动攻击
通常,系统的故意威胁有如下四种情况:
中断,指系统资源遭到破坏或变得无法使用,是对系统可靠性的攻击;
窃取,指未被授权的实体得到了资源的访问权,是对数据保密性的攻击;
修改,指未被授权的实体不仅得到了资源的访问权,而且还篡改了资源,是对数据完整性的攻击;
捏造,指未被授权的实体向系统中插入伪造的对象,是对数据真实性的攻击。
以上四种情况除窃取属被动攻击外,
其余都是主动攻击类型。
(3) 网络系统的脆弱性
系统脆弱性 就是指网络系统中安全防护的弱点。网络本身存在着一些固有的弱点(脆弱性),非法用户利用这些脆弱性对系统进行非法访问,将使系统内数据的完整性受到威胁,也可能使信息遭到破坏而不能继续使用。
网络系统的脆弱性主要表现有,操作系统的脆弱、数据库系统的脆弱、电磁泄漏、数据的可访问性、通信协议和通信系统的脆弱、网络存储介质的脆弱、介质的剩磁效应、保密的困难性和信息的聚生性等。
操作系统的脆弱性,网络操作系统体系结构本身就是不安全的 --操作系统程序具有动态连接性;操作系统可以创建进程,这些进程可在远程节点上创建与激活,被创建的进程可以继续创建其他进程; NOS为维护方便而预留的无口令入口也是黑客的通道。
计算机系统本身的脆弱性,硬件和软件故障 --硬盘故障、电源故障、芯片主板故障、操作系统和应用软件故障;存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。
通信系统和通信协议的弱点,通信线路面对各种威胁就显得非常脆弱,非法用户可对线路进行物理破坏、搭线窃听; TCP/IP及 FTP、
E-mail,NFS,WWW等都存在安全漏洞,
E-mail中潜伏着电子炸弹、病毒等,WWW
中使用的通用网关接口程序,Java Applet程序等都能成为黑客的工具,黑客采用远程访问、直接扫描等攻击防火墙。
数据库系统的脆弱性,由于 DBMS对数据库的管理是建立在分级管理的概念上,因此,DBMS的安全也是可想而知; DBMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处;黑客通过探访工具可强行登录和越权使用数据库数据;数据加密往往与 DBMS的功能发生冲突或影响数据库的运行效率。
网络电磁泄漏,网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成信息泄漏。
数据的可访问性,数据可容易地被拷贝而不留任何痕迹;网络用户在一定的条件下,
可以访问系统中的所有数据,并可将其拷贝、删除或破坏掉。
(4) 计算机病毒
计算机病毒是一种能破坏计算机系统资源的特殊计算机程序。它可在系统中生存、繁殖和传播。计算机病毒具有隐蔽性、传播性、
潜伏性、触发性和破坏性。它一旦发作,轻者会影响系统的工作效率,占用系统资源,
重者会毁坏系统的重要信息,甚至使整个网络系统陷于瘫痪。
计算机病毒侵入网络系统将会造成巨大的损失。因此,计算机病毒的防护工作应成为保证网络系统安全性的一项重要内容。对付计算机病毒要以预防为主,
采取消除传染源、切断传染途径、保护易感染源等措施,增强网络系统对计算机病毒的识别和抵抗力。
(5) 网络安全策略
安全立法,设立各种法律来减少计算机犯罪案
安全行政人事管理,设立安全管理机构,
制定人事安全管理、系统安全管理和行政安全管理职责。
网络实体安全,网络中的硬件、软件和数据都是系统资源。 网络实体安全保护就是指采取一定措施对网络的硬件系统、数据和软件系统等资源实体进行保护和对自然与人为灾害的防护。
系统访问控制,设置一些系统访问控制措施和技术,保证对网络系统的所有操作是合法的、认可的。如规定哪些用户可访问网络系统,他们能访问系统的哪些资源,
他们对于这些资源能使用到什么程度等问题。
数据加密保护,就是采取一定的技术和措施,对网络系统中存储的数据和要在线路上传输的数据进行加密变换,使得变换后的数据不能被无关的用户识别,保证数据的保密性。数据加密保护通常是采用密码技术进行信息加密、数字签名、用户验证和非否认鉴别等措施实现。
2,数据加密技术
(1) 密码学的基本概念
密码学 (Cryptology)是一门古老的学科 。
近年来,密码学研究之所以十分活跃,
主要原因是它与计算机科学的蓬勃发展密切相连 。 此外,还有防止日益广泛的计算机犯罪的需要 。 密码技术应用于计算机网络中的实例越来越多 。
密码学 从其发展来看,可分为两大阶段:传统密码学和计算机密码学 。
第一阶段,传统密码学 。 主要是靠人工进行信息加密,传输和破译
第二阶段,计算机密码学 。
1,传统方式计算机密码学
2,现代方式计算机密码学
对称密钥密码体制
公开密钥密码体制
密码学 包括密码编码学和密码分析学两部分,这两部分相互对立,但也相互促进,相辅相成。
密码编码学 研究的是通过编码技术来改变被保护信息的形式,使得编码后的信息除指定接收者之外的其他人都不可理解
密码分析学 研究的是如何攻破一个密码系统,恢复被隐藏起来的信息的本来面目
加密在网络上的作用就是防止有价值的信息在网上被窃取并识别;
基于加密技术的鉴别的作用是用来确定用户身份的真实性和数据的真实性。
加密,把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程
明文 (Plain Text),原来的信息 (报文 )、消息,
就是网络中所说的报文 (Message)
密文 (Cipher Text),经过加密后得到的信息
解密,将密文还原为明文的过程
密钥 (Key),加密时所使用的一种专门信息
(工具 )
密码算法 (Algorithm),加密和解密变换的规则 (数学函数 ),有加密算法和解密算法明文 P
解密密钥 Kd
解密
(D)
加密密钥 Ke
加密
(E)
明文 P 密文 C
攻击者简单的密码系统示意图
加密实际上是要完成某种函数运算
C=?(P,K),对于一个确定的加密密钥 Ke,
加密过程 可看作是只有一个自变量的函数,记作 Ek,加密变换为:
C= Ek (P)
(加密变换作用于明文 P后得到密文 C)
同样,解密也完成某种函数的运算
P=g(C,K)对于确定的解密密钥 Kd,解密过程为:
P= Dk (C)
(解密变换作用于密文 C后得到明文 P)
由此可见,密文 C经解密后还原成原来的明文,必须有
P= Dk (Ek (P))= Dk? Ek(P)
此处,?,是复合运算,因此要求
Dk? Ek= I
I为恒等变换,即 Dk与 Ek是互逆变换
如果加密密钥和解密密钥相同或相近,
由其中一个很容易地得出另一个,这样的系统称为 对称密钥系统,加密和解密密钥都是保密的;如果加密密钥与解密密钥不同,且由其中一个不容易得到另一个,则这种密码系统是 非对称密钥系统,往往其中一个密钥是公开的,另一个是保密的 。
前者也称为 传统密钥密码体制,后者称为公开密钥密码体制 。
相应地,这两种密码体制各有一些典型算法。对称密钥密码体制的主要算法有 DES、
IDEA,TDEA(3DES),MD5,RC5等,也叫单密钥算法;公开密钥密码体制的主要算法有 RSA,Elgamal、背包算法,Rabin、
DH等。
(2) 对称密钥密码体制
也叫传统密钥密码体制,其基本思想就是“加密密钥和解密密钥相同或相近”。
典型的对称密钥密码体制算法是 DES算法。
DES算法
DES(数据加密标准 )算法能对 64位二进制数码组成的数据组在 64位密钥 (真正的密钥只有 56位 )控制下进行加密和解密变换。
在 70年代初,DES已推出并广泛应用,
1977年被 NBS公布为数据加密标准。
DES最先用于军事系统,后又推广到民用,
应用最多的是在银行和商业系统。
DES算法的主要过程初始置换 (IP)
乘积变换 子密钥生成输入 64位明文 (密文 ) 64位密钥组末置换 (IP-1)
输出 64位密文 (明文 )
初始置换 (permutation)是按照固定的矩阵进行 (换位 ),此部分与密钥无关。
子密钥生成,外部输入的 56位密钥 (64位中去掉 8个校验位 )通过置换和移位操作生成加密和解密需要的 16个 48位的子密钥。
末置换 与初始置换类似,也是与密钥无关的矩阵转换。
乘积变换 过程与密钥有关,且非常复杂,
是加密 /解密过程的关键。该过程包括线性变换和非线性变换。 DES采用的是分组加密。该过程通过多次重复的替代和置换方法,打乱原输入数据组,加大非规律性,
增加系统分析的难度。
DES解密,算法与加密算法相同,解密密钥也与加密密钥相同。只是解密时逆向取用加密时用的密钥顺序。即加密时第 1-16轮回迭代使用的子密钥顺序是
k1,…,k 16,而解密时使用的子密钥顺序是 k16,…,k 1,产生子密钥时的循环移位是向右的。
DES的特点:
可靠性较高 ;
加密 /解密速度快;
算法容易实现,通用性强;
密钥位数少,算法具有对称性,容易被穷尽攻击;
密钥管理复杂。
(3) 公钥密钥密码体制
加密密钥与解密密钥不同,且由其中一个不容易得到另一个,则这种密码系统是非对称密钥系统。往往其中一个密钥是公开的,另一个是保密的。因此,相应的密码体制叫公开密钥密码体制。
在公开密钥密码体制中,加密密钥是公开的,解密密钥是保密的,加 /解密算法都是公开的 。
公开密钥密码体制的主要算法有 RSA、
背包算法,Elgamal,Rabin,DH等 。
RSA算法,是 1978年由三名美国 MIT
科学家 Rivest,shamir和 Adelman提出的一种著名的公开密钥密码算法 。
在众多的公钥体制中,RSA倍受推崇,
已被推荐为公钥数据加密标准。
RSA算法 是建立在 素数理论 (Euler函数和欧几里德定理 )基础上的算法。
RSA算法密钥的选取和加、解密的实现过程如下:
假设用户 A要对发送给 B的数据加密,则可根据以下步骤选择密钥和进行密码变换:
随机地选取两个不同的大素数 p和 q(一般为 100位以上的十进制数 )予以保密;
计算 n = p ·q,作为 A的公开模数;
计算 Euler 函数
(n)=(p-1) · (q-1) (mod n )
随机地选取一个与 (p-1) · (q-1)互素的整数 e,作为 A的公开密钥;
用欧几里德算法,计算满足同余方程
E?D?1 (mod?(n))
的解 d,作为 A用户的保密密钥;
任何向 A发送明文的用户,均可用 A的公开密钥 e 和公开模数 n,根据式
C=Me (mod n)
得到密文 C
用户 A收到 C后,可利用自己的保密密钥 d,根据
M=Cd (mod n)
得到明文 M
RSA算法的特点:
密钥管理简单 (网上每个用户仅保密一个密钥,且不需密钥配送 );
便于数字签名;
可靠性较高 (取决于分解大素数的难易程度 );
算法复杂,加密 /解密速度慢,难于实现。
(4) 通信加密方式
可采用链路加密和端 --端加密的方式对网络系统中传输的信息加以保护。
① 链路加密
链路加密 (Link Encryption)是传输数据仅在数据链路 层上进行加密。
链路加密是为保护两相邻节点之间链路上传输的数据而设立的。只要把两个密码设备安装在两个节点间的线路上,并装有同样的密钥即可。被加密的链路可以是微波、卫星和有线介质。
在链路上传输的信息是密文 (包括信息正文、路由及检验码等控制信息 ),而链路间节点上必须是明文。因为在各节点上都要进行路径选择,而路由信息必须是明文,否则就无法进行选择了。
这样,信息在中间节点上要先进行解密,以获得路由信息和检验码,进行路由选择、差错检测,然后再被加密,
送至下一链路。同一节点上的解密和加密密钥是不同的。
② 端 — 端加密
端 --端加密 (End-to-End Encryption)是传输数据在应用层上完成加密的。
端 --端加密是对两个用户之间传输的数据提供连续的安全保护。数据在初始节点上被加密,直到目的节点时才能被解密,在中间节点和链路上数据均以密文形式传输。
只有在发送端和接收端才有加密和解密设备,中间各节点不需要有密码设备。
因为信息的报头为路径选择信息,各中间节点虽不进行解密,但必须检查报头信息,所以路径选则信息不能被加密,
必须是明文。
所以,端 --端加密只能对信息的正文 (报文 )进行加密,而不能对报头加密。
链路加密 是对整个链路的通信采取保护措施;
端 — 端加密 则是对整个网络系统采取保护措施。
在需要保护的链路数少,且要求实时通信、不支持端 — 端加密远程调用等场合,
宜采用链路加密方式;
在需要保护的链路数较多,或在文件保护、邮件保护、支持端 — 端加密的远程调用等通信场合,宜采用端 — 端加密方式,以利于降低成本,又能支持高灵活性、高保密性通信;
在多个网络互连的环境中,宜采用端 —
端加密方式;
在需要抵御信息流量分析场合,可考虑采用链路加密和端 — 端加密相结合的加密方式。链路加密是对路由信息进行的,端 — 端加密是对端 — 端传输的报文进行的。
总的来说,与链路加密相比,端 — 端加密具有成本低、保密性强、灵活性好等优点,应用场合较多。
3,鉴别技术
(1) 鉴别技术概述
网络安全系统的一个重要方面是防止非法用户对系统的主动攻击,如伪造信息、
篡改信息等。
鉴别 (Authentication 也叫验证 )是防止主动攻击的重要技术。鉴别的目的就是验证一个用户身份的合法性和用户间传输信息的完整性与真实性。
鉴别包括报文鉴别和身份验证。
报文鉴别 是为了确保数据的完整性和真实性,对报文的来源、时间性及目的地进行验证。
身份验证 是验证进入网络系统者是否是合法用户,以防非法用户访问系统。
鉴别过程通常涉及到加密和密钥交换。
加密可使用对称密钥加密、非对称密钥加密或两种加密方式的混合。
鉴别的方式一般有用户帐户名 /口令验证、
摘要算法验证、基于 PKI(公钥基础设施 )
验证等。
验证、授权和访问控制都与网络实体安全有关。虽然用户身份只与验证有关,
但很多情况下还讨论授权和访问控制。
授权和访问控制都是在成功的验证之后进行的。
目前验证使用的技术有:数字签名、报文验证和身份验证。
(2) 数字签名
数字签名 (Digital Signature)可解决手写签名中的签字人否认签字或其他人伪造签字等问题。因此,被广泛用于银行的信用卡系统、电子商务系统、电子邮件以及其他需要验证、核对信息真伪的系统中。
手工签名是模拟的,因人而异,而数字签名数字式的 (0,1数字串 ),因信息而异。
数字签名的功能:
收方能够确认发方的签名,但不能伪造;
发方发出签过名的信息后,不能再否认;
收方对收到的签名信息也不能否认;
一旦收发方出现争执,仲裁者可有充足的证据进行评判。
一个由公开密钥密码体制实现的数字签名过程如下图签名 验证
KAd KAe
A B
M S S M
一个典型的由公开密钥密码体制实现的、
带有加密功能的数字签名过程如下图
KBd
加密
(E)
KBe
解密
(D)
C
信道签名验证
KAd KAe
A B
M S S M
(3) 报文鉴别
报文鉴别是指在两个建立通信联系的用户之间,每个用户对收到的信息验证其真伪,以保证所收到的信息是真实的 。
报文鉴别又称完整性校验,在银行业称为消息认证,在 OSI安全模型中称为封装 。
报文鉴别过程必须确定以下三个内容:
报文是由指定的发送方产生的;
报文内容没有被修改过;
报文是按已传送的相同顺序收到的。
第一种确定由数字签名来完成,后两种确定又分为报文内容和报文时间性验证 。
(4) 身份验证
身份验证一般涉及两个过程,一个是识别,一个是验证。
识别 是指要明确访问者是谁,即要对网络中的每个合法用户都有识别能力。要保证识别的有效性,必须保证能代表用户身份的识别符的惟一性。
验证 就是指在访问者声明自己的身份后,
系统要对他所申明的身份进行验证,以防假冒。
识别信息一般是非秘密的,如信用卡上的用户名、身份证号码等;而验证信息一般是秘密的,如信用卡的密码。
身份验证的方法有:口令验证、个人持证验证和个人特征验证三类。
口令法最简单,系统开销也小,但其安全性也最差;
持证为个人持有物,如钥匙、磁卡、智能卡等。它比口令法安全性好,但验证系统比较复杂。磁卡常和 PIN一起使用;
以个人特征进行验证时,可有多种技术为验证机制提供基础,如指纹识别、
声音识别、血型识别、视网膜识别等。
个人特征方法验证的安全性最好,但验证系统相应地也最复杂。
8,3 防火墙技术
1,防火墙的概念
防火墙 (Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。
它是一种计算机硬件和软件系统的集合,
是实现网络安全策略的有效工具之一,
被广泛地应用到 Internet与 Intranet之间。
内部网外部网
LAN 1
服务器
Web服务器千兆网交换机网管工作站
Interne
t
防火墙的位置数据库服务器邮件服务器集线器防火墙
LAN2
通常防火墙建立在内部网和 Internet之间的一个路由器或计算机上,该计算机也叫堡垒主机。它就如同一堵带有安全门的墙,可以阻止外界对内部网资源的非法访问和通行合法访问,也可以防止内部对外部网的不安全访问和通行安全访问。
防火墙是由软件和硬件组成的,可以说:
所有进出 内部 网络的通信流都应该通过防火墙。
所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。
理论上,说防火墙是穿不透的。
一般,防火墙具有以下功能:
强化网络安全策略,集中化的网络安全管理;
记录和统计网络访问活动;
限制暴露用户点,控制对特殊站点的访问;
网络安全策略检查。
2,防火墙技术及分类
防火墙技术大体上分为两类:网络层防火墙技术和应用层防火墙技术。
这两个层次防火墙的具体分别叫包过滤防火墙和代理服务器滤防火墙
(1) 包过滤防火墙
包过滤防火墙是最简单的防火墙,通常它只包括对源 IP 地址和目的 IP 地址及端口的检查。
包过滤防火墙通常是一个具有包过滤功能的路由器。因为路由器工作在网络层,因此包过滤防火墙又叫网络层防火墙。
包过滤是在网络的出口 (如路由器上 )对通过的数据包进行检测,只有满足条件的数据包才允许通过,否则被抛弃。这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击。
网络上传输的每个数据包都包括两部分:
数据部分和包头。包头中含有源地址和目的地址信息。
包过滤是一种简单而有效的方法。通过拦截数据包,读出并拒绝那些不符合标准的包头,过滤掉不应入站的信息 (路由器将其丢弃 ) 。
包过滤方式有许多优点,主要优点之一就是用一个放置在重要位置上的包过滤路由器即可保护整个网络。
这样,不管内部网的站点规模多大,只要在路由器上设置合适的包过滤,各站点均可获得良好的安全保护。
(2) 代理服务器防火墙
代理服务是运行在防火墙主机上的特定的应用程序或服务程序。防火墙主机可以是有一个内部网接口和一个外部网接口的双穴 (Duel Homed)主机,也可以是一些可以访问 Internet并可被内部主机访问的堡垒主机。
代理服务位于内部用户和外部服务之间。
代理程序在幕后处理所有用户和 Internet
服务之间的通信以代替相互间的直接交谈。
对于用户,代理服务器给用户一种直接使用“真正”服务器的感觉,对于真正的服务器,代理服务器给真正服务器一种在代理主机上直接处理用户的假象。
用户将对“真正”服务器的请求交给代理服务器,代理服务器评价来自客户的请求,并作出认可或否认的决定。如果一个请求被认可,代理服务器就代表客户将请求转发给“真正”的服务器,并将服务器的响应返回给代理客户。
3,防火墙应用系统
一般,构成防火墙的体系结构有三种:
双穴主机结构、主机过滤结构和子网过滤结构。
按照这三种体系结构构建的防火墙应用系统是双穴主机防火墙、主机过滤防火墙和子网过滤防火墙。
(1) 双穴主机防火墙
双穴主机有两个接口,它可担任与这些接口连接的网络路由器,可从一个网络向另一个网络发送 IP 数据包。
双穴主机分别与受保护的内部子网及
Internet网络连接,起着监视和隔离应用层信息流的作用,彻底隔离了所有的内部主机与外部主机的可能连接。
客户机 客户机 服务器内 部 网 络双穴主机结构防火墙客户机
Internet
双穴主机防火墙
双穴主机可与内部网系统通信,也可与外部网系统通信。借助于双穴主机,防火墙内外两网的计算机便可 (间接 )通信了。即内外网的主机不能直接交换信息,
信息交换要由该双穴主机“代理”并
“服务”,因此该主机也相当于代理服务器。
因而,内部子网十分安全。内部主机通过双穴主机防火墙(代理服务器)得到
Internet服务,并由该主机集中进行安全检查和日志记录。双穴主机防火墙工作在 OSI的最高层,它掌握着应用系统中可用作安全决策的全部信息。
(2) 主机过滤防火墙
主机过滤结构中提供安全保障的主机在内部网中,加上一台单独的过滤路由器,
一起构成该结构的防火墙。
堡垒主机是 Internet主机连接内部网系统的桥梁。任何外部系统试图访问内部网系统或服务,都必须连接到该主机上。
因此该主机需要高级别安全。
堡垒主机内 部 网 络
Internet
路 由 器防火墙主机过滤结构防火墙客户机 客户机 服务器
这种结构中,过滤路由器与外部网相连,
再通过堡垒主机与内部网连接。来自外部网络的数据包先经过过滤路由器过滤,
不符合过滤规则的数据包被过滤掉;符合规则的包则被传送到堡垒主机上。其代理服务软件将允许通过的信息传输到受保护的内部网上。
(3) 子网过滤防火墙
子网过滤结构是在主机过滤体系结构中又增加了一个额外的安全层次而构成。
增加的安全层次包括一台堡垒主机和一台路由器。两路由起之间是一个被称为周边网络或参数网络的安全子网,更进一步地把内部网络与 Internet隔离开。
这种结构就是使用两个过滤路由器和一个堡垒主机形成了一个复杂的防火墙,以进行安全控制 。
堡垒主机通过内部,外部两个路由器与内部,外部网络隔开,这样可减少堡垒主机被侵袭的影响 。 被保护的内部子网主机置于内部包过滤路由器内,堡垒主机被置于内部和外部包过滤路由器之间 。
参数网络是在内部和外部两网络之间另加的一层安全保护层,相当于一个应用网关,堡垒主机上运行应用代理服务器软件 。 同时,企业的对外信息服务器
( 如 WWW,FTP服务器等 ) 也可设置在参数网内 。
网络系统管理的概念和基本功能,简单网络管理协议 SNMP的组成及应用,实用网络管理系统;网络安全的基本概念,影响网络安全的因素和网络安全对策,数据加密的基本概念、常用的加密算法和鉴别技术的应用,网络防火墙的概念、技术分类和应用。
本章要求:
了解简单网络管理协议的组成及应用
了解影响网络安全的因素和网络安全对策
了解数据加密的基本概念、常用的加密方法和鉴别技术的应用
了解网络防火墙的概念、技术和应用
掌握网络管理的基本功能、网络安全的基本概念和内涵本章分为三小节:
8,1 网络管理:简单网络管理协议,
常用网络管理系统
8,2 网络安全:网络安全概述,数据加密技术,鉴别技术
8,3 防火墙:防火墙的概念,技术分类和应用
8,1 网络管理
1,网络管理概述
(1) 网络管理的概念
为保证网络系统稳定、高效和可靠运行,
对网络的各种软硬件设施和人员进行的综合管理。网络管理主要是要保障网络设备的正常运行、监控网络的各项功能、
优化网络的拓扑结构等。
(2) 网络管理的要求
网络管理离不开,
现代网络管理方法和技术;
网络管理工具 (网管软件 );
网络管理协议。
(3) 网络管理的内容
网络管理的基本内容包括:
(1) 数据通信网中的流量控制
(2) 路由选择策略管理
(3) 网络安全保护
(4) 网络的故障诊断与修复
(4) 网络管理系统组成
网络管理系统 是 用于实现对网络全面、
有效管理和实现网络管理目标的系统。
一个网管系统从逻辑上包括 管理对象,
管理进程,管理信息库 和 管理协议 四部分。
管理对象,是指网络客户机和网络设备等,如服务器、工作站、集线器、路由器、交换机、网卡等。 这些网络设备对应的具体可以操作的数据等也是网络管理的对象,如网络设备的工作状态和工作参数等数据。
管理进程 manager,用于对网络设备和设施进行全面管理和控制的软件。它驻留在网络管理站上。
管理信息库 MIB,用于记录网络中被管理对象的相关信息。
管理协议,负责在管理系统和管理对象之间传输操作命令和解释管理操作命令。
一个管理进程 (manager)可以与多个管理代理 (agent)进行信息交互,同时一个管理代理也可以接受来自多个管理进程的管理操作。
管理进程管理信息库 代理/管理对象网络管理协议网络管理系统的逻辑模型
2,网络管理功能
在 OSI 7498-4文件定义的网络管理标准中,
将网络管理功的能分为 配置管理,性能管理,故障管理,安全管理 和 计费管理五个功能域。
网络管理是为网络管理员进行监视、控制和维护网络而设计的。
(1) 配置管理
为适应和支持网络中用户、设备、系统的变化,调整软硬件运行参数,以保证网络正常运行,要进行网络的配置管理。网络配置是指网中每个设备的功能、点的连接关系和工作参数等,反映的是网络状态。
配置管理 主要包括网络节点地址分配管理、
节点接入和撤消的自动管理、远程加载与转储管理及虚拟网络节点的配置等。配置管理就是用来定义、记录、控制和检测网络中的被管理对象的集合。
(2) 性能管理
性能管理 主要是通过收集、分析和测试网络性能参数,评价网络运行过程中的主要性能指标,为管理机构提供决策依据。
通常影响网络性能的参数有:网络吞吐量、
响应时间、线路利用率、费用、负载等。
网络性能管理分为网络监控和网络控制。
网络监控是对网络工作状态信息的收集和整理;
网络控制是指为改善网络设备性能而采取的动作和措施。
(3) 故障管理
网络故障管理 是指对网络系统故障的预防、检测 (诊断 )、恢复或排除等操作进行管理。其目的是保证网络提供连续、可靠的服务。
网络故障管理的 三步曲,预防、检测 (诊断 )和排除 (恢复、纠正 )
预防,关键数据的存储、备份,硬件的随时维护和更新等。
检测,检测被管理对象的故障现象,进行系统诊断、测试和分析,以便跟踪和识别故障,找出故障原因和故障点。
排除,隔离故障源,尽快排除故障,恢复系统运行。
(4) 安全管理
网络安全管理 是用来保护网络资源和网络用户的安全。安全管理主要是针对网络环境的各种人为因素对网络造成的威胁。如非法用户对网络资源的侵害 (盗用、
更改和破坏 )、合法用户对网络资源的非法访问等。
安全管理的策略 有安全立法、安全行政人事管理、网络软硬件安全保护、系统访问控制、数据加密保护、采用防火墙技术和防病毒技术等。
(5) 计费管理
网络计费管理 就是控制和管理用户使用的网络资源,核算用户费用等。
计费管理中要核算和计费的网络资源主要包括:硬件资源,软件和数据资源,网络服务和其他网络设施开销。
计费管理的作用有二:
对网络资源的使用情况进行统计,以便系统合理地调度和分配资源,为用户提供高效的服务。
核算资源费用,进行系统收费管理。
大部分企业网对内部用户使用的资源不收取费用,主要是达到第一个目的。
在实际网络管理过程中网络管理功能非常广泛,包括很多方面。除以上五种基本功能外还有网络规划、数据库管理、
操作人员管理等。
3,简单网络管理协议
ISO提出了网络管理协议标准 CMIS (公共管理信息服务 )和 CMIP (公共管理信息协议 ) 。 CMIS/CMIP 与 OSI/RM一样,未得到社会的广泛支持,几乎无产品,只有参考价值。而 TCP/IP的 SNMP (简单网络管理协议 )得到厂商的一致支持。
(1) SNMP的发展
SNMP是一个网络应用层协议。网络管理人员使用该协议可以较容易地管理网络,
发现和解决网络问题。
1987年 11月因特网工程任务组 IETF
(Internet Engineering Task Force)提出了简单网关管理协议 SGMP,随后公布的
SNMP v1即是在 SGMP基础上发展起来的。
SNMPv1是一个简单的协议,在大规模网络上也易于实现。
1993年 IETF 提出的 SNMPv2 对 SNMP v1
在数据的分布式管理和安全性方面进行了改进。
1999年公布的 SNMPv3 对 SNMPv2在安全和可管理体系结构方面又有了较大的改进。
(2) SNMP 网络管理模型
SNMP网络管理模型:管理进程
(Manager Station)、管理代理 (Agent)和管理信息库 (MIB)。
模型如图示:
…
网络管理站
(管理进程 )
代理被管站
MIB
SNMP
主 机 路由器网关SNMP模型代理被管站
MIB
代理被管站
MIB
① 管理进程:
管理进程 (Manager)是网络管理的核心软件,一般是安装在被称为“网络管理站”
的主机上。在该主机上运行网络管理协议、网络管理支持工具和网络管理应用软件。
每个网络中至少有一个网络管理站,它运行管理进程软件,对其它站进行管理。
Manager完成各种网络管理功能。通过各设备中的管理代理对网络中的各种资源实施检测和控制。网管操作人员通过
Manager 对全网进行管理。
② 管理代理:
管理代理 Agent是驻留在被管理站上的一套软件,它负责执行 Manager的管理操作。
Agent直接操作本地信息库 MIB,如果
Manager需要,它可根据要求改变本地
MIB或提取数据传回到 Manager。
Agent可从 MIB中读取各种变量值;也可以在 MIB中修改各种变量值;并与
Manager进行通信,以响应其管理请求。
被管理站包括主机、网关、服务器、路由器、交换机等网络设备。
③ 管理信息库
管理信息库 MIB是一个概念上的数据库。
管理代理所收集的包括网络设备的系统信息、资源使用及各网段信息流量等管理信息都存放在 MIB中。每个 Agent拥有自己的本地 MIB,各 Agent控制的管理对象共同构成全网的管理信息库。
MIB包括报文分组计数、出错计数、用户访问计数,IP路由选择表等。
Manager通过查看 MIB的内容实现对网络的检测,通过修改 MIB的内容完成对网络的控制。
SNMP提供的是面向无连接的服务,采用轮询法进行管理。 Manager 每隔一段时间向每个 Agent发出询问,以获取管理信息。当被管理对象发生紧急情况时,
Agent主动向 Manager汇报。
(3) SNMP的命令
SNMP定义了一套用于 Manager和 Agent
之间进行通信的命令,通过这些命令来实现管理功能。
SNMP的操作主要有四类:存、取、陷阱和通知。
取 (Get)操作:有 get request,get next
request,get bulk request和 get response等命令,主要是从 Agent那里取得指定的
MIB变量值和对这些取请求的响应。
写 (Set)操作,有 set request和 set response
命令,用于写入 Agent指定的 MIB变量值和对写操作的响应。
陷阱 (Trap)操作:用于当网络发生错误或出现紧急情况时,Agent立即向网络管理站报警,不需等待接收方响应。
通知 (Inform)操作:有 Inform request和
Inform response命令,用于在不同的管理进程之间发送管理信息和陷阱信息,及收到这些信息的响应。
(4) SNMPv2
SNMP的优点是简单、便捷,因此得到了广泛应用。但它还存在着诸如不能有效地传输大块数据,不能将网络管理功能分散化,安全性能不够理想等缺点。
1996年推出的 SNMPv2能够克服上述缺点,但在安全性方面也过于复杂。
SNMPv2采用了较好的分散化管理方法。
在一个网络中可以有多个顶级管理站,
每个管理站管理网络的一部分代理进程,
并指派若干个代理进程使之具有管理其他代理进程的功能。
4,实用网络管理平台和工具
常见的作为网络管理者运行的网络管理系统软件有,HP 公司的 Open View,
IBM 公司的 NetView,SUN公司的
SunNet Manager,Cabletron公司的
SPECTRUM和 Novell公司的 NetWare
Manage Wise。
HP Open View是第一个综合的实用的网络管理系统,SunNet Manager是第一个基于 UNIX的网络管理系统,但它们都不能提供对 NetWare,SNA,DECnet、
X.25和无线通信交换机及其他非 SNMP设备的管理功能。
NetWare Manage Wise提供对 NetWare
操作系统的管理功能。
Cabletron SPECTRUM是一个可扩展的、
智能的网络管理系统。它支持 NetWare
操作系统和 Apple TalK,IPX等协议。
8,2 网络安全
1,网络安全概述
(1) 网络安全的概念
,网络安全”可理解为“网络系统不存在任何威胁状态”。为防范诸如病毒的破坏、
黑客的入侵、计算机犯罪、人为的主动或被动攻击等威胁,而采取一些措施则可保证网络系统的安全。
网络安全 是指采取各种技术和管理措施防止网络中各种资源不被有意或无意地破坏和侵害等 。
网络系统安全主要涉及系统的可靠性,软件和数据的完整性,可用性和保密性几方面的问题 。
系统的可靠性,保证网络系统不因各种因素的影响而中断正常工作;
数据的完整性,保护网络系统中存储和传输的软件 (程序 )与数据不被非法操作,
如删除,添加,更改等;
数据的可用性,保证数据完整的同时还能被正常利用和操作;
数据的保密性,数据的保密性主要是利用 密码技术 对数据进行加密处理,保证在系统中存储和网络上传输的数据不被无关人员识别。
(2) 网络系统的威胁
无意威胁 是在无预谋的情况下破坏了系统的安全性、可靠性或资源的完整性等
无意威胁主要是由一些偶然因素引起,
如软、硬件的机能失常,不可避免的人为错误,电源故障和自然灾害等。
故意威胁 实际上就是,人为攻击,。由于网络本身存在缺陷,因此总有某些人或某些组织想方设法利用网络系统达到某种目的,如从事工业、商业或军事情报的搜集工作的间谍,对相应领域的网络信息是最感兴趣的,他们对网络系统的安全构成了主要威胁。
被动攻击和主动攻击,对网络系统的攻击,可从随便浏览信息到使用特殊技术对系统进行攻击以得到有针对性的信息 。
这些攻击又可分为被动攻击和主动攻击 。
被动攻击 是指攻击者只通过观察网络线路上的信息,而不干扰信息的正常流动,
如被动地搭线窃听或非授权地阅读信息;
主动攻击 是指攻击者对传输中的信息或存储的信息进行各种非法处理,如有选择地更改、插入、延迟、删除或复制信息。
被动攻击不易被发现,但较容易处理,如采用加密技术即可。
主动攻击容易被觉察,但不容易防止,可采用加密技术、签名技术和鉴别技术解决。
发送方 接收方攻击者
(a) 被动攻击发送方 接收方攻击者
(b) 主动攻击被动攻击和主动攻击
通常,系统的故意威胁有如下四种情况:
中断,指系统资源遭到破坏或变得无法使用,是对系统可靠性的攻击;
窃取,指未被授权的实体得到了资源的访问权,是对数据保密性的攻击;
修改,指未被授权的实体不仅得到了资源的访问权,而且还篡改了资源,是对数据完整性的攻击;
捏造,指未被授权的实体向系统中插入伪造的对象,是对数据真实性的攻击。
以上四种情况除窃取属被动攻击外,
其余都是主动攻击类型。
(3) 网络系统的脆弱性
系统脆弱性 就是指网络系统中安全防护的弱点。网络本身存在着一些固有的弱点(脆弱性),非法用户利用这些脆弱性对系统进行非法访问,将使系统内数据的完整性受到威胁,也可能使信息遭到破坏而不能继续使用。
网络系统的脆弱性主要表现有,操作系统的脆弱、数据库系统的脆弱、电磁泄漏、数据的可访问性、通信协议和通信系统的脆弱、网络存储介质的脆弱、介质的剩磁效应、保密的困难性和信息的聚生性等。
操作系统的脆弱性,网络操作系统体系结构本身就是不安全的 --操作系统程序具有动态连接性;操作系统可以创建进程,这些进程可在远程节点上创建与激活,被创建的进程可以继续创建其他进程; NOS为维护方便而预留的无口令入口也是黑客的通道。
计算机系统本身的脆弱性,硬件和软件故障 --硬盘故障、电源故障、芯片主板故障、操作系统和应用软件故障;存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。
通信系统和通信协议的弱点,通信线路面对各种威胁就显得非常脆弱,非法用户可对线路进行物理破坏、搭线窃听; TCP/IP及 FTP、
E-mail,NFS,WWW等都存在安全漏洞,
E-mail中潜伏着电子炸弹、病毒等,WWW
中使用的通用网关接口程序,Java Applet程序等都能成为黑客的工具,黑客采用远程访问、直接扫描等攻击防火墙。
数据库系统的脆弱性,由于 DBMS对数据库的管理是建立在分级管理的概念上,因此,DBMS的安全也是可想而知; DBMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处;黑客通过探访工具可强行登录和越权使用数据库数据;数据加密往往与 DBMS的功能发生冲突或影响数据库的运行效率。
网络电磁泄漏,网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成信息泄漏。
数据的可访问性,数据可容易地被拷贝而不留任何痕迹;网络用户在一定的条件下,
可以访问系统中的所有数据,并可将其拷贝、删除或破坏掉。
(4) 计算机病毒
计算机病毒是一种能破坏计算机系统资源的特殊计算机程序。它可在系统中生存、繁殖和传播。计算机病毒具有隐蔽性、传播性、
潜伏性、触发性和破坏性。它一旦发作,轻者会影响系统的工作效率,占用系统资源,
重者会毁坏系统的重要信息,甚至使整个网络系统陷于瘫痪。
计算机病毒侵入网络系统将会造成巨大的损失。因此,计算机病毒的防护工作应成为保证网络系统安全性的一项重要内容。对付计算机病毒要以预防为主,
采取消除传染源、切断传染途径、保护易感染源等措施,增强网络系统对计算机病毒的识别和抵抗力。
(5) 网络安全策略
安全立法,设立各种法律来减少计算机犯罪案
安全行政人事管理,设立安全管理机构,
制定人事安全管理、系统安全管理和行政安全管理职责。
网络实体安全,网络中的硬件、软件和数据都是系统资源。 网络实体安全保护就是指采取一定措施对网络的硬件系统、数据和软件系统等资源实体进行保护和对自然与人为灾害的防护。
系统访问控制,设置一些系统访问控制措施和技术,保证对网络系统的所有操作是合法的、认可的。如规定哪些用户可访问网络系统,他们能访问系统的哪些资源,
他们对于这些资源能使用到什么程度等问题。
数据加密保护,就是采取一定的技术和措施,对网络系统中存储的数据和要在线路上传输的数据进行加密变换,使得变换后的数据不能被无关的用户识别,保证数据的保密性。数据加密保护通常是采用密码技术进行信息加密、数字签名、用户验证和非否认鉴别等措施实现。
2,数据加密技术
(1) 密码学的基本概念
密码学 (Cryptology)是一门古老的学科 。
近年来,密码学研究之所以十分活跃,
主要原因是它与计算机科学的蓬勃发展密切相连 。 此外,还有防止日益广泛的计算机犯罪的需要 。 密码技术应用于计算机网络中的实例越来越多 。
密码学 从其发展来看,可分为两大阶段:传统密码学和计算机密码学 。
第一阶段,传统密码学 。 主要是靠人工进行信息加密,传输和破译
第二阶段,计算机密码学 。
1,传统方式计算机密码学
2,现代方式计算机密码学
对称密钥密码体制
公开密钥密码体制
密码学 包括密码编码学和密码分析学两部分,这两部分相互对立,但也相互促进,相辅相成。
密码编码学 研究的是通过编码技术来改变被保护信息的形式,使得编码后的信息除指定接收者之外的其他人都不可理解
密码分析学 研究的是如何攻破一个密码系统,恢复被隐藏起来的信息的本来面目
加密在网络上的作用就是防止有价值的信息在网上被窃取并识别;
基于加密技术的鉴别的作用是用来确定用户身份的真实性和数据的真实性。
加密,把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程
明文 (Plain Text),原来的信息 (报文 )、消息,
就是网络中所说的报文 (Message)
密文 (Cipher Text),经过加密后得到的信息
解密,将密文还原为明文的过程
密钥 (Key),加密时所使用的一种专门信息
(工具 )
密码算法 (Algorithm),加密和解密变换的规则 (数学函数 ),有加密算法和解密算法明文 P
解密密钥 Kd
解密
(D)
加密密钥 Ke
加密
(E)
明文 P 密文 C
攻击者简单的密码系统示意图
加密实际上是要完成某种函数运算
C=?(P,K),对于一个确定的加密密钥 Ke,
加密过程 可看作是只有一个自变量的函数,记作 Ek,加密变换为:
C= Ek (P)
(加密变换作用于明文 P后得到密文 C)
同样,解密也完成某种函数的运算
P=g(C,K)对于确定的解密密钥 Kd,解密过程为:
P= Dk (C)
(解密变换作用于密文 C后得到明文 P)
由此可见,密文 C经解密后还原成原来的明文,必须有
P= Dk (Ek (P))= Dk? Ek(P)
此处,?,是复合运算,因此要求
Dk? Ek= I
I为恒等变换,即 Dk与 Ek是互逆变换
如果加密密钥和解密密钥相同或相近,
由其中一个很容易地得出另一个,这样的系统称为 对称密钥系统,加密和解密密钥都是保密的;如果加密密钥与解密密钥不同,且由其中一个不容易得到另一个,则这种密码系统是 非对称密钥系统,往往其中一个密钥是公开的,另一个是保密的 。
前者也称为 传统密钥密码体制,后者称为公开密钥密码体制 。
相应地,这两种密码体制各有一些典型算法。对称密钥密码体制的主要算法有 DES、
IDEA,TDEA(3DES),MD5,RC5等,也叫单密钥算法;公开密钥密码体制的主要算法有 RSA,Elgamal、背包算法,Rabin、
DH等。
(2) 对称密钥密码体制
也叫传统密钥密码体制,其基本思想就是“加密密钥和解密密钥相同或相近”。
典型的对称密钥密码体制算法是 DES算法。
DES算法
DES(数据加密标准 )算法能对 64位二进制数码组成的数据组在 64位密钥 (真正的密钥只有 56位 )控制下进行加密和解密变换。
在 70年代初,DES已推出并广泛应用,
1977年被 NBS公布为数据加密标准。
DES最先用于军事系统,后又推广到民用,
应用最多的是在银行和商业系统。
DES算法的主要过程初始置换 (IP)
乘积变换 子密钥生成输入 64位明文 (密文 ) 64位密钥组末置换 (IP-1)
输出 64位密文 (明文 )
初始置换 (permutation)是按照固定的矩阵进行 (换位 ),此部分与密钥无关。
子密钥生成,外部输入的 56位密钥 (64位中去掉 8个校验位 )通过置换和移位操作生成加密和解密需要的 16个 48位的子密钥。
末置换 与初始置换类似,也是与密钥无关的矩阵转换。
乘积变换 过程与密钥有关,且非常复杂,
是加密 /解密过程的关键。该过程包括线性变换和非线性变换。 DES采用的是分组加密。该过程通过多次重复的替代和置换方法,打乱原输入数据组,加大非规律性,
增加系统分析的难度。
DES解密,算法与加密算法相同,解密密钥也与加密密钥相同。只是解密时逆向取用加密时用的密钥顺序。即加密时第 1-16轮回迭代使用的子密钥顺序是
k1,…,k 16,而解密时使用的子密钥顺序是 k16,…,k 1,产生子密钥时的循环移位是向右的。
DES的特点:
可靠性较高 ;
加密 /解密速度快;
算法容易实现,通用性强;
密钥位数少,算法具有对称性,容易被穷尽攻击;
密钥管理复杂。
(3) 公钥密钥密码体制
加密密钥与解密密钥不同,且由其中一个不容易得到另一个,则这种密码系统是非对称密钥系统。往往其中一个密钥是公开的,另一个是保密的。因此,相应的密码体制叫公开密钥密码体制。
在公开密钥密码体制中,加密密钥是公开的,解密密钥是保密的,加 /解密算法都是公开的 。
公开密钥密码体制的主要算法有 RSA、
背包算法,Elgamal,Rabin,DH等 。
RSA算法,是 1978年由三名美国 MIT
科学家 Rivest,shamir和 Adelman提出的一种著名的公开密钥密码算法 。
在众多的公钥体制中,RSA倍受推崇,
已被推荐为公钥数据加密标准。
RSA算法 是建立在 素数理论 (Euler函数和欧几里德定理 )基础上的算法。
RSA算法密钥的选取和加、解密的实现过程如下:
假设用户 A要对发送给 B的数据加密,则可根据以下步骤选择密钥和进行密码变换:
随机地选取两个不同的大素数 p和 q(一般为 100位以上的十进制数 )予以保密;
计算 n = p ·q,作为 A的公开模数;
计算 Euler 函数
(n)=(p-1) · (q-1) (mod n )
随机地选取一个与 (p-1) · (q-1)互素的整数 e,作为 A的公开密钥;
用欧几里德算法,计算满足同余方程
E?D?1 (mod?(n))
的解 d,作为 A用户的保密密钥;
任何向 A发送明文的用户,均可用 A的公开密钥 e 和公开模数 n,根据式
C=Me (mod n)
得到密文 C
用户 A收到 C后,可利用自己的保密密钥 d,根据
M=Cd (mod n)
得到明文 M
RSA算法的特点:
密钥管理简单 (网上每个用户仅保密一个密钥,且不需密钥配送 );
便于数字签名;
可靠性较高 (取决于分解大素数的难易程度 );
算法复杂,加密 /解密速度慢,难于实现。
(4) 通信加密方式
可采用链路加密和端 --端加密的方式对网络系统中传输的信息加以保护。
① 链路加密
链路加密 (Link Encryption)是传输数据仅在数据链路 层上进行加密。
链路加密是为保护两相邻节点之间链路上传输的数据而设立的。只要把两个密码设备安装在两个节点间的线路上,并装有同样的密钥即可。被加密的链路可以是微波、卫星和有线介质。
在链路上传输的信息是密文 (包括信息正文、路由及检验码等控制信息 ),而链路间节点上必须是明文。因为在各节点上都要进行路径选择,而路由信息必须是明文,否则就无法进行选择了。
这样,信息在中间节点上要先进行解密,以获得路由信息和检验码,进行路由选择、差错检测,然后再被加密,
送至下一链路。同一节点上的解密和加密密钥是不同的。
② 端 — 端加密
端 --端加密 (End-to-End Encryption)是传输数据在应用层上完成加密的。
端 --端加密是对两个用户之间传输的数据提供连续的安全保护。数据在初始节点上被加密,直到目的节点时才能被解密,在中间节点和链路上数据均以密文形式传输。
只有在发送端和接收端才有加密和解密设备,中间各节点不需要有密码设备。
因为信息的报头为路径选择信息,各中间节点虽不进行解密,但必须检查报头信息,所以路径选则信息不能被加密,
必须是明文。
所以,端 --端加密只能对信息的正文 (报文 )进行加密,而不能对报头加密。
链路加密 是对整个链路的通信采取保护措施;
端 — 端加密 则是对整个网络系统采取保护措施。
在需要保护的链路数少,且要求实时通信、不支持端 — 端加密远程调用等场合,
宜采用链路加密方式;
在需要保护的链路数较多,或在文件保护、邮件保护、支持端 — 端加密的远程调用等通信场合,宜采用端 — 端加密方式,以利于降低成本,又能支持高灵活性、高保密性通信;
在多个网络互连的环境中,宜采用端 —
端加密方式;
在需要抵御信息流量分析场合,可考虑采用链路加密和端 — 端加密相结合的加密方式。链路加密是对路由信息进行的,端 — 端加密是对端 — 端传输的报文进行的。
总的来说,与链路加密相比,端 — 端加密具有成本低、保密性强、灵活性好等优点,应用场合较多。
3,鉴别技术
(1) 鉴别技术概述
网络安全系统的一个重要方面是防止非法用户对系统的主动攻击,如伪造信息、
篡改信息等。
鉴别 (Authentication 也叫验证 )是防止主动攻击的重要技术。鉴别的目的就是验证一个用户身份的合法性和用户间传输信息的完整性与真实性。
鉴别包括报文鉴别和身份验证。
报文鉴别 是为了确保数据的完整性和真实性,对报文的来源、时间性及目的地进行验证。
身份验证 是验证进入网络系统者是否是合法用户,以防非法用户访问系统。
鉴别过程通常涉及到加密和密钥交换。
加密可使用对称密钥加密、非对称密钥加密或两种加密方式的混合。
鉴别的方式一般有用户帐户名 /口令验证、
摘要算法验证、基于 PKI(公钥基础设施 )
验证等。
验证、授权和访问控制都与网络实体安全有关。虽然用户身份只与验证有关,
但很多情况下还讨论授权和访问控制。
授权和访问控制都是在成功的验证之后进行的。
目前验证使用的技术有:数字签名、报文验证和身份验证。
(2) 数字签名
数字签名 (Digital Signature)可解决手写签名中的签字人否认签字或其他人伪造签字等问题。因此,被广泛用于银行的信用卡系统、电子商务系统、电子邮件以及其他需要验证、核对信息真伪的系统中。
手工签名是模拟的,因人而异,而数字签名数字式的 (0,1数字串 ),因信息而异。
数字签名的功能:
收方能够确认发方的签名,但不能伪造;
发方发出签过名的信息后,不能再否认;
收方对收到的签名信息也不能否认;
一旦收发方出现争执,仲裁者可有充足的证据进行评判。
一个由公开密钥密码体制实现的数字签名过程如下图签名 验证
KAd KAe
A B
M S S M
一个典型的由公开密钥密码体制实现的、
带有加密功能的数字签名过程如下图
KBd
加密
(E)
KBe
解密
(D)
C
信道签名验证
KAd KAe
A B
M S S M
(3) 报文鉴别
报文鉴别是指在两个建立通信联系的用户之间,每个用户对收到的信息验证其真伪,以保证所收到的信息是真实的 。
报文鉴别又称完整性校验,在银行业称为消息认证,在 OSI安全模型中称为封装 。
报文鉴别过程必须确定以下三个内容:
报文是由指定的发送方产生的;
报文内容没有被修改过;
报文是按已传送的相同顺序收到的。
第一种确定由数字签名来完成,后两种确定又分为报文内容和报文时间性验证 。
(4) 身份验证
身份验证一般涉及两个过程,一个是识别,一个是验证。
识别 是指要明确访问者是谁,即要对网络中的每个合法用户都有识别能力。要保证识别的有效性,必须保证能代表用户身份的识别符的惟一性。
验证 就是指在访问者声明自己的身份后,
系统要对他所申明的身份进行验证,以防假冒。
识别信息一般是非秘密的,如信用卡上的用户名、身份证号码等;而验证信息一般是秘密的,如信用卡的密码。
身份验证的方法有:口令验证、个人持证验证和个人特征验证三类。
口令法最简单,系统开销也小,但其安全性也最差;
持证为个人持有物,如钥匙、磁卡、智能卡等。它比口令法安全性好,但验证系统比较复杂。磁卡常和 PIN一起使用;
以个人特征进行验证时,可有多种技术为验证机制提供基础,如指纹识别、
声音识别、血型识别、视网膜识别等。
个人特征方法验证的安全性最好,但验证系统相应地也最复杂。
8,3 防火墙技术
1,防火墙的概念
防火墙 (Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。
它是一种计算机硬件和软件系统的集合,
是实现网络安全策略的有效工具之一,
被广泛地应用到 Internet与 Intranet之间。
内部网外部网
LAN 1
服务器
Web服务器千兆网交换机网管工作站
Interne
t
防火墙的位置数据库服务器邮件服务器集线器防火墙
LAN2
通常防火墙建立在内部网和 Internet之间的一个路由器或计算机上,该计算机也叫堡垒主机。它就如同一堵带有安全门的墙,可以阻止外界对内部网资源的非法访问和通行合法访问,也可以防止内部对外部网的不安全访问和通行安全访问。
防火墙是由软件和硬件组成的,可以说:
所有进出 内部 网络的通信流都应该通过防火墙。
所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。
理论上,说防火墙是穿不透的。
一般,防火墙具有以下功能:
强化网络安全策略,集中化的网络安全管理;
记录和统计网络访问活动;
限制暴露用户点,控制对特殊站点的访问;
网络安全策略检查。
2,防火墙技术及分类
防火墙技术大体上分为两类:网络层防火墙技术和应用层防火墙技术。
这两个层次防火墙的具体分别叫包过滤防火墙和代理服务器滤防火墙
(1) 包过滤防火墙
包过滤防火墙是最简单的防火墙,通常它只包括对源 IP 地址和目的 IP 地址及端口的检查。
包过滤防火墙通常是一个具有包过滤功能的路由器。因为路由器工作在网络层,因此包过滤防火墙又叫网络层防火墙。
包过滤是在网络的出口 (如路由器上 )对通过的数据包进行检测,只有满足条件的数据包才允许通过,否则被抛弃。这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击。
网络上传输的每个数据包都包括两部分:
数据部分和包头。包头中含有源地址和目的地址信息。
包过滤是一种简单而有效的方法。通过拦截数据包,读出并拒绝那些不符合标准的包头,过滤掉不应入站的信息 (路由器将其丢弃 ) 。
包过滤方式有许多优点,主要优点之一就是用一个放置在重要位置上的包过滤路由器即可保护整个网络。
这样,不管内部网的站点规模多大,只要在路由器上设置合适的包过滤,各站点均可获得良好的安全保护。
(2) 代理服务器防火墙
代理服务是运行在防火墙主机上的特定的应用程序或服务程序。防火墙主机可以是有一个内部网接口和一个外部网接口的双穴 (Duel Homed)主机,也可以是一些可以访问 Internet并可被内部主机访问的堡垒主机。
代理服务位于内部用户和外部服务之间。
代理程序在幕后处理所有用户和 Internet
服务之间的通信以代替相互间的直接交谈。
对于用户,代理服务器给用户一种直接使用“真正”服务器的感觉,对于真正的服务器,代理服务器给真正服务器一种在代理主机上直接处理用户的假象。
用户将对“真正”服务器的请求交给代理服务器,代理服务器评价来自客户的请求,并作出认可或否认的决定。如果一个请求被认可,代理服务器就代表客户将请求转发给“真正”的服务器,并将服务器的响应返回给代理客户。
3,防火墙应用系统
一般,构成防火墙的体系结构有三种:
双穴主机结构、主机过滤结构和子网过滤结构。
按照这三种体系结构构建的防火墙应用系统是双穴主机防火墙、主机过滤防火墙和子网过滤防火墙。
(1) 双穴主机防火墙
双穴主机有两个接口,它可担任与这些接口连接的网络路由器,可从一个网络向另一个网络发送 IP 数据包。
双穴主机分别与受保护的内部子网及
Internet网络连接,起着监视和隔离应用层信息流的作用,彻底隔离了所有的内部主机与外部主机的可能连接。
客户机 客户机 服务器内 部 网 络双穴主机结构防火墙客户机
Internet
双穴主机防火墙
双穴主机可与内部网系统通信,也可与外部网系统通信。借助于双穴主机,防火墙内外两网的计算机便可 (间接 )通信了。即内外网的主机不能直接交换信息,
信息交换要由该双穴主机“代理”并
“服务”,因此该主机也相当于代理服务器。
因而,内部子网十分安全。内部主机通过双穴主机防火墙(代理服务器)得到
Internet服务,并由该主机集中进行安全检查和日志记录。双穴主机防火墙工作在 OSI的最高层,它掌握着应用系统中可用作安全决策的全部信息。
(2) 主机过滤防火墙
主机过滤结构中提供安全保障的主机在内部网中,加上一台单独的过滤路由器,
一起构成该结构的防火墙。
堡垒主机是 Internet主机连接内部网系统的桥梁。任何外部系统试图访问内部网系统或服务,都必须连接到该主机上。
因此该主机需要高级别安全。
堡垒主机内 部 网 络
Internet
路 由 器防火墙主机过滤结构防火墙客户机 客户机 服务器
这种结构中,过滤路由器与外部网相连,
再通过堡垒主机与内部网连接。来自外部网络的数据包先经过过滤路由器过滤,
不符合过滤规则的数据包被过滤掉;符合规则的包则被传送到堡垒主机上。其代理服务软件将允许通过的信息传输到受保护的内部网上。
(3) 子网过滤防火墙
子网过滤结构是在主机过滤体系结构中又增加了一个额外的安全层次而构成。
增加的安全层次包括一台堡垒主机和一台路由器。两路由起之间是一个被称为周边网络或参数网络的安全子网,更进一步地把内部网络与 Internet隔离开。
这种结构就是使用两个过滤路由器和一个堡垒主机形成了一个复杂的防火墙,以进行安全控制 。
堡垒主机通过内部,外部两个路由器与内部,外部网络隔开,这样可减少堡垒主机被侵袭的影响 。 被保护的内部子网主机置于内部包过滤路由器内,堡垒主机被置于内部和外部包过滤路由器之间 。
参数网络是在内部和外部两网络之间另加的一层安全保护层,相当于一个应用网关,堡垒主机上运行应用代理服务器软件 。 同时,企业的对外信息服务器
( 如 WWW,FTP服务器等 ) 也可设置在参数网内 。