第十章 网络管理基础和网络安全性 (2)
10.3 网络安全网络安全性
安全问题主要来源:
– 黑客攻击
– 网络服务(或协议)内在的性质造成的
– 系统配置或安全策略的不健全造成的
– 系统管理本身没有受到重视,使得网络安全策略没有一个长期考虑网络安全被攻击方法和安全对策
Internet上存在很多安全问题
– Unix的 Sendmail软件的安全性
– 某些自由软件包含特洛伊木马
– 据报道,网络入侵者已经攻破了 Internet上成千上万的系统包括一些主要网络的网关
,弱”口令
IP地址伪装
电子邮件地址伪装
有缺陷的 LAN服务
相互信任身份鉴别( 1)
鉴别( authentication) 是一种查证对方真实身份的技术,在有入侵者存在的情况下,身份鉴别变成十分复杂和困难。
– 基于共享的秘密密钥的鉴别协议
一般可以采用一种称为质疑 -回答的协议:一方向另一方发送一个随机数,另一方把这个数转换后把结果送回。
– 基于公开密钥方法的鉴别协议身份鉴别( 2)
一个面向共享秘密秘钥方法的鉴别协议身份鉴别( 3)
一个基于公开密钥方法的鉴别协议数字签名( 1)
首先,除了公开密钥算法的几个基本要求外,
我们假设有 E(D(P))=P,这一点是合理的,因为 RSA算法就是满足这个条件的算法
其次,张三向李四发送信息 Eb(Da(P)),表示先用张三的解密密钥对 P解密,再用李四的公开密钥对其进行加密
然后,李四接收到这个信息后,用自己的解密密钥进行解密,产生 Da(P),然后使用张三的公开密钥进行加密,得到 Ea(Da(P)),即 P
数字签名( 2)
消息摘要的方法( Message Digest),
简称 MD。 一个 MD方法至少需要满足以下几个要求,
– 给出 P,可以方便的得出 MD(P)
– 给出 MD(P),不能获得 P
– 两个不同的信息不能产生相同的 MD(P)
防火墙技术( 1)
防火墙定义
– 不是简单的能提供网络安全功能的路由器、
主机系统、或系统的集合,而是一个安全的方法,它对网络提供的服务和访问定义和实现更大的安全策略,
防火墙的主要目的
– 对受保护的网络实现访问控制,它要求所有对网络的访问必须通过防火墙的检查,从而实现所定义的安全策略防火墙技术( 2)
防火墙主要有以下四个部件:
– 防火墙策略
网络策略
服务访问策略
防火墙设计策略
– 高级鉴别机制
– 包过滤
– 代理服务器防火墙技术( 3)
防火墙可以有四种基本配置方式
– 包过滤防火墙
– 双源网关防火墙
– 屏蔽主机防火墙
– 屏蔽子网防火墙防火墙技术( 4)
防火墙的特性
– 能支持,除非明确允许,否则能拒绝所有服务,设计策略
– 应该是灵活的,能适应新的服务
– 应该能包括高级鉴别机制或能增加高级鉴别机制
– 能使用过滤技术来允许或拒绝对一个指定主机的访问
– 过滤手段必须灵活、友好、容易编程、并且能对尽可能多的信息包括目的 IP地址、源 IP地址、目的端口、源端口、协议类型等进行过滤
– 在使用诸如 telnet等的代理服务时要求能使用高级认证机制来实现安全的口令机制
– 应该能使用中央电子邮件系统,以减少外界对内部的直接访问
Web的安全性技术
SSL协议
– SSL( Secure Sockets Layer) 是由 Netscape公司提出的一个安全协议,它是在套接口上工作,可以用在任何建立在套接口上的协议,包括 telnet、
ftp,http等等。很多 SSL的功能也是 Ipv6的一部分。
SHTTP协议
– SHTTP( Secure HTTP,安全 HTTP) 是由美国 EIT公司的 E,Rescorla和 A,Schiffman设计的,后来为
W3C所采用的用于实现安全 HTTP连接的一个协议,
SHTTP提供了广泛的实现保密、鉴别、完整性的机制,策略和机制分离是它的一个目标,整个系统并不与某个特定的加密体制联系在一起。
数字证书
数字证书的基础是数据加密技术中的 RSA加密算法。
RSA( Rivest-Shamir-Adleman) 算法
– 是一种基于大数不可能质因数分解假设的公匙体系,有着可靠的理论保证。
– 和 DES加密算法不同,RSA称为不对称加密算法,它的密钥不是一个字符串,而是一对很大的质数,这两个密匙是互补的,
其中一个称为公开密钥( public key),另一个称为私用密钥( secret key or private key)。
– 将一段数据明文用私用密钥加密得到的密文,必须要用对应的公开密钥才能够解出明文;而将一段数据明文用公开密钥加密得到的密文,必须要用对应的私用密钥解密才能够得到明文。
习题
10.5
10.6
10.12