《计算机网络安全技术.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全技术.ppt(46页珍藏版)》请在课桌文档上搜索。
1、第6章 计算机网络安全技术,本章重点:,(1)网络安全威胁:包括窃听、破坏、重发、假冒、拒绝服务、网络病毒(2)网络安全技术分类:包括身份验证、完整性、审计、信息伪装技术(3)数据加密技术:包括私密密钥加密、公开密钥加密、信息摘要算法(4)身份验证技术:包括身份认证、数字签名、哈希函数,(5)跟踪审计技术:包括侵检测技术、Windows NT系统入侵检测(6)防火墙技术:包括防火墙的含义、种类、结构(7)网络安全风险评估:包括风险评估对象、风险评估方法(8)网络安全技术新发展:包括结构标准化、应用综合化、自我完善趋势,6.1网络安全威胁,6.1.1网络窃听6.1.2完整性破坏6.1.3数据修改
2、6.1.4重发(重放)6.1.5假冒6.1.6服务否认(拒绝服务)6.1.7计算机(网络)病毒,6.2网络安全技术分类,网络安全技术可以分为四大类,即身份验证技术、网络数据完整性技术、网络活动审计技术和信息伪装技术。6.2.1身份验证技术6.2.1.1含义6.2.1.2数字签名,6.2.2数据完整性技术6.2.2.1含义6.2.2.2数据加密技术6.2.2.3访问控制1.含义2.组成元素,访问控制包括三个基本元素,即:可访问对象访问用户访问类型3.访问控制列表ACL如表6-1所示。,6.2.2.4防火墙技术防火墙示意图如图6-1所示。,图6-1防火墙网络,6.2.3 跟踪审计技术6.2.4信息
3、伪装技术,6.3数据加密技术,6.3.1传统加密算法6.3.2私密密钥加密算法6.3.3公开密钥加密算法6.3.3.1 RSA算法6.3.3.2 Diffie-Hellman算法如图6-2所示。,图6-2不安全网络上的SKIP,如图6-3所示,图6-3 组合密钥系统,6.3.4信息摘要算法信息摘要算法具有如下特征:给定P,很容易计算MD(P),但给定MD(P),却很难找到P。(2)不同的信息的摘要总是不同的,而同样的明文的“摘要”必定是一致的。如图6-4所示。,图6-4 信息摘要用于数字签名的过程,6.4身份验证技术,6.4.1身份认证6.4.1.1信息验证6.4.1.2用户鉴别1.基于共享秘
4、密密钥的鉴别2.基于公开密钥的鉴别3.基于信息摘要的鉴别4.基于密钥分配中心的鉴别,6.4.1.3 认证中心 1.数字时戳(Digital Time-Stamp,DTS)2.数字凭证(Digital ID,Digital Certificate)6.4.2数字签名,6.4.3哈希函数6.4.3.1哈希函数的作用6.4.3.2哈希函数定义6.4.3.3 构造哈希函数1.利用DES构造哈希函数2.利用RSA构造哈希函数,6.5跟踪审计技术,6.5.1入侵检测技术6.5.1.1入侵检测的概念6.5.1.2入侵检测的对象6.5.1.3入侵检测的工具6.5.1.4扫描器工作原理6.5.1.5入侵响应与防
5、御,6.5.2网络系统入侵检测举例Windows NT事件查看器的界面如图6-5所示。,图6-5,6.5.2.2系统日志系统日志如图6-6所示。,图6-6系统日志,6.5.2.3安全日志安全日志如图6-7所示,图6-7安全日志,6.5.2.4应用程序日志,应用程序日志如图6-8所示。,图6-8应用程序日志,6.5.2.5事件日志设置,Windows NT事件日志设置界面如图6-9所示。,图6-9,6.6防火墙技术,6.6.1防火墙的含义 6.6.2防火墙的种类6.6.2.1包过滤防火墙如图6-10所示。,图6-10包过滤防火墙,6.6.2.2代理服务防火墙如图6-11所示。,图6-11 代理服
6、务器,6.6.3防火墙的结构6.6.3.1双宿主机结构如图6-12所示。,图6-14子网过滤结构防火墙,6.6.3.3子网过滤结构子网过滤结构如图6-14所示。,6.7网络安全风险评估,6.7.1风险评估对象6.7.1.1计算机网络硬件系统6.7.1.2计算机网络软件系统,6.7.2风险评估方法6.7.2.1定性分析法6.7.2.2定量分析方法6.7.2.3软件分析法6.7.2.4泄露分析法6.7.2.5方案分析法6.7.2.6质询法,6.7.3安全性评估标准英国贸易和工业发展部的绿皮书(Green Book)。德国信息安全局的ZSIEC法国的蓝白红皮书(Blue-White-Red Book
7、)(SCSSI)。欧洲工同体制定了信息技术安全评价准则ITSEC(Information Technology Security Evaluation Criteria)。,美国国防部计算机系统评价准则TCSEC(Trusted Computer System Evaluation Criteria),即橙皮书(Orange Book)。美国国家计算机安全中心NCSC(National Computer Security Center),6.8 网络安全技术新发展,6.8.1信息网络安全结构标准化趋势ISO的安全体系结构模型(ISO 7498-2)如图6-15所示。,图6-15 OSI安全参考
8、模型,6.8.2网络安全技术应用综合化趋势如图6-16所示。,图6-16网络安全综合化,6.8.3网络安全技术的自我完善趋势三重DES加密示意图如图6-17所示。,图6-17 三重DES加密,重要的入侵检测系统包括:(1)IDS(Intrusion Detection System):用于检测外部入侵者的入侵行为和内部用户的非法活动。其应用原理如图6-18所示。(2)IDES(ID Expert System):属于IDS类型,使用用户特征技术和专家系统检测入侵活动。其原理如图6-19所示。(3)NSM(Network Security Monitor):NSM不使用审计数据作为入侵检测的依据,而是监视广播信道,观察所有的网络流量。NSM的突出特点是使入侵者无法察觉被监视。其原理如图6-20所示。,图6-18 IDS,图6-19 IDES,图6-20 NSM,思考题(1)网络安全威胁有哪些?(2)网络安全技术的种类。(3)数据加密技术有哪些?(4)身份验证技术有哪些?,(5)跟踪审计技术有哪些?(6)什么是身份认证?(7)什么是数字签名?(8)防火墙技术的含义、种类、结构。(9)网络安全风险评估的对象有哪些。(10)网络安全技术新发展方向。,