第六讲网络空间信息系统安全技术.ppt
《第六讲网络空间信息系统安全技术.ppt》由会员分享,可在线阅读,更多相关《第六讲网络空间信息系统安全技术.ppt(39页珍藏版)》请在冰豆网上搜索。
第六讲:
网络空间信息系统安全技术一、背景人们在享受信息化带来的众多好外的同人们在享受信息化带来的众多好外的同时,也面临着日益突出的信息安全问题。
信时,也面临着日益突出的信息安全问题。
信息安全产品和信息系统固有的敏感性和特殊息安全产品和信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。
性,直接影响着国家的安全利益和经济利益。
在大力推进我国国民经济和信息化建设的进在大力推进我国国民经济和信息化建设的进程中,最不能忽视的就是信息安全技术。
程中,最不能忽视的就是信息安全技术。
信息安全的要求二、信息安全的技术1、PKI(PublicKeyInfrastructure-公钥基础设施)
(1)PKI的概念PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构-认证中心CA(CertificateAuthority),把用户的公钥和用户的其它标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份。
目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
PKI解决安全需求的思路
(2)PKI的核心技术所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。
数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI是怎样管理证书和密钥的,一个典型、完整、有效的PKI应用系统至少应具有以下部分:
公钥密码证书管理。
黑名单的发布和管理。
密钥的备份和恢复。
自动更新密钥。
自动管理历史密钥。
支持交叉认证。
单钥密码算法(加密)单钥密码算法(加密)单钥密码算法,又称对称密码算法:
是指加密密钥和解密密钥为同一密钥的密码算法。
因此,信息的发送者和信息的接收者在进行信息的传输与处理时,必须共同持有该密码(称为对称密码)。
在对称密钥密码算法中,加密运算与解密运算使用同样的密钥。
通常,使用的加密算法比较简便高效,密钥简短,破译极其困难;由系统的保密性主要取决密钥的安全性,所以,在公开的计算器网络上安全地传送和保管密钥是一个严峻的问题。
DES(DataEncryptionStandard,数据加密标准)算法,它是一个分组加密算法,它以64bit位(8byte)为分组对数据加密,其中有8bit奇偶校验,有效密钥长度为56bit。
64位一组的明文从算法的一端输入,64位的密文从另一端输出。
DES是一个对称算法,加密和解密用的是同一算法。
DES的安全性依赖所用的密钥。
在通过网络传输信息时,公钥密码算法体现出了单密钥加密算法不可替代的优越性。
公钥密码算法中的密钥依据性质划分,可分为公钥和私钥两种。
用户产生一对密钥,将其中的一个向外界公开,称为公钥;另一个则自己保留,称为私钥。
凡是获悉用户公钥的任何人若想向用户传送信息,只需用用户的公钥对信息加密,将信息密文传送给用户便可。
因为公钥与私钥之间存在的依存关系,在用户安全保存私钥的前提下,只有用户本身才能解密该信息,任何未受用户授权的人包括信息的发送者都无法将此信息解密。
RSA公钥密码算法是一种公认十分安全的公钥密码算法。
它的命名取自三个创始人:
Rivest、Shamir和Adelman。
RSA公钥密码算法是目前网络上进行保密通信和数字签名的最有效的安全算法。
RSA算法的安全性基数论中大素数分解的困难性,所以,RSA需采用足够大的整数。
因子分解越困难,密码就越难以破译,加密强度就越高。
RSA既能用加密又能用数字签名,在已提出的公开密钥算法中,RSA最容易理解和实现的,这个算法也是最流行的。
公开密钥数字签名算法(签名)公开密钥数字签名算法(签名)DSA(DigitalSignatureAlgorithm,数字签名算法,用作数字签名标准的一部分),它是另一种公开密钥算法,它不能用作加密,只用作数字签名。
DSA使用公开密钥,为接受者验证数据的完整性和数据发送者的身份。
它也可用由第三方去确定签名和所签数据的真实性。
DSA算法的安全性基解离散对数的困难性,这类签字标准具有较大的兼容性和适用性,成为网络安全体系的基本构件之一。
数字签名与数字信封数字签名与数字信封公钥密码体制在实际应用中包含数字签名和数字信封两种方式。
数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。
信息接收者使用信息发送者的公钥对附在原始信息的数字签名进行解密获得哈希摘要,并通过与自己用收到的原始数据产生的哈希哈希摘要对照,便可确信原始信息是否被篡改。
这样就保证了数据传输的不可否认性。
数字信封的功能类似普通信封。
普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容,数字信封中采用了单钥密码体制和公钥密码体制。
信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密的对称密码被称之为数字信封。
在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。
这样就保证了数据传输的真实性和完整性。
数字证书数字证书数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。
证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
从证书的用途来看,数字证书可分为签名证书和加密证书。
签名证书主要用对用户信息进行签名,以保证信息的不可否认性;加密证书主要用对用户传送信息进行加密,以保证信息的真实性和完整性。
简单的说,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。
身份验证机构的数字签名可以确保证书信息的真实性。
证书格式及证书内容遵循X.509标准。
认证中心认证中心CA数字证书认证中心(CertficateAuthority,CA)是整个网上电子交易安全的关键环节。
它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。
每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根认证中心(根CA)。
2、防火墙技术
(1)包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
优点:
a防火墙对每条传入和传出网络的包实行低水平控制。
b每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。
防火墙将基于这些信息应用过滤规则。
c防火墙可以识别和丢弃带欺骗性源IP地址的包。
d包过滤防火墙是两个网络之间访问的唯一来源。
因为所有的通信必须通过防火墙,绕过是困难的。
e包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
a配置困难。
因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。
然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。
b为特定服务开放的端口存在着危险,可能会被用于其他传输。
例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。
就这样无意中,RealPlayer就利用了Web服务器的端口。
c可能还有其他方法绕过防火墙进入网络,例如拨入连接。
但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
(2)状态/动态检测防火墙状态/动态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。
它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。
当包过滤防火墙见到一个网络包,包是孤立存在的。
它没有防火墙所关心的历史或未来。
允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号等。
包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅是存在而已。
一个有状态包检查防火墙跟踪的不仅是包中包含的信息。
为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。
状态/动态检测防火墙的优点有:
a检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。
b识别带有欺骗性源IP地址包的能力。
c包过滤防火墙是两个网络之间访问的唯一来源。
因为所有的通信必须通过防火墙,绕过是困难的。
d基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的FTP连接,允许返回的FTP包通过。
e基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。
f记录有关通过的每个包的详细信息的能力。
基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。
状态/动态检测防火墙的缺点:
状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。
可是,硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。
(3)应用程序代理防火墙应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。
相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。
网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。
另外,如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。
这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。
使用应用程序代理防火墙的优点有:
a指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。
b通过限制某些协议的传出请求,来减少网络中不必要的服务。
c大多数代理防火墙能够记录所有的连接,包括地址和持续时间。
这些信息对追踪攻击和发生的未授权访问的事件事很有用的。
使用应用程序代理防火墙的缺点有:
a必须在一定范围内定制用户的系统,这取决于所用的应用程序。
b一些应用程序可能根本不支持代理连接。
(4)NAT讨论到防火墙的主题,就一定要提到有一种路由器,尽管从技术上讲它根本不是防火墙。
网络地址转换(NAT)协议将内部网络的多个IP地址转换到一个公共地址发到Internet上。
NAT经常用于小型办公室、家庭等网络,多个用户分享单一的IP地址,并为Internet连接提供一些安全机制。
使用NAT的优点有:
a所有内部的IP地址对外面的人来说是隐蔽的。
因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。
b如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址。
c可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。
内部网络的计算机就不可能直接访问外部网络。
使用NAT的缺点:
NAT的缺点和包过滤防火墙的缺点是一样的。
虽然可以保障内部网络的安全,但它也是一些类似的局限。
而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接,就像它可以穿过包过滤防火墙一样的容易。
(5)个人防火墙
升级会员 