文档介绍:网络安全研究的主要问题
、灾难恢复问题
网络安全标准
网络安全标准指的是在网络架设、管理以及网络安全系统的设计与开发过程中,需要参考的网络安全体系结构。
目的是保证网络安全功能的完备性和一致性,降低安全代价和管理开销。
ISO/OSI安全体系结构
核心内容是保证异构计算机系统之间交换信息的安全。
在OSI安全参考模型中给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。
定义了5大类安全服务,提供了8大类安全机制以及相应的开放系统互联的安全管理。
ISO安全体系结构的安全服务
安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务。
ISO安全体系结构定义了五大类型共14项特定安全服务。
认证服务,又称鉴别服务
访问控制服务
数据保密性服务
数据完整性服务
抗抵赖性服务
ISO安全体系结构的安全机制
安全服务通过安全机制来支持,两类机制:
在特定的协议层实现---特定安全机制
不属于任何的协议层或安全服务---普遍安全机制
网络安全技术
ISO安全体系结构安全机制的架设是通过网络安全技术来实现的。
网络安全技术可分为:
身份验证技术。
数据完整性技术。
跟踪审计技术。
信息伪装技术。
加密与认证技术
加密(Encryption)
指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文
密码算法
是一个复杂的函数变换,C = F(M, Key )。
密文可以通过不安全渠道送给收信人,但密钥的传递必须通过安全渠道。
目前流行的密码算法主要有DES、RSA,IDEA,DSA等
密码算法分类
(1)按加密和解密密钥的类型不同,分为:
对称密钥密码算法
非对称密钥密码算法
(2)按加密时对明文的处理方式的不同,分为:
分组密码算法
序列密码算法
密钥密码体系
对称密钥加密
对称密钥加密又称私钥算法加密。
常用算法:DES、Triple DES、IDEA 、blowfish和Twofish
非对称密钥密码体系
是指加密解密双方拥有不同的密钥。
常见的非对称密钥密码算法有RSA、ElGamal和椭圆曲线密码。
数字签名技术
公钥加密技术不能确认真正的发送者。
数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。
数字签名一般采用非对称加密技术(如RSA)。
数字签名普遍用于银行、电子贸易等。
身份认证技术
身份认证(Identification and Authentication)可以定义为:为了使某些授予许可权限的权威机构、组织和个人满意,而提供所要求的证明自己身份的过程。
身份认证可以通过以下3种基本途径之一或它们的组合实现:
(1)所知(Knowledge):个人所掌握的密码、口令;
(2)所有(Possesses):个人身份证、护照、信用卡、钥匙;
(3)个人特征(Characteristics):人的指纹、声音、笔迹、手型、脸型、血型、视网膜、虹膜、DNA,以及个人动作方面的特征;
计算机及网络系统中常用的身份认证方式
(1)用户名/密码方式
(2)智能卡认证
(3)动态口令
(4)USB Key认证
(5)生物识别技术
防火墙技术
防火墙概述
防火墙(Firewall)是对一个安全网络和一个不安全网络之间的数据流加以控制。
防火墙的作用
(1)网络的安全屏障
(2)强化网络安全策略
(3)对网络存取和访问进行监控审计
(4)防止内部信息的外泄
防火墙的缺点
(1)不能防范恶意的知情者
(2)不能防范不通过它的连接
(3)不能防备全部的威胁
(4)防火墙不能防范病毒
包过滤路由器
包过滤防火墙基于路由器,因此它也称为筛选路由器。
应用级网关
应用级网关是基于代理服务的防火墙。
所谓代理服务,即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的。
外部用户只能看到代理服务器,内部网络只接收代理服务器的服务请求。
需要对每一种服务设计一个代理软件模块来进行安全控制。
防火墙的体系结构
(Screening Router)
(Dual-Homed Gateway)
(Screened Gateway)
(Screened )
常见的网络攻击方法