文档介绍:《网络信息安全》 2 2第7章 安全技术?教学内容 n 安全? SSL/TLS ? IP Sec n E-mail 安全? PGP 技术?教学目的 n能够利用各种安全技术实现 安全冲浪 3 3一、 安全概述? 安全状况 n人们对 的依赖程度越来越大,安全问题日益突出 n国家计算机网络应急技术处理协调中心: ./ 4 4 5 5 07 年影响中国网络安全事件? 12 月— MSN 蠕虫病毒借助“圣诞照片传播”? 11 月— Google 大清洗 4万恶意网站被删除? 10 月—国庆期间近百万台电脑感染两万余种病毒? 9月—中国女解码高手十年破译五部顶级密码? 8月—***中国游戏中心系统盗 22 亿游戏币? 7月—北京警方破获首例 DDoS 黑客攻击案? 6月—落网时只有 19 岁少年黑客狂攫千万之谜? 5月-温柔地“杀”死你诺顿误杀事件? 4月-取代美国中国成“恶意软件”头号基地? 3月-***病毒大规模爆发危害超熊猫烧香? 2月-互联网遭 02 年以来最严重黑客袭击? 1月-反流氓软件再起纷争,NIC 互诉 6 6网络安全隐患的原因是什么? TCP/IP 的缺陷 n1、网上信息易被窃取?网上的信息大多是没有经过加密的?以太网、令牌环网都是广播型网络?信息经过层层转发 n2、脆弱的 TCP/IP 服务?a、服务?b、电子邮件服务 7 7 SSL/TLS 是基于 Web 应用的安全协议。为了说明其原理和功能,首先分析一下 Web 的安全威胁。 1. Web 服务器的安全威胁 Web 服务器的安全威胁主要来自两个方面。(1) Web 服务的内容丰富,功能强大,出现安全漏洞的概率大。(2) Web 服务器存放的有价值信息和隐私,会吸引攻击者加大力度的攻击。这些信息的泄露或被更改, 将会造成很大损失。其中尤其是那些用于存储用户名和口令的文件一旦被泄露,造成的损失将无法估计。 Web 安全分析 8 8 对服务器的攻击手段很多。例如, CGI 漏洞攻击、缓冲溢出出攻击等,都会使服务器遭受严重破坏, 尤其是木马程序可以将数据权限降级,将敏感信息发送到未受保护的区域,扩大了访问范围,给攻击创造了条件。 2. Web 浏览器的安全威胁 Web 浏览器遭受的攻击主要来自在静态网页中嵌入的使网页动态化的小应用程序。当用户使用浏览器查看一个带有活动内容的网页时,网页中嵌入的小应用程序就会被自动下载,并在客户机上启动运行。假如这些小应用程序是病毒或木马,就会产生破坏作用。 Web 安全分析 9 9 3. 通信信道的安全威胁 起源于 ,其最初的重要目标是提供可靠性,保证当一个或多个通信线路出现故障时仍然可以正常通信。但是,它没有过多地考虑安全问题, 从而使它在保密性、完整性和即需性方面显得脆弱。在保密性方面,它的许多数据以明文形式传输和存储, 非常容易遭受嗅觉器的攻击;在完整性方面,它所传输或存储的数据极易遭到破坏和修改;在即需性方面, 它极容易遭受拒绝服务攻击而是网络速度降到不能忍受的程度。 Web 安全分析 10 10 1 SSL/TLS 协议? 1994 scape 开发了 SSL(Secure Socket Layer) 协议,专门用于保护 Web 通讯?版本和历史 n ,不成熟 n ,基本上解决了 Web 通讯的安全问题? Microsoft 公司发布了 PCT(munication Technology) ,并在 IE 中支持 n , 1996 年发布,增加了一些算法,修改了一些缺陷 n TLS (Transport Layer Security, 也被称为 SSL ) , 1997 年 IETF 发布了 Draft ,同时, Microsoft 宣布放弃 PCT ,scape 一起支持 TLS n 1999 年,发布 RFC 2246(The TLS Protocol )