第八章 网络安全
8.1 网络安全的基本概念
8.1 .1 网络安全威胁的类型
(1) 窃听。在广播式网络系统中,每个节点都可以读取网上传输的数据,例如搭线窃听、
安装通信监视器和读取网上的信息等。网络体系结构允许监视器接收网上传输的所有数据帧而
不考虑帧的传输目标地址,这种特性使得偷听网上的数据或非授权访问很容易而且不易发现。
(2) 假冒。当一个实体假扮成另一个实体进行网络活动时就发生 了假冒。
(3) 重放。重复一份报文或报文的一部分,以便产生一个被授权效果。
(4) 流量分析。通过对网上信息流的观察和分析推断出网上传输的有用信息,例如有无传
输,传输的数量、方向和频率等。由千报头信息不能加密,所以即使对数据进行 了加密处理,
也可以进行有效的流量分析。
(5) 数据完整性破坏。有意或无意地修改或破坏信息系统,或者在非授权和不能监测的方
式下对数据进行修改。
(6) 拒绝服务。当一个授权实体不能获得应有的对网络资源的访 问或紧急操作被延迟时,
就发生了拒绝服务。
(7) 资源的非授权使用。即与所定义的安全策略不一致的使用。
(8) 陷门和特洛伊木马。通过替换系统合法程序,或者在合法程序里插入恶意代码,以实
现非授权进程,从而达到某种特定的目的。
(9) 病毒。随着人们对计算机系统和网络依赖程度的增加,计算机病毒已经构成了对计算机系统和网络的严重威胁。
(10) 诽谤。利用计算机信息系统的广泛互连性和匿名性散布错误的消息,以达到坻毁某
个对象的形象和知名度的目的。
8.1.2 网络安全漏洞
(1) 物理安全性。凡是能够让非授权机器物理接入的地方都会存在潜在的安全问题,也就
是能让接入用户做本不允许做的事情。
(2) 软件安全漏洞。”特权“软件中带有恶意的程序代码,从而可以导致其获得额外的权限。
(3) 不兼容使用安全漏洞。当系统管理员把软件和硬件捆绑在 起时,从安全的角度来看,
可以认为系统将有可能产生严重安全隐患。所谓的不兼容性问题,即把两个毫无关系但有用的
事物连接在一起,从而导致了安全漏洞。一旦系统建立和运行,这种问题很难被发现
(4) 选择合适的安全哲理。这是一种对安全概念的理解和直觉 完美的软件,受保护的硬
件和兼容部件并不能保证正常而有效地工作,除非用户选择了适当的安全策略和打开了能增加
其系统安全的部件。
8.1 .3 网络攻击
网络攻击可以分为以下几类
(1) 被动攻击。攻击者通过监视所有信息流以获得某些秘密。这种攻击可以是基千网络(跟
踪通信链路)或基千系统(用秘密抓取数据的特洛伊木马代替系统部件)的。被动攻击是
被检测到的,故对付这种攻击的重点是预防,主要手段有数据加密等。
(2) 主动攻击。攻击者试图突破网络的安全防线。这种攻击涉及数据流的修改或创建错误
流,主要攻击形式有假冒、重放、欺骗、消息缕改和拒绝服务等。这种攻击无法预防但却易千
检测,故对付的重点是测而不是防,主要手段有防火墙、入侵检测技术等
(3) 物理临近攻击。在物理临近攻击中未授权者可物理上接近网络、系统或设备,目的是
修改、收集或拒绝访问信息。
(4) 内部人员攻击。 内部人员攻击由这些人实施,他们要么被授权在信息安全处理系统的
物理范围内,要么对信息安全处理系统具有直接访问权。有恶意的和非恶意的(不小心或无知
的用户)两种内部人员攻击。
5)分发攻击。分发攻击是指在软件和硬件开发出来之后和安装之前这段时间,或当它从
一个地方传到另一个地方时,攻击者恶意修改软/硬件。
8.1.4 安全措施的目标
安全措施的目标如下
l) 访问控制。确保会话对方(人或计算机)有权做它所声称的事情。
2) 认证。确保会话对方的资源(人或计 机)与它声称的相一致。
(3) 完整性。确保接收到的信息与发送的一致。
4) 审计。确保任何发生的交易在事后可以被证实,发信者和收信者都认为交换发生过,
即所谓的不可抵赖性。
5) 保密 。确保敏感信息不被窃听。
8.1 .5 基本安全技术
l) 数据加密。数据加密是通过对信息的重新组合,使得只有收发双方才能解码并还原信
息的一种手段。随着相关技术的发展,加密正逐步被集成到系统和网络中。在硬件方面,已经
在研制用千 PC 和服务器主板的加密协处理器。
数字签名。数字签名 可以用来证明消息确实是由发送者签发的,而且,当数字签名用
千存储的数据或程序时,可以用来验证数据或程序的完整性。
(3) 身份认证。有多种方法来认证一个用户的合法性,例如密码技术、利用人体生理特征
(如指纹)进行识别 智能 卡和 USB 盘等。
(4) 防火墙。防火墙是位千两个网络之间的屏障,一边是内部网络(可信赖的网络),另
一边是外部网络(不可信赖的网络)。按照系统管理员预先定义好的规则控制数据包的进出。
5) 容检查。即使有了防火墙、身份认证和加密,人们仍担心遭到病毒的攻击。
8.2.2 经典加密技术
(1) 替换加密 (substitution) 用一个字母替换另一个字母。
(2) 换位加密 (transposition) 。按照一定的规律重排字母的顺序。
(3) 一次性填充 (one-time pad) 。把明文变为位串(例如用 ASCII 编码),选择 个等长
的随机位串作为密钥,对二者进行按位异或得到密文 。
8.2.3 现代加密技术
1. DES (Data Encryption Standard)
2. DES (Triple-DES)
3. IDEA Clnternational Data Encryption Algorithm)
4. 高级加密标准 (Advanced Encryption Standard, AES)
5. 流加密算法和 RC4
6. 公钥加密算法
7. RSA (Rivest Shamir and Adleman) 算法
8.3 认证
8.3.1 基于共享密钥的认证
认证过程如下: KDC 发出消息 {A, KA(B, Ks)}, 说明自己要和 通信,并指定了与
会话的密钥 Ks 。注意,这个消息中的一部分 (B, Ks) 是用氐加密了的,所以第三者不能了解
消息的内容。 KDC 知道了 的意图后就构造了一个消息{凡(A, Ks)} 发给 Ka 解密后就
得到了 Ks, 然后就可以与 用凡会话了。
8.3.2 Needham-Schroeder 认证协议
8.3.3 基于公钥的认证
8.4 字签名
Cl) 可以验证消息 确实来源千
(2) 以后不能否认发送过
(3) 不能编造或改变消息
下面介绍两种数字签名系统。
8.4.1 基于密钥的数字签名
8.4.2 基千公钥的数字签名
8.5 报文摘要
用千差错控制的报文检验是根据冗余位检查报文是否受到信道干扰的影响,与之类似的报
文摘要方案是计算密码校验和,即固定长度的认证码,附加在消息后面发送,根据认证码检查
报文是否被篡改。设 是可变长的报文, 是发送者和接收者共享的密钥,令 MD=CK(M),
这就是算出的报文摘要 Message Digest) , 如图 8-10 所示。由千报文摘要是原报文唯—的压缩
表示,代表了原来报文的特征,所以也 叫作数字指纹 (Digital Fingerprint)
8.6 数字证书
8.6.1 数字证书的概念
数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子
交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密和解密。每个用户自己设定
一个特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名,同时设定一个公共密钥
(公钥),并由本人公开,为一组用户所共享,用千加密和验证。公开密钥技术解决了密钥发布
的管理问题。 一般情况下,证书中还包括密钥的有效时间、发证机构(证书授权中心)的名称
及该证书的序列号等信息。
介绍密钥的种类。
Cl) 基本密钥 kP 由用户选定或由系统分配给用户的、可在较长时间(相对千会话密钥)
内由一对用户所专用的密钥,故也称用户密钥。基本密钥要求既安全又便千更换,与会话密钥
一起去启动和控制某种算法所构造的密钥产生器,生成用千加密数据的密钥流。
(2) 会话密钥 ks 两个终端用户在交换数据时使用的密钥。当用会话密钥对传输的数据进
行保护时称为数据加密密钥,用会话密钥来保护文件时称为文件密钥。会话密钥的作用是使用
户不必频繁地更换基本密钥,有利千密钥的安全和管理。会话密钥可由用户双方预先约定,也
可由系统通过密钥建立协议动态地生成并分发给通信双方。允使用的时间短,限制了密码分析
者所能得到的同一密钥加密的密文数量。会话密钥只在需要时通过协议建立,也降 了密钥的
存储容量。
(3) 密钥加密密钥 ke: 用千对传送的会话密钥或文件密钥进行加密的密钥,也称辅助二级
密钥或密钥传送密钥。通信网中每个节点都分配有一个 ke, 为了安全,各节点的幻应互不相同。
(4) 主机密钥 km 对密钥加密密钥进行加密的密钥,存千主机处理器中
在双钥体制下,有公开钥(公钥)和秘密钥(私钥)、签字密钥和认证密钥之分。
8.8.2 第二层隧道协议
1. PPP 协议
PPP 协议 (P int to-Point Protocol) 可以在点对点链路上传输多种上层协议的数据包。 PPP
是数据链路层协议,最早是替代 SLIP 协议用来在同步链路上封装 IP 数据报的,后来也可 以承
载诸如 DECnet Novell IPX Apple Talk 等协议的分组。 PPP 是一组协议,包含下列成分
2. 点对点隧道协议 (PPTP)
具有下列功能。
(1) 通过本地物理接口连接 PSTN SDN, 控制外部 Modem 或终端适配器的拨号操作。
(2) 作为 PPP 链路控制协议的会话终端。
(3) 参与 PPP 认证过程。
4)对多 PPP 信道进行集中管理
5) 作为 PPP 网络控制协议的会话终端
(6) 在各接 口之间进行多协议的路由和桥接。
4. PPTP L2TP 的比较
PPTP L2TP 都使用 PPP 协议对数据进行封装,然后添加附加包头用千数据在互联网
上的传输。尽管两个协议非常相似,但是仍存在以下几方面的区别。
(1) PPTP 要求因特网络为 IP 网络, L2TP 只要求隧道媒介提供面向数据包的点对点连接
L2TP 可以在 IP (使用 UDP) 、帧中继永久虚拟电路 (PVCs)) X.25 虚电路 (VCs) ATM
络上使用。
(2)PPTP 只能在两端点间建立单一隧道 L2TP 在两端点间使用 个隧道 使用 L2TP,
用户可以针对不同的服务质 创建不同的隧道
(3) L2TP 可以提供包头压缩。当压缩包头时 系统开销占用 个字节,而在 PPTP 协议下
要占用 个字节
(4) L2TP 可以提供隧道验证,而 PPTP 不隧道验证 但是,当 L2TP PPTP IPSec
共同使用时,可以由 IPSec 提供隧道验证,不需要在第 层协议上验证隧道
8.8.3 IPSec
IPSec (IP Security) IETF 定义的一组协议,用千增强 IP 网络的安全性 IPSec 协议
提供了下面的安全服务
• 数据完整性 (Data Integrity) 保持数据的一致性 防止未授权地生成、 改或删除
数据
• 认证 (Authentication) 。保证接收的数据与发送的相同,保证实际发送者就是 称的
发送者
• 保密性 (Confidentiality) 传输的数据是经过加密的,只有预定的接收者知道发送的
内容
• 应用透明的安全性 (Application-transparent Security) IPSec 的安全头插入在标准的 IP
头和上层协议(例如 TCP) 之间,任何网络服务和网络应用都可以不经修改地 标准
IP 转向 IPSec, 同时 IPSec 通信也可以透明地通过现有的 IP 路由器。
8.11 防火墙
8.11.1 防火墙的基本概念
随眷 Internet 的广泛应用,人们在扩展了获取和发布信息能力的同时也带来了信息被污染
和破坏的危险。这些安全问题主要是由网络的开放性、无边界性和自由性等因素造成的。
(1) 计算机操作系统本身有一些缺陷。
(2) 各种服务,如 Telnet NFS DNS ActiveX 等存在安全漏洞。
(3) TCP/IP 协议几乎没有考虑安全因素。
(4) 追查黑客的攻击很困难,因为攻击可能来自 Internet 上的任何地方。
8.11 .2 防火墙的功能和拓扑结构
从内部网络安全的角度,对防火墙功能应提出下列需求
(1) 防火墙应该由多个部件组成,形成一个充分冗余的安全系统,避免成为网络中的“单
失效点”(即这一点突破则无安全可言)。
(2) 防火墙的失效模式应该是“失效一安全”型,即一旦防火墙失效、崩溃或重启,则必
须立即阻断内部网络与外部网络的联系,保护内部网络安全。
(3) 由千防火墙是网络的安全屏障,所以就成为网络黑客的主要攻击对象,这就要求防火
墙的主机操作系统十分安全可靠。作为网关服务器的主机应该选用增强型安全核心的堡垒主
机,以增加其抗攻击性。同时在网关服务器中应禁止运行应用程序,杜绝非法访问。
(4) 防火墙应提供认证服务,外部用户对内部网络的访问应经过防火墙的认证检查。
(5) 防火墙对外部网络屏蔽或隐藏内部网络的网络地址、拓扑结构等信息。
从实现的功能和构成部件来划分,防火墙可以分为以下类型
(1) 过滤路由器。在传统路由器中增加分组过滤功能就形成了最简单的防火墙。这种防火
墙的优点是完全透明、成本低、速度快、效率高。缺点是这种防火墙会成为网络中的单失效点。
而且由千路由器的基本功能是转发分组,一旦过滤机制失效(例如遭遇 1P 欺骗),就会使得非
法访问者进入内部网络,所以这种防火墙不是“失效一安全”模式的。这种防火墙不能提供有
效的安全功能。
(2) 双宿主网关 (Dual-Homed Gateway) 。这种防火墙由具有两个网络接口主机系统构成
双宿主机内外的网络均可与双宿主机实施通信,但不可直接通信。内外网络要进行通信,须在
在网关服务器上注册或通过代理来提供很高程度的网络控制。使用代理服务器会大大简化用户的访问过程,如果应用了 SOCKS 服务,甚至可以做到对用户完全透明。
从失效模式上看,双宿主网关是“失效 安全”型,因为运行网关软件的主机在没有显式
的情况下是不会转发分组的。然而,由千这种防火墙是由单个主机组成的,没有安全冗余
机制,仍是网络中的单失效点,而且有些安全功能(例如认证)单独利用代理服务器也不易实
现,所以还是不够安全的防火墙。
(3) 过滤式主机网关。这种防火墙由过滤路由器和运行网关软件的主机(代理服务器)组
成。
8.12 计算机病毒及防护
2. 病毒的分类和命名规则
病毒名称的一般格式为<病毒前缀>.<病毒名> <病毒后缀>。病毒前缀是指病毒的种类,不
同种类的病毒其前缀是不同的。比如常见的木马病毒的前缀为 Trojan, 蠕虫病毒的前缀是 Worm
等。病毒名是指一个病毒的家族特征,例如 CIH 病毒的家族名是 "CIH", 振荡波蠕虫病毒的家
族名是 "Sasser" 。病毒后缀是用来区别某个家族病毒的不同变种的 ,一般都采用英文字母来表
示,如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种 。如果病毒变种非常多,可以采用数字
与字母混合表示。常见的病毒可以根据其行为特征归纳为以下几类。
(1) 系统病毒:其前缀为 Win32 PE Win95 W32 W95 等。这些病毒的 般共同的特
性是感染 Windows 操作系统的 exe dll 文件,并通过这些文件进行传播。例如 CIH 病毒。
(2) 蠕虫病毒:其前缀是 Worm 。这种病毒的特性是通过网络或者系统漏洞进行传播,大
部分蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性 例如冲击波病毒(阻塞网络)、小邮
差病毒(发送带毒邮件) 等。
(3) 木马病毒和黑客病毒:木马病毒的前缀为 Trojan, 黑客病毒的前缀为 Hack 。木马病毒
的特征是通过网络或系统漏洞进入用户系统并隐藏起来,然后向外界泄露用户的解密信息;而
黑客病毒 个可视的界面,能对用户的计算机进行远程控制。木马和黑客病毒往往是成对出
现的,即木马病毒负责侵入用户计算机,而黑客病毒则通过木马病毒进行远程控制。现在这两
种病毒越来越趋向千整合了。一般的木马病毒有 QQ 消息尾巴木马 Trojan.QQ3344, 针对网络
游戏的木马 Trojan.LMir.PSW.60 。当病毒名中有 PSW 或者 PWD 时,表示这种病毒有盗取密码
的功能,黑客程序有网络枭雄 Hack.Nether. Client 等。
脚本病毒 其前缀是 Script 脚本病 的共同特性是使用脚本语言编写,通过网页进
行传播,如红色代码 Script.Redlof。脚本病毒还可能有前缀 VBS JS (表明是用何种脚本编写
的),如欢乐时光病毒 (VBS.Happytime) 、十四日病毒 (Js.Fortnight.c.s) 等。
5) 宏病毒:宏病毒是一种寄存在文档或文档模板的宏中的计算机病毒。
(6) 后门病毒:其前缀是 Backdoor, 这类病毒的共同特性是通过网络传播,给系统开后门,
给用户的计算机带来安全隐患。
(7) 病毒种植程序:这类病毒的共同特征是运行时会释放出一个或儿个新的病毒,存放在
系统目录下,并由释放出来的新病毒产生破坏作用。例如冰河播种者 Dropper.BingHe2.2C MSN
射手病毒 Dropper. Worm.Smibag 等。
(8) 破坏性程序病毒:其前缀是 Harm 。这类病毒的共同特性是本身具有好看的图标来诱
惑用户点击。当用户点击这类病毒时,病毒便会对用户的计算机产生破坏。例如格式化 盘的
病毒 Harm.formatC.f、杀手命令病毒 Harm.Command.Killer 等。
(9) 玩笑病毒:其前缀是 Joke, 也称恶作剧病毒。这类病毒的共同特征是具有好看的图标
来诱惑用户点击。当用户点击这类病毒文件时,病毒会呈现出各种破坏性画面来吓唬用户,其
实病毒并没有对计算机进行任何破坏。例如女鬼病毒 CJoke.G lghost)
(10) 捆绑机病毒:其前缀是 Binder, 这类病毒的共同特征是病毒作者使用特定的捆绑程
序将病毒与一些应用程序(如 QQ IE 等)捆绑起来,表面上看是一个正常文件。
8.12.2 计算机病毒防护
1. 反病毒的方法
(1) 简单的扫描程序(第一代)
使用扫描程序对文件进行扫描,通过病毒的签名或特征码来识别病毒。
(2) 启发式的扫描程序(第二代)。
扫描程序使用启发式的规则来搜索可能的病毒感染,这种扫描程序的一个类别是查找经常和病毒联系在一起的代码段。
另一种第二代方法是完整性检查,可以为每个程序附加检验和,如果病毒感染了程序,但没有
修改检验和,那么一次完整性检查将会抓住变化。
(3) 行为陷阱(第三代)。
这是一些存储器驻留程序,它们通过病毒的动作而不是通过其在被感染程序 中的结构来识别病毒。
(4) 全方位的保护(第四代)。
这是一些由不同的联合使用的反病毒技术组成的软件包。这些技术中包括了扫描和行为陷阱构件。
