第7章網絡安全與網絡管理袁津生主編主要內容7.1網絡安全研究的主要問題7.2數據加密技術7.3身份認證技術7.4防火墻技術7.5 網絡管理主要內容網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡管理的目的是協調、保持網絡系統的高效、可靠運行，當網絡出現故障時，能及時報告和處理。本章主要介紹數據加密技術、身份鑒別技術、防火墻技術以及網絡管理技術。7.1網絡安全研究的主要問題網絡安全的概念網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡安全主要是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續正常地運行，網絡服務不中斷。網絡安全的特征

（1）保密性。信息不泄露給非授權用戶、實體或過程，或供其利用的特性。（2）完整性。數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性。可被授權實體訪問并按需求使用的特性。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。（4）可控性。對信息的傳播及內容具有控制能力。（5）可審查性。出現安全問題時提供依據與手段。網絡安全研究的主要問題1．網絡防攻擊問題2．網絡安全漏洞與對策問題3．網絡中的信息安全保密問題4．防抵賴問題5．網絡內部安全防范問題6．網絡防病毒問題7．垃圾郵件與灰色軟件問題8．網絡數據備份與恢復、災難恢復問題7.2數據加密技術數據加密的概念所謂數據加密技術是指將一個信息經過加密密鑰及加密函數轉換，變成沒有任何規律的密文，而接收方則將此密文經過解密函數、解密密鑰還原成明文。密碼學是包含兩個分支：密碼編碼學和密碼分析學。密碼編碼學是對信息進行編碼，實現隱蔽信息；密碼分析學是研究一門分析和破譯密碼的學問。在網絡信息傳輸過程中，當需要對消息進行保密操作時，就需要密碼編碼學對信息進行保密處理。密碼體制密碼體制也叫密碼系統，是指能完整地解決信息安全中的機密性、數據完整性、認證、身份識別、可控性及不可抵賴性等問題的。一個密碼體制由明文、密文、密鑰、加密和解密運算這四個基本要素構成。對稱加密技術對稱密碼體制是一種傳統密碼體制，也稱為私鑰密碼體制。在對稱加密系統中，加密和解密采用相同的密鑰。因為加解密密鑰相同，需要通信的雙方必須選擇和保存他們共同的密鑰，各方必須信任對方不會將密鑰泄密出去，這樣就可以實現數據的機密性和完整性。大多數古典算法屬于對稱密碼體制，例如凱撒加密機制、維吉尼亞算法、簡單替換、多表替換算法等。現代對稱密碼算法有DES（數據加密標準）、3DES、AES（高級加密標準）、IDEA等。對稱加密技術在對稱加密系統中，加密和解密采用相同的密鑰。非對稱加密技術非對稱密碼體制也叫公鑰加密技術。在公鑰加密系統中，加密和解密使用兩個不同的密鑰，加密密鑰（公開密鑰）向公眾公開，誰都可以使用，解密密鑰（秘密密鑰）只有解密人自己知道，非法使用者根據公開的加密密鑰無法推算出解密密鑰，因此稱為公鑰密碼體制。非對稱加密的工作過程公鑰加密系統的主要功能：機密性、確認、數據完整性、不可抵賴性。公鑰密鑰的密鑰管理比較簡單，可方便的實現數字簽名和驗證。但算法復雜，加密數據的速率較低。密文Y

E

運算加密算法D運算解密算法加密解密明文X明文X

ABB的私鑰SKB密文Y

因特網B的公鑰PKB7.3身份認證技術身份認證技術身份認證是指計算機及網絡系統確認用戶身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限。身份認證通過標識和鑒別用戶的身份，提供一種判別和確認用戶身份的機制。身份認證技術在信息安全中處于非常重要的地位，是其他安全機制的基礎。只有實現了有效的身份認證，才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。身份認證概述在真實世界中，驗證一個用戶的身份主要通過以下三種方式：所知。、所有、本身特征。在計算機網絡安全領域，將認證（Authentication）、授權（Authorization）與審計（Accounting）統稱為AAA或3A。基于密碼的身份認證密碼通常由一組字符串來組成，為便于用戶記憶，一般用戶使用的密碼都有長度的限制。但出于安全考慮，在使用密碼時需要注意以下幾點：（1）不使用默認密碼；（2）設置足夠長的密碼；（3）不要使用結構簡單的詞或數字組合；（4）增加密碼的組合復雜度；（5）使用加密；（6）避免共享密碼；（7）定期更換密碼。1.一次性密碼技術

使用一次性密碼技術可以防止重放攻擊的發生，這相當于用戶隨身攜帶一個密碼本，按照與目標主機約定好的次序使用這些密碼。用戶每一次登錄系統所用的密碼都是不一樣的，攻擊者通過竊聽得到的密碼無法用于下一次認證。當密碼全部用完后再向系統管理員申請新的密碼本。一次性密碼技術有其安全的地方，但實際使用過程中很不方便。如密碼更改問題，初始化問題，本次密碼全部使用完后，必須向管理員重新申請新的密碼。2.動態口令技術動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。它采用一種叫做動態令牌的專用硬件，內置電源、密碼生成芯片和顯示屏。密碼生成芯片運行專門的密碼算法，根據當前時間或使用次數生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機，即可實現身份認證。由于每次使用的密碼必須由動態令牌來產生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。基于地址的身份認證1．地址認證基于地址的身份認證主要有IP地址認證和MAC地址認證。2．智能卡認證智能卡也稱IC卡，是由一個或多個集成電路芯片（包括固化在芯片中的軟件）組成的設備，可以安全地存儲密鑰、證書和用戶數據等敏感信息，防止硬件級別的竄改。智能卡芯片在很多應用中可以獨立完成加密、解密、身份認證、數字簽名等對安全較為敏感的計算任務，從而能夠提高應用系統抗病毒攻擊以及防止敏感信息的泄漏。生物特征身份認證生物特征認證又稱為“生物特征識別”，是指通過計算機利用人體固有的物理特征或行為特征鑒別個人身份。1．指紋認證指紋是人的生物特征的一種重要的表現形式，具有“人人不同”和“終身不變”的特征，以及附屬于人的身體的便利性和不可偽造的安全性。2．虹膜認證虹膜（眼睛中的彩色部分）是眼球中包圍瞳孔的部分，上面布滿極其復雜的鋸齒網絡狀花紋，而每個人虹膜的花紋都是不同的。虹膜識別技術就是應用計算機對虹膜花紋特征進行量化數據分析，用以確認被識別者的真實身份。數字簽名數字簽名（DigitalSignature）又稱公鑰數字簽名或電子簽章，是以電子形式存儲于信息中或邏輯上與之有聯系的數據，用于辨識數據簽署人的身份，并表明簽署人對數據中所包信息的認可。基于公鑰密碼體制和私鑰密碼體制都可獲得數字簽名，目前主要是基于公鑰密碼體制的數字簽名。數字簽名的主要功能是保證信息傳輸的完整性、發送者的身份認證、防止交易中的抵賴行為發生。數字簽名工作原理

數字簽名經常采用一種稱為摘要的技術，摘要技術主要是采用HASH（哈希）函數。HASH函數提供了一種計算過程：輸入一個長度不固定的字符串，返回一串定長度的字符串（稱為HASH值），將一段長的報文通過函數變換，轉換為一段定長的報文，即摘要。7.4防火墻技術防火墻的概念防火墻是位于兩個信任程度不同的網絡之間的軟件或硬件設備的組合，目的是保護網絡不被他人侵擾。本質上，它遵循的是一種允許或阻止業務來往的網絡通信安全機制，也就是提供可控的過濾網絡通信，只允許授權的通信。防火墻位于外部網絡和內部網絡之間。外部網絡位于防火墻的外面，內部網絡位于防火墻的里面。一般都把防火墻里面的網絡稱為“可信任網絡”，而把防火墻外面的網絡稱為“不可信任的網絡”。防火墻的位置與作用防火墻的功能

（1）防火墻是網絡安全的屏障一個防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。（2）防火墻可以強化網絡安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。（3）對網絡存取和訪問進行監控審計如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。（4）防止內部信息的外泄通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。防火墻的種類根據防范方式和側重點的不同可將防火墻分為：包過濾防火墻、應用級代理防火墻、電路級代理防火墻。包過濾防火墻工作在IP層，根據IP分組的IP頭及部分傳輸層的頭部信息，對分組是否滿足訪問控制規則進行判定，從而對分組做出轉發或丟棄的操作。應用級代理防火墻工作在OSI參考模型的應用層及表示層。應用級代理服務器為各種不同的網絡應用提供定制的網絡服務。電路級代理是在客戶和服務器之間不解釋應用協議即建立回路。包過濾防火墻應用級代理防火墻防火墻的體系結構雙重宿主主機體系結構是圍繞雙重宿主主機構筑的。雙重宿主主機至少有兩個網絡接口，它位于內部網絡和外部網絡之間，它能從一個網絡接收IP數據包并將之發往另一網絡。屏蔽主機體系結構由包過濾路由器和堡壘主機組成。包過濾路由器配置在內部網和外部網之間，保證外部系統對內部網絡的操作只能經過堡壘主機。堡壘主機配置在內部網絡上，是外部網絡主機連接到內部網絡主機的橋梁，它需要擁有高等級的安全。屏蔽子網體系結構在本質上與屏蔽主機體系結構一樣，但添加了額外的一層保護體系——周邊網絡。雙重宿主主機體系結構屏蔽主機體系結構屏蔽子網體系結構7.5 網絡管理網絡管理的概念網絡管理是指規劃、監督、設計和控制網絡資源使用和網絡的各種活動，以使網絡的性能達到最優。網絡管理包括對硬件、軟件和人力的使用、綜合與協調，以便對網絡資源進行監視、測試、配置、分析、評價和控制。網絡管理的目的是協調、保持網絡系統的高效、可靠運行，當網絡出現故障時，能及時報告和處理。通過網絡管理可以控制用戶的訪問、跟蹤用戶與網絡的連接，改變網絡登錄口令，記錄網絡訪問歷史等，從而為網絡提供一個安全的環境。網絡管理的基本功能 網絡管理應包含以下基本功能：故障管理、計費管理、配置管理、性能管理和安全管理。1．故障管理當網絡發生故障時，必須盡可能快地找出故障發生的確切位置，將網絡其它部分與故障部分隔離，以確保網絡其它部分能不受干擾繼續運行。故障管理的主要功能有告警檢測、故障定位、測試、業務恢復以及維修等，同時還要維護故障目標。2．計費管理記費管理是正確的計算和接收用戶使用網絡服務的費用，進行網絡資源使用的統計和網絡成本效益的計算。在有償使用的網絡上，計費管理功能統計哪些用戶、使用何信道、傳輸多少數據、訪問什么資源等信息；另一方面，計費管理功能還可以統計不同線路和各類資源的利用情況。網絡管理的基本功能3．配置管理配置管理是網絡管理最基本的功能，負責監測和控制網絡的配置狀態。就是在網絡建立、擴充、改造和運行的過程中，對網絡的拓撲結構、資源配備、使用狀態等配置信息進行定義、監測和修改。配置管理包括以下功能：（1）定義配置信息（2）設置并修改屬性值（3）定義和修改關系（4）初始化和關閉網絡（5）軟件分發（6）網絡規劃和資源管理網絡管理的基本功能4．性能管理性能管理的具體內容包括：從被管對象中收集與網絡性能有關的數據，分析和統計歷史數據，建立性能分析的模型，預測網絡性能的長期趨勢。性能管理的目的是保證網絡的有效運營和連續可靠的通信能力。5．安全管理安全管理的目的是確保網絡資源不被非法使用，防止網絡資源由于入侵者攻擊而遭受破壞。安全管理提供信息的保密、認證和完整性保護機制，使網絡中的服務數據和系統免受侵擾和破壞。安全管理具有風險分析、安全服務、告警、日志和報告功能以及網絡管理系統保護等主要功能。網絡管理系統組成網絡管理系統一般采用管理者—管理代理的模型。通過管理進程與一個遠程系統相互作用實現對遠程資源的控制。網絡管理系統有5個要素：網絡管理者、網管代理、被管對象、網絡管理協議和管理信息庫（MIB）。網絡管理者駐留在管理工作站上，一般位于網絡系統的主干或接近主干的位置，它負責發出管理操作的指令，并接收來自網絡代理的信息。網管代理是一個軟件模塊，駐留在被管設備上。網管代理的功能是把來自網絡管理者的命令或信息的請求轉換成設備特有的指令，完成網絡管理者的指示或把所在設備的信息返回到網絡管理者。網絡管理系統組成被管對象可以是被管設備中的某個硬件，也可以是硬件或軟件的配置參數的集合。用于網絡管理者和管理代理之間傳遞信息，并完成信息交換安全控制的通信規約就成為網絡管理協議。管理站和管理代理者之間通過網絡管理協議通信，網絡管理者進程通過網絡管理協議來完成網絡管理。管理信息庫MIB（ManagementInformationBase）是一個信息存儲庫，所有被管理對象的信息都放在MIB上。被管理對象是指能被管理的所有實體（網絡、設備、線路、軟件等）。網絡管理的一般模型管理站因特網網絡管理員被管設備——管理程序（運行SNMP客戶程序）——代理程序（運行SNMP服務器程序）AAAAM被管設備被管設備被管設備MAA被管設備網管協議SNMP協議簡單網絡管理協議SNMP是由因特網工程任務組IETF定義的一套網絡管理協議。利用SNMP，一個管理工作站可以遠程管理所有支持這種協議的網絡設備，包括監視網絡狀態、修改網絡設備配置、接收網絡事件警告等。SNMP是管理進程和代理進程之間的通信協議。它規定了在網絡環境中對設備進行監視和管理的標準化管理框架、通信的公共語言、相應的安全和訪問控制機制。網絡管理員使用SNMP功能可以查詢設備信息、修改設備的參數值、監控設備狀態、自動發現網絡故障、生成報告等。SNMP網絡架構由三部分組成：管理進程、代理進程和管理信息庫。SNMP的典型配置SNMPUDPIP管理進程網絡接口網絡管理員MIB管理站路由器SNMPUDPIP代理進程網絡接口TCPFTP等用戶進程主機因特網SNMPUDPIP代理進程網絡接口TCPFTP等用戶進程主機SNMPUDPIP代理進程網絡接口SNMP協議1．管理進程管理進程是網絡中的管理者，是一個利用SNMP協議對網絡設備進行管理和監視的系統。管理進程可以向代理進程發出請求，查詢或修改一個或多個具體的參數值。同時，管理進程可以接收代理進程主動發送的信息，以獲知被管理設備當前的狀態。2．代理進程代理進程是網絡設備中的一個應用模塊，用于維護被管理設備的信息數據并響應管理進程的請求，把管理數據匯報給發送請求管理進程。代理進程接收到管理進程的請求信息后，完成查詢或修改操作，并把操作結果發送給管理進程，完成響應。3．管理信息庫管理信息庫可以看作是管理進程和代理進程之間的一個接口，通過這個接口，管理進程可以對管理代理中的每一個被管理對象進行讀/寫操作，從而達到管理和監控設備的目的。思考題1．簡述網絡安全具備的5個特征。2．簡述對稱加密技術和非對稱加密技術的異同點。3．設計一個算法完成對一段文字的加密過程。4．簡述身份認證的概念及實現的技術。5．為什么要在網絡系統中建立防火墻，它的主要作用是什么？6．防火墻系統的實現技術有哪些，它們有何特點？舉例說明。7．簡述網絡管理的5大功能。8．簡述網絡管理系統的組成。9．SNMP網絡架構由哪幾部分組成？每部分的基本功能是什么？10．上網查找資料，撰寫一篇有關網絡安全的文章。9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Thursday,March6,202510、