计算机网络课程设计-网络安全

一、 网络安全技术的定义 计算机网络 题目：网络安全部分讨论 姓名：... 学号：... 2011-6-8 TOC \o "1-3" \h \u HYPERLINK \l _Toc3661 一、 网络安全技术的定义 3 HYPERLINK \l _Toc13627 1.1 广义定义 3 HYPERLINK \l _Toc12880 1.2 狭义定义 3 HYPERLINK \l _Toc547 1.3 广义定义与狭义定义的比较 3 HYPERLINK \l _Toc10084 二、 网络安全技术的 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 和比较 4 HYPERLINK \l _Toc31650 2.1 基于密码编码学的信息安全技术 4 HYPERLINK \l _Toc27736 2.1.1 对称加密技术 4 HYPERLINK \l _Toc26003 2.1.2 非对称加密/公开密钥加密 4 HYPERLINK \l _Toc7357 2.1.4 其他加密技术 5 HYPERLINK \l _Toc16352 2.2 防火墙(firewall) 6 HYPERLINK \l _Toc10500 2.3 虚拟专用网 6 HYPERLINK \l _Toc12443 2.3.1 隧道技术（Tunneling） 6 HYPERLINK \l _Toc24764 2.3.2 加解密技术（Encryption & Decryption） 7 HYPERLINK \l _Toc3030 2.3.3 密钥管理技术（Key Management） 7 HYPERLINK \l _Toc26498 2.3.4 使用者与设备身份认证技术（Authentication） 7 HYPERLINK \l _Toc20293 2.4入侵检测技术 8 HYPERLINK \l _Toc12954 2.5 网络安全扫描技术 8 HYPERLINK \l _Toc22513 三、 计算机网络安全的未来 8 HYPERLINK \l _Toc23641 四、 主要参考 资料 新概念英语资料下载李居明饿命改运学pdf成本会计期末资料社会工作导论资料工程结算所需资料清单 9 一、 网络安全技术的定义 随着计算机网络技术的飞速发展，大大改变了人们的生活面貌，促进了社会的发展。互联网是一个面向大众的开放系统，对于信息的保密和系统的安全性考虑得并不完备，引起的网络安全问题日益严重。如何保护计算机信息的内容，也即信息内容的保密问题显得越来越重要。自此形势下诞生的安全技术便是网络安全技术。 1.1 广义定义 为正确保护与网络相关的所有成分，包括数据﹑媒体以及基础设施，这样的技术。构成这样的一个全面的网络安全 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 需要三部分构成，即正确的威胁评估、使用最好的加密工具以及配置有效的网络访问控制产品（比如防火墙） 1.2 狭义定义 为正确保护计算机通信过程中的信息，使之不受网络攻击影响的技术，网络攻击主要有四种威胁，即截获（interception）、中断(interruption)、篡改(modification)、伪造(fabrication)，第一种为被动攻击，后三种为主动攻击。在此定义下，防火墙、IDS（入侵检测系统）、反病毒属于系统安全的范畴。 1.3 广义定义与狭义定义的比较 广义定义三个方面内容：保密性、安全 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 设计、访问控制。由于网络的安全性是不可判定的【DENN82】 ，而访问控制需要媒体以及基础设施的支持，由此使得保密性成为狭义定义的核心。所以网络安全的本质是信息安全，以下主要从网络安全核心对网络安全技术进行分析和比较.。 二、 网络安全技术的分析和比较 2.1 基于密码编码学的信息安全技术 在保障信息安全各种功能特性的诸多技术中，密码技术是信息安全的核心和关键技术，通过数据加密技术，可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥，密钥控制加密和解密过程，一个加密系统的全部安全性是基于密钥的，而不是基于算法，所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文)，按照加密算法变换成与明文完全不同得数字信息(密文)的过程。假设 E 为加密算法，D 为解密算法，则数据的加密解密数学表达式为：P=D(KD，E(KE，P))。 2.1.1 对称加密技术 在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有 N 个交换对象，那么他就要维护 N 个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重 DES 是 DES（数据加密 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ）的一种变形，这种方法使用两个独立的 56 为密钥对信息进行 3 次加密，从而使有效密钥长度达到 112 位。数据加密标准(DES) DES 为对称加密算法，是一种对二元数据进行加密的算法，数据分组长度为 64 位，密文分组长度也是 64 位，使用的密钥为 64 位，有效密钥长度为 56 位，有 8 位用于奇偶校验，解密时的过程和加密时相似，但密钥的顺序正好相反。 DES 算法的弱点是不能提供足够的安全性，因为其密钥容量只有 56 位。由于这个原因，后来又提出了三重 DES 或 3DES 系统，使用 3 个不同的密钥对数据块进行(两次或)三次加密，该方法比进行普通加密的三次块。其强度大约和 112 比特的密钥强度相当。 2.1.2 非对称加密/公开密钥加密 在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是 RSA 公钥密码体制。 RSA 加密算法 RSA 算法为非对称算法，既能用于数据加密，也能用于数字签名，RSA的理论依据为：寻找两个大素数比较简单，而将它们的乘积分解开则异常困难。在 RSA 算法中，包含两个密钥，加密密钥 PK，和解密密钥 SK，加密密钥是公开的，其加密与解密方程为：其中 n=p×q，P∈[0，n-1]，p 和 q 均为大于 10100 的素数，这两个素数是保密的。 RSA 算法的优点是密钥空间大，缺点是加密速度慢，如果 RSA 和 DES结合使用，则正好弥补 RSA 的缺点。即 DES 用于明文加密，RSA 用于 DES密钥的加密。由于 DES 加密速度快，适合加密较长的报文;而 RSA 可解决DES 密钥分配的问题。 2.1.4 其他加密技术 （1）IDEA（International Data Encryption Algorithm，国际加密标准）算法：IDEA 算法的密钥长度为 128 位，针对 64 位数据进行加密和解密操作。设计者尽可能使该算法不受差分密码分析的影响，XueJia Lai 已证明 IDE算法在其 8 轮迭代的第 4 圈之后更不受差分密码分析的影响了。目前而言IDEA 是非常安全的。IDEA 是一个迭代分组密码，分组长度为 64 比特，密钥长度为 128 比特。 IDEA 密码中使用了以下三种不同的运算： ① 位异或运算；②模 216加运算；③模 216＋1 乘运算，0 与 216 对应。 IDEA 算法是由 8 轮迭代和随后的一个输出变换组成。它将 64 比特的数据分成 4 个子块，每个 16 比特，令这四个子块作为迭代第一轮的输出，全部共 8 轮迭代。每轮迭代都是 4 个子块彼此间以及 16 比特的子密钥进行异或，模 216 加运算，模 216＋1 乘运算。除最后一轮外把每轮迭代输出的四个子块的第二和第三子块互换。该算法所需要的“混淆”可通过连续使用三个“不兼容”的群运算于两个 16 比特块来获得。 （2）3DES（Triple DES）：是基于 DES 的对称算法，对一块数据用三个不同的密钥进行三次加密，强度更高。 （3）AES（Advanced Encryption Standard）：高级加密标准，对称算法，是下一代的加密算法标准，速度快，安全级别高，目前 AES 标准的一个实现是 Rijndael 算法。 2.2 防火墙(firewall) 防火墙用于控制网络间的信息流，且经常用来控制所支持的网络服务流。网络基础设施中的验证数据能够提供更为合理的安全性，以防报文分组被更改。利用防火墙来阻止网络攻击有助于阻止欺骗的信息流。目前有 3 类包含不同过滤功能的防火墙：第一类是包过滤。这类防火墙只根据单个包的 TCP、UDP、ICMP 和 IP 报头决定允许或拒绝信息流。包过滤器将综合考虑信息流方向(入站或出站)、IP 源地址和目标地址、以及TCP 或 UDP 的源端口号和目的端口号。第二类是电路层过滤。这类防火墙通过保护状态信息和重构与信息流相关的数据流来控制访问。电路层过滤防火墙不会把包从一端移到另一端，除非此站点属于已建立连接的一部分。另一类是应用层过滤。这类防火墙用于处理与特定 IP 应用相关的报文。可以调整这些网关以在用于特定的协议，当采用更加新的协议时，不能有效地保护信息流。在确定何种过滤防火墙更适合实际的环境前，应当先检查该环境中可以实施的信息流控制。大多数控制都基于信息流方向、信息流来源、IP地址、端口号、认证和应用内容这几种特性的组合。 2.3 虚拟专用网 虚拟专用网技术虚拟专用网(Virtual Private Network，VPN)是近年来随着 Internet 的发展而迅速发展起来的一种技术。现代企业越来越多地利用 Internet 资源来进行促销、销售、售后服务，乃至培训、合作等活动。许多企业趋向于利用 Internet 来替代它们私有数据网络。这种利用Internet 来传输私有信息而形成的逻辑网络就称为虚拟专用网。虚拟专用网实际上就是将 Internet 看作一种公有数据网，这种公有网和 PSTN 网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。 相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。目前 VPN 主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。 2.3.1 隧道技术（Tunneling） 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。 隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。 2.3.2 加解密技术（Encryption & Decryption） 加解密技术对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN 可直接利用现有技术。 2.3.3 密钥管理技术（Key Management） 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为 SKIP 与 ISAKMP/OAKLEY 两种。SKIP主要是利用 Diffie-Hellman 的算法则，在网络上传输密钥；在 ISAKMP 中，双方都有两把密钥，分别用于公用、私用。 2.3.4 使用者与设备身份认证技术（Authentication） 使用者与设备身份认证技术 VPN 方案必须能够验证用户身份并严格控制只有授权用户才能访问 VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 VPN 整合了范围广泛的用户，从家庭的拨号上网用户到办公室连网的工作站，直到 ISP 的 Web 服务器。用户类型、传输方法，以及由 VPN 使用的服务的混合性，增加了 VPN 设计的复杂性，同时也增加了网络安全的复杂性。如果能有效地采用 VPN 技术，是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个合适的 VPN解决方案可以有效地防范网络黑客的恶意攻击。 IPSec 网络加密技术(IPSec) ： 采用网络加密技术，对公网中传输的 IP 包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。IP 层是 TCP/IP 网络中最关键的一层，IP 作为网络层协议，其安全机制可对其上层的各种 应用服务提供透明的覆盖式安全保护。因此，IP 安全是整个 TCP/IP 安全的基础，是网络安全的核心。 2.4入侵检测技术 网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库等比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。因为入侵检测是对防火墙及其有益的补充。可在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 2.5 网络安全扫描技术 网络安全扫描技术是网络安全领域的重要技术之一。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级[3]。利用安全扫描技术，可以对局域网络、Web 站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务，检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。 三、 计算机网络安全的未来 计算机网络安全的本质是计算机信息安全，而作为信息安全关键技术密码学，近年来空前活跃，美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976 年美国学者提出的公开密钥密码体制，克服了网络信息系统密钥管理的困难，同时解决了数字签名问题，它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点，目前正处于研究和发展阶段，它带动了论证理论、密钥管理等研究，由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA 密码、混沌理论等密新技术正处于探索之中。因此网络安全技术在 21 世纪将成为信息网络发展的关键技术，21 世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。 四、 主要参考资料 [1]Michael A.Gallo、计算机通信和网络技术、北京：人民邮电出版、2005 [2]William Stallings、密码编码学与网络安全、北京：电子工业出版社、2007 [3]谢希仁、计算机网络、北京：电子工业出版社