加密系统包括哪几个部分(加密的主要技术包含哪几种)

网络安全没有那么难之数据加密技术

一、 数据加密概述

在信息时代，信息本身是把双刃剑，一方面它服务于我们的生产、生活、使我们受益；一方面,信息的泄露可能对我们构成巨大的威胁。因此，客观上就需要一种有力的安全措施来保护机密数据不被窃取或篡改。数据加密与解密从宏观上讲是非常简单的，很容易理解。加密与解密的一些方法也是非常直接的，而且非常容易掌握的，可以方便地对机密数据进行加密和解密。

加密是指发送方将一个信息（或称为明文）经过加密钥匙及加密函数转换，变成无意义的密文，而接收方将此密文经过解密，解密密钥还原成明文。

加密技术是网络安全技术的基石。任何一个加密系统至少包括以下4个部分：

（1） 明文（未加密的报文）

（2） 密文（加密后的报文）

（3） 加密解密设备或算法

（4） 加密解密的密钥

计算机网络中的加密可以在不同层次上进行，最常见的是在应用层、链路层和网络层进行加密。数据加密可以分为两种途径：一种是通过硬件实现数据加密，另一种是通过软件实现数据加密。通常所说的数据加密是指通过软件对数据进行加密。通过硬件实现网络数据加密的方法有3种：；链路层加密、节点加密和端对端加密。常用软件加密算法分为对称加密和非对称加密。

二、 数据加密标准

DES(Data Encryption Standard数据加密标准)由IBM公司研制，并于1977年被美国国家标准局确定为联邦信息标准中的一项。ISO也已将DES定为数据加密标准。DES是世界上最早被公认的实用密码算法标准，目前它已经受了长达20余年的实践考验。DES使用相同的算法对数据进行加密和解密，所使用的加密密钥和解密密钥也是相同的。

DES采用56位长的密钥将64位长的数据加密成等长的密文。在DES加密过程中，先对64位长的明文进行初始置换，然后将其分割成左右各32位长的字块，经过16次迭代，进行循环移位与变换，最后再进行逆变换得出64位长的密文。DES的解密过程与解密过程很相似，只需将密钥的使用顺序进行颠倒。DES算法采用了散布、混乱等基本技巧，构成其算法的基本单元是简单的置换、代替和模2加。DES的整个算法结构是公开的，其安全性由密钥保证。

三、 国际数据加密标准

国际数据加密算法（IDEA）是由瑞士的学者提出。在1990年正式公布并在以后得到增强与完善。这种算法是在DES算法的基础上发展出来的，类似与三重DES。IDEA也是针对DES具有密钥太短的缺点而提出的。IDEA的密钥为128位，这么长的密钥在今后若干年内应该是安全的。

类似于DES，IDEA算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与DES的不同之处在于，它采用软件实现，但与硬件实现的速度一样快。

四、 单向函数

单向函数的概念是公开密钥密码的中心。尽管它本身并不是一个协议，但在本书中所讨论的大多数协议来说却是一个基本结构模块。

单向函数是一类计算起来相对容易，但求逆却非常困难的函数。也就是说，已知X，我们很容易计算出f(x)。但已知f(x)，却难于计算出x.。在这里，“难”定义为：即使世界上所有的计算机都用来计算，从f(x)计算出x也要花费数百万年的时间。

五、 单向Hash函数

单项Hash函数有：压缩函数、缩短函数、消息摘要、指纹、密码校验和、信息完整性检验（DIC）和操作检验码（MDC）。单向Hash函数是现代密码学的核心。单向Hash函数是许多协议的另一结构模块。

Hash函数长期以来一直在计算机科学中使用，无论是从数学角度还是从别的角度看，Hash函数就是把可变输入长度串（叫做预映射，Pre-image）转换成固定长度（经常更短）输出串（叫做Hash值）的一种函数。简单的Hash函数就是对预映射的处理，并且返回由所有入字节转换成的单一字节。

六、 公开密钥密码体制

传统的加密方法是加密、解密使用相同的密钥，由发送者和接收者分别保存，在加密和解密时使用。采用这种方法的主要问题是密钥的生成、注入、存储、管理及分发等过程很复杂，特别是随着用户的增加，密钥的需求量成倍增加。在网络通信中，大量密钥的分配是一个难以解决的问题。

在公开密钥密码体制下，加密密钥不等于解密密钥。加密密钥可对外公开，使任何用户都可将传送次用户的信息公开密钥加密发送，而解密密钥是对外保密的。虽然解密密钥理论上可以由加密密钥公开不会危害密钥的安全。

七、 RSA算法

数学上的单向陷门函数的特点是在一个方向上求值很容易，但其逆向计算却很困难。许多形式为Y=f(x)的函数，对于给定的自变量x值，很容易计算出函数Y的值；而由给定Y值，在很多情况下依照函数关系f(x)计算x值则十分困难。

RSA（Rivest-Shamir-Adelman）与1978年出现，目前已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是分解它们的乘积却非常困难，因此可以将乘积公开做为加密密钥。

DES并不能取代RSA，它们的优缺点正好互补。RSA的密钥很长，加密速度慢，而采用DES，正好弥补了RSA的缺点。即DES用于明文加密，RSA用于DES密钥加密。

八、 密钥管理

密钥管理是密码学领域中最困难的部分。设计安全的密钥算法和协议是困难的，但可以依靠大量的深入研究来解决。但是，对密钥进行保密更为困难。密码分析者经常通过密码管理来破译对称密钥和公钥体制。

1．密钥生成

（1）减少的密钥空间

（2）弱密钥选择

人们选择自己的密钥时，常常喜欢选择更容易记忆的密钥。这就是所谓的弱密钥。

（3）随机密钥

好密钥是指那些由自动处理设备生成的随机的位串。如果密钥为64位长，每一个可能的64位密钥必须具有相等的可能性。这些密钥要么从可靠的随机源中产生，要么从安全的伪随机发生器中产生

（4）X9.17密钥生成

ANSIX9.17标准规定了一种密钥生成方法。并不生成容易记忆的密钥，更适合在一个系统中产生会话密钥或伪机数。用来生成密钥的加密算法是三重DES，就像其他算法一样容易。

2．非对称密钥空间

假设有一批加密设备，并且使用了一个安全的算法，但又怕这些设备落入敌手，破坏了加密，为此他们可以将算法加入到一个防篡改模块中。防篡改模块就是能够从特殊保密形式的密钥进行解密的模块，而其他的密钥都会引起模块用非常弱的算法解密。这样做可以使那些不知道这个特殊形式的攻击者几乎无法获取密钥。

3．发送密钥

4．验证密钥

在实际应用中，对于接受者如何判断受到的密钥确实来字发送者，仍存在着许多需要解决的问题。例如，恶意的主动攻击者可以传送一个加密和签名的消息而将它伪装成来自发送者，当接收者试图访问公钥数据库验证发送者的签名时，恶意的主动攻击者可以用他自己的公钥来代替。他可以发明自己的假KDC，并把真正的KDC公钥换成他自己产生的公钥，从而达到欺骗接收者的目的。

(1) 密钥传输中的错误检测

(2) 密钥在解密过程中的错误检测

5．使用密钥

软件加密是不可靠的。无法预测什么时候操作系统将会中止加密的运行，将一些东西写在磁盘上，或处理另一些急需的工作。当操作系统再次返回被中止的加密任务时，操作系统已把加密程序写在磁盘上，并同时将密钥也写了下来。这些密钥未被加密，在计算机重新覆盖那个存储区之前，一直留在磁盘上。当攻击者采用 好的工具彻底搜索该硬盘驱动器时，密钥可能还放在那里。在一个可抢先的多任务环境中，可以给加密操作设置足够高的优先权可以防止被中断。尽管这样可以减轻危险度，但仍存在一定风险。

6．更新密钥

为了确保密钥的安全性每天都需要改变加密的数据链路的密钥，但这样做十分费时。更好的解决办法是直接从旧的密钥中产生新密钥，这又称为密钥更新。

7．存储密钥

最简单的密钥存储是单用户的密钥存储，一些系统采用简单方法：密钥存放于发送者的脑子中，而决不能放在系统中，发送者记住密钥，并只在对文件加密或解密时才输入密钥。

8.公开密钥的密钥管理

公开密钥密码使密钥容易管理，但也存在着问题。无论网络上有多少人，每个人只有一个公开密钥。如果发送者给接收者传送一段信息，就必须知道接收者的公开密钥。

（1） 公钥证书

（2） 分布式密钥管理

九、 通信加密

在计算机网络中，通信加密（在传输过程中的数据加密）分为链路加密、节点加密和端到端加密。

（1）链路加密

（2）节点加密

（3）端到端加密

十、 加密数据存储

1．非关联化密钥

对硬盘进行加密有两种方法：用一个单独的密钥对所有数据进行加密。但这给分析者提供了大量用于分析的密文，并使多个用户只查看硬盘的一部分的操作成为不可能；用不同的密钥对各个文件单独进行加密，这迫使用户记住每个文件的密钥。

2．驱动级与文件级加密

有两种级别的硬盘加密：文件级和驱动器级，

3．加密驱动器的随机存取

十一、硬件加密与加密芯片

1．硬件加密

目前，所有加密产品都是以特定的硬件形式出现的。这些加/解密盒子被嵌入到通信线路中，然后对所有通过的数据进行加密。虽然软件加密在今天日趋流行，但是在商业和军事方面的应用中，硬件加密仍是主流。它速度快，安全性高，易于安装。市场上有3种基本的加密硬件：自带加密模块，用于通信链路的专用加密盒以及可插入个人计算机的插卡。

2．加密芯片

密码虽然可为私人提供信息保密服务，但是它首先是维护国家利益的工具。正是基于这个出发点，考虑到DES算法公开后带来的种种问题，美国国家保密局从19085年开起开始着手考虑制定新的商用数据加密标准，以取代DES。1990年开始试用，1993年正式使用，主要用于通信系统中电话，传真和计算机通信的安全保护。

十二、加密技术的应用

1．数字签名

数字签名是指只有发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对发送者发送的信息真实性的一个证明。

2．数字时间戳

在电子交易中，需要对交易文件的日期和时间信息采取安全措施，而数字时间戳（DTS），可对电子文件发表时间提供安全保护和证明。

3．数字证书和认证系统

（1）数字证书

数字证书可以用于电子邮件、电子商务等各方面。数字证书的内部格式是由CCITTX.509国际标准所制定的。

（2）认证系统

在电子交易中，无论是数字时间戳服务还是数字凭证的发放，都不是靠交易双方自己来完成（无法保证公正性），而需要有一个具有权威性和公正性的第三方来完成。认证中心CA就是承担网上安全电子交易认证服务，能签发数字证书并能确认用户身份的服务机构。认证中心的主要任务是受理数字凭证的申请，签发数字证书及对数字证书进行管理。

4．电子商务

（1）支付网关

支付网关与支付型电子商务业务相关，位于公网和传统的银行网络之间，其主要功能为：将公网传来的数据包解密，并按照银行系统内部通信协议将数据重打包；接收银行系统内部传来的相应消息，将数据转换为公网传送的数据格式，并对其进行加密。

（2）信用卡服务系统

POS系统并不仅仅指消费者在商场中常见的EOS收款机或电子算盘，真正的POS系统是指经过优化的一种销售解决反案，它具有强大的财力和技术后盾的信息管理系统。

（3） 电子柜员机

支付型电子商务是通过电子柜员机软件系统接入公网，其主要任务是负责处理用户的申请，并和银行（通过支付网关）进行通信，发送和接收加密信息，存储签名钥匙和交换钥匙，申请和接受认证等。并随时与数据库进行通信以便存储和填写订单及保留和处理记录。

（4）电子数据交换（EDI）

EDI是电子商务环节（如POS系统）的作业能够顺利实现的基础。EDI包括硬件和软件两大部分，硬件主要是计算机网络，软件包括计算机软件和EDI标准。从硬件方面，出于安全考虑，以前的EDI一般在专用网络（即VAN）上实现的，但目前互联网作为一个费用更低，服务更好的系统，正在逐渐成为EDI的另一种更为合适的硬件载体。

第五章网络攻击、检测与防范技术

一、 网络攻击技术

1．网络攻击的定义

任何以干扰、破换网络系统为目的的非授权行为都称之为网络攻击。法律上对自己网络攻击的定义有两种观点：第一种是指攻击仅仅发身个在入侵行为完全完成，并且入侵者已在目标网络内；另一种观点是指可能使一个网络受到破坏的所有行为，即从一个入侵者开始在目标机傻瓜内的那个时期起，攻击就开始进行了。入侵者对网络发起攻击点是多种多样的，可以发生在家、办公室或车上。

2．常见的网络安全问题

（1） 病毒

（2） 内部威胁和无意破坏

（3） 系统的漏洞和陷门

（4） 网上的蓄意破坏

（5） 侵犯隐私或机密资料

（6） 拒绝服务

3．网络攻击的手段

（1） 服务器拒绝攻击

（2） 利用型攻击

通过密码猜测和特洛伊木马来对网络进行攻击。

（3） 信息收集型攻击

网络攻击者经常在正式攻击之前，进行试探性的攻击，目标是获取系统有用的信息。

利用扫描技术扫描断口，反向映射，慢速扫描，体系结构探测。利用信息服务包括DNS域转换，Finger服务，LDAP服务。

（4） 假消息攻击

假消息攻击包括DNS调整缓存污染和伪造电子邮件。

（5） 逃避检测攻击

黑客已经进入有组织有计划地进行网络攻击的阶段，黑客组织已经发展出不少逃避检测的技巧。但是，攻击检测系统的研究方向之一就是要逃避企图加以克服。

4．常用的网络攻击工具

（1） DOS攻击工具

（2） 木马程序

5．网络攻击使用的操作系统

（1） UNIX

（2） Windows

6.网络攻击的一般步骤及实例

（1） 攻击的准备阶段

攻击者的来源有两种，一种是内部人员利用工作机会和权限来获取非合法的全县而进行攻击。另一种是外部人员入侵，包括远程入侵及网络结点介入入侵等。包括确定攻击的目的

和信息收集。

（2） 攻击的实施阶段

攻击者首先获得权限然后使自己的权限扩大。

（3） 攻击的善后工作

如果攻击者完成攻击后立刻退出系统而不做任何善后工作，那么他的行踪将很快被系统管理员发现，现在所有的网络操作系统都提供日志功能，会把系统上发生的操作纪录下来。所以为了隐蔽性黑客会摸掉自己的痕迹，而且会隐藏自己的踪迹，而且黑客在攻入系统之后会为下一次进入系统时方便一点，就会为自己留下一个后门。

二、 网络攻击检测技术

攻击检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。攻击检测技术从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

1．攻击检测的过程

（1） 信息收集

攻击检测的第一步是收集信息，包括系统、网络、数据及用户活动的状态和行为。而且需要在计算机网络系统中的若干不同关键点收集信息。收集的主要信息来自于系统和网络中的日志文件、目录和文件中的不期望改变、程序执行中的不期望行为、物理形式的攻击信息。

（2） 信号分析

收集到的4类有关系统、网络、数据及用户活动的状态和行为等信息，一般通过3种技术手段进行分析：模式匹配、统计分析和完整性分析。其中，前两种方法用于实时进行入侵检测，而完整性分析用于事后分析。

2．攻击检测方法

(1)基于审计信息的攻击检测技术

基于审计信息的脱机攻击检测工具以及自动分析工具可以想系统安全管理员报告前一天计算机系统活动的评估报告。

（2）基于神经网络的攻击检测技术

IDES类的基于审计统计数据的攻击检测系统，具有某些固有的缺点，因为用户的行为可以是非常复杂的，所以，要准确匹配一个用户的历史行为和当前的行为是相当困难的。错发的警报往往来自于对审计数据的统计算法所基于的不准确或不贴切的假设。SRI研究小组应用神经网络模型进行攻击检测。

（3） 基于专家系统的攻击检测技术

基于专家系统的攻击检测技术是根据安全专家对可以行为的分析经验来形成一套推理规则，然后再在此基础上构造相应的专家系统。由此专家系统自动对攻击操作进行分析。

（4）基于模型推理的攻击检测技术

攻击者在攻击一个系统时往往采用一定的行为程序，如猜测密码的程序等，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时检测出恶意的攻击企图。

3．几种典型的攻击检测系统

(1)NAI公司的Cyberecop攻击检测系统

(2)ISS公司的Realsecure 2.0 for Windows NT

(3)Abirnet公司的Session-wall-32.1

(4)Anzen公司的NFR（Netware Flight Recorder）

(5)IBM公司的IERS系统（Internet Emergency Response Services）

三、 网络安全防范技术

1． 网络安全策略

现代的安全策略应当紧跟安全行业的发展趋势，在进行安全方案设计、规划时应遵循体系性、系统性、层次性、综合性、动态性。包括物理安全策略、访问控制策略、安全的信息传输、网络服务器安全策略、操作 系统及网络软件安全策略、网络安全管理。

2．常用的安全防范技术

（1） 防毒软件

（2） 防火墙

（3） 密码技术

（4） 虚拟专用网络（VPN）

（5） 安全检测

3．网络安全防范产品

现代的安全产品市场的主流产品包括有防火墙、VPN和攻击检测系统等，他们对相关攻击的防范措施各不相同。

（1）防火墙

防火墙是目前使用最广泛的一种网络安全产品。从技术角度来讲，防火墙有3种体系结构：代理型防火墙、包过滤型防火墙和电路型防火墙。在选择防火墙主要考虑安全性、高效性、可管理性和适应性。目前国外比较流行的防火墙产品有CheckPoint的Fire-wall-I，所采用的访问控制规则集非常完善。

（2）虚拟局域网

虚拟局域网（VPN）是一种利用公共基础设施，如Internet，提供安全、可靠、可管理的企业到企业间通信的网络。

（3）入侵检测系统

入侵检测系统（IDS）是一种比较新的软件系统，能够发现正在进行的攻击，实时报警，并通过自动修改路由或防火墙的配制抵制攻击；将复杂的日志文件以简明的图形报表表示，并对其进行分析，得到有效的结果。

四、 黑客攻击与防范

1．黑客攻击的目的

黑客攻击的目的主要包括以下几个：

（1）获取目标系统的非法访问，获得不该获得的访问权限。

（2）获取所需资料，包括科技情报、个人资料、金融账户、技术成果及系统信息等。

（3）篡改有关的数据和资料，达到非法目的。

（4）利用有关的资源，利用某台机器的资源对其他目标进行攻击，发布虚假信息，占用存储空间。

2．黑客攻击的手段

黑客攻击的手段主要包括远程攻击、本机攻击和伪远程攻击。

3．黑客攻击的途径

黑客的攻击主要是利用网络漏洞，其中包括管理漏洞、软件漏洞、结构漏洞和信任漏洞。

4．黑客攻击的层次

黑客的网络攻击分为4个层次：单元分析，即单一目标的系统分析技术；网络分析，即与目标有关的网络系统的技术分析；组织分析，即与目标有关的组织分析；任务分析，即与目标有关的人物分析。

5．黑客攻击的步骤

通常攻击者攻击的目标各不相同，但他们采用的攻击方式和手段却有一定的共性。一般来说，攻击者对目标进行攻击要经历三个步骤，即情报搜集、系统的安全漏洞检测和实施攻击。

6．黑客攻击的防范

从以上论证可以看出，防止内外黑客入侵破坏系统，必须从系统漏洞、网络漏洞、组织管理漏洞和人员安全素质各方面下手。

第六章软件的安全漏洞

网络信息系统是由硬件和软件共同组成的，但由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中更容易有意或无意地留下一些不易发现的安全漏洞，显然从安全角度考虑软件方面的安全显得更加重要。因此，有必要重点介绍一些具有代表性的安全漏洞问题。

一、应用软件中的陷门与防范

陷门就是在程序员进行开发时插入的一小段程序，目的是测试某个模块，或为了连接将来的更改和升级程序，或是在发生故障时，为程序员提供方便等。

1．常见的陷门实例

（1）逻辑炸弹：在网络软件中可以预留隐蔽的定时炸弹。一般情况下，网络正常运行，一但到了某个预定的日期，程序便自动跳到死循环程序，造成死机甚至网络瘫痪。

（2）遥控旁路：可以通过遥控将加密接口旁路，从而失去加密功能，造成信息泄露。

（3）远程维护：某些通信设备具有远程维护功能，即可以通过远程终端，通过公开预留的接口进入系统完成维护检修。

（4）非法通信：某些程控交换机具有单项监听功能，即由特许用户，利用自身的话机拨号，可以监听任意通话双方的话音而不被发现，这本是一种合法的监听。但也可以实现隐蔽的非法通信。

2．对付陷门的方法

（1）加强程序开发阶段的安全控制，防止有意破坏并改善软件的可靠性。

（2）在程序的使用过程中实行科学的安全控制。

（3）制定规范的软件开发标准，加强管理，对相关人员的职责进行有效的监督，改善软件的可用性和可维护性。

二、操作系统的安全漏洞与防范

操作系统是网络硬件与应用程序之间接口的程序模块，是整个网络信息系统的核心控制软件，系统的安全性重点体现在整个操作系统之中。对于一个设计不够安全的操作系统来说，事后采用增加安全性或打补丁的办法进行安全维护是一项艰巨的任务，特别是对引进的设备，在没有详细技术资料的情况下，其工作更为复杂。操作系统的安全漏洞有输入/输出非法访问、访问控制的混乱、不安全的中介和操作系统的陷门。

1.Unix的安全

Unix经历几次更新换代，其功能和安全性日趋完善。即便如此，网络黑客仍可以利用一些漏洞攻入系统。

2．Windows NT的安全

（1）Windows NT的安全机制

①Windows NT的安全模式: Windows NT的安全模式由本地安全性授权（LSA）、安全性账户管理（SAM）和安全性引用监视器（SRM）组成。

②Windows NT的安全策略：Windows NT的安全策略包括用户帐户和用户密码、域名管理、用户组权限和共享资源权限。

③在网络中Windows NT的安全性：作为一种针对网络应用的操作系统，安全性通过其本身的内部机制得到了一定的基本保证，例如：用户帐户、用户密码、共享资源权限、用户管理等。实际应用也证明NT安全性的支持。

④Windows NT的基本安全措施：为确保Windows NT服务器在网络应用的安全，避免资源遭到破坏，在配置，使用Windows NT过程应该注意遵循一定的操作规程。

（2）Windows NT的缺陷：Windows NT的示警和消息服务、防备NetBIOS的完全访问共享、掌握LAN Manager的安全性、Windows NT网络监视器、Windows NT RSH服务和Windows NT Schedule服务。

三、数据库的安全漏洞与防范

数据库系统是在操作系统的文件系统的基础上发展而来的用于大量数据的管理系统。数据库的全部数据都记录在存储媒体上，并由数据库管理系统（DBMS）统一管理。DBMS为用户及应用程序提供了一种访问数据的方法，并且岁数据库进行组织，管理，维护和恢复。数据库系统的安全策略，部分由操作系统来完成，部分由DBMS自身安全措施来完成。数据库系统存放的数据相当重要，必须重点加以保护。

五、 TCP/IP协议的安全漏洞与防范

协议是两个或多个参与者为完成某项任务为完成某种任务或功能而采取的一系列有序步骤。在网络系统中，协议使得双方能够相互配合保证公平性。协议可以为通信者建立，维护和解除通信联系，实现不同机型的互联互通的共同约定。协议的基本特点是预先建立、相互约定、无歧义、完备性。

TCP/IP协议是20世纪90年代以来发展最为迅速的网络协议。目前，TCP/IP协议在互联网上一统天下。正是由于它的广泛应用，使得TCP/IP的任何安全漏洞都会产生巨大的影响。由于TCP/IP协议是面向数据通信的，因而是无连接的，数据包通过网络传输时并不采用特定的路由，所以TCP/IP技术并不能像终端应用提供确定的QoS（服务管理质量）。

TCP/IP协议在网络方面取得巨大成功同时，也暴露出很多不足之处。TCP/IP通信协议在设计初期并没有考虑到安全性问题，而且用户和管理员没有足够的经理专注于网络安全控制，加上操作系统和应用程序越来越复杂，开发人员不可能测试出所有的安全漏洞。在异种机型间资源共享的背后，存在大量漏洞和缺陷：脆弱的认证机制、容易被窃听或监视、易受欺骗、有缺陷的局域网服务和相互信任的主机、复杂的设置和控制、基于主机的安全不易扩展、IP地址的不保密性。

为了尽可能解决TCP/IP的安全问题，Internet的技术管理机构IETF研究了一种新版本IP协议，成为IPV6。新的协议地址长度由32位扩展到128位，增加了安全机制，重点从鉴别和保密两个方面制定了一系列标准。这5个标准分别为：RFC1825、RFC1826、RFC1827、RFC1828和RFC1829。

六、 网络软件与网络服务的漏洞

比较常见的网络软件与网络服务的有以下几种:Finger的漏洞、匿名FTP、远程登录和密码设置的漏洞。

第八章防火墙技术

一、概述

1．防火墙的基本概念：

防火墙是指隔离在本地网络与外界网络之间的防御系统。在互连网上，防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域的连接，同时不会防碍用户对风险区域的访问。防火墙可以监控进出网络的通信量。它只让安全、核准的信息进入，同时抵制对企业构成威胁的数据。由于对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不适合的密码选择。防火墙可以由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间。防火墙一方面限制Internet用户对内部网络的访问，另一方面又管理着内部用户访问外界的权限。换言之，一个防火墙是一个分离器、一个限制器、同时也是一个分析器，有效地监控了内部网和Internet之间的任何活动，确保了内部网络的安全。

2.防火墙的功能

防火墙能增强内部网络的安全性，加强网络间的访问控制，防止外部用户非法使用内部网络资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙系统决定外界可以访问哪些内部服务，以及内部人员可以访问哪些外部服务。

3．防火墙的优缺点

（1）防火墙的优点

Internet防火墙负责管理Internet和内部网络之间访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其他主机，极易受到攻击。这就表明内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。所以，防火墙具有防火墙能够加强安全策略、有效地记录Internet上的活动、限制暴露用户点、是一个安全策略的检查站、可作为中心“扼制点”、产生安全警报、NAT的理想位置和WWW和FTP服务器的理想位置。

（2）防火墙的缺点

防火墙内部网络可以在很大程度上避免攻击。但是过分夸大防火墙的功能，认为所有网络安全问题可以通过简单配置防火墙来达到，着是不全面的。缺点包括不能防范内部人员的攻击、不能防范恶意的知情者和不经心的用户，不能防范不通过它的连接，不能直接抵御恶意程序和不能防范数据驱动攻击。

二、防火墙的工作方式

防火墙常采用的技术和标准包括取代系统上已经装备的TCP/IP协议栈、在已有的协议集上建立自己的软件模块、本身就是独立的一套操作系统、只对特定类型的网络连接提供保护、基于硬件的防火墙产品。

1．硬件方式

硬件防火墙是在内部网与Internet之间放置一台硬件设备，以隔离或过滤人员对内部网络的访问。

2．软件方式

采用软件方式也可以保护内部网络不受外来用户的攻击。在Web主机上或单独一台计算机上运行一类软件，监测，侦听来自网络上的信息，对访问内部网的数据进行过滤，从而保护内部网免受破坏。在这类软件中，最常用的是代理服务器软件。

3．混合方式

一套完整的防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器和代理服务器通常组合在一起构成混合系统，其中屏蔽路由器主要用于防止IP欺骗攻击。而代理服务器是防火墙中的一个服务器进程，能够代替网络用户完成特定的TCP/IP功能。

三、防火墙的基本组件

防火墙是一个由软件和硬件组成的系统，所以又称为防火墙系统。一个防火墙由以下几个组件构成。

1．屏蔽路由器或网络层防火墙

这是防火墙最基本的构件。屏蔽路由器是一个多端口的IP路由器，它对进出内部网络的所有信息进行分析，并按照一定的安全策略，即信息过滤原则，对进出内部网络的信息进行限制，允许授权信息而拒绝非授权信息通过。

2．应用层网关

它由两部分组成，即代理服务器和屏蔽路由器。这是目前最通用的一种防火墙，它将屏蔽路由器技术和软件代理技术结合在一起，由屏蔽路由器负责网络的互联，进行严格的数据选择，应用代理则提供应用层服务的控制，代理服务器起到了外部网络向内部网络申请服务时中间转接的作用。

3．双宿主机

双宿主机是堡垒主机的一个实例。堡垒主机是指任何对网络安全至关重要的防火墙主机。堡垒主机是一个组织机构网络安全的中心主机。因为堡垒主机对网络安全至关重要，对它必须进行完善的防御，即堡垒主机是由网络管理员严密监视的。应该定期审查堡垒主机软件和系统的安全情况。查看访问纪录，以发现潜在的安全漏洞和对堡垒主机的试探性攻击。

四、防火墙的体系结构及组合形式

1．防火墙的体系结构：防火墙的体系结构一般有以下几种：双宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。

（1）双宿主主机体系结构：双宿主防火墙是通过运行应用层代理软件或链路层代理软件来工作的。代理软件控制数据包从一个网流向另一个网。以为主机宿是双宿主机（连接两个网络）防火墙可以观测两个网络上的数据包。防火墙通过运行代理软件来控制两个网络上的传输信息（两个本地网或一个本地网和Internet）

(2)屏蔽主机体系结构：蔽主机体系结构防火墙系统，采用了包过滤路由器和堡垒主机组成。此防火墙系统的安全等级比双宿主主机体系结构的防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。因此，入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。

（3）屏蔽子网体系结构：堡垒主机是用户网络上最容易入侵的机器。尽管用户努力去保护它，但它仍是最有可能入侵的机器。如果在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的入侵门户被打开，那么用户的堡垒主机就很容易成为攻击的目标。

2．组合形式

建造防火墙时，一般很少采用单一的技术，而是采用多种技术的组合。这种组合主要取决于网管中心向用户提供何种服务，以及网管中心接受哪一等级风险。一般有一下几种形式：使用多堡垒主机、合并内部路由器与外部路由器、合并内部路由器与堡垒主机、合并堡垒主机和外部路由器、使用多台内部路由器、使用多台外部路由器、使用多个周边网络和使用双宿主主机与屏蔽子网。

五、防火墙的主要技术

防火墙系的实现技术一般分为3种：即包过滤技术、代理服务技术和主动检测技术。

1．包过滤技术：包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址和TCP端口号等规则，对通过设备的数据包进行检查，限制数据包在内部网络的进出。由于包过滤技术要求内外通信的数据包必须通过使用这项技术的计算机，才能进行过滤，因而，包过滤技术必须用在路由器上。因为只有路由器才是连接多个网络的桥梁，所有网络之间交换的数据包都得经过它，所以路由器有能力对每个数据包进行检查。

（1）包过滤技术的优点：一个过滤路由器能协助保护整个网络、数据包过滤对用户透明和过滤路由器速度快和效率高。

（2）包过滤技术的缺点：不能彻底防止地址欺骗、一些应用协议不适合数据包过滤、正常的数据包过滤路由器无法执行某些安全策略和数据包工具存在很多局限性。

2．代理服务技术

代理服务是另一种防火墙技术，与包过滤不同，它直接和应用服务程序打交道。它不会让数据包直接通过，而是自己接收数据包，并对其进行分析。当代理程序理解了连接请求之后，将启动另一个连接，向外部网络发送同样的请求，然后将返回的数据送回提出请求的内部网计算机。

（1）代理技术的优点：代理易于掌握、代理能够生成各项记录、代理能灵活、安全地控制进出流量和内容、代理能够过滤数据内容、代理能为用户提供透明的加密机制和代理可以方便地与其他安全手段集成。

（2）代理技术的缺点：使用代理比使用路由器的速度慢、代理用户不透明、对于每项代理可能要求不同的服务器、代理通常要求对客户或过程之一或两者进行限制、代理不能保证免受所有协议弱点的限制、代理不能改进底层协议的安全性。

3．主动检测技术

无论是包过滤，还是代理服务，都是根据管理员预先定义好的规则提供服务或者限制某些访问。然而在提供网络访问能力和保证网络访问能力和保证网络安全方面存在矛盾，只要允许访问某些网络服务，就有可能造成某种系统漏洞；如果限制太严厉，合法的网络访问就会受到不必要的限制。

六、防火墙的分类

1．基于硬件环境分类：可分为基于路由器的防火墙和基于主机系统的防火墙。包过滤防火墙可以基于路由器也可以基于主机系统来实现，而电路级网关和应用级网关只能是基于主机系统来实现。

2．基于功能分类：可分为FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙等专用防火墙。

3．基于网络层次分类：Internet采用TCP/IP协议，设置不同网络层次上的电子屏障，构成不同类型的防火墙：包过滤防火墙、电路网关和代理防火墙。

七、 防火墙的设计

1．网络防火墙安全策略：网络防火墙安全策略是指要明确定义允许使用或禁止使用的网络服务，以及这些服务的使用规定。总的来说，一个防火墙应该使用的方法是下两个中的一个，每一个没有明确允许的都被拒绝或每一个没有明确拒绝的都允许。

2，企业网的安全策略：一个机构的全局性安全策略必须根据安全分析和业务需求分析来决定。因为防火墙只与网络安全有关，所以，只有在正确定义了全局安全策略的情况下，防火墙才具有一定的价值。

3．防火墙的费用：简单的包过滤防火墙所需费用量很少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特征。对于一台商用防火墙来说，随着其复杂性和受保护系统数目的增加，其费用也随之增加。

八、防火墙的安全标准

防火墙技术发展迅速而标准还不健全，导致防火墙产品兼容性差，给不同防火墙产品的互连带来了困难，为了解决这个问题目前提出两个标准：RSA数据安全公司与一些防火墙的生产产商以及一些TCP/IP协议开发商共同提出了Secure/WAN标准、NCSA成立的防火墙开发商（FWPD）联盟制定的防火墙测试标准。

九、防火墙产品简介

纵观防火墙产品近年来的发展，可将其分为4个阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。

1．基于路由器的防火墙

第一代防火墙产品的特点：利用路由器本身对分组的解析，过滤判决的依据可以是地址、端口号、IP地址及其他网络特征，只有分组过滤的功能且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对于要求高的可单独利用一台路由器做防火墙。

2．用户化的防火墙工具套

第二代防火墙产品，用户化的防火墙工具套具有以下特征：将过滤功能从路由器中独立出来并增加审计和告警功能、针对用户需求提供模块化的软件包、软件可通过网络发送用户可以自动动手构造防火墙、与第一代防火墙相比安全性高价格降低。

3．建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。这是第三代防火墙，第三代防火墙有以下特点：是批量上市的专用防火墙产品、包括分组过滤或者借用路由器的分组过滤功能、装有专用的代理系统监控所有协议的数据和指令、保护用户编程空间和用户配置内核参数的设置、安全性和速度大为提高。

4．具有安全操作系统的防火墙

防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，1997年初，具有安全操作系统的防火墙产品上市，使防火墙产品步入了第四个发展阶段。它的特点如下：防火墙产商具有操作系统的源代码，并可实现安全内核、对安全内核实现加固处理，每个服务器和子系统都做了安全处理，在功能上包括了分组过滤应用、应用网关、电路级网关、且具有加密与鉴别功能，透明性好易于使用。

十、防火墙攻击技术

防火墙正在TCSEC和ITSEC的指导下进行评估和认证。虽然防火墙能够对网络进行较好的防范，但也存在着不容忽视的局限性，它们不是安全解决方案的全部。黑客或恶意入侵者攻击防火墙的技术或手段主要有：IP地址欺骗、TCP序号攻击、IP分段攻击、.基于附加信息攻击、基于堡垒主机Web服务器的攻击、IP隧道攻击、计算机病毒攻击、特洛伊木马攻击、前缀扫描攻击、数据驱动攻击、报文攻击、电污染攻击和社会工程攻击。

第九章虚拟专用网技术

一、VPN概述

1．VPN的定义

VPN（Virtual Private Network）技术即虚拟专用网技术，是通过ISP和其他NSP，在公共网络中建立专用的数据痛惜网络的技术。虚拟专用网虽不是真的专用网络，但却能够实现专用网络的功能。虚拟是指用户不必拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。专用网络是指用户可以制定一个最符合自己需求的网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用公众网的资源动态组成。

虚拟专用网技术指在公共网络中建立专用网络，数据通过安全的加密管道在公共网络中传播。虚拟专用网可以实现不同网络的组件和资源之间的相互连接，能够利用Internet或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络相同的安全和功能保障。

2．VPN的特点：包括安全保障、服务质量保证、可扩充性和灵活性、可管理性。

3．VPN与侦中继、ATM的比较：

在使用祯中继以及ATM等数据网络时，使用者所有的权限都掌握在别人的手中，如果需要一些新的服务，则需要填写许多单据，且短期内无法获得该服务。更为重要的是，终端设备不但价格昂贵，而且需要一定的专业技术人员管理，这无疑增加了成本。同时，祯中继、ATM数据网络也不能立即与世界上任何一个Internet网络的用户连接。然而在Internet上，VPN使用者却可以控制与其他使用者的联系，同时支持拨号的用户。

4，VPN的工作特点：VPN的建立有3种方式：企业自身建设，对ISP透明；ISP建设，对企业透明；ISP和企业一起建设。

二、VPN的分类

1．基于接入方式划分：专线VPN和拨号VPN

2．基于隧道层次划分：工作在链路层的第二层隧道协议、工作在网络层的第三层隧道协议、介于第二层和第三层之间的隧道协议

3．基于VPN主体划分：客户发起、服务器发起。

4．基于VPN业务类型划分：远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网。

5．基于VPN应用平台划分：软件平台、专用硬件平台、辅助硬件平台。

6．基于业务类型划分：拨号VPN、虚拟专线VLL、路由VPN、局域网VPN

7．基于VPN模式划分：端到端模式、供应商到企业模式、内部供应商模式。

三、远程访问虚拟网

随着移动办公日益增多，用户需要及时地访问Internet和Extranet。远程访问虚拟网利用二层网络隧道技术在公用网络上建立VPN隧道连接，实现公用网络与企业的Intranet和Extranet私有网络连接，传输私有数据。

四、Intranet VPN

Intranet VPN通过一个使用专用连接的共享基础设施，连接的共享基础设施，连接企业总部、远程办事处和分支结构。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。

五、Extranet VPN

利用VPN技术可以组建安全的Extranet，一方面可以向客户、合作伙伴提供有效的信息服务，另一方面可以保证自身内部网络的安全。Extranet VPN就是位于供应商、商业合作伙伴的局域网和公司的局域网之间的VPN。

六、虚拟拨号专用网技术

1．VPDN结构

典型的VPDN结构包括两个基本部分，即接入服务器和用户端设备。

（1）接入服务器(NAS)

(2)用户端设备（CPE）

2．VPDN管理工具

七、VPN设计原则

1．安全性

（1）隧道与加密

（2）数据验证

（3）用户验证

（4）防火墙与攻击检测

2．网络优化

（1）流分类

（2）流量整形与监管

（3）拥塞管理与带宽分配

3．VPN管理

（1）减小网络风险

（2）扩展性

（3）经济性

（4）可靠性

八、VPN的基本技术

1．隧道技术

（1）概述

（2）隧道的基本组成

（3）隧道技术的作用

（4）隧道交换机

（5）建立安全的数据通道协议的条件。

2．隧道协议

（1） 第二层隧道协议：点对点隧道协议（PPTP）、第二层转发协议L2F、第二层隧道协议L2TP.。

（2） 第三层隧道协议：GRE协议、Internet安全协议IPSec、SOCKS v5协议。

3．隧道类型：自愿隧道、强制隧道。

4．加密技术

5．密钥管理技术

6．身份认证技术

7．QoS技术

8．网络管理和运行

（1） 用户IP地址管理

（2） 网络层地址管理

（3） VPN成员管理：包括成员认证、访问控制过滤和用户优先级定义和计费结算。