140-计算机网络.pptVIP

计算机网络 第 7 章 网络安全 第 7 章 网络安全 7.1 网络安全问题概述 7.2 两类密码体制 7.3 数字签名 7.4 鉴别 7.5 密钥分配 7.6 因特网使用的安全协议 7.7 链路加密与端到端加密 7.8 防火墙 网络存在的安全威胁 计算机系统的本身的弱点 计算机系统的设计对信息安全考虑不周，计算机系统自然在安全方面存在弱点。 网络操作系统提供的远程过程调用（RPC）服务以及它所安排的无口令入口也是黑客的通道。当前计算机网络系统都使用的TCP／IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。 计算机系统管理的脆弱性，存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。 计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。 黑客通常采用Sock、TCP预测或使用远程访问（RPC）进行直接扫描等方法对防火墙进行攻击。 计算机系统安全 1983年美国国防部公布的可信计算机系统评估准则（TCSEC）将操作系统的安全级别分为四类七个级别（D、C1、C2、B1、B2、B3、A1），后补充TNI和TDI （如图所示） 信息机密性 7.1 网络安全问题概述 7.1.1 计算机网络面临的安全性威胁 计算机网络上的通信面临以下的四种威胁： (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 对网络的被动攻击和主动攻击 被动攻击和主动攻击 在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 更改报文流 拒绝报文服务 伪造连接初始化 计算机网络通信安全的目标 (1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连接。 恶意程序(rogue program) (1) 计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 (2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 (3) 特洛伊木马——一种程序，它执行的功能超出所声称的功能。 (4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 7.1.2 计算机网络安全的内容 保密性 安全协议的设计 访问控制 7.1.3 一般的数据加密模型 7.1.3一般的数据加密模型 欲加密的数据称为明文 明文经某种加密算法的作用后转换成密文 加密算法中使用的参数称为加密密钥 密文经解密算法作用后形成明文输出，解密算法也有一个密钥，它和加密密钥可以相同也可以不同。 公式Y= Ek（X）表示明文X经加密算法E 和加密密钥k作用后转换成密文Y； 解密：DK(Y)=DK(EK(X))=X 密钥可以相同，也可以不同。 补充：几种加密方法替代密码-凯撒密码 替代密码就用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母的位置不变。 凯撒密码，它用D表示a，用E表示b，用F表示c，……，用C表示z，也就是说密文字母相对明文字母左移了3位。 计法约定：用小写表示明文，用大写表示密文 这样明文的“cipher”就变成了密文的“FLSKHU”。 更一般地，可以让密文字母相对明文字母左移k位，这样k就成了加密和解密的密钥。 容易破译，因为最多只需尝试25次（k=1～25）即可轻松破译密码。 替代密码-单字母表替换 使明文字母和密文字母之间的映射关系没有规律可循，比如将26个英文字母随意映射到其他字母上 破译者只要拥有很少一点密文，利用自然语言的统计特征，很容易就可破译密码。 破译的关键在于找出各种字母或字母组合出现的频率 比如经统计发现， 英文中字母e出现的频率最高，其次是t、o、a、n、i 最常见的两字母组合依次为th、in、er、re和an， 最常见的三字母组合依次为the、ing、and和ion。 因此破译者首先可将密文中出现频率最高的字母定为e， 频率次高的字母定为t，……； 然后猜测最常见的两字母组、三字母组，比如密文中经常出现tXe，就可以推测X很可能就是h，如经常出现thYt，则Y很可能就是a等。 替代密码-多张密码字母表 对明文中不同位置上的字母用不同的密码字母表来加密。比如任意选择26张不同的单字母密码表，相互间排定一个顺序，然后选择一个简短易记的