第6章 计算机网络的安全性.ppt

　　　　 　6.1 网络安全概述6.1.1 计算机网络的设计缺陷　　计算机网络的设计缺陷包括两方面的内容：　　(1) 物理结构的设计缺陷。局域网采用广播式网络结构，所有主机发送的信息可以被同一个网络中的其他主机监听；广域网和Internet上的中继设备(如路由器)可以监听所有网络之间转发的信息。 　　(2) 网络系统的漏洞、协议的缺陷与后门。一些网络协议(如TCP/IP协议)在实现上力求实效，而没有考虑安全因素。网络操作系统过于庞大，存在致命的安全漏洞。有时网络公司为了某些目的，在系统中设有安全后门，也造成了网络安全隐患。 　　1．物理网络结构易被窃听　　1) 广播式网络的安全问题　　当今大多数局域网采用以太网方式，以太网上的所有设备都连在以太网总线上，它们共享同一个通信通道。以太网采用的是广播式通信，如图6-1所示，广播式通信网络的特点是在通信子网中只有一个公共通信信道，为所有节点共享使用，任一时刻只允许一个节点使用公用信道。 图6-1 广播式网络易被监听 　　2) 点?-?点网络的安全问题　　Internet和大部分广域网采用点?-?点方式通信，在这种网络中，任何一段物理链路都惟一连接一对节点，如果不在同一段物理链路的一对节点要通信，必须通过其他节点进行分组转发。进行分组转发的节点就可以窃听网间传送的数据，如图6-2所示。 图6-2 点?-?点式网络转节点上易被监听 　　2．TCT/IP网络协议的设计缺陷　　下面是现存的TCP/IP协议的一些安全缺陷：　　1) 容易被窃听和欺骗　　2) 脆弱的TCP/IP服务　　3) 缺乏安全策略　　4) 配置的复杂性 6.1.2 计算机网络安全性概念　　计算机网络的重要功能是资源共享和通信。由于用户共处在同一个大环境中，因此信息的安全和保密问题也就十分重要，计算机网络上的用户对此也特别关注。 　　　　　　6.2 密 码 技 术　　密码技术通过信息的变换或编码，将机密的敏感消息变换成黑客难以读懂的乱码型文字，以此达到两个目的：其一，使不知道如何解密的黑客不可能从其截获的乱码中得到任何有意义的信息；其二，使黑客不可能伪造任何乱码型的信息。　　密码技术有五大基本要素：　　(1) 明文：信息的原始形式(Plaintext，通常记为P)。　　(2) 密文：明文经过变换加密后的形式(Ciphertext，通常记为C)。 　　(3) 加密：由明文变成密文的过程称为加密(Enciphering，记为E)，加密通常由加密算法来实现的。　　(4) 解密：由密文还原成明文的过程称为解密(Deciphering，记为D)，解密通常由解密算法来实现的。　　(5) 密钥：为了有效地控制加密和解密算法实现，在其处理过程中要有通信双方掌握的专门信息参与，这种专门信息称为密钥(Key，记为K)。　　一般的加密与解密模型如图6-3所示。 图6-3 加密-解密模型 6.2.1 密码技术的发展历程　　人类有记载的通信密码始于公元前400多年，当时的古希腊人发明了置换密码。密码技术从其发展来看，可分为传统密码技术和现代密码技术。 6.2.2 传统的加密方法　　传统的加密方法其密钥是由简单的字符串组成的，它可选择许多加密形式中的一种。只要有必要，就可经常改变密钥。因此，上述基本模型是稳定的，是人所共知的。它的好处就在于可以秘密而又方便地变换密钥，从而达到保密的目的，传统的加密方法可分为两大类：代换密码法和转换密码法。 　　1．代换密码法　　在代换密码 (Substitution Cipher) 中，为了伪装掩饰每一个字母或一组字母，通常都将字母用另一个字母或另一组字母代换。古老的恺撒密码术就是如此，它把a变成D，b变成E，c变为F……z变为C，即将明文的字母移位若干字母而形成密文。例如，attack变成DWWDFN。本例中只移3个字母，实际上移几位可由设计者来定。进一步改进的方法是：把明文的每一个字母一一映射到其他字母上。例如：　　明文：abcdefghijklmnopqrstuvwxyz　　密文：QWERTYUIOPASDFGHJKLZXCVBNM 　　例如，COOKIEMONSTER。为把较长明文译成密码，可重复地把密钥写在明文上方，例如：　　COOKIEMONSTERCOOKIE MQNSTERCOOKIEMONSTE RCOOKIEMO　　fourscoreandsevenye arsagoourmothersbro ughtforth 　　2．转换密码方法　　代换密码法的实质就是保持明文的次序，而把明文字符隐藏起来。转换密码法采用重新安排字母次序的方法，而不是隐藏它们。　　下面举一个进行列转换