计算机网络技术与应用 教学课件 作者 乔正洪 葛武滇 08.pptVIP

* 第8章 计算机网络安全 本章要点： ? 计算机网络的管理与维护 ? 反病毒技术 ? 防火墙技术 ? 密码技术 ? 网络安全概述 [Return] 8.1 网络安全概述 8.1.1 计算机网络安全的定义 国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。计算机网络由计算机和通信网络两个部分组成，其中计算机是通信网络的终端或信源，通信网络提供数据传输和交换的必要手段，最终实现保存在计算机中的资源共享。因此计算机网络安全可以理解为：通过采取各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等问题。 8.1.2 影响网络安全的因素 随着计算机网络技术的发展和应用，一方面网络提供了资源共享性、系统的可靠性、工作的效率和系统的可扩充性；同时也正是这些特点，增加了网络安全的脆弱性和复杂性，资源共享和分布增加了网络受威胁和攻击的可能性。 对网络的威胁，主要有以下4个方面： 网络硬件设备和线路的安全问题； 网络系统和软件的安全问题； 网络管理人员的安全意识问题； 环境的安全因素。 8.1.3 Internet网络存在的安全缺陷 1. 薄弱的认证环节 2. 系统的易被监视性 3. 网络系统易被欺骗性 4. 有缺陷的局域网服务和相互信任的主机 5. 复杂的设备和控制 6. 无法估计主机的安全性 8.1.4 网络安全体系结构 1. 网络安全系统的功能 （1）身份识别 （2）存取权限控制 （3）数字签名 （4）保护数据完整性 5）审计追踪 6）密钥管理 2. 安全功能在OSI模型中的位置 （1）OSI模型定义的安全服务 网络系统的安全涉及到平台的各个方面。按照网络OSI的7层模型，网络安全贯穿于整个7层模型中，OSI安全体系结构定义了7种类型的安全服务 图9-1 【带有安全属性的OSI层次模型】 （2）OSI层次模型中各层提供的安全功能和措施 （3）计算机网络安全体系层次与实现 网络的安全性（network integrity） 系统的安全性（system integrity） 用户的安全性（user integrity） 应用程序的安全性（application integrity） 数据的安全性（application confidentiality） 9.2 密码技术 图9-2 【加密解密模型】 密码技术是对存储或者传输的信息采取秘密交换以防止第三者对信息窃取的技术。密码技术分为加密和解密两部分。加密是把需要加密的报文（简称明文）按照密钥参数进行变换，产生密码文件（简称密文）。解密是按照密钥把密文还原成明文的过程。密钥是一个数值，它和加密算法一起生成特别的密文。 8.2.1 私钥密码技术 私钥密码体制是从传统的简单换位、代替密码发展而来的，也称为对称密钥密码体制。对称密钥密码体制使用相同的密钥加密和解密信息，即通信双方建立并共享一个密钥。对称密钥密码体制的工作原理为：用户A要传送机密信息给B，则A和B必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥K，于是A用密钥K和加密算法E对明文P加密得到密文C=EK（P），并将密文C发送给B；B 用同样一密钥K和解密算法D对密文解密，得到明文P=DK（EK（P））。 按加密模式来分，对称密钥密码体制可以分为流密码和分组密码两大类。 1. 流密码 流密码的工作原理是，通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流，逐比特加密得到密文序列。流密码对输入元素进行连续处理，同时产生连续单个输出元素。所以，流密码的安全强度完全取决于它所产生的伪随机序列的好坏。 流密码的优点是错误扩展小、速度快、同步容易和安全程度高。对流密码的攻击主要手段有代数方法和概率统计方法，两者的结合可以达到较好的效果。 2. 分组密码 分组密码的工作方式是将明文分成固定的块，用同一密钥算法对每一块加密，输出也是固定长度的密文，即每一个输入块生成一个输出块。分组密码是将明文消息编码表示后的数字序列x1，x2，…，x3，…，划分成长为m的组x=（x0，x1，…，xm-1），各组分别在密钥k=（k0，k1，…，kl-1）控制下变换成等长的输出数字序列y=（y0，y1，…，yn-1），其加密函数E：Vn×K→Vn，Vn是n维矢量空间，K为密钥空间。它与流密码不同之处在于输出的每一位数字不仅与相应时刻输入的明文数字有关，还与一组长为m的明文数字有关。 图9-3 【分组密码框图