第七节网络安全.pptVIP

第 7 章 网络安全 李彬 山东轻工业学院 理学院 网络安全问题已经成为信息化社会的一个焦点问题； 每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。 网络中的信息安全问题 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用； 信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击； 1. 网络防攻击技术 服务攻击（application dependent attack） : 对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常; 非服务攻击（application independent attack） : 不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。 信息传输安全问题的四种基本类型 计算机网络上的通信面临以下的四种威胁： (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 被动攻击和主动攻击 在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 更改报文流 拒绝报文服务 伪造连接初始化 计算机网络通信安全的目标 (1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连接。 防抵赖问题 防抵赖是防止信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到信息之后不认账； 通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，防止“抵赖”现象出现。 恶意程序(rogue program) (1) 计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 (2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 (3) 特洛伊木马——一种程序，它执行的功能超出所声称的功能。 (4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 7.1.2 计算机网络安全的内容 保密性 安全协议的设计 访问控制 7.1.3 一般的数据加密模型 密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥； 传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制； 如果加密密钥和解密密钥不相同，则称为非对称密码体制； 密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系； 密码算法是相对稳定的。在这种意义上，可以把密码算法视为常量，而密钥则是一个变量； 在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。 什么是密码 密码是含有一个参数k的数学变换，即 Y = Ek（X） X是未加密的信息（明文） Y是加密后的信息（密文） E是加密算法 参数k称为密钥 密文Y是明文X 使用密钥k 经过加密算法计算后的结果； 加密算法可以公开，而密钥只能由通信双方来掌握。 密钥长度密钥长度与密钥个数 7.2 两类密码体制 7.2.1 对称密钥密码体制 所谓常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制。 这种加密系统又称为对称密钥系统。 对称密钥（symmetric cryptography）密码体系 非对称密钥（asymmetric cryptography）密码体系 数据加密标准 DES 数据加密标准 DES 属于常规密钥密码体制，是一种分组密码。 在加密前，先对整个明文进行分组。每一个组长为 64 位。 然后对每一个 64 位 二进制数据进行加密处理，产生一组 64 位密文数据。 最后将各组密文串接起来，即得出整个的密文。 使用的密钥为 64 位（实际密钥长度为 56 位，有 8 位用于奇偶校验)。 7.2.2 公钥密码体制 公钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 公钥密码体制的产生主要是因为两个方面的原因，一是由于常规密钥密码体制的密钥分配问题，另一是由于对数字签名的需求。 现有最著名的公钥密码体制是RSA 体制，它基于数论中大