计算机网络自顶向下方法(第四版)免费版第8章.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 网络安全 * 因特网安全性威胁 IP哄骗：入口过滤 路由器对于非法源地址不应当向外转发 (如 数据报源地址不在路由器网络中) 很好的方法！但入口过滤不能强制所有网络实行 A B C src:B dest:A 负载 网络安全 * 因特网安全性威胁 拒绝服务(DOS): 产生的大量敌意分组淹没了接收方 分布式DOS (DDOS): 多个协同的源淹没接收方 如 C和远程主机SYN攻击A A B C SYN SYN SYN SYN SYN SYN SYN 对策? 网络安全 * 因特网安全性威胁 拒绝服务(DOS): 对策 在到达主机前过滤出洪泛分组(如 SYN)：扔掉 溯源(traceback)到洪泛的源(许多可能是无辜的、被连累的机器) A B C SYN SYN SYN SYN SYN SYN SYN 网络安全 * 第8章 要点 8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 8.8.1. 安全电子邮件 8.8.2. 安全套接字 8.8.3. IPsec 8.8.4. 在802.11中的安全性 网络安全 * 安全电子邮件 Alice: 生成随机对称私钥KS 用KS 加密报文(为了提高效率) 也用Bob的公钥加密KS 向Bob发送KS(m)和KB(KS) Alice要向Bob发送机密的电子邮件, m KS( ) . KB( ) . + + - KS(m ) KB(KS ) + m KS KS KB + 因特网 KS( ) . KB( ) . - KB - KS m KS(m ) KB(KS ) + 网络安全 * 安全电子邮件 Bob: 使用他的私钥解密并恢复KS 使用KS 解密KS(m)以恢复m Alice要向Bob发送机密电子邮件 m KS( ) . KB( ) . + + - KS(m ) KB(KS ) + m KS KS KB + 因特网 KS( ) . KB( ) . - KB - KS m KS(m ) KB(KS ) + 网络安全 * 安全电子邮件(续) Alice要提供发送方鉴别和报文完整性 Alice数字签名报文 发送报文(以明文方式)并数字签名 H( ) . KA( ) . - + - H(m ) KA(H(m)) - m KA - 因特网 m KA( ) . + KA + KA(H(m)) - m H( ) . H(m ) 比较 网络安全 * 安全电子邮件(续) Alice要提供安全性，发送方 鉴别，报文完整性. Alice使用3个密钥: 她的私钥，Bob的公钥，新生成的 对称密钥 H( ) . KA( ) . - + KA(H(m)) - m KA - m KS( ) . KB( ) . + + KB(KS ) + KS KB + 因特网 KS 网络安全 * Pretty good privacy (PGP) 因特网电子邮件解密方案，事实上的标准 使用前面所述的对称密钥密码学, 公钥密码学, 散列函数, 和数字签名 提供安全性，发送方鉴别, 完整性 发明者 Phil Zimmerman被联邦调查局调查3年 ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE--- 一份PGP签名的报文: 网络安全 * 第8章 要点 8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 8.8.1. 安全电子邮件 8.8.2. 安全套接字 8.8.3. IPsec 8.8.4. 在802.11中的安全性 网络安全 * 安全套接字层(SSL) 使用SSL服务为任何基于TCP应用程序提供运