CH7 网络安全 3ed.pptx

计算机网络教程（第 3 版）第 7 章 网络安全 第 7 章 网络安全 7.1 网络安全概述 7.1.1 安全威胁 7.1.2 安全服务7.2 机密性与密码学 7.2.1 对称密钥密码体制 7.2.2 公钥密码体制 第 7 章 网络安全（续）7.3 报文完整性 7.3.1 报文摘要和报文鉴别码 7.3.2 数字签名7.4 实体鉴别7.5 密钥分发和认证 7.5.1 对称密钥的分发 7.5.2 公钥的认证 第 7 章 网络安全（续）7.6 网络安全协议 7.6.1 网络层安全协议：IPsec 7.6.2 运输层安全协议：SSL/TLS 7.6.3 应用层的安全协议：PGP7.7 系统安全：防火墙与入侵检测 7.7.1 防火墙 7.7.2 入侵检测系统 7.1 网络安全概述 7.1.1 安全威胁 计算机网络上的通信面临以下的四种威胁： (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 对网络的被动攻击和主动攻击 源站目的站源站目的站源站目的站源站目的站中断篡改伪造截获被动攻击主 动 攻 击 被动攻击和主动攻击攻击者只是观察和分析网络中传输的数据流而不干扰数据流本身。主动攻击是指攻击者对传输中的数据流进行各种处理。更改报文流 拒绝服务攻击 恶意程序攻击 恶意程序(rogue program) (1) 计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3) 特洛伊木马——一种程序，它执行的功能超出所声称的功能。(4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 7.1.2 安全服务 机密性(confidentiality) 确保计算机系统中的信息或网络中传输的信息不会泄漏给非授权用户。这是计算机网络中最基本的安全服务。报文完整性(message intergrity) 确保计算机系统中的信息或网络中传输的信息不被非授权用户篡改或伪造。后者要求对报文源进行鉴别。 。 7.1.2 安全服务 不可否认性(nonrepudiation) 防止发送方或接收方否认传输或接收过某信息。在电子商务中这是一种非常重要安全服务。实体鉴别(entity authentication) 通信实体能够验证正在通信的对端实体的真实身份，确保不会与冒充者进行通信。 7.1.2 安全服务 访问控制(access control) 系统具有限制和控制不同实体对信息源或其他系统资源进行访问的能力。系统必须在鉴别实体身份的基础上对实体的访问权限进行控制。可用性(availability) 确保授权用户能够正常访问系统信息或资源。拒绝服务攻击是可用性的最直接的威胁。 7.2 机密性与密码学 机密性应该是密码学最早的应用领域，但我们在后面几节将会看到密码学技术和鉴别、报文完整性以及不可否认性等是紧密相关的，可以说密码学是计算机网络安全的基础。 数据加密的一般模型 截获篡改截取者加密密钥 KA解密密钥 KBAB密文 Y密文 YE 运算加密算法D 运算解密算法因特网明文 X 明文 XY = EKA(X)DKB(Y) = DKB(EKA(X)) = X 一些重要概念 如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。 7.2.1对称密钥密码体制 所谓对称密钥密码体制是一种加密密钥与解密密钥相同的密码体制。在这种加密系统中两个参与者共享同一个秘密密钥，如果用一个特定的密钥加密一条消息，也必须要使用相同的密钥来解密该消息。该系统又称为对称密钥系统。 数据加密标准 DES数据加密标准 DES 属于常规密钥密码体制，是一种分组密码。数据加密标准DES (Data Encryption Standard)是对称密钥密码的典型代表，由IBM公司研制，于1977年被美国定为联邦信息标准后，在国际上引起了极大的重视。ISO曾把DES作为数据加密标准。DES使用的密钥为64位（实际密钥长度为56位，有8位用于奇偶校验）。 DES 的保密性DES 的保密性仅取决于对密钥的保密，而算法是公开的。尽管人们在破译 DES 方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。DES 是世界上第一个公认的实用