计算机网络 Capter 8 网络安全.pptVIP

第8章：网络安全 本章目标： 理解网络安全原理: 加密，不仅仅用于机密性 认证 报文完整性 密钥分发 安全实践: 防火墙 各个层次的安全性：应用层，传输层，网络层和链路层 提纲 8.1 什么是网络安全？ 8.2 加密原理 8.3 认证 8.4 报文完整性 8.5 密钥分发和证书 8.6 访问控制：防火墙 8.7 攻击和对策 8.8 各个层次的安全性 本次课程（2008年5月19日） 网络安全几要素：机密、认证、完整性、访问控制和服务可用性 网络安全模型 坏蛋可以干什么 加密： 概念和术语 对称加密：des，aes 公开密钥加密：rsa；加密，解密，原理 认证 概念 AP1.0，AP2.0, AP3.0 3.1,AP4.0, AP5.0 什么是网络安全？ 机密性: 只有发送方和预订的接收方能否理解传输的报文内容 发送方加密报文 接收方解密报文 认证: 发送方和接收方需要确认对方的身份 报文完整性: 发送方、接受方需要确认报文在传输的过程中或者事后没有被改变 访问控制和服务的可用性: 服务可以接入以及对用户而言是可用的 朋友和敌人: Alice, Bob, Trudy 网络安全世界比较著名的模型 Bob, Alice (lovers!) 需要安全的通信 Trudy (intruder) 可以截获，删除和增加报文 谁有可能是Bob, Alice? … 现实世界中的Bobs和Alices! 电子交易中的Web browser/server (e.g.,在线购买) 在线银行的client/server DNS servers 交换路由信息的交换 其它例子? 网络中的坏蛋 Q: “bad guy”可以干什么? A: 很多! 窃听: 截获报文 插入：在连接上插入报文 伪装: 可以在分组的源地址写上伪装的地址 劫持: 将发送方或者接收方踢出，接管连接 拒绝服务: 阻止服务被其他正常用户使用 (e.g.,通过对资源的过载使用) 提纲 8.1 什么是网络安全？ 8.2 加密原理 8.3 认证 8.4 报文完整性 8.5 密钥分发和证书 8.6 访问控制：防火墙 8.7 攻击和对策 8.8 各个层次的安全性 加密语言 对称密钥密码学: 发送方和接收方的密钥相同 公开密钥密码学: 发送方使用接收方的公钥进行加密，接收方使用自己的私钥进行解密 对称密钥加密 替换密码: 将一个事情换成另外一个事情 单码替换密码: 将一个字母替换成另外一个字母 对称密钥加密 对称密钥密码: Bob和Alice共享一个对称式的密钥: K e.g., 密钥在单码替换加密方法中是替换模式 Q: 但是Bob和Alice如何就这个密钥达成一致呢? 对称密钥加密学: DES DES: Data Encryption Standard US 加密标准[NIST 1993] 56-bit 对称密钥, 64-bit明文输入 DES有多安全? DES挑战: 56-bit密钥加密的短语 (“Strong cryptography makes the world a safer place”) 被解密，使用了4个月的时间 可能有后门 使DES更安全: 使用3个key， 3重DES 运算 密文分组成串技术 对称密钥加密学: DES 初始替换 16 轮一样的函数应用，每一轮使用的不同的48bit密钥 最终替换 AES: Advanced Encryption Standard 新的对称 密钥NIST标准(Nov. 2001) 用于替换 DES 数据128bit成组加密 128, 192, or 256 bit keys 穷尽法解密如果使用1秒钟破解 DES, 需要花149万亿年破解AES 公开密钥密码学 对称密钥密码学 需要发送方和接收方对共享式对称密钥达成一致 Q: 但是他们如何第一次达成一致 (特别是他们永远不可能见面的情况下)? 公开密钥密码学 公开密钥加密算法 需要 K ( ) 和 K ( ) ，满足 RSA: 选择密钥 RSA: 加密,解密 RSA 例子: RSA: 为什么 RSA: 另外一个重要的特性 提纲 8.1 什么是网络安全？ 8.2 加密原理 8.3 认证 8.4 报文完整性 8.5 密钥分发和证书 8.6 访问控制：防火墙 8.7 攻击和对策 8.8 各个层次的安全性 认证 目标: Bob需要Alice证明她的身份 认证 目标: Bob需要Alice证明她的身份 认证: 重新尝试 认证:重新尝试 认证:重新尝试 认证:重新尝试 认证:重新尝试 认证:重新尝试 认证:重新尝试 认证: ap5.0 ap4.0 需要双方共享一个对称式的密钥 是否可以通过公开密钥技术进行认证呢? ap5.0: 使用nonce,公开密钥加密技术 ap5.0: 安全漏洞 中间攻击: