第5章网络多媒体技术报告.ppt

* * * * 5.4 网络安全 上述四种对网络的威胁可划分为两大类，即被动攻击和主动攻击，如图8.1所示。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 截获 篡改 伪造 中断 被动攻击 主 动 攻 击 目的站 源站 源站 源站 源站 目的站 目的站 目的站 5.4 网络安全 根据这些特点，可以得出计算机网络通信安全的五个目标如下： （1）防止分析出报文内容 （2）防止信息量分析 （3）检测更改报文流 （4）检测拒绝报文服务 （5）检测伪造初始化连接 5.4 网络安全 还有一种特殊的主动攻击就是恶意程序的攻击。恶意程序种类繁多，对网络安全威胁较大的主要有以下几种恶意程序： 计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹等。 5.4 网络安全——组件 网络信息安全是一个整体系统的安全，是由安全操作系统、应用程序、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络防病毒等多个安全组件共同组成的，每个组件各司其职，共同保障网络的整体安全。每一个单独的组件只能完成其中部分功能，而不能完成全部功能。 5.4 网络安全——组件 (1)防火墙 防火墙是内部网络安全的屏障，它使用安全规则，可以只允许授权的信息和操作进出内部网络，它可以有效的应对黑客等对于非法入侵者。但防火墙无法阻止和检测基于数据内容的病毒入侵，同时也无法控制内部网络之间的违规行为。 5.4 网络安全——组件 (2)漏洞扫描器 漏洞扫描器主要用来发现网络服务、网络设备和主机的漏洞，通过定期的扫描与检测，及时发现系统漏洞并予以补救，清除黑客和非法入侵的途径，消除安全隐患。当然，漏洞扫描器也有可能成为攻击者的工具。 5.4 网络安全——组件 (3)杀毒软件 杀毒软件是最为常见的安全工具，它可以检测，清除各种文件型病毒、邮件病毒和网络病毒等，检测系统工作状态，及时发现异常活动，它可以查杀特洛伊木马和蠕虫等病毒程序，防止病毒破坏和扩散有积极作用。 5.4 网络安全——组件 (4)入侵检测系统 入侵检测系统的主要功能包括检测并分析用户在网络中的活动，识别已知的攻击行为，统计分析异常行为，检查系统漏洞，评估系统关键资源和数据文件的完整性，管理操作系统日志，识别违反安全策略的用户活动等。入侵检测系统可以及时发现已经进入网络的非法行为，是前三种组件的补充和完善。 5.4 网络安全—— 密码学 研究密码技术的学科称为密码学。密码学包括两个分支，即密码编码学和密码分析学。前者指在对信息进行编码实现信息隐蔽，后者研究分析破译密码的学问。两者相互对立，又相互促进。 采用密码技术可以隐蔽和保护需要发送的消息，使未授权者不能提取信息。 5.4 网络安全—— 密码学 发送方要发送的消息称为明文。 明文被变换成看似无意的随机信息，称为密文。 这种由明文到密文的变换过程称为加密。 其逆过程，即由合法接受者从密文恢复出明文的过程成为解密。 加密算法和解密算法是在一组仅有的合法用户知道的秘密信息的控制下进行的，该密码信息称为密钥，加密和解密过程中使用的密钥分别称为加密密钥和解密密钥。 5.4 网络安全—— 密码学 传统加密也称为对称加密或单钥加密，是1976年公钥密码产生前唯一的一种加密技术，迄今为止，它仍然是两种类型的加密中使用最广泛的一种。 重要的是要注意，常规加密的安全性取决于密钥的保密性，而不是算法的保密性。也就是说，如果知道了密文和加密及解密算法的知识，解密消息也是不可能的。换句话说，我们不需要使算法是秘密的，而只需要对密钥进行保密即可。所以在常规加密的使用中，主要的安全问题就是保持密钥的保密性。下面介绍一下传统加密体制中的古典加密算法和现代加密算法的一些主要代表。 （1）传统加密算法 替换加密： 例如，使用替换算法的Caesar密码，采用的是Character＋N的算法，假设明文为ATTACK BEGIN AT FIVE，采用N＝2的替换算法，即A用其ASCII码值加2的字符来替代，字母Y和Z分别用字母A和B来替代。得到密文为CVVCEMDGIKPCVHKXV。这种替换加密方法简便，实现容易但安全性较低。 5.4网络安全—— 认证和数字签名 认证是证实某人或某个对象是否有效合法或名副其实的过程，在非保密计算机网络中，验证远程用户或实体是合法授权用户还是恶意的入侵者就属于认证问题。 在Internet中进行数字签名的目的是为了防止他人冒充进行信息发送和接收，以及防止本人事后否认已进行过的发送和接收活动。因此，数字签名要能够防止接收者伪造对接收报文的签名，以及接收者能够核实发送者的签名和经接收者核实后，发送者不能否认对报文的签名。 人们采用公开密钥算法实现数字签名。与RSA算法用公钥对报文进行加密