CH7-网络安全讲述.ppt

第 7 章 网络安全 第 7 章 网络安全 7.1 网络安全问题概述 7.2 两类密码体制 7.3 数字签名 7.4 鉴别 7.5 密钥分配 7.6 因特网使用的安全协议 7.7 链路加密与端到端加密 7.8 防火墙 最早的密码 在古希腊，人们用一条带子缠绕在一根木棍上，沿木棍纵轴方向写好明文，解下来的带子上就只有杂乱无章的密文字母。解密者只需找到相同直径的木棍，再把带子缠上去，沿木棍纵轴方向即可读出有意义的明文。 公元前1世纪，恺撒密码被用于高卢战争中，这是一种简单易行的单字母替代密码。在战前，恺撒设计了一种对重要的军事信息进行加密的方法，即使这些信息被截获，敌方也不一定能看懂。其实，恺撒密码字母移位的位数就是一种简单易行的单字母替代密码。 中国古代的密码 在中国，很早就使用一种叫“阴符”的军事密码。它比较简单，使用时双方各执一半，以验真假。宋朝时，官方便将常用的40个军事短语，分别用40个字来代替，然后编出一首40个字的诗，作为破译的“密码本”。 到了明朝，戚继光发明了反切码，他还专门编了两首诗歌，作为“密码本”。这两首诗歌是反切码全部秘密所在，它使用汉字注音方法中的“反切法”，取声母和韵母按照顺序进行编号，再进行读取。其原理与现代密电码的设计原理完全一样，但却比现代密码更难破译。 最著名的密码——“谜” 世界上最著名的密码叫“谜”。“谜”是世界上第一部机械密码机，其工作原理奠定了当今计算机加密的基础。这种密码融数学、物理、语言、历史、国际象棋原理、纵横填字游戏等为一体，被希特勒称为“神都没办法破译的世界第一密码”。 一份德国报告称：“谜”能产生220亿种不同的密钥组合，假如一个人日夜不停地工作，每分钟测试一种密钥的话，需要约4.2万年才能将所有的密钥可能组合试完。 二战期间，“谜”被德军大量用于铁路、企业当中，令德军保密通讯技术处于领先地位。 影视作品反映的密码学问题 英格玛密码机 在20世纪20年代，由工程师阿瑟·歇尔皮斯(Arthur Scherbius)发明，在第二次世界大战中被纳粹党使用的英格玛机使用了多电机转子，创造出了那时世界上最为复杂的编码。 但是在战争初期联盟国就成功破译了英格玛，这多亏了研究人员在英国布莱奇利公园(Bletchley Park)进行了杰出和不停歇的编码破译工作。 在英格玛反编码过程中还发明了一个新的编码，即Ultra。 二战期间盟军使用的密码机 7.1 网络安全问题概述 7.1.1 计算机网络面临的安全性威胁 计算机网络上的通信面临以下的四种威胁： (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 对网络的被动攻击和主动攻击 被动攻击和主动攻击 在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 更改报文流 拒绝报文服务 伪造连接初始化 计算机网络通信安全的目标 (1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连接。 恶意程序(rogue program) (1) 计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 (2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 (3) 特洛伊木马——一种程序，它执行的功能超出所声称的功能。 (4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 7.1.2 计算机网络安全的内容 保密性 安全协议的设计 访问控制 7.1.3 一般的数据加密模型 一些重要概念 密码编码学与密码分析学合起来即为密码学(cryptology)。 密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。 如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。 如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。 7.2 两类密码体制 7.2.1 对称密钥密码体制 所谓常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制。 这种加密系统又称为对称密钥系统。 数据加密标准 DES