2010-11第5章 网络安全技术课件.ppt

计算机网络技术与应用;本章学习要求:;5.1 网络安全概述;5.1.1 计算机安全与计算机网络安全;计算机安全的主要内容;破坏计算机安全的途径;计算机网络安全;从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。 所以，广义的计算机网络安全还包括信息设备的物理安全性，诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算机病毒等。;网络安全的内涵;可能受到威胁的网络资源;攻击计算机网络安全的主要途径;攻击计算机网络安全的方法和类型;源站;开放系统互连(OSI)基本参考模型(ISO7498)的五种安全服务方案： l?鉴别(Authentication)：包括对等实体鉴别和数据源鉴别，它提供了通信对等实体和数据源的验证。 l?访问控制(Access Control)：为防止非授权使用系统资源提供保护。 l?数据保密(Data Confidendance)：主要是为了保护系统之间数据交换的安全性。; l?数据完整性(Data integrity)：防止非法用户对正常交换数据的破坏或防止交换过程数据丢失。 l?抗否认(Non-repudiation)：一是带有源证据的抗否认服务，二是带有交付证据的抗否认服务。 ;计算机网络安全的三个层次;网络安全标准 ;可信计算机系统评估准则TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）； 可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1； D级系统的安全要求最低，A1级系统的安全要求最高。 ;制定合理的网络管理措施; 用户认证。 在网上不透明地发送用户名和密码。 确信服务在Internet和Intranet上都有效，即避免在防火墙内外采取不同的安全措施。 在实时和存储转发情况下保护通信秘密。 确保信息在发送和接收间避免干扰。 保护秘密文件，只有授权用户才能访问。; 实体访问控制，防止非工作人员接近系统。 保护网络介质，加强系统设备而后通信线路的定期检查和维修。 数据访问控制，只有授权用户才可访问系统资源。 数据存储保护，做好数据备份和安全保管。 计算机病毒防护，以预防为主。; 数据通信加??：采用DES、RSA算法等对通信数据加密。 通信链路安全保护：选择保密性较好的通信线路和设备，如光纤，重要信息不采用无线电传输。 采用局域网络安全的各项措施。; Internet的安全要求;5.2 数据加密与数据隐藏技术;名词解释： 加密系统：由算法以及所有可能的明文,密文和密钥组成。? 密码算法：密码算法也叫密码(cipher),适用于加密和解密的数学函数.(通常情况下, 有两个相关的函数：?一个用于加密,一个用于解密)。 明文(plaintext)：未被加密的消息。 密文(ciphertext)：被加密的消息。;加密(encrypt),解密(decrypt)：用某种方法伪装消息以隐藏它的内容的过程称为加密；相反的过程叫解密。 密钥(key)：密钥就是参与加密及解密算法的关键数据。没有它明文不能变成密文,密文不能明文。 ;对称算法;公开密钥算法;对称加密 ;非对称密钥密码体系;5.2.1 数据加密算法 ;两千多年前，罗马国王Julius Caesare（恺撒）就开始使用目前称为“恺撒密码”的密码系统。 恺撒挪移算法，将明文中的每个字母都移动一段距离。 这种密码系统太脆弱、太容易被攻破了。;恺撒挪移;恺撒挪移码加密示例;解密：; 下面举例说明法国密码学家Vigenere以他自己的名字命名的维吉利亚密码：;表5.1维吉利亚方阵;b. 按密钥的长度将P分解若干节。这里best的长度为4，故将明文分解为表5.2所示的样子。 ;c.对每一节明文，利用密钥best进行变换。以明文“d”为例，变化的方法是：由于d处于b列，因此在维吉利亚方阵的第b行中找第d个字符既是。于是得到如下密文： C=Ek(P)=EELT TIUN SMLR ; 在对称密码体制中，最为著名的加密算法是IBM公司于1971年~1972年间研制成功的DES（Data Encryption Standard）分组算法，1977年被定为美国联邦信息标准，这就是称为DES（数据加密标准）的原因。 DES使用64位的密钥（除去8位奇偶校验码，实际密钥长度为56位），对64位二进制数进行分组加密，经过16轮的迭代、乘积变换、压缩变换等处理，产生64位密文数据。;DES使用56位密钥并对64位的输入数据块进行加密。先对64位的密钥进行变换，密钥经过去掉其第8、16、24、……、64位减至56位，去掉的那8