网络安全-文理基础学院.PPT

第 7 章 网络安全 7.1 网络安全问题概述 7.1.1 计算机网络面临的安全性威胁 1、计算机网络上的通信面临以下四种威胁： (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。 2、以上四种威胁可划分为两大类：被动攻击和主动攻击。 截获信息的攻击称为被动攻击，而中断、篡改、伪造信息的攻击称为主动攻击。 3、对网络的被动攻击和主动攻击 4、被动攻击和主动攻击 在被动攻击中，攻击者只是观察和分析某一个 PDU(协议数据单元)而不干扰信息流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。从类型上看，主动攻击又可进一步划分为三种： 更改报文流：包括对通过连接的PDU的真实性、完整性和有序性的攻击。 拒绝服务：指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常服务。如2000年2月7－9号美国几个著名网站遭黑客攻击，使这些网站无法提供正常服务，这种攻击称为拒绝服务DoS(Denial of Service) ,若从因特网上的成百上千个网站集中攻击一个网站，则称为分布式拒绝服务DDoS(Distributed Denial of Service) 伪造连接初始化:攻击者重放以前已被记录的合法连接初始化序列，或者伪造身份而企图建立连接。 5、计算机网络通信安全的目标 对于主动攻击，可以采取适当措施加以检测，但对于被动攻击，通常检测不出来，根据这些特点，可得出计算机网络通信安全的五个目标： (1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连接。 6、恶意程序(rogue program) 　　　恶意程序是一种特殊的主动攻击，恶意程序种类繁多，对网络安全威胁较大的主要有以下几种： (1) 计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 (2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 (3) 特洛伊木马——一种程序，它执行的功能超出所声称的功能。 (4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 7.1.2 计算机网络安全的内容 计算机网络安全主要有以下内容： 1、保密性：密码 2、安全协议的设计 　人们一直希望能设计出一种安全的计算机网络，但不幸的是，网络的安全性是不可判定的，目前在安全协议的设计方面，主要是针对具体的攻击设计安全的通信协议。 3、访问控制 　访问控制也叫存取控制或接入控制。必须对接入网络的权限加以控制，并规定每个用户的接入权限。 以上三种网络安全的内容都与密码技术紧密相关，如在保密通信中，要用加密算法来对消息进行加密，以对抗可能的窃听；安全协议中的一个重要内容就是要论证协议所采用的加密算法的强度；在访问控制系统的设计中，也要用到加密技术。 7.1.3 一般的数据加密模型 一些重要概念 密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。 如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。 如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。 7.2 两类密码体制 7.2.1 对称密钥密码体制 1、所谓对称密钥密码体制，即加密密钥与解密密钥是相同的密码体制。 2、数据加密标准 DES 数据加密标准 DES 属于对称密钥密码体制，由IBM公司研制出，于1977年被美国定为联邦信息标准后，在国际上引起了极大的重视，ISO曾将DES作为数据加密标准。 DES是一种分组密码。在加密前，先对整个明文进行分组。每一个组长为 64 位，然后对每一个 64 位 二进制数据进行加密处理，产生一组 64 位密文数据。最后将各组密文串接起来，即得出整个的密文。 使用的密钥为 64 位（实际密钥长度为 56 位，有 8 位用于奇偶校验)。 3、DES 的保密性 DES 的保密性仅取决于对密钥的保密，而算法是公开的。尽管人们在破译 DES 方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。 DES 是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。 目前较为严重的问题是 DES 的密钥的长