《计算机网络教程》（谢希仁著）PPT电子课件教案-第10章 计算机网络的安全精选.ppt

第十章　计算机网络的安全 1、网络安全问题概述 2、常规密钥密码体制 3、公开密钥密码体制 4、报文鉴别 5、密钥分配 6、链路加密和端到端加密 7、防火墙 1、网络安全问题概述 10.1.1计算机网络安全性面临的威胁 截获：第三方偷听通信双方的内容 ?中断：第三方中断通信双方的通信 ?篡改：丙篡改甲发送给乙的报文 ?伪造：丙假装为甲，与乙通信 分被动攻击和主动攻击两大类。其中截获为被动攻击,其余为主动攻击. 主动攻击又进一步分为：1）更改报文流　2）拒绝报文服务　3）伪造连接初始化　4）恶意程序：计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹 10.1.2计算机网络安全的内容 1）保密性 　　加密 2）安全协议的设计 3）接入控制 　　对用户的权限加以控制 10.1.3一般的数据加密模型 密码体制理论上不可破：如果不论截取多少密文，都不能唯一推出明文。 密码体制计算机上不可破：不能在有意义的时间内被可以使用的计算机资源破译。 现有实用的密码体制都是计算上不可破。 10.2常规密钥密码体制 10.2.1替代密码与置换密码替代密码用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母的位置不变。例如，将字母a，b，c，d，…，w，x，y，z的自然顺序保持不变，但使之与D，E，F，G，…，Z，A，B，C分别对应（即相差3个字符）。若明文为student则对应的密文为VWXGHQW（此时密钥为3）。 破译的诀窍在于猜测密匙的长度。由于英文字母中各字母出现的频度早已有人进行过统计，所以根据字母频度表可以很容易对这种代替密码进行破译。 换位密码：不对明文字母进行变换，只是将明文字母的次序进行重新排列，它的密匙必须是一个不含重复字母的单词或短语。 破译换位密码的第一步是判断密码类型，检查密文中常用字母的出现频率，如果符合自然语言特征，则密文是用换位密码写的。第二步是根据消息的上下文猜测密匙的长度，即列数。第三步是确定各列的顺序。 按照加密时对明文的处理方式，密码算法又可分为分组密码算法和序列密码算法。 序列密码算法是逐个比特（或字符）地处理，用已知的密钥随机序列与明文按位异或。当然当分组长度为1时，二者混为一谈。 分组密码算法把密文分成等长的数据组，然后以组为单位，分别加密。 10.5 密钥分配 DES的密钥分配方法有：网外分配和网内分配。 常用的方法是设立 密钥分配中心KDC 用户A要与用户B通信，他们分别拥有与KDC通信的密钥KA-KDC和KB-KDC 10.6链路加密与端到端加密 10.6.1链路加密 见书P306　图10－12 对协议控制信息和数据都加密，能有效防窃听， 要求一条链路的两结点之间具有相同的密钥，密钥管理易于实现。 链路加密对用户来说是透明的，其功能由通信子网实现。 最大缺点：中间结点暴露了信息的内容。 10.6.2端到端加密 是在源结点和目的结点中对传送的信息进行加密和解密，不会因中间结点的不可靠而受到影响。 只加密了PDU的数据部分，而控制信息部分（如源、目的IP地址）不被加密。为什么？ 10.7防火墙 古时候, 人们常在寓所之间砌起一道砖墙, 一旦火灾发生, 它能够防止火势蔓延到别的寓所，这种墙因此而得名“防火墙”。 现在, 如果一个内部网（intranet）接到了外联网（extranet）上, 内部网中的用户就可以访问因特网，但同时, 因特网中的用户也可以访问内部网。为安全起见, 可以在内部网和因特网之间插入一个中介系统, 竖起一道安全屏障，这个中介系统就是“防火墙”。防火墙有软件防火墙和硬件防火墙之分，多数情况下，采用的是软件防火墙，即在一台专门的计算机上安装防火墙软件。 防火墙的作用是阻断黑客通过因特网对内部网发起的入侵和破坏。在防火墙上，可以设置网络的访问控制列表（简称ACL），在访问控制列表中规定了哪些信息允许通过，哪些信息不允许通过，防火墙对所有进出的数据包都进行检查，只有授权的数据包才能通过，非授权的数据包则丢弃。 防火墙是保护内部网安全的最主要、最有效、最经济的措施之一。防火墙在网络中所处的位置如图所示。 防火墙的分类 防火墙总体上可分为包过滤防火墙和应用级防火墙（也称为代理服务器）两大类型。 1.包过滤防火墙（网络级防火墙） 工作在网络层和传输层。 系统管理员在防火墙上设置访问控制列表ACL，列表中定义了哪些IP地址是允许通过的，哪些是禁止的。当防火墙收到数据包后，会打开数据包，将数据包中的IP地址同列表中的IP地址进行比较，允许，则转发，不允许，则丢弃。 例如，在列表中定义了这样一条规则，禁止内部网访问IP地址为202.101.10. 10的计算机，那么，防火墙收到内部网送来的一个数据包后，检查数据包中的目的IP地址，如果为202.101.10.10，则丢弃，这样，内部网用