计算机网络自顶向下方法(第四版)第8章.pptVIP

第8章 网络安全 本章目的: 理解网络安全的原则: 密码学及其超越“机密性” 的多种应用 鉴别 报文完整性 密钥分发 实践中的安全: 防火墙 在应用层、运输层、网络层和链路层中的安全性 第8章 要点 8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 什么是网络安全? 机密性: 仅发送方，希望的接收方应当“理解”报文内容 发送方加密报文 接收方解密报文 鉴别: 发送方、接收方要证实彼此的身份 报文完整性: 发送方、接收方要确保报文(在传输或以后)不在不知不觉中被篡改 访问和可用性: 服务必须可访问和为用户可用 朋友和敌人: Alice, Bob, Trudy 网络安全世界中众所周知 Bob, Alice (情人!)要“安全地”通信 Trudy (入侵者)可能截取、删除、增加报文 谁是Bob和Alice? … 当然, 现实生活中的 Bobs和Alices! 用于电子事务的Web浏览器/服务器 (如在线购买) 在线银行客户机/服务器 DNS服务器 交换选路表更新的路由器 其他例子？ 那边有许多坏家伙! 问题： “坏家伙”能干什么? A: 许多事! 窃听: 截取报文 在连接中主动地插入报文 假冒: 能伪造(哄骗)分组中的源地址(或分组中的任何字段) 劫持: 通过除掉发送方或接收方，将其自己插入其中，“接管”正在进行的连接 拒绝服务: 防止服务由其他人所用(如通过过载资源) 第8章 要点 8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 密码学的语言 对称密钥密码: 发送方，接收方密钥相同 公钥密码: 解密密钥公开，加密密钥秘密(专用) 对称密钥密码学 代替密码: 用一个东西代替另一个 单码代替密码 : 用一个字母代替另一个 对称密钥密码学 对称密钥密码: Bob和Alice共享已知的相同(对称)密钥: K 如，在单码代替密码中密钥是已知的代替模式 问题: Bob和Alice怎样对密钥值取得一致? 对称密钥crypto: DES DES: 数据加密标准 美国加密标准 [NIST 1993] 56-bit 对称密钥, 64-bit 明文输入 DES有多安全? DES Challenge: 56比特加密的短语加密的短语 (“Strong cryptography makes the world a safer place”)在4个月内被破译(强力) 无已知的“后门”解密方法 使得DES 更安全: 对每个数据集顺序地使用三次密钥 (3-DES) 使用密码分组链接技术 对称密钥密码: DES 初始置换 16轮相同的功能应用，每个使用不同的48比特的密钥最后的置换 AES: 先进的加密标准 新的(Nov. 2001)对称密钥NIST标准, 代替DES 以128比特块处理数据 128, 192, 或256比特密钥 对DES强力解密用1秒，对AES则需要用 149 万亿年 公钥密码学 对称密钥密码 需要发送方、接收方知道共享的秘密密钥 问题:首次如何就密钥取得一致(特别是如果从没有“谋面”) ？ 公钥密码学 公钥加密算法 需要 K ( ) 和 K ( ) 使得 RSA: 选择密钥 RSA: 加密，解密 RSA 例子： RSA: 为什么是这样 RSA: 另一个重要性质 第8章 要点 8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 鉴别 目标：Bob要Alice向他“证明”她的身份 鉴别 目标： Bob要Alice向他“证明”她的身份 鉴别: 另一种尝试 鉴别:另一种尝试 鉴别:另一种尝试 鉴别:另一种尝试 鉴别:另一种尝试 鉴别:另一种尝试 鉴别:另一种尝试 鉴别: ap5.0 ap4.0 要求共享的对称密钥 我们能够用公钥技术鉴别吗? ap5.0: 使用不重数, 公钥密码学 ap5.0: 安全漏洞 “中间人”攻击 : Trudy假装是Alice (对Bob)同时假装 Bob (对Alice) ap5.0: 安全漏洞 “中间人”攻击 : Trudy假装是Alice (对Bob)同时假装 Bob (对Alice) 第8章 要点 8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 数字签名 密码技术类比于手