第4章计算机网络及因特网.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 通信方式：广播 带冲突检测的载波侦听介质访问控制方法 局域网广播： NET SEND 或MSG 如：net send * “hello”或msg * hello * * * * * * * * * * * * * * 复杂问题的解决方式 * * * * * * * * * * * * * * * * * * * * ` * * * * * * * * * 占线 * * * 数据传输前不需要建立一条端到端的通路 有强大的纠错机制、流量控制和路由选择功能 存储量要求较小，可以用内存来缓冲分组（速度快） 转发延时小（适用于交互式通信） 某个分组出错仅重发该分组（效率高） 各分组可通过不同路径传输，可靠性高 * * * * * * 4.5.4 身份鉴别与访问控制 身份鉴别(认证) 身份鉴别的含义: 证实某人的真实身份是否与其所声称的身份相符,以防止欺诈和假冒 什么时候进行? 在用户登录某个系统，或者在访问/传送重要消息时进行 身份鉴别的依据(方法): 鉴别对象本人才知道的信息(如口令、私钥、身份证号等) 鉴别对象本人才具有的信物(例如磁卡、IC卡、USB钥匙等) 鉴别对象本人才具有的生理特征(例如指纹、手纹等) 通常在注册时记录在案 口令（密码）容易扩散，或者容易被盗。例如：趁着操作者输入密码时，在其后偷窥；或者在电脑中放入木马程序，记录操作者输入的数据；再有可以拦截传输的数据，进行分析查找到密码 双因素认证 认证依据：（用户名、口令）＋（ IC卡、USB key） 举例：网银身份认证过程（1 用户预先申请开通网银，经审核后发给USB key；2 采用密钥加密技术，密钥存在于USB key中，并作为一种特殊的文件存在（KEY文件），文件无法打开） 2 用户输入用户名和口令 3 若用户名和口令无误，则生成1个随机的字符串X，对X进行散列变换后，使用该用户的密钥加密得到 Rh 密钥 客户机 4 将字符串X 发送给客户机 5 将收到的字符串X进行散列变换，然后加密得到 Rc，发回给服务器 6 若Rc＝Rh，通过身份认证 1 插入专用的USB key,请求登录 身份认证 服务器 分析：身份鉴别通过加密算法来实现，很难破解；而随机串X在每次登录认证过程中均不相同，即使黑客截获到该数据，它仍无法进行仿冒 什么是访问控制? 访问控制的含义: 计算机对系统内的每个信息资源规定各个用户(组)对它的操作权限（是否可读、是否可写、是否可修改等） 访问控制是在身份鉴别的基础上进行的 访问控制的任务: 对所有信息资源进行集中管理 对信息资源的控制没有二义性（各种规定互不冲突） 有审计功能（记录所有访问活动,事后可以核查） 4.5.5 防火墙与入侵检测 网络会遭受多种攻击 网络 内部、外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 后门、隐蔽通道 蠕虫 因特网防火墙 什么是因特网防火墙(Internet firewall)? 用于将因特网的子网（最小子网是1台计算机）与因特网的其余部分相隔离, 以维护网络信息安全的一种软件或硬件设备 防火墙的原理: 防火墙对流经它的信息进行扫描，确保进入子网和流出子网的信息的合法性，它还能过滤掉黑客的攻击，关闭不使用的端口，禁止特定端口流出信息, 等等 防火墙 因特网 包过滤器 内部网 入侵检测 入侵检测（Intrusion Detection）是主动保护系统免受攻击的一种网络安全技术 原理：通过在网络若干关键点上监听和收集信息并对其进行分析，从中发现问题，及时进行报警、阻断和审计跟踪 入侵检测是防火墙的有效补充： 可检测来自内部的攻击和越权访问，防火墙只能防外 入侵检测可以有效防范利用防火墙开放的服务进行入侵 4.5.6 计算机病毒防范 什么是计算机病毒? 计算机病毒是有人蓄意编制的一种具有自我复制能力的、寄生性的、破坏性的计算机程序 计算机病毒能在计算机中生存，通过自我复制进行传播，在一定条件下被激活，从而给计算机系统造成损害甚至严重破坏系统中的软件、硬件和数据资源 病毒程序的特点: 破坏性 隐蔽性 传染性和传播性 潜伏性 木马病毒能偷偷记录用户的键盘操作，盗窃用户账号（如游戏账号,股票账号,甚至网上银行账号）、密码和关键数据，甚至使“中马”的电脑被别有用心者所操控，安全和隐私完全失去保证 计算机病毒的表现和危害 破坏文件内容，造成磁盘上的数据破坏或丢失 删除系统中一些重要的程序，使系统无法正常工作，甚至无法启动 修改或破坏系统中的数据，造