计算机网络教程CH7 网络安全 4ed教程文件.pptx

计算机网络教程（第 4 版）第 7 章 网络安全课件制作人：谢钧 谢希仁第 7 章 网络安全 7.1 网络安全概述 7.1.1 安全威胁 7.1.2 安全服务7.2 机密性与密码学 7.2.1 对称密钥密码体制 7.2.2 公钥密码体制课件制作人：谢钧 谢希仁第 7 章 网络安全（续）7.3 完整性与鉴别 7.3.1 报文摘要和报文鉴别码 7.3.2 数字签名 7.3.3 实体鉴别7.4 密钥分发与公钥认证 7.4.1 对称密钥的分发 7.4.2 公钥的签发与认证课件制作人：谢钧 谢希仁第 7 章 网络安全（续）7.5 访问控制 7.5.1 访问控制的基本概念 7.5.2 访问控制策略7.6 网络各层的安全实例 7.6.1 物理层实例：信道加密机 7.6.2 数据链路层实例：802.11i 7.6.3 网络层实例：IPsec 7.6.4 运输层实例：SSL/TLS 7.6.5 应用层实例：PGP课件制作人：谢钧 谢希仁第 7 章 网络安全（续）7.7 系统安全：防火墙与入侵检测 7.7.1 防火墙 7.7.2 入侵检测系统7.8 网络攻击及其防范 7.8.1 网络扫描 7.8.2 网络监听 7.8.3 拒绝服务攻击课件制作人：谢钧 谢希仁被动攻击和主动攻击攻击者只是观察和分析网络中传输的数据流而不干扰数据流本身。主动攻击是指攻击者对传输中的数据流进行各种处理。更改报文流 拒绝服务攻击 恶意程序攻击课件制作人：谢钧 谢希仁恶意程序(rogue program) (1) 计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3) 特洛伊木马——一种程序，它执行的功能超出所声称的功能。(4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 课件制作人：谢钧 谢希仁7.1.2 安全服务 机密性(confidentiality) 确保计算机系统中的信息或网络中传输的信息不会泄漏给非授权用户。这是计算机网络中最基本的安全服务。报文完整性(message intergrity) 确保计算机系统中的信息或网络中传输的信息不被非授权用户篡改或伪造。后者要求对报文源进行鉴别。 。课件制作人：谢钧 谢希仁7.1.2 安全服务 不可否认性(nonrepudiation) 防止发送方或接收方否认传输或接收过某信息。在电子商务中这是一种非常重要安全服务。实体鉴别(entity authentication) 通信实体能够验证正在通信的对端实体的真实身份，确保不会与冒充者进行通信。课件制作人：谢钧 谢希仁7.1.2 安全服务 访问控制(access control) 系统具有限制和控制不同实体对信息源或其他系统资源进行访问的能力。系统必须在鉴别实体身份的基础上对实体的访问权限进行控制。可用性(availability) 确保授权用户能够正常访问系统信息或资源。拒绝服务攻击是可用性的最直接的威胁。课件制作人：谢钧 谢希仁7.2 机密性与密码学 机密性应该是密码学最早的应用领域，但我们在后面几节将会看到密码学技术和鉴别、报文完整性以及不可否认性等是紧密相关的，可以说密码学是计算机网络安全的基础。课件制作人：谢钧 谢希仁数据加密的一般模型 截获篡改截取者加密密钥 KA解密密钥 KBAB密文 Y密文 YE 运算加密算法D 运算解密算法因特网明文 X 明文 XY = EKA(X)DKB(Y) = DKB(EKA(X)) = X课件制作人：谢钧 谢希仁一些重要概念 如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。课件制作人：谢钧 谢希仁7.2.1对称密钥密码体制 所谓对称密钥密码体制是一种加密密钥与解密密钥相同的密码体制。在这种加密系统中两个参与者共享同一个秘密密钥，如果用一个特定的密钥加密一条消息，也必须要使用相同的密钥来解密该消息。该系统又称为对称密钥系统。课件制作人：谢钧 谢希仁数据加密标准 DES数据加密标准 DES 属于常规密钥密码体制，是一种分组密码。数据加密标准DES (Data Encryption Standard)是对称密钥密码的典型代表，由IBM公司研制，于1977年被美国定为联邦信息标准后，在国际上引起了极大的重视。ISO曾把DES作为数据加密标准。DES使用的密钥为64位（实际密钥长度为56位，有8位用于奇偶校验）