第7章节网络安全跟网络管理.pptVIP

7.1 网络安全概述 7.2 数字加密技术 7.3 电子邮件的安全性 7.4 防火墙技术简介 7.5 传统局域网管理 7.6 网络管理功能 7.7 网络管理协议 7.8 简单网络管理协议(SNMP) 7.9 网络管理系统 7.10 网络管理和维护 7.11 小结 7.1 网络安全概述 7.1.1 网络安全的基本概念 7.1.2 网络安全威胁 7.1.3 安全服务 7.1.4 安全机制 在此，对网络安全下一个通用的定义： 网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄漏，保证网络系统的正常运行、网络服务不中断。 网络安全具备四个方面的特征： 机密性、完整性、可用性及可控性 基本的安全威胁： ⑴信息泄露：信息泄露给某个未经授权的实体。 ⑵完整性破坏：数据的一致性由于受到未经授权的修改、创建、破坏而损害。 ⑶拒绝服务：对资源的合法访问被拒绝。 ⑷非法使用：某一资源被非授权人或以非授权方式使用。 实现威胁可以直接导致某一基本 威胁的实现，主要包括渗入威胁 和植入威胁。 安全服务是指计算机网络提供的安全防护措施。 国际标准化组织(ISO)定义了以下几种基本的安全服务：认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。 ⑴认证服务 确保某个实体身份的可靠性，分为两种类型。 一种类型是认证实体本身的身份，确保其真实性，称为实体认证。实体认证中一种最常见的方式，就是通过口令来认证访问者的身份。 另一种认证是证明某个信息是否来自于某个特定的实体，这种认证叫做数据源认证。数据源认证在现实生活中的典型例子就是签字，如银行支票和文件上的签名。在计算机系统中也有相应的数据签名技术。 ⑵访问控制 访问控制的目标是防止对任何资源的非授权访问，确保只有经过授权的实体才能访问受保护的资源。 ⑶数据机密性服务 数据机密性服务确保只有经过授权的实体才能理解受保护的信息。在信息安全中主要区分两种机密性服务：数据机密性服务和业务流机密性服务。数据机密性服务主要是采用加密手段使得攻击者即使窃取了加密的数据也很难推出有用的信息；业务流机密性服务则要使监听者很难从网络流量的变化上推出敏感信息。 ⑷数据完整性服务 防止对数据未经授权的修改和破坏。完整性服务使消息的接收者能够发现消息是否被修改，是否被攻击者用假消息换掉。 ⑸不可否认服务 根据ISO的标准，不可否认服务要防止对数据源以及数据提交的否认。它有两种可能：数据发送的不可否认性和数据接收的不可否认性。这两种服务需要比较复杂的基础设施的支持，如数字签名技术。 安全机制是用来实施安全服务的机制。 安全机制既可以是具体的、特定的，也可以是通用的。主要的安全机制有以下几种：加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、流量填充机制、路由控制机制及公证机制等。 ⑴加密机制用于保护数据的机密性。 ⑵数字签名机制是保证数据完整性及不可否认性的一种重要手段。 ⑶访问控制机制与实体认证密切相关。 ⑷数据完整性机制用于保护数据免受未经授权的修改。 ⑸流量填充机制针对的是对网络流量进行分析的攻击。 ⑹路由控制机制可以指定数据通过网络的路径。 ⑺公证机制由通信各方都信任的第三方提供。 7.2 数字加密技术 7.2.1 数据加密模型 7.2.2 常规密钥密码体制 7.2.3 公开密钥密码体制 7.2.1 数据加密模型 如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。 在无任何限制的条件下，目前几乎所有的密码体制均是可破的。 如果一个密码体制中的密码不能被可以使用的计算资源破译，则这一密码体制称为在计算上是安全的。 明文X用加密算法E和加密密钥K得到密文Y=Ek(X)。 在传送过程中可能出现密文截取者。 到了收端，利用解密算法D和解密密钥K解出明文为Dk(Y)=Dk(Ek(X))=X。 其中，截者也可称为攻击者或侵入者。在这里，我们假定加密密钥和解密密钥都是一样的。 密码编码学是密码体制的设计学。 密码分析学则是在未知密钥的情况下，从密文推演出明文或密钥的技术。 密码编码学与密码分析学合起来即为密码学。 早在几千年前人类就已经有了思想和方法。但直到1949年，创始人香农(C.E.Shannon)发表著名论文“Communication Theory of