网络安全与管理课件.PPTVIP

第九章网络安全与管理 第九章 网络安全与管理 网络安全的主要威胁 加密技术 数字签名 防火墙 网络故障与诊断 一、网络安全的主要威胁 计算机网络上的通信面临以下的四种威胁： 截获——从网络上窃听他人的通信内容。 中断——有意中断他人在网络上的通信。 篡改——故意篡改网络上传送的报文。 伪造——伪造信息在网络上传送。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 对网络的被动攻击和主动攻击 截获 篡改 伪造 中断 被动攻击 主 动 攻 击 目的站 源站 源站 源站 源站 目的站 目的站 目的站 ?计算机病毒—会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 ?计算机蠕虫—通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 ?特洛伊木马—一种程序，它执行的功能超出所声称的功能。 ?逻辑炸弹—一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 恶意程序 明文 X 二、加密技术 截获 密文 Y 加密密钥 K 明文 X 密文 Y 截取者 篡改 A B E 运算 加密算法 D 运算 解密算法 因特网 解密密钥 K 一般的数据加密模型 解密算法是加密算法的逆运算 在进行解密运算时如果不事先约定好密钥就无法解出明文 例如： 1.A想发送“HELLO WORLD”给B，我们可以将每个明文字母用00（A）到25（Z）的数字代替，26代表空格。 HELLO WORLD转换成07040111114262214171103 2.ace：024 计算ace中的每个字母从字母a移位算起的位移量。这样a的位移量是0，c的位移量是2，e的位移量是4 加密前文本：this is a secret message 位移：0240 24 0 240240 2402402 加密后文本：tjms jw a uictit oisuegg 密码编码学是密码体制的设计学。 密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学。 密码学 对称密钥密码体制 加密密钥与解密密钥是相同的密码体制。 数据加密标准DES DES属于常规密钥密码体制，是一种分组密码。 加密前，先对整个明文进行分组。每一个组长为64位。 然后对每一个64位二进制数据进行加密处理，产生一组64位密文数据。 最后将各组密文串接起来，即得出整个的密文。 使用的密钥为64位 国际数据加密算法IDEA 使用128位密钥，因而更不容易被攻破。计算指出，当密钥长度为128位时，若每微秒可搜索一百万次，则破译IDEA密码要花费5.4*1018年，这显然比较安全。 非对称密钥密码体制 使用不同的加密密钥与解密密钥。 在公钥密码体制中，加密密钥(即公钥)PK是公开信息，而解密密钥(即私钥或秘钥) SK是需要保密的。 加密算法和解密算法也都是公开的。 虽然密钥SK是由公钥PK决定的，但却不能根据PK计算出SK。 公钥密码体制 密文Y E 运算 加密算法 D 运算 解密算法 加密 解密 明文 X 明文 X A B B 的私钥 SKB 密文Y 因特网 B 的公钥 PKB 任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。 三、数字签名 报文鉴别——接收者能够核实发送者对报文的签名； 报文的完整性——接收者不能伪造对报文的签名； 不可否认——发送者事后不能抵赖对报文的签名。 现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。 数字签名必须保证以下三点： 数字签名的实现 密文 D 运算 明文 X 明文 X A B A 的私钥 SKA 因特网 签名 核实签名 E 运算 密文 A 的公钥 PKA (1)除A外没有别人能具有A的私钥，所以除A外没有别人能产生这个密文。因此B相信报文X是A签名发送的。 (2)若A要抵赖曾发送报文给B，B可将明文和对应的密文出示给第三者。第三者很容易用A的公钥去证实A确实发送X给B。 (3)反之，若B将X伪造成X’，则B不能在第三者前出示对应的密文。这样就证明了B伪造了报文。 具有保密性的数字签名 核实签名 解密 加密 签名 E 运算 D 运算 明文 X 明文 X A B A 的私钥 SKA 因特网 E 运算 B 的私钥 SKB D 运算 加密与解密 签名与核实签名 B 的公钥 PKB A 的公钥 PKA 密文 四、防火墙(firewall) 防火墙是由软件、