第11章：网络安全.pdf

Network Security Network Security  网络安全问题概述  一般的数据加密模型  对称密钥和公钥密码体制  数字签名  防火墙  访问控制列表ACL 网络安全问题概述  计算机网络上的通信面临以下的四种威胁： (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。 被动攻击和主动攻击 源站 目的站 源站 目的站 源站 目的站 源站 目的站 截获 中断 篡改 伪造 被动攻击 主 动 攻 击  截获信息的攻击称为被动攻击  更改信息和拒绝用户使用资源的攻击称为主动攻击。 被动攻击和主动攻击  在被动攻击中，攻击者只是观察和分析某 一个协议数据单元 PDU 而不干扰信息流。  主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。  更改报文流  拒绝报文服务  伪造连接初始化 计算机网络通信安全的目标  防止析出报文内容  防止通信量分析  检测更改报文流  检测拒绝报文服务  检测伪造初始化连接 恶意程序(malicious program)  计算机病毒——会 “传染”其他程序的程序， “传染” 通过修改其他程序来把自身或其变种复制进去而完成。  计算机蠕虫——通过网络的通信功能将自身从一个结 点发送到另一个结点并启动运行的程序。  特洛伊木马——一种程序，它执行的功能超出所声称 的功能。  逻辑炸弹——一种当运行环境满足某种特定条件时执 行其他特殊功能的程序。 计算机网络安全的内容  保密性  安全协议的设计  访问控制 Network Security  网络安全问题概述  一般的数据加密模型  对称密钥和公钥密码体制  数字签名  防火墙  访问控制列表ACL 一般的数据加密模型 截获 篡改 加密密钥K 截取者 解密密钥K A B E 运算 密文Y 密文Y D 运算 因特网 明文 加密算法 解密算法 明文X X 一些重要概念  密码编码学(cryptography)是密码体制的设计学， 而密码分析学(cryptanalysis)则是在未知密钥的情 况下从密文推演出明文或密钥的技术。密码编码学与 密码分析学合起来即为密码学(cryptology)。  如果不论截取者获得了多少密文，但在密文中都没有 足够的信息来唯一地确定出对应的明文，则这一密码 体制称为无条件安全的，或称为理论上是不可破的。  如果密码体制中的密码不能被可使用的计算资源破译， 则这一密码体制称为在计算上是安全的。 Network Security  网络安全问题概述  一般的数据加密模型  对称密钥和公钥密码体制  数字签名  防火墙  访问控制列表ACL 对称密钥密码体制  所谓常规密钥密码体制，即加密密钥与解密 密钥是相同的密码体制。  这种加密系统又称为对称密钥系统。 数据加密标准 DES  数据加密标准 DES 属于常规密钥密码体制，是一