第九章网络安全与管理.pptxVIP

第九章网络安全与管理第九章 网络安全与管理 网络安全的主要威胁 加密技术 数字签名防火墙网络故障与诊断一、网络安全的主要威胁计算机网络上的通信面临以下的四种威胁：截获——从网络上窃听他人的通信内容。中断——有意中断他人在网络上的通信。篡改——故意篡改网络上传送的报文。伪造——伪造信息在网络上传送。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。源站目的站源站目的站源站目的站源站目的站中断篡改伪造截获被动攻击主 动 攻 击对网络的被动攻击和主动攻击 恶意程序 ?计算机病毒—会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 ?计算机蠕虫—通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 ?特洛伊木马—一种程序，它执行的功能超出所声称的功能。 ?逻辑炸弹—一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 截获篡改截取者加密密钥 K解密密钥 KAB密文 Y密文 YE 运算加密算法D 运算解密算法因特网明文 X二、加密技术 一般的数据加密模型 明文 X 解密算法是加密算法的逆运算在进行解密运算时如果不事先约定好密钥就无法解出明文 例如： 1.A想发送“HELLO WORLD”给B，我们可以将每个明文字母用00（A）到25（Z）的数字代替，26代表空格。 HELLO WORLD转换成07040111114262214171103 2.ace：024 计算ace中的每个字母从字母a移位算起的位移量。这样a的位移量是0，c的位移量是2，e的位移量是4 加密前文本：this is a secret message 位移：0240 24 0 240240 2402402 加密后文本：tjms jw a uictit oisuegg 密码学 密码编码学是密码体制的设计学。 密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学。对称密钥密码体制 加密密钥与解密密钥是相同的密码体制。 数据加密标准DES DES属于常规密钥密码体制，是一种分组密码。 加密前，先对整个明文进行分组。每一个组长为64位。 然后对每一个64位二进制数据进行加密处理，产生一组64位密文数据。 最后将各组密文串接起来，即得出整个的密文。 使用的密钥为64位 国际数据加密算法IDEA 使用128位密钥，因而更不容易被攻破。计算指出，当密钥长度为128位时，若每微秒可搜索一百万次，则破译IDEA密码要花费5.4*1018年，这显然比较安全。非对称密钥密码体制 使用不同的加密密钥与解密密钥。 在公钥密码体制中，加密密钥(即公钥)PK是公开信息，而解密密钥(即私钥或秘钥) SK是需要保密的。 加密算法和解密算法也都是公开的。 虽然密钥SK是由公钥PK决定的，但却不能根据PK计算出SK。 B 的公钥 PKBB 的私钥 SKB加密解密ABE 运算加密算法D 运算解密算法密文Y 密文Y 因特网明文 X 明文 X公钥密码体制 任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。三、数字签名数字签名必须保证以下三点： 报文鉴别——接收者能够核实发送者对报文的签名； 报文的完整性——接收者不能伪造对报文的签名； 不可否认——发送者事后不能抵赖对报文的签名。 现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。 A 的私钥 SKAA 的公钥 PKA核实签名签名 AB密文 E运算密文 D运算因特网明文 X 明文 X数字签名的实现 (1)除A外没有别人能具有A的私钥，所以除A外没有别人能产生这个密文。因此B相信报文X是A签名发送的。 (2)若A要抵赖曾发送报文给B，B可将明文和对应的密文出示给第三者。第三者很容易用A的公钥去证实A确实发送X给B。 (3)反之，若B将X伪造成X’，则B不能在第三者前出示对应的密文。这样就证明了B伪造了报文。 A 的公钥 PKAA 的私钥 SKAB 的公钥 PKBB 的私钥 SKB因特网AB核实签名签名 加密 解密 密文E 运算D 运算E 运算D 运算明文 X明文 X 加密与解密签名与核实签名具有保密性的数字签名 四、防火墙(firewall)概念 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。 防火墙内的网络称为“可信赖的网络”，而将外部的因特网称为“不可信赖的网络”。 防火墙可用来解决内联网和外联网的安全问题。 防火墙不可信赖的网络可信赖的网络分组过滤路由器 R分组过滤路由器 R应用网关G内联网因特网外局域网内局域网防火墙在互连网络中的位置 防火墙的功能 防火墙的功能有两个：阻止和允许。 “阻止”就是阻止某种类型的通信量通过防火墙。 “允许”的功能