安全生产管理计算机网络讲义谢希仁计算机网络的安全.docxVIP

第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页 {安全生产管理}计算机网络讲义谢希仁计算机网络的安全 第10章 计算机网络的安全 本章目录 10 章计算机网络的安全 1 10.1 网络安全问题概述 1 10.1.1 计算机网络面临的安全性威胁 1 10.1.2 计算机网络安全的内容 2 10.1.3 一般的数据加密模型 3 10.2 常规密钥密码体制 4 10.2.1 替代密码与置换密码 4 10.2.2 数据加密标准 DES5 10.3 公开密钥密码体制 7 10.3.1 公开密钥密码体制的特点 7 10.3.2RSA 公开密钥密码体制 8 10.3.3 数字签名 8 10.4 报文鉴别 9 10.5 密钥分配 10 10.6 链路加密与端到端加密 11 10.6.1 链路加密 11 10.6.2 端到端加密 11 10.7 防火墙 11 10.1网络安全问题概述 10.1.1 计算机网络面临的安全性威胁 计算机网络上的通信面临以下的 4 种威胁。 截获(interception)攻击者从网络上窃听他人的通信内容。 中断(interruption)攻击者有意中断他人在网络上的通信。 篡改(modification)攻击者故意篡改网络上传送的报文。 伪造(fabrication)攻击者伪造信息在网络上传送。 上述四种威胁可划分为两大类，即被动攻击和主动攻击（如图 10-1 所示）。在上述情况中，截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU（这里使用 PDU 这一名词是考虑到攻击可能涉及数据的不同的层次）而不干扰信息流。即使这些数据对攻击者来说是不易理解的，他也可以通过观察 PDU 的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究 PDU 的长度和传输的频度，以便了解所交换的数据的性质。这种被动攻击又称为通信量分析（trafficanalysis）。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。如有选择地更改、删除、延迟这些 PDU（当然也包括记录和复制它们）。还可在稍后的时间将以前记录下的 PDU 插入这个连接（即重放攻击）。甚至还可以将合成的或伪造的 PDU 送入一个连接中去。所有主动攻击都是上述各种方法的某种组合。但从类型上看，主动攻击又可进一步划分为以下 3 种： 更改报文流，包括对通过连接的 PDU 的真实性、完整性和有序性的攻击。 拒绝报文服务，指攻击者或者删除通过某一连接的所有 PDU，或者将双方或单方的所有 PDU 加以延迟，从而使被攻击网站的服务器一直处于“忙”的状态，因而拒绝向发出请求的合法客户提供服务。这种攻击方式被称为拒绝服务 DoS （DenialofService），或分布式拒绝服务 DDoS（DistributedDenialofService）。 伪造连接初始化，攻击者重放以前已被记录的合法连接初始化序列，或者伪造身份而企图建立连接。 3. 对于主动攻击，可以采取适当措施加以检测。但对于被动攻击，通常却是检测不出来的。根据这些特点，可得出计算机网络通信安全的五个目标： 防止析出报文内容； 防止信息量分析； 检测更改报文流； 检测拒绝报文服务； 检测伪造初始化连接。 对付被动攻击可采用各种加密技术，而对付主动攻击，则需要将加密技术与适当 的鉴别技术相结合。还有一种特殊的主动攻击就是恶意程序（rogueprogram）的攻击。恶意程序种类繁多，对网络安全威胁较大的主要有以下几种： 计算机病毒(putervirus)，一种会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 计算机蠕虫(puterworm)，一种通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 特洛伊木马(T