第七章网络安全.pptx

7.1 网络安全问题概述 7.1.1 计算机网络面临的安全性威胁  计算机网络上的通信面临以下的四种威胁： (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。  截获信息的攻击称为被动攻击，而更改信息和 拒绝用户使用资源的攻击称为主动攻击。 课件制作人：邓小鸿 对网络的被动攻击和主动攻击 源站 目的站 源站 目的站 源站 目的站 源站 目的站 伪造 截获 中断 篡改 被动攻击 主 动 攻 击 课件制作人：邓小鸿 被动攻击和主动攻 击  在被动攻击中，攻击者只是观 察和分析某一个协议数据单元 PDU 而不干扰信息流。  主动攻击是指攻击者对某个连 接中通过的 PDU 进行各种处 理。  更改报文流 报文的真实性、完 整性和有序性的攻击 课件制作人：邓小鸿 计算机网络通信安全的 目标 (1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连接。 课件制作人：邓小鸿 恶意程序(rogue program) (1) 计算机病毒——会“传染”其他程序的程 序，“传染”是通过修改其他程序来把自身 或其变种复制进去完成的。 (2) 计算机蠕虫——通过网络的通信功能将自 身从一个结点发送到另一个结点并启动运行 的程序。 (3) 特洛伊木马——一种程序，它执行的功能 超出所声称的功能。盗号木马 (4) 逻辑炸弹——一种当运行环境满足某种特 定条件时执行其他特殊功能的程序。千年虫 课件制作人：邓小鸿 7.1.2 计算机网络安全 的内容  保密性 为用户提供安 全可靠的保密通信是 计算机网络安全最为 重要的内容。  安全协议的设计 努力 的目标  访问控制 常用方法 课件制作人：邓小鸿 7.1.3 一般的数据加密 模型 截获 篡改 截取者 因特网 加密密钥 K 解密密钥 K A B 密文 Y 密文 Y E 运算 加密算法 D 运算 解密算法 明文 X 明文 X 课件制作人：邓小鸿 一些重要概念  密码编码学(cryptography)是密码体制的设计学， 而密码分析学(cryptanalysis)则是在未知密钥 的情况下从密文推演出明文或密钥的技术。密码 学 (cryptology) =密码编码学+密码分析学。  如果不论截取者获得了多少密文，但在密文中都 没有足够的信息来唯一地确定出对应的明文，则 这一密码体制称为无条件安全的，或称为理论上 是不可破的。  如果密码体制中的密码不能被可使用的计算资源 破译，则这一密码体制称为在计算上是安全的。 课件制作人：邓小鸿 important  在理论上不可破的密码体制是 几乎不存在的。  我们追求的只是在计算上安全 的密码体制，也就是说攻击者 在有限的时间和计算机资源内 是无法破译密码的。 课件制作人：邓小鸿 7.2 两类密码体制 7.2.1 对称密钥密码体制  所谓常规密钥密码体制，即加 密密钥与解密密钥是相同的密 码体制。  这种加密系统又称为对称密钥 系统。 课件制作人：邓小鸿 数据加密标准 DES  数据加密标准 DES 属于常规密钥密码体制， 是一种分组密码。  在加密前，先对整个明文进行分组。每一个组 长为 64 位。  然后对每一个 64 位 二进制数据进行加密处理， 产生一组 64 位密文数据。  最后将各组密文串接起来，即得出整个的密文。  使用的密钥为 64 位（实际密钥长度为 56 位， 有 8 位用于奇偶校验)。 课件制作人：邓小鸿 Question？  你能用六个字概括DES算法的 过程吗？  分组 加密 串接 课件制作人：邓小鸿 DES 的保密性  DES 的保密性仅取决于对密钥的保密，而算 法是公开的。尽管人们在破译 DES 方面取得 了许多进展，但至今仍未能找到比穷举搜索 密钥更有效的方法。  DES 是世界上第一个公认的实用密码算法标 准，它曾对密码学的发展做出了重大贡献。  目前较为严重的问题是 DES 的密钥的长度。  现在已经设计出来搜索 DES 密钥的专用芯片。 课件制作人：邓小鸿 要点  所有的加密解密算法是公开的， 密钥是保密的  加密与解密相辅相成，互相促 进 课件制作人：邓小鸿 7.2.2 公钥密码体制  公钥密码体制使用不同的加密密 钥与解密密钥，是一种“由已知 加密密钥推导出解密密钥在计算 上是不可行的”密码体制。  公钥密码体制的产生主要是因为 两个方面的原因，一是由于常规 密钥密码体制的密钥分配问题， 另一是由于对数字签名的需求。 课件制作人：邓小鸿 加密密钥与解密密钥  在公钥密码体制中，