计算机网络-第七章 网络安全问题.pptxVIP

7.1 网络安全问题概述7.1.1 计算机网络面临的安全性威胁计算机网络面临两大类威胁：被动攻击和主动攻击被动攻击：流量分析，攻击者仅观察、分析某协议数据单元PDU，不干扰信息流。主动攻击：攻击者对某个连接中的PDU进行处理，如有选择地更改、删除、延迟。计算机网络被动攻击和主动攻击源站目的站源站目的站源站目的站源站目的站恶意程序拒绝服务篡改截获被动攻击主 动 攻 击①截获：攻击者从网络上窃听他人通信内容。②篡改：攻击者故意篡改网络上传送的报文。③恶意程序， 包括计算机病毒、计算机蠕虫、特洛伊木马和逻辑炸弹等。④拒绝服务： DoS (Denial of service)，DDoS，网络宽带/连通性攻击 计算机网络主动攻击可以检测被动攻击无法检测对付被动攻击：数据加密技术对付主动攻击：加密技术和鉴别技术计算机网络通信安全的目标：防止析出报文内容防止通信量分析检测更改报文流检测拒绝报文服务防止恶意程序计算机网络特殊的主动攻击恶意程序攻击，对网络威胁较大的有：①计算机病毒会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的.②计算机蠕虫通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序.③特洛伊木马一种执行的功能超出所声称的功能的程序.④逻辑炸弹一种当运行环境满足某种特定条件时执行其他特殊功能的程序.计算机网络DoS：Denial Of Service，拒绝服务，指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，使目标计算机或网络无法提供正常的服务或资源访问，目标系统服务系统停止响应甚至崩溃。服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。计算机网络7.1.2 计算机网络安全性主要涉及4个方面：①保密：保证数据的私有性，防止未被授权者非法窃取.②完整性：通过限制用户的访问权限，防止非法侵入和篡改.③鉴别：进行事务处理或显示敏感信息之前，先确认对方的身份.④反拒认：用来确定收到的消息(邮件)未被篡改或伪造.计算机网络安全的内容保密性访问控制安全协议的设计 计算机网络网络安全性涉及体系结构的每个层次物理层，对传输线采取保护措施，以防止窃听。数据链路层，当点对点传送的分组离开时加密，到达时再解密。网络层，用防火墙技术限制分组的进出，以防止非法入侵。链路层的加密和解密方法在分组经过多个路由器时不适用，因为路由器要对分组解密，使分组在路由器中易受攻击。传输层，对连接(端到端或进程到进程)进行加密，以解决数据保密的问题。应用层，解决确认身份和反拒认的问题。电子方式下，人们无法区分常规文件的原件和复印件(如支票、发票等)，无法通过声音、相貌和笔迹来确定某人的身份和反拒认。计算机网络7.2 数据加密7.2.1 数据加密模型发送端：明文X用加密算法E和加密密钥K得到密文Y=EK(X)。接收端：用解密算法D和解密密钥K，解出明文DK(Y)=DK(EK(X))=X。加密密钥和解密密钥可以不同。密钥通常由一个密钥源提供。当密钥需向远地传送时，一定通过另一个安全信道。截获篡改截取者加密密钥 K解密密钥 KAB密文 Y密文 YE 运算加密算法D 运算解密算法因特网明文 X 明文 X计算机网络密码学：密码编码学和密码分析学密码编码学：密码体制设计学。密码分析学：在未知密钥的情况下，从密文推演出明文或密钥的技术。目前几乎所有实用的密码体制均可破。如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。两类密码体制对称密钥密码体制公钥密码体制计算机网络7.2.2对称密钥密码体制对称密钥体制：常规密钥密码体制，即加密密钥与解密密钥相同的密码体制。数据加密标准 DES数据加密标准 DES 属于常规密钥密码体制，是一种分组密码.在加密前，先对整个明文进行分组，每组长为 64 位.然后对每一个 64 位二进制数据进行加密处理，产生一组 64 位密文数据.最后将各组密文串接起来，即得出整个的密文.使用的密钥为 64 位(实际密钥长度为 56 位，有 8 位用于奇偶校验).计算机网络DES 的保密性DES 的算法是公开的，保密性仅取决于对密钥的保密。尽管人们在破译 DES 方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。DES 是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。目前较为严重的问题是 DES 的密钥的长度。现在已经设计出来搜索 DES 密钥的专用芯片。计算机网络7.2.3 公钥密码体制公钥密码体制：使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计