計算機(jī)網(wǎng)絡(luò)課件趙青松第7章網(wǎng)絡(luò)安全ppt第7章網(wǎng)絡(luò)安全

第7章網(wǎng)絡(luò)安全第7章網(wǎng)絡(luò)安全7.1網(wǎng)絡(luò)安全問題概述7.2兩類密碼體制7.3數(shù)字簽名7.4鑒別7.6因特網(wǎng)使用的安全協(xié)議7.8防火墻

7.1網(wǎng)絡(luò)安全問題概述

7.1.1計算機(jī)網(wǎng)絡(luò)面臨的安全性威脅

計算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅：(1)截獲——從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。(2)中斷——有意中斷他人在網(wǎng)絡(luò)上的通信。(3)篡改——故意篡改網(wǎng)絡(luò)上傳送的報文。(4)偽造——偽造信息在網(wǎng)絡(luò)上傳送。截獲信息的攻擊稱為被動攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。對網(wǎng)絡(luò)的被動攻擊和主動攻擊截獲篡改偽造中斷被動攻擊主動攻擊目的站源站源站源站源站目的站目的站目的站被動攻擊和主動攻擊在被動攻擊中，攻擊者只是觀察和分析某一個協(xié)議數(shù)據(jù)單元PDU而不干擾信息流。主動攻擊是指攻擊者對某個連接中通過的PDU進(jìn)行各種處理。更改報文流拒絕報文服務(wù)偽造連接初始化

(1)計算機(jī)病毒——會“傳染”其他程序的程序，“傳染”是通過修改其他程序來把自身或其變種復(fù)制進(jìn)去完成的。(2)計算機(jī)蠕蟲——通過網(wǎng)絡(luò)的通信功能將自身從一個結(jié)點發(fā)送到另一個結(jié)點并啟動運行的程序。(3)特洛伊木馬——一種程序，它執(zhí)行的功能超出所聲稱的功能。(4)邏輯炸彈——一種當(dāng)運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊功能的程序。惡意程序(rogueprogram)7.1.2計算機(jī)網(wǎng)絡(luò)安全的內(nèi)容保密性安全協(xié)議的設(shè)計訪問控制明文X

截獲密文Y7.1.3一般的數(shù)據(jù)加密模型加密密鑰K明文X密文Y截取者篡改ABE運算加密算法D運算解密算法因特網(wǎng)解密密鑰K一些重要概念密碼編碼學(xué)(cryptography)是密碼體制的設(shè)計學(xué)，而密碼分析學(xué)(cryptanalysis)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)(cryptology)。如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來唯一地確定出對應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。如果密碼體制中的密碼不能被可使用的計算資源破譯，則這一密碼體制稱為在計算上是安全的。7.2兩類密碼體制

7.2.1對稱密鑰密碼體制

所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。數(shù)據(jù)加密標(biāo)準(zhǔn)DES數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對整個明文進(jìn)行分組。每一個組長為64位。使用的密鑰實際長度為56位。7.2.2公鑰密碼體制公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計算上是不可行的”密碼體制。公鑰算法的特點發(fā)送者A用B的公鑰PKB對明文X加密（E運算）后，在接收者B用自己的私鑰SKB解密（D運算），即可恢復(fù)出明文：(7-4)解密密鑰是接收者專用的秘鑰，對其他人都保密。加密密鑰是公開的，但不能用它來解密，即

(7-5)公鑰算法的特點（續(xù)）加密和解密的運算可以對調(diào)，即

（7-6）公鑰密碼體制密文Y

E運算加密算法D運算解密算法加密解密明文X明文X

ABB的私鑰SKB密文Y

因特網(wǎng)B的公鑰PKB7.3數(shù)字簽名數(shù)字簽名必須保證以下三點：(1)報文鑒別——接收者能夠核實發(fā)送者對報文的簽名；(2)報文的完整性——接收者確信收到的數(shù)據(jù)和發(fā)送者發(fā)送的完全一樣；(3)不可否認(rèn)——發(fā)送者事后不能抵賴對報文的簽名。密文數(shù)字簽名的實現(xiàn)D運算明文X明文X

ABA的私鑰SKA因特網(wǎng)簽名核實簽名E運算密文A的公鑰PKA7.4鑒別在信息的安全領(lǐng)域中，對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改和偽造則要用鑒別(authentication)

。報文鑒別使得通信的接收方能夠驗證所收到的報文的真?zhèn)?。報文摘要算法報文摘要算法就是一種散列函數(shù)。這種散列函數(shù)也叫做密碼編碼的檢驗和。報文摘要算法是防止報文被人惡意篡改。報文摘要算法是精心選擇的一種單向函數(shù)。報文鑒別的實現(xiàn)A比較簽名核實簽名報文XHD運算D(H)A的私鑰報文XD(H)B報文摘要報文XD(H)發(fā)送E運算H簽名的報文摘要H報文摘要運算A的公鑰報文摘要運算報文摘要報文摘要因特網(wǎng)7.6因特網(wǎng)使用的安全協(xié)議網(wǎng)絡(luò)層安全協(xié)議:IPsec運輸層安全協(xié)議:安全套接層SSL和安全電子交易SET應(yīng)用層的安全協(xié)議:PGP(PrettyGoodPrivacy)7.8防火墻(firewall)防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，是一種特殊編程的路由器，用來在兩個網(wǎng)絡(luò)之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trustednetwork)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrustednetwork)。防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。防火墻在互連網(wǎng)絡(luò)中的位置G內(nèi)聯(lián)網(wǎng)可信賴的網(wǎng)絡(luò)不可信賴的網(wǎng)絡(luò)分組過濾路由器

R分組過濾路由器

R應(yīng)用網(wǎng)關(guān)外局域網(wǎng)內(nèi)局域網(wǎng)防火