加密算法為E包括密鑰.ppt

1、計(jì)算機(jī)網(wǎng)絡(luò)Computer Network,2020年8月22日,2/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,課程目錄,第1章概述 第2章物理層與數(shù)據(jù)通信基礎(chǔ) 第3章數(shù)據(jù)鏈路層 第4章局域網(wǎng) 第5章網(wǎng)絡(luò)層 第6章網(wǎng)絡(luò)互聯(lián)技術(shù) 第7章傳輸層 第8章應(yīng)用層 第9章網(wǎng)絡(luò)管理與信息安全 第10章網(wǎng)絡(luò)新技術(shù)專題,3/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.1網(wǎng)絡(luò)管理基礎(chǔ) 9.2網(wǎng)絡(luò)信息安全概述 9.3數(shù)據(jù)加密算法 9.4常用網(wǎng)絡(luò)安全技術(shù)舉例,第9章網(wǎng)絡(luò)管理與信息安全,4/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.1 網(wǎng)絡(luò)管理基礎(chǔ),9.1.1 網(wǎng)絡(luò)管理的功能 9.1.2 簡單網(wǎng)絡(luò)管理協(xié)議SNMP,5/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,ISO在網(wǎng)絡(luò)管

2、理的標(biāo)準(zhǔn)中定義了網(wǎng)絡(luò)管理的五個(gè)功能域: 1、配置管理： 管理所有的網(wǎng)絡(luò)設(shè)備，含各設(shè)備參數(shù)的配置與設(shè)備帳目的管理； 2、故障管理： 找出故障的位置并進(jìn)行恢復(fù)；,9.1.1 網(wǎng)絡(luò)管理的功能(1/2),6/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,3、性能管理： 統(tǒng)計(jì)網(wǎng)絡(luò)的使用狀況，根據(jù)網(wǎng)絡(luò)的使用情況進(jìn)行擴(kuò)充，確定設(shè)備的規(guī)劃； 4、安全管理： 限制非法用戶竊取或修改網(wǎng)絡(luò)中的重要數(shù)據(jù)等； 5、計(jì)費(fèi)管理： 記錄用戶使用網(wǎng)絡(luò)資源的數(shù)量，調(diào)整用戶使用網(wǎng)絡(luò)資源的配額大小和記帳收費(fèi)。,9.1.1 網(wǎng)絡(luò)管理的功能(2/2),7/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,SNMP的設(shè)計(jì)思想（十分簡單）： 它通過SNMP的PDU(協(xié)議數(shù)據(jù)單元)來與

3、被管理的對象交換信息，這些對象有對象所特有的屬性和值。 SNMP共有五種PDU 其中兩個(gè)用來讀取數(shù)據(jù)，兩個(gè)用來設(shè)置數(shù)據(jù)，還有一個(gè)用來監(jiān)視網(wǎng)絡(luò)上發(fā)生的事件，如網(wǎng)絡(luò)故障報(bào)警信息等等,9.1.2 簡單網(wǎng)絡(luò)管理協(xié)議SNMP(1/7),8/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,優(yōu)點(diǎn) 最大優(yōu)點(diǎn)是它的簡單性，容易設(shè)立、容易編程，而且對網(wǎng)絡(luò)不會造成很大壓力 當(dāng)前已經(jīng)被廣泛使用 可擴(kuò)充性 缺點(diǎn) 安全性：為網(wǎng)絡(luò)黑客的入侵提供了方便之門,9.1.2 簡單網(wǎng)絡(luò)管理協(xié)議SNMP(2/7),9/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,SNMP網(wǎng)絡(luò)管理模型,9.1.2 簡單網(wǎng)絡(luò)管理協(xié)議SNMP(3/7),10/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,SNMP采用

4、簡化的面向?qū)ο蟮姆椒▉韺?shí)現(xiàn)對網(wǎng)絡(luò)設(shè)施的管理，SNMP管理模型由以下四個(gè)部分組成 被管對象 被管設(shè)施可以是一個(gè)網(wǎng)橋、路由器、網(wǎng)絡(luò)打印機(jī)、TCP連接、路由端口狀態(tài)等等 網(wǎng)絡(luò)管理站 網(wǎng)絡(luò)管理站向網(wǎng)絡(luò)管理員提供了對網(wǎng)絡(luò)的管理界面，所有網(wǎng)絡(luò)管理功能都在網(wǎng)絡(luò)管理站上得到體現(xiàn),9.1.2 簡單網(wǎng)絡(luò)管理協(xié)議SNMP(4/7),11/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,網(wǎng)絡(luò)管理信息 代理是被管對象在網(wǎng)絡(luò)管理環(huán)境中的數(shù)值體現(xiàn)，被管對象的有關(guān)信息保留在代理內(nèi)部，這些信息就是網(wǎng)絡(luò)管理信息 網(wǎng)絡(luò)管理協(xié)議 網(wǎng)絡(luò)管理站通過SNMP協(xié)議與代理通信，這個(gè)協(xié)議使得網(wǎng)絡(luò)管理站可以獲取代理的信息,9.1.2 簡單網(wǎng)絡(luò)管理協(xié)議SNMP(5/7)

5、,12/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,SNMP協(xié)議中的信息用ASN.1來定義，稱為SMI（Structure of Management Information），SMI由三部分組成：模塊定義、對象定義和通知定義。 模塊定義用來定義網(wǎng)絡(luò)管理信息模塊，使用MODULE-IDENTITY來定義模塊的語法和語義 對象定義用來定義被管對象，使用OBJECT-TYPE來定義對象的語法和語義 通知定義用來定義網(wǎng)絡(luò)設(shè)施發(fā)出的事件信息，用NOTIFICATION-TYPE來定義通知的語法和語義,9.1.2 簡單網(wǎng)絡(luò)管理協(xié)議SNMP(6/7),13/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.1.2 簡單網(wǎng)絡(luò)管理協(xié)議SNMP(7

6、/7),到目前為止，已經(jīng)開發(fā)了三個(gè)版本的SNMP，它們是SNMPv1、SNMPv2和SNMPv3 SNMPv1 最初的版本，通過RFC1155、RFC1212、RFC1157三個(gè)文檔進(jìn)行定義 SNMPv2 SNMPv2在RFC 1902到RFC 1907中定義，RFC 1908定義了SNMPv1和SNMPv2共存及轉(zhuǎn)換等問題 SNMPv3 SNMPv3由RFC 2271到RFC 2275定義，描述了SNMPv2中所缺乏（或者講不完善）的安全和管理方面的問題,14/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.2網(wǎng)絡(luò)信息安全概述,9.2.1 網(wǎng)絡(luò)安全隱患與對策 9.2.2 病毒與防范,15/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉

7、桂江,9.2.1 網(wǎng)絡(luò)安全隱患與對策(1/2),大多數(shù)安全問題都是由于某些惡意的人企圖獲得某種利益而故意制造的。例如竊取機(jī)密的、隱私的信息；攻擊系統(tǒng)，使系統(tǒng)不能提供正常的服務(wù)；對系統(tǒng)進(jìn)行破壞性攻擊，造成系統(tǒng)崩潰；篡改數(shù)據(jù)等。 網(wǎng)絡(luò)信息安全主要表現(xiàn)在以下方面： 保密性是保證信息只為授權(quán)用戶使用的特性，防止信息泄露給非 授權(quán)用戶。 完整性是防止信息未經(jīng)授權(quán)地擅自被改變的特性。 真實(shí)可靠性是指系統(tǒng)能夠完成規(guī)定的功能并確保信息的可靠。 不可抵賴性是指建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為。 可控制性是指授權(quán)機(jī)構(gòu)對信息的內(nèi)容以及傳播具有控制能力的特 性，可以控制授權(quán)范圍內(nèi)信息的流向以及方式。,16/33

8、,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.2.1 網(wǎng)絡(luò)安全隱患與對策(2/2),計(jì)算機(jī)網(wǎng)絡(luò)的安全性主要通過隔離技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、加密技術(shù)、網(wǎng)絡(luò)管理技術(shù)等一系列的手段來實(shí)現(xiàn)。 網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊；管理方面則側(cè)重于內(nèi)部人為因素的管理。,17/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,惡意程序 (1)系統(tǒng)病毒此類病毒是傳統(tǒng)定義的病毒，直接以破壞系統(tǒng)正常工作為目的。 (2)計(jì)算機(jī)蠕蟲通過網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序。 (3)特洛伊木馬木馬病毒與系統(tǒng)病毒的一個(gè)重大區(qū)別在于木馬病毒通常不能自我復(fù)制。木馬病毒表

9、面上以正常的程序形式存在，繼承了與用戶相同的、唯一的優(yōu)先權(quán)和存取權(quán)。 (4)流氓軟件或惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件。,9.2.2 病毒與防范(1/2),18/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.2.2 病毒與防范(2/2),病毒的防治 1.安裝殺毒軟件及防火墻。 2.嚴(yán)格管理制度，養(yǎng)成個(gè)人良好的使用計(jì)算機(jī)系統(tǒng)的習(xí)慣。 3.有備無患。備份系統(tǒng)，經(jīng)常備份數(shù)據(jù)，把病毒的危害降到最低。,19/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.3數(shù)據(jù)加密算法,9.3.1 數(shù)據(jù)加密一般原理 9.3.2 對稱密鑰算法 9.3.3 公開密鑰算法,20/33

10、,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.3.1 數(shù)據(jù)加密一般原理,數(shù)據(jù)加密的基本過程 密文只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容。,明文,密文,某種算法,21/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.3.2 對稱密鑰算法,對稱加密：是一種單鑰密碼系統(tǒng)，其加密運(yùn)算、解密運(yùn)算使用的是同樣的密鑰，信息的發(fā)送者和信息的接收者在進(jìn)行信息的傳輸與處理時(shí)，必須共同持有該密碼（稱為對稱密碼）。,A,B,22/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.3.3 公開密鑰算法(1/4),在公鑰密碼系統(tǒng)中，加密和解密使用的是不同的密鑰（又稱為非對稱密鑰），這兩個(gè)密鑰之間存在著相互依存關(guān)系：即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。 加密

11、密鑰和算法是對外公開的，人人都可以通過這個(gè)密鑰加密文件然后發(fā)給收信者，這個(gè)加密密鑰又稱為公鑰。 收信者收到加密文件后，可以使用他的解密密鑰解密，這個(gè)密鑰是由他自己私人掌管的，并不需要分發(fā)，因此又稱為私鑰。,23/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.3.3 公開密鑰算法(2/4),解密密鑰不能從加密密鑰獲得，假設(shè)明文為P，加密算法為E（包括密鑰），解密算法為D（包括密鑰），要求滿足以下三個(gè)條件： D(E(P)=P 從E推導(dǎo)D是極其困難的 E不能通過部分明文來解破,24/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,RSA算法 選擇兩個(gè)大整數(shù)p和q，一般要求大于10100 計(jì)算 n= p q 和 z =(p-1) (q-1

12、) 選擇一個(gè)與z互素的整數(shù)，記為d 計(jì)算滿足下列條件的e ，（e d） mod z = 1,9.3.3 公開密鑰算法(3/4),25/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,在進(jìn)行加密時(shí)，首先可以把待加密的明文分割成一定大小的塊P，這個(gè)P可以看成是一個(gè)整數(shù)，要求0 P n，我們可以把P的長度設(shè)為k，則要求2kn 對P加密就是計(jì)算C = Pe mod n；解密則為P = Cd mod n。可以證明在指定范圍內(nèi)的P，上述等式成立。為了加密，我們需要e和n，為了解密，我們需要d和n，這樣，加密密鑰（即公開密鑰）為（e，n），解密密鑰（即秘密密鑰）為（d，n）,9.3.3 公開密鑰算法(4/4),26/33,計(jì)算機(jī)

13、網(wǎng)絡(luò)-劉桂江,9.4常用網(wǎng)絡(luò)安全技術(shù)舉例,9.4.1 身份鑒別 9.4.2 數(shù)字簽名 9.4.3 數(shù)字證書 9.4.4 防火墻(firewall) 9.4.5 Web的安全性技術(shù)SSL,27/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.4.1 身份鑒別,身份鑒別的過程就是證明某人身份的過程。 身份鑒別系統(tǒng)主要包括用戶與服務(wù)器間的身份鑒別、服務(wù)器與服務(wù)器之間的身份鑒別以及用戶之間的身份鑒別。其中主要以用戶和服務(wù)器之間的身份鑒別最為普遍。,28/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.4.2 數(shù)字簽名,數(shù)字簽名是利用公鑰密碼技術(shù)和其他密碼算法生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替手工書寫簽名和印章。 它采用了規(guī)

14、范化的程序和科學(xué)化的方法，用于鑒定簽名人的身份以及對一項(xiàng)電子數(shù)據(jù)內(nèi)容的認(rèn)可。它還能驗(yàn)證出文件的原文在傳輸過程中有無變動(dòng)，確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性。,29/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.4.3 數(shù)字證書,數(shù)字證書就是互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證身份的方式。 它是由一個(gè)權(quán)威機(jī)構(gòu)-CA (CertificateAuthority，證書授權(quán)中心) 發(fā)行的，人們可以在網(wǎng)上用它來識別對方的身份。 數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。 最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽

15、名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號等信息。,30/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.4.4 防火墻(1/2),防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。接入控制策略由使用防火墻的單位自行制訂。 防火墻內(nèi)的網(wǎng)絡(luò)稱為可信賴的網(wǎng)絡(luò)，而將外部的因特網(wǎng)稱為不可信賴的網(wǎng)絡(luò)。 防火墻能夠允許或阻止出入網(wǎng)絡(luò)的信息流。它能夠有效的監(jiān)控可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間的任何活動(dòng)，從而保證了內(nèi)部可信賴網(wǎng)絡(luò)的安全性。,31/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,常見的防火墻一般分為三類：,1.包過濾防火墻 包過濾，就是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢茫罁?jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則，對數(shù)據(jù)包實(shí)施有選擇的通過。 2.代理防火墻 代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。通過對各種應(yīng)用服務(wù)分別設(shè)立代理的方法，在應(yīng)用層對網(wǎng)絡(luò)攻擊進(jìn)行防范。 3.復(fù)合型防火墻,9.4.4 防火墻(2/2),32/33,計(jì)算機(jī)網(wǎng)絡(luò)-劉桂江,9.4.5 Web的安全性技術(shù)SSL(1/2),SSL又稱為安全插口層 (Secure Socket Layer)，可對萬維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別。 SSL在雙方的聯(lián)絡(luò)階段協(xié)商將使用的加密算法和密鑰，以及客戶與服務(wù)器之間的身份