第十二章 网络安全与网络管理.pptVIP

第 十二 章 网络安全与网络管理 第 一节 网络安全概述 5破坏数据的完整性:指使用非法手段，删除、修改、重发某些重要的信息，以干扰用户的正常使用。 6拒绝服务:指通信被终止或时实操作被延迟 7否认:指通信的双方有一方事后否认曾参与某次活动 8数据流分析:指分析通信线路中的信息流向、流量和流速等，从中或得有用信息 9干扰系统正常运行:指改变系统的正常运行方法，减慢系统的响应时间等手段 10病毒与恶意攻击:指通过网络传播病毒或恶意攻击等 12.1.2 计算机网络安全的内容 ①必威体育官网网址性。②安全协议的设计。③接入控制。 展开说见书216-217 第二节 数据加密概述 计算机密码学时解决网络安全问题的技术基础，是一个专门的研究领域。密码技术主要包括以下几个方面： （1）加密，把明文转换成密文的过程。（2）解密，把密文转换成明文的过程。（3）认证，识别个人、网络上的机器或机构。（4）数字签名，是把密文和用来解码的密钥一起发送，而该密钥本身又被加密，还需要另一个密钥来解密。（5）签名识别。数字签名的反过程，它证明签名有效。 12.2.1 对称密钥密码体制 对称密钥密码体制定义： 只用一个密钥对信息进行加密和解密。 优点：使用的加密算法比较简便高效，密钥剪短，破译极其困难，因此具有很高的必威体育官网网址强度。 12.2.1 对称密钥密码体制 缺点:①密钥使用一段时间后就要更换，加密方每次启动新密码时，都要经过某种秘密渠道把密钥传给解密方，而密钥在传递过程中很容易泄露。②网络通信时，如果网内的所有用户都使用同样的密钥，就失去了必威体育官网网址的意义，但如果网内任意两个用户通信时都使用互不相同的密钥，则密钥量太大，难于管理。③无法满足互不相识的人进行私人谈话时的必威体育官网网址要求，Internet中，有时互不相识的两方需要传送加密信息。④难于解决数字签名验证的问题。 12.2.2 公开密钥密码体制 定义（考过名词解释）：如果将一个加密系统的加密密钥和解密密钥分开，则加密和解密分别由两个密钥来实现，并使得由加密密钥推导出解密密钥在计算机上是不可行的。加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道，分别称为“公开密钥”和“私密密钥”。 公开密钥密码体质称为部队称密钥密码体制。 12.2.2 公开密钥密码体制 优点：①密钥分配简单。由于加密密钥和解密密钥不同，且不能由加密密钥推导出解密密钥，而解密密钥则由用户自己掌握。②密钥的保存量少。网络中的每一密码通信成员只需秘密保存自己的解密密钥，N个成员只需产生N对密钥，便于密钥管理。③可以满足互不相识的人之间进行私人谈话时的必威体育官网网址性要求。④可以完成数字签名和数字鉴别，发信人使用只有自己知道的密钥进行签名，收信人利用公开密钥进行检查，既方便又安全。 12.2.3 密钥分配 密钥管理包括密钥的产生、分配、注入、验证和使用。 密钥的网内分配方式有两种：一种是在用户之间只按实现分配，另一种是设立一个密钥分配中心KDC(Key Distribution Center)，通过KDC来分配密钥。后一种方法已成为使用得较多的密钥分配方法。 第三节 网络环境下的威胁和安全措施 12.3.1 网络安全的威胁 网络环境下对网络安全的威胁有三类：①未经许可地析出信息；②未经许可地篡改信息；③未经许可地拒绝或中止一些用户对资源的使用。 主动攻击有三种：更改报文流；拒绝报文服务；伪造连接初始化。 对于更改报文流的抗击采取哪些措施：对于更改报文流的抗击就是要检测报文的完整性，真实性和有序性。为保证报文的完整性，必须采用鉴别技术；为保证报文的真实性，应在所有时间内使每个连接都有唯一的标识符，并将此标识符加到通过此连接的每一个PDU上，为了防止对有序性的攻击，可在每一个PDU中增加一个序号，同时不能再某个连接唯一标识符存在期间重复使用该符号。 计算机网络通信安全的五个目标：①防止析出报文内容；②防止信息量分析；③检测更改报文流；④检测拒绝报文服务；⑤检测伪造连接初始化。 12.3.2 实现通信安全的加密策略 1链路加密 在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。 最大缺点是在中间节点都暴露了信息的内容。 2端到端加密 端到端加密是在源结点和目的结点中对传送的PDU进行加密和解密 为了获得更好的安全性，可将链路加密与端到端加密结合在一起使用。链路加密用来对PDU的目的地址进行加密，而端到端加密则提供了对端到端的数据进行保护。 12.3.3 在端到端加密下的若干措施 一 被动攻击 防止析出报文内容应直接采用加密技术。运输层是实现端到端加密的最低层 二 主动攻击 1 对于更改报文流要检测报文的完整性、真实性和有序性。 保证报文的完整性采用鉴别技术。保证报文的真实性，在所有时间内使每个连