计算机通信网 第11篇 网络安全.pptVIP

第11章 网络安全 11.1 网络安全概述 11.2 数据必威体育官网网址技术 11.3 用户身份认证 11.4 访问控制 11.1 网络安全概述 1.网络安全层次模型［4］［5］ ISO/OSI―RM中定义了七个层次，不同的层次之间的功能虽有一定的交叉，但基本上是不同的，如传输层负责端到端的通信，网络层负责寻径，数据链路层则负责点到点的通信。从网络安全的角度出发，各层次的安全要求与措施也不完全相同，可构筑成网络安全的层次模型，如图11.1.1所示。 2.网络安全体系结构 网络安全体系结构的三维框架反映了信息系统安全的需求和可实现的体系结构特性，如图11.1.2所示。 由图可见，三维指的是开放系统互连参考模型、安全特性和系统单元。系统单元包括安全管理、信息处理单元、网络系统和物理(含行政)环境。ISO7498―2制定了安全管理机制，含安全域的设置和管理、安全管理信息库、安全管理信息的通信、安全管理应用程序协议以及安全机制与服务管理。信息处理单元是由多个端系统和若干中继系统(诸如交换机、路由器等)组成的。 网络系统的安全为在开放系统通信环境下通信业务流的安全提供支持，包括安全通信协议、数据加密、安全管理应用进程、安全管理信息库、分布式管理系统等。物理环境与行政管理安全包括物理环境管理和人员管理、行政管理与环境安全服务配置和机制以及系统管理人员职责等。 安全特性是基于ISO7498―2的安全服务与安全机制。不同安全策略、不同安全等级的系统有不同的安全特性要求。 3.安全服务与安全机制 安全服务与安全机制指的是基于OSI的安全体系结构实现安全通信所必要的服务以及相应的机制。ISO7498―2描述了五种可选的安全服务：身份鉴别(Authentication)、访问控制(Access Control)、数据必威体育官网网址(Data Confidentiality)、数据完整性(Data Integrity)和不可否认(NonReputation)。与上述五种安全服务相关的安全机制有八种： 加密机制(Encipher Mechanisms)、访问控制机制(Access Control Mechanisms)、数字签名机制(Digital Signature Mechanisms)、数据完整性机制(DataIntegrity Mechanisms)、身份鉴别(认证)机制(Authentication Mechanisms)、通信业务填充机制(Traffic Padding Mechanisms)、 路由控制机制(Routing Control Mechanisms)、公证机制(Notarization Mechanisms)。此外，还有与系统要求的安全级别直接有关的安全机制，如安全审计跟踪(Security Audit Trail)、可信功能(Trusted Function)、安全标号(Security Labels)、事件检测(Event Detection)和安全恢复(Security Recovery)等。 11.2 数据必威体育官网网址技术 数据必威体育官网网址就是采取多种复杂的措施对数据加以保护，以防第三方窃取、伪造或篡改数据。数据必威体育官网网址模型如图11.2.1所示。 数据必威体育官网网址模型的明文P(Plaintext)是一段有意义的文字或数据，在发送方通过加密算法变换为密文C(Ciphertext)。密文是以加密密钥K为参数的函数，记作C=EK(P)。在接收方用以解密密钥K′为基础的解密算法，将密文还原为明文，即P=DK′［EK(P)］。 若第三方能从传输通道上窃取有用信息，对原始信息未作更改，则称之为被动攻击；若第三方不仅截取消息并篡改或伪造了消息，则称其为主动攻击。整个数据必威体育官网网址涉及两大关键技术：加密算法的研究与设计和密码分析(或破译)。二者在理论上是矛盾的。设计密码和破译密码的技术统称为密码学。 11.2.1 对称密钥密码技术 对称密钥密码(Symmetric Key Cryptography)系统是一种传统的密码体制，其加密和解密用的是相同的密钥，即K=K′，可确保用解密密钥K′能将密码译成明文，DK′［EK(P)］=P。早期传统的密码体制常采用替换法和易位法。在此基础上，美国在1977年将IBM研制的组合式加密方法——数据加密标准(DES，Data Encryption Standard)