计算机网络安全第1章技术总结.pptVIP

* 网络安全概述 * 2.系统的易被监视性 用户使用Telnet或FTP连接他在远程主机上的账户，在网上传的口令是没有加密的。入侵者可以通过监视携带用户名和口令的IP包获取它们，然后使用这些用户名和口令通过正常渠道登录到系统。如果被截获的是管理员的口令，那么获取特权级访问就变得更容易了。成千上万的系统就是被这种方式侵入的。 * 网络安全概述 * 3.易欺骗性 TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”，那么攻击者的主机就可以冒充一个被信任的主机或客户。具体步骤： 第一，攻击者要使用那个被信任的客户的IP地址取代自己的地址； 第二，攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点； 第三，攻击者用这条路径向服务器发出客户申请； 第四，服务器接受客户申请，就好象是从可信任客户直接发出的一样，然后给可信任客户返回响应； 第五，可信任客户使用这条路径将包向前传送给攻击者的主机。 * 网络安全概述 * 4.有缺陷的局域网服务和相互信任的主机 主机的安全管理既困难有费时。为了降低管理要求并增强局域网，一些站点使用了诸如NIS和NFS之类的服务。这些服务通过允许一些数据库（如口令文件）以分布式方式管理以及允许系统共享文件和数据，在很大程度上减轻了过多的管理工作量。但这些服务带来了不安全因素，可以被有经验闯入者利用以获得访问权。 一些系统（如rlogin）处于方便用户并加强系统和设备共享的目的，允许主机们相互“信任”。如果一个系统被侵入或欺骗，那么闯入者来说，获取那些信任其他系统的访问权就很简单了。 * 网络安全概述 * 5.复杂的设置和控制 主机系统的访问控制配置复杂且难于验证。因此偶然的配置错误会使闯入者获取访问权。一些主要的Unix经销商仍然把Unix配置成具有最大访问权的系统，这将导致未经许可的访问。 许多网上的安全事故原因是由于入侵者发现的弱点造成。 6.无法估计主机的安全性 主机系统的安全性无法很好的估计：随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一因素是系统管理的作用经常变换并行动迟缓。这导致一些系统的安全性比另一些要低。这些系统将成为薄弱环节，最终将破坏这个安全链。 * 网络安全概述 * 加密机制 访问控制机制 数据完整性机制 数字签名机制 交换鉴别机制 公证机制 流量填充机制 路由控制机制 1.4 网络的安全机制 * 网络安全概述 * 1.加密机制 加密是提供信息必威体育官网网址的核心方法。按照密钥的类型不同，加密算法可分为对称密钥算法和非对称密钥算法两种。按照密码体制的不同，又可以分为序列密码算法和分组密码算法两种。加密算法除了提供信息的必威体育官网网址性之外，它和其他技术结合，例如hash函数，还能提供信息的完整性。 加密技术不仅应用于数据通信和存储，也应用于程序的运行，通过对程序的运行实行加密保护，可以防止软件被非法复制，防止软件的安全机制被破坏，这就是软件加密技术。 * 网络安全概述 * 2.访问控制机制 访问控制可以防止未经授权的用户非法使用系统资源，这种服务不仅可以提供给单个用户，也可以提供给用户组的所有用户。 访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术，分为高层访问控制和低层访问控制。 高层访问控制包括身份检查和权限确认，是通过对用户口令、用户权限、资源属性的检查和对比来实现的。 低层访问控制是通过对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施。如在路由器上设置过滤规则进行数据包过滤，就属于低层访问控制。 * 网络安全概述 * 3.数据完整性机制 数据完整性包括数据单元的完整性和数据序列的完整性两个方面。 数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改，通常是把包括有数字签名的文件用hash函数产生一个标记，接收者在收到文件后也用相同的hash函数处理一遍，看看产生的标记是否相同就可知道数据是否完整。 数据序列的完整性是指发出的数据分割为按序列号编排的许多单元时，在接收时还能按原来的序列把数据串联起来，而不要发生数据单元的丢失、重复、乱序