西安邮电大学计算机学院计算机网络课件第七章 计算机网络的安全.pptVIP

计算机网络 第七章 计算机网络的安全 计算机网络 第七章 计算机网络的安全 西安邮电学院计算机学院 谢晓燕 副教授 * 第七章 计算机网络的安全 7.1 网络安全问题概述 7.2 密码体制 7.3 数字签名 7.4 报文鉴别 7.5 密钥分配 7.6 因特网的安全协议 7.7 加密的位置 7.8 防火墙 * §7.1 网络安全问题概述 对互联网安全的挑战 蠕虫或病毒的扩散 全球每18 秒收到一次蠕虫或病毒事件报告 (CSI/FBI Report, 03) 垃圾邮件的泛滥 平均每一员工每天发送 22.9 份邮件，接收81份邮件，其中19.5 份为垃圾邮件。 黑客 全球潜在的黑客数将增加到几百万 脆弱性 Windows 2000 和 Windows XP 的源代码估计分别约有3500万和 4500万行。 平均每1500行会有一个已知的bug 或缺陷， Windows 2000 和 Windows XP 的bug 或缺陷将分别达到2.3万和3万个。 有害消息的恶意传播 * §7.1 网络安全问题概述 在进行通信时，Internet用户的数据被拆成一个个数据包，然后经过若干结点辗转传递到终点。在Internet上，数据传递是靠TCP/IP实现的。 但是TCP/IP在传递数据包时，并未对其加密。换言之，在数据包所经过的每个结点上，都可直接获取这些数据包，并可分析、存储。如果数据包内含有商业敏感数据或个人隐私信息，则任何人都可轻易解读。 问题的根源——网络开放的设计 * §7.1 网络安全问题概述 7.1.1 计算机网络面临的安全性威胁 计算机网络上的通信面临以下的4种威胁。 （1）截获(interception) （2）中断(interruption) （3）篡改(modification) （4）伪造(fabrication) 上述四种威胁可划分为两大类，即被动攻击和主动攻击。 * §7.1 网络安全问题概述 被动攻击 攻击者只是观察和分析某个协议数据单元，而不干扰信息流。也称通信量分析。 主动攻击 攻击者对某个连接中的PDU进行各种处理。可以有选择地篡改、删除、延迟、复制数据，甚至在以后的时间中伪造、重放PDU。 对付攻击的办法：检测、加密与鉴别 * 7.1.2 计算机网络安全设计 必威体育官网网址性、安全的协议、接入控制 应用层安全 (软件) 应用层安全保护网络上的特定的服务器的应用。方案的例子: 病毒防护、个人防火墙、嵌入安全的应用 网络层解决方案 (体系结构) 例子: VPN, SSL, IPSec, ssh 要求的认证: SecurID; SafeWord; 客户侧证书 安全设备（基础设施） 提供前线保护和安全特征的专用设备: NAT; DHCP §7.1 网络安全问题概述 * 7.1.3 信息安全技术 信息隐藏技术：密码学、隐文术 数字签名：信息来源可靠性保证 认证技术：保证信息传输的完整性、有效性 §7.1 网络安全问题概述 * §7.2 密码体制 密码编码学是密码体制的设计学，而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(信息安全的核心技术)。 密码学的发展历程：手工－机械－电子 古典密码（手工、机械）：主要方法替代、置换 现代密码（电子）：对称（常规）密码 非对称（公钥）密码 * 密码体制的决定因素： 明文－密文的操作类型：取代/置换/求积 使用密钥的数目：对称密钥/非对称密钥 处理明文的方法：分块（组）加密/流（序列）密码 §7.2 密码体制 * 攻击者 安全信道 明文X用加密算法E和密钥K得到密文Y?EK(X)。在传送过程中可能出现密文截取者。到了收端，利用解密算法D和密钥K，解出明文为DK(Y)? DK(EK(X))? X。截取者又称为攻击者或入侵者。序列：RC2；分组：DES、CAST、RC6(/5)、AES、IDEA、Blowfish/(Twofish)、 常规（对称）密码：加解密密钥相同 §7.2 密码体制 * 公钥加密过程（6个要素） §7.2 密码体制 * 公开密钥加密的过程： 用户Alice生产一对不同的密钥：加密密钥PK（公钥）、解密密钥SK（私钥）； A将公钥PK放入一个公共寄存器或可任意访问的文件，私钥SK 秘密保存； 发送者Bob，用A的PK对明文X应用加密变换E； 接收者Alice用私钥SK解密，即可恢复出明文，或写为：DSK(EPK(X))? X。 注：DSK和EPK的参数组合不能改变，顺序不能错。 §7.2 密码体制 * 两权其美