计算机网络第8版课件-第7章 网络安全.pptxVIP

第 7 章网 络 安 全计算机网络（第 8 版）谢希仁 编著7.1 网络安全问题概述7.2 两类密码体制7.3 鉴别7.4 密钥分配7.5 互联网使用的安全协议7.6 系统安全：防火墙与入侵检测7.7 一些未来的发展方向7.8 一些未来的发展方向7.1.1 计算机网络面临的安全性威胁7.1.2 安全的计算机网络7.1.3 数据加密模型7.1网络安全问题概述7.1.1 计算机网络面临的安全性威胁计算机网络上的通信面临以下两大类威胁：被动攻击和主动攻击。两大类威胁：被动攻击和主动攻击。源站目的站源站目的站源站目的站源站目的站恶意程序拒绝服务篡改截获被动攻击主 动 攻 击被动攻击指攻击者从网络上窃听他人的通信内容。通常把这类攻击称为截获。攻击者只是观察和分析某一个协议数据单元 PDU，以便了解所交换的数据的某种性质，但不干扰信息流。这种被动攻击又称为流量分析 (traffic analysis)。主动攻击主要有：篡改：故意篡改网络上传送的报文。这种攻击方式有时也称为更改报文流。恶意程序 (rogue program)：种类繁多，主要包括：计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等。拒绝服务 DoS (Denial of Service)：指攻击者向互联网上的某个服务器不停地发送大量分组，使该服务器无法提供正常服务，甚至完全瘫痪。分布式拒绝服务 DDoS若从互联网上的成百上千的网站集中攻击一个网站，则称为分布式拒绝服务 DDoS (Distributed Denial of Service)。有时也把这种攻击称为网络带宽攻击或连通性攻击。计算机网络通信安全的目标对于主动攻击，可以采取适当措施加以检测。对于被动攻击，通常是检测不出来的。计算机网络通信安全的目标：防止分析出报文内容和流量分析。防止恶意程序。检测更改报文流和拒绝服务。对付被动攻击：加密技术。对付主动攻击：加密技术 + 鉴别技术。7.1.2 安全的计算机网络网络的安全性是不可判定的。一个安全的计算机网络应达到四个目标：必威体育官网网址性端点鉴别信息的完整性运行的安全性只有信息的发送方和接收方才能懂得所发送信息的内容。是网络安全通信的最基本的内容，也是对付被动攻击必须具备的功能。需要使用各种密码技术。7.1.2 安全的计算机网络网络的安全性是不可判定的。一个安全的计算机网络应达到四个目标：必威体育官网网址性端点鉴别信息的完整性运行的安全性鉴别信息的发送方和接收方的真实身份。 在对付主动攻击中是非常重要的。7.1.2 安全的计算机网络网络的安全性是不可判定的。一个安全的计算机网络应达到四个目标：必威体育官网网址性端点鉴别信息的完整性运行的安全性信息的内容未被篡改过。在应对主动攻击中是必不可少的。信息的完整性与端点鉴别往往是不可分割的。鉴别同时包含了端点鉴别和报文完整性。7.1.2 安全的计算机网络网络的安全性是不可判定的。一个安全的计算机网络应达到四个目标：必威体育官网网址性端点鉴别信息的完整性运行的安全性系统能正常运行并提供服务。访问控制 (access control) 对计算机系统的安全性是非常重要的。必须对访问网络的权限加以控制，并规定每个用户的访问权限。7.1.3 数据加密模型截取者截获篡改AB密文 Y密文 YE 运算加密算法D 运算解密算法互联网明文 X 明文 X加密密钥 KE解密密钥 KD安全信道密钥源用户 A 向 B 发送明文 X，通过加密算法 E 运算后，就得出密文 Y。密钥加密和解密用的密钥 K (key) 是一串秘密的字符串（即比特串）。明文通过加密算法 E 和加密密钥 K 变成密文Y：Y ? EK(X) （7-1） 接收端利用解密算法 D 运算和解密密钥 K 解出明文 X。解密算法是加密算法的逆运算。DK(Y) ? DK(EK(X)) ? X （7-2） 加密密钥和解密密钥可以一样，也可以不一样。密钥通常由密钥中心提供。当密钥需要向远地传送时，一定要通过另一个安全信道。一些重要概念密码编码学 (cryptography) ：密码体制的设计学。密码分析学 (cryptanalysis) ：在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学 (cryptology)。一些重要概念如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。 7.2.1 对称密钥密码体制7.2.2 公钥密码体制7.2两类密码体制7.2.1对称密钥密码体制 加密密钥与解密密钥都使用相同密钥的密码体制。加密密钥 K解密密钥 KBA密文 Y密文 YE