收藏
下载资源

计算机网络-谢希仁--第五版-第六版-第7版-多媒体课件ppt-第7章

上传人:lcm****801 文档编号:121576366 上传时间:2020-02-24 格式:PPT 页数:120 大小:1.01MB
返回 下载 相关 举报
计算机网络-谢希仁--第五版-第六版-第7版-多媒体课件ppt-第7章_第1页
第1页 / 共120页
计算机网络-谢希仁--第五版-第六版-第7版-多媒体课件ppt-第7章_第2页
第2页 / 共120页
计算机网络-谢希仁--第五版-第六版-第7版-多媒体课件ppt-第7章_第3页
第3页 / 共120页
计算机网络-谢希仁--第五版-第六版-第7版-多媒体课件ppt-第7章_第4页
第4页 / 共120页
计算机网络-谢希仁--第五版-第六版-第7版-多媒体课件ppt-第7章_第5页
第5页 / 共120页
点击查看更多>>
资源描述

《计算机网络-谢希仁--第五版-第六版-第7版-多媒体课件ppt-第7章》由会员分享,可在线阅读,更多相关《计算机网络-谢希仁--第五版-第六版-第7版-多媒体课件ppt-第7章(120页珍藏版)》请在金锄头文库上搜索。

1、第 7 章 网络安全 第 7 章 网络安全 n7 1 网络安全问题概述 n7 2 两类密码体制 n7 3 数字签名 n7 4 鉴别 n7 5 密钥分配 n7 6 互联网使用的安全协议 n7 7 系统安全 防火墙与入侵检测 n7 8 一些未来的发展方向 7 1 网络安全问题概述 n随着计算机网络的发展 网络中的安全问题也日 趋严重 n本节讨论计算机网络面临的安全性威胁 安全的 内容和一般的数据加密模型 7 1 网络安全问题概述 n7 1 1 计算机网络面临的安全性威胁 n7 1 2 安全的计算机网络 n7 1 3 数据加密模型 7 1 1 计算机网络面临的安全性威胁 n计算机网络上的通信面临以下

2、两大类威胁 被动 攻击和主动攻击 截获 拒绝 服务 主 动 攻 击 目的站源站源站源站源站目的站目的站目的站 篡改 恶意 程序 被动攻击 7 1 1 计算机网络面临的安全性威胁 n被动攻击 n指攻击者从网络上窃听他人的通信内容 n通常把这类攻击成为截获 n在被动攻击中 攻击者只是观察和分析某一个协议 数据单元 PDU 以便了解所交换的数据的某种性 质 但不干扰信息流 n这种被动攻击又称为流量分析 traffic analysis 7 1 1 计算机网络面临的安全性威胁 n主动攻击主要有 n 1 篡改 故意篡改网络上传送的报文 这种攻击 方式有时也称为更改报文流 n 2 恶意程序 种类繁多 对网

3、络安全威胁较大的 主要包括 计算机病毒 计算机蠕虫 特洛伊木 马 逻辑炸弹 后门入侵 流氓软件等 n 3 拒绝服务 指攻击者向互联网上的某个服务器 不停地发送大量分组 使该服务器无法提供正常服 务 甚至完全瘫痪 分布式拒绝服务 DDoS n若从互联网上的成百上千的网站集中攻击一个网 站 则称为分布式拒绝服务 DDoS Distributed Denial of Service n有时也把这种攻击称为网络带宽攻击或连通性攻 击 计算机网络通信安全的目标 n对于主动攻击 可以采取适当措施加以检测 n对于被动攻击 通常却是检测不出来的 n根据这些特点 可得出计算机网络通信安全的目标 n 1 防止析出

4、报文内容和流量分析 n 2 防止恶意程序 n 3 检测更改报文流和拒绝服务 n对付被动攻击可采用各种数据加密技术 n对付主动攻击则需将加密技术与适当的鉴别技术相结 合 7 1 2 安全的计算机网络 n网络的安全性是不可判定的 n一个安全的计算机网络应达到四个目标 n1 保密性 n2 端点鉴别 n3 信息的完整性 n4 运行的安全性 l只有信息的发送方和接收方才 能懂得所发送信息的内容 l是网络安全通信的最基本的内 容 也是对付被动攻击必须具 备的功能 l为了使网络具有保密性 需要 使用各种密码技术 7 1 2 安全的计算机网络 n网络的安全性是不可判定的 n一个安全的计算机网络应达到四个目标

5、n1 保密性 n2 端点鉴别 n3 信息的完整性 n4 运行的安全性 l鉴别信息的发送方和接收方的 真实身份 l在对付主动攻击中是非常重要 的 7 1 2 安全的计算机网络 n网络的安全性是不可判定的 n一个安全的计算机网络应达到四个目标 n1 保密性 n2 端点鉴别 n3 信息的完整性 n4 运行的安全性 l信息的内容未被篡改过 l在应对主动攻击中是必不可少 的 l信息的完整性与端点鉴别往往 是不可分割的 l在谈到 鉴别 时 也同时包含 了端点鉴别和报文完整性 7 1 2 安全的计算机网络 n网络的安全性是不可判定的 n一个安全的计算机网络应达到四个目标 n1 保密性 n2 端点鉴别 n3

6、信息的完整性 n4 运行的安全性 l系统能正常运行并提供服务 l访问控制 access control 对 计算机系统的安全性是非常重 要的 必须对访问网络的权限 加以控制 并规定每个用户的 访问权限 7 1 3 数据加密模型 明文 X 截获 密文 Y 明文 X 密文 Y 截取者 篡改 AB E 运算 加密算法 D 运算 解密算法 互联网 用户 A 向 B 发送明文 X 通过加密算法 E 运算后 就得出密文 Y 加密密钥 KE解密密钥 KD 密钥源 安全信道 密钥 n加密和解密用的密钥K key 是一串秘密的字符串 即 比特串 n明文通过加密算法 E 和加密密钥 K 变成密文 n接收端利用解密

7、算法 D 运算和解密密钥 K 解出明文 X 解密算法是加密算法的逆运算 Y EK X 7 1 DK Y DK EK X X 7 2 l加密密钥和解密密钥可以一样 也可以不一样 l密钥通常是由密钥中心提供 l当密钥需要向远地传送时 一定要通过另一个安全信道 一些重要概念 n密码编码学 cryptography 是密码体制的设计 学 n密码分析学 cryptanalysis 则是在未知密钥的 情况下从密文推演出明文或密钥的技术 n密码编码学与密码分析学合起来即为密码学 cryptology 一些重要概念 n如果不论截取者获得了多少密文 但在密文中都 没有足够的信息来唯一地确定出对应的明文 则 这一

8、密码体制称为无条件安全的 或称为理论上 是不可破的 n如果密码体制中的密码不能被可使用的计算资源 破译 则这一密码体制称为在计算上是安全的 7 2 两类密码体制 n7 2 1 对称密钥密码体制 n7 2 2 公钥密码体制 7 2 1 对称密钥密码体制 n所谓常规密钥密码体制 即加密密钥与解密密钥 是相同的密码体制 n这种加密系统又称为对称密钥系统 明文 X 密文 Y 加密密钥 K 明文 X 密文 Y AB E 运算 加密算法 D 运算 解密算法 互联网 解密密钥 K 相同秘钥 数据加密标准 DES n数据加密标准 DES 属于对称密钥密码体制 是一种分 组密码 n在加密前 先对整个明文进行分组

9、 每一个组长为 64 位 n然后对每一个 64 位 二进制数据进行加密处理 产生一 组 64 位密文数据 n最后将各组密文串接起来 即得出整个的密文 n使用的密钥为 64 位 实际密钥长度为 56 位 有 8 位 用于奇偶校验 数据加密标准 DES L0 32位 R0 32位 64 位明文输输入 初始置换换 IP 64 位密文输输出 32 位变换变换 末置换换 IP 1 第1轮计轮计 算 L15 32位 R15 32位 第 16 轮计轮计 算 56 位 密 钥钥 K1 48位 K16 48位 DES 的保密性 nDES 的保密性仅取决于对密钥的保密 其算法 是公开的 n目前较为严重的问题是 D

10、ES 的密钥的长度 n现在已经设计出搜索 DES 密钥的专用芯片 56 位 DES 已不再认为是安全的了 三重 DES n使用两个 56 位的密钥 n把一个 64 位明文用一个密钥加密 再用另一个 密钥解密 然后再使用第一个密钥加密 即 EDE K1K2K1 明文密文 加密 DED K1K2K1 密文明文 解密 Y DESK1 DES 1K2 DESK1 X 7 2 2 公钥密码体制 n公钥密码体制 又称为公开密钥密码体制 使用 不同的加密密钥与解密密钥 是一种 由已知加 密密钥推导出解密密钥在计算上是不可行的 密 码体制 n公钥密码体制产生的主要原因 n常规密钥密码体制的密钥分配问题 n对数

11、字签名的需求 加密密钥与解密密钥 n在公钥密码体制中 加密密钥 即公钥 PK 是公 开信息 而解密密钥 即私钥或秘钥 SK 是需要 保密的 n加密算法 E 和解密算法 D 也都是公开的 n虽然秘钥 SK 是由公钥 PK 决定的 但却不能根 据 PK 计算出 SK 应当注意 n任何加密方法的安全性取决于密钥的长度 以及 攻破密文所需的计算量 在这方面 公钥密码体 制并不具有比传统加密体制更加优越之处 n由于目前公钥加密算法的开销较大 在可见的将 来还看不出来要放弃传统的加密方法 n公钥还需要密钥分配协议 具体的分配过程并不 比采用传统加密方法时更简单 公钥算法的特点 n密钥对产生器产生出接收者

12、B 的一对密钥 加密密钥 PKB 和解密密钥 SKB n加密密钥 PKB 就是接收者B的公钥 它向公众公开 n解密密钥 SKB 就是接收者B的私钥 对其他人都保密 n发送者 A 用 B 的公钥 PKB 对明文 X 加密 E 运算 后 在接收者 B 用自己的私钥 SKB 解密 D 运算 即可恢复出明文 7 4 公钥算法的特点 n加密密钥是公开的 但不能用它来解密 即 n加密和解密运算可以对调 即加密和解密是互逆 的 7 5 7 6 公钥密码体制 不同密钥 明文 X 密文 Y B 的公钥 PKB 明文 X 密文 Y AB E 运算 加密算法 D 运算 解密算法 互联网 解密 B 的私钥 SKB 加

13、密 公开密钥与对称密钥的区别 n在使用对称密钥时 由于双方使用同样的密钥 因此在通信信道上可以进行一对一的双向保密通 信 每一方既可用此密钥加密明文 并发送给对 方 也可接收密文 用同一密钥对密文解密 这 种保密通信仅限于持有此密钥的双方 如再有第 三方就不保密了 n在使用公开密钥时 在通信信道上可以是多对一 的单向保密通信 公钥密码体制 n如果某一信息用公开密钥加密 则必须用私有密 钥解密 这就是实现保密的方法 n如果某一信息用私有密钥加密 那么 它必须用 公开密钥解密 这就是实现数字签名的方法 7 3 数字签名 n用于证明真实性 n数字签名必须保证以下三点 n 1 报文鉴别 接收者能够核实

14、发送者对报文的签名 证明 来源 n 2 报文的完整性 发送者事后不能抵赖对报文的签名 防 否认 n 3 不可否认 接收者不能伪造对报文的签名 防伪造 n现在已有多种实现各种数字签名的方法 但采用公钥算 法更容易实现 基于公钥的数字签名的实现 明文 X 密文 Y A 的公钥 PKA 明文 X 密文 Y AB E 运算 加密算法 D 运算 解密算法 互联网 核实签名 A 的私钥 SKA 签名 基于公钥的数字签名的实现 n因为除 A 外没有别人能具有 A 的私钥 所以除 A 外没有别人能产生这个密文 因此 B 相信报 文 X 是 A 签名发送的 n若 A 要抵赖曾发送报文给 B B 可将明文和对 应

15、的密文出示给第三者 第三者很容易用 A 的 公钥去证实 A 确实发送 X 给 B n反之 若 B 将 X 伪造成 X 则 B 不能在第三者 前出示对应的密文 这样就证明了 B 伪造了报 文 具有保密性的数字签名 核实签名解密 加密 签名 E 运算D 运算 明文 X明文 X AB A 的私钥 SKA 因特网 E 运算 B 的私钥 SKB D 运算 加密与解密 签名与核实签名 B 的公钥 PKB A 的公钥 PKA 密文 同时实现秘密通信和数字签名 7 4 鉴别 n7 4 1 报文鉴别 n7 4 2 实体鉴别 7 4 鉴别 n在信息的安全领域中 对付被动攻击的重要措施 是加密 而对付主动攻击中的篡

16、改和伪造则要用 鉴别 authentication n报文鉴别使得通信的接收方能够验证所收到的报 文 发送者和报文内容 发送时间 序列等 的 真伪 n使用加密就可达到报文鉴别的目的 但在网络的 应用中 许多报文并不需要加密 应当使接收者 能用很简单的方法鉴别报文的真伪 鉴别与授权不同 n鉴别与授权 authorization 是不同的概念 n授权涉及到的问题是 所进行的过程是否被允许 如是否可以对某文件进行读或写 鉴别分类 n可再把鉴别细分为两种 n报文鉴别 即鉴别所收到的报文的确是报文的发 送者所发送的 而不是其他人伪造的或篡改的 这就包含了端点鉴别和报文完整性的鉴别 n实体鉴别 仅仅鉴别发送报文的实体 实体可以 是一个人 也可以是一个进程 客户或服务器 这就是端点鉴别 7 4 1 报文鉴别 n许多报文并不需要加密 但却需要数字签名 以 便让报文的接收者能够鉴别报文的真伪 n然而对很长的报文进行数字签名会使计算机增加 很大的负担 需要进行很长时间的运算 n当我们传送不需要加密的报文时 应当使接收者 能用很简单的方法鉴别报文的真伪 1 密码散列函数 n数字签名就能够实现对报文的鉴别 n

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号