收藏
下载资源

第七章网络安全精编版

上传人:ahu****ng1 文档编号:145716521 上传时间:2020-09-23 格式:PPTX 页数:38 大小:471.61KB
返回 下载 相关 举报
第七章网络安全精编版_第1页
第1页 / 共38页
第七章网络安全精编版_第2页
第2页 / 共38页
第七章网络安全精编版_第3页
第3页 / 共38页
第七章网络安全精编版_第4页
第4页 / 共38页
第七章网络安全精编版_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《第七章网络安全精编版》由会员分享,可在线阅读,更多相关《第七章网络安全精编版(38页珍藏版)》请在金锄头文库上搜索。

1、第 7 章 网络安全,7.1 网络安全问题概述 7.1.1 计算机网络面临的安全性威胁,计算机网络上的通信面临以下的四种威胁: (1) 截获从网络上窃听他人的通信内容。 (2) 中断有意中断他人在网络上的通信。 (3) 篡改故意篡改网络上传送的报文。 (4) 伪造伪造信息在网络上传送。 截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。,课件制作人:邓小鸿,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,课件制作人:邓小鸿,被动攻击和主动攻击,在被动攻击中,攻击者只是观察和分析某一个

2、协议数据单元 PDU 而不干扰信息流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 更改报文流 报文的真实性、完整性和有序性的攻击 拒绝报文服务 DoS 伪造连接初始化,课件制作人:邓小鸿,(1) 防止析出报文内容; (2) 防止通信量分析; (3) 检测更改报文流; (4) 检测拒绝报文服务; (5) 检测伪造初始化连接。,计算机网络通信安全的目标,课件制作人:邓小鸿,(1) 计算机病毒会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 (2) 计算机蠕虫通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 (3) 特洛伊木

3、马一种程序,它执行的功能超出所声称的功能。盗号木马 (4) 逻辑炸弹一种当运行环境满足某种特定条件时执行其他特殊功能的程序。千年虫,恶意程序(rogue program),课件制作人:邓小鸿,7.1.2 计算机网络安全的内容,保密性 为用户提供安全可靠的保密通信是计算机网络安全最为重要的内容。 安全协议的设计 努力的目标 访问控制 常用方法,课件制作人:邓小鸿,明文 X,截获,密文 Y,7.1.3 一般的数据加密模型,加密密钥 K,明文 X,密文 Y,截取者,篡改,A,B,E 运算 加密算法,D 运算 解密算法,因特网,解密密钥 K,课件制作人:邓小鸿,一些重要概念,密码编码学(cryptog

4、raphy)是密码体制的设计学,而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码学 (cryptology) =密码编码学+密码分析学。 如果不论截取者获得了多少密文,但在密文中都没有足够的信息来唯一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论上是不可破的。 如果密码体制中的密码不能被可使用的计算资源破译,则这一密码体制称为在计算上是安全的。,课件制作人:邓小鸿,important,在理论上不可破的密码体制是几乎不存在的。 我们追求的只是在计算上安全的密码体制,也就是说攻击者在有限的时间和计算机资源内是无法破译密码的。,课件制

5、作人:邓小鸿,7.2 两类密码体制 7.2.1 对称密钥密码体制,所谓常规密钥密码体制,即加密密钥与解密密钥是相同的密码体制。 这种加密系统又称为对称密钥系统。,课件制作人:邓小鸿,数据加密标准 DES,数据加密标准 DES 属于常规密钥密码体制,是一种分组密码。 在加密前,先对整个明文进行分组。每一个组长为 64 位。 然后对每一个 64 位 二进制数据进行加密处理,产生一组 64 位密文数据。 最后将各组密文串接起来,即得出整个的密文。 使用的密钥为 64 位(实际密钥长度为 56 位,有 8 位用于奇偶校验)。,课件制作人:邓小鸿,Question?,你能用六个字概括DES算法的过程吗?

6、 分组 加密 串接,课件制作人:邓小鸿,DES 的保密性,DES 的保密性仅取决于对密钥的保密,而算法是公开的。尽管人们在破译 DES 方面取得了许多进展,但至今仍未能找到比穷举搜索密钥更有效的方法。 DES 是世界上第一个公认的实用密码算法标准,它曾对密码学的发展做出了重大贡献。 目前较为严重的问题是 DES 的密钥的长度。 现在已经设计出来搜索 DES 密钥的专用芯片。,课件制作人:邓小鸿,要点,所有的加密解密算法是公开的,密钥是保密的 加密与解密相辅相成,互相促进,课件制作人:邓小鸿,7.2.2 公钥密码体制,公钥密码体制使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥

7、在计算上是不可行的”密码体制。 公钥密码体制的产生主要是因为两个方面的原因,一是由于常规密钥密码体制的密钥分配问题,另一是由于对数字签名的需求。 现有最著名的公钥密码体制是RSA 体制,它基于数论中大数分解问题的体制,由美国三位科学家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式发表的。,课件制作人:邓小鸿,加密密钥与解密密钥,在公钥密码体制中,加密密钥(即公钥) PK 是公开信息,而解密密钥(即私钥或秘钥) SK 是需要保密的。 加密算法 E 和解密算法 D 也都是公开的。 虽然秘钥 SK 是由公钥 PK 决定的,但却不能根据 PK 计算出 S

8、K。不可逆的,课件制作人:邓小鸿,应当注意,任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量。在这方面,公钥密码体制并不具有比传统加密体制更加优越之处。 由于目前公钥加密算法的开销较大,在可见的将来还看不出来要放弃传统的加密方法。公钥还需要密钥分配协议,具体的分配过程并不比采用传统加密方法时更简单。,课件制作人:邓小鸿,公钥算法的特点,发送者 A 用 B 的公钥 PKB 对明文 X 加密(E 运算)后,在接收者 B 用自己的私钥 SKB 解密(D 运算),即可恢复出明文: (7-4) 解密密钥是接收者专用的秘钥,对其他人都保密。 加密密钥是公开的,但不能用它来解密,即,(7-5)

9、,课件制作人:邓小鸿,公钥算法的特点(续),加密和解密的运算可以对调,即 在计算机上可容易地产生成对的 PK 和 SK。 从已知的 PK 实际上不可能推导出 SK,即从 PK 到 SK 是“计算上不可能的”。 加密和解密算法都是公开的。,(7-6),课件制作人:邓小鸿,公钥密码体制,密文Y,E 运算 加密算法,D 运算 解密算法,加密,解密,明文 X,明文 X,A,B,B 的私钥 SKB,密文Y,因特网,B 的公钥 PKB,课件制作人:邓小鸿,7.3 数字签名,数字签名必须保证以下三点: (1) 报文鉴别接收者能够核实发送者对报文的签名; (2) 报文的完整性接收者确信收到的数据没有被篡改过

10、(3) 不可否认发送者事后不能抵赖对报文的签名; 现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。,课件制作人:邓小鸿,密文,数字签名的实现,D 运算,明文 X,明文 X,A,B,A 的私钥 SKA,因特网,签名,核实签名,E 运算,密文,A 的公钥 PKA,课件制作人:邓小鸿,数字签名的实现,除 A 外没有别人能具有 A 的私钥,所以除 A 外没有别人能产生这个密文。因此 B 相信报文 X 是 A 签名发送的。报文鉴别 若 A 要抵赖曾发送报文给 B,B 可将明文和对应的密文出示给第三者。第三者很容易用 A 的公钥去证实 A 确实发送 X 给 B。不可否认 反之,若 B 将 X

11、 伪造成 X,则 B 不能在第三者前出示对应的密文。这样就证明了 B 伪造了报文。,课件制作人:邓小鸿,Question?,数字签名的还有一个功能怎么实现的?即报文的完整性,课件制作人:邓小鸿,具有保密性的数字签名,核实签名,解密,加密,签名,E 运算,D 运算,明文 X,明文 X,A,B,A 的私钥 SKA,因特网,E 运算,B 的私钥 SKB,D 运算,加密与解密,签名与核实签名,B 的公钥 PKB,A 的公钥 PKA,密文,课件制作人:邓小鸿,上节课内容回顾,计算机网络面临的四种威胁? 截获,中断,篡改,伪造 哪些是被动攻击,哪些是主动攻击?被动和主动的区别是什么?,课件制作人:邓小鸿,

12、常见的计算机恶意程序,病毒 蠕虫 木马 逻辑炸弹,课件制作人:邓小鸿,两类密码体制,按照加密/解密时采用的密钥是否相同分为两种 对称密钥体制 DES 公钥密码体制 RSA 公钥加密,私钥解密 密码学分为密码编码学和密码分析学,课件制作人:邓小鸿,注意,任何密码体制都是理论上可破的,我们研究的是计算上安全的密码体制,就是如果要破解这个密码,在有最好技术支持的条件下仍然需要好长的时间则是计算安全。密钥越长越安全 任何加密算法都是公开的,保密的是加密或者是解密的密钥。,课件制作人:邓小鸿,数字签名,三大功能: 报文鉴别:是谁发的? 报文完整性:中间有没有被修改? 不可否认:如果发了就不能抵赖。 实现

13、过程,A将数字文档用自己的私钥加密后发给B,B收到后用A的公钥解密,得到原文。,课件制作人:邓小鸿,网络信息安全对抗策略,网络安全解决方案 IDS HONEY FIRWALL,课件制作人:邓小鸿,信息安全解决方案 加密encrypt 水印watermark 胎记birthmark 混淆confusion 防篡改proof-tamper,课件制作人:邓小鸿,7.8 防火墙(firewall),防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。 防火墙内的网络称为“可信赖的网络”(t

14、rusted network),而将外部的因特网称为“不可信赖的网络”(untrusted network)。 防火墙可用来解决内联网和外联网的安全问题。,课件制作人:邓小鸿,防火墙在互连网络中的位置,G,内联网,可信赖的网络,不可信赖的网络,分组过滤 路由器 R,分组过滤 路由器 R,应用网关,外局域网,内局域网,防火墙,因特网,课件制作人:邓小鸿,防火墙的功能,防火墙的功能有两个:阻止和允许。 “阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。 “允许”的功能与“阻止”恰好相反。 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。

15、,课件制作人:邓小鸿,防火墙技术一般分为两类,(1) 网络级防火墙用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套准则的数据,而后者则是检查用户的登录是否合法。 (2) 应用级防火墙从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止 FTP 应用的通过。,课件制作人:邓小鸿,1、有时候读书是一种巧妙地避开思考的方法。20.9.2220.9.22Tuesday, September 22, 2020 2、阅读一切好书如同和过去最杰出的人谈话。15:35

16、:1515:35:1515:359/22/2020 3:35:15 PM 3、越是没有本领的就越加自命不凡。20.9.2215:35:1515:35Sep-2022-Sep-20 4、越是无能的人,越喜欢挑剔别人的错儿。15:35:1515:35:1515:35Tuesday, September 22, 2020 5、知人者智,自知者明。胜人者有力,自胜者强。20.9.2220.9.2215:35:1515:35:15September 22, 2020 6、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2020年9月22日星期二下午3时35分15秒15:35:1520.9.22 7、最具挑战性的挑战莫过于提升自我。2020年9月下午3时35分20.9.2215:35September 22, 2020 8、业余生活要有意义,不要越轨。2020年9月22日星期二3时35分15秒15:35

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号