《P8 网络安全 - 副本》由会员分享,可在线阅读,更多相关《P8 网络安全 - 副本(53页珍藏版)》请在金锄头文库上搜索。
1、5/11/20111计算机网络教程计算机网络教程第第8章 网络安全章 网络安全张晓明 北京石油化工学院计算机系张晓明 北京石油化工学院计算机系 5/11/201128.1 网络安全概述网络安全概述5/11/20113网络安全的影响?网络安全的影响??网络安全是一个关系到国家安全和主权、社会的稳定、民族文化 的继承和发扬的重要问题,网络安全涉及计算机科学、网络技术、 通信技术、密码技术、信息隐藏技术、信息安全技术、应用数学、 数论、信息论等多种学科。网络安全是一个关系到国家安全和主权、社会的稳定、民族文化 的继承和发扬的重要问题,网络安全涉及计算机科学、网络技术、 通信技术、密码技术、信息隐藏技
2、术、信息安全技术、应用数学、 数论、信息论等多种学科。5/11/201148.1.1 网络安全的含义网络安全的含义?网络安全从其本质上来讲就是网络上的信息安全,是指网络系统 的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意 的原因而遭到破坏、更改、泄露,系统能够连续可靠地运行,网 络服务不中断。网络安全从其本质上来讲就是网络上的信息安全,是指网络系统 的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意 的原因而遭到破坏、更改、泄露,系统能够连续可靠地运行,网 络服务不中断。?从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、 真实性和可控性的相关技术和理论都是网络安全所要
3、研究的领域。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、 真实性和可控性的相关技术和理论都是网络安全所要研究的领域。?从技术角度看,网络安全的含义大体包括从技术角度看,网络安全的含义大体包括4个方面:个方面:?网络实体安全网络实体安全?软件安全软件安全?网络数据安全网络数据安全?网络安全管理网络安全管理5/11/201158.1.2 网络安全威胁网络安全威胁?网络信息安全的威胁主要来自恶意的人为攻击,包括被动攻击和 主动攻击。网络信息安全的威胁主要来自恶意的人为攻击,包括被动攻击和 主动攻击。?被动攻击主要威胁信息的保密性,常见的手段是窃听和分析。被动攻击主要威胁信息的保密性,常
4、见的手段是窃听和分析。?主动攻击则是威胁信息的完整性、可用性和真实性。主动攻击则是威胁信息的完整性、可用性和真实性。5/11/20116网络不安全的原因网络不安全的原因?来自外部的不安全因素,即网络上存在的入侵。来自外部的不安全因素,即网络上存在的入侵。?来自网络系统本身的,如网络中存在着硬件、软件、通信、操 作系统或其他方面的缺陷与漏洞,给网络入侵者以可乘之机。来自网络系统本身的,如网络中存在着硬件、软件、通信、操 作系统或其他方面的缺陷与漏洞,给网络入侵者以可乘之机。?网络应用安全管理方面的原因,网络管理者缺乏网络安全的警 惕性,忽视网络安全,或对网络安全技术缺乏了解,没有制定 切实可行的
5、网络安全策略和措施。网络应用安全管理方面的原因,网络管理者缺乏网络安全的警 惕性,忽视网络安全,或对网络安全技术缺乏了解,没有制定 切实可行的网络安全策略和措施。?网络安全协议的原因。网络安全协议的原因。5/11/201175个网络层次的安全威胁?个网络层次的安全威胁??物理层物理层:?采用双绞线和铜缆,会产生电磁辐射和电磁泄漏。采用双绞线和铜缆,会产生电磁辐射和电磁泄漏。?无线网络的安全性更加脆弱。无线网络的安全性更加脆弱。?采用光纤不会产生辐射,但非授权用户可以通过截断、搭接等方式进行攻击。采用光纤不会产生辐射,但非授权用户可以通过截断、搭接等方式进行攻击。?数据链路层数据链路层:数据监听
6、是数据链路层最常见的攻击手段。目前的局域网普遍采用广 播方式的以太网,传输信息可以相互监听。:数据监听是数据链路层最常见的攻击手段。目前的局域网普遍采用广 播方式的以太网,传输信息可以相互监听。?网络层网络层:IPv4协议本身不具有安全特性,可以伪造协议本身不具有安全特性,可以伪造IP地址,实施地址,实施IP欺骗攻击;也有 利用欺骗攻击;也有 利用ICMP协议的重定向报文来破坏路由机制。协议的重定向报文来破坏路由机制。?传输层传输层:TCP协议的三次握手机制为协议的三次握手机制为SYN Flooding拒绝服务攻击提供了条件。此 外,可以伪造源地址的端口,避开防火墙的某些过滤规则限制。拒绝服务
7、攻击提供了条件。此 外,可以伪造源地址的端口,避开防火墙的某些过滤规则限制。?应用层应用层:许多协议缺少严格的加密认证机制,比如:许多协议缺少严格的加密认证机制,比如FTP、SMTP协议的口令采用明文 方式传输。协议的口令采用明文 方式传输。5/11/201188.1.3 网络安全体系网络安全体系?在安全体系结构方面,目前主要参照在安全体系结构方面,目前主要参照ISO 于于1989 年制定的年制定的OSI 网络安全体系结构,包括安全服务和安全机制,主要解决网络信 息系统中的安全与保密问题。网络安全体系结构,包括安全服务和安全机制,主要解决网络信 息系统中的安全与保密问题。?另外,信息隐藏技术在
8、版权保护、隐秘通信和入侵检测等方面发 展迅速,可以将秘密信息或水印嵌入到图象、音频、网页等各种 载体中,为网络安全提供了一条新的有效途径。另外,信息隐藏技术在版权保护、隐秘通信和入侵检测等方面发 展迅速,可以将秘密信息或水印嵌入到图象、音频、网页等各种 载体中,为网络安全提供了一条新的有效途径。5/11/201191 五大类安全服务五大类安全服务?认证(鉴别)服务认证(鉴别)服务?访问控制服务访问控制服务?数据保密服务数据保密服务?数据完整服务数据完整服务?抗否认服务抗否认服务?加密机制加密机制?数据签名机制数据签名机制?访问控制机制访问控制机制?数据完整性机制数据完整性机制2 八大类安全机制
9、八大类安全机制加密数字签名访问控制数据完整性身份鉴别流量填充路由控制公证鉴别访问控制数据保密数据完整性抗否认性加密数字签名访问控制数据完整性身份鉴别流量填充路由控制公证鉴别访问控制数据保密数据完整性抗否认性?认证机制认证机制?业务流填充机制业务流填充机制?路由控制机制路由控制机制?公正机制公正机制?安全服务与安全机制之间的关系安全服务与安全机制之间的关系5/11/2011108.2 数据加密技术数据加密技术5/11/201111数据加密模型数据加密模型5/11/2011128.2.1 传统加密方法传统加密方法?替代密码替代密码:?最古老的替代密码是凯撒密码,它用最古老的替代密码是凯撒密码,它用
10、D表示表示a,用,用E表示表示b,用,用F表示表示 c,用,用C表示表示z,也就是说密文字母相对于明文字母左移了,也就是说密文字母相对于明文字母左移了3位。位。?转置密码转置密码:?转置有时也称为排列,它不对明文字母进行变换,只是将明文字母的 次序进行重新排列。转置有时也称为排列,它不对明文字母进行变换,只是将明文字母的 次序进行重新排列。?采用柱形转置的方式,它的密钥必须是一个不含重复字母的单词或短 语,加密时将明文按密钥长度截成若干行排在密钥下面,按照密钥字 母在英文字母表中的先后顺序给各列进行编号,然后按照编好的序号 按列输出明文即成密文。采用柱形转置的方式,它的密钥必须是一个不含重复字
11、母的单词或短 语,加密时将明文按密钥长度截成若干行排在密钥下面,按照密钥字 母在英文字母表中的先后顺序给各列进行编号,然后按照编好的序号 按列输出明文即成密文。5/11/201113【例【例8-1】?假设密钥是假设密钥是COMPUTER,明文内容是:,明文内容是:please execute the latest scheme. 请按照转置密码方案, 给出实现过程和结果。请按照转置密码方案, 给出实现过程和结果。5/11/201114【例【例8-1】解析】解析?采用转置密码方案,先将密钥写成一行,并对其中的字母按字母表中的出现 顺序编号。然后,将明文沿按水平方向逐行排列,如图采用转置密码方案,
12、先将密钥写成一行,并对其中的字母按字母表中的出现 顺序编号。然后,将明文沿按水平方向逐行排列,如图8-3所示。如果最后一 行不够密钥长度,则采用字母补充,图中填充了所示。如果最后一 行不够密钥长度,则采用字母补充,图中填充了abcd四个字母。四个字母。因此,图中的明文和密文分别是:因此,图中的明文和密文分别是:?明文:明文:pleaseexecutethelatestscheme?密文:密文:pelhehsceutmlcaeateexecdettbsesa5/11/2011158.2.2 对称加密技术对称加密技术?DES(Data Encryption Standard)是对称加密算法中最具代
13、表性的,它 是是对称加密算法中最具代表性的,它 是IBM公司在公司在1972年研制成功,年研制成功,1977年由美国国家标准局颁布为数据加 密标准。年由美国国家标准局颁布为数据加 密标准。?DES算法可以用软件或硬件实现算法可以用软件或硬件实现; ?安全性高,加密解密速度快。但是,密钥的分发和管理成为一个难点。安全性高,加密解密速度快。但是,密钥的分发和管理成为一个难点。5/11/2011168.2.3 非对称加密技术非对称加密技术5/11/201117典型的公钥加密算法典型的公钥加密算法RSA ?RSA算法是建立在大数因子分解的复杂性上,简单而言,先选取两个素数算法是建立在大数因子分解的复杂
14、性上,简单而言,先选取两个素数p和和q(一般 要求两数均大于(一般 要求两数均大于10的的100次幂),计算次幂),计算n=pq,z=(p - 1)(q - 1)。选择一个与。选择一个与z互质的数互质的数 d,找一个数,找一个数e,满足,满足de 1 (mod z)。最后,将。最后,将(e, n)作为公钥、作为公钥、(d, n)作为密钥。作为密钥。?若用整数若用整数X表示明文,用整数表示明文,用整数Y表示密文(表示密文(X和和Y都小于都小于n),则加密和解密运算为:),则加密和解密运算为:modeYXn=moddXYn=假设选择了两个素数:假设选择了两个素数:p=7,q=17。?计算计算n=p
15、q=7 17=119。?计算计算z=(p-1) (q-1)=96。?从从0, 95中选择一个与中选择一个与96互素的数互素的数e。 比如选。 比如选e=5,则由,则由5d=1mod96,得出,得出 d=77。?于是,得到公钥于是,得到公钥PK=(e, n)=5, 119, 私钥, 私钥SK=(d, n)=77, 119。假设明文假设明文X=19。?加密:加密:先计算先计算 Xe=195=2476099,再除 以,再除 以119,得余数为,得余数为66,就 是所求密文,就 是所求密文Y。?解密解密:可以得出余数为:可以得出余数为 19,即为明文,即为明文X=19。5/11/201118【例【例8
16、-2】?在在RSA公钥密码体制中,已知公钥密码体制中,已知p=5,q=11,d=27,试 求,试 求e值。并对明文值。并对明文“abcdefghijk”加密。假设加密。假设a=01, b=02,c=03,,z=26。5/11/201119【例【例8-2】解析】解析z=(p-1) (q-1)=40,且且e d=1(mod z),即即e 27=1(mod 40),则有则有e=3。 n=p q=55,则公钥为则公钥为(3,55)。 对于明文对于明文a,即,即a=01,密文,密文C=13(mod 55)=01; 对于明文对于明文b,即,即b=02,密文,密文C=23(mod 55)=08; 对于明文对于明文c,即,即c=03,密文,密文C=33(mod 55)=27; 对于明文对于明文d,即,即d=04,密文,密文C=43(mod 55)=09; 对于明文对于明文e,即,即e=0
