《计算机网络——原理、技术与应用 教学课件 ppt 作者 王相林 计算机网络(第9章)课件(7-111-30641-2)-新》由会员分享,可在线阅读,更多相关《计算机网络——原理、技术与应用 教学课件 ppt 作者 王相林 计算机网络(第9章)课件(7-111-30641-2)-新(53页珍藏版)》请在金锄头文库上搜索。
1、第9章 网络管理与网络安全,机械工业出版社 ISBN 978-7-111-30641-2,本章学习内容及要求,了解 计算机网络管理的基本概念和方法 网络所面临的威胁类型 熟悉 网络管理的功能 掌握 网络管理模型的建立和描述方法 认证和数字签名的实现方法 对称密钥机制和非对称密钥机制的概念和应用方法, 报文摘要MD的实现原理 防火墙的基本概念和构成 入侵检测技术的基本概念,9.1 网络管理,9.1.1 网络管理概述 9.1.2 网络管理协议 9.1.3 网络管理模型 9.1.4 网络管理代理 9.1.5 网络管理站和SNMP规定的操作 9.1.6 简单网络管理协议 9.1.7 管理信息结构,9.
2、1.1 网络管理概述,网络管理的位置越来越重要 网络运行状况和网络设备的监控、对网络性能分析,以及对网络故障的诊断和修复等,逐渐成为日常网络管理最重要的工作 目前网络系统的设计都需要考虑到网络管理,网络管理在计算机网络应用中的作用越来越重要 网络管理功能主要包括: 差错管理、配置管理、计费、性能管理、安全管理、网络资源管理,9.1.2 网络管理协议,ISO的网络管理体系 ISO网络管理由两部分组成 公共管理信息服务CMIS 公共管理信息协议CMIP TCP/IP协议中网络管理协议 1988年给出简单网络管理协议SNMP(Simple Network Management Protocol),称
3、为SNMPv1 在1991年给出用于监控局域网的远程网络监控RMON。 在网络管理中网络数据采用抽象语法标记ASN.1(Abstract Syntax Notation 1)描述和表示,9.1.3 网络管理模型,对网络及设备的管理有三种方式: 本地终端方式 远程telnet命令方式 基于SNMP的代理服务器方式,SNMP协议在TCP/IP上运行,SNMP在TCP/IP之上运行,可以看作是TCP/IP协议上的一个应用系统,MIB是每个被管设备中代理所维持的状态信息的集合,例如报文分组计数、出错计数、用户访问计数、路由器中的IP路由表等,9.1.4 网络管理代理,网管代理存在以下设备中: 主机,如
4、工作站、服务器等 网络交换设备,如路由器,ATM交换机、快速以太网交换机等 外部设备,如打印机、图像输入输出设备等 调制解调器、桥接器及传统的网络交换机等,9.1.5 网络管理站和SNMP规定的操作,网络工作站或网管工作站是指 可以运行网管协议SNMP,运行网管支持工具和网管应用软件的计算机 SNMP规定的操作有7种: 请求搜索和获取指定的对象get 请求获取指定对象的下一个对象getnext 修改和设置指定的对象set 发出异常指令trap 返回一个或多个对象值 报告被管设备中发生的某些重要事件 允许传送尽可能大的响应报文,9.1.6 简单网络管理协议,SNMP是一个应用层协议,负责在网络设
5、备之间交换网络管理信息 SNMP是事实上的计算机网络管理标准 与SNMP联系的运输层协议是UDP 用到的端口号是161、162 SNMP的应用由一系列协议组成,包括三个部分: 管理信息库MIB,在RFC 1212中说明 管理信息结构SMI,在RFC 1155中说明 SNMP协议,SNMP网络管理协议的操作,管理者通过SNMP协议向代理发送SNMP报文,通过代理对MIB中的对象进行操作,操作结果由代理向管理者返回响应报文。当被管设备发生了重要事件时,代理会通过UDP端口162向管理者发送一条Trap报文,SNMPv2报文格式,SNMP定义了7种报文类型,9.1.7 管理信息结构,SNMP应用时,
6、被管设备维护存储管理信息的SNMP对象 管理信息结构SMI 定义描述管理信息的规则和一些与SNMP中所有数据类型有关的规则 SNMP中的对象被组织成一棵有匿名根的树,树的每一层都包含几个组 每个组都有一个名字和一个数字标识符,SMI对象命名树,管理信息结构定义描述管理信息的规则和一些与SNMP中所有数据类型有关的规则,MIB-2的分层结构,9.2 网络安全,9.2.1 网络安全概述 9.2.2 网络安全面临的威胁 9.2.3 网络安全层次划分 9.2.4 网络安全评价标准,9.2.1 网络安全概述,网络安全主要是采用加密技术 网络安全涉及到通信和网络,网络安全要求提供 信息数据的保密性、真实性
7、、认证和数据完整性,满足这些要求的安全机制在理解和实现起来是很复杂的 安全机制的设计可能因设计者所处的角度不同,以及所采用的方法不同,会存在一些漏洞 网络安全需要考虑到三个方面: 安全攻击 安全机制 安全服务,9.2.2 网络安全面临的威胁,计算机网络面临的威胁包括: 截获(interception) 中断(interruption) 篡改(modification) 伪造(fabrication),截获属于被动攻击,其他属于主动攻击,9.2.3 网络安全层次划分,9.2.4 网络安全评价标准,可信计算机系统评价准则(TCSEC) 欧洲安全评价标准(ITSEC) 加拿大安全评价标准(CTCPE
8、C) 美国联邦准则(FC) 国际通用准则(CC) 中国国家安全评价标准,9.3 数据加密技术,9.3.1 网络安全模型 9.3.2 对称密钥密码体制 9.3.3 数据加密标准,9.3.1 网络安全模型,网络安全模型 数据加密过程为: 在发送端,明文X用加密算法E和加密密钥K处理后得到密文YEK(X),密文在信道上传输 到达接收端后,利用解密算法D和解密密钥H解出明文,公式为: DK(Y)DK(EK(X) X,安全服务的设计包括的四个内容,设计安全算法,该算法应是攻击者无法破解的 生产算法所使用的密钥信息 设计分配、传递和共享密钥的方法 指定通信双方使用的利用安全算法和秘密信息实现安全服务的协议
9、,9.3.2 对称密钥密码体制,对称密钥密码体制 也称为常规密钥密码体制 加密密钥与解密密钥是相同的 大多数传统的加密技术采用的是 改变明文字符顺序的置换方式 以及将明文字母映射为另一个字母的替换方式 执行加密功能的模块称为加密器(cipher),替代密码与置换密码,明文attackbeginsatfour 的加密过程是 得出密文:abacnuaiotettgfksr,接收方收到密文后,按列顺序写下字母,按行读出,还原出明文,密钥 C I P H E R 顺序 1 4 5 3 2 6 明文 a t t t c k b e g i n s a t f o u r,序列密码和分组密码,分组密码是将
10、明文划分为固定的n位的数据组,以组为单位在密钥控制下进行一系列的线形或非线形的变化得到密文,在发送方加密时,种子I0对密钥序列产生器进行初始化。ki、xi和yi均为1位,或均为1个字符,按照模2进行运算得出,9.3.3 数据加密标准,DES最初是在20世纪60年代由IBM公司研制的,1977年被美国国家标准局NBS,即现在的国家标准和技术研究所NIST采纳,成为美国联邦信息标准,ISO曾把DES作为数据加密标准 DES是世界上第一个公认的实用密码算法标准,加密分组的链接,在加密过程中64位的明文分组X0先与初始向量逐位进行异或运算,然后进行加密操作得到密文Y0。再将Y0和下一个明文分组X1进行
11、异或运算后再加密,得到密文Y1,依次类推得到完整的密文,三重DES加密解密,1985年三重DES成为美国的一个商用加密标准。目前尚未有攻破三重DES的报道 国际数据加密算法IEDA(International Data Encryption Algorithm)是在DES之后出现的,使用128位密钥,与DES类似,9.4 公钥密码体制,9.4.1 公钥密码体制的概念 9.4.2 公钥密码体制的算法 9.4.3 数字签名技术 9.4.4 报文鉴别技术 9.4.5 密钥分配技术 9.4.6 链路加密与端到端加密,9.4.1 公钥密码体制的概念,公钥密码体制的出现是密码技术的一次革命 公钥密码体制是
12、1976年由Stanford大学的科研人员Diffie 和Hellman提出的 公钥密码体制也称为非对称密钥体制,是使用不同的加密密钥和解密密钥 是一种由已知加密密钥推导出解密密钥在计算上是不可行的密钥体制 公钥密码体制出现的原因主要是两个 一个是用来解决常规密钥密码体制中的密钥分配(key distribution)问题 另一个是解决和实现数字签名(digital signature) 在公钥密码体制中 加密密钥也称为公钥PK,是公开信息 解密密钥称为私钥SK,不公开是保密信息,私钥也叫秘密密钥 加密算法E和解密算法D也是公开的,公钥密码体制的组成部分,公钥密码体制有5个组成部分: 明文,算
13、法的输入,是可读消息或数据;加密算法,用于对明文进行各种转换;公钥和私钥,算法的输入,两个密钥不同,私钥为秘密的,公钥是公开的,一个用于加密,一个用于解密。加密和解密算法执行的变换依赖于公钥和私钥;密文,为算法的输出,依赖于明文和密钥;解密算法,用于接收密文,利用相应的密钥恢复出原始的明文,9.4.2公钥密码体制的算法,目前使用最多的公钥密码体制是RSA,采用数论中大数分解的机制 RSA是由MIT的Ron Rivest、Adi Shamir、和Len Adleman在1977年提出并于1978年首次发表的算法,是最早提出的满足要求的公钥算法之一,也称为RSA方案 RSA体制是一种分组密码,其明
14、文是和密文均是0至n1之间的整数 通常n的大小为1024位二进制数或309位十进制数 RSA公钥密码体制的原理是: 根据数论,寻求两个大素数比较简单,而把两个大素数的乘积分解则极其困难,RSA例子分析,为了运算的简单,并能够说明算法,假设选择了两个素数:p7,q17。计算出npq717119,计算出(n)(p1)(q1)96。 从0, 95中选择一个与96互素的数e,选择e5,然后根据上面公式计算出d。 5d1 mod 96 因为ed57738549611 mod 96,解出d77。 得出公钥:PKe, n(5, 119),密钥:SKd, n(77, 119)。 加密过程如下: 把明文划分为分
15、组,每个明文分组的二进制值不超过n,即不超过119。设明文X19。 计算YXe mod n中的Xe1952 476 009,再除以119,得出商为20 807,余数为66,即为对应于明文19的密文Y的值。 解密过程如下: 计算XYd mod n中的Yd66771.2710140,再除以119,得出的商为1.3610138,余数为19,即为解密后得出的明文X。,9.4.3 数字签名技术,采用公钥加密算法要比用常规密钥算法更容易实现数字签名 实现数字签名也同时实现了对报文来源的鉴别 可以做到对反拒认或伪造的鉴别,具有加密功能的数字签名,图中SKA和SKB分别是A和B的私钥,PKA和PKB分别是A和
16、B的公钥,在发送方端和接收方端分别要进行解密和加密运算过程,9.4.4 报文鉴别技术,报文鉴别(message authentication)主要用来对付主动攻击中的篡改和伪造 报文鉴别是一种过程,通过这一过程,接收方可以验证所接收报文的发送者、报文内容、发送的时间、序列等的真伪 报文摘要的工作过程是: 在发送方将可变长度的报文m 经过报文摘要算法运算后得出固定长度的报文摘要H(m),然后对H(m)加密,得出EK(H(m),将其附加在报文m后面发送到信道上 接收方把EK(H(m)解密,得出H(m),再把收到的报文m 进行报文摘要运算,把得到的报文摘要与H(m)比较 若两者一致,表明是发送方发出的,否则就不是,报文摘要加密的实现过程,报文鉴别(message authentication)主要用来对付主动攻击中的篡改和伪造。报文鉴别是一种过程,通过这一过程,接收方可以验证所接收报文的发送者、报文内容、发送的时间、序列等的真伪,hash函数算法的性质和要求,ha
