计算机网络第28讲）

软件学院软件学院计算机网络计算机网络（第二十八讲）主讲：李 勇二零一四年十二月1软件学院3、地址的类型与地址空间、地址的类型与地址空间 IPv6 数据报的目的地址可以是以下三种基本类型地址之一：(1)单播(unicast)单播就是传统的点对点通信。(2)多播(multicast)多播是一点对多点的通信。(3)任播(anycast)这是 IPv6 增加的一种类型。任播的目的站是一组计算机，但数据报在交付时只交付其中的一个，通常是距离最近的一个。2软件学院结点与接口的概念结点与接口的概念oIPv6 将实现 IPv6 的主机和路由器均称为结点。oIPv6 地址是分配给结点上面的接口。n一个接口可以有多个单播地址。n一个结点接口的单播地址可用来唯一地标志该结点。3软件学院冒号十六进制记法冒号十六进制记法(colon hexadecimal notation)o每个 16 位的值用十六进制值表示，各值之间用冒号分隔。68E6:8C64:FFFF:FFFF:0:1180:960A:FFFFo零压缩(zero compression)，即一连串连续的零可以为一对冒号所取代。FF05:0:0:0:0:0:0:B3 可以写成 FF05:B3 4软件学院点分十进制记法的后缀点分十进制记法的后缀 o0:0:0:0:0:0:128.10.2.1 再使用零压缩即可得出：:128.10.2.1oCIDR 的斜线表示法仍然可用。o60 位的前缀 12AB00000000CD3 可记为：12AB:0000:0000:CD30:0000:0000:0000:0000/60或12AB:CD30:0:0:0:0/60或12AB:0:0:CD30:/60 5软件学院地址空间的分配地址空间的分配oIPv6 将 128 位地址空间分为两大部分。n第一部分是可变长度的类型前缀，它定义了地址的目的。n第二部分是地址的其余部分，其长度也是可变的。类型前缀地址的其他部分长度可变长度可变128 位6软件学院特殊地址特殊地址 未指明地址 这是 16 字节的全 0 地址，可缩写为两个冒号“:”。这个地址只能为还没有配置到一个标准的 IP 地址的主机当作源地址使用。环回地址 即 0:0:0:0:0:0:0:1（记为:1）。基于 IPv4 的地址 前缀为 0000 0000 保留一小部分地址作为与 IPv4 兼容的。本地链路单播地址 7软件学院前缀为前缀为 0000 0000 的地址的地址 o前缀为 0000 0000 是保留一小部分地址与 IPv4 兼容的，这是因为必须要考虑到在比较长的时期 IPv 4和 IPv6 将会同时存在，而有的结点不支持 IPv6。o因此数据报在这两类结点之间转发时，就必须进行地址的转换。0000.0000 FFFF IPv4 地址80 位16 位32 位IPv4 映射的IPv6 地址8软件学院全球单播地址的等级结构全球单播地址的等级结构 IPv6 扩展了地址的分级概念，使用以下三个等级：(1)全球路由选择前缀，占 48 位。(2)子网标识符，占16 位。(3)接口标识符，占 64 位。第一级第三级接口标识符（64 位）子网标识符（16 位）第二级全球路由选择前缀（48 位）位 0 48 64 127 9软件学院EUI-64 oIEEE定 义了一个标准的 64 位全球唯一地址格式 EUI-64。oEUI-64 前三个字节（24 位）仍为公司标识符，但后面的扩展标识符是五个字节（40 位）。o较为复杂的是当需要将 48 位的以太网硬件地址转换为 IPv6 地址。10软件学院0 xFFFE把以太网地址转换为把以太网地址转换为 IPv6 地址地址 低 24 位cccccc1gcccccccccccccccc 1111111111111110cccccc0gcccccccccccccccc位 0 8 24 47位 0 8 24 40 63IEEE 802 地址接口标识符低 24 位I/G 位G/L 位G/L=111软件学院4、从、从 IPv4 向向 IPv6 过渡过渡 o向 IPv6 过渡只能采用逐步演进的办法，同时，还必须使新安装的 IPv6 系统能够向后兼容。oIPv6 系统必须能够接收和转发 IPv4 分组，并且能够为 IPv4 分组选择路由。o双协议栈(dual stack)是指在完全过渡到 IPv6 之前，使一部分主机（或路由器）装有两个协议栈，一个 IPv4 和一个 IPv6。12软件学院用双协议栈进行用双协议栈进行从从 IPv4 到到 IPv6 的过渡的过渡 双协议栈IPv6/IPv4IPv6IPv6IPv4 网络ABCDEF流标号：X源地址：A目的地址：F 数据部分流标号：无源地址：A目的地址：F 数据部分双协议栈IPv6/IPv4IPv6 数据报IPv6 数据报源地址：A目的地址：F数据部分源地址：A目的地址：F数据部分IPv4 数据报13IPv4 网络IPv6IPv6ABCDEFIPv4 数据报IPv4 数据报IPv4网络 IPv6IPv6ABEF隧道源地址：B目的地址：EIPv6数据报双协议栈IPv6/IPv4双协议栈IPv6/IPv4双协议栈IPv6/IPv4双协议栈IPv6/IPv4IPv4 网络流标号：X源地址：A目的地址：F 数据部分IPv6 数据报流标号：X源地址：A目的地址：F 数据部分IPv6 数据报源地址：B目的地址：EIPv6数据报使用隧道技术从 IPv4 到 IPv6 过渡 14软件学院5、ICMPv6oICMPv6 的报文格式和 IPv4 使用的 ICMP 的相似，即前 4 个字节的字段名称都是一样的。o但 ICMPv6 将第 5 个字节起的后面部分作为报文主体。oICMPv6 的报文划分为四大类n差错报告报文n提供信息的报文n多播听众发现报文n邻站发现报文 15软件学院软件学院第第9章章 网络安全网络安全o9.1 网络安全问题概述网络安全问题概述o9.2 密码学基础密码学基础o9.3 数字签名数字签名o9.4 鉴别鉴别o9.5 密钥分配密钥分配o9.6 网络安全协议网络安全协议o9.7 链路加密与端到端加密链路加密与端到端加密o9.8 防火墙技术防火墙技术软件学院9.1 网络安全问题概述网络安全问题概述o计算机网络上的通信面临以下的四种威胁：(1)截获从网络上窃听他人的通信内容。(2)中断有意中断他人在网络上的通信。(3)篡改故意篡改网络上传送的报文。(4)伪造伪造信息在网络上传送。o截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。17软件学院9.1.1 被动攻击和主动攻击被动攻击和主动攻击o在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。o主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。n更改报文流 n拒绝报文服务 n伪造连接初始化 18软件学院对网络的被动攻击和主动攻击对网络的被动攻击和主动攻击 截获篡改伪造中断被动攻击主 动 攻 击目的站源站源站源站源站目的站目的站目的站19软件学院(1)防止析出报文内容；(2)防止通信量分析；(3)检测更改报文流；(4)检测拒绝报文服务；(5)检测伪造初始化连接。计算机网络通信安全的目标计算机网络通信安全的目标 20软件学院(1)计算机病毒会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2)计算机蠕虫通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3)特洛伊木马一种程序，它执行的功能超出所声称的功能。(4)逻辑炸弹一种当运行环境满足某种特定条件时执行其他特殊功能的程序。恶意程序恶意程序(rogue program)21软件学院9.1.2 计算机网络安全的内容计算机网络安全的内容o保密性o安全协议的设计 o访问控制 22软件学院9.2 密码学基础密码学基础 o密码学保证在新的信息社会中的授权、认证、完整性、机密性以及所有通信和数据交换的不可否认性。o这些保证是建立在以下安全服务的基础之上：n机密性机密性通过加密实现通过加密实现n认证认证通过数字签名和数字证书实现通过数字签名和数字证书实现n诚信诚信用公钥解密数字签名以获取消息摘要，对消息用公钥解密数字签名以获取消息摘要，对消息进行哈希处理创建第二个摘要，如果摘要相同则说明该进行哈希处理创建第二个摘要，如果摘要相同则说明该消息是真实的，签名者的身份得到证明消息是真实的，签名者的身份得到证明n不可否认性不可否认性哈希处理过的消息的数字签名利用发件哈希处理过的消息的数字签名利用发件人的秘钥加密结果，将数字签名与发生的消息绑定起来人的秘钥加密结果，将数字签名与发生的消息绑定起来n不可重放不可重放加密，哈希和数字签名加密，哈希和数字签名23软件学院明文 X 截获密文 Y1、一般的数据加密模型、一般的数据加密模型 加密密钥 K明文 X密文 Y截取者篡改ABE 运算加密算法D 运算解密算法因特网解密密钥 K24软件学院一些重要概念一些重要概念 o密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。o如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。o如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。25软件学院2、密码系统的组成、密码系统的组成o一个密码系统由如下4个基本组成部分：n明文P将被发送的原信息。n密码系统或一种密码由数学的加密E和解密D算法所组成。n密文C在将原文件发送给收件人之前应用加密算法对原始信息加密后的结果。n密钥K在加密和解密过程中被两种数学算法使用的比特串。26软件学院3、加密类型、加密类型o密码可以是序列密码也可以是分组密码。n序列密码依赖于密钥序列函数派生出来的密钥流。然后将密钥和算法一次一个地应用到每一个比特上。n分组密码将信息分解成块，并且每一块结合了一个密钥。o基于密钥的加密算法可以是对称的，即通常所谓的传统加密，也可以是不对称的加密算法，也被称为公共密钥加密。n对称算法实际上是基于秘密密钥的，这里加密算法和解密算法使用相同的密钥进行加密和解密。n非对称或公共密钥算法与对称的不同，使用不同的密钥进行加密和解密，而解密密钥不能从加密密钥中推导出来。27软件学院9.2.1 对称密钥密码体制对称密钥密码体制 o所谓常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制。o这种加密系统又称为对称密钥系统。28软件学院1、数据加密标准、数据加密标准 DESo数据加密标准 DES 属于常规密钥密码体制，是一种分组密码。o在加密前，先对整个明文进行分组。每一个组长为 64 位。o然后对每一个 64 位 二进制数据进行加密处理，产生一组 64 位密文数据。o最后将各组密文串接起来，即得出整个的密文。o使用的密钥为 64 位（实际密钥长度为 56 位，有 8 位用于奇偶校验)。29软件学院DES 的保密性的保密性oDES 的保密性仅取决于对密钥的保密，而算法是公开的。尽管人们在破译 DES 方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。oDES 是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。o目前较为严重的问题是 DES 的密钥的长度。o现在已经设计出来搜索 DES 密钥的专用芯片。30软件学院2、其他的对称加密算法、其他的对称加密算法o3DES从最初的由56比特有效密钥和8比特奇偶校验位组成的64比特密码DES发展而来，3DES按8字节块加密数据，经过16次不同的迭代复杂移位，异或，替代并沿着64比特数据分组密钥扩展组成。o其他的对称加密算法包括：n美国国家标准与技术研究院NIST提出了高级加密标准AES，用来取代DES。nIDEA(国际数据加密标准)，Blow