《计算机网络基础》-第7章.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机网络基础,第,7,章 计算机网络的安全,学习要点：,计算机网络安全的基本概念和基础知识,数据加密方法,数字签名的原理,防火墙,第,5,章 网络互连,7.1,计算机网络安全概述,7.2,数据加密,7.3,数字签名,7.4,防火墙,退出,7.1,计算机网络安全概述,7.1.1,计算机网络安全基础知识,7.1.2,计算机网络面临的主要威胁,返回,7.1.1,计算机网络安全基础知识,1.,计算机网络安全的含义,计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会因偶然的或者恶意的原因而遭到破坏

2、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,计算机网络安全又分为：,（,l,）运行系统安全，即保证信息处理和传输系统的安全。,（,2,）网络上系统信息的安全。,（,3,）网络上信息传播的安全。,全。,（,4,）网络上信息内容的安全。,2.,网络安全的特征,（,1,）保密性：,（,2,）完整性：,（,3,）可用性：,（,4,）可控性：,3.,网络安全的策略,（,1,）,网络用户的安全责任,（,2,）,系统管理员的安全责任,（,3,）,正确利用网络资源,（,4,）,检测到安全问题时的对策,4.,网络安全性措施,（,1,）网络安全措施,要实施一个完整的网络安全系统，至少应该包括三类措施：

3、社会的法律、法规以及企业的规章制度和安全教育等外部软件环境。,技术方面的措施，如网络防毒、信息加密、存储通信、授权、认证以及防火墙技术。,审计和管理措施，这方面措施同时也包含了技术与社会措施。,（,2,）网络安全性方法,为网络安全系统提供适当安全的常用方法有：修补系统漏洞、病毒检查、加密、执行身份鉴别、防火墙、捕捉闯入者、直接安全、空闲机器守则、废品处理守则、口令守则。,1.,概述,计算机网络受到的安全威胁主要来自以下几个方面：,窃取网络信息。,中断网络信息。,篡改网络信息。,仿冒用户身份。,7.1.1,计算机网络安全基础知识,计算机网络安全性的威胁又分成两大类：,一种是被动攻击,一种是主动

4、攻击。,2.,恶意程序,对计算机网络安全威胁较大的有：,计算机病毒,计算机蠕虫,特洛伊木马,逻辑炸弹等。,7.2,数据加密,7.2.1,一般数据的加密模型,7.2.2,常规密钥密码体制,返回,7.2.3,公开密钥密码体制,密码学是以研究秘密通信为目的，即研究对传输信息采取何种秘密的变换以防止第三者对信息的窃取,.,密码学分为密码编码学和密码分析学，其中密码编码学是密码体制的设计学，而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。,7.2.1,一般数据的加密模型,一组含有参数,k,的变换,E,。设已知信息,m,（又称之为明文），通过变换,E,，得到密文,c,，即,c =E,k,(

5、m),这个过程称之为加密，参数,k,称之为密钥，变换,E,称之为加密算法。,常规密钥密码体制就是指加密密钥与解密密钥是相同的密码体制。这种加密系统又称为对称密钥系统。,常规的密钥密码体制有多种加密方法，这里仅讲授三种方法：棋盘密码、替代密码和换位密码。,7.2.1,一般数据的加密模型,1.,棋盘密码,其加密的思想是：将,26,个英文字母排列在一个,5,5,的方格里，其中,i,和,j,填在同一格,这样,26,个英文字母中的每一个字母都对应着由,所组成的一个数，其中，,是该字母所在行的标号、,表示是列标号。,1,2,3,4,5,1,a,b,c,d,e,2,f,g,H2,i j,k,3,l,m,n,

6、o,p,4,q,r,s,t,u,5,v,w,x,y,z,2.,替代密码,用一组密文字母来代替一组明文字母可以隐藏明文，但保持明文字母位置不变。,3.,换位密码,对明文字母的顺序按密钥的规律相应的排列组合后输出，然后形成密文。原理如下,:,密钥必须是一个不含重复字母的单词或短语，加密时将明文按密钥长度截成若干行排在密钥下面（不足的时候按顺序补字母），按照密钥钥字母在英文字母表中的先后顺序给各列进行编号，然后按照编好的顺序按列输出明文即成密文。,例如：加密密钥为,COMPUTER,，加密的明文为：,pleaseexecutethelatestscheme,（,1,）密钥,COMPUTER,各字母按

7、照英文,26,个字母中的先后顺序排列如下：,1 4 3 5 8 7 2 6,（,2,）再把明文按那么按照密钥长度截成若干行排，以如下形式写出来：,C O M P U T E R,p l e a s e e x,e c u t e t h e,l a t e s t s c,h e m e a b c d,（,3,）按照密钥各字母的先后顺序按列输出明文即成密文。那么输出的密文为：,PELHEHSCEUTM LCAEATEEXECDETTBSESA,主要在于其密钥的管理：,（,1,）进行安全通信前需要以安全方式进行密钥交换。,（,2,）密钥规模复杂。,4.,以上加密方法的缺陷,从数学模型的角度来说

8、要想从加密密钥不能推导出解密密钥，则加密算法,E,与解密算法,D,必须满足三个条件：,D(E(P)=P,已知,E,，不能由,E=D,使用,“,选择明文,”,不能攻破,E,。,7.2.3,公开密钥密码体制,公开密钥算法的特点如下：（其工作过程如图,7-2,所示）,（,1,）发送者用加密密钥（或称公开密钥）,PK,对明文,X,加密后，在接收者用解密密钥（或称秘密密钥）,SK,解密，即可恢复出明文，或写为：,D,SK,（,E,PK,（,X,）,X,解密密钥是接收者专用的秘密密钥，对其他人都保密。,（,2,）加密密钥是公开的，但不能用它来解密，即,D,PK,（,E,PK,（,X,）,X,（,3,）在

9、计算机上可以容易地产生成对的,PK,和,SK,。,（,4,）从已知的,PK,实际上不可能推导出,SK,，即从,PK,到,SK,是,“,计算上不可能的,”,。且加密和解密算法都是公开的。,7.3,数字签名,数字签名,(Digital Signature),是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。,7.3.1,数字签名概述,签名体现了以下几个方面的保证：,（,1,）签名是可信的。,（,2,）签名是不可伪造的。,（,3,）签名

10、不可重用。,（,4,）签名后的文件是不可变的。,（,4,）签名是不可抵赖的。,7.3.1,数字签名概述,为使数字签名能代替传统的签名，必须保证以下三个条件：,（,1,）接收者能够核实发送者对报文的签名；,（,2,）发送者事后不能抵赖对报文的签名；,（,3,）接收者不能伪造对报文的签名。,7.3.2,数字签名的实现,7.4,防火墙,7.4.1,什么是防火墙,防火墙技术就是一种保护计算机网络安全的技术性措施，是在内部网络和外部网络之间实现控制策略的系统，主要是为了用来保护内部的网络不易受到来自,Internet,的侵害。,防火墙的主要功能如下：,（,1,）过滤不安全服务和非法用户，禁止未授权的用户

11、访问受保护网络。,（,2,）控制对特殊站点的访问。,（,3,）提供监视,Internet,安全和预警的方便端点。,对于以下情况防火墙无能为力：,（,1,）不能防范绕过防火墙的攻击。,（,2,）一般的防火墙不能防止受到病毒感染的软件或文件的传输。,（,3,）不能防止数据驱动式攻击。,（,4,）难以避免来自内部的攻击。,7.4.2,防火墙的三种类型,1.,网络级防火墙,由一个路由器或一台充当路由器的计算机组成。,包过滤路由器对所接收的每个数据包进行审查，以便确定其是否与某一条包过滤规则匹配。,2.,应用级防火墙,应用级防火墙通常指运行代理（,Proxy,）服务器软件的一台计算机主机。,3.,电路级

12、防火墙,是一个具有特殊功能的防火墙，它可以由应用层网关来完成。电路层网关只依赖于,TCP,连接，并不进行任何附加的包处理或过滤。,7.4.3,防火墙体系结构,1.,双重宿主主机体系结构,双重宿主主机体系结构是指在内部网络和外部网络的接口处使用至少两个网络设备，,这些网络设备可以是路由器或普通计算机，其中一个连接内部网络（称为内部分组过滤器），另一个连接外部网络（称为外部分组过滤器），它们之间由设备连接,7.4.3,防火墙体系结构,2.,主机过滤体系结构,这种结构由硬件和软件共同完成，硬件主要是指路由器，软件主要是指过滤器，它们共同完成外界计算机访问内部网络时从,IP,地址或域名上的限制，也可以

13、指定或限制内部网络访问,Internet,。,7.4.3,防火墙体系结构,3.,子网过滤体系结构,7.4.4,包过滤技术,包过滤（,Packet Filter,）是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、,TCP/UDP,源端口号、,TCP/UDP,目的端口号以及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。,1.,包过滤是如何工作的,包过滤技术可以允许或不允许某些包在网络上进行传递，其依据以下的判据：,（,1,）将包的目的地址作为判据；,（,2,）将包的源地址作为判据；

14、3,）将包的传送协议作为判据。,2.,包过滤的优缺点,（,1,）包过滤的优点,仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。,如果内部网络中的站点与,Internet,网络之间只有一台路由器，那么不管内部网络规模有多大，只要在这台路由器上设置合适的包过滤，内部网络中的站点就可获得很好的网络安全保护。,（,2,）包过滤的缺点,在机器中配置包过滤规则比较困难；,对系统中的包过滤规则的配置进行测试也较麻烦；,许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。,3.,包过滤路由器的配置,（,1,）协议的双向性。,（,2,）“往内”与“往外”的含义。,（,3,）,“,默认允许,”,与,“,默认拒绝,”,。,4.,包的基本构造,包都由包头与包体两部分组成。,5.,包过滤处理内核,过滤路由器可以利用包过滤手段来提高网络的安全性。,（,1,）包过滤和网络策略,（,2,）一个简单的包过滤模型,（,3,）包过滤器操作,7.4.5,构建个人防火墙,