[精选]第9章网络安全与管理7602.pptx
主要内容:主要内容:基本加密算法基本加密算法网络安全技术(比如防火墙)网络安全技术(比如防火墙)因特网的网络层安全协议因特网的网络层安全协议IPSec网络管理基础网络管理基础单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式第九章第九章 网络安全与管理网络安全与管理单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式9.1 9.1 网络安全概述网络安全概述l国际标准化组织国际标准化组织ISO对计算机网络安全对计算机网络安全(Network Security)的定义)的定义为数据处理系统建立和采用的安全防范为数据处理系统建立和采用的安全防范技术,以保护计算机硬件、软件和数据技术,以保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改不因偶然和恶意的原因遭到破坏、更改和泄露。和泄露。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式网络安全威胁网络安全威胁l网络安全威胁主要表现在:非授权访问非授权访问 信息泄漏或丢失信息泄漏或丢失 破坏数据完整性破坏数据完整性 拒绝服务攻击拒绝服务攻击DoS利用网络传播病毒等利用网络传播病毒等单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式网络安全的五要素网络安全的五要素l网络安全包括五个基本要素网络安全包括五个基本要素机密性机密性完整性完整性可用性可用性可控性可控性可审查性可审查性单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式网络安全的分类网络安全的分类l根据根据安全需求安全需求将其分为数据保密、数据完整将其分为数据保密、数据完整性、身份验证、授权、不可抵赖和不可否认性、身份验证、授权、不可抵赖和不可否认等几个部分;等几个部分;l根据根据解决手段解决手段可以分为病毒防范、防火墙、可以分为病毒防范、防火墙、存取控制、身份鉴别、安全综合解决方案;存取控制、身份鉴别、安全综合解决方案;l根据根据威胁来源威胁来源将其划分为网络攻击行为、安将其划分为网络攻击行为、安全漏洞及恶意代码等类别。全漏洞及恶意代码等类别。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式9.2 9.2 密码学密码学一、密码学的发展一、密码学的发展l密码学包括(密码学包括(cryptology)密码编码学和密密码编码学和密码分析学码分析学。l密码编码学是密码体制的设计学,而密码分密码编码学是密码体制的设计学,而密码分析学则是在未知密码的情况下从密文推演出析学则是在未知密码的情况下从密文推演出明文的技术。明文的技术。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式相关术语相关术语l明文明文:信息的原始形式(:信息的原始形式(plianttext,记为,记为P)l密文密文:明文加密后的形式(:明文加密后的形式(ciphertext,记为,记为C)l加密加密:明文变成密文的过程(:明文变成密文的过程(encrypt记为记为E),),加密通常是由加密算法来实现的。加密通常是由加密算法来实现的。l解密解密:密文还原成明文的过程(:密文还原成明文的过程(decrypt记为记为D),),解密通常是由解密算法来实现的。解密通常是由解密算法来实现的。l密密钥钥:为为了了有有效效地地控控制制加加密密和和解解密密算算法法的的实实现现,在在其其处处理理过过程程中中要要有有通通信信双双方方掌掌握握的的专专门门信信息息参参与,这种专门信息称为密钥(与,这种专门信息称为密钥(key,记为,记为K)。)。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式二、对称密钥体制二、对称密钥体制l根据根据密钥密钥的特点,密码体制分为非对称密钥的特点,密码体制分为非对称密钥体制和对称密钥体制两种。体制和对称密钥体制两种。l对称密钥体制又称为传统密钥、对称密钥体制又称为传统密钥、秘密秘密密钥、密钥、单钥密钥加密算法单钥密钥加密算法l对称密钥体制的核心是对称密钥体制的核心是加密和解密采用相同加密和解密采用相同的密钥的密钥。l保密性仅取决于对密钥的保密,而算法是公保密性仅取决于对密钥的保密,而算法是公开的。开的。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式对称密钥体制对称密钥体制图图图图9.1 9.1 对称密钥加密算法的执行过程对称密钥加密算法的执行过程对称密钥加密算法的执行过程对称密钥加密算法的执行过程 单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式替代密码替代密码l替代密码替代密码将字母将字母a,b,c,d,w,x,y,z的自然顺序保持不的自然顺序保持不变,但使之与变,但使之与D,E,F,G,X,A,B,C分别对分别对应:应:密钥为密钥为3例如:明文例如:明文caesar cipher 对应的密文为对应的密文为 FDHVDU FLSKHU单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式置换密码置换密码l置换密码置换密码按照某一规则重新排列消息中的比特或字符按照某一规则重新排列消息中的比特或字符的顺序,的顺序,密钥的目的是对列编号密钥的目的是对列编号。密钥:密钥:CIPHER顺序:顺序:145326举例:明文举例:明文 attack begins at two 密文密文 abaaitcnwtg tetkso单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式对称密钥算法分类对称密钥算法分类l对称密钥加密算法可分为两类:对称密钥加密算法可分为两类:一次只对明文中的单个位(或字节)运一次只对明文中的单个位(或字节)运算的算法,称为序列算法、序列密码或算的算法,称为序列算法、序列密码或流密码(流密码(stream cipher););对明文的一组位进行运算(这些位组称对明文的一组位进行运算(这些位组称为分组),称为块密码或分组密码为分组),称为块密码或分组密码(block cipher)。)。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式分组密码体制分组密码体制输入输出加密算法密钥明文输入输出解密算法密钥明文n bitn bitn bitn bit密文密文单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式数据加密标准数据加密标准DESDESlDES 是世界上第一个公认的实用密码算法标是世界上第一个公认的实用密码算法标准,是一种典型的准,是一种典型的分组加密算法分组加密算法。l加密前,先对整个的明文进行分组,每一个加密前,先对整个的明文进行分组,每一个组长组长64位;位;l使用密钥使用密钥64位,对每一个位,对每一个64位分组进行加密位分组进行加密处理。处理。l最后将各组密文串接,得出整个的密文。最后将各组密文串接,得出整个的密文。DESDES算法描述算法描述算法描述算法描述 DES经过总共经过总共16轮的轮的替代和换位替代和换位的变换后,使得密码分的变换后,使得密码分析者无法获得该算法一般特性以外更多的信息。析者无法获得该算法一般特性以外更多的信息。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式新一代加密标准新一代加密标准AES AES lAES是一个迭代的、对称密钥分组的密码是一个迭代的、对称密钥分组的密码l算法可以使用算法可以使用128、192 和和 256 位密钥,并且位密钥,并且用用 128 位分组加密和解密数据,算法迭代次位分组加密和解密数据,算法迭代次数由分组长度和密钥长度共同决定。数由分组长度和密钥长度共同决定。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式新一代加密标准新一代加密标准AESAESlAES算法在每一轮都采用置换和代替并行地算法在每一轮都采用置换和代替并行地处理整个数据分组,这个分组被编排为一个处理整个数据分组,这个分组被编排为一个称做状态阵列称做状态阵列(state array)的的44字节矩阵。字节矩阵。lAES算法的加密实际上就是对输入状态阵列算法的加密实际上就是对输入状态阵列进行一系列运算,产生输出的过程。进行一系列运算,产生输出的过程。AES的加密解密流程单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式三、公开密钥体制三、公开密钥体制 l相对于对称加密算法,这种方法也叫做非对称相对于对称加密算法,这种方法也叫做非对称加密算法,需要加密算法,需要公开密钥公开密钥(public key)和)和私私有密钥(有密钥(private key)两个密钥。两个密钥。l公开密钥(加密密钥)和非对称加密解密算法公开密钥(加密密钥)和非对称加密解密算法是公开的,但私有密钥(解密密钥)是保密的,是公开的,但私有密钥(解密密钥)是保密的,由密钥的主人妥善保管。由密钥的主人妥善保管。l公开密钥体制中最著名的是公开密钥体制中最著名的是RSA算法算法单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式公开密钥密码体制公开密钥密码体制接收者发送者E加密算法D解密算法加密密钥 PK解密密钥 SK明文 X密文 Y=EPK(X)密钥对产生源明文 X=DSK(EPK(X)单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式公开密钥算法的特点公开密钥算法的特点(1)发发送送者者用用加加密密密密钥钥 PK 对对明明文文 X 加加密密后后,在在接接收收者者用用解解密密密密钥钥 SK 解解密密,即即可可恢恢复复出出明文,或写为:明文,或写为:(2)DSK(EPK(X)X 单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式公开密钥算法的特点(公开密钥算法的特点(2 2)(2)加密密钥是公开的,但不能用它来解密,即加密密钥是公开的,但不能用它来解密,即 DPK(EPK(X)X(3)在计算机上可容易地产生成对的在计算机上可容易地产生成对的 PK 和和 SK。(4)从已知的从已知的 PK 实际上不可能推导出实际上不可能推导出 SK。(5)加密和解密算法都是公开的。加密和解密算法都是公开的。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式四、数字签名和消息认证四、数字签名和消息认证l除了信息的保密之外,如何除了信息的保密之外,如何保证信息的来源保证信息的来源方是真实的,保证收到的信息的可靠的而没方是真实的,保证收到的信息的可靠的而没有被非法篡改,也是非常重要的。有被非法篡改,也是非常重要的。l认证包括认证包括对用户身份的认证对用户身份的认证和和对消息正确性对消息正确性的认证的认证两种方式。两种方式。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式数字签名和消息认证数字签名和消息认证l用户认证用于鉴别用户的身份是否是合法用用户认证用于鉴别用户的身份是否是合法用户,可以利用户,可以利用数字签名数字签名技术来实现的。技术来实现的。l消息认证(又称消息认证(又称报文鉴别报文鉴别)主要用于验证所)主要用于验证所收到的消息确实是来自真正的发送方且未被收到的消息确实是来自真正的发送方且未被修改的消息,也可以验证消息的顺序和及时修改的消息,也可以验证消息的顺序和及时性。性。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式1 1、消息认证、消息认证l用于消息认证最常用的是用于消息认证最常用的是消息认证码消息认证码(MAC)和和散列函数散列函数。l消息认证码是在一个密钥的控制下将任意长消息认证码是在一个密钥的控制下将任意长的消息映射到一个简短的定长数据分组,将的消息映射到一个简短的定长数据分组,将它附加在消息后。接收者通过重新计算它附加在消息后。接收者通过重新计算MAC来对消息进行认证。来对消息进行认证。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式2 2、数字签名、数字签名l当通信双方发生了下列情况时,数字签名技当通信双方发生了下列情况时,数字签名技术能够解决引发的争端:术能够解决引发的争端:否认否认:发送方不承认自己发送过某一报文。:发送方不承认自己发送过某一报文。伪造伪造:接收方自己伪造一份报文,并声称:接收方自己伪造一份报文,并声称它来自发送方。它来自发送方。冒充冒充:网络上的某个用户冒充另一个用户:网络上的某个用户冒充另一个用户接收或发送报文。接收或发送报文。篡改篡改:接收方对收到的信息进行篡改。:接收方对收到的信息进行篡改。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式数字签名数字签名l目前应用最为广泛的数字签名包括:目前应用最为广泛的数字签名包括:Hash签名签名DSS签名签名RSA签名签名ElGamal数字签名体制等。数字签名体制等。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式采用公钥的数字签名采用公钥的数字签名 若若 Alice 要抵赖曾发送报文给要抵赖曾发送报文给 Bob,Bob 可将可将 P 及及DA(P)出示给第三者。第三者很出示给第三者。第三者很容易证实容易证实 Alice确实发送确实发送 X 给给 Bob。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式五、密钥的分发和管理五、密钥的分发和管理问题问题:如何解决两个实体通过网络实现对称如何解决两个实体通过网络实现对称密钥的共享密钥的共享?解决办法解决办法:具有公信力的密钥分发中心具有公信力的密钥分发中心(key distribution center(KDC))来作为诸)来作为诸多实体间的中介多实体间的中介单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式密钥分发中心密钥分发中心KDCKDClAlice,Bob 需要共享对称密钥需要共享对称密钥.lKDC:为每个注册的用户提供不同的密钥服务为每个注册的用户提供不同的密钥服务.lAlice,Bob 在在KDC注册后,获取了自己的对称密钥注册后,获取了自己的对称密钥,KA-KDC KB-KDC.单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式密钥的分发和管理密钥的分发和管理l问题问题:当当Alice获取获取Bob的公钥时的公钥时(可以从网站、可以从网站、e-mail,甚至软盘甚至软盘),如何能够使她相信这就是如何能够使她相信这就是 Bob的公钥的公钥,而不是而不是 Trudy的的?l解决办法解决办法:具有公信力的认证机构具有公信力的认证机构(certificationauthority,CA)单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式认证机构认证机构CACAl认证机构认证机构(CA)为特定的实体管理公开密钥为特定的实体管理公开密钥.l实体(个人或路由器)可以在实体(个人或路由器)可以在CA注册公注册公开密钥开密钥.实体提供实体提供“身份证明身份证明”给给 CA.CA 创建信任状将实体与公开密钥进行创建信任状将实体与公开密钥进行绑定绑定.由由CA对信任状进行数字签名对信任状进行数字签名.单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式认证机构认证机构CACAl当当 Alice需要需要Bob的的公开密钥时公开密钥时:l获取获取Bob信任状信任状(从从Bob 或其他什么地或其他什么地方方).l把把 CA提供的公开密提供的公开密钥对钥对Bob的信任状进的信任状进行认证和解码行认证和解码,从而从而得到得到 Bob的公开密的公开密钥钥单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式9.3 9.3 网络安全技术网络安全技术一、防火墙一、防火墙Firewalll网络防火墙用来加强网网络防火墙用来加强网络之间访问控制。络之间访问控制。l防止外部网络用户以非防止外部网络用户以非法手段通过外部网络进法手段通过外部网络进入内部网络,访问内部入内部网络,访问内部网络资源。网络资源。图9.5 防火墙逻辑位置示意图单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式l防火墙是位于两个防火墙是位于两个(或多个或多个)网络间,实施网络之网络间,实施网络之间访问控制的一组组件集合。它具有以下三个方间访问控制的一组组件集合。它具有以下三个方面的基本特性:面的基本特性:内、外网间的所有数据流都须经过防火墙内、外网间的所有数据流都须经过防火墙;只有符合安全策略的数据流才能通只有符合安全策略的数据流才能通过防火防火墙;防火防火墙自身自身应具有具有强的抗攻的抗攻击免疫力。免疫力。1 1、防火墙基本特征、防火墙基本特征 单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式2 2、防火墙的功能、防火墙的功能l具体来具体来说,防火,防火墙主要有以下功能:主要有以下功能:创建一个阻塞点建一个阻塞点 隔离不同网隔离不同网络,防止内部信息的外泄,防止内部信息的外泄强化安全策略化安全策略 有效地有效地审计和和记录内、外部网内、外部网络上的活上的活动 单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式3 3、防火墙的基本类型、防火墙的基本类型l防火墙的基本类型:防火墙的基本类型:包过滤型包过滤型网络地址转换(网络地址转换(NAT)代理型代理型监测型监测型单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式包过滤包过滤包过滤包过滤 Packet filteringPacket filteringl包过滤又称包过滤又称“报文过滤报文过滤”,它是防火墙最基,它是防火墙最基本的过滤技术。本的过滤技术。l防火墙根据数据包头所含的源、目的防火墙根据数据包头所含的源、目的IP地址、地址、协议类型协议类型(TCP包、包、UDP包、包、ICMP包包)、源、源、目的端口等信息,确定该数据包是否允许目的端口等信息,确定该数据包是否允许通过。通过。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式代理型防火代理型防火墙墙l代理型防火墙也可以被称为代理型防火墙也可以被称为代理服务器代理服务器,它的安全性要高于包过滤型产品。它的安全性要高于包过滤型产品。l代理服务器位于客户机与服务器之间,客代理服务器位于客户机与服务器之间,客户首先将数据请求发给代理服务器,由代户首先将数据请求发给代理服务器,由代理服务器向服务器索取数据,然后再将数理服务器向服务器索取数据,然后再将数据传输给客户机。据传输给客户机。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式二、网络入侵与安全检测二、网络入侵与安全检测l入侵检测入侵检测IDS的定义:的定义:对主机或网络系统的运行状态进行监视,发对主机或网络系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性以保证系统资源的机密性、完整性和可用性的计算机安全技术。的计算机安全技术。l入侵检测可以分为信息收集和数据分析入侵检测可以分为信息收集和数据分析两个部分。两个部分。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式入侵检测分类入侵检测分类l根据采用的技术来分:根据采用的技术来分:异常检测(异常检测(Anomaly detection)特征检测(特征检测(Signature-based detection)l按检测的对象来分:按检测的对象来分:基于主机的入侵检测系统基于主机的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统基于网关的入侵检测系统基于网关的入侵检测系统 单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式异常检测异常检测l前提:入侵是异常活动的子集前提:入侵是异常活动的子集 l用户轮廓用户轮廓(Profile):通常定义为各种行为参数通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围及其阀值的集合,用于描述正常行为范围l过程:过程:监控监控 量化量化比较比较判定判定 修正修正l特点特点:漏报率低,误报率高漏报率低,误报率高单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式三、虚拟专用网三、虚拟专用网VPNVPNlVPN网络的任意两个结点之间的连接并没有网络的任意两个结点之间的连接并没有传统专网所需的端到端的物理链路。传统专网所需的端到端的物理链路。lVPN是架构在公用网络服务商所提供的网络是架构在公用网络服务商所提供的网络平台,如平台,如Internet、ATM或帧中继之上的或帧中继之上的逻逻辑网络辑网络。单击此处编辑母版标题样式单击此处编辑母版标题样式
