网络管理与网络安全.ppt

《网络管理与网络安全.ppt》由会员分享，可在线阅读，更多相关《网络管理与网络安全.ppt（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络管理与网络安全网络管理与网络安全网络管理所支持的五大功能网络管理所支持的五大功能 o 差错差错(故障故障)管理：包括差错检测、差错定位以及改正差管理：包括差错检测、差错定位以及改正差错等。错等。o 配置管理：管理网络设备的各种软硬件配置，配置管理：管理网络设备的各种软硬件配置，这是网络管这是网络管理最重要的功能。理最重要的功能。只有这样，用户才能准确地定位网络中只有这样，用户才能准确地定位网络中出现的各种问题，才能通过修改网络设备配置解决问题。出现的各种问题，才能通过修改网络设备配置解决问题。o 计费：记录用户的数据流量、上网时间以及服务类型等信计费：记录用户的数据流量、上网时间以及服务类

2、型等信息。息。o 性能管理：包括网络性能和系统性能，例如如何提高路由性能管理：包括网络性能和系统性能，例如如何提高路由器的数据吞吐率，如何调整向各通讯协议提供的带宽。器的数据吞吐率，如何调整向各通讯协议提供的带宽。o 安全管理：保护网络设备的各种软硬件资源，防止非法入安全管理：保护网络设备的各种软硬件资源，防止非法入侵；例如管理用户登录到路由器时进行的各种操作。侵；例如管理用户登录到路由器时进行的各种操作。网络管理模型网络管理模型o NMS运行管理软件的客户端运行管理软件的客户端(manager)，被管，被管理的网络设备运行软件的服务器端理的网络设备运行软件的服务器端(agent)o管理者管理

3、者-代理模型代理模型网络管理协议网络管理协议-SNMPo SNMP(简单网络管理协议简单网络管理协议 )同它定义的管理同它定义的管理信息库信息库(Management Information Base)一道提供了一种系统地监控和管理一道提供了一种系统地监控和管理计算机网络的方法。计算机网络的方法。它是因特网的主要管理它是因特网的主要管理模型，模型，SNMP已经成为网络管理技术的事已经成为网络管理技术的事实标准。实标准。它管理局域网和广域网中的各种网它管理局域网和广域网中的各种网络设备，包括路由器、工作站和络设备，包括路由器、工作站和PC。o 协议详解见协议详解见p201网络管理协议网络管理协议

4、-CMIPo CMIP(通用管理信息协议通用管理信息协议) CMIP/CMIS 是作为是作为 TCP/IP 协议组中简单网络管理协议协议组中简单网络管理协议SNMP的一的一种竞争协议提出的。种竞争协议提出的。o CMIP是一个相当复杂和详细的网络管理协议。是一个相当复杂和详细的网络管理协议。 o 它是一个大而全的协议，使用时其资源占用量是它是一个大而全的协议，使用时其资源占用量是SNMP的数十倍。对硬件设备的要求比人们所能的数十倍。对硬件设备的要求比人们所能提供的要高得多。所以大大增加了网络代理的负担。提供的要高得多。所以大大增加了网络代理的负担。它的它的MIB库过分复杂库过分复杂,难于实现。

5、难于实现。o 迄今为止迄今为止,还没有任何一个符合还没有任何一个符合CMIP的网络管理的网络管理系统。系统。 网络安全的五个基本目标网络安全的五个基本目标 o 可用性：确保网络节点在受到各种网络攻击时仍然可用性：确保网络节点在受到各种网络攻击时仍然能够提供相应的服务。能够提供相应的服务。o 保密性：保密性保证相关信息不泄露给未授权的用保密性：保密性保证相关信息不泄露给未授权的用户或实体。户或实体。o 完整性：完整性保证信息在传输的过程中没有被非完整性：完整性保证信息在传输的过程中没有被非法用户增加、删除与修改，保证非法用户无法伪造法用户增加、删除与修改，保证非法用户无法伪造数据。数据。o 真实

6、性：真实性保证和一个网络节点通信的对端就真实性：真实性保证和一个网络节点通信的对端就是真正的通信对端，也就是说要鉴别通信对端的身是真正的通信对端，也就是说要鉴别通信对端的身份。份。o 不可否认性：不可否认性保证一个节点不能否认其不可否认性：不可否认性保证一个节点不能否认其发送出去的信息。这样就能保证一个网络节点不能发送出去的信息。这样就能保证一个网络节点不能抵赖它以前的行为。抵赖它以前的行为。本章结构本章结构加密加密认证认证信息安全信息安全对称加密对称加密非对称加密（公钥加密）非对称加密（公钥加密）HASH算法算法消息认证消息认证数字签名数字签名身份认证身份认证密码技术密码通信系统的模型密码通

7、信系统的模型变换前的数据称为明文，变换后的数据称为密文。数据经加密模块加密后变成密文在网络中传输，由接收端的解密模块进行解密，还原成明文。 o 常见的加密算法可以分成三类，对称加密算常见的加密算法可以分成三类，对称加密算法，非对称加密算法和法，非对称加密算法和Hash算法。算法。 对称密钥密码体制对称密钥密码体制o通信双方在加解密过程中使用完全相同的密钥通信双方在加解密过程中使用完全相同的密钥,而且通信双方都而且通信双方都必须获得密钥必须获得密钥 o使用最广泛的是使用最广泛的是 DES(Data Encryption Standard)密码密码算法算法 对称加密系统的算法实现速度极快对称加密系

8、统的算法实现速度极快,从从 AES候选算法的测试结候选算法的测试结果看果看,软件实现的速度都达到了每秒数十兆比特软件实现的速度都达到了每秒数十兆比特 由于对称密钥由于对称密钥密码系统具有加解密速度快和安全强度高的优点密码系统具有加解密速度快和安全强度高的优点,目前被越来越目前被越来越多地应用在军事多地应用在军事 外交以及商业等领域外交以及商业等领域 o对称密码算法有对称密码算法有:DES TDEA(3DES) RC5和和 AES等等o 美国的美国的Diffie和和Hallman提出，提出，用户可以用户可以把用于加密的密钥公开地分发给任何人。把用于加密的密钥公开地分发给任何人。o 极大地简化了密

9、钥管理。极大地简化了密钥管理。o 公开密钥加密不仅改进了传统加密方法，还公开密钥加密不仅改进了传统加密方法，还提供了传统加密方法不具备的应用，这就是提供了传统加密方法不具备的应用，这就是数字签名系统。数字签名系统。o 常见的非对称加密算法有：常见的非对称加密算法有：RSA、Diffie-Hellman、El Gamal、DSA（数字签名（数字签名用）。用）。 非对称密钥密码体制非对称密钥密码体制(公钥密码公钥密码)RSA公开密钥密码算法公开密钥密码算法o RSA算法的原理算法的原理o 这种算法的要点在于，它可以产生一对密钥，一个这种算法的要点在于，它可以产生一对密钥，一个人可以用密钥对中的一个

10、加密消息，另一个人则可人可以用密钥对中的一个加密消息，另一个人则可以用密钥对中的另一个解密消息。同时，任何人都以用密钥对中的另一个解密消息。同时，任何人都无法通过公钥确定私钥，也没有人能使用加密消息无法通过公钥确定私钥，也没有人能使用加密消息的密钥解密。只有密钥对中的另一把可以解密消息。的密钥解密。只有密钥对中的另一把可以解密消息。o RSA适用于对较少信息的加密，常用于数字签名适用于对较少信息的加密，常用于数字签名.o 设张小姐需要发送机密信息（明文）m=85给李先生，她已经从公开媒体得到了李先生的公开密钥（n，e）=（143，7），于是她算出加密值：o c= me mod n=857 mo

11、d 143=123并发送给李先生。o 李先生在收到密文c=123后，利用只有他自己知道的秘密密钥计算：m= cd mod n =123103 mod 143=85，所以，李先生可以得到张小姐发给他的真正的信息m=85，实现了解密。例例Hash算法算法 o Hash算法特别的地方在于它是一种单向算法，算法特别的地方在于它是一种单向算法，用户可以通过用户可以通过Hash算法对目标信息生成一段算法对目标信息生成一段特定长度的唯一的特定长度的唯一的Hash值，却不能通过这个值，却不能通过这个Hash值重新获得目标信息。因此值重新获得目标信息。因此Hash算法算法常用在不可还原的密码存储、信息完整性校常

12、用在不可还原的密码存储、信息完整性校验等。验等。 o 常见的常见的Hash算法有算法有MD2、MD4、MD5、HAVAL、SHA。 o 用公开密钥密码技术在通信双方之间传送秘密密钥，而用秘密密钥来对实际传输的数据加密解密。 混合加密体制混合加密体制o 软件加密一般是用户在发送信息前，先调用软件加密一般是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送出信息安全模块对信息进行加密，然后发送出去，到达接收方后，由用户用相应的解密软去，到达接收方后，由用户用相应的解密软件进行解密，还原成明文。件进行解密，还原成明文。o 硬件加密可以采用标准的网络管理协议（比硬件加密可以采用标准的网络管理

13、协议（比如如SNMP、CMIP等）来进行管理，也可以等）来进行管理，也可以采用统一的自定义网络管理协议进行管理。采用统一的自定义网络管理协议进行管理。 返回本节返回本节数据加密的实现方式数据加密的实现方式密钥的管理密钥的管理n KDC(Key Distribution Center)负责通信时对称密钥的分发。例：p216n CA(Certification Authority)负责对公钥的验证。认证技术认证技术-消息认证消息认证o 认证技术是计算机网络安全中的一个重要内认证技术是计算机网络安全中的一个重要内容。容。o 消息认证消息认证:用于保证信息的完整性和抗否认用于保证信息的完整性和抗否认性

14、；在很多情况下，用户要确认网上信息是性；在很多情况下，用户要确认网上信息是不是假的，信息是否被第三方修改或伪造，不是假的，信息是否被第三方修改或伪造，这就需要消息认证。这就需要消息认证。 认证技术认证技术数字签名数字签名o 数字签名的实现：数字签名的实现：p221o 目前，主要是使用公钥体制的数字签名目前，主要是使用公钥体制的数字签名。o 数字签名的实现数字签名的实现:认证技术认证技术-消息认证消息认证o 身份认证身份认证:用于鉴别用户身份。用于鉴别用户身份。o （1）识别：明确并区分访问者的身份；（）识别：明确并区分访问者的身份；（2）验）验证：对访问者声称的身份进行确认证：对访问者声称的身份进行确认o 基于秘密信息的身份认证方法基于秘密信息的身份认证方法 ：n口令核对口令核对 n单向认证单向认证n双向认证双向认证 n身份的零知识证明身份的零知识证明 o 基于物理安全（基于用户特有的某些生物学信息或基于物理安全（基于用户特有的某些生物学信息或用户持有的硬件。）的身份认证方法用户持有的硬件。）的身份认证方法 ：n指纹识别指纹识别、声音识别声音识别、虹膜识别虹膜识别等技术。n智能卡（持卡认证）智能卡（持卡认证） 工行口令卡有效使用次数1000次