三级网络技术课件7章ppt课件.ppt
《三级网络技术课件7章ppt课件.ppt》由会员分享,可在线阅读,更多相关《三级网络技术课件7章ppt课件.ppt(87页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、Page 1三级网络技术课件7章ppt课件 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望7.1 网络管理Page 37.1.1 网络管理的基本概念 n1网络管理的定义n网络管理是指对网络运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。n任务就是通过监测可以了解网络状态是否正常,是否存在瓶颈和潜在危机;通过控制可以对网络状态进行合理调节,从而提高效率,保证服务。Page 47.1.1 网络管理的基本概念(续)n2网络管理对象n硬件资源n包括物理介
2、质(如网卡、双绞线)、计算机设备(如打印机、存储设备等)和网络互联设备(如网桥、路由器等)n软件资源n主要包括操作系统、应用软件和通信软件等。n3网络管理的目标n满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。Page 57.1.2 网络管理的功能n包括5大功能域:n配置管理n故障管理n性能管理n计费管理n安全管理 Page 61配置管理n功能:用于辨别、定义、控制和监视通信网络对象 n负责网络的建设、业务的展开及配置数据的维护 n目的:实现某个特定功能或是使网络性能达到最优 n包括资源清单管理、资源开通以及业务开通Page 72故障管理n任务是发现和排除故障n主
3、要功能包括n维护并监测错误日志n接收错误监测报告并作出响应n跟踪辨认错误n执行诊断测试和纠正错误n内容包括n障碍管理n故障恢复n预防保障Page 83性能管理n包括性能监测、性能分析以及性能管理控制等功能n目的是维护网络服务质量和网络运行效率。n性能管理的一些典型功能包括:n收集统计信息n维护并检查系统状态日志n确定自然和人工状态下系统的性能n改变系统的操作模式Page 94计费管理n主要目的:n记录网络资源的使用,控制和监测网络操作的费用和代价。n主要作用:n能够测量和报告基于个人或团体用户的计费信息,分配资源并计算传输数据的费用,然后给用户开出账单n主要功能n计算网络建设及运营成本n统计网
4、络及其所包含的资源利用率n联机收集计费数据n计算用户应支付的网络服务费用和帐单管理 Page 105安全管理n目标:n提供信息的隐隐蔽、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏n主要内容:n对授权机制、访问控制、加密和解密关键字的管理 n主要功能:n风险分析功能n安全服务功能n告警功能n日志功能和报告功能n网络管理系统保护功能Page 117.1.3 网络管理模型 n网络管理的基本模型n网络管理者:运行在计算机操作系统之上的一组应用程序,负责从各代理处收集管理信息,进行处理,获取有价值的管理信息,达到管理的目的。n代理:位于被管理的设备内部,是被管对象上的管理程序。n管
5、理者和代理之间的信息交换方式:n从管理者到代理的管理操作n从代理到管理者的事件通知Page 12网络管理模式 n集中式管理n是所有的网管代理在管理站的监视和控制下协同工作而实现集成的网络管理。n在该模式中,至少有一个结点担当管理站的角色,其他结点在网管代理模块的控制下与管理站通信。n分布式管理两种模式n将数据采集、监视以及管理分散开来,它可以从网络上的所有数据源采集数据而不必考虑网络拓扑结构。Page 137.1.4 网络管理协议 n网络管理协议的发展n国际标准化组织ISO:CMIS和CMIPnInternet工程任务组IETF:SNMP协议(简单网络管理协议),也称SNMP V1。n近年来S
6、NMP已经超越了传统的TCP/IP环境,成为网络管理方面事实上的标准。n在1992年IETF开始了SNMP V2的开发工作,提高了协议的安全性。n1997年,IETF成立了SNMP V3工作组,其重点是安全、可管理的体系结构和远程配置。Page 14SNMP协议(续)nSNMP是最常用的计算机网络管理协议,可用于管理目前市场上大多数的组网设备。SNMP位于ISO OSI参考模型的应用层,它遵循ISO的管理者-代理网络管理模型。nSNMP的体系结构主要由SNMP管理者、SNMP代理者两个部分组成。每一个支持SNMP的网络设备中都包含一个代理,代理随时记录网络设备的各种信息;网络管理程序再通过SN
7、MP通信协议收集代理所记录的信息。从被管理设备中收集数据有轮询和基于中断两种方法。Page 15SNMP协议(续)n轮询方法的基本过程是:代理软件不断收集统计数据,并把这些数据记录到一个管理信息库(MIB)中;网络管理员通过向代理的MIB发出查询信号可以得到这些信息。这种方法的缺点在于信息的实时性,尤其是处理错误的实时性,管理员必须不断地轮询SNMP代理,以全面地查看一天的通信流量和变化率。n当有异常事件发生时,相对于轮询方法,基于中断的方法可以立即通知管理工作站,实时性很强。这种方式的缺点是自陷必须转发大量信息,要消耗管理设备更多资源和时间。n将以上两种方法结合的陷入制导轮询法可能是执行网络
8、管理的最有效的方法。Page 16CMIP协议n采用了报告机制 n具有即时性的特点 n所有功能要通过应用层的相关协议来实现n建立了安全管理机制n提供授权、访问机制、安全日志等功能nCMIP协议比较复杂,实施起来花费较高 7.2 信息安全技术概述 Page 187.2.1 信息安全的概念n指信息网络的硬件、软件以及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,信息服务不中断 n要实现的目标。n真实性n保密性n完整性n可用性n不可抵赖性n可控制性n可审查性Page 197.2.2 信息安全策略 n信息安全策略是指为保证提供一定级别的安全保护所必
9、须遵守的规则。n信息安全的实现要靠先进的技术、严格的安全管理、法律约束与安全教育。Page 207.2.3 信息技术的安全性等级n网络安全性标准(DoD5200.28_STD),即可信任计算机标准评估准则。该标准将网络安全性等级划分为A、B、C、D共四类,其中A类安全等级最高,D类安全等级最低。这4类安全等级还可以细化为7个级别,这些级别的安全性从低到高的顺序是D1、C1、C2、B1、B2、B3和A1。Page 217.2.3 信息技术的安全性等级(续)n在我国,以计算机信息系统安全保护等级划分原则(GB17859-1999)为指导,将信息和信息系统的安全保护分为5个等级。n自主保护级n指导保
10、护级n监督保护级n强制保护级n专控保护级7.3 网络安全问题与安全策略 Page 237.3.1 网络安全的基本概念 n保护网络程序、数据或设备,使其免受非授权使用或访问n保护内容包括:保护信息和资源、保护客户机和用户、保证私有性。n目标是确保网络系统的信息安全,主要包括信息的存储安全和信息的传输安全 n信息的存储安全一般通过设置访问权限、身份识别、局部隔离等措施来保证。n信息的传输安全主要是指信息在动态传输过程中的安全,主要涉及到对网络上信息的监听、对用户身份的假冒、对网上信息的篡改、对信息进行重放等问题。n网络安全措施n社会的法律政策、企业的规章制度以及网络安全教育。n技术方面的措施。n审
11、计与管理措施。Page 247.3.2 OSI安全框架 nOSI安全框架是由国际电信联盟推荐的X.800方案,它主要关注3部分:n安全攻击n在X.800中将安全攻击分为被动攻击和主动攻击两类 n从网络高层的角度划分,攻击方法可以分为服务攻击和非服务攻击两大类。n安全机制nX.800将安全机制分为特定安全机制和普遍的安全机制两大类。n安全服务nX.800将安全服务定义为通信开放系统协议层提供的服务,从而保证系统或数据传输有足够的安全性。Page 25被动攻击和主动攻击n被动攻击n对信息的保密性进行攻击,即通过窃听网络上传输的信息并加以分析从而获得有价值的情报,但它并不修改信息的内容n目标是获得正
12、在传送的信息,其特点是偷听或监视信息的传递n被动攻击主要手段:n信息内容泄露:信息在通信过程中因被监视窃听而泄露,或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露。n通信量分析:通过确定通信位置和通信主机的身份,观察交换消息的频度和长度,并利用这些信息来猜测正在进行的通信特性。Page 26被动攻击和主动攻击n主动攻击n攻击信息来源的真实性、信息传输的完整性和系统服务的可用性n有意对信息进行修改、插入和删除n主动攻击主要手段:n假冒:一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。n重放:涉及被动捕获数据单元及其后来的重新传送,以产生未经授权的效果。n修改消息:改
13、变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。n拒绝服务:禁止通信实体的正常使用或管理。Page 27服务攻击和非服务攻击n服务攻击n针对某种特定网络服务的攻击n例如:针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击n原因:TCP/IP协议缺乏认证、保密措施。n非服务攻击n不针对某项具体应用服务,而是基于网络层等低层协议而进行n原因:TCP/IP协议(尤其是IPv4)自身的安全机制不足Page 287.3.3 网络安全模型 网络安全模型1网络安全模型27.4 加密技术Page 307.4.1 密码学基本术语 n明文:原始的消息。n密文:加密后的消息。n加
14、密:从明文到密文的变换过程。n解密:从密文到明文的变换过程。n密码编辑学:研究各种加密方案的学科。n密码分析学:研究破译密码获得消息的学科。n密码学:密码编码学和密码分析学统称为密码学。Page 31密码编码学 n密码编码学系统具有以下3个独立特征n转换明文为密文的运算类型n所有的加密算法都基于代换和置换两个原理。n所用的密钥数n如果发送法和接收方使用相同的密钥,这种密码就称为对称密码、单密钥密码或传统密码;如果收发双方使用不同的密钥,这种密码就称为非对称密码、双钥密码或公钥密码。n处理明文的方法n加密算法可以分为分组密码和流密码。分组密码每次处理一个输入分组,相应地输出一个输出分组;而流密码
15、则是连续地处理输入元素,每次输出一个元素。Page 32密码分析学 n密码分析学n依赖于算法的性质和明文的一般特征或某些明密文对 n穷举攻击 n需要对一条密文尝试所有可能的密钥,直到把它转化为可读的有意义的明文。n基于密码分析者知道的信息类型,密码攻击的类型主要有:惟密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、和选择文本攻击。Page 33加密算法的安全性n若一个加密算法能满足以下两个条件之一就认为该算法是在计算上是安全的:n一是破译的代价超出加密信息本身的价值n二是破译的时间超出了信息的有效期Page 34代换与置换技术n代换法是将明文字母替换成其他字符、数字或符号的方法。典型的算法
16、包括Caesar密码、单表代换密码、playfair密码、Hill密码、多表代换密码以及一次一密等。n置换密码的加密方法是通过置换而形成新的排列。如栅栏技术,按照对角线的顺序写入明文,而按行的顺序读出作为密文。Page 357.4.2 对称加密技术 n对称加密的模型n对称加密模型由5个组成部分:明文、加密算法、密钥、密文和解密算法。Page 36数据加密标准n数据加密标准DESnDES数据加密标准nDES是一种分组密码n在加密前,先对整个明文进行分组。每一个组长为64位。然后对每个64位二进制数据进行加密处理,产生一组64位密文数据n使用的密钥为64位,实际密钥长度为56位,有8位用于奇偶校验
17、。Page 37nDES加密的过程为:n64位的明文经过初始置换而被重新排列。n进行16轮的相同函数的作用,每轮的作用中都有置换和代换,最后一轮迭代的输出有64位,将其左半部分和右半部分互换产生预输出,n预输出再被与初始置换互逆的逆初始置换作用产生64位的密文。Page 38其他常用的对称加密算法 n目前经常使用的对称加密算法还有:三重DES、高级加密标准(AES)、Blowfish算法和RC5算法。n 三重DES:使用多个密钥对DES进行三次加密,克服了DES不能抵御穷举攻击的弱点,但该算法用软件实现起来速度比较慢。n高级加密标准(AES):2001年NIST将Rijndael作为AES算法
18、,它的密钥长度为128、192或256位,分组长度为128位。AES性能不低于3DES,同时具有良好的执行性能。Page 39 nBlowfish算法n该算法由Bruce Schneier设计的,是一个可变密钥长度的分组密码算法,分组长度为64位。算法由密钥扩展和数据加密两部分组成,密钥扩展把长度可达448位的密钥转变成总共4168字节的几个子密钥;数据加密由一个简单函数迭代16轮,每一轮由密钥相关的置换、密钥相关和数据相关的代换组成。nRC5nRC5的分组长度和密钥长度都是可变的n可以在速度和安全性之间进行折中Page 407.4.3 公钥加密 n公钥密码体制n公钥算法依赖于一个加密密钥和一
19、个与之相关的解密密钥。n公钥加密体制有6个组成部分:明文、加密算法、公钥、私钥、密文和解密算法。Page 417.4.3 公钥加密(续)n公钥加密的步骤如下:n每个用户都生成一对加密和解密时使用的密钥。n每个用户都把他的公钥放在一个公共地方,私钥自己妥善保管。n发送用户要向接收用户发送机密消息,就用接收用户的公钥加密消息。n当接收用户收到消息时,可以用自己的私钥进行解密。Page 42公钥密码体制的应用 n公钥密码体制的应用可分为以下3种:n加密/解密。n数字签名。发送方利用其私钥对消息“签名”。n密钥交换Page 43RSA算法 nRSA算法是1978年由Rivest、Shamir和Adle
20、man三个人提出的,被认为是迄今为止理论上最为成熟完善的一种公钥密码体制。n该体制的构造基于Euler定理,它利用了如下的基本事实:寻找大素数是相对容易的,而分解两个大素数的积在计算上是不可行的。nRSA算法的安全性建立在难以对大数提取因子的基础上。与DES相比,缺点是加密、解密的速度太慢。Page 44nRSA是一种分组密码,其明文和密文均是0至n-1之间的整数(n的大小为1024位二进制数或309位十进制数)。明文以分组为单位进行加密,每个分组的二进制值均小于n。n密钥的选取过程如下:n选取两个大质数p和q。n计算n=pq,z=(p-t)(q-1)。n选择小于n的整数e,并且和z没有公约数
21、。n找到数d,满足ed-1被z整除。n公钥是数对(n,e),私钥是数对(n,d)。Page 45其他的公钥加密算法 nElgamal公钥体制n基于离散对数的公钥密码体制n密文不仅信赖于待加密的明文,而且信赖于用户选择的随机参数,即使加密相同的明文,得到的密文也是不同的。n加密算法的非确定性n背包公钥体制n基本原理:背包问题Page 467.4.4 密钥管理 n密钥的分发 n密钥分发中心(KDC)是一个独立的可信网络实体,是一个服务器,它同每个注册用户共享不同的秘密对称密钥。KDC知道每个用户的秘密密钥,每个用户可以通过这个秘密密钥同KDC进行安全通信 Page 47密钥的验证 n认证中心(CA
22、)用于验证一个公共密钥是否属于一个特殊实体(一个个人或者网络实体)。一旦一个公共密钥被认证了,那么它就可以从任何地方发出,包括一个公共密钥服务器、一个个人网页或者一张磁盘。nCA的主要作用有两个方面。一是验证实体的身份;二是产生一个证书,将这个公共密钥和身份进行绑定,这个证书由CA进行数字签名。证书中包括公共密钥和关于公共密钥所有者的全球唯一的标识信息。7.5 认证技术Page 497.5.1 消息认证 n1消息认证的概念n消息认证就是使意定的接收者能够检验收到的消息是否真实的方法,又称为完整性校验,它在银行业称为消息认证,在OSI安全模型中称为封装。n消息认证的内容应包括:证实消息的信源和信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 三级 网络技术 课件 ppt
限制150内