计算机网络自顶向下方法(第四版)ppt第8章.ppt

《计算机网络自顶向下方法(第四版)ppt第8章.ppt》由会员分享，可在线阅读，更多相关《计算机网络自顶向下方法(第四版)ppt第8章.ppt（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第8章 网络安全Network Security计算机网络：自顶向下方法(原书第三版)陈鸣译，机械工业出版社，2005年Computer Networking:A Top Down Approach Featuring the Internet,3rd edition.Jim Kurose,Keith RossAddison-Wesley,July 2004.1网络安全第8章 网络安全本章目的:r理解网络安全的原则:m密码学及其超越“机密性”的多种应用m鉴别m报文完整性m密钥分发r实践中的安全:m防火墙m在应用层、运输层、网络层和链路层中的安全性2网络安全第8章 要点8.1 什么是网络安全?8

2、.2 密码学的原则8.3 鉴别8.4 完整性8.5 密钥分发和证书8.6 访问控制:防火墙8.7 攻击和防范措施8.8 在多层次中的安全性3网络安全什么是网络安全?机密性:仅发送方，希望的接收方应当“理解”报文内容m发送方加密报文m接收方解密报文鉴别:发送方、接收方要证实彼此的身份报文完整性:发送方、接收方要确保报文(在传输或以后)不在不知不觉中被篡改访问和可用性:服务必须可访问和为用户可用4网络安全朋友和敌人:Alice,Bob,Trudyr网络安全世界中众所周知rBob,Alice(情人!)要“安全地”通信 rTrudy(入侵者)可能截取、删除、增加报文安全发送方安全接收方信道数据，控制报

3、文数据数据AliceBobTrudy5网络安全谁是Bob和Alice?r 当然,现实生活中的 Bobs和Alices!r用于电子事务的Web浏览器/服务器(如在线购买)r在线银行客户机/服务器rDNS服务器r交换选路表更新的路由器r其他例子？6网络安全那边有许多坏家伙!问题：“坏家伙”能干什么?A:许多事!m窃听:截取报文m在连接中主动地插入报文m假冒:能伪造(哄骗)分组中的源地址(或分组中的任何字段)m劫持:通过除掉发送方或接收方，将其自己插入其中，“接管”正在进行的连接m拒绝服务:防止服务由其他人所用(如通过过载资源)后面还有其他情况 7网络安全第8章 要点8.1 什么是网络安全?8.2

4、密码学的原则8.3 鉴别8.4 完整性8.5 密钥分发和证书8.6 访问控制:防火墙8.7 攻击和防范措施8.8 在多层次中的安全性8网络安全密码学的语言对称密钥密码:发送方，接收方密钥相同公钥密码:解密密钥公开，加密密钥秘密(专用)明文明文密文KA加密算法解密算法Alice的加密密钥Bob的解密密钥KB9网络安全对称密钥密码学代替密码:用一个东西代替另一个m单码代替密码:用一个字母代替另一个明文明文:abcdefghijklmnopqrstuvwxyz密文密文:mnbvcxzasdfghjklpoiuytrewq明文明文:bob.i love you.alice 密文密文:nkn.s gkt

5、c wky.mgsbc例如：问题:破译这种简单的密文有多难?q 强力(多难?)q 其他?10网络安全对称密钥密码学对称密钥密码:Bob和Alice共享已知的相同(对称)密钥:Kr如，在单码代替密码中密钥是已知的代替模式r问题:Bob和Alice怎样对密钥值取得一致?明文密文KA-B加密算法加密算法A-BKA-B明文message,mK (m)A-BK (m)A-Bm=K ()A-B11网络安全对称密钥crypto:DESDES:数据加密标准r美国加密标准 NIST 1993r56-bit 对称密钥,64-bit 明文输入rDES有多安全?mDES Challenge:56比特加密的短语加密的短

6、语(“Strong cryptography makes the world a safer place”)在4个月内被破译(强力)m无已知的“后门”解密方法r使得DES 更安全:m对每个数据集顺序地使用三次密钥(3-DES)m使用密码分组链接技术12网络安全对称密钥密码:DES初始置换 16轮相同的功能应用，每个使用不同的48比特的密钥最后的置换DES操作13网络安全AES:先进的加密标准r新的(Nov.2001)对称密钥NIST标准,代替DESr以128比特块处理数据r128,192,或256比特密钥r对DES强力解密用1秒，对AES则需要用 149 万亿年14网络安全公钥密码学对称密钥密

7、码r需要发送方、接收方知道共享的秘密密钥r问题:首次如何就密钥取得一致(特别是如果从没有“谋面”)？公钥密码学r根本不同的方法 Diffie-Hellman76,RSA78r发送方，接收方不共享秘密密钥r公共加密密钥为所有人所知 r秘密解密密钥仅为接收方所知15网络安全公钥密码学明文报文,m密文加密算法解密算法Bob的公钥明文报文K (m)B+K B+Bob的私钥K B-m=K (K (m)B+B-16网络安全公钥加密算法需要 K ()和 K ()使得BB.给定公钥K ,不应当能够计算出私钥 K BB要求:12RSA:Rivest,Shamir,Adelson algorithm+-K (K

8、(m)=m BB-+-17网络安全RSA:选择密钥1.选择两个大的素数 p,q.(如 每个1024比特)2.计算 n=pq,z=(p-1)(q-1)3.选择e(使 e IVs最终重用rIV以明文重传 IV 检测到重用r攻击攻击:mTrudy引起Alice加密已知明文 d1 d2 d3 d4 mTrudy看到:ci=di XOR kiIVmTrudy知道ci di,因此能计算 kiIVmTrudy知道加密密钥序列k1IV k2IV k3IV m下次使用IV时,Trudy能够解密!12,000 帧86网络安全 802.11i:改善安全性r可能有无数的加密形式(更强的)r提供密钥分发r使用鉴别服务器

9、与接入点分离87网络安全AP:接入点AS:鉴别 服务器有线的网络STA:客户机站点1 安全能力的发现3STA和AS相互鉴别，一同生成主密钥(MK).AP充当“通过“23STA导出成对主密钥(PMK)AS导出相同的PMK发送给AP 4 STA、AP使用PMK导出用于报文加密、完整性的临时密钥（TK）802.11i:4阶段操作88网络安全有线的网络EAP TLSEAP EAP over LAN(EAPoL)IEEE 802.11 RADIUSUDP/IPEAP:扩展的鉴别协议rEAP:端到端客户机(移动用户)到鉴别服务器协议rEAP经单独的”链路“发送m移动用户到AP(EAP over LAN)mAP到鉴别服务器(RADIUS over UDP)89网络安全网络安全(小结)基本技术.m密码学(对称和公共)m鉴别m报文完整性m密钥分发.用于不同的安全场合m安全电子邮件m安全传输(SSL)mIPSecm802.1190网络安全