计算机网络课件：第9章 计算机网络的安全

《计算机网络课件：第9章 计算机网络的安全》由会员分享，可在线阅读，更多相关《计算机网络课件：第9章 计算机网络的安全（53页珍藏版）》请在装配图网上搜索。

1、2023-2-21第9章 计算机网络的安全1第第9章章 计算机网络的安全计算机网络的安全9-1 计算机网络安全威胁计算机网络安全威胁9-2 计算机网络安全体系计算机网络安全体系9-3 数据加密技术数据加密技术9-4 数据加密技术应用数据加密技术应用9-5 网络防火墙网络防火墙9-6 入侵检测入侵检测2023-2-21第9章 计算机网络的安全29-1 计算机网络安全威胁计算机网络安全威胁9-1-1 计算机网络面临的安全性威胁计算机网络面临的安全性威胁9-1-2 计算机网络面临的安全攻击计算机网络面临的安全攻击2023-2-21第9章 计算机网络的安全39-1-1 计算机网络面临的安全性威胁计算机

2、网络面临的安全性威胁1.计算机网络安全问题事例计算机网络安全问题事例2015年中国互联网网络安全报告国家计算机网络应急技术处理协调中心（）2023-2-21第9章 计算机网络的安全49-1-1 计算机网络面临的安全性威胁计算机网络面临的安全性威胁2.安全性威胁的种类安全性威胁的种类（1）非法篡改程序）非法篡改程序（2）伪装）伪装（3）拒绝服务）拒绝服务（4）无效的信息流）无效的信息流（5）篡改或破坏数据）篡改或破坏数据（6）非法连接）非法连接（7）非授权访问）非授权访问（8）抵赖）抵赖（9）信息泄露）信息泄露（10）推断或演绎信息）推断或演绎信息（11）通信量分析）通信量分析2023-2-21

3、59-1-2 计算机网络面临的安全攻击计算机网络面临的安全攻击1安全攻击的形式安全攻击的形式源源目的目的中断中断截取截取修改修改捏造捏造被动攻击被动攻击主动攻击主动攻击第9章 计算机网络的安全2023-2-21第9章 计算机网络的安全69-1-2 计算机网络面临的安全攻击计算机网络面临的安全攻击2安全攻击的分类安全攻击的分类被动攻击被动攻击a)特点：不改变数据特点：不改变数据b)形式：截获形式：截获c)处理：预防处理：预防主动攻击主动攻击a)特点：对数据的修改或创建特点：对数据的修改或创建b)形式：中断、修改、捏造和恶意程序攻击形式：中断、修改、捏造和恶意程序攻击c)处理：检测处理：检测202

4、3-2-21第9章 计算机网络的安全79-2 计算机网络安全体系计算机网络安全体系9-2-1 安全服务安全服务9-2-2 安全机制安全机制9-2-3 安全体系结构模型安全体系结构模型2023-2-21第9章 计算机网络的安全89-2-1 安全服务安全服务1身份认证：身份认证：互相证明自己的身份互相证明自己的身份。2访问控制：访问控制：控制不同用户对信息资源的访问权限，是控制不同用户对信息资源的访问权限，是针对越权使用资源的防御措施。针对越权使用资源的防御措施。3数据保密：数据保密：加解密。加解密。4数据完整性：数据完整性：防止传输的数据被修改、删除、插入、防止传输的数据被修改、删除、插入、替换

5、或重发。替换或重发。5防止否认：防止否认：证实已经发生过的操作证实已经发生过的操作。2023-2-21第9章 计算机网络的安全99-2-2 安全机制安全机制1与安全服务有关的安全机制与安全服务有关的安全机制（1）数字签名机制）数字签名机制（2）认证交换机制）认证交换机制（3）公证机制）公证机制（4）访问控制机制）访问控制机制（5）数据完整性机制）数据完整性机制（6）路由控制机制）路由控制机制（7）业务流填充机制）业务流填充机制（8）加密机制）加密机制访问控制访问控制身份认证身份认证数据保密数据保密数据完整性数据完整性防止否认防止否认2023-2-21第9章 计算机网络的安全109-2-2 安全

6、机制安全机制2与管理有关的安全机制与管理有关的安全机制（1）安全标记机制）安全标记机制（2）安全审核机制）安全审核机制（3）安全恢复机制）安全恢复机制2023-2-21第9章 计算机网络的安全119-2-3 安全体系结构模型安全体系结构模型1网络安全服务层次模型网络安全服务层次模型 2023-2-21第9章 计算机网络的安全129-2-3 安全体系结构模型安全体系结构模型2链路加密和端到端加密链路加密和端到端加密（1）链路加密）链路加密（2）端到端加密）端到端加密PPKeKd发送方接收方节点1节点2链路1链路2链路nE（P）E（P)E（P）2023-2-21第9章 计算机网络的安全139-3

7、数据加密技术数据加密技术9-3-0 数据加密技术基础数据加密技术基础9-3-1 传统加密方法传统加密方法9-3-2 数据加密标准数据加密标准DES算法算法9-3-3 公开密钥加密算法公开密钥加密算法RAS9-3-4 对称和非对称数据加密技术的比较对称和非对称数据加密技术的比较2023-2-21第9章 计算机网络的安全149-3-0 数据加密技术基础数据加密技术基础 （1）明文（）明文（Plaintext）：加密前的原始信息）：加密前的原始信息（2）密文（）密文（Ciphertext）：加密后的信息（与原信息不同的、不易理解）：加密后的信息（与原信息不同的、不易理解）（3）加密（）加密（Encr

8、yption）：将明文进行数据变换形成密文的过程）：将明文进行数据变换形成密文的过程（4）解密（）解密（Decryption）：利用加密的逆变换将密文恢复成明文的过程）：利用加密的逆变换将密文恢复成明文的过程（5）密钥（）密钥（Security Key）：控制加密和解密变换的符号序列。）：控制加密和解密变换的符号序列。明文明文P密文密文C=E Ke（P）加密密钥加密密钥Ke解密密钥解密密钥Kd明文明文P=D Kd（C）解密变换解密变换D加密变换加密变换E1.数据加密的基本概念数据加密的基本概念2023-2-21第9章 计算机网络的安全159-3-0 数据加密技术基础数据加密技术基础2.数据加密

9、技术的分类数据加密技术的分类（1）按密钥特征分类）按密钥特征分类l 对称加密技术（私有密钥）对称加密技术（私有密钥）Ke Kdl 非对称加密技术（公开密钥）非对称加密技术（公开密钥）Ke Kd（2）按明文转换方法分类）按明文转换方法分类 替代密码加密技术替代密码加密技术 换位密码加密技术换位密码加密技术 代数密码加密技术代数密码加密技术公开公开保密保密保密保密保密保密2023-2-21第9章 计算机网络的安全169-3-1 传统加密方法传统加密方法1.凯撒密码凯撒密码 abcdefghijklmcdefghijklmnonopqrstuvwxyzpqrstuvwxyzabKe=2Kd=-2例：

10、例：network pgvyqtm凯撒大帝（公元前凯撒大帝（公元前100前前44）替换替换对称加密技术对称加密技术179-3-1 传统加密方法传统加密方法2.变位密码变位密码例：例：密钥为密钥为CIPHERdata communications and computer networks C I P H E R 3 9 16 8 5 18第第1列列第第2列列第第3列列第第4列列第第5列列第第6列列datacommunicationsandcomputernetworksdocscew noduesauinpnkama orotmtam rcin tt 2023-2-21第9章 计算机网络的安全

11、2023-2-21第9章 计算机网络的安全189-3-2 DES1.简介简介数据加密标准（数据加密标准（Data Encryption Standard）（1）产生和发展）产生和发展1970s，IBM开发开发DES，56bits密钥密钥 1977年，美政府采用年，美政府采用1985年，年，TDEA，3个密钥，总长个密钥，总长168bits2000年，年，AES，128、192、256bits密钥密钥2002年，年，IDEA，168bits密钥密钥（2）实现）实现硬件：硬件：DES芯片芯片软件软件Three Data Encryption AlgorithmAdvanced Encryption

12、 StandardInternational Data Encryption Algorithm9-3-2 DES2.类别类别 对称加密技术对称加密技术3.原理原理 以以64bit为单位，变位为单位，变位+替换替换2023-2-21第9章 计算机网络的安全199-3-2 DES4.算法描述算法描述第1步变 位第2步加 密第17步加 密第18步交换第19步变 位 L32R32K560R48K48变位变位变位变位X48X48X6X6X6X6X6X6X6X6X6X6X4X32X4X4X4X4X4X4X4X32R32X32异或异或组合、变位组合、变位异或异或转换转换C642C641K5615K5602

13、02023-2-21第9章 计算机网络的安全219-3-2 DES5.DES算法的安全性算法的安全性（1）结论：受到怀疑）结论：受到怀疑（2）评估：破解实验）评估：破解实验1997年，利用各国年，利用各国 7万台计算机，万台计算机，96天破解。天破解。1998年，电子边境基金会（年，电子边境基金会（EFF）用）用25万美元万美元制造的专用计算机，用制造的专用计算机，用56小时破解。小时破解。1999年，年，EFF用用22小时小时15分完成了破解工作。分完成了破解工作。256种可能种可能2023-2-21第9章 计算机网络的安全22*女解码高手王小云女解码高手王小云十年破译五部顶级密码十年破译五

14、部顶级密码2023-2-21第9章 计算机网络的安全23*她破译了美国政府使用的密码她破译了美国政府使用的密码lMD5密码算法，运算量达到密码算法，运算量达到2的的80次方。即使次方。即使采用现在最快的巨型计算机，也要运算采用现在最快的巨型计算机，也要运算100万万年以上才能破解。年以上才能破解。l 但王小云和她的研究小组用普通的个人电脑，但王小云和她的研究小组用普通的个人电脑，几分钟内就可以找到有效结果。几分钟内就可以找到有效结果。2023-2-21第9章 计算机网络的安全24*她破译了美国政府使用的密码她破译了美国政府使用的密码l SHA-1密码算法，由美国专门制定密码算法的标准机密码算法

15、，由美国专门制定密码算法的标准机构构美国国家标准技术研究院与美国国家安全局设美国国家标准技术研究院与美国国家安全局设计，早在计，早在1994年就被推荐给美国政府和金融系统采用，年就被推荐给美国政府和金融系统采用，是美国政府目前应用最广泛的密码算法。是美国政府目前应用最广泛的密码算法。l2005年初，王小云和她的研究小组宣布，成功破解年初，王小云和她的研究小组宣布，成功破解SHA-1。l因为王小云的出现，美国国家标准与技术研究院宣布，因为王小云的出现，美国国家标准与技术研究院宣布，美国政府美国政府5年内将不再使用年内将不再使用SHA-1，取而代之的是更，取而代之的是更为先进的新算法，微软、为先进

16、的新算法，微软、Sun和和Atmel等知名公司也等知名公司也纷纷发表各自的应对之策。纷纷发表各自的应对之策。2023-2-21第9章 计算机网络的安全25*她破译了美国政府使用的密码她破译了美国政府使用的密码lMD5是由国际著名密码学家、麻省理工大学是由国际著名密码学家、麻省理工大学的的RonaldRivest教授于教授于1991年设计的；年设计的；SHA-1背后更是有美国国家安全局的背景。背后更是有美国国家安全局的背景。lMD5和和SHA-1算法是目前国际电子签名及许多算法是目前国际电子签名及许多其他密码应用领域的关键技术，广泛应用于金其他密码应用领域的关键技术，广泛应用于金融、证券等电子商

17、务领域。其中融、证券等电子商务领域。其中SHA-1更是被更是被认为是现代网络安全不可动摇的基石。认为是现代网络安全不可动摇的基石。2023-2-21269-3-3 RSA1.简介简介 1977年提出年提出RSA算法算法 1982年创办年创办RSA Data Security Inc.和和RSA实验室实验室 Ron Rivest,Adi Shamir,Leonard Adleman 2023-2-21第9章 计算机网络的安全279-3-3 RSA2.原理原理 非对称加密技术非对称加密技术 替代密码加密技术替代密码加密技术 数学基础数学基础模运算、大数分解、数论模运算、大数分解、数论 2023-2

18、-21第9章 计算机网络的安全289-3-3 RSA3.算法算法（1）加密算法）加密算法编码编码取大数取大数n，n=pq,p,q为素数为素数确定加密密钥确定加密密钥k，k与与(p-1)(q-1)互素互素划分明文划分明文,将每部分编码将每部分编码m运算运算 mk mod n,得到密文得到密文m（2）解密算法）解密算法 确定解密密钥确定解密密钥k,使使（k k-1）mod(p-1)(q-1)=0 运算运算(m)k mod n,得到明文得到明文m2023-2-21第9章 计算机网络的安全299-3-4 对称和非对称数据加密技术的比较对称和非对称数据加密技术的比较2023-2-21第9章 计算机网络的

19、安全309-4 数据加密技术应用数据加密技术应用l数字签名：进行身份的认证以及当事人的不可抵数字签名：进行身份的认证以及当事人的不可抵赖性。采用公开密钥加密技术。赖性。采用公开密钥加密技术。l数字摘要：将整个信息文档与惟一的、固定长度数字摘要：将整个信息文档与惟一的、固定长度的值（数字摘要）相对应，只要对数字摘要进行的值（数字摘要）相对应，只要对数字摘要进行加密就可以达到身份认证和不可抵赖的作用。一加密就可以达到身份认证和不可抵赖的作用。一般通过使用散列函数（般通过使用散列函数（Hash函数）获得。函数）获得。l数字时间戳：提供电子文件发表时间的安全保护。数字时间戳：提供电子文件发表时间的安全

20、保护。1种网上安全服务项目，由专门的机构提供。一个种网上安全服务项目，由专门的机构提供。一个经加密后形成的凭证文档。经加密后形成的凭证文档。2023-2-21第9章 计算机网络的安全319-5 网络防火墙网络防火墙9-5-1 防火墙的概念防火墙的概念9-5-2 实现防火墙的技术实现防火墙的技术2023-2-21第9章 计算机网络的安全329-5-1 防火墙的概念防火墙的概念l 防火墙：加强因特网与内联网（防火墙：加强因特网与内联网（Intranet）或内联）或内联网与外联网之间安全防范的网与外联网之间安全防范的1个或个或1组系统。在两个网组系统。在两个网络之间执行控制策略，可以是软件，也可以是

21、硬件，络之间执行控制策略，可以是软件，也可以是硬件，或两者的结合或两者的结合 1特征特征（1）广泛的服务支持）广泛的服务支持（2）对私有数据的加密支持）对私有数据的加密支持（3）客户端认证只允许指定的用户访问内部网络或选择服务）客户端认证只允许指定的用户访问内部网络或选择服务（4）反欺骗）反欺骗（5）C/S模式和跨平台支持模式和跨平台支持2023-2-21第9章 计算机网络的安全339-5-1 防火墙的概念防火墙的概念2防火墙的功能防火墙的功能（1）过滤掉不安全服务和非法用户）过滤掉不安全服务和非法用户（2）控制对特殊站点的访问）控制对特殊站点的访问（3）提供监视因特网安全和预警的方便端点）提

22、供监视因特网安全和预警的方便端点 2023-2-21第9章 计算机网络的安全349-5-1 防火墙的概念防火墙的概念3防火墙的局限性防火墙的局限性（1）不能防范不经由防火墙的攻击。不能防范不经由防火墙的攻击。（2）不能防止感染了病毒的软件或文件的传输。）不能防止感染了病毒的软件或文件的传输。（3）不能防止数据驱动式攻击。）不能防止数据驱动式攻击。2023-2-21第9章 计算机网络的安全359-5-1 防火墙的概念防火墙的概念4安全控制模型安全控制模型（1）禁止没有被列为允许的访问）禁止没有被列为允许的访问（2）允许没有被列为禁止的访问）允许没有被列为禁止的访问Permit Permit De

23、ny anyDeny Deny Permit any2023-2-21第9章 计算机网络的安全369-5-1 防火墙的概念防火墙的概念5分类分类（1）根据防范的方式和侧重点的不同根据防范的方式和侧重点的不同包过滤包过滤应用级网关应用级网关代理服务器代理服务器（2）按照防火墙的体系结构按照防火墙的体系结构 屏蔽路由器屏蔽路由器 双穴主机网关双穴主机网关 被屏蔽主机网关被屏蔽主机网关 被屏蔽子网被屏蔽子网组合组合 2023-2-21第9章 计算机网络的安全379-5-2 实现防火墙的技术实现防火墙的技术1包过滤技术包过滤技术 作用于网络层作用于网络层l报文过滤网关工作原理报文过滤网关工作原理报文过

24、滤器（路由器）收到报文报文过滤器（路由器）收到报文扫描报文头，检查报文头中的报文类型（扫描报文头，检查报文头中的报文类型（UDPTCP报文）、源报文）、源IP地址、源端口号、目的地址、源端口号、目的IP地地址、目的端口号等址、目的端口号等将规则库中的规则与该报文头比较，将不符合预将规则库中的规则与该报文头比较，将不符合预先设定标准的报文拒绝在网络之外。先设定标准的报文拒绝在网络之外。2023-2-21第9章 计算机网络的安全389-5-2 实现防火墙的技术实现防火墙的技术2应用层网关应用层网关（1）双穴主机网关）双穴主机网关因特网堡垒主机网卡网卡内联网Firewall2023-2-21第9章

25、计算机网络的安全399-5-2 实现防火墙的技术实现防火墙的技术2应用层网关应用层网关（2）屏蔽主机网关）屏蔽主机网关因特网堡垒主机网卡路由器内联网Firewall包过滤包过滤2023-2-21第9章 计算机网络的安全409-5-2 实现防火墙的技术实现防火墙的技术2应用层网关应用层网关（3）屏蔽子网网关）屏蔽子网网关内部路由器堡垒主机堡垒主机内联网因特网外部路由器2023-2-21第9章 计算机网络的安全419-5-2 实现防火墙的技术实现防火墙的技术3防火墙的组合形式防火墙的组合形式（1）使用多堡垒主机）使用多堡垒主机（2）合并内部路由器与外部路由器）合并内部路由器与外部路由器（3）合并堡

26、垒主机与外部路由器）合并堡垒主机与外部路由器（4）合并堡垒主机与内部路由器）合并堡垒主机与内部路由器（5）使用多台内部路由器）使用多台内部路由器（6）使用多台外部路由器）使用多台外部路由器（7）使用多个周边网络）使用多个周边网络（8）使用双穴主机与屏蔽子网）使用双穴主机与屏蔽子网2023-2-21第9章 计算机网络的安全429-5-2 实现防火墙的技术实现防火墙的技术4代理服务代理服务防火墙代理请求请求转发应答转发应答外部网站点被保护网站点9-6 入侵检测入侵检测l入侵检测系统入侵检测系统（IDS，Intrusion Detection System）是防火墙的合理补充，帮助系统应对网络攻击，

27、是防火墙的合理补充，帮助系统应对网络攻击，扩展了系统管理员的安全管理能力，提高了信息扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。提供对内部攻击、外部安全基础结构的完整性。提供对内部攻击、外部攻击和误操作的实时保护。攻击和误操作的实时保护。9-6-1 入侵检测的概念入侵检测的概念9-6-2 入侵检测的实现入侵检测的实现2023-2-21第9章 计算机网络的安全439-6-1 入侵检测的概念入侵检测的概念1.入侵检测系统的作用入侵检测系统的作用（1）发现受保护系统中的入侵行为或异常行为）发现受保护系统中的入侵行为或异常行为（2）检验安全保护系统的有效性）检验安全保护系统的有效性

28、（3）分析受保护系统所面临的威胁）分析受保护系统所面临的威胁（4）阻止安全事件扩大、及时报警并触发网络安全）阻止安全事件扩大、及时报警并触发网络安全应急响应应急响应（5）为网络安全策略指导提供依据）为网络安全策略指导提供依据（6）报警信息可作为网络犯罪取证）报警信息可作为网络犯罪取证2023-2-21第9章 计算机网络的安全449-6-1 入侵检测的概念入侵检测的概念2.入侵检测的实现步骤入侵检测的实现步骤（1）信息收集）信息收集（2）信息分析）信息分析（3）结果处理）结果处理2023-2-21第9章 计算机网络的安全459-6-1 入侵检测的概念入侵检测的概念3.入侵检测的分类入侵检测的分类

29、（1）按照技术分类）按照技术分类异常检测模型异常检测模型误用检测模型误用检测模型（2）按照对象分类）按照对象分类基于主机基于主机基于网络基于网络混合型混合型2023-2-21第9章 计算机网络的安全469-6-1 入侵检测的概念入侵检测的概念4.入侵检测的局限性入侵检测的局限性（1）速度远小于网络传输速度，导致误报和漏报）速度远小于网络传输速度，导致误报和漏报（2）和其他网络安全产品的结合问题）和其他网络安全产品的结合问题（3）对加密数据流、交换网数据流不能检测，本身）对加密数据流、交换网数据流不能检测，本身结构易受攻击结构易受攻击（4）体系结构问题）体系结构问题2023-2-21第9章 计算

30、机网络的安全479-6-2 入侵检测的实现入侵检测的实现1.入侵检测系统的部署入侵检测系统的部署挂接在所有所关注流量都必需流经的链路上挂接在所有所关注流量都必需流经的链路上2.入侵检测系统的组成入侵检测系统的组成（1）事件产生器）事件产生器（2）事件分析器）事件分析器（3）响应单元）响应单元（4）事件数据库）事件数据库2023-2-21第9章 计算机网络的安全489-6-2 入侵检测的实现入侵检测的实现3.入侵检测技术入侵检测技术（1）异常检测技术）异常检测技术基于统计基于统计基于模式预测基于模式预测基于文本分类基于文本分类基于贝叶斯推理基于贝叶斯推理（2）误用检测技术）误用检测技术模式匹配法

31、模式匹配法专家系统法专家系统法基于状态转移分析的检测法基于状态转移分析的检测法2023-2-21第9章 计算机网络的安全49入侵防御系统入侵防御系统（IPS，Intrusion Prevention System）l位于防火墙和网络的设备之间，依靠对数据包位于防火墙和网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内据包的真正用途，然后决定是否允许其进入内网）网）2023-2-21第9章 计算机网络的安全50IDS和和IPS的区别的区别lIDS是对异常的、可能是入侵行为的数据进行是对异常的、可能是

32、入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。风险管理的安全产品。lIPS是对被明确判断为攻击行为，会对网络、是对被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。，是一种侧重于风险控制的安全产品。2023-2-21第9章 计算机网络的安全512023-2-21第9章 计算机网络的安全52本章重点本章重点l计算机网络安全体系计算机网络安全体系l数据加密技术数据加密技术l网络防火墙网络防火墙2023-2-21第9章 计算机网络的安全53作业作业P251 3，4，7，11，12，13