《Internet技术与应用教程第二版》第9章课件

《《Internet技术与应用教程第二版》第9章课件》由会员分享，可在线阅读，更多相关《《Internet技术与应用教程第二版》第9章课件（41页珍藏版）》请在装配图网上搜索。

1、第9章 Internet网络安全网络安全n计算机网络安全的基本概念和基础知识n数据加密方法n数字签名的原理n防火墙4/27/202419.1计算机网络安全基础知识 9.1.1 网络安全的含义 网络安全的一个通用定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。4/27/202429.1计算机网络安全基础知识 9.1.1 网络安全的含义 网络安全又分为：（l）运行系统安全，即保证信息处理和传输系统的安全。（2）网络上系统信息的安全。（3）网络上信息传播的安全。全。（4）网络上信息内容的安全。4/

2、27/202432 网络安全的特征（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容具有控制能力。4/27/202443 网络安全的威胁（1）非授权访问（unauthorized access）：一个非授权的人的入侵。（2）信息泄露（disclosure of information）：造

3、成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。（3）拒绝服务（denial of service）：使得系统难以或不可能继续执行任务的所有问题。4/27/202454 网络安全的关键技术 主机安全技术。身份认证技术。访问控制技术。密码技术。防火墙技术。安全审计技术。安全管理技术。4/27/202469.1.2 计算机网络面临的安全性威胁计算机网络面临的安全性威胁计算机网络上的通信面临以下的计算机网络上的通信面临以下的计算机网络上的通信面临以下的计算机网络上的通信面临以下的4 4种威胁。种威胁。种威胁。种威胁。（1 1）截获截获截获截获(interception)(interc

4、eption)（2 2）中断中断中断中断(interruption)(interruption)（3 3）篡改篡改篡改篡改(modification)(modification)（4 4）伪造伪造伪造伪造(fabrication)(fabrication)上述四种威胁可划分为两大类，即上述四种威胁可划分为两大类，即上述四种威胁可划分为两大类，即上述四种威胁可划分为两大类，即被动攻击被动攻击被动攻击被动攻击和和和和主动攻击主动攻击主动攻击主动攻击。在上述情况中，在上述情况中，在上述情况中，在上述情况中，截获信息的攻击称为被动攻击截获信息的攻击称为被动攻击截获信息的攻击称为被动攻击截获信息的攻击称

5、为被动攻击，而更改信息而更改信息而更改信息而更改信息和拒绝用户使用资源的攻击称为主动攻击和拒绝用户使用资源的攻击称为主动攻击和拒绝用户使用资源的攻击称为主动攻击和拒绝用户使用资源的攻击称为主动攻击。4/27/202474/27/20248n 2.恶意程序恶意程序n（1）计算机病毒计算机病毒计算机病毒计算机病毒n（2）计算机蠕虫计算机蠕虫计算机蠕虫计算机蠕虫n（3）特洛伊木马特洛伊木马特洛伊木马特洛伊木马 n（4）逻辑炸弹逻辑炸弹逻辑炸弹逻辑炸弹4/27/20249 计算机网络通信安全的五个目标：计算机网络通信安全的五个目标：（1）防止析出报文内容；）防止析出报文内容；（2）防止信息量分析；）防

6、止信息量分析；（3）检测更改报文流；）检测更改报文流；（4）检测拒绝报文服务；）检测拒绝报文服务；（5）检测伪造初始化连接。）检测伪造初始化连接。对付被动攻击主要采用各种加密技术，对于主动攻击主对付被动攻击主要采用各种加密技术，对于主动攻击主时加密技术和鉴别技术相结合。时加密技术和鉴别技术相结合。4/27/2024109.2.1 一般的数据加密模型一般的数据加密模型 一般的数据加密模型如上图所示。一般的数据加密模型如上图所示。明文明文明文明文X X用用加密算加密算加密算加密算法法法法E和和加密密钥加密密钥加密密钥加密密钥K得到得到密文密文密文密文Y EK(X)。在传送过程中可。在传送过程中可能

7、出现密文截取者。到了收端，利用能出现密文截取者。到了收端，利用解密算法解密算法解密算法解密算法D和和解密解密解密解密密钥密钥密钥密钥K，解出明文为，解出明文为DK(Y)DK(EK(X)X。截取者截取者截取者截取者又又称为称为攻击者攻击者攻击者攻击者或或入侵者入侵者入侵者入侵者。4/27/2024119.2.1 一般的数据加密模型一般的数据加密模型4/27/202412 9.2.2 9.2.2 替代密码与置换密码替代密码与置换密码替代密码与置换密码替代密码与置换密码 在在早早期期的的常常规规密密钥钥密密码码体体制制中中，有有几几种种常常用用的的密密码码，棋盘密码、替代密码和换位密码。棋盘密码、替

8、代密码和换位密码。4/27/202413 1.1.棋盘密码棋盘密码其其加加密密的的思思想想是是：将将26个个英英文文字字母母排排列列在在一一个个55的方格里，其中的方格里，其中i和和j填在同一格填在同一格 4/27/202414 123451abcde2fghi jk3lmnop4qrstu5vwxyz4/27/202415例如字母例如字母d d对应表对应表9-19-1可知是可知是1414，字母，字母s s对应对应4343，依，依此类推。此类推。下面举例说明棋盘密码的加密结果，例如下面一段下面举例说明棋盘密码的加密结果，例如下面一段明文：明文：this is passwordthis is p

9、assword使用表使用表9-19-1的密码本，则转换后的密文是：的密码本，则转换后的密文是：44 23 24 43 24 43 35 11 43 43 52 34 42 1444 23 24 43 24 43 35 11 43 43 52 34 42 144/27/202416替代密码替代密码替代密码替代密码用一组密文来代替一组明文以隐藏明文，但保持用一组密文来代替一组明文以隐藏明文，但保持明文字母的位置不变明文字母的位置不变 例如：用密文例如：用密文D、E、FA、B、C 来代替明文来代替明文a、b、cx、y、z（恺撒密码）（恺撒密码）可以通过统计密文中的字母的频率来找到明文可以通过统计密文

10、中的字母的频率来找到明文 最常使用的单字母：最常使用的单字母：e、t、o、a、n、i 双字母：双字母：th、in、er、re、an 三字母：三字母：the、ing、and、ion4/27/202417置换密码置换密码置换密码置换密码(transposition cipher)按照某一规则重新排列消息中的比特或字符的顺序。按照某一规则重新排列消息中的比特或字符的顺序。原理如下：原理如下：密钥必须是一个不含重复字母的单词或短语，加密密钥必须是一个不含重复字母的单词或短语，加密时将明文按密钥长度截成若干行排在密钥下面（不足的时将明文按密钥长度截成若干行排在密钥下面（不足的时候按顺序补字母），按照密钥

11、钥字母在英文字母表中时候按顺序补字母），按照密钥钥字母在英文字母表中的先后顺序给各列进行编号，然后按照编好的顺序按列的先后顺序给各列进行编号，然后按照编好的顺序按列输出明文即成密文。输出明文即成密文。4/27/202418 例如：加密密钥为例如：加密密钥为COMPUTER，加密的明文为：，加密的明文为：pleaseexecutethelatestscheme 那么按照如下形式写出来：那么按照如下形式写出来：1 4 3 5 8 7 2 61 4 3 5 8 7 2 6 C O M P U T E R p l e a s e e x e c u t e t h e l a t e s t s c

12、h e m e a b c d 那么输出的密文为：那么输出的密文为：PELHEHSCEUTM LCAEATEEXECDETTBSESA4/27/2024199.2.3 9.2.3 公开密钥密码体制公开密钥密码体制公开密钥密码体制公开密钥密码体制从数学模型的角度来说，要想从加密密钥不从数学模型的角度来说，要想从加密密钥不能推导出解密密钥，则加密算法能推导出解密密钥，则加密算法E与解密算法与解密算法D必须满足三个条件：必须满足三个条件：D(E(P)=P 已知已知E，不能由，不能由E=D 使用使用“选择明文选择明文”不能攻破不能攻破E。4/27/202420公开密钥算法的特点如下：公开密钥算法的特点

13、如下：（1）DSK（EPK（X）X也可也可EPK（DSK（X）X。（2）加密密钥是公开的，但不能用它来解密，）加密密钥是公开的，但不能用它来解密，DPK（EPK（X）X（3）在计算机上可以容易地产生成对的）在计算机上可以容易地产生成对的PK和和SK。（4）从已知的）从已知的PK实际上不可能推导出实际上不可能推导出SK，即从，即从PK到到SK是是“计算上不可能的计算上不可能的”。且加密和解密算法都是。且加密和解密算法都是公开的。公开的。9.2.3 9.2.3 公开密钥密码体制公开密钥密码体制公开密钥密码体制公开密钥密码体制4/27/2024219.防火墙技术 9.2.1什么是防火墙 防火墙技术就

14、是一种保护计算机网络安全的技术性措施，是在内部网络和外部网络之间实现控制策略的系统，主要是为了用来保护内部的网络不易受到来自Internet的侵害。图为防火墙示意图。4/27/202422防火墙的主要功能如下：（1）过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络。（2）控制对特殊站点的访问。（3）提供监视Internet安全和预警的方便端点。防火墙可以记录下所有通过它的访问，并提供网络使用情况的统计数据。4/27/202423防火墙并非万能，影响网络安全的因素很多，对于以下情况防火墙无能为力：（1）不能防范绕过防火墙的攻击。（2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。（

15、3）不能防止数据驱动式攻击。（4）难以避免来自内部的攻击。4/27/2024249.2 防火墙的三种类型 1.网络级防火墙 网络级防火墙也称包过滤防火墙，通常由一个路由器或一台充当路由器的计算机组成。2.应用级防火墙 应用级防火墙通常指运行代理（Proxy）服务器软件的一台计算机主机。3.电路级防火墙 电路级防火墙也称电路层网关，是一个具有特殊功能的防火墙，它可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。4/27/2024259.3 防火墙体系结构 1.双重宿主主机体系结构 双重宿主主机体系结构是指在内部网络和外部网络的接口处使用至少两个网络设备，这些网

16、络设备可以是路由器或普通计算机，其中一个连接内部网络（称为内部分组过滤器），另一个连接外部网络（称为外部分组过滤器），它们之间由设备连接。4/27/2024262.主机过滤体系结构 这种结构由硬件和软件共同完成，硬件主要是指路由器，软件主要是指过滤器，它们共同完成外界计算机访问内部网络时从IP地址或域名上的限制，也可以指定或限制内部网络访问Internet。路由器、过滤器的作用？4/27/2024273.子网过滤体系结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与Internet网络隔离开。（1）参数网络（2）堡垒主机（3）内部路由器（4

17、）外部路由器4/27/2024289.包过滤技术定义：包过滤（PacketFilter）是在网络层中对数据包实施有选择的通过。1.包过滤是如何工作的（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。4/27/2024299.包过滤技术包过滤不允许进行如下的操作：（1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。（2）允许用户传送一些文件而不允许用户传送其它文件。4/27/2024302.包过滤的优缺点包过滤的优缺点（1）包过滤的优点）包过滤的优点仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。（2）包过滤的缺点）包过滤的缺点

18、 在机器中配置包过滤规则比较困难；对系统中的包过滤规则的配置进行测试也较麻烦；许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。4/27/2024313.包过滤路由器的配置 在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。（1）协议的双向性。（2）“往内”与“往外”的含义。（3）“默认允许”与“默认拒绝”。4/27/2024324.包的基本构造 包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中，存放包在这一层的数据信息。这些数

19、据信息也包含了上层的全部信息（即上一层包头和包体信息）。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后根据本层的协议再加上包头。这种对包的层次性操作（每一层均加装一个包头）一般称为封装。4/27/2024335.包过滤处理内核包过滤处理内核 过滤路由器可以利用包过滤手段来提高网络的安全性。（1）包过滤和网络策略（2）一个简单的包过滤模型（3）包过滤器操作4/27/2024349.3.构建个人防火墙 个人用户只能使用应用级防火墙。这种防火墙一般都是使用包过滤和协议过滤等技术实现的，能有效地防止用户数据直接暴露在Internet中，并记录主机和Internet数据交换的情况，从而保证了用户的安全。下面以“天网防火墙”为例来介绍如何构建个人防火墙。4/27/2024351.天网防火墙的设置4/27/2024362.安全规则设置4/27/202437天网防火墙可以为用户添加新的规则4/27/2024384/27/2024394/27/202440 xiexie!xiexie!谢谢！谢谢！