CN Chapter8.ppt

Computer Networks计算机网络（双语） 计算机科学与工程学院 史卓 shzh@guet.edu.cn Contents 8 Network Security 学习目的：了解网络安全的基本概念，了解基本的加密系统，掌握单密钥和双密钥加密技术的基本原理，了解数字签名的基本原理和防火墙的概念和类型。 学习重点：单密钥和双密钥加密技术的基本原理 学习难点：无 8.1 Introduction to network security 进不来 拿不走 看不懂 改不了 走不脱 Introduction to network security 截获信息的攻击称为被动攻击。 更改信息和拒绝用户使用资源的攻击称为主动攻击。如中断、篡改和伪造。 Introduction to network security 防范措施： （1）被动攻击易防范，难检测，所以对付被动攻击可采用各种加密技术； （2）主动攻击难防范，易检测，对付主动攻击则需要将加密技术与适当的鉴别技术相结合。 网络安全的基本要素：保密性、完整性、可用性和合法性 网络安全研究的内容主要有：网路安全技术、网络安全体系结构、网络安全设计、网络安全标准制定、安全评测及认证、网络安全设备、安全管理、安全审计、网络犯罪侦察、网络安全理论与政策、网络安全教育和网络安全法律等。 安全策略模型包括：威严的法律、先进的技术和严格的管理。 安全管理原则： （1）多人负责原则 （2）任期有限原则 （3）职责分离原则 （4）最小权限原则 8.2 Cryptography(密码学) Substitution Ciphers（替换密码） Transposition Ciphers（易位密码） Substitution Ciphers（替换密码） 这种密码算法对于原始消息（明文）中的每一个字母都用该字母后的第n个字母来替换，其中n就是密钥。 例如：将字母a，b，c，d，…，w，x，y，z分别与D，E，F，G，…，Z，A，B，C对应，即密钥为3。这样，明文attack加密后形成的密文就是DWWDFN。 这种密码技术只有26个密钥，很容易破译。所以可以对其进行改造，若假设26个字母中的每一个字母都可映射成任意一个字母，不存在某种顺序关系。如果这样，其密钥个数就会达到26！＝4×1026个。这样就比较难以破解。 Transposition Ciphers（易位密码） 8.3 Encryption Algorithms Symmetric-key Algorithms(对称密钥算法，单密钥) Public-key Algorithms(公开密钥算法，双密钥) Symmetric-key Algorithms(对称密钥算法) Public-key Algorithms(公开密钥算法) 公开密钥加密体制有两个不同的密钥，它可将加密功能和解密功能分开。一个密钥称为私钥，它被秘密保存；另一个密钥称为公钥，不需要保密。 (1) 加密模型 Example：RSA公开密钥密码体制 Public-key Algorithms(公开密钥算法) （2）认证模型 8.4 Firewall (防火墙) 8.4 Firewall (防火墙) 1. Firewall：是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状态，以此来实现网络地安全保护。 2. 防火墙的目标 （1）进出内部网的通信量必须通过防火墙。 （2）只有那些在内部网安全策略中定义了的合法地通信量才能够进出防火墙。 8.4 Firewall (防火墙) 3. 防火墙的设计策略 （1）允许任何服务除非被明确禁止。 （2）禁止任何服务除非被明确允许。在实用中防火墙通常采用第二种策略。 4. 防火墙功能： （1）阻止：就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。 （2）允许：就是允许某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。 8.4 Firewall (防火墙) 5. 防火墙的好处： 保护脆弱的服务 控制对系统的访问 集中地安全管理 增强的保密性 记录和统计网络利用数据以及非法使用数据的情况 6. 防火墙的缺点 防火墙无法阻止绕过防火墙地攻击。 防火墙无法阻止来自内部地威胁。 防火墙无法防止病毒感染程序或文件地传输。 8.4 Firewall (防火墙) 7. 防火墙分类： （1）网络级防火墙：主要是用来防止整个网络出现外来非法的入侵，在网络层对数据包进行选择，通过检查数据流中每个数据包的源地址、目的