計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第1頁(yè)。計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第2頁(yè)。計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第3頁(yè)。計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第4頁(yè)。計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第5頁(yè)。計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第6頁(yè)。計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第7頁(yè)。2023/6/58網(wǎng)絡(luò)面臨的安全威脅分類計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第8頁(yè)。2023/6/59網(wǎng)絡(luò)安全目標(biāo)防止析出報(bào)文內(nèi)容防止通信量分析檢測(cè)更改報(bào)文流檢測(cè)拒絕報(bào)文服務(wù)檢測(cè)偽造初始化服務(wù)計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第9頁(yè)。2023/6/510網(wǎng)絡(luò)安全手段被動(dòng)攻擊采用數(shù)據(jù)加密技術(shù)主動(dòng)攻擊加密技術(shù)+鑒別技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第10頁(yè)。2023/6/511網(wǎng)絡(luò)安全趨勢(shì)物理隔離邏輯隔離(防火墻)防御網(wǎng)絡(luò)的攻擊(抗攻擊網(wǎng)關(guān))防止網(wǎng)絡(luò)病毒(防病毒網(wǎng)關(guān))身份認(rèn)證(AAA)加密通信和虛擬專用網(wǎng)(VPN)入侵檢測(cè)和主動(dòng)防衛(wèi)(IDS)網(wǎng)管、審計(jì)和取證(集中網(wǎng)管)計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第11頁(yè)。2023/6/5128.2對(duì)稱密鑰系統(tǒng)DES(DataEncryptionStandard)計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第12頁(yè)。2023/6/513對(duì)稱密鑰系統(tǒng)在密碼系統(tǒng)中,加密/解密算法是公開的,而密鑰是保密的.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第13頁(yè)。2023/6/514對(duì)稱密鑰系統(tǒng)對(duì)稱加密,即加密密鑰與解密密鑰相同對(duì)稱加密算法有"塊"和"流"兩種方式,其保密性高,難以破解,常用于較長(zhǎng)報(bào)文的加密計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第14頁(yè)。2023/6/515DES(數(shù)據(jù)加密標(biāo)準(zhǔn))DES算法由IBM發(fā)明,并于1977年成為美國(guó)政府標(biāo)準(zhǔn)DES是一種數(shù)據(jù)分塊的加密算法,數(shù)據(jù)長(zhǎng)度為64位密鑰為64位,其中8位作為奇偶校驗(yàn)位,有效密鑰長(zhǎng)度為56位DES加密過(guò)程首先將明文數(shù)據(jù)進(jìn)行初始置換,得到64位的混亂明文組,再將其分為2段,每段32位然后進(jìn)行乘積變換,在密匙的控制下,做16次迭代最后進(jìn)行逆初始變換而得到密文計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第15頁(yè)。2023/6/516DES加密過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第16頁(yè)。2023/6/517對(duì)稱密鑰特點(diǎn)加密密鑰與解密密鑰相同,密鑰在傳遞過(guò)程中容易泄漏密鑰量大,難以進(jìn)行管理無(wú)法滿足網(wǎng)上陌生人進(jìn)行私人談話的保密性要求難以解決數(shù)字簽名驗(yàn)證的問(wèn)題計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第17頁(yè)。2023/6/5188.3公開密鑰系統(tǒng)RSA數(shù)字簽名報(bào)文鑒別計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第18頁(yè)。2023/6/519公開密鑰密碼體制由Stanford大學(xué)研究人員于1976年提出使用不同的加密密鑰和解密密鑰由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的公開密鑰密碼體制的產(chǎn)生原因密鑰分配數(shù)字簽名公開密鑰算法對(duì)短報(bào)文更有效計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第19頁(yè)。2023/6/520公開密鑰密碼體制計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第20頁(yè)。2023/6/521RSA基于數(shù)論中的大數(shù)分解問(wèn)題尋求兩個(gè)大素?cái)?shù)比較簡(jiǎn)單,而將他們的乘積分解開則及其困難加密算法加密:Y=Xemodn解密:X=Ydmodn其中,X為明文,Y為密文,n為兩個(gè)大素?cái)?shù)的乘積.PK={e,n},SK={d,n}計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第21頁(yè)。2023/6/522密鑰的產(chǎn)生計(jì)算nn=pq,其中p和q為兩個(gè)大素?cái)?shù).n為RSA算法的模數(shù),明文必須能用小于n的數(shù)表示計(jì)算n的歐拉函數(shù)Φ(n)=(p-1)(q-1),Φ(n)為不超過(guò)n并與n互素的數(shù)的個(gè)數(shù)選擇e從[0,Φ(n)-1]中選擇一個(gè)與Φ(n)互素的數(shù)e作為加密指數(shù)計(jì)算ded=1modΦ(n),計(jì)算d作為解密指數(shù)得到密鑰PK={e,n}SK={d,n}計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第22頁(yè)。2023/6/523例8.1RSA算法(1)選擇兩個(gè)素?cái)?shù)p=7,q=17,n=pq=119Φ(n)=(p-1)(q-1)=96從[0,95]中選擇與96互素的數(shù)e=55d=1mod96,得到d=77PK={5,119},SK={77,119}加密設(shè)X=19(明文,不超過(guò)119),Y=195mod119=66(密文)解密X=6677mod119=19(明文)計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第23頁(yè)。2023/6/524例8.1RSA算法(2)RSA算法中,同樣的明文映射為同樣的密文；RSA體制的保密性在于對(duì)大數(shù)分解很花時(shí)間.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第24頁(yè)。2023/6/525數(shù)字簽名目標(biāo)報(bào)文鑒別:接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名報(bào)文完整性:發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名不可否認(rèn):接收者不能偽造對(duì)報(bào)文的簽名現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法,但采用公鑰算法更容易實(shí)現(xiàn).計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第25頁(yè)。2023/6/526數(shù)字簽名實(shí)現(xiàn)數(shù)字簽名不提供對(duì)內(nèi)容的保密；如果需要,可再加一級(jí)加密/解密算法.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第26頁(yè)。2023/6/527鑒別在信息的安全領(lǐng)域中,對(duì)付被動(dòng)攻擊的重要措施是加密,而對(duì)付主動(dòng)攻擊中的篡改和偽造則要用鑒別(authentication)報(bào)文鑒別使得通信的接收方能夠驗(yàn)證所收到的報(bào)文(發(fā)送者和報(bào)文內(nèi)容、發(fā)送時(shí)間、序列等)的真?zhèn)问褂眉用芫涂蛇_(dá)到報(bào)文鑒別的目的.但在網(wǎng)絡(luò)的應(yīng)用中,許多報(bào)文并不需要加密.應(yīng)當(dāng)使接收者能用很簡(jiǎn)單的方法鑒別報(bào)文的真?zhèn)斡?jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第27頁(yè)。2023/6/528報(bào)文鑒別報(bào)文摘要(MessageDigest)必須滿足:1、任給報(bào)文摘要值x,若想找到報(bào)文y使得H(y)=x,在計(jì)算上是不可行的；2、想找到任意兩個(gè)報(bào)文x和y,使得H(x)=H(y),在計(jì)算上是不可行的.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第28頁(yè)。2023/6/529實(shí)體鑒別實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí)間內(nèi)對(duì)和自己通信的對(duì)方實(shí)體只需驗(yàn)證一次報(bào)文鑒別是對(duì)每一個(gè)收到的報(bào)文都要鑒別報(bào)文的發(fā)送者計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第29頁(yè)。2023/6/5308.4Internet安全I(xiàn)Psec傳輸層安全防火墻VPN計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第30頁(yè)。2023/6/531IPsecIPsec是網(wǎng)絡(luò)層安全協(xié)議[RFC2411]IPsec除提供對(duì)IP數(shù)據(jù)報(bào)的加密外,還提供源站鑒別(SourceAuthentication)計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第31頁(yè)。2023/6/532AH與ESPIPsec的主要部分是AH(AuthenticationHeader)和ESP(EncapsulationSecurityPayload)AH提供源站鑒別和數(shù)據(jù)完整性,但不能保密ESP提供源站鑒別、數(shù)據(jù)完整性和保密雖然AH協(xié)議的功能都已包含在ESP中,但AH協(xié)議早已廣泛使用,因此還不能廢棄.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第32頁(yè)。2023/6/533安全關(guān)聯(lián)(SecurityAssociate)在使用AH或ESP之前,先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接,即SA這樣,IPsec就把傳統(tǒng)的因特網(wǎng)無(wú)連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層SA是一個(gè)單向連接,由一個(gè)三元組唯一地確定:安全協(xié)議(使用AH或ESP)的標(biāo)識(shí)符此單向連接的源IP地址一個(gè)32位的連接標(biāo)識(shí)符,稱為安全參數(shù)索引SPI(SecurityParameterIndex)對(duì)于一個(gè)給定的安全關(guān)聯(lián)SA,每一個(gè)IPsec數(shù)據(jù)報(bào)都有一個(gè)存放SPI的字段,通過(guò)此SA的所有數(shù)據(jù)報(bào)都使用同樣的SPI值計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第33頁(yè)。2023/6/534AHIP首部的協(xié)議字段為51；在傳輸過(guò)程中,中間路由器不查看AH.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第34頁(yè)。2023/6/535ESPIP首部的協(xié)議字段為50；ESP尾部參與數(shù)據(jù)報(bào)加密.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第35頁(yè)。2023/6/536傳輸層安全:SSL/TLSSSL是安全套接層(SecureSocketLayer),可對(duì)萬(wàn)維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別SSL在雙方的聯(lián)絡(luò)階段協(xié)商將使用的加密算法和密鑰,以及客戶與服務(wù)器之間的鑒別在聯(lián)絡(luò)階段完成之后,所有傳送的數(shù)據(jù)都使用在聯(lián)絡(luò)階段商定的會(huì)話密鑰SSL不僅被所有常用的瀏覽器和萬(wàn)維網(wǎng)服務(wù)器所支持,而且也是運(yùn)輸層安全協(xié)議TLS(TransportLayerSecurity)的基礎(chǔ)計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第36頁(yè)。2023/6/537TLS(TransportLayerSecurity)的位置在發(fā)送方,SSL接收應(yīng)用層的數(shù)據(jù)(如HTTP或IMAP報(bào)文),對(duì)數(shù)據(jù)進(jìn)行加密,然后把加了密的數(shù)據(jù)送往TCP套接字；在接收方,SSL從TCP套接字讀取數(shù)據(jù),解密后把數(shù)據(jù)交給應(yīng)用層.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第37頁(yè)。2023/6/538SSL/TLS功能SSL服務(wù)器鑒別允許用戶證實(shí)服務(wù)器的身份.具有SSL功能的瀏覽器維持一個(gè)表,上面有一些可信賴的認(rèn)證中心CA(CertificateAuthority)和它們的公鑰加密的SSL會(huì)話客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密,在接收方解密SSL客戶鑒別允許服務(wù)器證實(shí)客戶的身份計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第38頁(yè)。2023/6/539安全電子交易SET(SecureElectronicTransaction)SET是專為與支付有關(guān)的報(bào)文進(jìn)行加密的SET協(xié)議涉及到三方,即顧客、商家和商業(yè)銀行所有在這三方之間交互的敏感信息都被加密SET要求這三方都有證書在SET交易中,商家看不見顧客傳送給商業(yè)銀行的信用卡號(hào)碼計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第39頁(yè)。2023/6/540防火墻防火墻由軟件、硬件構(gòu)成,用于在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制防火墻功能:阻止或者允許兩類防火墻包過(guò)濾防火墻(網(wǎng)絡(luò)級(jí))代理防火墻(應(yīng)用級(jí))計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第40頁(yè)。2023/6/541防火墻包防火墻過(guò)濾位于網(wǎng)絡(luò)層或者傳輸層.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第41頁(yè)。2023/6/542包過(guò)濾防火墻計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第42頁(yè)。2023/6/543包過(guò)濾(1)InternalnetworkconnectedtoInternetviarouterfirewallRouterfilterspacket-by-packet,decisiontoforward/droppacketbasedoncertain/configurablecriteria

Shouldarrivingpacketbeallowedin?Departingpacketletout?計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第43頁(yè)。2023/6/544包過(guò)濾(2)DiscardpacketsbasedonconfigurablecriteriaAddressfilteringBasedonsourceand/ordestinationaddressinIPpacketsAllowingpacketswithcertainIPaddressestogothroughBlockingpacketswithcertainIPaddressesTraffictypefilteringBasedonthetypeoftrafficinIPheader(TCP/UDPportnumbers)Allowingcertaintypestogothrough,e.ghttp(port#80)ContentfilteringBasedonthecontentofpackets.Blockingpacketswithsomepatternsinthecontent.Specificfiltering:ICMPmessagetype,TCPSYNandACKbitsStatisticpacketfiltering計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第44頁(yè)。2023/6/545代理防火墻代理防火墻過(guò)濾位于應(yīng)用層.計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第45頁(yè)。2023/6/546VPN(VirtualPrivateNetwork)VPN利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道提供與專用網(wǎng)絡(luò)一樣的安全和功能保障VPN用途通過(guò)Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)通過(guò)Internet實(shí)現(xiàn)網(wǎng)絡(luò)互連連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第46頁(yè)。2023/6/547私有網(wǎng)絡(luò)地址PrefixRangeTotal10/8to55224172.16/12to55220192.168/16to55216計(jì)算機(jī)網(wǎng)絡(luò)8網(wǎng)絡(luò)安全全文共57頁(yè)，當(dāng)前為第47頁(yè)。2023/6/5