收藏 分享(赏)
下载资源 加入VIP,免费下载

9第九章_计算机网络安全和网络管理.ppt

上传人:hyngb9260 文档编号:6338314 上传时间:2019-04-07 格式:PPT 页数:32 大小:272.50KB
下载 相关 举报
9第九章_计算机网络安全和网络管理.ppt_第1页
第1页 / 共32页
9第九章_计算机网络安全和网络管理.ppt_第2页
第2页 / 共32页
9第九章_计算机网络安全和网络管理.ppt_第3页
第3页 / 共32页
9第九章_计算机网络安全和网络管理.ppt_第4页
第4页 / 共32页
9第九章_计算机网络安全和网络管理.ppt_第5页
第5页 / 共32页
点击查看更多>>
资源描述

1、1,第九章 计算机网络安全和网络管理,2,9.1网络安全简介 1 计算机网络面临的安全性威胁,计算机网络上的通信面临以下的四种威胁:(1) 截获从网络上窃听他人的通信内容。(2) 中断有意中断他人在网络上的通信。(3) 篡改故意篡改网络上传送的报文。(4) 伪造伪造信息在网络上传送。 截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。,3,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,4,被动攻击和主动攻击,在被动攻击中,攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息

2、流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 更改报文流 拒绝报文服务 伪造连接初始化,5,计算机网络通信安全的目标,(1) 防止析出报文内容; (2) 防止通信量分析; (3) 检测更改报文流; (4) 检测拒绝报文服务; (5) 检测伪造初始化连接。,6,计算机网络安全的内容,保密性 为用户提供安全可靠的保密通信 安全协议的设计 协议的安全性是不可判定的,对于复杂的通信协议,主要采用找漏洞的分析方法 接入控制 访问控制或存取控制,只能在给定权限范围内,7,一般的数据加密模型,E 加密算法,D 解密算法,加密密钥 K,解密密钥 K,明文 X,明文 X,密文 Y = EK

3、(X),截取者,截获,篡改,密钥源,安全信道,8,9.2 数据加密技术,密码编码学(cryptography)是密码体制的设计学,而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。,9,1 常规密钥密码体制,所谓常规密钥密码体制,即加密密钥与解密密钥是相同的密码体制。 这种加密系统又称为对称密钥系统。我们先介绍在常规密钥密码体制中的两种最基本的密码。,10,数据加密标准 DES,数据加密标准 DES 属于常规密钥密码体制,是一种分组密码。 在加密前,先对整个明文进行分组。每一个组长为 6

4、4 bit。 然后对每一个 64 bit 二进制数据进行加密处理,产生一组 64 bit 密文数据。 最后将各组密文串接起来,即得出整个的密文。 使用的密钥为 64 bit(实际密钥长度为 56 bit,有 8 bit 用于奇偶校验)。,DES 加密标准 encrypt decrypt standard,K16 (48 bit),K2 (48 bit),K1 (48 bit),12,DES 的明显缺点,DES 实际上就是一种单字符替代,而这种字符的长度是 64 bit。 也就是说,对于 DES 算法,相同的明文就产生相同的密文。这对 DES 的安全性来说是不利的。 为了提高 DES 的安全性,

5、可采用加密分组链接的方法。,13,加密分组的链接,X0,Y0,X1,Y1,X2,Y2,X3,Y3,X0,Y0,X1,Y1,X2,Y2,X3,Y3,初始 向量,初始 向量,密钥,密钥,明文,明文,密文,密文,加密,解密,E,E,E,E,D,D,D,D,14,三重 DES (Triple DES),三重 DES 使用两个密钥,执行三次 DES 算法。下图中的方框 E 和 D 分别表示执行加密和解密算法。因此加密时是 E-D-E,解密时是 D-E-D。,E,D,E,K1,K2,K1,明文,密文,D,E,D,K1,K2,K1,密文,明文,加密,解密,15,DES 的保密性,DES 的保密性仅取决于对密

6、钥的保密,而算法是公开的。尽管人们在破译 DES 方面取得了许多进展,但至今仍未能找到比穷举搜索密钥更有效的方法。,16,2 公开密钥密码体制,公开密钥密码体制使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 公开密钥密码体制的产生主要是因为两个方面的原因,一是由于常规密钥密码体制的密钥分配问题,另一是由于对数字签名的需求。 现有三种公开密钥密码体制,其中最著名的是RSA 体制,它基于数论中大数分解问题的体制,由美国三位科学家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式发表的RSA体制。,17,公

7、开密钥与秘密密钥,在公开密钥密码体制中,加密密钥(即公开密钥) PK(public key) 是公开信息,而解密密钥(即秘密密钥) SK (secret key)是需要保密的。 加密算法 E 和解密算法 D 也都是公开的。 虽然秘密密钥 SK 是由公开密钥 PK 决定的,但却不能根据 PK 计算出 SK。,18,公开密钥算法的特点,(1) 发送者用公开密钥PK 对明文 X 加密后,在接收者用秘密密钥SK 解密,即可恢复出明文,或写为:DSK(EPK(X) X (9-5) 解密密钥是接收者专用的秘密密钥,对其他人都保密。 此外,加密和解密的运算可以对调,即EPK(DSK(X) X (2)公开密钥

8、是公开的,但不能用它来解密,即DPK(EPK(X) X (9-6) (3) 在计算机上可容易地产生成对的 PK 和 SK。 (4) 从已知的 PK 实际上不可能推导出 SK,即从 PK 到 SK 是“计算上不可能的”。 (5) 加密和解密算法都是公开的。,19,公开密钥密码体制,接收者,发送者,E 加密算法,D 解密算法,公开密钥 PK,秘密密钥 SK,明文 X,密文 Y = EPK(X),密钥对 产生源,明文 X = DSK(EPK(X),20,3 数字签名,数字签名必须保证以下三点: (1) 接收者能够核实发送者对报文的签名; (2) 发送者事后不能抵赖对报文的签名; (3) 接收者不能伪

9、造对报文的签名。 现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。,21,D,SK,PK,用公开密钥核实签名,用秘密密钥进行签名,X,发送者 A,接收者 B,DSK(X),X,E,22,4 报文鉴别,报文鉴别使得通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等)的真伪。 使用加密就可达到报文鉴别的目的。但在网络的应用中,许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。 报文摘要 MD (Message Digest) 报文 m 经过报文摘要算法运算后得出固定长度的报文摘要 H(m)。,23,报文摘要算法必须满足以下两个

10、条件,内容不同的明文,通过散列算法(hash函数)得出的结果(密码学称为信息摘要)相同,就称为发生了“碰撞” (1)弱无碰撞:任给一个报文摘要值 x,若想找到一个报文 y 使得 H(y) = x,则在计算上是不可行的。 (2)强无碰撞:若想找到任意两个报文 x 和 y,使得H(x) = H(y),则在计算上是不可行的。,24,发送端将报文 m 经过报文摘要算法运算后得出固定长度的报文摘要 H(m)。然后对 H(m) 进行加密,得出EK(H(m),并将其追加在报文 m 后面发送出去。 接收端将 EK(H(m) 解密还原为 H(m),再将收到的报文进行报文摘要运算,看得出的是否为此 H(m)。 如

11、不一样,则可断定收到的报文不是发送端产生的。 报文摘要的优点就是:仅对短得多的定长报文摘要 H(m)进行加密比对整个长报文 m 进行加密要简单得多。 M 和 EK(H(m) 合在一起是不可伪造的,是可检验的和不可抵赖的。,25,王小云与MD5和SHA-1的破解,多个国家计划不再将MD5用于商业加密 美国国家标准与技术研究院(NIST) 已建议开发人员在2010年后不再使用SHA-1转向使用更安全,也更复杂的SHA-256和SHA-512算法,山东大学的王小云教授,26,王小云与MD5和SHA-1的破解,2004年8月,国际密码大会上,王小云宣布可以在较短的时间内找到MD5算法的碰撞,意味着MD

12、5的强无碰撞条件不再成立。MD5可以认为从理论上已被破解,因为根据王小云教授的方法,著名密码学家A.Lenstra等人声称已经成功地构造了两张符合X.509证书数据结构,拥有同样签名而内容却不同的证书。 2005年2月15日,国际信息安全RSA研讨会上,王小云宣布发现完全SHA-1(full SHA-1)算法的碰撞,SHA-1 算法破解超前迈出了巨大的一步。 王小云采用的方法被称为“比特追踪法”,27,9.6网络管理 9.6.1网络管理简介,网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行

13、性能,服务质量等。网络管理常简称为网管。,28,网络管理的一般模型,管理站,因特网,网络 管理员,被管设备, 管理程序(运行 SNMP 客户程序), 代理程序(运行 SNMP 服务器程序),A,A,A,A,M,被管设备,被管设备,被管设备,M,A,A,被管设备,网管协议,29,网络管理模型中的主要构件,管理站。也常称为网络运行中心 NOC (Network Operations Center),是网络管理系统的核心。管理站的关键构件是管理程序,在运行时就成为管理进程。管理站(硬件)或管理程序(软件)都可称为管理者(manager)。Manager 不是指人而是指机器或软件。 网络管理员(adm

14、inistrator) 指的是人。大型网络往往实行多级管理,因而有多个管理者,而一个管理者一般只管理本地网络的设备。,30,管理信息库 MIB (Management Information Base),SNMP的网络管理由三部分组成,MIB,SMI,SNMP本身 被管对象必须维持可供管理程序读写的若干控制和状态信息。这些信息总称为管理信息库 MIB (Management Information Base) 。 管理程序使用 MIB 中这些信息的值对网络进行管理(如读取或重新设置这些值),31,代理(agent),在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信。这些运行着的程序叫做网络管理代理程序,或简称为代理。 代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。,32,网络管理协议,网络管理协议,简称为网管协议。 需要注意的是,并不是网管协议本身来管理网络。网管协议就是管理程序和代理程序之间进行通信的规则。 网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 经营企划

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报