收藏
下载资源 加入VIP免费专享

第七章网络安全计算机网络.ppt

上传人:sccc 文档编号:5933833 上传时间:2023-09-06 格式:PPT 页数:41 大小:377.54KB
返回 下载 相关 举报
第七章网络安全计算机网络.ppt_第1页
第1页 / 共41页
第七章网络安全计算机网络.ppt_第2页
第2页 / 共41页
第七章网络安全计算机网络.ppt_第3页
第3页 / 共41页
第七章网络安全计算机网络.ppt_第4页
第4页 / 共41页
第七章网络安全计算机网络.ppt_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《第七章网络安全计算机网络.ppt》由会员分享,可在线阅读,更多相关《第七章网络安全计算机网络.ppt(41页珍藏版)》请在三一办公上搜索。

1、计算机网络(第 5 版),第 7 章 网络安全,第8章 网络安全,加密:防止信息落入非授权用户之手认证(鉴别):在对话前确认对方的身份认可(签名):防止对方抵赖和伪造完整性控制:确认所收到的信息在传输过程中没有被篡改,本章将讨论:,密码学对称密钥体制公开密钥体制数字签名公钥管理,通信安全防火墙,第 7 章 网络安全,7.1 网络安全问题概述 7.1.1 计算机网络面临的安全性威胁 7.1.2 计算机网络安全的内容 7.1.3 一般的数据加密模型7.2 两类密码体制 7.2.1 对称密钥密码体制 7.2.2 公钥密码体制,第 7 章 网络安全(续),7.3 数字签名7.4 鉴别 7.4.1 报文

2、鉴别 7.4.2 实体鉴别7.5 密钥分配 7.5.1 对称密钥的分配 7.5,2 公钥的分配,第 7 章 网络安全(续),7.6 因特网使用的安全协议 7.6.1 网络层安全协议 7.6.2 运输层安全协议 7.6.3 应用层的安全协议破7.7 链路加密与端到端加密 7.7.1 链路加密 7.7.2 端到端加密7.8 防火墙,7.1 网络安全问题概述 7.1.1 计算机网络面临的安全性威胁,计算机网络上的通信面临以下的四种威胁:(1)截获从网络上窃听他人的通信内容。(2)中断有意中断他人在网络上的通信。(3)篡改故意篡改网络上传送的报文。(4)伪造伪造信息在网络上传送。截获信息的攻击称为被动

3、攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,明文 X,截获,密文 Y,7.1.3 一般的数据加密模型,加密密钥 K,明文 X,密文 Y,截取者,篡改,A,B,E 运算加密算法,D 运算解密算法,因特网,解密密钥 K,传统的数据加密模型说明,明文P用加密算法E和加密密钥K加密,得到密文C=EK(P)在传送过程中可能出现密文截取者到了接收端,利用解密算法D和解密密钥K,解出明文为:DK(C)=DK(EK(P)=P截取者又称为攻击者,或入侵者在这里我们假定

4、加密密钥和解密密钥都是一样的,但实际上它们可以是不一样的(即使不一样,这两个密钥也必然有某种相关性)密钥通常是由一个密钥源提供,当密钥需要向远地传送时,一定要通过另一个安全信道 Kerckhoff法则:算法是公开的,密钥是保密的,7.2 两类密码体制 7.2.1 对称密钥密码体制,所谓常规密钥密码体制,即加密密钥与解密密钥是相同的密码体制。这种加密系统又称为对称密钥系统。,1、凯撒密码(替换密码),a-D、b-E、c-F、d-G、e-H s-V、z-C eg.明文:access control 可变为:DFFHVV FRQWURO 密钥为:移4位,改进1:允许移位k位,k为密钥,解密要尝试25

5、种可能,用对照表,第二行的26个字母次序即为密钥解密要尝试26!=4 x 1026 种情况,假设1s测试一个密钥也需1010年 但解密方法可用:分布式计算,2、变位密码(Transposition cipher),每个码不变,但位置改变,最常用的是列变位加密,例:密钥为MEGABUCK 明文为:pleasetransferonemilliondollarstomyswissbankaccountsixtwotwo密文为:AFLLSKSOSELAWAIATOOSSCTCLNMOMANTESILYNTWRNNTSOWDPAEDOBUOERIRICXB,Tnbm P729 Fig.8-3 变位密码,

6、3、数据加密标准 DES,数据加密标准 DES 属于常规密钥密码体制,是一种分组密码。在加密前,先对整个明文进行分组。每一个组长为 64 位。然后对每一个 64 位 二进制数据进行加密处理,产生一组 64 位密文数据。最后将各组密文串接起来,即得出整个的密文。使用的密钥为 64 位(实际密钥长度为 56 位,有 8 位用于奇偶校验)。,DES 的保密性,DES 的保密性仅取决于对密钥的保密,而算法是公开的。尽管人们在破译 DES 方面取得了许多进展,但至今仍未能找到比穷举搜索密钥更有效的方法。DES 是世界上第一个公认的实用密码算法标准,它曾对密码学的发展做出了重大贡献。目前较为严重的问题是

7、DES 的密钥的长度。现在已经设计出来搜索 DES 密钥的专用芯片。,7.2.2 公钥密码体制,公钥密码体制使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。密钥是成对产生的 加密密钥不能用来解密 DSK(EPK(P)=P 但DPK(EPK(P)P 加密密钥和算法是公开的,解密密钥是保密的 从PK(加密密钥)导出SK(解密密钥)极其困难,加密密钥与解密密钥,在公钥密码体制中,加密密钥(即公钥)PK 是公开信息,而解密密钥(即私钥或秘钥)SK 是需要保密的。加密算法 E 和解密算法 D 也都是公开的。虽然秘钥 SK 是由公钥 PK 决定的,但却不能根

8、据 PK 计算出 SK。,公开密钥算法模型,公开密钥算法中RSA算法最有代表性 RSA算法:基于数论,公钥密码体制,密文Y,E 运算加密算法,D 运算解密算法,加密,解密,明文 X,明文 X,A,B,B 的私钥 SKB,密文Y,因特网,B 的公钥 PKB,公钥算法的过程,发送者 A 用 B 的公钥 PKB 对明文 X 加密(E 运算)后,在接收者 B 用自己的私钥 SKB 解密(D 运算),即可恢复出明文:(7-4)解密密钥是接收者专用的秘钥,对其他人都保密。加密密钥是公开的,但不能用它来解密,即,(7-5),公钥算法的过程(续),加密和解密的运算可以对调,即 在计算机上可容易地产生成对的 P

9、K 和 SK。从已知的 PK 实际上不可能推导出 SK,即从 PK 到 SK 是“计算上不可能的”。加密和解密算法都是公开的。,(7-6),7.3 数字签名,数字签名必须保证以下三点:(1)报文鉴别接收者能够核实发送者对报文的签名;(2)报文的完整性发送者事后不能抵赖对报文的签名;(3)不可否认接收者不能伪造对报文的签名。,数字签名用来验证计算机网络中传送的电文的真实性,数字签名必须实现的三个功能是什么?,数字签名的实现,1、采用对称密钥的数字签名2、采用公开密钥的数字签名3、采用报文摘要的数字签名,使用对称密钥加密技术的模型描述数字签名的过程。,使用公开密钥加密技术的模型描述数字签名的过程。

10、,1、采用对称密钥的数字签名,一个公认的信任机构BB,负责给每个人分配密码 传输时,也必须通过该信任机构,如A发一消息给B,A必须先用自己的密钥加密后发给信任机构BB,信任机构BB解密,然后BB用B的密钥加密后发给B,Tnbm P757 Fig.8-18,2、采用公开密钥的数字签名,对称密钥加密的问题:需要有公认的信任机构,但有时难以找到这样的机构公开密钥加密不需要有公认的信任机构,Tnbm P758 Fig.8-19 公开密钥的数字签名,具有保密性的数字签名,核实签名,解密,加密,签名,E 运算,D 运算,明文 X,明文 X,A,B,A 的私钥 SKA,因特网,E 运算,B 的私钥 SKB,

11、D 运算,加密与解密,签名与核实签名,B 的公钥 PKB,A 的公钥 PKA,密文,3、报文鉴别,在信息的安全领域中,对付被动攻击的重要措施是加密,而对付主动攻击中的篡改和伪造则要用鉴别(authentication)。报文鉴别使得通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等)的真伪。,报文摘要(Message Digest),用于对文件的认证,保证文件的完整性、正确性不需要对完整的信息进行加密报文摘要(MD)是基于一个单向的hash函数,从明文中取出任意长的部分,从中计算出一个定长的bit串报文摘要的特性给定明文P,很容易就能计算出MD(P)给定MD(P),不可能推算

12、出P给定P,不可能发现一个P 并使得MD(P)=MD(P)当输入改变时,甚至改变一个bit,都将产生不同的输出,报文摘要的实现,A,比较,签名,核实签名,报文 X,H,D 运算,D(H),A 的私钥,报文 X,D(H),B,报文摘要,报文 X,D(H),发送,E 运算,H,签名的报文摘要,H,报文摘要运算,A 的公钥,报文摘要运算,报文摘要,报文摘要,因特网,7.5 密钥分配,密钥管理包括:密钥的产生、分配、注入、验证和使用。本节只讨论密钥的分配。密钥分配是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。目前常用的密钥分配方式是设立密钥分配中心 KDC(Key Distribution

13、),通过 KDC 来分配密钥。,7.5.1 对称密钥的分配,目前常用的密钥分配方式是设立密钥分配中心 KDC(Key Distribution Center)。KDC 是大家都信任的机构,其任务就是给需要进行秘密通信的用户临时分配一个会话密钥(仅使用一次)。用户 A 和 B 都是 KDC 的登记用户,并已经在 KDC 的服务器上安装了各自和 KDC 进行通信的主密钥(master key)KA 和 KB。“主密钥”可简称为“密钥”。,对称密钥的分配,A,密钥分配中心KDC,用户专用主密钥,用户 主密钥 A KA B KB,时间,7.5.2 公钥的分配,每个人都有自己的私钥和公钥,那么:怎样把公

14、钥发给其它人呢?对方拿到你的公钥后怎样验证就是你的公钥呢,而不是别人的呢?,解决方法(分情况),有非法者的情况下的通信,Alice,Bob,读Bob的网页,返回Trudy伪造的公钥,用Trudy的公钥加密通信,Trudy,用Bob的公钥加密通信,Tnbm P765 Fig.8-23 Trudy 破坏公开密钥加密的一种方法,证书,设置一个机构CA(Certification Authority)证明某些公钥是属于某个人或某个机构,这个证明称作为证书证书用SHA-1做摘要,该摘要用CA的私钥加密证书的拥有者可将证书放在网上,供希望与他通信的人下载证书可解决伪造者的问题,如伪造者用自己的证书替换Bo

15、b的证书:由于证书中有持有者姓名,Alice马上就可发现有人伪造,7.8 防火墙 Firewall,防火墙的作用 基于协议层的防火墙分类 网络层防火墙 应用层防火墙,1、防火墙的作用,限制外部对内容网络访问,过滤掉不安全服务和非法用户,不受攻击;监视、记录进出内部网的信息,包括流量统计,设置访问控制表等 可以防止内部消息的外泄;可采用加密技术对信息进行加密处理,2、基于协议层的防火墙分类,包过滤器:网络层 应用网关:应用层,3、网络层防火墙,检查的项目 源IP地址 目的IP地址 TCP/IP协议及其源、目的端口号(port number)访问控制表(+表示无限制),4、应用层防火墙,采用代理网关,外部网委托代理执行相应的操作,额外功能:,代理可控制一些服务的子功能,如FTP,可设置服务器只提供get不提供put流量、计费等功能检查传输信息本身,如mail,对不同的应用,应建立不同的应用网关,开销较大,所以通常仅开放几个常用的应用,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑/施工/环境 > 农业报告


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号