計算機網(wǎng)絡概論劉兵制作1/50學習關鍵點：?

計算機網(wǎng)絡安全基本概念和基礎知識?

數(shù)據(jù)加密方法?

數(shù)字署名原理?

防火墻第7章計算機網(wǎng)絡安全

2/507.1計算機網(wǎng)絡安全概述7.2數(shù)據(jù)加密7.3數(shù)字署名7.4防火墻退出第7章計算機網(wǎng)絡安全

3/507.1計算機網(wǎng)絡安全概述7.1.1計算機網(wǎng)絡安全基礎知識

7.1.2計算機網(wǎng)絡面臨主要威脅

返回4/507.1.1計算機網(wǎng)絡安全基礎知識

1.計算機網(wǎng)絡安全含義

計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)受到保護，不會因偶然或者惡意原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中止。

5/50計算機網(wǎng)絡安全又分為：（l）運行系統(tǒng)安全，即確保信息處理和傳輸系統(tǒng)安全。

（2）網(wǎng)絡上系統(tǒng)信息安全。

（3）網(wǎng)絡上信息傳輸安全。全。

（4）網(wǎng)絡上信息內(nèi)容安全。

6/502.網(wǎng)絡安全特征（1）保密性：（2）完整性：（3）可用性：（4）可控性：7/503.網(wǎng)絡安全策略（1）

網(wǎng)絡用戶安全責任（2）

系統(tǒng)管理員安全責任（3）

正確利用網(wǎng)絡資源（4）

檢測到安全問題時對策8/504.網(wǎng)絡安全性辦法

（1）網(wǎng)絡安全辦法

要實施一個完整網(wǎng)絡安全系統(tǒng)，最少應該包含三類辦法： 社會法律、法規(guī)以及企業(yè)規(guī)章制度和安全教育等外部軟件環(huán)境。 技術方面辦法，如網(wǎng)絡防毒、信息加密、存放通信、授權、認證以及防火墻技術。

審計和管理辦法，這方面辦法同時也包含了技術與社會辦法。

9/50（2）網(wǎng)絡安全性方法為網(wǎng)絡安全系統(tǒng)提供適當安全慣用方法有：修補系統(tǒng)漏洞、病毒檢驗、加密、執(zhí)行身份判別、防火墻、捕捉闖進者、直接安全、空閑機器守則、廢品處理守則、口令守則。

10/501.概述計算機網(wǎng)絡受到安全威脅主要來自以下幾個方面：

竊取網(wǎng)絡信息。 中止網(wǎng)絡信息。

篡改網(wǎng)絡信息。

仿冒用戶身份。7.1.2計算機網(wǎng)絡面臨主要威脅11/50計算機網(wǎng)絡安全性威脅又分成兩大類：一個是被動攻擊一個是主動攻擊。12/502.惡意程序

對計算機網(wǎng)絡安全威脅較大有： 計算機病毒 計算機蠕蟲 特洛伊木馬 邏輯炸彈等。

13/507.2數(shù)據(jù)加密

7.2.1普通數(shù)據(jù)加密模型

7.2.2常規(guī)密鑰密碼體制

返回7.2.3公開密鑰密碼體制

14/50密碼學是以研究秘密通信為目標，即研究對傳輸信息采取何種秘密變換以預防第三者對信息竊取.密碼學分為密碼編碼學和密碼分析學，其中密碼編碼學是密碼體制設計學，而密碼分析學則是在未知密鑰情況下從密文推演出明文或密鑰技術。

7.2.1普通數(shù)據(jù)加密模型

15/50一組含有參數(shù)k變換E。設已知信息m（又稱之為明文），經(jīng)過變換E，得到密文c，即c=Ek(m)這個過程稱之為加密，參數(shù)k稱之為密鑰，變換E稱之為加密算法。16/50 常規(guī)密鑰密碼體制就是指加密密鑰與解密密鑰是相同密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。 常規(guī)密鑰密碼體制有各種加密方法，這里僅講授三種方法：棋盤密碼、替換密碼和換位密碼。

7.2.1普通數(shù)據(jù)加密模型

17/501.棋盤密碼

其加密思想是：將26個英文字母排列在一個5×5方格里，其中i和j填在同一格這么26個英文字母中每一個字母都對應著由ξη所組成一個數(shù)，其中，ξ是該字母所在行標號、η表示是列標號。18/50

ηξ123451abcde2fgH2ijk3lmnop4qrstu5vwxyz19/502.替換密碼

用一組密文字母來代替一組明文字母能夠隱藏明文，但保持明文字母位置不變。20/503.換位密碼

對明文字母次序按密鑰規(guī)律對應排列組合后輸出，然后形成密文。原理以下:密鑰必須是一個不含重復字母單詞或短語，加密時將明文按密鑰長度截成若干行排在密鑰下面（不足時候按次序補字母），按照密鑰鑰字母在英文字母表中先后次序給各列進行編號，然后按照編好次序按列輸出明文即成密文。21/50

比如：加密密鑰為COMPUTER，加密明文為：pleaseexecutethelatestscheme（1）密鑰COMPUTER各字母按照英文26個字母中先后次序排列以下：1435872622/50（2）再把明文按那么按照密鑰長度截成若干行排，以以下形式寫出來： COMPUTER pleaseex ecutethe latestsc hemeabcd（3）按照密鑰各字母先后次序按列輸出明文即成密文。那么輸出密文為：PELHEHSCEUTMLCAEATEEXECDETTBSESA23/50主要在于其密鑰管理：（1）進行安全通信前需要以安全方式進行密鑰交換。（2）密鑰規(guī)模復雜。4.以上加密方法缺點

24/50從數(shù)學模型角度來說，要想從加密密鑰不能推導出解密密鑰，則加密算法E與解密算法D必須滿足三個條件：①D(E(P))=P已知E，不能由E=>D③

使用“選擇明文”不能攻破E。

7.2.3公開密鑰密碼體制

25/50公開密鑰算法特點以下：（1）發(fā)送者用加密密鑰（或稱公開密鑰）PK對明文X加密后，在接收者用解密密鑰（或稱秘密密鑰）SK解密，即可恢復出明文，或?qū)憺椋? DSK（EPK（X））

X解密密鑰是接收者專用秘密密鑰，對其它人都保密。26/50（2）加密密鑰是公開，但不能用它來解密，即DPK（EPK（X））≠X（3）在計算機上能夠輕易地產(chǎn)生成正確PK和SK。（4）從已知PK實際上不可能推導出SK，即從PK到SK是“計算上不可能”。且加密和解密算法都是公開。

27/5028/507.3數(shù)字署名

數(shù)字署名(DigitalSignature)是指用戶用自己私鑰對原始數(shù)據(jù)哈希摘要進行加密所得數(shù)據(jù)。信息接收者使用信息發(fā)送者公鑰對附在原始信息后數(shù)字署名進行解密后取得哈希摘要，并經(jīng)過與自己用收到原始數(shù)據(jù)產(chǎn)生哈希摘要對照，便可確信原始信息是否被篡改。

29/507.3.1數(shù)字署名概述

署名表達了以下幾個方面確保：（1）署名是可信。（2）署名是不可偽造。（3）署名不可重用。（4）署名后文件是不可變。（4）署名是不可抵賴。30/507.3.1數(shù)字署名概述

為使數(shù)字署名能代替?zhèn)鹘y(tǒng)署名，必須確保以下三個條件：（1）接收者能夠核實發(fā)送者對報文署名；（2）發(fā)送者事后不能抵賴對報文署名；（3）接收者不能偽造對報文署名。31/507.3.2數(shù)字署名實現(xiàn)

32/5033/507.4防火墻

7.4.1什么是防火墻

防火墻技術就是一個保護計算機網(wǎng)絡安全技術性辦法，是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間實現(xiàn)控制策略系統(tǒng)，主要是為了用來保護內(nèi)部網(wǎng)絡不易受到來自Internet侵害。34/5035/50防火墻主要功效以下：

（1）過濾不安全服務和非法用戶，禁止未授權用戶訪問受保護網(wǎng)絡。（2）控制對特殊站點訪問。（3）提供監(jiān)視Internet安全和預警方便端點。36/50對于以下情況防火墻無能為力：（1）不能防范繞過防火墻攻擊。（2）普通防火墻不能預防受到病毒感染軟件或文件傳輸。（3）不能預防數(shù)據(jù)驅(qū)動式攻擊。（4）難以防止來自內(nèi)部攻擊。37/507.4.2防火墻三種類型

1.網(wǎng)絡級防火墻

由一個路由器或一臺充當路由器計算機組成。 包過濾路由器對所接收每個數(shù)據(jù)包進行審查，方便確定其是否與某一條包過濾規(guī)則匹配。

38/502.應用級防火墻

應用級防火墻通常指運行代理（Proxy）服務器軟件一臺計算機主機。

3.電路級防火墻是一個含有特殊功效防火墻，它能夠由應用層網(wǎng)關來完成。電路層網(wǎng)關只依賴于TCP連接，并不進行任何附加包處理或過濾。

39/507.4.3防火墻體系結構

1.雙重宿主主機體系結構

雙重宿主主機體系結構是指在內(nèi)部網(wǎng)絡和外部網(wǎng)絡接口處使用最少兩個網(wǎng)絡設備，這些網(wǎng)絡設備能夠是路由器或普通計算機，其中一個連接內(nèi)部網(wǎng)絡（稱為內(nèi)部分組過濾器），另一個連接外部網(wǎng)絡（稱為外部分組過濾器），它們之間由設備連接

40/5041/507.4.3防火墻體系結構

2.主機過濾體系結構這種結構由硬件和軟件共同完成，硬件主要是指路由器，軟件主要是指過濾器，它們共同完成外界計算機訪問內(nèi)部網(wǎng)絡時從IP地址或域名上限制，也能夠指定或限制內(nèi)部網(wǎng)絡訪問Internet。42/507.4.3防火墻體系結構

3.子網(wǎng)過濾體系結構43/507.4.4包過濾技術

包過濾（PacketFilter）是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇經(jīng)過。依據(jù)系統(tǒng)內(nèi)事先設定過濾邏輯，檢驗數(shù)據(jù)流中每個數(shù)據(jù)包后，依據(jù)數(shù)據(jù)包源地址、目標地址、TCP/UDP源端口號、TCP/UDP目標端口號以及數(shù)據(jù)包頭中各種標志位等原因來確定是否允許數(shù)據(jù)包經(jīng)過，其關鍵是安全策略即過濾算法設計。

44/501.包過濾是怎樣工作包過濾技術能夠允許或不允許一些包在網(wǎng)絡上進行傳遞，其依據(jù)以下判據(jù)：（1）將包目標地址作為判據(jù)；（2）將包源地址作為判據(jù)；（3）將包傳送協(xié)議作為判據(jù)。

45/502.包過濾優(yōu)缺點（1）包過濾優(yōu)點僅用一個放置在主要位置上包過濾路由器就可保護整個網(wǎng)絡。假如內(nèi)部網(wǎng)絡中站點與Internet網(wǎng)絡之間只有一臺路由器，那么不論內(nèi)部網(wǎng)絡規(guī)模有多大，只要在這臺路由器上設置適當包過濾，內(nèi)部網(wǎng)絡中站點就可取得很好網(wǎng)絡安全保護。

46/50（2）包過濾缺點①

在機器中配置包過濾規(guī)則比較困難；②

對系統(tǒng)中包過濾規(guī)則配置進行測試也較麻煩