Ch9网络安全教案分析.ppt

第九章 网络安全 9.1 基本概念 9.2 加密算法 9.3 机密性 9.4认证 9.5 数字签名 9.6 密钥分发 9.7 因特网安全 9.8 防火墙和IDS 9.9 DDoS攻击 9.1 基本概念 9.1.1 病毒、蠕虫、木马和漏洞 9.1.2 安全特性 9.1.3 网络攻击 9.1.4 安全防护 9.1.5 密码学 安全特性 完整性、机密性、可用性、不可否认性和可控性。 所谓完整性是指保护信息不被非授权修改或破坏； 可用性是指避免拒绝授权访问或拒绝服务； 机密性是指保护信息不被非授权泄露以及对通信对象的身份认证（authentication）和不可抵赖（non-repudiation）。 安全攻击 加解密模型 9.2 加密算法 9.2.1对称密钥加密 9.2.2公开密钥加密 9.2.3两者比较 对称密钥加密 公开密钥加密 9.3 机密性 9.3.1基于对称密钥加密的机密性保护 9.3.2基于公开密钥加密的机密性保护 基于对称密钥加密的机密性保护 基于公开密钥加密的机密性保护 9.4认证 9.4.1基于对称密钥加密的认证 9.4.2基于公开密钥加密的认证 9.4.1基于对称密钥加密的认证 9.4.1基于对称密钥加密的认证 9.4.1基于对称密钥加密的认证 9.4.1基于对称密钥加密的认证 简化后的挑战－应答认证协议 9.4.2基于公开密钥加密的认证 9.5 数字签名 9.5.1对整个文档进行签名 9.5.2对报文摘要进行签名 9.5.1对整个文档进行签名 9.5.2 对文档摘要进行签名 9.6 密钥管理 9.6.1 对称密钥分发 9.6.2 公开密钥分发 Diffie-Hellman密钥交换 Diffie-Hellman密钥交换 Diffie-Hellman密钥交换 Diffie-Hellman密钥交换 Diffie-Hellman密钥交换 Diffie-Hellman密钥交换 密钥分发中心KDC 密钥分发中心KDC Kerberos服务器 Kerberos例子 CA层次 9.7 因特网安全 9.7.1 IP层的安全：IPSec 9.7.2 传输层安全TLS 9.7.3 极好私密性（PGP） 9.7.4 VPN 9.7.1 IP层的安全：IPSec IPSec（IP Security）是IETF设计的一组协议，用来对因特网上传送的IP报文提供安全服务。 IPSec没有规定任何特定的加密算法或认证方法。相反，它只提供了安全框架、机制和一组协议用于让实体自动选择加密、认证或散列算法。 IPSec协议族主要包括认证头部AH（Authentication Header）、封装安全有效载荷ESP（Encapsulating Security Payload）、因特网密钥交换IKE（Internet Key Exchange）和因特网安全与密钥管理协议ISAKMP（Internet Security And Key Management Protocol）以及各种加密算法等。 传输方式 隧道方式 AH ESP 9.7.2 传输层安全TLS TLS协议 9.7.3 极好私密性（PGP） 极好私密性PGP（Pretty Good Privacy）是由Phil Zimmermann发明的。PGP对电子邮件提供4个方面的安全（机密性、完整性、认证和不可否认）。 PGP使用数字签名（报文摘要和公钥加密的组合）来提供完整性、认证和不可否认。同时，PGP使用对称密钥和公钥的组合进行加密来提供必威体育官网网址。 在发送方的PGP 在接收方的PGP 9.7.4 VPN 采用租用线路组建专用网的好处是安全性、可靠性高，而且在专用网内部可以使用私有地址，不需要向因特网管理机构申请IP地址；但是专用网的建设费用非常高。一种解决问题的方法是基于因特网上组建专用网，这就是虚拟专用网（Virtual Private Network，VPN）。 在因特网上构建VPN的最主要技术是隧道。所谓“隧道”就是这样一种封装技术，即利用一种网络协议来传输另一种网络协议。隧道技术通过某种隧道封装协议，将其他协议产生的帧或报文封装在隧道协议的报文中在网络中传输，在隧道出口处将隧道报文解封装，取出其中的帧或报文。隧道技术涉及了三种网络协议，隧道（封装）协议、承载（传送、投递）协议和乘客协议。 典型拨号VPN业务示意图 VPN例子 9.8 防火墙和IDS 报文过滤 应用层网关 9.9 DDoS攻击 拒绝服务（Denial of Service，DoS）攻击方式有很多种，从广义上讲，任何可以通过合法的方式使服务器不能提供正常服务的攻击手段都属于DoS攻击的范畴。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务器资源，从而使合法用