计算机网络技术第9章.pptVIP

第9章  计算机网络安全 主要内容 9.1 网络安全概述 9.2 密码学 9.3 防火墙技术 9.4 计算机病毒与木马防治 9.1 网络安全概述 9.1.1 计算机网络面临的安全威胁 9.1.2 网络安全服务 9.1.3 网络安全机制 9.1.4 网络安全标准 9.1.1 计算机网络面临的安全威胁 (1)伪装 (2)非法连接 (3)非授权访问 (4)拒绝服务 (5)抵赖 (6)信息泄露 (7)通信量分析 (8)无效的信息流 (9)篡改或破坏数据 (10)推断或演绎信息 (11)非法篡改程序 9.1.2 网络安全服务 ISO描述了在OSI参考模型下进行安全通信所必须提供的5种安全服务 鉴别服务 访问控制服务 数据必威体育官网网址服务 数据完整性服务 防抵赖服务-数字签名 9.1.3 网络安全机制 加密机制 数字签名机制 访问控制机制 数据完整性机制 认证（鉴别）机制 通信业务填充机制 路由选择控制机制 公证机制 9.1.4 网络安全标准 可信任计算机标准评估准则(TCSEC) 1970年由美国国防科学委员会提出 ，于1985年12月由美国国防部公布，最初只是军用标准，后来延至民用领域。 TCSEC将计算机系统的安全划分为4个等级共7个级别，即D、C1、C2、B1、B2、B3与A1。其中D级系统的安全要求最低，A1级系统的安全要求最高。 D级安全标准要求最低，属于非安全保护类，它不能用于多用户环境下的重要信息处理。D类只有一个级别。 C级系统为用户能定义访问控制要求的自主保护类型，它分为两个级别：C1级和C2级。 B级系统属于强制型安全保护类，即用户不能分配权限，只有网络管理员可以为用户分配访问权限。B类系统分为3个级别。 A1级系统要求的安全服务功能与B3级系统基本一致。A1级系统在安全审计、安全测试、配置管理等方面提出了更高的要求。 一般的UNIX系统通常只能满足C2级标准，只有一部分产品可以达到B1级标准的要求。 9.1.4 网络安全标准（续） 我国的计算机网络安全标准 GB17895－1999《计算机信息系统安全保护等级划分准则》于2001年1月1日正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。 主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等，这些指标涵盖了不同级别的安全要求。 9.2 密码学 9.2.1 密码技术概述 9.2.2 对称密码 9.2.3 非对称密码 9.2.4 数字签名技术 9.2.1 密码技术概述 密码学（Cryptography）一词来源于希腊语中的短语“secret writing(秘密的书写)”。 古希腊人使用一根叫做scytale的棍子来加密。送信人先在棍子上呈螺旋式绕一张纸条，然后把信息竖写在纸条上，收信人如果不知道棍子的直径，就不能正确地恢复信息。 密码学包括密码编码学与密码分析学。 人们利用加密算法和密钥来对信息编码进行隐藏，而密码分析学则试图破解算法和密钥。 9.2.2 对称密码 对称加密的基本概念 典型的对称加密算法 对称加密的基本概念 对称加密技术对信息的加密与解密都使用相同的密钥，因此又被称为密钥密码技术。 由于在对称加密体系中加密方和解密方使用相同的密钥，系统的必威体育官网网址性主要取决于密钥的安全性。 典型的对称加密算法 数据加密标准（Data Encryption Standard，DES）是典型的对称加密算法，它是由IBM公司提出，于1977年被美国政府采用。 DES是一种对二元数据进行加密的算法。明文按64位数据块的单位被加密，生成64位密文。DES算法带一个56位密钥作为参数。DES的整个体制是公开的，系统的安全性完全依赖于密钥的必威体育官网网址。 已经有一些比DES算法更安全的对称加密算法，如IDEA算法、RC2算法、RC4算法与Skipjack算法等。 DES算法的执行过程 9.2.3 非对称密码 非对称加密的基本概念 非对称加密的标准 非对称加密的基本概念 非对称加密技术对信息的加密与解密采用不同的密钥，用来加密的密钥是可以公开的，用来解密的私钥是需要必威体育官网网址的，因此又被称为公钥加密（Public Key Encryption）技术。 非对称加密的产生主要因为两个方面的原因，一是由于对称密码的密钥分配问题，另一个是对数字签名的需求。 非对称加密技术与对称加密技术相比，其优势在于不需要共享通用的密钥，用于解密的密钥不需要发往任何地方，公钥在传递和发布过程中即使被截获，由于没有与公钥相匹配的私钥，截获的公钥对入侵者也就没有太大意义。公钥加密技术的主要缺点是加密算法复杂，加密与