第章计算机网络的管理和安全

第10章计算机网络的管理和安全1第10章计算机网络的管理和安全教学目的了解计算机网络管理的一般概念(定义、模型、体系结构、网管功能，以及SNMP协议)了解计算机网络安全的一般概念(需求和攻击)了解数字加密技术(模型和两种密钥密码体制)掌握常用的网络安全访问机制了解因特网的安全协议机制学习内容计算机网络的管理简单网络管理协议SNMP计算机网络的安全数字加密技术网络安全策略因特网的安全协议210.1计算机网络的管理随着计算机网络的发展与普及，计算机网络的管理和安全问题越来越愈受到人们的关注和重视。原因是：①网络必须正常、高效地运行；②网络资源被广泛应用于政治、经济、科学以及军事等各个领域；③网络的用户来自社会各个阶层和部门；④计算机网络中的数据信息在存储和传输过程中，被窃取、复制、泄露或篡改的可能性不断增加；⑤威胁计算机网络管理和安全的因素来自多个方面。31、网络管理概述计算机网络的发展趋势是：网络规模不断扩大，复杂性不断增加，网络异构性越来越高。计算机网络必须有一个高效的网络管理系统，才能为用户提供令人满意的服务。网络管理：简称网管，是以提高整个网络系统的效率、管理和维护水平为目标，主要涉及对一个网络系统的资源和活动，进行监视、测试、配置、分析、协调、评估和控制，并以合理的价格满足网络的一些需求。

网络管理逐渐由人工管理过渡到机器管理，所追求的目标是集成化、开放型、分布式的网络管理。42、网络管理的分类（1）网络服务提供：是指向用户提供新的服务类型、增加网络设备、提高网络性能。（2）网络维护：是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。（3）网络处理：是指网络线路、设备利用率、数据的采集、分析，以及提高网络利用率的各种控制。53、网络管理的一般模型管理站因特网网络管理员被管设备——管理程序（运行SNMP客户程序）——代理程序（运行SNMP服务器程序）AAAAM被管设备被管设备被管设备MAA被管设备网管协议网络管理模型主要由管理站、网管协议、被管对象组成。管理员利用网管协议通过管理站对网络中的被管设备进行管理。管理程序和代理程序按客户/服务器方式工作。管理程序运行SNMP客户程序，向某个代理程序发出请求（或命令），代理程序运行SNMP服务器程序，返回响应（或执行某个动作）。64、OSI的五个管理功能(1)故障管理——对网络中被管对象故障的检测、定位和排除。(2)配置管理——用来定义、识别、初始化、监控网络中的被管对象，改变被管对象的操作特性，报告被管对象状态的变化。(3)计费管理——记录用户使用网络资源的情况并核收费用，同时也统计网络的利用率。(4)性能管理——用最少网络资源和最小时延的前提下，网络能提供可靠、连续的通信能力。(5)安全管理——保证网络不被非法使用。710.2简单网络管理协议SNMP网络管理协议定义了网络管理器与被管代理间的通信方法，管理信息库MIB的存储结构，MIB中关键字的含义，以及各种事件的处理方法。SNMP是为非OSI互联网环境开发的简单、实用的非标准OSI网络管理协议。通过轮询、设置变量值和监视网络事件来达到网管目的的网管协议。

SNMP的基本功能是监视网络性能、检测分析网络差错和配置网络设备等。SNMP由管理者和代理、管理协议和管理信息库所组成，采用管理者–代理(含委托代理)模式，并在管理者–代理之间建立一种安全机制。8网络管理的基本原理：若要管理某个对象，就必然会给该对象添加一些软件或硬件，但这种“添加”必须对原有对象的影响尽量小些。SNMP发布于1988年，SNMP最重要的指导思想就是要尽可能简单。虽然SNMP是在TCP/IP基础上的网络管理协议，但也可扩展到其他类型的网络设备上。10.2简单网络管理协议SNMP9SNMP的特点SNMP采用管理者向代理进行轮询的管理策略。在网络正常工作时，SNMP可实现统计、配置和测试等功能。当网络出故障时，可实现各种差错检测和恢复功能。管理进程和代理进程利用SNMP报文进行通信，而SNMP报文又使用UDP来传送。若网络元素使用的不是SNMP而是另一种网络管理协议，SNMP协议就无法控制该网络元素。这时可使用委托代理。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。10SNMP的管理模型网络接入层IPUDPSNMP管理程序应用层网络接入层IPUDPSNMP管理程序应用层管理进程管理系统被管系统GetGetNextSetSNMP报文因特网被管对象GetResponseTrapGetGetNextSet11SNMP的两种基本操作①“读”操作，利用get报文来检测各个被管对象的状况；②“写”操作，利用set报文来控制各个被管对象的状况。SNMP的五种服务原语：①GetRequest：表示管理者发送给代理的“查询变量”请求。②GetNextRequest：表示管理者发送给代理的“查询下一个变量”的请求。③GetResponse：表示代理对管理者的响应。④SetRequest：表示管理者发送给代理的“设置变量”请求。⑤Trap：当代理发生某些预定的网络事件时，它会主动地向管理者发送一种协议数据单元。12第10章内容提纲10.1计算机网络的管理10.2简单网络管理协议SNMP10.3计算机网络的安全10.4数字加密技术10.5网络安全策略10.6因特网的安全协议13对计算机网络的安全性构成威胁的因素：⑴天灾，如地震、风灾、水灾等自然灾害；⑵事故，如停电、失火等；⑶犯罪，如盗窃、欺诈等；⑷非法使用，指窃取、篡改数据，或者侵犯私人秘密等；⑸信息泄漏，计算机工作时的电磁幅射造成的；⑸人祸，如操作失误或有意过失等，具代表性的有七种。10.3计算机网络的安全14人为侵害计算机网络安全的行为①在通信线路上通过非法搭线窃取数据信息；②系统操作人员超越权限非法获取或篡改数据；③利用系统存在的问题，进行非法访问；④通过盗用他人密码等信息进行非法访问——黑客；⑤通过窃取磁盘、磁带等记录媒体来获取数据；⑥通过废弃的工作用纸来获取信息；⑦编制恶意程序去攻击计算机网络，典型的有四种。15恶意羊程序(r未og飞ue罩p券ro冲gr济am街)(1捷)计算液机病悄毒：一悲种会鸣“传虾染”暂其他妈程序与的程其序，丘“传束染”谦是通稠过修忽改其庄他程输序来雹把自危身或轰其变件种复奸制进布去完彼成的才。(2往)计算吐机蠕肯虫：一种雨通过使网络详的通鬼信功音能将龙自身谊从一晨个结恢点发决送到绿另一汗个结龙点并锡启动怖运行逮的程竖序。(3傲)特洛六伊木速马：一蹈种程屈序，刑它执催行的卖功能猴超出司所声败称的量功能芝。(4述)逻辑蜓炸弹：一雨种当思运行袄环境竭满足快某种表特定攀条件南时执户行其桐他特锤殊功板能的养程序呈。16计算垦机网唐络的适安全盲攻击对计话算机逗网络盲安全冷构成柜威胁郑的两辩种攻我击类臂型：①被动牛攻击：就旱是对狠传输吐的数日据(协议膏数据诸单元PD追U)进行敲窃听加或监液视。对付拾被动骄攻击错应重胜在防椅范而吼不是拿检测可。②主动他攻击：指久对数纽奉据流混的更童改或脏者创晨建假央的数让据流汁。对付夏主动距攻击仙应重务在检协测和之恢复肠。完卖全防效范主四动攻神击必委须对务所有筋通信水设施唱和路业径进修行全旷天候茄的物弯理保伶护。17对网他络的亿被动武攻击误和主吓动攻么击截获篡改伪造中断被动卫攻击主磨动愁攻挡击目的切站源站源站源站源站目的膊站目的族站目的形站在被馋动攻孙击中腔，攻友击者独只是宗观察惩和分灶析某竟一个饥协议脂数据页单元PD曾U而不膝干扰虫信息勺流。18对网村络的根被动盲攻击誉和主烟动攻伪击截获篡改伪造中断被动织攻击主沟动痛攻羞击目的碗站源站源站源站源站目的世站目的废站目的李站主动窜攻击翅是指替攻击辣者对愧某个脱连接丑中通俗过的PD施U进行巡寿各种牵处理奋。拒绝翠报文民服务锅（中猜断）更改后报文增流伪造颈连接符初始损化19研究衰内容纠：保密雷性安全脆协议枯的设纪计接入全控制措施暑：(1揭)防止为析出盗报文俊内容却；(2绵)防止晚通信罚量分枝析；(3醋)检测冻更改暗报文铸流；(4鬼)检测维拒绝咸报文拍服务乎；(5嚼)检测火伪造千初始香化连哑接。网络衣安全坛研究闪内容威与措愧施20第10章走内站容提矩纲10产.1计算叛机网浸络的滋管理10拨.2简单哑网络脾管理张协议SN奸MP10剧.3计算倚机网绵络的毫安全10轿.4数字絮加密佳技术10蒙.5网络伍安全娘策略10嘉.6因特垮网的旬安全小协议2110塔.4数据丝式加密柿技术密码萍编码雨学：是劳密码弟体制情的设妄计学躲；密码抱分析浮学：是斥在未扑知密摆钥的餐情况绪下从掘密文苏推演筛出明仗文或见密钥很的技则术。密码障编码是学与持密码冰分析搅学合胡起来传即为密码荒学。常规若密钥喊密码补体制：即交加密伍密钥愿与解六密密筐钥是众相同疏的密死码体得制。22一般覆的数乔据加探密模阳型E加密往算法D解密兼算法加密申密钥K解密裤密钥K明文X明文X密文Y质=祖EK(X僻)截取高者截获篡改密钥亏源安全滔信道2310摧.4砌.1替代滔密码替代腊密码(s陈ub设st筑it方ut够io册n袋ci先ph项er拿)的原户理可桶用一马个例弦子来飘说明家。（计密钥匙是3）ab刻cd戚ef够gh贴ij膛kl呆mn丸op鄙qr戴st模uv甩wx疤yzDE位FG伴HI冬JK象LM哥NO捎PQ冲RS籍TU厌VW磁XY桐ZA扯BCca扩es帮arci酿ph鉴erFD疲HV浪DU榜F台LS截KH响U明文密文明文c变成迷了密谋文F例：ca骑es暂arci伤ph主er（恺撒挨密码砌）24替代貌密码替代乔密码(s王ub跪st命it持ut粱io您n合ci蛛ph域er就)的原敏理可秀用一乒个例爸子来畏说明界。（痒密钥泊是3）ab牵cd夕ef该gh弄ij虏kl远mn路op盐qr胃st点uv归wx仍yzDE经FG陡HI凤JK晋LM常NO筝PQ辞RS阵TU帐VW拜XY龙ZA血BCca恼es斯arci竞ph蛛erFD光HV依DU浮F际LS矿KH扮U明文密文明文a变成怖了密隆文D25替代尘密码(s罩ub隆st园it愿ut仗io米n迈ci盐ph轨er银)的原坊理可挣用一贤个例资子来择说明欲。（刺密钥繁是3）ab旋cd惠ef膜gh毯ij穗kl海mn里op筋qr欧st车uv瓶wx递yzDE恨FG骂HI充JK驼LM游NO孟PQ立RS造TU帮VW麻XY声ZA乞BCca卧es桃arci派ph逢erFD唐HV议DU科F怎LS歉KH询U明文密文明文e变成润了密仆文H，其燥他同确理。替代夸密码26CI赖PH步ER14团53尘26at诵ta届ckbe烈gi轧nsat嗓fo邪ur10发.4碎.2置换周密码置换滚密码(t啊ra淘ns桶po何si皂ti河on粉c盟ip锡he落r)则是歪按照幕某一墓规则印重新蛾排列晕消息庄中的睛比特详或字裤符顺仿序。密钥顺序明文根据炉英文效字母声在26个字拾母中进的先浑后顺嚼序，咬我们抢可以俯得出咸密钥闹中的氧每一帐个字仗母的隙相对踏先后切顺序断。因衰为密恒钥中迫没有A和B，因叨此C为第1。同乱理，E为第2，H为第3,洋……，R为第6。于裹是得调出密允钥字辅母的辱相对雁先后秒顺序背为14习53秋26。27CI谋PH逢ER14爆53慈26at脑ta谎ckbe惭gi球nsat哭fo天ur置换塞密码置换尾密码(t放ra炼ns吸po活si注ti川on硬c搅ip马he黄r)则是阅按照妙某一消规则财重新茄排列误消息卡中的唐比特聪或字中符顺乞序。密钥顺序明文根据纷英文夹字母间在26个字企母中套的先猎后顺贴序，佩我们衬可以拖得出罢密钥匙中的唯每一饲个字阳母的畜相对景先后减顺序副。因认为密筝钥中扰没有A和B，因侍此C为第1。同必理，E为第2，H为第3,叉……，R为第6。于吸是得席出密良钥字陷母的斜相对素先后柱顺序励为14防53冈26。28CI芦PH岸ER14张53弄26at睡ta强ckbe皇gi笔nsat触fo在ur置换阶密码(t匀ra港ns局po叔si香ti夫on鸦c艺ip太he下r)则是剥按照派某一缝规则该重新福排列顺消息撞中的盒比特寺或字伤符顺以序。密钥顺序明文根据亮英文领字母闸在26个字枕母中甩的先酬后顺洁序，敞我们数可以并得出激密钥赖中的泪每一灵个字悄母的拐相对凤先后彩顺序猎。因锻为密秩钥中丘没有A和B，因虑此C为第1。同桶理，E为第2，H为第3,仁……，R为第6。于驶是得届出密衣钥字酷母的锐相对趁先后天顺序危为14体53被26。置换寸密码29CI滨PH科ER14暖53励26at鲜ta痒ckbe秘gi喜nsat袄fo宇ur置换橡密码(t保ra顿ns兽po微si位ti舍on降c塌ip糕he揉r)则是肢按照坟某一诵规则族重新洞排列炊消息倍中的害比特征或字佩符顺鞋序。密钥顺序明文根据繁英文蓬字母舌在26个字纲母中烛的先记后顺朗序，且我们腿可以字得出包密钥靠中的廊每一麦个字万母的招相对寻先后孟顺序壮。因绩为密雾钥中权没有A和B，因怎此C为第1。同陵理，E为第2，H为第3,办……，R为第6。于芝是得确出密古钥字樱母的秃相对己先后泽顺序顽为14过53幼26。置换颠密码30CI偶PH带ER14炮53树26at蜡ta崇ckbe绍gi急nsat达fo恶ur置换涉密码(t偶ra半ns应po早si勿ti哑on澡c魔ip双he持r)则是屠按照搞某一横规则磁重新逮排列被消息获中的辜比特圣或字没符顺少序。密钥顺序明文根据巾英文歼字母摄在26个字输母中招的先稼后顺悟序，豆我们沫可以狐得出轻密钥卫中的脚每一箭个字留母的是相对犯先后炎顺序给。因旋为密食钥中厉没有A和B，因谊此C为第1。同贫理，E为第2，H为第3,鸡……，R为第6。于双是得检出密垦钥字全母的纲相对鞭先后伍顺序轿为14吧53少26。置换爹密码31CI牢PH辞ER14赞53烧26at不ta距ckbe细gi菌nsat汁fo激ur置换秩密码(t壶ra臣ns屈po慈si大ti踩on警c作ip雅he脑r)则是持按照首某一殊规则他重新语排列僚消息住中的粥比特轿或字蔑符顺醒序。密钥顺序明文根据夜英文缸字母堤在26个字托母中似的先剧后顺绞序，默我们晒可以京得出氏密钥猪中的雪每一夹个字致母的掀相对纽奉先后洁顺序矩。因折为密秘钥中援没有A和B，因砖此C为第1。同霸理，E为第2，H为第3,杨……，R为第6。于塌是得村出密惩钥字期母的上相对资先后帅顺序榜为14园53躬26。置换裹密码32CI贩PH巾ER14姑53正26at风ta释ckbe惧gi元nsat贩fo遍ur密文脱的得挥出密钥顺序明文先读瓜顺序盏为1的明控文列焰，即ab拆a33CI牌PH馒ER14幅53炎26at昌ta叫ckbe磁gi舌nsat饺fo我ur密文记的得校出密钥顺序明文再读画顺序膝为2的明础文列闯，即cn名u34CI松PH恐ER14幅53顷26at包ta党ckbe冲gi锈nsat恋fo监ur密文追的得葬出密钥顺序明文再读释顺序趁为3的明贿文列淋，即ai榆o35CI贫PH绩ER14妖53馅26at贱ta袍ckbe他gi甲nsat仓fo逝ur密文苦的得秃出密钥顺序明文再读丈顺序沟为4的明秀文列障，即te樱t36CI混PH惑ER14昆53售26at滋ta尺ckbe妹gi倾nsat朗fo崖ur密文镇的得悲出密钥顺序明文再读蛋顺序老为5的明顺文列渠，即tg圣f37CI阳PH渴ER14姓53嚼26at逆ta湾ckbe投gi乒nsat欺fo阴ur密文茫的得遵出密钥顺序明文最后忆读顺供序为6的明重文列召，即ks排r因此早密文揪就是徐：ab闸ac疮nu禁ai鞭ot震et伪tg宿fk留sr38CI趴PH盗ER14摸53小26at架ta土ckbe扣gi尸nsat队fo滩ur接收移端收炭到密架文后棒按列苏写下密钥顺序明文先写筋下第1列密重文ab收a收到该的密能文：ab利ac途nu徐ai弄ot底et译tg葡fk隐sr39CI沙PH溉ER14振53艰26at牧ta公ckbe惕gi辣nsat纯fo肚ur接收湿端收供到密雹文后爷按列本写下密钥顺序明文再写割下第2列密泛文cn哥u收到也的密僚文：ab胡ac跃nu欧ai涛ot朝et内tg胜fk宵sr40CI已PH怠ER14毫53喇26at警ta曲ckbe图gi串nsat东fo淡ur接收余端收啦到密愿文后尤按列拾写下密钥顺序明文再写浸下第3列密扑文ai柜o收到徐的密答文：ab签ac仙nu隐ai病ot蚕et危tg馆fk姥sr41CI牛PH爷ER14庭53疑26at筋ta剑ckbe极gi傅nsat气fo些ur接收既端收足到密声文后汤按列察写下密钥顺序明文再写震下第4列密雹文te院t收到紫的密届文：ab送ac风nu道ai抛ot硬et引tg苦fk芽sr42CI按PH尖ER14行53厚26at吩ta剖ckbe吼gi帐nsat露fo俩ur接收及端收疮到密励文后财按列女写下密钥顺序明文再写蜻下第5列密盐文tg届f收到闪的密穿文：ab浅ac哲nu氧ai数ot泊et倾tg掘fk痰sr43CI朋PH怪ER14员53畏26at如ta马ckbe碧gi谨nsat米fo痒ur接收押端收斗到密另文后蚂按列殖写下密钥顺序明文最后尚写下爱第6列密宴文ks复r收到订的密形文：ab堂ac豆nu定ai屋ot慌et营tg妨fk坡sr44CI兔PH刑ER14玻53幸26at浩ta迷ckbe劝gi石nsat妄fo造ur接收何端从念密文页解出绒明文密钥顺序明文最后特按行放读出苍明文收到工的密裹文：ab吸ac慢nu币ai调ot斯et街tg旅fk州sr45CI爆PH席ER14蔽53隙26at恒ta眠ckbe压gi村nsat私fo腊ur接收泥端从阀密文妖解出继明文密钥顺序明文最后钻按行庆读出壶明文收到逆的密赔文：ab饿ac册nu浓ai赛ot够et遥tg穴fk加sr46CI饲PH类ER14乎53迈26at柱ta苏ckbe骡gi路nsat药fo济ur接收抱端从榨密文填解出熊明文密钥顺序明文最后观按行解读出施明文收到凑的密头文：ab魂ac孕nu榆ai制ot庆et蚊tg筛fk滋sr得出帮明文驰：at详ta别ck若be益gi疗ns粥at筑fo辅ur（四子点进秩攻）4710识.4照.3序列最密码序列统码体捡制是洁将明箩文X看成刮是连府续的师比特悉流(或字妻符流)X1X2…，并润且用揭密钥吉序列Kk1k2…中的喉第i个元坏素ki对明怜文中节的Xi进行甘加密成，即双：48序列彻密码怜体制密钥她序列吊产生径器种子I0发端ki密钥浇序列展产生违器种子I0收端ki密文晓序列明文弯序列明文址序列xixiyiyi在开赶始工杠作时耕，种浓子I0对密祝钥序树列产扭生器歪进行丽初始确化。冠按照疫模2进行沟运算关，得夕出：49序列恰密码长体制密钥嘱序列勤产生有器种子I0发端ki密钥腾序列架产生借器种子I0收端ki密文括序列明文达序列明文嫂序列xixiyiyi在收查端，劳对yi的解烂密算壮法为河：序列辅密码狐又称寨为密锅钥流暗密码爆。50序列忆密码脆体制赏的保宅密性序列番密码腿体制朗的保剥密性认完全渣在于密钥尊的随夫机性。如果茧密钥万是真塘正的籍随机晴数，虎则这狡种体井制就蹄是理孟论上蜘不可忘破的男。这王也可戚称为一次煤一密余乱码港本体芬制。严格窜的一践次一筛密乱特码本焰体制猜所需林的密两钥量劳不存容在上活限，舅很难蛙实用钓化。密码亭学家肤试图颤模仿奖这种纪一次侵一密截乱码平本体辉制。信目前羡常使硬用伪随成机序训列作为乔密钥棋序列崖。关层键是谷序列跨的周佛期要初足够鸭长，准且序评列要颈有很栗好的隔随机碑性（鹊这很额难寻摩找）僚。5110翻.4防.4分组其密码分组体密码银：将明冶文划腥分成凳固定叉的n比特澡的数品据组涨，然在后以悉组为亿单位朽，在轻密钥这的控裂制下毯进行盾一系叔列的骄线性允或非肚线性何的变型化而愚得到奴密文论。分组事密码乡丰一次妖变换碧一组谊数据些。分组免密码熔算法坑的一萝个重智要特浩点就惜是：当给镰定一牙个密菠钥后酸，若岸明文纸分组刻相同拢，那傅么所畅变换参出密跃文分补组也跃相同创。分组金密码波的一构个重裹要优钩点是归不需隙要同兼步。52分组逼密码催体制输入输出加密算法密钥明文输入输出解密算法密钥明文nbi亏tnbi型tnbi视tnbi款t密文密文5310挖.4蓬.5数据先加密双标准DE伟S数据毯加密乒标准DE玻S属于颤常规辨密钥室密码丧体制无，是剥一种选分组值密码吴。在加略密前就，先拥对整摧个明馋文进沃行分梯组。拍每一存个组颈长为64括b绝it。然后购对每衫一个64士b修it二进辈制数移据进派行加想密处镇理，疯产生尽一组64劲b杠it密文挂数据仰。最后荐将各府组密驾文串泳接起甩来，振即得抚出整刑个的需密文殖。使用刃的密板钥为64削b峰it（实狱际密加钥长代度为56事b祖it，有8蛮bi产t用于暮奇偶快校验)。54DE盆S的缺拼点DE抹S实际朽上就慕是一蛋种单疼字符告替代呼，而辆这种拾字符弄的长节度是64型b顾it。也就益是说桃，对骂于DE踪蝶S算法蜜，相季同的漠明文照就产惊生相机同的杰密文冠。这贩对DE烦S的安冻全性谱来说育是不通利的穷。为了董提高DE章S的安蜘全性随，可圾采用春加密糖分组析链接毒的方阶法。55加密俩分组烦的链竖接X0Y0X1Y1X2Y2X3Y3X0Y0X1Y1X2Y2X3Y3……初始向量初始向量密钥密钥明文明文密文密文加密解密EEEEDDDD56DE刻S的保推密性DE爷S的保荐密性松仅取辉决于留对密配钥的等保密涝，而渴算法费是公隔开的携。尽仰管人庆们在倍破译DE鹿S方面傅取得密了许孤多进逗展，环但至鲁今仍由未能亭找到中比穷论举搜页索密屡钥更室有效庄的方呢法。DE梁S是世务界上惕第一货个公怒认的康实用渡密码则算法裳标准旺，它聪曾对漠密码母学的医发展处做出夏了重凉大贡治献。目前随较为豪严重撒的问轨题是DE闲S的密萍钥的曾长度温。现在轿已经槽设计蒸出来揪搜索DE抛S密钥锻的专鸟用芯区片。5710昨.4北.6公开患密钥骨密码誓体制公开擦密钥微密码汤体制品使用不同逮的加棒密密值钥与觉解密桂密钥，是债一种爹“由已帮知加黎密密台钥推疾导出然解密镇密钥常在计遗算上射是不窝可行扶的”密盟码体卡制。公开被密钥煌密码继体制珍的产问生主念要是样因为漏两个山方面底的原秆因，第一是脚由于饼常规框密钥估密码匆体制笨的密具钥分椅配问饿题，就另一盒是由况于对杰数字僻签名浴的需咳求。现有护三种皂公开并密钥容密码警体制随，其被中最促著名荡的是RS精A体制尚，它犬基于建数论案中大谎数分养解问柜题的捎体制薯，由代美国蒜三位摸科学棵家Ri枪ve促st,辽Sh登am误ir和Ad炕le小ma难n于19怒76年提鹅出并汗在19视78年正元式发箩表的乔。58加密绿密钥遵与解叨密密叹钥在公殿开密芦钥密敏码体谜制中扭，加究密密辅钥(即公修开密螺钥)梅PK是公贫开信厉息，卧而解箩密密水钥(即秘嘉密密喜钥)泥SK是需熊要保农密的踩。加密膝算法E和解航密算衣法D也都冶是公称开的佩。虽然攀解密胆密钥SK是由妇公开动密钥PK决定哑的，悲但却益不能兆根据PK计算堤出SK。59公开法密钥丽算法彻的特秧点(1讽)发送诊者用仁加密需密钥PK对明偏文X加密便后，筝在接地收者朱用解去密密并钥SK解密狭，即棵可恢得复出持明文匙，或呼写为贼：DSK(EPK(X况))X爱(盘10铜-5箩)解密盏密钥才是接骑收者伯专用吊的秘咐密密缴钥，页对其神他人狭都保什密。此外掉，加犯密和码解密此的运瞒算可油以对扯调，咱即：EPK(DSK(X们))X60公开税密钥春算法宜的特艇点(2辜)加密绑密钥鸟是公惑开的抖，但设不能梳用它哗来解撒密，瞒即DPK(EPK(X六))X东(1脖0-号6)(3代)在计浪算机耕上可倚容易扒地产全生成棍对的PK和SK。(4炉)从已陶知的PK实际冤上不针可能违推导客出SK，即祸从PK到SK是“贩计算厉上不挨可能期的”弱。(5汪)加密捧和解房诚密算警法都臣是公召开的部。61公开乳密钥景密码缝体制接收年者发送唉者E加密枕算法D解密品算法加密高密钥PK解密哪密钥SK明文X密文Y植=强EPK(X楚)密钥瘦对产生识源明文X友=证DSK(EPK(X瞎))62RS纵A算法RS乏A公算必法所兵根据私的原孟理是鸭：根确据数贡论，荐寻求橡两个居大素喉数比士较简亏单，件而将橡它们绵的乘僻积分循解开平则极士其困谋难。每个效用户授有两五个密举钥：训加密匙密钥PK{e,n}和解气密密搬钥SK{d,n}。用户尾把加慈密密名钥公巷开，磨使得办系统荒中任嗽何其柏他用识户都缎可使贿用，塌而对粗解密免密钥先中的d则保拘密。N为两狗个大普素数p和q之积坝（素笛数p和q一般德为10平0位以宏上的赢十进虚数）严，e和d满足次一定铃的关贴系。粥当敌轻手已骄知e和n时并循不能勿求出d。63(1陈)加密尚算法若用虫整数X表示赛明文普，用蛾整数Y表示雹密文法（X和Y均小册于n），带则加邮密和劫解密育运算液为：加密矮：YXemo捉dn(1次0-虚7)解密客：XYdmo碌dn(1紫0-览8)64(2抬)密钥明的产足生①硬计算n。用键户秘船密地尘选择肿两个述大素初数p和q，计误算出npq。n称为RS汤A算法松的模啊数。距明文嫌必须价能够抢用小邮于n的数渗来表蔽示。棍实际兵上n是几沾百比测特长纯的数腐。②呀计算(n)。用向户再用计算睬出n的欧子拉函闸数(n)(p1)佛(q1)川(承10贼-9朵)(n)定义赌为不棋超过n并与n互素芳的数柄的个社数。③选择e。用划户从[0疾,(n)1]中选伏择一证个与(n)互素纳的数e作为冤公开呈的加谅密指棍数。65(2塌)密钥萄的产揪生（乡丰续）④堵计算d。用戒户计逼算出洞满足记下式积的ded1芒mo帽d(n)展(1切0-虽10荡)作为踪蝶解密灭指数田。⑤建得出沿所需枪要的课公开离密钥馒和秘栏密密晃钥：公开党密钥贝（即洁加密盖密钥流）PK{e,n}秘密疤密钥番（即管解密待密钥姿）SK{d,n}66(3害)正确雹性的奴例子铜说明设选馆择了清两个伤素数昂，p7,q17。计算撤出npq71711防9。计算海出(n)(p1)避(q1)96。从[0歇,婚95堵]中选却择一爪个与96互素滤的数e。选e5。然放后根弃据(9镇-1叼0)式，5d1琴mo盏d摘96解出d。不巷难得静出，d77军,因为ed57738忙549611晴mo怕d兵96。于是辞，公什开密柏钥PK(e,n){5尘,勤11萝9}称,秘密骑密钥SK{7偿7,牢1源19尸}。67(3倡)正确剪性的调例子膨说明日（续育）对明替文进席行加多密。道先把播明文阶划分赔为分江组，沃使每以个明尿文分谎组的怀二进任制值浙不超座过n,即不怀超过11龟9。设明古文X19。用稿公开罪密钥帐加密螺时，所先计挤算Xe19524汽76文09智9。再除倦以11作9，得具出商血为20除80俯7，余弊数为66。这蛾就是耻对应阻于明妇文19的密则文Y的值哲。在用伐秘密棍密钥SK{7父7,秆1够19拴}进行传解密刺时，晒先计施算Yd66771.远27尺..臣.1014袭0。再除则以11届9，得磁出商翠为1.金06裕..劣.10狱13慈8，余垒数为19。此余跪数即赔解密位后应根得出耀的明垒文X。68RS狐A算法爪举例明文1919姨=佣=总2辱08俭07公开壶密钥=麦{5于,丧11醉9}加密524狗76连09艘911膊9及余迎数66密文6666扑=堡=睁1.苍061侮0秘密乘密钥=秤{7喇7,询1滨19懂}解密771.毙27俗..玩.穴1011辨9及余俗数19明文1914雹013到86910扫.4蚊.7数字分签名数字刻签名里必须竞保证尼以下锡三点霜：(1团)接收串者能放够核差实发焦送者提对报郑文的换签名罪；(2惕)发送住者事抱后不喘能抵替赖对艳报文号的签幻玉名；(3饱)接收萌者不袄能伪搞造对晕报文似的签螺名。现在顽已有苗多种如实现花各种偷数字血签名沸的方耻法。贩但采休用公父开密冬钥算心法要饲比采助用常旁规密欧钥算染法更弄容易记实现成。70数字克签名叹的实兰现DSKPK用公耕开密喇钥核实芝签名用秘敲密密爹钥进行脖签名X发送梅者A接收板者BDSK(X莫)XE71数字阳签名无的实慈现B用已扭知的A的公付开加详密密彼钥得掠出EPK芦A(DSK帽A(X梳))X。因锻为除A外没定有别东人能摄具有A的解至密密改钥SK糠A，所淘以除A外没饰有别扔人能属产生黎密文DSK彻A(X遇)。这嘱样，B相信奸报文X是A签名督发送近的。若A要抵桌赖曾猫发送播报文红给B，B可将X及DSK脆A(X俱)出示讽给第碎三者未。第袄三者重很容昼易用PK投A去证岗实A确实察发送X给B。反证之，桥若B将X伪造让成X‘，则B不能旨在第求三者文前出桥示DS说KA蛛(X递’)。这鞭样就勿证明以了B伪造练了报晨文。72具有切保密霞性的览数字犯签名DSK团APK娱A用公幅开密状钥核实熔签名用秘奋密密哀钥签名X发送沈者A接收乐者BDSK扰A(X络)XEEPK其B用公剑开密械钥加密EPK咽B(DSK偶A(X重))DSK躺B用秘庸密密狠钥解密DSK预A(X蛛)密文73第10章凤内梢容提罩纲10庆.1计算桶机网针络的丙管理10闷.2简单影网络申管理电协议SN铁MP10员.3计算昨机网齿络的死安全10窃.4数字晓加密草技术10绩.5网络港安全陷策略10减.6因特管网的芹安全免协议7410悟.5网络怪安全高策略10鲁.5芹.1加密陷策略从网忌络传施输信波息的蛮角度快，有巡寿两种夺不同曲的加铁密策钳略：链路每加密对两针结点爬之间惠的链涨路上呼传送食的数闻据进俭行加杜密的端一种娇技术坝。用绸来对PD脚U的控子制信骑息(主要毅是目奥的地纠址)进行梨加密硬。DK1EK2DK2EK3EK1明文PEK2(P)EK1(P)DKnEK3(P)EKn(P)用户B中间结点中间结点用户A密文明文P明文P明文P密文密文密文7510爽.5围.1加密响策略链路骂加密礼要点锻：加密携算法倾常采弟用序按列密阿码。每条消链路逐都使抽用不怒同的岗密钥敲，独箭立地耍实现既加密竟和解乓密处精理。由于负加密杨功能剑是由浓通信示子网止提供蚀的，事所以翼链路爷加密挣对用艺户来嫌说是载透明原的。优点匆是：菜简单笑，便披于实烈现；蚂不需您要传四送额蛾外的旁数据稼，不避影响拢网络恋的有嫁效带剖宽；之仅要厕求相游邻结篇点具追有相苏同的答密钥搞，密昆钥管哨理易蚁于实爸现。缺点及是：残中间平结点(包括曲路由烤器)上的饼数据倾已被视解密帖，存狡在泄兴漏数庄据的望可能旋性；京不适工用于财广播由网。7610艰.5秤.1加密包策略(续1)端到锅端加牛密对源帅结点半和目病的结悼点之生间传臣送的PD锣U进行兰全程狡加密添的一治种技增术。赴报文顺的安简全性车不会筹因中疾间结保点的刑不可银靠而凯受到消影响文。在端文到端盏加密偶的情笼况下看，PD月U的控园制信鸦息部凳分(如源径结点鸽地址雨、目纸的结蚁点地残址、甩路由跟信息嗽等)不能虽被加返密，释否则烘中间炉结点督就不设能正逆确选筛择路岭由。哥这就葬使得版这种功方法光易受肆通信敞量分驳析的艳攻击经。EK明文PEK(P)EK(P)明文PDKEK(P)用户B中间结点中间结点用户A密文7710啄.5亡.1加密务策略(续2)端到膀端加旬密要指点：基本珍思想岸：源翁结点圈对传绕送的PD在U进行河加密挖，目粮的结房诚点再棍将其脸解密调，经跟过中默间结浊点时有采用第相继抗解密政又加嫁密的韵方法绕。每铸对结始点设宜立一错共用沙密钥叼，并裤对相臣邻两英结点峡间(包括专结点携本身)传送舍的数墨据进狂行加拿密。端到铃端加盼密可摩在运例输层顺或其滥以上羞层次搭实现味。端到骄端加驰密既巩适用上于互削联网携，也绿适用搜于广钩播网妙。为了带提高损网络停的安础全性格，可叫以将骆这两杏种技川术结婶合起屈来使掀用。7810浮.5略.2密钥停分配密钥扎管理呀是密颤码学费的一勉个重回要分喝支。吃密钥就管理阿包括浊：密殃钥的领产生燥、分堂配、赤注入箱、验粥证和少使用奇。密钥经分配(或称搬密钥巧分发)是密玻钥管豪理中佩一个塌重要祸问题按。从输蛙送密蜓钥的状渠道情来看测，密仿钥分犬配有乐两种鲜方式灿：网觉外分析配和别网内狭分配经。网外灿分配密钥铲分配绍不通塘过网协络传袜输，刻可派泉遣信速使携猛带着念密钥巩分配溉给需灭要通睁信的希用户霞。网内司分配密钥飞通过友网络归内部叛传送寨，达跑到密辈钥自躲动分绒配给架需要斯通信陪的用嫁户。7910找.5蜓.2密钥迎分配(续1)密钥披分配订通常堆采用习集中屠管理父方式包，即玻设立贱密钥塔分配瞧中心KD环C，由春它负错责给荷需要请进行踢秘密遥通信弹的用跑户临烟时分粒配一桨次性轰使用污的会滤话密敲钥。密钥分配中心KDC用户A用户BKAKBKAB，KBA，B，KAB①②③A，B，KABA要与B通信KD坦C还可闹在报涌文中赴加入棚时间铃戳，搅以防筹止截矮取者股的重太放攻泻击。8010她.5漠.2密钥主分配(续2)KD机C分配专给用里户A与用忠户B通信简使用田的密症钥是惯一次讨性的耕，因反此保允密性污很高灵。KD称C分配宇给用玩户的孤密钥遇如能吐做到打定期铺更换允，则袋更减答少了赶攻击日者破旬译密成钥的杆可能口性。KD累C还可念以在甚报文好中打翠上时爷间戳寄标记语，以苦防止如报文牲的截潜取者寸利用厌过去束截取抓的报仙文进鄙行重蒜放攻抱击。目前透最著种名的薯密钥撤分配添协议欣是Ke伐rb慨er烈os宇V乏5，是附美国镇麻省塔理工尼学院MI析T开发筛的。8110蜂.5花.3鉴别鉴别对欲年访问为特定尽信息夹的发悉起者旨的身饱份或基者对挣传送饭的报测文的盖完整杆性进栋行的插合法肥性审漏查或尖核实封行为兰，是河网络饰安全宅的一识个重注要环到节。报文殿鉴别对收筑到报具文的瓶真伪才进行蜜辨认著，确剖认其意真实净性。实体院鉴别对人幕或进它程进毯行辨准认，显确认登其真鲜实性继。鉴别扣与授少权是代两个片不同买的概鬼念，紫授权补是对随所进神行的弊过程提是否侍被允夏许。8210建.5师.3鉴别(续1)报文虹鉴别报文谋摘要姑是一金种广岩泛使脆用的哲进行盈报文煎鉴别帝的方卧法。报文闪摘要思进行方报文亿鉴别售的基本膏思路是：用户A将报船文经歌报文拘摘要粥算法盘运算语，得沙到报屠文摘级要H。再皱用A的私牧钥SKA对H进行宝运算(即数症字签台名)，得忍到签筐过名嫁的报泻文摘办要D(H)。然秋后将药其追极加在宏报文M后面猜发送恶给用塞户B。用户B收到呀后，衫将报韵文M和签粱过名粱的报性文摘宏要D(H)分离钳。一蛾方面汉用A的公睡钥PKA对D(H)进行E运算(即核旁实签劈燕名)，得腹报文夏摘要H。另桨一方湖面对狡报文M重新榜进行宜报文箭摘要且运算脏得出炼报文逝摘要H´。然阵后对H与H´进行茄比较尸，如泊一样茎，就懒可断拢定收霉到的皮报文杠是用旨户A所为乓，否变则就市不是月。8310桶.5饶.3鉴别(续2)利用兰报文卸摘要罩进行仍报文阿鉴别忽的过贤程HH’报文摘要运算E运算D(H)报文MPKA核实签名报文MD(H)报文MHD(H)报文摘要运算D运算SKA签名/比较用户A用户B8410层.5健.3鉴别(续3)报文层摘要只算法著必须雅满足湿以下你两个梨条件欲想续从某勤个报痛文摘眠要H反过浪来找思到一搏个报最文M，使上得报窄文M经过浩报文腐摘要罢运算仗得出该的报膛文摘填要也欣正好钥是H，则伍在计扶算上辞是不修可行虑的。任意良两个爸报文任，使燥得它涌们具住有相总同的讽报文们摘要层，则液在计肆算上昼也是造不可桂行的军。上述斯两个舰条件桂表明令：若[M，H]是发益送者供生成垦的报听文和旗报文笋摘要烛，则阳攻击粮者不忍可能倾伪造呜出另悠一个瞒报文安，使睛得该藏报文乓与M具有旁同样买的报厅文摘角要。廉发送钥者对沾报文纹摘要廉进行迅的数线字签爹名，富使得席对报赵文具代有可笼检验尽性和摇不可搭否认坐性。8510庆.5攻.3鉴别(续4)报文单摘要棚算法MD杜5MD摸5的操先作过惯程：(1尚)将任营意长娘的报冰文按劈燕模264计算抹其余示数(6患4位)，将陆其追球加在秃报文老的后纸面。(2向)在报伯文和凳余数胁之间孟填充1～51吹2位，处使得畏填充竹后的拜总长烘度是51柱2整数忠倍。吉填充突位的毫首位股为1，其翠余为0。(3句)将追腹加和雹填充效后的讽报文用划分锤为51串2位的沈数据活块，罩同时娃再将51蜘2位的淡报文婶数据块再分卵成4个12次8位的波数据匪块依县次送记到不科同的逆散列纷函数钻进行4轮计瓦算。反每一续轮运蜂算又燃都按32位的歼小数朱据块职进行铁复杂文的运赏算，追直到管得出MD洋5报文臣摘要调代码肠为止特。8610脚.5虚.3鉴别(续5)报文驳摘要步算法MD酱5(续)[R消FC扁1辩32禁1]提出族的报牛文摘孤要算溜法MD吓5已在津因特呈网上鉴得到显大量雪使用付。它恒可对叔任意昼长的沙报文琴进行由运算狼，然忧后得明出12修8位的MD钱5报文嘴摘要漂代码宵。MD鹊5代码涝中的辈每一葛位，都都与平原报匀文中飘的每趴一位喂有关僚。Ri披ve塞st认为沟根据雷给定策的MD晴5代码歇推算霉出原冶报文柜的难楚度，姻其所原需操液作量曲级为212咱8。8710要.5茎.3鉴别(续6)实体磁鉴别报文寨鉴别盛是对屿收到矮的每旧一个走报文扮执行饭的鉴灶别动用作，均但实磨体鉴肢别只仙需在市访问犹者接煮入系晚统时序对其亿身份猎进行夺一次邻验证锅。实体事鉴别搜常用纲检查岩口令荒或个怎人身澡份识卵别码到来实诸现。利用亲对称乓密钥惕加密犬实体贫身份耻的实房诚体鉴揪别。用户A用户BKABA，口令此法锻的不夜足：势不能义防止筹入侵者C通过荷重放责攻击童而冒繁充A。8810球.5宾.3鉴别(续7)利用丸不重速数进韵行实灯体鉴丘别可认以对凑付重袋放攻势击。用户A用户BA，RAKABRBKABRARB，①②③不重芬数是浅一个师不重贡复使仆用的顺大随优机数王，可鸣做到溜“一缠次一年数”年。由动于每特一次圣通信啊都使洲用不乘同的遥不重摔数，扎即便需入侵秩者C进行吴重放前攻击枪，也建无法暑使用歇所截缝获的万不重同数。8910齿.5维.4防火滩墙防火咐墙是一千种由绳软件蹦、硬拉件构凡成的城系统敌，在驴两个史网络妻之间振实施厚存取昏控制前的安出全策逗略。防火勉墙应眠当适短合本知单位英的需臣要，暂所以员它是洁由使盆用防屑火墙雕的单唉位自恰行研满制或刑授权酷专业当公司践研制榨的。防火叛墙在完互连毒网络照中的烧位置应用网关内局域网外局域网分组过滤路由器分组过滤路由器因特网内联网防火墙不可信赖的网络可信赖的网络9010翠.5室.4防火洗墙(续1件)防火末墙的胜功能“阻止”关这应是防购火墙翻的主克要功严能，规意即修阻止绝某种塘类型宪的通贴信量伟通过精防火谈墙。“允许”化该寻功能甩恰好诵与“势阻止彩”相忽反。哈意即户防火援墙必腐须具罩有识诸别通头信量英的各叮种类浅型的驼本领沙。防火脑墙必哑须能彩够识铲别通墙信量栽的各娱种类叹型。星不过鹊在大鼻多数乱情况跃下防屋火墙炎的主香要功榆能是数“阻秋止”投。“绝较对阻剖止所鸣不希戏望的婚通信扶”和罪“绝产对防抬止信塑息泄远漏”妹是欢很难石做到学的，葵正确查地使滴用防俊火墙大可将像安全劳风险胀降低裹到可候接受村的水惩平。9110证.5链.4防火叹墙(续2酒)防火泊墙的由类型网络顺级防忠火墙主要连用来北防止刚外来啄非法法入侵凝。属圈于此气类的闲有分熊组过庸滤和户授权赚服务酷器。尊分组碎过滤烛是检乔查流匀入本狸网络贺的所积有信涝息，台然后栽拒绝河不符止合规链定要努求的喉数据垒。授凡权是悔检查踩用户印登录秃的合批法性找。应用宅级防防火墙由应通用程抓序来与解决庸存取历控制珍问题杆。通备常使诊用应豆用网屈关或亮委托恐服务念器来蜓区分么各种严应用忙。例叮如，阴可以樱只允中许通撇过访须问万脏维网阶的应逆用，月而阻割止FT慢P应用防的通珠过。9210宁.5娱.4防火通墙(续3西)该防窝火墙同帮时具裙有上市述两滚种技毁术。湿路由饼器对惕进入夸和出定去的粥分组应进行隙检查锡，只穷有符亮合条林件的宵分组度才能瓦通过课，否世则就株被丢织弃。颗应用品网关狂是从踏应用培层的扫角度宰来检坊查每已一个胁分组飘，确停定是络否被芳允许恋通过防火墙。分组故过滤植是靠炭查找递系统帮管理左员所凝设置益的表域格来裤实现孕的。边表格咐中列绳出了批合格斩的站劈燕点以舒及一穷些防回火墙燃规则娱。G内联株网In瓜tr偏an扁et可信勺赖的侄网络不可寺信赖找的网改络分组亿过滤路由幼器R分组小过滤路由喷器R应用息网关外局吼域网内局鼻域网防火约墙因特即网In挨te嫩rn锁et9310遣.5鲜.5回拨回拨借助校于电属话交吼换网镜进行慕远程臣通信文的系发统所鬼采用雷的一献种安绣全访病问控违制技鸟术。基本妙方法诵是将娘远端狂用户奶或系脉统的绢电话湿号码除登录陡在本费地网秆或主双机内滴，并故指定坦一个佩通信螺端口袄供本皮端用的户专饿用。夜当该米通信队端口且收到储远端缩慧用户食的连寸接请炮求时寻，并旬不立逼即与涌其相虫连接铺，而漫是先液暂时收挂断州。然眯后再嫩由本礼地系所统向平已登猜记的汇远端应用户筐进行善反向真呼叫(俗称授回拨)，才跃将其首接入愉本地趴系统评。网络洲的安股全性剪通常习是以及网络欺服务鉴的开嘉放性类、便浩利性汉和灵掠活性等为代痰价的换。94第10章唯内医容提砌纲10拨.1计算潜机网悉络的粥管理10宿.2简单爆网络艇管理鬼协议SN隐MP10喘.3计算防机网便络的块安全10阀.4数字团加密宾技术10艺.5网络投安全流策略10斯.6因特星网的横安全静协议9510浪.6因特锻网的恳安全白协议10谋.6外.1网络俩层安夹全协爸议关于糊因特虾网网锈络层顶安全等最重赢要的悠请求载评论午是［RF急C座24圣01］和终［RF匪C垄24阻11］。浩前者饮描述IP安全微体系诊结构琴，后侍者提廉供IP本se超c协议戴族的睁概述址。IP营se贼c是“IP安全朋协议军”的柴缩写固。IP血se时c最主麦要的臂两个转协议栋是：惩鉴别刊首部AH协议胁和封甚装安盲全有扭效载增荷ES语P协议爱。AH提供哭源点煌鉴别巴和数紧据完皮整性滚功能否；ES祝P提供钳源点早鉴别期、数喇据完概整性汤和加炭密。祖这两炉个协证议同骨时存尖在。9610疲.6进.1网络猴层安艳全协连议(续1)安全倡关联安全室关联SA（se仆cu佛ri附ty宾a集ss耽oc顿ia喝ti瓦on）是卖指在份发送富