127-第7章网络安全教学课件

7.1网络安全问题概述

计算机网络面临的安全性威胁

计算机网络上的通信面临以下的四种威胁：(1)截获——从网络上窃听他人的通信内容。(2)中断——有意中断他人在网络上的通信。(3)篡改——故意篡改网络上传送的报文。(4)伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。(1)计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2)计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3)特洛伊木马——一种程序，它执行的功能超出所声称的功能。(4)逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。恶意程序(rogueprogram)7.2两类密码体制对称密钥系统。加密密钥与解密密钥是相同的密码体制。数据加密标准DES属于常规密钥密码体制。公钥密码体制。使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。现有最著名的公钥密码体制是RSA体制。应当注意任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。在这方面，公钥密码体制并不具有比传统加密体制更加优越之处。由于目前公钥加密算法的开销较大，在可见的将来还看不出来要放弃传统的加密方法。公钥还需要密钥分配协议，具体的分配过程并不比采用传统加密方法时更简单。7.3数字签名数字签名必须保证以下三点：(1)报文鉴别——接收者能够核实发送者对报文的签名；(2)报文的完整性——发送者事后不能抵赖对报文的签名；(3)不可否认——接收者不能伪造对报文的签名。现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。7.4鉴别在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用鉴别(authentication)

。报文鉴别使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。使用加密就可达到报文鉴别的目的。但在网络的应用中，许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。报文摘要MD

(MessageDigest)A将报文X经过报文摘要算法运算后得出很短的报文摘要H。然后然后用自己的私钥对H进行D运算，即进行数字签名。得出已签名的报文摘要D(H)后，并将其追加在报文X后面发送给B。

B收到报文后首先把已签名的D(H)和报文X分离。然后再做两件事。用A的公钥对D(H)进行E运算，得出报文摘要H。对报文X进行报文摘要运算，看是否能够得出同样的报文摘要H。如一样，就能以极高的概率断定收到的报文是A产生的。否则就不是。

7.5密钥分配密钥管理包括：密钥的产生、分配、注入、验证和使用。本节只讨论密钥的分配。密钥分配是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。目前常用的密钥分配方式是设立密钥分配中心KDC(KeyDistribution)，通过KDC来分配密钥。7.6因特网使用的安全协议

7.6.1网络层安全协议

IPsec与安全关联SA网络层保密是指所有在IP数据报中的数据都是加密的。鉴别首部AH(AuthenticationHeader)：AH鉴别源点和检查数据完整性，但不能保密。封装安全有效载荷ESP(EncapsulationSecurityPayload)：ESP比AH复杂得多，它鉴别源点、检查数据完整性和提供保密。7.6.2运输层安全协议

1.安全套接层SSL

SSL是安全套接层(SecureSocketLayer)，可对万维网客户与服务器之间传送的数据进行加密和鉴别。SSL在双方的联络阶段协商将使用的加密算法和密钥，以及客户与服务器之间的鉴别。在联络阶段完成之后，所有传送的数据都使用在联络阶段商定的会话密钥。SSL不仅被所有常用的浏览器和万维网服务器所支持，而且也是运输层安全协议TLS(TransportLayerSecurity)的基础。2.安全电子交易SET

(SecureElectronicTransaction)安全电子交易SET是专为在因特网上进行安全支付卡交易的协议。SET的主要特点是：(1)SET是专为与支付有关的报文进行加密的。(2)SET协议涉及到三方，即顾客、商家和商业银行。所有在这三方之间交互的敏感信息都被加密。(3)SET要求这三方都有证书。在SET交易中，商家看不见顾客传送给商业银行的信用卡号码。7.7防火墙(firewall)防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。防火墙内的网络称为“可信赖的网络”(trustednetwork)，而将外部的因特网称为“不可信赖的网络”(untrustednetwork)。防火墙可用来解决内联网和外联网的安全问题。防火墙的功能防火墙的功能有两个：阻止和允许。“阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。“允许”的功能与“阻止”恰好相反。防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。防火墙技术一般分为两类(1)网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。(2)应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止FTP应用的通过。第7章网络安全典型例题讲解部分一、填空题1.设使用一种加密算法，它的加密方法很简单，将每一个字母加5，即a加密为f，b加密成g，这种算法的密钥就是5，那么它属于（对称密码术）。2.防火墙是设置在可信任网络和不可信任的外界之间的一道屏障，其目的是（保护一个网络不受另一个网络的攻击）。3.网络安全的基本服务包括（身份鉴别）、（授权控制）、（数据加密）、（数据完整性）等。一、填空题4.信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的属性指的是信息安全中的（完整性）。5.如果想要控制计算机在Internet上可以访问的内容类型，可以使用IE的（分级审查）功能。6.计算机病毒具有（传染性），（潜伏性），（破坏性）。7.判断一个计算机程序是否为病毒的最主要依据就是看它是否具有（传染性）。二、选择题1.为确保学校局域网的信息安全，防止来自Internet的黑客入侵，应设置（C）。A：网管软件B：邮件列表 C：防火墙软件D：杀毒软件2.在以下人为的恶意攻击行为中，属于主动攻击的是（A）。

A：身份假冒B：数据窃听C：数据流分析D：非法访问二、选择题3.为了防御网络监听，最常用的方法是（B）。

A：采用专人传送B：信息加密C：无线网D：使用专线传输4.以下关于防火墙的说法，不正确的是（C）。A：防火墙是一种隔离技术B：防火墙对数据包及来源进行检查，阻断被拒绝数据C：防火墙的主要功能是查杀病毒D：防火墙不能保证网络绝对安全二、选择题5.数据保密性指的是（A）A：保护系统之间交换的数据，防止因被截获而造成泄密B：提供连接实体身份的鉴别C：保证接受方收到的信息与发送方发送的信息完全一致D：确保数据数据是由合法实体发出的6.下面不属于访问控制策略的是（C）A：加口令B：设置访问权限C：加密D：角色认证二、选择题7.下面关于网络安全的叙述中不正确的是（B）A：网络环境下信息安全问题比单机更加难以得到保障B：电子邮件不会传染计算机病毒C：防火墙是保障内部网络不受外部攻击的措施之一D：网络安全的核心是操作系统的安全性8.保障信息安全最基本最核心的技术措施是（A）A：信息加密技术B：信息确认技术C：网络控制技术D：反病毒技术三、判断题1.常规密钥密码体制是指加密密钥与解密密钥是不相同的密码体制。（F）2.数字签名可以保证数据传输的保密性，不能保证数据传输的完整性。（F）3.报文摘要MD是一种常用的数据加密方法，可以对信息内容进行加密。（F）4.鉴别首部AH可以鉴别源点和检查数据完整性，但不能保密。（T）三、判断题5.在使用AH或ESP之前，先要从源主机到目的主机建立一条网络层的安全关联。（T）6.ESP封装的数据报仅能鉴别源站和检查数据报完整性的功能。（F）7.安全电子交易SET和安全套接层SSL都是应用层的加密协议。（F）8.防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器。（T）四、名词解释1.计算机病毒：会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。2.KDC：密钥分配中心。它是大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分配一个会话密钥（仅使用一次）。3.AH：鉴别首部协议。它可以鉴别源点和检查数据完整性，但不能保密。

四、名词解释4.SSL：安全套接层，它可对万维网客户与服务器之间传送的数据进行加密和鉴别。5.SET：安全电子交易，它是专为在因特网上进行安全支付卡交易的协议。6.防火墙：它是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。五、问答题1.数字签名的作用是什么？

数字签名的作用：（1） 接收方通过文件中的签名能确认发送方的身份（2） 发送方以后不能否认发送过签名的文件（3） 接收方不可能伪造文件内容五、问答题2.什么是防火墙？有哪些作用？

防火墙是在被保护的Intranet与Internet之间竖起的一道安全屏障，用于增强Intranet的安全性。Internet/Intranet防火墙，用以确定哪些服务可以被Internet上的用户访问，外部的哪些人可以访问内部的哪些服务以及哪些服务可以被内部人员访问。目前的防火墙技术可以起到以下安全作用： （1）集中的网络安全； （2）安全警报； （3）重新部署网络地址转换（NAT）; （4）监视Internet的使用； （5）向外发布信息。五、问答题3.分别解释MD与RSA的含义？

MD：报文摘要，使用一个单向的哈希函数，将任意长的明文转换成一个固定长度的比特串。RSA：由Rivest、Shamir和Adleman发明的一种公开密钥加密算法，加密者使用接收者的公开密钥进行加密，而接收者使用只有他知道的私钥进行解密。五、问答题4.网络防病毒技术主要内容是什么？

网络防病毒技术包括预防病毒、检测病毒和消除病毒等3种技术。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测。工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络