《网络安全与管理》

主要内容：根本加密算法网络平安技术〔比方防火墙〕因特网的网络层平安协议IPSec网络管理根底单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版标题样式第九章网络平安与管理编辑ppt9.1网络平安概述国际标准化组织ISO对计算机网络平安〔NetworkSecurity〕的定义为数据处理系统建立和采用的平安防范技术，以保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。编辑ppt网络平安威胁网络平安威胁主要表现在：非授权访问信息泄漏或丧失破坏数据完整性拒绝效劳攻击DoS利用网络传播病毒等编辑ppt网络平安的五要素网络平安包括五个根本要素机密性完整性可用性可控性可审查性编辑ppt网络平安的分类根据平安需求将其分为数据保密、数据完整性、身份验证、授权、不可抵赖和不可否认等几个局部；根据解决手段可以分为病毒防范、防火墙、存取控制、身份鉴别、平安综合解决方案；根据威胁来源将其划分为网络攻击行为、平安漏洞及恶意代码等类别。编辑ppt9.2密码学一、密码学的开展密码学包括〔cryptology〕密码编码学和密码分析学。密码编码学是密码体制的设计学，而密码分析学那么是在未知密码的情况下从密文推演出明文的技术。编辑ppt相关术语明文：信息的原始形式〔plianttext，记为P〕密文：明文加密后的形式〔ciphertext，记为C〕加密：明文变成密文的过程〔encrypt记为E〕， 加密通常是由加密算法来实现的。解密：密文复原成明文的过程〔decrypt记为D〕，解密通常是由解密算法来实现的。密钥：为了有效地控制加密和解密算法的实现，在其处理过程中要有通信双方掌握的专门信息参与，这种专门信息称为密钥〔key，记为K〕。编辑ppt二、对称密钥体制根据密钥的特点，密码体制分为非对称密钥体制和对称密钥体制两种。对称密钥体制又称为传统密钥、秘密密钥、单钥密钥加密算法对称密钥体制的核心是加密和解密采用相同的密钥。保密性仅取决于对密钥的保密，而算法是公开的。编辑ppt对称密钥体制图9.1对称密钥加密算法的执行过程

编辑ppt替代密码替代密码将字母a,b,c,d,……,w,x,y,z的自然顺序保持不变，但使之与D,E,F,G,……,X,A,B,C分别对应：密钥为3例如：明文caesarcipher对应的密文为FDHVDUFLSKHU编辑ppt置换密码置换密码按照某一规那么重新排列消息中的比特或字符的顺序，密钥的目的是对列编号。密钥：CIPHER顺序：145326举例：明文attackbeginsattwo密文abaaitcnwtgtetkso编辑ppt对称密钥算法分类对称密钥加密算法可分为两类：一次只对明文中的单个位〔或字节〕运算的算法，称为序列算法、序列密码或流密码〔streamcipher〕；对明文的一组位进行运算〔这些位组称为分组〕，称为块密码或分组密码〔blockcipher〕。编辑ppt分组密码体制输入输出加密算法密钥明文输入输出解密算法密钥明文nbitnbitnbitnbit密文密文编辑ppt数据加密标准DESDES是世界上第一个公认的实用密码算法标准，是一种典型的分组加密算法。加密前，先对整个的明文进行分组，每一个组长64位；使用密钥64位，对每一个64位分组进行加密处理。最后将各组密文串接，得出整个的密文。编辑pptDES算法描述DES经过总共16轮的替代和换位的变换后，使得密码分析者无法获得该算法一般特性以外更多的信息。编辑ppt新一代加密标准AESAES是一个迭代的、对称密钥分组的密码算法可以使用128、192和256位密钥，并且用128位分组加密和解密数据，算法迭代次数由分组长度和密钥长度共同决定。编辑ppt新一代加密标准AESAES算法在每一轮都采用置换和代替并行地处理整个数据分组，这个分组被编排为一个称做状态阵列(statearray)的4×4字节矩阵。AES算法的加密实际上就是对输入状态阵列进行一系列运算，产生输出的过程。编辑pptAES的加密解密流程编辑ppt三、公开密钥体制相对于对称加密算法，这种方法也叫做非对称加密算法，需要公开密钥〔publickey〕和私有密钥〔privatekey〕两个密钥。公开密钥〔加密密钥〕和非对称加密解密算法是公开的，但私有密钥〔解密密钥〕是保密的，由密钥的主人妥善保管。公开密钥体制中最著名的是RSA算法编辑ppt公开密钥密码体制接收者发送者E加密算法D解密算法加密密钥PK解密密钥SK明文X密文Y=EPK(X)密钥对产生源明文X=DSK(EPK(X))编辑ppt公开密钥算法的特点发送者用加密密钥PK对明文X加密后，在接收者用解密密钥SK解密，即可恢复出明文，或写为：

DSK(EPK(X))

X

编辑ppt公开密钥算法的特点〔2〕(2)加密密钥是公开的，但不能用它来解密，即DPK(EPK(X))X(3)在计算机上可容易地产生成对的PK和SK。(4)从的PK实际上不可能推导出SK。(5)加密和解密算法都是公开的。编辑ppt四、数字签名和消息认证除了信息的保密之外，如何保证信息的来源方是真实的，保证收到的信息的可靠的而没有被非法篡改，也是非常重要的。认证包括对用户身份的认证和对消息正确性的认证两种方式。编辑ppt数字签名和消息认证用户认证用于鉴别用户的身份是否是合法用户，可以利用数字签名技术来实现的。消息认证〔又称报文鉴别〕主要用于验证所收到的消息确实是来自真正的发送方且未被修改的消息，也可以验证消息的顺序和及时性。编辑ppt1、消息认证用于消息认证最常用的是消息认证码〔MAC〕和散列函数。消息认证码是在一个密钥的控制下将任意长的消息映射到一个简短的定长数据分组，将它附加在消息后。接收者通过重新计算MAC来对消息进行认证。编辑ppt2、数字签名当通信双方发生了以下情况时，数字签名技术能够解决引发的争端：否认：发送方不成认自己发送过某一报文。伪造：接收方自己伪造一份报文，并声称它来自发送方。冒充：网络上的某个用户冒充另一个用户接收或发送报文。篡改：接收方对收到的信息进行篡改。编辑ppt数字签名目前应用最为广泛的数字签名包括：Hash签名DSS签名RSA签名ElGamal数字签名体制等。

编辑ppt采用公钥的数字签名假设Alice要抵赖曾发送报文给Bob，Bob可将P及DA(P)出示给第三者。第三者很容易证实Alice确实发送X给Bob。编辑ppt五、密钥的分发和管理问题:如何解决两个实体通过网络实现对称密钥的共享?解决方法:具有公信力的密钥分发中心〔keydistributioncenter(KDC)〕来作为诸多实体间的中介编辑ppt密钥分发中心KDCAlice,Bob需要共享对称密钥.KDC:为每个注册的用户提供不同的密钥效劳.Alice,Bob在KDC注册后，获取了自己的对称密钥,KA-KDCKB-KDC.编辑ppt密钥的分发和管理问题:当Alice获取Bob的公钥时(可以从网站、e-mail,甚至软盘),如何能够使她相信这就是Bob的公钥,而不是Trudy的?解决方法:具有公信力的认证机构〔certificationauthority，CA〕编辑ppt认证机构CA认证机构(CA)为特定的实体管理公开密钥.实体〔个人或路由器〕可以在CA注册公开密钥.实体提供“身份证明〞给CA.CA创立信任状将实体与公开密钥进行绑定.由CA对信任状进行数字签名.编辑ppt认证机构CA当Alice需要Bob的公开密钥时:获取Bob信任状(从Bob或其他什么地方).把CA提供的公开密钥对Bob的信任状进行认证和解码,从而得到Bob的公开密钥编辑ppt9.3网络平安技术一、防火墙Firewall网络防火墙用来加强网络之间访问控制。防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源。图9.5防火墙逻辑位置示意图编辑ppt防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。它具有以下三个方面的根本特性：内、外网间的所有数据流都须经过防火墙;只有符合平安策略的数据流才能通过防火墙；防火墙自身应具有强的抗攻击免疫力。1、防火墙根本特征编辑ppt2、防火墙的功能具体来说，防火墙主要有以下功能：创立一个阻塞点隔离不同网络，防止内部信息的外泄强化平安策略有效地审计和记录内、外部网络上的活动编辑ppt3、防火墙的根本类型防火墙的根本类型：包过滤型网络地址转换〔NAT〕代理型监测型编辑ppt包过滤

Packetfiltering包过滤又称“报文过滤〞，它是防火墙最根本的过滤技术。防火墙根据数据包头所含的源、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源、目的端口等信息，确定该数据包是否允许通过。编辑ppt代理型防火墙代理型防火墙也可以被称为代理效劳器，它的平安性要高于包过滤型产品。代理效劳器位于客户机与效劳器之间，客户首先将数据请求发给代理效劳器，由代理效劳器向效劳器索取数据，然后再将数据传输给客户机。编辑ppt二、网络入侵与平安检测入侵检测IDS的定义：对主机或网络系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性的计算机平安技术。入侵检测可以分为信息收集和数据分析两个局部。编辑ppt入侵检测分类根据采用的技术来分：异常检测〔Anomalydetection〕特征检测〔Signature-baseddetection〕按检测的对象来分：基于主机的入侵检测系统基于网络的入侵检测系统基于网关的入侵检测系统编辑ppt异常检测前提：入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程： 监控量化比较判定

修正特点:漏报率低，误报率高编辑ppt三、虚拟专用网VPNVPN网络的任意两个结点之间的连接并没有传统专网所需的端到端的物理链路。VPN是架构在公用网络效劳商所提供的网络平台，如Internet、ATM或帧中继之上的逻辑网络。编辑pptVPN的应用场景例如：员工出差到外地，他想访问企业内网的效劳器资源，怎么才能让外地员工访问到内网资源呢?解决方法：在内网中架设一台VPN效劳器，VPN效劳器有两块网卡，一块连接内网，一块连接公网。编辑pptVPN举例设置两个IP地址编辑pptVPN举例〔2〕编辑pptVPN的平安措施隧道技术加解密技术密钥管理技术和使用者设备身份认证技术编辑ppt隧道技术第二、三层隧道〔Tunneling〕协议L2F〔Layer2Forwarding，二层转发协议〕PPTP〔PointtoPointTunnelingProtocol，点对点隧道协议〕L2TP〔Layer2TunnelingProtocol，二层隧道协议〕VTP〔VirtualTunnelingProtocol，虚拟隧道协议〕IPSec〔IPSecurity，IP平安协议〕编辑pptVPN的特点平安保障VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和平安性。效劳质量保证VPN可以为不同要求提供不同等级的效劳质量保证。编辑pptVPN的特点〔2〕可扩充、灵活性VPN支持通过Internet和Extranet的任何类型的数据流。可管理性VPN可以从用户和运营商角度方便进行管理。编辑ppt四、病毒防范计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒一般包括以下几个局部：引导局部传染局部表现局部编辑ppt计算机病毒分类计算机病毒分类根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒；按照计算机病毒激活时间可分为定时的和随机病毒；根据病毒特有的算法，分为伴随型病毒、“蠕虫〞型病毒和寄生型病毒等。蠕虫病毒〔Worm〕和特洛伊木马〔Trojan〕编辑ppt蠕虫病毒〔Worm〕蠕虫病毒是利用网络从一台机器的内存传播到其它机器的内存，将自身的病毒通过网络发送。传染途径是通过网络和电子邮件，比方“红色代码〞和“尼姆亚〞、“求职信〞等。计算机感染“尼姆亚〞病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大局部重要数据。编辑ppt特洛伊木马〔Trojan〕“特洛伊木马〞〔trojanhorse〕简称“木马〞，源于希腊神话。特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个游戏，诱使用户将其安装在PC或者效劳器上。通过一段特定的程序〔木马程序〕来控制另一台计算机。编辑ppt病毒说明病毒监测举例编辑ppt病毒监测举例编辑ppt9.4网络平安应用一、IP平安IPsec即IP平安(Security)协议网络层保密是指所有在IP数据报中的数据都是加密的。此外，网络层还应提供源站鉴别，即目的站收到IP数据报时，能确信这是从该数据报的源IP地址的主机发来的。编辑pptIPSec框架编辑pptIPsec主要的两个局部鉴别首部AH(AuthenticationHeader)：AH提供源站鉴别和数据完整性，但不能保密。封装平安有效载荷ESP(EncapsulationSecurityPayload)：ESP提供源站鉴别、数据完整性和保密。编辑ppt鉴别首部AH在使用鉴别首部AH时，将AH首部插在原数据报数据局部的前面。当数据报到达目的站时，目的站主机处理AH字段，以鉴别源主机和检查数据报的完整性。IP首部AH首部TCP/UDP报文段可鉴别的IP数据报原数据报的数据部分编辑ppt封装平安有效载荷ESP将ESP首部插在原数据报数据局部的前面。用ESP封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。IP首部ESP首部TCP/UDP报文段可鉴别的保密的IP数据报原数据报的数据部分ESP尾部ESP鉴别数据加密的部分鉴别的部分编辑ppt二、电子邮件平安PGP(PrettyGoodPrivacy)标准PGP是一个完整的电子邮件平安软件包，包括加密、鉴别、电子签名和压缩等技术。PGP通过单向散列算法对邮件内容进行签名，以保证信件内容无法修改，使用公钥和私钥技术保证邮件内容保密且不可否认。编辑pptPGP的报文格式EB的标识符MD5散列函数KMEA的标识符签字首部时间类型报文首部文件名时间报文报文部分签字部分密钥部分IDEA加密，压缩Base64编码的PGP报文用DA加密用EB加密编辑pptPEM标准PEM(PrivacyEnhancedMail)PEM是因特网的邮件加密建议标准，由四个RFC文档来描述RFC1421：报文加密与鉴别过程RFC1422：基于证书的密钥管理RFC1423：PEM的算法、工作方式和标识符RFC1424：密钥证书和相关的效劳编辑pptS/MIME标准S/MIME〔SecureMulti－PartIntermailMailExtension〕标准S/MIME也利用单向散列算法和公钥与私钥的加密体系。整个信任关系根本是树状的TreeofTrust编辑ppt三、Web平安平安套接层协议〔SecuritySocketLayer，SSL〕SSL协议是用来保护网络传输信息的，它工作在传输层之上，应用层之下。SSL协议是一个分层协议，由底层的记录层协议〔RecordProtocol〕和上层的消息子层组成编辑pptWeb平安〔2〕平安电子交易协议〔SecureElectonicTranscation，SET〕SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，SET支付系统主要由持卡人、商家、发卡行、收单银行、支付网关、认证中心等六个局部组成。双重签名技术〔DualSignatures〕编辑pptWeb平安举例编辑ppt四、无线网络平安无线网络的开放性使得网络更容易受到恶意攻击。WEP〔WiredEquivalentPrivacy，有线对等保密〕协议WPA〔Wi-FiProtectedAccess，无线保护接入〕编辑ppt9.5网络管理网络管理是控制一个网络系统使得它具有最高的效率和生产力的过程，网络管理系统的本质是管理网络的软件系统。我们常说的“网管系统〞，应该理解为保障整个IT系统顺利运作的管理系统。编辑ppt

网络管理的目标解决异构设备的统一管理提供高可靠的效劳提高网络的效率提供公共的管理平台提供友好的维护界面 编辑ppt网络管理的五大功能域配置管理CM〔ConfigurationManagement〕故障管理FM〔FaultManagement〕性能管理PM〔PerformanceManagement〕计费管理AM〔AccountingManagement〕平安管理SM〔SecurityManagement〕编辑ppt编辑ppt编辑ppt编辑ppt编辑ppt网络管理模型在网络管理中，一般采用管理者-代理的管理模型。管理者它负责发出管理操作的指令，并接收来自代理的信息。代理那么位于被管理的设备内部，把来自管理者的命令或信息请求转换为本设备特有的指令。编辑ppt管理者/代理之间的通信编辑ppt二、SNMP协议常用的网络管理协议包括：简单网络管理协议〔SimpleNetworkManagementProtocol，SNMP