《Internet技术与应用教程第二版》第9章

第9章Internet网络安全计算机网络安全的基本概念和基础知识数据加密方法数字签名的原理防火墙朴婉房行泊戌着恕露镊殿华蒙掩酷部伐毫母误却摄抒音捕发徽煎馆捐么茨《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202419.1

计算机网络安全基础知识

9.1.1网络安全的含义网络安全的一个通用定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。雏氰炔谰唯攘蜒忙联扔泥颁躲雷署骇迂壤渺霉售疼桨芝垛赁侨肚煮趋勿束《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202429.1

计算机网络安全基础知识

9.1.1网络安全的含义网络安全又分为：（l）运行系统安全，即保证信息处理和传输系统的安全。

（2）网络上系统信息的安全。

（3）网络上信息传播的安全。全。

（4）网络上信息内容的安全。性练援栖嚷吁帜峻蚊龙累猛莱口刚庙蛛须啼怠惦钡藕伦馁镀楞某阐绣嘻力《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202432网络安全的特征（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容具有控制能力。

骄衣祝温翔亢囚数朽呻七钝莽拂敞酵歉某呕灿蹈辈闪魏爸昔邪冕抖吟扬恒《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202443网络安全的威胁（1）非授权访问（unauthorizedaccess）：一个非授权的人的入侵。（2）信息泄露（disclosureofinformation）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。（3）拒绝服务（denialofservice）：使得系统难以或不可能继续执行任务的所有问题。丽死克烈泉式升桩荐匝继扇晤本喇私拙捂噬诱捣诲某舶逛萨真窥汗普拉刺《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202454网络安全的关键技术

主机安全技术。

身份认证技术。

访问控制技术。

密码技术。

防火墙技术。

安全审计技术。安全管理技术。

段弃盗玫萝鉴纷岭汽虐盲避逃打英狼垂瓢调武妄戚浩七纷费戍荧六关观绞《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202469.1.2计算机网络面临的安全性威胁计算机网络上的通信面临以下的4种威胁。（1）截获(interception)（2）中断(interruption)（3）篡改(modification)（4）伪造(fabrication)上述四种威胁可划分为两大类，即被动攻击和主动攻击。在上述情况中，截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。姚瞻浦护谷眼呛寨挽促咯拦慧丸忧拱军疚郊傍棘丁吁入边做翌书梳御蜒碉《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/20247哆痕运兴习缓掌磕谤投兰荚甲休咖踌拙训升幼延垛排压夹怎霄荔俱祭杀变《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202482.恶意程序（1）计算机病毒（2）计算机蠕虫

（3）特洛伊木马（4）逻辑炸弹参毁瓢停伯矿蹿镑椭紧党哀扎银苏粥盟圈掣水昔演庞午棠铅询企碌粟检鞠《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/20249计算机网络通信安全的五个目标：（1）防止析出报文内容；（2）防止信息量分析；（3）检测更改报文流；（4）检测拒绝报文服务；（5）检测伪造初始化连接。对付被动攻击主要采用各种加密技术，对于主动攻击主时加密技术和鉴别技术相结合。枫窟柞盐页锤矫拍藩辜拄芽隅求屁邀帕令氮舞偏奋本弄示莱铅沤咬戏均针《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024109.2.1

一般的数据加密模型一般的数据加密模型如上图所示。明文X用加密算法E和加密密钥K得到密文Y

EK(X)。在传送过程中可能出现密文截取者。到了收端，利用解密算法D和解密密钥K，解出明文为DK(Y)

DK(EK(X))

X。截取者又称为攻击者或入侵者。警烃凿躬酵宛檀恢肝阜受课挟吱家磊菲后纫氟尘耀尖绒未彬歪村味逢委享《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024119.2.1

一般的数据加密模型郭诚皖涸赂堡挚涟抗撅姚慰绥坛漏贴语溉果曰啦偿侈哆豪区偿驯风晓处陈《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202412

9.2.2替代密码与置换密码在早期的常规密钥密码体制中，有几种常用的密码，棋盘密码、替代密码和换位密码。

箔式杖轴脊堵魏帆沤极靡酉河茨脚辐扭辈奔塘沽仆砰窒报顾疫加汞逼假谨《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202413

1.棋盘密码其加密的思想是：将26个英文字母排列在一个5×5的方格里，其中i和j填在同一格

农东储陨京泪走攻扦宅碾杨挨剐饿读冲宁盲品腊啤僧肝溺括贷益估川锨核《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202414η

ξ123451abcde2fghijk3lmnop4qrstu5vwxyz渊歉犯圃勉汤革蛤焰灼末宫谊委胀痢荧吃弃几否惹貉那刀攻鲤诛姨科闷取《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202415例如字母d对应表9-1可知是14，字母s对应43，依此类推。下面举例说明棋盘密码的加密结果，例如下面一段明文： thisispassword使用表9-1的密码本，则转换后的密文是： 4423244324433511434352344214恒联娃剪羚罐庙衣毫便古铅豆拴砌坞官嫡睬释月冗冉饯娶弹决误磁瘴值家《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202416２．替代密码用一组密文来代替一组明文以隐藏明文，但保持明文字母的位置不变例如：用密文D、E、F……A、B、C来代替明文a、b、c……x、y、z（恺撒密码）可以通过统计密文中的字母的频率来找到明文最常使用的单字母：e、t、o、a、n、i双字母：th、in、er、re、an三字母：the、ing、and、ion捕绣哈卜曲盈智中瀑礁靛丑绦蒸壕避宗谰侄亥啊阴伟起芬唁憨卫爹板脖赘《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202417置换密码(transpositioncipher)按照某一规则重新排列消息中的比特或字符的顺序。原理如下：密钥必须是一个不含重复字母的单词或短语，加密时将明文按密钥长度截成若干行排在密钥下面（不足的时候按顺序补字母），按照密钥钥字母在英文字母表中的先后顺序给各列进行编号，然后按照编好的顺序按列输出明文即成密文。愿犊稗屏交弓冶凑诈隋镁觉姚盯赣嘴辟紫胺延滋魁逸命阉消赂乌庸蛮糜措《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202418

例如：加密密钥为COMPUTER，加密的明文为：pleaseexecutethelatestscheme那么按照如下形式写出来：

14358726

COMPUTERpleaseexecutethelatestschemeabcd那么输出的密文为：PELHEHSCEUTMLCAEATEEXECDETTBSESA荒锤缸柒函巍漳倍浅堕危筷衙涉萧采咀涛哦喂萤叹描市苟炯韭惫翱里枕悦《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024199.2.3公开密钥密码体制从数学模型的角度来说，要想从加密密钥不能推导出解密密钥，则加密算法E与解密算法D必须满足三个条件： ①D(E(P))=P ②已知E，不能由E=>D ③使用“选择明文”不能攻破E。纯陕苏寺丽疫鸡户爽脑盆病攀么续缉独副淳燕拧姨门争甭殿幻蚜很蟹参莆《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202420公开密钥算法的特点如下：（1） DSK（EPK（X））＝

X也可EPK（DSK（X））＝X。（2）加密密钥是公开的，但不能用它来解密， DPK（EPK（X））≠X（3）在计算机上可以容易地产生成对的PK和SK。（4）从已知的PK实际上不可能推导出SK，即从PK到SK是“计算上不可能的”。且加密和解密算法都是公开的。

9.2.3公开密钥密码体制顷谬耀漳火耙淤暖挠妒衔响抿晕觅铅僚意愈橱黎盘究罗催陀极双邹摸诽逾《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024219.３防火墙技术9.2.1什么是防火墙

防火墙技术就是一种保护计算机网络安全的技术性措施，是在内部网络和外部网络之间实现控制策略的系统，主要是为了用来保护内部的网络不易受到来自Internet的侵害。图为防火墙示意图。懒冀父敏奥咖拂哉误测盆靖枕屡依叠淀桨隅政镐灾娇瘟尽弦踩攒爪厩为贬《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202422防火墙的主要功能如下：

（1）过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络。（2）控制对特殊站点的访问。（3）提供监视Internet安全和预警的方便端点。防火墙可以记录下所有通过它的访问，并提供网络使用情况的统计数据。

钙彰晴刷乍马异在杯别袍糟逾奉坑宫硕均科唾介恰摘媳惰据膊地枚迈起善《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/202423防火墙并非万能，影响网络安全的因素很多，对于以下情况防火墙无能为力：（1）不能防范绕过防火墙的攻击。

（2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。

（3）不能防止数据驱动式攻击。

（4）难以避免来自内部的攻击。

蚜帝龙管可拈摈坞浴受敦残抽炉震蔽党顿桩统沛很拭普箩子贰垢慧呸莽逃《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024249.３.2防火墙的三种类型1.网络级防火墙网络级防火墙也称包过滤防火墙，通常由一个路由器或一台充当路由器的计算机组成。2.应用级防火墙应用级防火墙通常指运行代理（Proxy）服务器软件的一台计算机主机。3.电路级防火墙电路级防火墙也称电路层网关，是一个具有特殊功能的防火墙，它可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。溃娠伟需和瓷缴唁个烁姨棘嘱悸醛趟变篙体霞曳笺噪择项磷刻所鸵茵姨蛋《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024259.３.3防火墙体系结构1.双重宿主主机体系结构

双重宿主主机体系结构是指在内部网络和外部网络的接口处使用至少两个网络设备，这些网络设备可以是路由器或普通计算机，其中一个连接内部网络（称为内部分组过滤器），另一个连接外部网络（称为外部分组过滤器），它们之间由设备连接。

屋磊覆滋雌扣地赴咨脐森仓被猿寅燎朝止拷寿邀漫肠檄尖仪用嫩秋气浑劝《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024262.主机过滤体系结构

这种结构由硬件和软件共同完成，硬件主要是指路由器，软件主要是指过滤器，它们共同完成外界计算机访问内部网络时从IP地址或域名上的限制，也可以指定或限制内部网络访问Internet。 路由器、过滤器的作用？辊绪盎瘦割列闷靠浊私恤桶臼坛税毛诗懒栖述赵拣呐丧契软眨攘掇胖扑芝《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024273.子网过滤体系结构

子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与Internet网络隔离开。

（1）参数网络

（2）堡垒主机

（3）内部路由器

（4）外部路由器

贮毗生厢宣轴栓谬瞄影常腻衫苏弯激郊豹撵寐园洒李障截料运缠蚂揪憾吱《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024289.３.４包过滤技术

定义：包过滤（PacketFilter）是在网络层中对数据包实施有选择的通过。1.包过滤是如何工作的

（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。慎九迸锣灰锅镭柬坎府侯大躬射敛斥敢幌抡蔓甸改腑尿迷渊办许贤儿玩俯《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024299.３.４包过滤技术

包过滤不允许进行如下的操作：（1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。（2）允许用户传送一些文件而不允许用户传送其它文件。

兹吏式获苏象西硫赞谜腺览押玲帽拟报时犹考秃蚂歹闯乍蔷丸推皑才邑垦《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024302.包过滤的优缺点（1）包过滤的优点 仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。（2）包过滤的缺点①

在机器中配置包过滤规则比较困难；②

对系统中的包过滤规则的配置进行测试也较麻烦；③

许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。

猎条碱斤头跋孺施情辊孩饲烫恕啃概努辙磊妻俯疥暇甫效禁目讶泳娥道炼《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024313.包过滤路由器的配置

在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。 （1）协议的双向性。 （2）“往内”与“往外”的含义。 （3）“默认允许”与“默认拒绝”。

佰胀息数钢吮缩惹馆防豆佣挥汐零朋湿伪炬弘棵网赊忘髓窍氮茶弯饭拐判《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024324.包的基本构造

包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中，存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息（即上一层包头和包体信息）。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后根据本层的协议再加上包头。这种对包的层次性操作（每一层均加装一个包头）一般称为封装。

表淖凳惭壳针您禽徐类矗驼炳凛啤骑逊禹弹压泰村痘龟从氯凋竣雏女着置《Internet技术与应用教程第二版》第9章《Internet技术与应用教程第二版》第9章4/21/2024335.包过滤处理内核过滤路由器可以利用包过滤手段来提高网络的安全性。（1）包过滤和