计算机网络第8章 计算机网络安全与管理-课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13
3.报文鉴别
8.1.3 网络安全的技术体系
4.CA认证
密钥管理是密码学中一个重要的分支,密钥分配又是密钥管 理中最大的问题。密钥分配根据密钥的不同分为对称密钥分 配和非对称密钥分配两种。CA(Certification Authority)认 证中心则是对非对称密钥进行分配认证的权威机构。 防火墙是建立在内外部网络之间的一种设备,主要起到访问 控制的作用。它严格控制进出网络边界的信息,只允许那些 授权的数据通过,防止内外部网络之间非法传递信息。 同时,它也阻止未经许可的用户访问内部网络。作为内部网 络和外部网络之间的安全屏障,防火墙目前使用的技术主要 有包过滤技术和代理服务技术等。
12
8.1.3 网络安全的技术体系
2.数据签名
数字签名是在加密技术的基础上,由发送方通过公钥密 码技术对传送的报文进行处理,产生其他人无法伪造的 密文,这个密文用来认证报文的来源并核实报文是否发 生了变化,防止发送者的抵赖行为。 报文鉴别是用来确定报文的确是由报文发送者发送的, 而不是其他冒充者伪造或篡改的。 通过报文鉴别可以使通信的接收方能够验证所接收报文 的来源和真伪,报文鉴别通过对报文摘要进行数字签名 达到鉴别目的。
7
8.1.1 网络安全威胁
对于主动攻击,由于信息的真实性和完整性遭 到了破坏,可以采取适当的措施对其加以检测, 并采用加密、鉴别反拒认和完整性技术来对付; 而对于被动攻击,通常检测不出来,因此需要 采用各种数据加密技术以防止数据被盗用或分 析。
8
8.1 网络安全概述
8.1.2 网络安全的目标和内容
1)可用性 授权的合法用户在其需要时可正常访问数据, 即不允许攻击者占用网络资源而阻碍授权用户的访问。 2)保密性 通过数据加密技术,确保信息不泄露给未授 权的实体或进程。 3)完整性 通过完整性鉴别机制,能够保证只有得到允 许的用户才能对数据进行修改,并且能够检测出收到的 数据在传输过程中是否被篡改。 4)不可抵赖性 又称不可否认性,是指使用审计、监控、 防抵赖等安全机制,通过数据签名、报文鉴别等方法, 防止交易双方否认或抵赖曾经完成的操作和承诺。
6
8.1.1 网络安全威胁
主动攻击是指采取手段有选择地破坏信息的真实性、完整性 和有序性。它可以通过伪造身份,企图建立新的连接,盗窃 有用信息;或者延迟信息,或者插入之前复制的信息,使接 收服务器拒绝报文服务;甚至传播病毒,干扰和破坏整个系 统的正常运行。主动攻击包括篡改、伪造、拒绝服务等攻击 方法。 1)篡改 指攻击者在未经授权访问的情况下改动了原始数据, 从而使合法用户得到虚假的信息或错误的服务。2)伪造 指 攻击者未经许可在系统中伪造出假的信息或服务,来欺骗接 收者。3)拒绝服务 指攻击者向因特网中某个服务器集中不 停地发送大量的分组,使系统响应减慢甚至瘫痪,导致因特 网或服务器无法提供正常服务。
14
5.防火墙技术
8.1.3 网络安全的技术体系
1.网络安全目标
针对网络中的不安全因素和威胁,设定网络安全的目 标,即防止盗用信息,防止通信量分析,检测报文流 的更改,检测拒绝报文服务,检测伪造连接等,实现 信息的可用性、保密性、完整性和不可抵赖性。
图2-3 模拟数据和数字数据的四种通信方式
9
8.1.2 Leabharlann 络安全的目标和内容1.网络安全目标
11
8.1 网络安全概述
8.1.3 网络安全的技术体系
1.数据加密
数据加密是指将原始信息(或称明文)通过加密钥匙 和加密算法变换成密文,实现信息隐蔽,而接收方则 将此密文经过解密算法和解密钥匙还原成明文。 由于数字签名、报文鉴别、身份认证等技术都是以加 密技术作为基础,因此,数据加密技术可以看作网络 安全技术的基石。
计算机网络技术与应用 第8章 计算机网络安全与管理
1/99
学习目标
理解网络安全的基本概念,掌握数据加密技术, 掌握数据鉴别与认证技术,了解因特网的安全体 系与相关协议,掌握防火墙和入侵检测的基本概
念和分类。
本章要点
网络安全的基本概念、数据加密技术、鉴别与认 证技术、网络安全体系结构、防火墙和入侵检测 技术
10
8.1.2 网络安全的目标和内容
2.网络安全内容
1)保密性机制 为用户提供安全可靠的保密通信是网络 安全的重要内容。保密性机制除了提供保密通信外,还 包括设计登录口令、数字签名以及安全通信协议等安全 机制。 2)设计安全协议 由于网络的安全性比较复杂,因此不 可能设计出一种彻底安全的通信协议,只能针对具体的 攻击设计相应的安全通信协议。 3)访问控制 也叫做存取控制。由于网络系统的复杂性, 其访问控制也变得更加复杂。必须对每个用户的访问权 限进行设定,对接入网络的权限加以控制。
外部威胁主要指来自系统外部的故意攻击,分为被动 攻击和主动攻击两种,如图8-1所示。
4
8.1.1 网络安全威胁
源点
终点
源点
终点
源点
终点
源点
终点
...
截获 篡改 伪造 拒绝 服务
被动攻击
主动攻击
图8-1 主动攻击与被动攻击
5
8.1.1 网络安全威胁
被动攻击是指攻击者只对信息进行监听而不干扰信息 源,如窃听、截获、监视、非法查询以及通信量分析 (指攻击者通过对信息的流向、流量、通信频度和长 度等进行分析,了解交换数据的性质,获取有用的信 息)等,其攻击目的主要是收集和获取信息。 由于被动攻击不对信息源做任何的改动,因此数据的 合法用户对这种活动一点也不会觉察到,这也导致检 测被动攻击变得十分困难。
2
本章内容
8.1 网络安全概述 8.2 数据加密技术
8.3 数据签名与鉴别技术
8.4 因特网的安全体系结构
8.5 防火墙技术和入侵检测
8.6 网络管理
3
8.1 网络安全概述
8.1.1 网络安全威胁
网络中的数据在传输和存储过程中,可能被盗用、暴 露或篡改,或者网络受到攻击而瘫痪,其安全威胁来 自内部和外部两个方面。内部威胁主要来自网络设计、 网络协议本身等的安全缺陷。如传输口令时采用容易 被窃取的明文;密码保密性不强,容易被破解;某些 协议存在安全漏洞等,这些都使得网络攻击者有可乘 之机。
3.报文鉴别
8.1.3 网络安全的技术体系
4.CA认证
密钥管理是密码学中一个重要的分支,密钥分配又是密钥管 理中最大的问题。密钥分配根据密钥的不同分为对称密钥分 配和非对称密钥分配两种。CA(Certification Authority)认 证中心则是对非对称密钥进行分配认证的权威机构。 防火墙是建立在内外部网络之间的一种设备,主要起到访问 控制的作用。它严格控制进出网络边界的信息,只允许那些 授权的数据通过,防止内外部网络之间非法传递信息。 同时,它也阻止未经许可的用户访问内部网络。作为内部网 络和外部网络之间的安全屏障,防火墙目前使用的技术主要 有包过滤技术和代理服务技术等。
12
8.1.3 网络安全的技术体系
2.数据签名
数字签名是在加密技术的基础上,由发送方通过公钥密 码技术对传送的报文进行处理,产生其他人无法伪造的 密文,这个密文用来认证报文的来源并核实报文是否发 生了变化,防止发送者的抵赖行为。 报文鉴别是用来确定报文的确是由报文发送者发送的, 而不是其他冒充者伪造或篡改的。 通过报文鉴别可以使通信的接收方能够验证所接收报文 的来源和真伪,报文鉴别通过对报文摘要进行数字签名 达到鉴别目的。
7
8.1.1 网络安全威胁
对于主动攻击,由于信息的真实性和完整性遭 到了破坏,可以采取适当的措施对其加以检测, 并采用加密、鉴别反拒认和完整性技术来对付; 而对于被动攻击,通常检测不出来,因此需要 采用各种数据加密技术以防止数据被盗用或分 析。
8
8.1 网络安全概述
8.1.2 网络安全的目标和内容
1)可用性 授权的合法用户在其需要时可正常访问数据, 即不允许攻击者占用网络资源而阻碍授权用户的访问。 2)保密性 通过数据加密技术,确保信息不泄露给未授 权的实体或进程。 3)完整性 通过完整性鉴别机制,能够保证只有得到允 许的用户才能对数据进行修改,并且能够检测出收到的 数据在传输过程中是否被篡改。 4)不可抵赖性 又称不可否认性,是指使用审计、监控、 防抵赖等安全机制,通过数据签名、报文鉴别等方法, 防止交易双方否认或抵赖曾经完成的操作和承诺。
6
8.1.1 网络安全威胁
主动攻击是指采取手段有选择地破坏信息的真实性、完整性 和有序性。它可以通过伪造身份,企图建立新的连接,盗窃 有用信息;或者延迟信息,或者插入之前复制的信息,使接 收服务器拒绝报文服务;甚至传播病毒,干扰和破坏整个系 统的正常运行。主动攻击包括篡改、伪造、拒绝服务等攻击 方法。 1)篡改 指攻击者在未经授权访问的情况下改动了原始数据, 从而使合法用户得到虚假的信息或错误的服务。2)伪造 指 攻击者未经许可在系统中伪造出假的信息或服务,来欺骗接 收者。3)拒绝服务 指攻击者向因特网中某个服务器集中不 停地发送大量的分组,使系统响应减慢甚至瘫痪,导致因特 网或服务器无法提供正常服务。
14
5.防火墙技术
8.1.3 网络安全的技术体系
1.网络安全目标
针对网络中的不安全因素和威胁,设定网络安全的目 标,即防止盗用信息,防止通信量分析,检测报文流 的更改,检测拒绝报文服务,检测伪造连接等,实现 信息的可用性、保密性、完整性和不可抵赖性。
图2-3 模拟数据和数字数据的四种通信方式
9
8.1.2 Leabharlann 络安全的目标和内容1.网络安全目标
11
8.1 网络安全概述
8.1.3 网络安全的技术体系
1.数据加密
数据加密是指将原始信息(或称明文)通过加密钥匙 和加密算法变换成密文,实现信息隐蔽,而接收方则 将此密文经过解密算法和解密钥匙还原成明文。 由于数字签名、报文鉴别、身份认证等技术都是以加 密技术作为基础,因此,数据加密技术可以看作网络 安全技术的基石。
计算机网络技术与应用 第8章 计算机网络安全与管理
1/99
学习目标
理解网络安全的基本概念,掌握数据加密技术, 掌握数据鉴别与认证技术,了解因特网的安全体 系与相关协议,掌握防火墙和入侵检测的基本概
念和分类。
本章要点
网络安全的基本概念、数据加密技术、鉴别与认 证技术、网络安全体系结构、防火墙和入侵检测 技术
10
8.1.2 网络安全的目标和内容
2.网络安全内容
1)保密性机制 为用户提供安全可靠的保密通信是网络 安全的重要内容。保密性机制除了提供保密通信外,还 包括设计登录口令、数字签名以及安全通信协议等安全 机制。 2)设计安全协议 由于网络的安全性比较复杂,因此不 可能设计出一种彻底安全的通信协议,只能针对具体的 攻击设计相应的安全通信协议。 3)访问控制 也叫做存取控制。由于网络系统的复杂性, 其访问控制也变得更加复杂。必须对每个用户的访问权 限进行设定,对接入网络的权限加以控制。
外部威胁主要指来自系统外部的故意攻击,分为被动 攻击和主动攻击两种,如图8-1所示。
4
8.1.1 网络安全威胁
源点
终点
源点
终点
源点
终点
源点
终点
...
截获 篡改 伪造 拒绝 服务
被动攻击
主动攻击
图8-1 主动攻击与被动攻击
5
8.1.1 网络安全威胁
被动攻击是指攻击者只对信息进行监听而不干扰信息 源,如窃听、截获、监视、非法查询以及通信量分析 (指攻击者通过对信息的流向、流量、通信频度和长 度等进行分析,了解交换数据的性质,获取有用的信 息)等,其攻击目的主要是收集和获取信息。 由于被动攻击不对信息源做任何的改动,因此数据的 合法用户对这种活动一点也不会觉察到,这也导致检 测被动攻击变得十分困难。
2
本章内容
8.1 网络安全概述 8.2 数据加密技术
8.3 数据签名与鉴别技术
8.4 因特网的安全体系结构
8.5 防火墙技术和入侵检测
8.6 网络管理
3
8.1 网络安全概述
8.1.1 网络安全威胁
网络中的数据在传输和存储过程中,可能被盗用、暴 露或篡改,或者网络受到攻击而瘫痪,其安全威胁来 自内部和外部两个方面。内部威胁主要来自网络设计、 网络协议本身等的安全缺陷。如传输口令时采用容易 被窃取的明文;密码保密性不强,容易被破解;某些 协议存在安全漏洞等,这些都使得网络攻击者有可乘 之机。