04741计算机网络原理2018版PPT课件_第8章_网络安全基础
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4
第二节 数据加密
一、数据加密的基础知识[识记] 密码技术是保障信息安全的核心基础,解决数据的机密性、完整性、不可否
认性以及身份识别等问题均需要以密码为基础。简单来说,密码学包括密码编码学 和密码分析学两部分。
根据密码学的定义,可以得到一套完整密码体制,其中包括M、C、K、E、D共5 个要素: (1)M是可能明文的有限集称为明文空间。 (2)C是可能密文的有限集称为密文空间。 (3)K是一切可能密钥构成的有限集称为密钥空间。 (4)E为加密算法,对于任一密钥,都能够有效的计算。 (5)D为解密算法,对于任一密钥,都能够有效地计算。
统又可以分为分组密码和流密码,比较常见的分组密码有DES、AES和IDEA等。 1.DES加密算法
DES是典型型的分组密码,使用56位的密钥,明文为64位分组序列,共进行 16轮的加密,每轮加密都会进行复杂的管代和置换操作,并且每轮加密都会使用 一个由56位密钥导出的48位子密钥,最终输出与明文等长的64位密文。 2.三重DES
3
第一节 网络安全概述
一、网络安全的基本概念及属性[识记] 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者 恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中 断。 网络安全通信所需要的基本属性有:机密性、消息完整性、可访问与可用性、身份 认证。 二、网络安全威胁[领会] 网络主要面临的安全威胁有以下几个方面: (1)报文传输方面主要包括窃听、插人、假冒、劫持等安全威胁。 (2)常见的网络攻击包括拒绝服务DoS以及分布式拒绝服务DDoS等。 (3)映射。 (4)分组“嗅探”。 (5)IP欺骗。
换位密码,又称置换密码,是根据一定的规则重新排列明文,以便打破明文 的结构特性,置换密码的特点是保持明文的所有字符不变,只是利用置换打乱了明 文字符的位置和次序。
换位密码可分为列置换密码和周期置换密码。
6
第二节 数据加密
三、典型对称密钥密码算法[领会] 现代密码可以分为对称密钥密码和非对称密钥密码两大类。对称密钥加密系
密码散列函数还应该具有单向性、抗弱碰撞性、抗强碰撞性。 典型散列函数有MDS和SHA-1。
9
第三节 消息完整性与数字签名
二、报文认证[领会)
消息完整性检测的一个重要目的就是要完成报文认证的任务。
报文认证是使消息的接收者能够检验收到的消息是否是真实的认证方法。报文(消息) 认证的目的有两个:一个是消息源认证,即验证消息的来源是真实的,另一个是消息的认证, 即检证消息在传送过程中未被篡改。
计算机网络原理
(2018年版)
课程代码:04741
编著 李全龙
主讲:苏亮亮 线上论坛:http://bbs.goldoar.com
1
第八章 网络安全基础
理论讲解
2
第八章 网络安全基础
• 第一节 网络安全概述 • 第二节 数据加密 • 第三节 消息完整性与数字签名 • 第四节 身份认证 • 第五节 密钥分发中心与证书认证 • 第六节 防火墙与入侵检测系统 • 第七节 网络安全协议
为了实现消息完整性检测,需要用到密码散列函数H(m),表示对报文m进 行散列化。密码散列函数应具备的主要特性如下: (1)一般的散列函数具有算法公开。 (2)能够快速计算。 (3)对任意长度报文进行多对一映射均能产生定长输出。 (4)对于任意报文无法预知其散列值。 (5)不同报文不能产生相同的散列值。
数字签名应满足以下要求:
(1)接收方能够确认或证实发送方的签名,但不能伪造。
(2)发送方发出签名的消息给接收方后,就不能再否认他所签发的消息。
(3)接收方对已收到的签名消息不能否认,即有收报认证。
(4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
10
第四节 身份认证
身份认证的基本概念[识记] 身份认证又称身份鉴别,是一个实体经过计算机网络向另一个实体证明其身份
根据密码体制的特点以及出现的先后时间可以将密码方式分类为传统密码算 法、对称密钥算法、公开密钥算法。同时,依据处理数据的类型可以划分为分组密 码和序列密码。
5
第二节 数据加密
二、传统加密方法[识记] 1.替代密码
替代密码是将明文字母表M中的每个字母用密文字母表c中的相应字母来代替, 常见的加密模型有移位密码乘数密码、仿射密码等。 2.换位密码
该方法使用两个密钥,执行三次DES算法。加密的过程是加密-解密-加密,解 密的过程是解密-加密-解密。其体步骤是:首先按照常规的方法用密钥K1执行DES 加密,然后按照DES解密方式,使用K2作为密钥进行解密,最后,再次用K1执行 DES加密。
7
第二节 数据加密
3.AES加密算法 AES加密算法的特点如下: (1)分组长度和密钥长度均可变。 (2)循环次数允许在一定范围内根据安全要求进行修正。 (3)汇聚了安全、效率、易用、灵活等优点。 (4)抗线性攻击和抗差分攻击的能力大大增强。 (5)如果1s暴力破解DES,则需要149万亿年破解AES。 4.IDEA加密算法
三、数字签名方法[领会]
Hale Waihona Puke Baidu
数字签名在信息安全,包括身份认证,数据完整性,不可否认性以及匿名性等方面有重 要应用,特别是在大型安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。数 字签名是实现认证的重要工具。
数字签名与消息认证的区别:消息认证使接收方能验证发送方以及所发消息内容是否被篡 改过,当收发者之间没有利害冲突时,这对于防止第三着的破坏来说是足够了。但当接收者 和发送者之间有利害冲突时,就无法解决他们之间间的纠纷,此时须借助数字签名技术。
IDEA加密算法广泛应用在安全电子邮件PGP中。 IDEA加密算法是一个分组长度为64位的分组密码算法,密钥长度为128位, 同一个算法既可用于加密,也可用于解密。算法运用硬件与软件实现都很容易,而 且比DES算法在实现上快得多。
8
第三节 消息完整性与数字签名
报文/消息完整性也称为报文/消息认证(或报文鉴别),其主要目标是:证明报 文确实来自声称的发送方;验证报文在传输过程中没有被篡改;预防报文的时间、 顺序被篡改;预防报文持有期被篡改;预防抵赖。 一、数据完整性检测方法[领会]
第二节 数据加密
一、数据加密的基础知识[识记] 密码技术是保障信息安全的核心基础,解决数据的机密性、完整性、不可否
认性以及身份识别等问题均需要以密码为基础。简单来说,密码学包括密码编码学 和密码分析学两部分。
根据密码学的定义,可以得到一套完整密码体制,其中包括M、C、K、E、D共5 个要素: (1)M是可能明文的有限集称为明文空间。 (2)C是可能密文的有限集称为密文空间。 (3)K是一切可能密钥构成的有限集称为密钥空间。 (4)E为加密算法,对于任一密钥,都能够有效的计算。 (5)D为解密算法,对于任一密钥,都能够有效地计算。
统又可以分为分组密码和流密码,比较常见的分组密码有DES、AES和IDEA等。 1.DES加密算法
DES是典型型的分组密码,使用56位的密钥,明文为64位分组序列,共进行 16轮的加密,每轮加密都会进行复杂的管代和置换操作,并且每轮加密都会使用 一个由56位密钥导出的48位子密钥,最终输出与明文等长的64位密文。 2.三重DES
3
第一节 网络安全概述
一、网络安全的基本概念及属性[识记] 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者 恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中 断。 网络安全通信所需要的基本属性有:机密性、消息完整性、可访问与可用性、身份 认证。 二、网络安全威胁[领会] 网络主要面临的安全威胁有以下几个方面: (1)报文传输方面主要包括窃听、插人、假冒、劫持等安全威胁。 (2)常见的网络攻击包括拒绝服务DoS以及分布式拒绝服务DDoS等。 (3)映射。 (4)分组“嗅探”。 (5)IP欺骗。
换位密码,又称置换密码,是根据一定的规则重新排列明文,以便打破明文 的结构特性,置换密码的特点是保持明文的所有字符不变,只是利用置换打乱了明 文字符的位置和次序。
换位密码可分为列置换密码和周期置换密码。
6
第二节 数据加密
三、典型对称密钥密码算法[领会] 现代密码可以分为对称密钥密码和非对称密钥密码两大类。对称密钥加密系
密码散列函数还应该具有单向性、抗弱碰撞性、抗强碰撞性。 典型散列函数有MDS和SHA-1。
9
第三节 消息完整性与数字签名
二、报文认证[领会)
消息完整性检测的一个重要目的就是要完成报文认证的任务。
报文认证是使消息的接收者能够检验收到的消息是否是真实的认证方法。报文(消息) 认证的目的有两个:一个是消息源认证,即验证消息的来源是真实的,另一个是消息的认证, 即检证消息在传送过程中未被篡改。
计算机网络原理
(2018年版)
课程代码:04741
编著 李全龙
主讲:苏亮亮 线上论坛:http://bbs.goldoar.com
1
第八章 网络安全基础
理论讲解
2
第八章 网络安全基础
• 第一节 网络安全概述 • 第二节 数据加密 • 第三节 消息完整性与数字签名 • 第四节 身份认证 • 第五节 密钥分发中心与证书认证 • 第六节 防火墙与入侵检测系统 • 第七节 网络安全协议
为了实现消息完整性检测,需要用到密码散列函数H(m),表示对报文m进 行散列化。密码散列函数应具备的主要特性如下: (1)一般的散列函数具有算法公开。 (2)能够快速计算。 (3)对任意长度报文进行多对一映射均能产生定长输出。 (4)对于任意报文无法预知其散列值。 (5)不同报文不能产生相同的散列值。
数字签名应满足以下要求:
(1)接收方能够确认或证实发送方的签名,但不能伪造。
(2)发送方发出签名的消息给接收方后,就不能再否认他所签发的消息。
(3)接收方对已收到的签名消息不能否认,即有收报认证。
(4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
10
第四节 身份认证
身份认证的基本概念[识记] 身份认证又称身份鉴别,是一个实体经过计算机网络向另一个实体证明其身份
根据密码体制的特点以及出现的先后时间可以将密码方式分类为传统密码算 法、对称密钥算法、公开密钥算法。同时,依据处理数据的类型可以划分为分组密 码和序列密码。
5
第二节 数据加密
二、传统加密方法[识记] 1.替代密码
替代密码是将明文字母表M中的每个字母用密文字母表c中的相应字母来代替, 常见的加密模型有移位密码乘数密码、仿射密码等。 2.换位密码
该方法使用两个密钥,执行三次DES算法。加密的过程是加密-解密-加密,解 密的过程是解密-加密-解密。其体步骤是:首先按照常规的方法用密钥K1执行DES 加密,然后按照DES解密方式,使用K2作为密钥进行解密,最后,再次用K1执行 DES加密。
7
第二节 数据加密
3.AES加密算法 AES加密算法的特点如下: (1)分组长度和密钥长度均可变。 (2)循环次数允许在一定范围内根据安全要求进行修正。 (3)汇聚了安全、效率、易用、灵活等优点。 (4)抗线性攻击和抗差分攻击的能力大大增强。 (5)如果1s暴力破解DES,则需要149万亿年破解AES。 4.IDEA加密算法
三、数字签名方法[领会]
Hale Waihona Puke Baidu
数字签名在信息安全,包括身份认证,数据完整性,不可否认性以及匿名性等方面有重 要应用,特别是在大型安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。数 字签名是实现认证的重要工具。
数字签名与消息认证的区别:消息认证使接收方能验证发送方以及所发消息内容是否被篡 改过,当收发者之间没有利害冲突时,这对于防止第三着的破坏来说是足够了。但当接收者 和发送者之间有利害冲突时,就无法解决他们之间间的纠纷,此时须借助数字签名技术。
IDEA加密算法广泛应用在安全电子邮件PGP中。 IDEA加密算法是一个分组长度为64位的分组密码算法,密钥长度为128位, 同一个算法既可用于加密,也可用于解密。算法运用硬件与软件实现都很容易,而 且比DES算法在实现上快得多。
8
第三节 消息完整性与数字签名
报文/消息完整性也称为报文/消息认证(或报文鉴别),其主要目标是:证明报 文确实来自声称的发送方;验证报文在传输过程中没有被篡改;预防报文的时间、 顺序被篡改;预防报文持有期被篡改;预防抵赖。 一、数据完整性检测方法[领会]