15计算机网络的安全与演进

《15计算机网络的安全与演进》由会员分享，可在线阅读，更多相关《15计算机网络的安全与演进（55页珍藏版）》请在装配图网上搜索。

1、单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,*,计算机网络考试时间,2010,年,12,月,24,日 下午,6,：,00-19,：,35,,18,周,-,周,5-9-10,节,,地点：  知行楼,106 107 109 110,,,计算机网络,第,9,章 计算机网络的安全与演进,,,9.1,网络安全问题概述,9.1.1,计算机网络面临的安全性威胁,,计算机网络上的通信面临以下的四种威胁：,,,(1),截获,——,从网络上窃听他人的通信内容。,,,(2),中断,——,有意中断他人在网络上的通信。,,,(3),篡改,——,故意篡改网络上传送的

2、报文。,,,(4),伪造,——,伪造信息在网络上传送。,,截获信息的攻击称为,被动攻击,，而更改信息和拒绝用户使用资源的攻击称为,主动攻击,。,,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,,被动攻击和主动攻击,在被动攻击中，攻击者只是观察和分析某一个协议数据单元,PDU,而不干扰信息流。,,主动攻击是指攻击者对某个连接中通过的,PDU,进行各种处理。,,更改报文流,,拒绝报文服务,,伪造连接初始化,,,(1),防止析出报文内容；,,(2),防止通信量分析；,,(3),检测更改报文流；,,(4),检

3、测拒绝报文服务；,,(5),检测伪造初始化连接。,计算机网络通信安全的目标,,(1),计算机病毒,——,会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。,,(2),计算机蠕虫,——,通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。,,(3),特洛伊木马,——,一种程序，它执行的功能超出所声称的功能。,,(4),逻辑炸弹,——,一种当运行环境满足某种特定条件时执行其他特殊功能的程序。,恶意程序,(rogue program),,9.1.2,计算机网络安全的内容,保密性,,安全协议的设计,,接入控制,,9.1.3,一般的数据加密模型,E,,加

4、密算法,D,,解密算法,加密密钥,K,解密密钥,K,明文,X,明文,X,密文,Y = E,K,(X),截取者,截获,篡改,密钥源,安全信道,,9.2,常规密钥密码体制,所谓常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制。,,这种加密系统又称为,对称密钥系统,。我们先介绍在常规密钥密码体制中的两种最基本的密码。替代密码与置换密码。,,9.2.1,替代密码与置换密码,替代密码,(substitution cipher),的原理可用一个例子来说明。（密钥是,3,）,,,abcdefghijklmnopqrstuvwxyz,,DEFGHIJKLMNOPQRSTUVWXYZABC,caesar,

5、cipher,FDHVDU FLSKHU,明文,,密文,明文,c,变成了密文,F,,9.2.1,替代密码与置换密码,替代密码,(substitution cipher),的原理可用一个例子来说明。（密钥是,3,）,,,abcdefghijklmnopqrstuvwxyz,,DEFGHIJKLMNOPQRSTUVWXYZABC,caesar,cipher,FDHVDU FLSKHU,明文,,密文,明文,a,变成了密文,D,,9.2.1,替代密码与置换密码,替代密码,(substitution cipher),的原理可用一个例子来说明。（密钥是,3,）,,,abcdefghijklmnopqrst

6、uvwxyz,,DEFGHIJKLMNOPQRSTUVWXYZABC,caesar,cipher,FDHVDU FLSKHU,明文,,密文,明文,e,变成了密文,H,,CIPHER,,145326,,attack,,begins,,atfour,置换密码,置换密码,(transposition cipher),则是按照某一规则重新排列消息中的比特或字符顺序。,密钥,,顺序,,,明文,根据英文字母在,26,个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有,A,和,B,，因此,C,为第,1,。同理，,E,为第,2,，,H,为第,3,……,，,R,为第,6,。于是得出

7、密钥字母的相对先后顺序为,145326,。,,CIPHER,,145326,,attack,,begins,,atfour,置换密码,置换密码,(transposition cipher),则是按照某一规则重新排列消息中的比特或字符顺序。,密钥,,顺序,,,明文,根据英文字母在,26,个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有,A,和,B,，因此,C,为第,1,。同理，,E,为第,2,，,H,为第,3,……,，,R,为第,6,。于是得出密钥字母的相对先后顺序为,145326,。,,CIPHER,,145326,,attack,,begins,,atfour

8、,置换密码,置换密码,(transposition cipher),则是按照某一规则重新排列消息中的比特或字符顺序。,密钥,,顺序,,,明文,根据英文字母在,26,个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有,A,和,B,，因此,C,为第,1,。同理，,E,为第,2,，,H,为第,3,……,，,R,为第,6,。于是得出密钥字母的相对先后顺序为,145326,。,,CIPHER,,145326,,attack,,begins,,atfour,置换密码,置换密码,(transposition cipher),则是按照某一规则重新排列消息中的比特或字符顺序。,密钥

9、,,顺序,,,明文,根据英文字母在,26,个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有,A,和,B,，因此,C,为第,1,。同理，,E,为第,2,，,H,为第,3,……,，,R,为第,6,。于是得出密钥字母的相对先后顺序为,145326,。,,CIPHER,,145326,,attack,,begins,,atfour,置换密码,置换密码,(transposition cipher),则是按照某一规则重新排列消息中的比特或字符顺序。,密钥,,顺序,,,明文,根据英文字母在,26,个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有

10、,A,和,B,，因此,C,为第,1,。同理，,E,为第,2,，,H,为第,3,……,，,R,为第,6,。于是得出密钥字母的相对先后顺序为,145326,。,,CIPHER,,145326,,attack,,begins,,atfour,置换密码,置换密码,(transposition cipher),则是按照某一规则重新排列消息中的比特或字符顺序。,密钥,,顺序,,,明文,根据英文字母在,26,个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有,A,和,B,，因此,C,为第,1,。同理，,E,为第,2,，,H,为第,3,……,，,R,为第,6,。于是得出密钥字母的

11、相对先后顺序为,145326,。,,CIPHER,,145326,,attack,,begins,,atfour,密文的得出,密钥,,顺序,,,明文,先读顺序为,1,的明文列，即,aba,,,CIPHER,,145326,,attack,,begins,,atfour,密文的得出,密钥,,顺序,,,明文,再读顺序为,2,的明文列，即,cnu,,,CIPHER,,145326,,attack,,begins,,atfour,密文的得出,密钥,,顺序,,,明文,再读顺序为,3,的明文列，即,aio,,,CIPHER,,145326,,attack,,begins,,atfour,密文的得出,密钥,

12、,顺序,,,明文,再读顺序为,4,的明文列，即,tet,,,CIPHER,,145326,,attack,,begins,,atfour,密文的得出,密钥,,顺序,,,明文,再读顺序为,5,的明文列，即,tgf,,,CIPHER,,145326,,attack,,begins,,atfour,密文的得出,密钥,,顺序,,,明文,最后读顺序为,6,的明文列，即,ksr,,因此密文就是：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begins,,atfour,接收端收到密文后按列写下,密钥,,顺序,,,明文,先写下第,1,列密文,aba,,收到的密

13、文：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begins,,atfour,接收端收到密文后按列写下,密钥,,顺序,,,明文,再写下第,2,列密文,cnu,,收到的密文：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begins,,atfour,接收端收到密文后按列写下,密钥,,顺序,,,明文,再写下第,3,列密文,aio,,收到的密文：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begins,,atfour,接收端收到密文后按列写下,密钥,,顺

14、序,,,明文,再写下第,4,列密文,tet,,收到的密文：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begins,,atfour,接收端收到密文后按列写下,密钥,,顺序,,,明文,再写下第,5,列密文,tgf,,收到的密文：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begins,,atfour,接收端收到密文后按列写下,密钥,,顺序,,,明文,最后写下第,6,列密文,ksr,,收到的密文：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begin

15、s,,atfour,接收端从密文解出明文,密钥,,顺序,,,明文,最后按行读出明文,收到的密文：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begins,,atfour,接收端从密文解出明文,密钥,,顺序,,,明文,最后按行读出明文,收到的密文：,abacnuaiotettgfksr,,,,CIPHER,,145326,,attack,,begins,,atfour,接收端从密文解出明文,密钥,,顺序,,,明文,最后按行读出明文,收到的密文：,abacnuaiotettgfksr,,,得出明文：,attackbeginsatfour,,,,近代

16、密码学发展史上的里程碑,美国的数据加密标准,DES,（,Data Encryption Standard,）,,公开密钥密码体制（,public key crypto-system,）,,公开密钥密码体制,接收者,发送者,E,,加密算法,D,,解密算法,加密密钥,PK,解密密钥,SK,明文,X,密文,Y = E,PK,(X),密钥对,,产生源,明文,X = D,SK,(E,PK,(X)),,9.3,数字签名,数字签名必须保证以下三点：,,(1),接收者能够核实发送者对报文的签名；,,(2),发送者事后不能抵赖对报文的签名；,,(3),接收者不能伪造对报文的签名。,,现在已有多种实现各种数字签名

17、的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。,,数字签名的实现,D,SK,PK,用公开密钥,,核实签名,用秘密密钥,,进行签名,X,发送者,A,接收者,B,D,SK,(X),X,E,,具有保密性的数字签名,D,SKA,PKA,用公开密钥,,核实签名,用秘密密钥,,签名,X,发送者,A,接收者,B,D,SKA,(X),X,E,E,PKB,用公开密钥,,加密,E,PKB,(D,SKA,(X)),D,SKB,用秘密密钥,,解密,D,SKA,(X),密文,,9.4,防火墙,(firewall),防火墙,是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火

18、墙的单位自行制订的，为的是可以最适合本单位的需要。,,防火墙内的网络称为“,可信赖的网络,”,(trusted network),，而将外部的因特网称为“,不可信赖的网络,”,(,untrusted,network),。,,防火墙可用来解决内联网和外联网的安全问题。,,防火墙在互连网络中的位置,G,内联网,可信赖的网络,不可信赖的网络,分组过滤,,路由器,,R,分组过滤,,路由器,,R,应用网关,外局域网,内局域网,防火墙,因特网,,防火墙的功能,防火墙的功能有两个：,阻止,和,允许,。,,“阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。,,“允许”的功能与“阻止

19、”恰好相反。,,防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。,,防火墙技术一般分为两类,(1),网络级防火墙,——,用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。,,(2),应用级防火墙,——,从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止,FTP,应用的通过。,,9.5,因特网的演进,,多媒体信息的特点,多媒体信息（包括声音和图像信息）与不包括声音和图像的数据

20、信息有很大的区别。,,多媒体信息的信息量往往很大。声音,64kb/s,，立体声,1.4Mb/s,,活动图像,250Mb/s,。,,在传输多媒体数据时，对时延和时延抖动均有较高的要求。多媒体数据往往是,实时数据,(real time data),，它的含义是：在发送实时数据的同时，在接收端边接收边播放。,,9.5.1,网络多媒体协议,,实时运输协议,RTP(Real,-time Transport Protocol) :,为实时应用提供端到端的运输，但不提供任何服务质量的保证。,,实时运输控制协议,RTCP (RTP Control Protocol) :,与,RTP,配合使用的协议。主要功能

21、是：服务质量的监视与反馈、媒体间的同步，以及多播组中成员的标识。,,实时流式协议,RTSP(Real,-Time Streaming Protocol) RTSP,协议以客户服务器方式工作，它是一个多媒体播放控制协议，用来使用户在播放从因特网下载的实时数据时能够进行控制，如：暂停,/,继续、后退、前进等。因此,RTSP,又称为“因特网录像机遥控协议”。,,RTSP,与,RTP,和,RTCP,的关系,RTSP,,播放器,RTSP,,服务器,RTSP,控制分组（,TCP,）,RTP,数据分组（,UDP,）,RTCP,分组（,UDP,）,客户,服务器,RTSP,仅仅是使媒体播放器能控制多媒体流的传送

22、。因此，,RTSP,又称为带外协议，而多媒体流是使用,RTP,在带内传送的。,,9.5.2 IP,电话,IP,电话,:,不但能够实现电话通信，而且还可以是在,IP,网络上进行交互式多媒体实时通信（包括话音、视像等），甚至还包括,即时通知,,IM (Instant Messaging),。,,IP,电话网关的几种连接方法,分组交换,电路交换,电路交换,,,,,因特网,PC,到,PC,公用电话网,IP,,电话,,网关,,,因特网,PC,到普通电话机,公用电话网,IP,,电话,,网关,公用电话网,IP,,电话,,网关,因特网,普通电话机到普通电话机,,IP,电话的通话质量,经验证明，在电话交

23、谈中，端到端的时延不应超过,250 ms,，否则交谈者就能感到不自然。,,,线速路由器,提高路由器的转发分组的速率对提高,IP,电话的质量也是很重要的。,,据统计，一个跨大西洋的,IP,电话一般要经过,20,,30,个路由器。,,若能改用吉比路由器（又称为,线速路由器,），则每秒可转发,5,百万至,6,千万个分组（即交换速率达,60,Gb/s,,左右）。这样还可进一步减少由网络造成的时延。,,9.5.4,以太网接入,以太网已成功地把速率提高到,1 ~ 10,Gb/s,,，所覆盖的地理范围也扩展到了城域网和广域网，因此现在人们正在尝试使用以太网进行宽带接入。,,以太网接入的重要特点是它可提供双

24、向的宽带通信，并且可根据用户对带宽的需求灵活地进行带宽升级。,,采用以太网接入可实现端到端的以太网传输，中间不需要再进行帧格式的转换。这就提高了数据的传输效率和降低了传输的成本。,,以太网接入举例：光纤到大楼,FTTB,100 M,10 M,10 M,,,100 M,,吉比特以太网,光结点汇接点,,1,Gb/s,1,Gb/s,高速光结点汇接点,GigaPoP,,10.7,关于“三网融合”,(convergence),,目前“,融合,”并无精确定义。通常人们是这样理解“融合”的意思：,,(1) “,融合”表示不同的网络平台可以提供基本上相似的服务；,,(2) “,融合”表示不同的消费设备（如电话、电视机、个人电脑）可以在一起工作。,,三种网络的演变方向,双向通信,交换或寻址,计费、安全,实时性,宽带能力,智能,主要功能,电话交谈,数据传送,电视传送,电信网,计算机网,有线电视网,箭头表示目前演变的方向,,