复旦大学：《数据通讯与计算机网络》课程教学资源（PPT课件）第十章 网络管理基础和网络安全性 10.3 网络安全

第十章网络管理基础和网络安 全性(2) 10.3网络安全

第十章 网络管理基础和网络安 全性(2) • 10.3 网络安全

网络安全性 安全问题主要来源: 黑客攻击 网络服务(或协议)内在的性质造成的 系统配置或安全策略的不健全造成的 系统管理本身没有受到重视,使得网络安全 策略没有一个长期考虑

网络安全性 • 安全问题主要来源： – 黑客攻击 –网络服务（或协议）内在的性质造成的 –系统配置或安全策略的不健全造成的 –系统管理本身没有受到重视，使得网络安全 策略没有一个长期考虑

网络安全被攻击方法和安全对策 Internet上存在很多安全问题 Unix的 Sendmail软件的安全性 某些自由软件包含特洛伊木马 据报道,网络入侵者已经攻破了 Internet上成千上 万的系统包括一些主要网络的网关 ·“弱”口令 P地址伪装 ·电子邮件地址伪装 有缺陷的LAN服务 相互信任

网络安全被攻击方法和安全对策 • Internet上存在很多安全问题 – Unix的Sendmail软件的安全性 – 某些自由软件包含特洛伊木马 –据报道，网络入侵者已经攻破了Internet上成千上 万的系统包括一些主要网络的网关 • “弱”口令 • IP地址伪装 • 电子邮件地址伪装 • 有缺陷的LAN服务 • 相互信任

身份鉴别(1) 鉴别( authentication)是一种查证对 方真实身份的技术,在有入侵者存在的 情况下,身份鉴别变成十分复杂和困难 基于共享的秘密密钥的鉴别协议 一般可以采用一种称为质疑-回答的协议:一方 向另一方发送一个随机数,另一方把这个数转换 后把结果送回。 基于公开密钥方法的鉴别协议

身份鉴别（1） • 鉴别（authentication）是一种查证对 方真实身份的技术，在有入侵者存在的 情况下，身份鉴别变成十分复杂和困难。 –基于共享的秘密密钥的鉴别协议 • 一般可以采用一种称为质疑-回答的协议：一方 向另一方发送一个随机数，另一方把这个数转换 后把结果送回。 –基于公开密钥方法的鉴别协议

身份鉴别(2) 个面向共享秘密秘钥方法的鉴别协议 鸟 张 李 Kab(Rb 四 Ra Kab(Ra)

身份鉴别（2） • 一个面向共享秘密秘钥方法的鉴别协议

身份鉴别(3) 个基于公开密钥方法的鉴别协议 上b(A,Ra 张 a[Ra, Rb, Kst. 辛四 K()

身份鉴别（3） • 一个基于公开密钥方法的鉴别协议

数字签名(1) ·首先,除了公开密钥算法的几个基本要求外, 我们假设有E(D(P)=P,这一点是合理的,因 为RSA算法就是满足这个条件的算法 其次,张三向李四发送信息Eb(Da(P),表示 先用张三的解密密钥对P解密,再用李四的公 开密钥对其进行加密 ·然后,李四接收到这个信息后,用自己的解密 密钥进行解密,产生Da(P),然后使用张三的 公开密钥进行加密,得到Ea(Da(P),即P

数字签名（1） • 首先，除了公开密钥算法的几个基本要求外， 我们假设有E(D(P))=P，这一点是合理的，因 为RSA算法就是满足这个条件的算法 • 其次，张三向李四发送信息Eb(Da(P))，表示 先用张三的解密密钥对P解密，再用李四的公 开密钥对其进行加密 • 然后，李四接收到这个信息后，用自己的解密 密钥进行解密，产生Da(P)，然后使用张三的 公开密钥进行加密，得到Ea(Da(P))，即P

数字签名(2) 消息摘要的方法( Message digest 简称MD。一个MD方法至少需要满足以下 几个要求: 给出P,可以方便的得出MD(P) 给出MD(P),不能获得P 两个不同的信息不能产生相同的MD(P)

数字签名（2） • 消息摘要的方法（Message Digest）， 简称MD。一个MD方法至少需要满足以下 几个要求： –给出P，可以方便的得出MD(P) –给出MD(P)，不能获得P –两个不同的信息不能产生相同的MD(P)

防火墙技术(1) 防火墙定义 不是简单的能提供网络安全功能的路由器 主机系统、或系统的集合,而是一个安全的 方法,它对网络提供的服务和访问定义和实 现更大的安全策略, 防火墙的主要目的 对受保护的网络实现访问控制,它要求所有 对网络的访问必须通过防火墙的检查,从而 实现所定义的安全策略

防火墙技术（1） • 防火墙定义 –不是简单的能提供网络安全功能的路由器、 主机系统、或系统的集合，而是一个安全的 方法，它对网络提供的服务和访问定义和实 现更大的安全策略， • 防火墙的主要目的 –对受保护的网络实现访问控制，它要求所有 对网络的访问必须通过防火墙的检查，从而 实现所定义的安全策略

防火墙技术(2) 防火墙主要有以下四个部件: 防火墙策略 网络策略 服务访问策略 防火墙设计策略 级鉴别机制 包过滤 代理服务器

防火墙技术（2） • 防火墙主要有以下四个部件： – 防火墙策略 • 网络策略 • 服务访问策略 • 防火墙设计策略 – 高级鉴别机制 – 包过滤 – 代理服务器