第9章 网络安全与管理.ppt

第九章 网络安全与管理 主要内容 基本加密算法 网络安全技术 IPSec协议 网络管理基础 9.1 网络安全概述 国际标准化组织ISO对计算机网络安全（Network Security）的定义是：为数据处理系统建立和采用的安全防范技术，以保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 网络安全包括五个基本要素： 机密性、完整性、可用性、可控性与可审查性。 网络安全威胁 根据安全需求将其分为数据保密、数据完整性、身份验证、授权、不可抵赖和不可否认等几个部分；根据解决手段可以分为病毒防范、防火墙、存取控制、身份鉴别、安全综合解决方案；根据威胁来源将其划分为网络攻击行为、安全漏洞及恶意代码等类别。 总的来说，网络安全威胁主要表现在： 非授权访问 信息泄漏或丢失 破坏数据完整性 拒绝服务攻击DoS 利用网络传播病毒等 9.2 密码学 一、密码学的发展 密码学包括（cryptology）密码编码学和密码分析学。密码编码学是密码体制的设计学，而密码分析学则是在未知密码的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学。 根据密钥的特点，密码体制分为公开密钥体制和对称密钥体制两种。 相关术语 明文：信息的原始形式（ plianttext记为P）。 密文：明文经过变换加密后的形式（ ciphertext记为C）。 加密：由明文变成密文的过程（encrypt记为E）。加密通常是由加密算法来实现的。 解密：由密文还原成明文的过程（decrypt记为D），解密通常是由解密算法来实现的。 密钥：为了有效地控制加密和解密算法的实现，在其处理过程中要有通信双方掌握的专门信息参与，这种专门信息称为密钥（key，记为K）。 二、对称密钥体制 对称密钥体制又称为传统密钥、秘密密钥、单钥密钥加密算法，核心是加密和解密采用相同的密钥。 对称密钥加密算法可分为两类：一类是一次只对明文中的单个位（或字节）运算的算法，称为序列算法、序列密码或流密码（stream cipher）；另一类算法是对明文的一组位进行运算（这些位组称为分组），称为块密码或分组密码（block cipher）。DES就是一种典型的分组加密算法。 二、对称密钥体制（2） 替代密码 将字母a,b,c,d,……,w,x,y,z的自然顺序保持不变，但使之与D,E,F,G, ……,X,A,B,C分别对应： 明文：caesar cipher,密文 FDHVDU FLSKHU 置换密码 按照某一规则重新排列消息中的比特或字符的顺序，密钥的目的是对列编号。 密钥：CIPHER 顺序：145326 明文 attack begins at two 密文：abaaitcnwtg tetkso 数据加密标准DES DES是一种单钥密码算法，它是一种典型的按分组方式工作的密码，是两种基本的加密组块替代和换位的细致而复杂的结构。它通过反复依次应用这两项技术来提高其强度，经过总共16轮的替代和换位的变换后，使得密码分析者无法获得该算法一般特性以外更多的信息。 加密前，先对整个的明文进行分组，每一个组长64位 使用密钥64位（实际56位，8位用于奇偶校验） 对每一个64位分组进行加密处理，产生一组64位密文数据 将各组密文串接起来，得出整个的密文 图9.2 DES算法描述 新一代加密标准AES AES是一个迭代的、对称密钥分组的密码，算法可以使用128、192 和 256 位密钥，并且用 128 位分组加密和解密数据，算法迭代次数由分组长度和密钥长度共同决定。 AES算法在每一轮都采用置换和代替并行地处理整个数据分组，这个分组被编排为一个称做状态阵列(state array)的4×4字节矩阵。AES算法的加密实际上就是对输入状态阵列进行一系列运算，产生输出的过程。 三、公开密钥体制 相对于对称加密算法，这种方法也叫做非对称加密算法，需要公开密钥（public key）和私有密钥（private key）两个密钥。公开密钥和非对称加密解密算法是公开的，但私有密钥是保密的，由密钥的主人妥善保管。 公开密钥体制中最著名的是RSA算法，此外还有背包密码、Diffe-Hellman、Rabin、椭圆曲线、EIGamal算法等。 四、数字签名和消息认证 除了信息的保密之外，如何保证信息的来源方是真实的，保证收到的信息的可靠的而没有被非法篡改，也是非常重要的。认证包括对用户身份的认证和对消息正确性的认证两种方式。 用户认证用于鉴别用户的身份是否是合法用户，可以利用数字签名技术来实现的。而消息认证（又称报文鉴别）主要用于验证所收到的消息确实是来自真正的发送方且未被修改的消息，也可以验证消息的顺序和及时性。