【文档说明】计算机网络技术与应用简明教程ch07计算机网络的安全课件.ppt，共(49)页，810.000 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-5479.html

以下为本文档部分文字说明：

计算机网络技术与应用简明教程清华大学出版社第七章计算机网络的安全教学目标教学重点教学过程11/13/20221第1页，共49页。计算机网络技术与应用简明教程清华大学出版社教学目标•了解计算机网络安全的概念•掌握常用加密/解密的方法•理解防火墙技术•了解病毒及其防治技术

11/13/20222第2页，共49页。计算机网络技术与应用简明教程清华大学出版社教学重点•掌握加密/解密的方法•掌握报文鉴别的方法11/13/20223第3页，共49页。计算机网络技术与应用简明教程清华大学出版社教学过程•网络安全问题概述•密码与信

息加密•防火墙技术•计算机病毒与防治11/13/20224第4页，共49页。计算机网络技术与应用简明教程清华大学出版社7.1网络安全问题概述•计算机网络安全的概念•网络安全的需求特性•网络安全研究的主要问题11/13/202

25第5页，共49页。计算机网络技术与应用简明教程清华大学出版社7.1.1计算机网络安全的概念•国际标准化组织(1SO)引用ISO74982文献中对安全的定义是：安全就是最大程度地减少数据和资源被攻击的可能性。•《中华人民八和国计算机信息系统安全保护条例》的第三条规范了包括计算机网

络系统在内的计算机信息系统安全的概念：“计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统

的安全运行。”11/13/20226第6页，共49页。计算机网络技术与应用简明教程清华大学出版社7.1.2网络安全的需求特性•网络安全保障的归结点还是网上的信息安全•信息安全的需求特性–机密性–完整性–可用性–可控性–不可否认性11/13/20227第7

页，共49页。计算机网络技术与应用简明教程清华大学出版社7.1.3网络安全研究的主要问题•网络安全涉及5个层次的安全管理安全应用安全系统安全网络安全物理安全图7-2网络安全所涉及的内容11/13/20228第8页，共49页。计算机网络技术与应用简

明教程清华大学出版社7.1.3网络安全研究的主要问题（1）•物理安全–环境安全–设备安全–媒体安全11/13/20229第9页，共49页。计算机网络技术与应用简明教程清华大学出版社7.1.3网络安全研究的主要问题（2）•网络安全网络安全局域网、子

网安全访问控制（防火墙）网络检测（网络入侵监测系统）网络中数据传输安全数据加密（VPN等）网络运行安全备份与恢复应急网络协议安全TCP/IP其他协议11/13/202210第10页，共49页。计算机网络技术与应用简明教程清华大学出版社7.1.3网络安

全研究的主要问题（3）•系统安全系统安全操作系统安全反病毒系统安全检测入侵检测（监控）审计分析数据库系统安全数据库安全数据库管理系统安全11/13/202211第11页，共49页。计算机网络技术与应用简明教程清华大学出版社7.1.3网络安全研究的主要问题（4）•应用安全应用安

全应用软件开发平台安全各种编程语言平台安全程序本身的安全应用系统安全应用软件系统安全11/13/202212第12页，共49页。计算机网络技术与应用简明教程清华大学出版社7.1.3网络安全研究的主要问题（5）•管理安全–人

在一系列的安全问题中总是处于主导的作用，因此要解决这个问题须从技术和管理两个方面入手。•技术•管理11/13/202213第13页，共49页。计算机网络技术与应用简明教程清华大学出版社7.2密码与信息加密•7.2.1密码技术概述•7.2.2对

称加密算法•7.2.3非对称加密算法•7.2.4报文鉴别11/13/202214第14页，共49页。计算机网络技术与应用简明教程清华大学出版社7.2密码与信息加密•密码学是一门古老而深奥的学科•计算机密码学又是一门新

兴的学科–随着计算机网络和计算机通信技术的发展，计算机密码学得到了前所未有的重视并迅速普及和发展起来。在国外，它已成为计算机安全主要的研究方向。11/13/202215第15页，共49页。计算机网络技术与应用简明教程清华大学出版社7.2.1密

码技术概述•密码学的历史比较悠久，在四千年前，古埃及人就开始使用密码来保密传递消息。两千多年前，罗马国王JuliusCaesar(恺撒)就开始使用目前称为“恺撒密码”的密码系统。但是密码技术直到20世纪40年代以后才有重大突破和发展。特别是20世纪70年代后期，由于计算机、电

子通信的广泛使用，现代密码学得到了空前的发展。11/13/202216第16页，共49页。计算机网络技术与应用简明教程清华大学出版社（一）一般的数据加密模型E加密算法D解密算法截获明文M密钥源截获者ZHE加密密钥

K密文C=EK(M)篡改明文M解密密钥K安全信道图7-3数据加密模型11/13/202217第17页，共49页。计算机网络技术与应用简明教程清华大学出版社一般的数据加密模型（1）•加密算法与解密算法–加密的基本思想是伪装明文（plainttext,未经现代密码学的一个基本原则是：一切秘密寓于密钥之

中。在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。加密的信息）以隐藏其真实内容，即将明文X伪装成密文Y(ciphertext,加密后的信息)。•伪装明文的操作称为加密•由密文恢复出原文的过程称为解密–现代密码学的一个基本原则是：一切秘密寓于密钥之中。•在设计

加密系统时，加密算法是可以公开的，真正需要保密的是密钥。11/13/202218第18页，共49页。计算机网络技术与应用简明教程清华大学出版社一般的数据加密模型（2）•密钥–加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。•对于同一种加密算

法，密钥的位数越长，破译的难度也就越大，安全性也就越好，密钥空间(keyspace)即二进制01组合的数目越大，密钥的可能范围也就越大，那么攻击者就越不容易通过蛮力攻击（brute-forceattack）来破译，只好用穷举法对密钥的所有组合进行猜测，直到成功

地解密。•对称密码体制•非对称密码体制11/13/202219第19页，共49页。计算机网络技术与应用简明教程清华大学出版社一般的数据加密模型（3）•模型的数学表示–明文用M(Message,消息)或P(Plaintext,明文)–密文

用C(Ciphertext)•加密E（Encrypt）–EK(M)=C•解密D（Decrypt）–DK(C)=M•DK(EK(M))=M11/13/202220第20页，共49页。计算机网络技术与应用简明教程清华大学出版社（二）基本的加密方法举例（1）•替代加密–保持明

文的字符顺序，只是将原字符替换并隐藏起来。•密钥为3•明文caesarcipher•密文FDHVDUFLSKHUabcdefghim…qrstuvwxyzDEFGHIJKLP…TUVWXYZABC11/13/202221第21页，共49页。计算机网络技术与应用简明教程清华大学

出版社（二）基本的加密方法举例（2）•置换加密（变位加密）–不隐藏原明文的字符，但却将字符重新排序变位•密钥为cipher•明文–Attackbeginatfour•密文–abacnuaiotettgfksr密钥CIPHER顺序145326注：此顺序与密钥等价，但不如密钥便于记忆明文attacK

注：明文的意思是“四时开始进攻”beginsatfour11/13/202222第22页，共49页。计算机网络技术与应用简明教程清华大学出版社7.2.2对称加密算法•加密密钥和解密密钥相同•Dk(Ek(M))=C•典

型算法：数据加密标准DES密文C=EK(M)明文ME加密算法接受者D解密算法明文M=DK(EK(M))发送者密钥K密钥K11/13/202223第23页，共49页。计算机网络技术与应用简明教程清华大学出版社7.2.3非对称加密

•又称“公开密钥加密”，密钥互不相同，公钥用来加密，私钥用来解密。•Dsk（Epk（M））=C加密密钥PK密文C=EPK(M)明文ME加密算法接受者D解密算法明文M密钥对产生源解密密钥SK发送者=DSK(EPK(M))11/13/202224第24页，共49页。计算机网络技术与应用简明

教程清华大学出版社RSA公开密钥密码系统（１）•RSA算法的安全性基于大整数分解的难度。其公钥和私钥是一对大素数的函数。从一个公钥和密文中恢复出明文的难度等价于分解两个大素数的乘积。•加密过程举例：–1）选择两个大素数p=7,q=17–2）

计算n=p*q=119–3）计算φ(n)=(p–1)(q–1)=9611/13/202225第25页，共49页。计算机网络技术与应用简明教程清华大学出版社–4）从[0，95]中随机选取一个正整数e，1≤e＜φ(n)，且e与φ(n)互素。选e=5–５）最后计算出满足e*d

=1modφ(n)的d=77。–６）公开密钥PK=(e,n)={5,119}–７）秘密密钥SK=(d,n)={77,119}–８）用公钥加密，Y=Xemodn=66,即密文为66–９）用私钥解密，X=Ydmodn=19,即明文为19RSA公开密钥密码系统（２）

11/13/202226第26页，共49页。计算机网络技术与应用简明教程清华大学出版社7.2报文鉴别•为了防止信息在传送的过程中被非法窃听，可以采用数据加密技术对信息进行加密；•为了防止信息被篡改或伪造，使用了鉴别技术；•所谓鉴别，就是验证对象身份

的过程，例如验证用户身份、网络或数据串的完整性等，它保证了其他人不能冒名顶替。•报文鉴别就是信息在网络通信的过程中，通信的接收方能够验证所收到的报文的真伪的过程，包括验证发送方的身份、报文内容、发送时间等等。11/13/202227第27页，共49页。计算机网络技术与应用

简明教程清华大学出版社报文鉴别原理（1）•采用报文摘要算法来实现报文鉴别明文MMD算法H(m)得到报文摘要私钥SK加密的报文摘要ESKA(H(m))发送者A明文M附加在明文后面加密的报文摘要发送明文MH公钥PK接收端算出的报文摘要接收者BH(m)

比较（是否一致?）得出解密的报文摘要=DPKA(ESKA(H(m)))11/13/202228第28页，共49页。计算机网络技术与应用简明教程清华大学出版社报文鉴别原理（2）•①在发送方A，将长度不定的报文m经过报文摘要算法（也称为MD算

法）运算后，得到长度固定的报文H(m),H(m)称为报文摘要；•②使用发送方的私钥SKA对报文H(m)进行加密，生成报文摘要密文ESKA(H(m)),并将其拼接在报文m上，一起发送到接收方B；•③在接收方，接

收到报文m和报文摘要密文ESKA(H(m))后，将其用对应的发送方A的公钥PKA进行解密DPKA(ESKA(H(m))),还原为H(m)；•④将接收到的报文m经过MD算法运算得到报文摘要，并将该报文摘要于③中解得的H(m)比较，判断两者是否相同，从而判断接收到的报文是否是发

送端发送的。11/13/202229第29页，共49页。计算机网络技术与应用简明教程清华大学出版社报文鉴别原理（3）•报文鉴别特性–防抵赖特性•发送方私钥加密的信息摘要，称为数字签名，即ESKA(H(m))。接收方收到此签名，由于私钥SKA

的持有者只有发送方A自己，因此接收方B，只需用接收方算出的报文摘要H(m)和接收方解密的报文摘要DPKA(ESKA(H(m)))加以比较即可。若相同，说明对应的公钥揭开了对应私钥加密的信息，由于私钥的唯一性，也就可以断定发

送方A的身份，A也就不能抵赖了。11/13/202230第30页，共49页。计算机网络技术与应用简明教程清华大学出版社报文鉴别原理（4）•报文鉴别特性–防篡改和防伪造特性•为了实现报文鉴别的不可篡改、不可伪造的目的，MD算

法必须满足下面的几个条件；•①给定一个报文m，计算其报文摘要H(m)是非常容易的；•②给定一个报文摘要值y，想返回原始的报文x，使得H(x)=y是很难的，或者是不可能的，也就是MD算法是不可逆的；•③给定m，想找到另外一个m’，使得H(m)=H(m

’)是很难的,也就是要求MD值是唯一的。•这样，就保证了攻击者无法伪造另外一个报文m’，使得H(m)=H(m’)，从而达到了报文鉴别的目的。11/13/202231第31页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3防火墙技术•7.3.1防火墙的概述•

7.3.2典型防火墙技术•7.3.3防火墙的不足与新技术11/13/202232第32页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3.1防火墙概述•概念和模型–由计算机硬件或软件系统构成防火墙，用来在内部可信任网络

和外部非信任网络之间实施接入控制策略，以保护内部安全，使敏感的数据不被窃取和篡改。11/13/202233第33页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3.1概述(1)•功能–1）防火墙是网络安全的屏障：一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务降

低风险。–2）防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。–3）对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数

据。–4）防止内部信息外泄：通过防火墙对内部网络的划分，可实现内网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。–5）防止资源被滥用：防火墙支持具有Internet服务特性的VPN，通过VPN将企业单位分布在全世

界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。11/13/202234第34页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3.1概述

(2)•发展过程包过滤19831980年自适应代理状态检测代理1991199419982000年11/13/202235第35页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3.2典型防火墙技术(1)•包过滤型防火墙数据应用层传输层网络层网络接口层IPTCP数

据应用层传输层网络层网络接口层网络层网络接口层只检查报头11/13/202236第36页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3.2典型防火墙技术(2)•应用代理防火墙数据应用层传输

层网络层网络接口层应用层传输层网络层网络接口层IPTCP数据IP*TCP*数据全部检查并重新封装应用层传输层网络层网络接口层11/13/202237第37页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3.2典型防火墙技术(

3)•状态检测防火墙数据应用层传输层网络层网络接口层IPTCP数据应用层传输层网络层网络接口层网络层网络接口层建立连接状态列表前后报文相关11/13/202238第38页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3.2典型防火墙技术(4)

•自适应代理型防火墙数据应用层传输层网络层网络接口层应用层传输层网络层网络接口层应用层传输层网络层网络接口层11/13/202239第39页，共49页。计算机网络技术与应用简明教程清华大学出版社7.3.3防火墙的不足与新技术•不能防范不经过防火墙的攻击行为•不能

防止来自内部的以及和外部勾结的攻击•防火墙对用户不完全透明•限制或关闭一些有用但存在安全缺陷的网络服务•防火墙不能有效地防范数据驱动型的攻击•防火墙也不能防范受到病毒感染的程序、文件或电子邮件的传输。•防

火墙不能防范Internet上不断出现的新的威胁手段和新的攻击方法。11/13/202240第40页，共49页。计算机网络技术与应用简明教程清华大学出版社7.4计算机病毒及防治•7.4.1计算机病毒概述•7.4.2计算机病毒的特点及分类•7.4.3计算机病毒的检测和防治•7.

4.4反病毒软件的选择11/13/202241第41页，共49页。计算机网络技术与应用简明教程清华大学出版社7.4.1计算机病毒概述（定义）•一般来说，凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒(ComputerVirus)。依据此定义，诸如逻辑炸弹、蠕虫等均可称为计算机病毒

。•一种较为广泛的定义是：计算机病毒就是能够通过某种途径潜伏在计算机存储介质或程序之中，当达到某种条件即被激活，对计算机资源进行破坏的一组程序或指令集合。•1994年2月18日，我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算

机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”11/13/202242第42页，共49页。计算机网络技术与应用简明教程清华大学出版社7.4.1计算机病毒概

述（产生）•1949年，约翰·冯纽曼提出一种会自我繁殖的程序(现在称为病毒)。•1959年，Bell实验室的CoreWar，计算机病毒的雏形。•1983年，VAXII/750计算机系统上运行，第一个病毒实验成功。•1986年初，第一个真正的计算机病毒问世，即

在巴基斯坦出现的“Brain”病毒。•1989年，我国发现最早的小球病毒报告。•1989年7月，第一个反病毒软件KILL6.0问世。11/13/202243第43页，共49页。计算机网络技术与应用简明教程清华大学出版社7.4.2计算机病毒的特点及分类（1）•特点–传染性•

传染性是判断一段程序代码是否为计算机病毒的根本依据–隐蔽性–潜伏性及可触发性•CIH，冲击波MSblast等–破坏性11/13/202244第44页，共49页。计算机网络技术与应用简明教程清华大学出版社7.4.2计算机病毒的特点及分类（2）•分类–1

．按感染方式分为引导型、文件型和混合型病毒–2．按连接方式分为源码型、入侵型、操作系统型和外壳型病毒–3．按破坏性可分为良性病毒和恶性病毒–4．网络病毒•Internet语言病毒•特洛伊木马型病毒•蠕虫病毒11/13/202245第45页，共49页

。计算机网络技术与应用简明教程清华大学出版社7.4.3计算机病毒的检测和防治（1）•1、病毒的检测–（1）屏幕显示异常，弹出异常窗口。–（2）声音异常，有虚假报警。–（3）系统工作异常：•①不执行或干扰执行程序，偶尔出现出错提示；•②时钟倒转，或显示异常；•③计算机突然或频繁重启，或

不能启动；•④计算机运行速度下降，变慢；•⑤文件不能存盘，或存盘时丢失字节；•⑥硬盘空间或内存空间减小。–（4）键盘工作异常。11/13/202246第46页，共49页。计算机网络技术与应用简明教程清华大学出版社7.4.3计算机病毒的检测和防治（2）•2、病毒的防治–1

）建立、健全法律和管理制度–2）采取更有效的技术措施•系统安全•软件过滤•文件加密•生产过程控制•后备恢复•其他有效措施11/13/202247第47页，共49页。计算机网络技术与应用简明教程清华大学出版社7.4.4反病毒软件的选择（1）•1、反病毒软件的特点–能够识别并清除病毒–

查杀病毒引擎库需要不断更新•2、对病毒防治产品的要求–病毒防治产品自身的安全性–病毒防治产品与系统和应用软件的兼容性–对查毒产品的要求–对杀毒产品的要求11/13/202248第48页，共49页。计算机网络技术与应用简明教程清华大学出版社7.4.4反病毒软件的选

择（2）•3、常见的计算机病毒防治产品–1）国产产品–江民的KV系列http://www.jiangmin.com–金山毒霸系列http://www.duba.net–瑞星杀毒系列http://www.rising.com.cn–冠群金辰KILL系

列http：//www.kill.com.cn–2）国外产品–Symantec（赛门铁克）http://www.symantec.com–Kaspersky（卡巴斯基）http://www.kaspersky.com.cn–趋势科技的Trend系列http://www.t

rend.com–McAfee杀毒软件http://www.mcafee.com11/13/202249第49页，共49页。