网络安全.docx
- 文档编号:9069453
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:45
- 大小:1.53MB
网络安全.docx
《网络安全.docx》由会员分享,可在线阅读,更多相关《网络安全.docx(45页珍藏版)》请在冰豆网上搜索。
网络安全
第一章序论
计算机网络面临的主要威胁
1、计算机网络中受到威胁的实体
2、计算机网络系统面临威胁
威胁
描述
窃听
网络中传输的敏感信息被窃听。
重传
攻击者将事先获得部分或全部信息重新发送给接收者。
伪造
攻击者将伪造的信息发送给接收者。
篡改
攻击者对通讯信息进行修改、删除、插入,再发送。
非授权访问
通过假冒、身份攻击、系统漏洞等手段,获取系统访问权
拒绝服务攻击
攻击者使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
行为否认
通讯实体否认已经发生的行为。
旁路控制
攻击者发掘系统的缺陷或安全脆弱性。
电磁/射频截获
攻击者从电磁辐射中提取信息。
人员疏忽
授权的人为了利益或由于粗心将信息泄漏给未授权人。
3、恶意程序的威胁
(计算机病毒的威胁)
4、计算机网络威胁的潜在对手和动机
恶意攻击的潜在对手
国家
黑客
恐怖份子/计算机恐怖份子
有组织计算机犯罪
其他犯罪成员
国际新闻社
工业竞争
不满的雇员
计算机网络不安全的主要因素、
偶发性因素:
如电源故障、设备的机能失常、软件开发过程中留下的某种漏洞或逻辑错误等。
自然灾害:
各种自然灾害(如地震、风暴、泥石流、建筑物破坏等)。
人为因素:
一些不法之徒,利用计算机网络或潜入计算机房,篡改系统数据、窃用系统资源、非法获取机密数据和信息、破坏硬件设备、编制计算机病毒等。
此外,管理不好、规章制度不健全、有章不循、安全管理水平低、人员素质差、操作失误、渎职行为等都会对计算机网络造成威胁。
1.被动攻击
2.主动攻击
3.邻近攻击
4.内部人员攻击
不安全的主要原因
1.Internet具有不安全性
2.操作系统存在安全问题
3.数据的安全问题
4.数据的安全问题
5.网络安全管理问题
网络安全的定义(目标)p8
计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全的具体含义会随着“角度”的变化而变化。
计算机网络安全目标
1.保密性
指网络中的保密信息只能供经过允许的人员,以经过允许的方式使用,信息不泄露给非授权用户、实体或过程,或供其利用。
保密性的要素如下:
数据保护:
防止信息内容的泄露(如网络中的数据流)
数据隔离:
提供隔离路径或采用过程隔离(COMPUSEC技术等);
通信流保护:
数据的特征包括频率、数量、通信流的目的地等,通信流保护是指对通信的特征信息,以及推断信息(如命令结构等)进行保护。
2.完整性
指网络中的信息安全、精确与有效,不因种种不安全因素而改变信息原有的内容、形式与流向。
确保信息在存储或传输过程中不被修改、不被破坏和丢失。
破坏信息的完整性有
人为因素
非人为因素
3.可用性
指网络资源在需要时即可使用,不因系统故障或误操作等使资源丢失或妨碍对资源的使用,是被授权实体按需求访问的特性。
网络可用性还包括在某些不正常条件下继续运行能力。
保证可用性的最有效的方法是提供一个具有普适安全服务的安全网络环境。
避免受到攻击
避免未授权使用
防止进程失败
4.不可否认性
“不可否认性安全服务提供了向第三方证明该实体确实参与了那次通信的能力。
数据的接收者提供数据发送者身份及原始发送时间的证据;
数据的发送者提供数据已交付接收者(某些情况下,包括接收时间)的证据;
审计服务提供了信息交换中各涉及方的可审计性,这种可审计性记录了可用来跟踪某些人的相关事件,这些人应对其行为负责。
5.可控性
指对信息的传播及内容具有控制能力,保证信息和信息系统的授权认证和监控管理,确保某个实体(人或系统)身份的真实性,也可以确保执法者对社会的执法管理行为。
网络安全的层次p10
1物理安全:
主要包括防盗、防火、防静电、防雷击、防电磁泄露和防物理隔离等方面。
2逻辑安全:
主要通过口令密码、权限控制等方法来实现。
3操作系统安全:
主要包括用户权限控制和安全漏洞修复等内容。
4联网安全:
主要通过:
访问控制:
用来保护计算机和网络资源不被非授权使用
通信安全:
用来保证数据的保密性和完整性,以及各痛信方的可信赖性。
OSI安全体系定义的五大类安全服务p12
鉴别服务:
提供对通信中对等实体和数据来源的鉴别。
访问控制服务:
对资源提供保护,以对抗非授权使用和操纵。
数据机密性服务:
保护信息不被泄漏或暴露给未授权的实体。
分为数据机密性服务和业务流机密性服务。
数据完整性服务:
对数据提供保护,以对抗未授权的改变、删除或替代。
完整性服务有三种类型:
连接完整性服务,无连接完整性服务,选择字段完整性服务。
抗抵赖性服务:
防止参与某次通信交换的任何一方事后否认本次通信或通信内容。
分为两种不同的形式:
数据原发证明的抗抵赖,交付证明的抗抵赖。
安全威胁
安全服务
假冒攻击
鉴别服务
非授权侵犯
访问控制服务
窃听攻击
数据机密性服务
完整性破坏
数据完整性服务
服务否认
抗抵赖服务
拒绝服务
鉴别服务、访问控制服务、数据完整性服务等
计算机网络安全体系结构三维图p13
加密机制
数字签名机制
访问控制机制
数据完整性机制
鉴别交换机制
通信业务流填充机制
路由控制
公证机制
网络安全技术
1.物理安全措施
2.数据传输安全技术
3.内外网隔离技术
4.入侵检测技术
5.访问控制技术
6.审计技术
7.安全性检测技术
8.防病毒技术
9.备份技术
10.终端安全技术
第二章物理安全
物理安全包含的内容p22
机房环境安全
通信线路安全
设备安全
电源安全
机房的三度p24
温度18-22度、湿度40%-60%和洁净度0.5um,含尘量一万颗
为使机房内的三度达到规定的要求,空调系统、去湿机、除尘器是必不可少的设备。
重要的计算机系统安放处还应配备专用的空调系统,它比公用的空调系统在加湿、除尘等方面有更高的要求。
地线的种类p25
保护地。
直流地。
屏蔽地。
静电地。
雷击地。
接地系统p26
接地系统
计算机房的接地系统是指计算机系统本身和场地的各种地线系统的设计和具体实施。
接地系统可分为:
1.各自独立的接地系统
2.交、直流分开的接地系统
3.共地接地系统
4.直流地、保护地共用地线系统
5.建筑物内共地系统
接地体p27
接地体的埋设是接地系统好坏的关键。
通常使用的接地体有:
1、地桩
2、水平栅网
3、金属板
4、建筑物基础钢筋等
第三章信息加密与PKI
密码学的基本概念(密码学、密码编码学等)p39
1、密码学:
将消息编码以安全发送的机制称为密码学。
2、明文:
发送人、接收人和任何访问消息的人都能理解的消息。
是加密输入的原始信息。
3、密文:
明文用某种模式编码后,得到的结果。
4、强力攻击法:
通过所有置换与组合攻击密文消息。
5、密码分析:
从密文消息求出明文消息的过程
对称加密与非对称加密各自的特点
1、加密/解密使用的密钥
2、加密/解密速度
3、得到的密文长度
4、密钥协定与密钥交换
5、所需密钥数与消息交换参与者个数的关系
6、用法
古典密码算法:
凯撒加密
1、消息中每个字母换成向后三个字母的字母。
2、明文:
ILOVEYOU
3、密文:
LORYHBRX
4、消息中每个字母换成向后K个字母的字母(K=1~25)。
5、25种替换可能
6、明文:
COMEHERE(K=18)
7、密文:
KWUMPMZM
单码加密
1、字母替换任意组合
2、26X25X24…X2X1=4X1024种
3、根据字母出现频率进行攻击
同音替换加密
1、一次把一个明文字母换成一个密文字母,但密文字母可以是所选集合中的任何一个字母。
块替换加密
1、把一块字母换成另一块字母
2、HELLO换成YUQQW
3、HELL换成TEUI
多码替换加密
使用多个单码密钥,每个密钥加密一个明文字符。
第一个密钥加密第一个明文字符,第二个密钥加密第二个明文字符,等等。
用完所有密钥后,再循环使用。
栅栏加密技术、简单分栏变换加密技术
栅栏加密技术
将明文消息写成对角线序列,然后一行一行生成密文。
简单分栏式变换加密技术
♦基本方法:
–将明文消息一行一行地写入预定长度的矩形中。
–随机顺序一列一列读消息
–得到的消息就是密文消息
♦多轮简单分栏式变换加密技术
–将明文消息一行一行地写入预定长度的矩形中。
–随机顺序一列一列读消息
–得到的消息就是密文消息,这是第一轮
–将前面步骤重复多次
为什么加密的可靠性要依赖于密钥的保密而不是算法的保密?
对称密钥的密钥发布问题
Diffie-Hellman算法
用户Alice和Bob可以按下列步骤来交换它们的会话密钥。
(1)A和B选择一个素数n和一个整数g,其中g是n的一个原根,n和g可公开;
(2)用户Alice选择一个随机数x(保密),计算公开密钥A=gxmodn,将A送给Bob;
(3)用户Bob选择一个随机数y(保密),计算公牙密钥B=gymodn,将B送给Alice;
(4)用户Alice计算会话密钥K1=(B)xmodn
(5)用户Bob计算会话密钥K2=(A)ymodn
1、Diffie-Hellman算法举例
2、首先选择一个素数n=97和它的一个原根g=5。
3、Alice和Bob分别选择随机数x=36和y=58。
每人计算其公开密钥如下:
4、A=536mod97=50mod97
5、B=558mod97=44mod97
6、交换公开密钥后,每人计算共享的会话密钥如下:
7、K2=(A)ymod97=4436mod97=75mod97
8、K1=(B)xmod97=5058mod97=75mod97
流加密、块加密
单钥加密算法:
DES、3DES、IDEA、RC5、Blowfish、AES基本概念
1、DES是一种单钥密码算法,它工作起来简直就是典型的分组方式。
2、它的基本思想是将二进制序列的明文分成每64位一组,用长为64位的密钥对这些明文进行16轮代换和置换加密。
最后形成密文。
3、它的巧妙之处就在于,除了密钥输入顺序之外,其加密和解密的步骤完全相同,从而在制作DES芯片时很容易达到标准化和通用化,非常适合现代通信的需要。
4、但不幸的是,由于它时间久远,从而成为古往今来的黑客们乐此不疲的攻击对象,目前黑客已经可以在20小时内成功的破掉它(只要有一个好的工具)
加密:
c=EK3(DK2(EK1(M)))
解密:
M=DK1(EK2(DK3(M)))
其中,K1、K2、K3为56位DES密钥。
为了获得更高的安全性,三个密钥应互不相同。
如与DES保持兼容,则可以选择K1=K2或K2=K3。
会不会有c=EK3(DK2(EK1(M)))而存在
c=EK4(M)?
是否成立?
答案:
不一样,已被证明。
存在攻击:
目前没有。
1、IDEA是对称、分组密码算法,输入明文为64位,密钥为128位,生成的密文为64位;
2、IDEA是一种相对较新的算法,虽有坚实的理论基础,但仍应谨慎使用(尽管该算法已被证明可对抗差分分析和线性分析);
3、IDEA是一种专利算法(在欧洲和美国),专利由Ascom-TechAG拥有;
4、PGP中已实现了IDEA;
IDEA算法的具体描述:
128位KEY,64位明文,经8次迭代和一次变换,生成密文。
密钥生成:
用户输入128位密钥Key=k1k2k3…k127k128
IDEA总共进行8轮迭代操作,每轮需6个子密钥,另外还需要4个额外子密钥,所以总共需要52个子密钥,这个52个子密钥都是从用户输入的128位密钥中扩展出来的.
首先把输入的Key分成8个16位的子密钥,1~6号子密钥供第一轮加密使用,7~8号子密钥供第二轮使用,然后把这个128位密钥循环左移25位,Key=k26k27k28…k24k25
把新生成的Key在分成8个16位的子密钥,1~4号子密钥供第二轮加密使用(前面已经提供了两个)5~8号子密钥供第三轮加密使用,到此我们已经得到了16个子密钥,如此继续,当循环左移了5次之后已经生成了48个子密钥,还有四个额外的子密钥需要生成,再次把Key循环左移25位,选取划分出来的8个16位子密钥的前4个作为那4个额外的加密密钥.供加密使用的52个子密钥生成完毕.
K[0]K[1]K[2]K[3]K[4]K[5]…K[48]K[49]K[50]K[51]
第一轮…
额外密钥
♦加密明文:
64-位数据分组被分成4个16-位子分组:
D0,D1,D2,D3。
这4个子分组成为算法的第一轮的输入,总共有8轮。
在第i轮中,假定输入的为:
明文(4组):
D0,D1,D2,D3
密钥(6组)K1,K2,K3,K4,K5,K6
执行的顺序如下:
D0和第一个子密钥(K1)模216+1乘。
D1和第二个子密钥(K2)模216加。
D2和第三个子密钥(K3)模216加。
D4和第四个子密钥(K4)模216+1乘。
第
(1)步和第(3)步的结果相异或。
将第
(2)步和第(4)步的结果相异或。
将第(5)步的结果与第五个子密钥(K5)模216+1乘。
将第(6)步和第(7)步的结果模216加。
将第(8)步的结果与第六个子密钥(K6)模216+1乘。
将第(7)步和第(9)步的结果模216加。
将第
(1)步和第(9)步的结果相异或。
将第(3)步和第(9)步的结果相异或。
将第
(2)步和第(10)步的结果相异或。
将第(4)步和第(10)步的结果相异或。
RC5是一种分组长度、密钥长度和加密迭代轮数都可变的分组密码体制,包括三部分:
1.加密
数据分组长度为2w位(w=16、32或64)
迭代次数为r轮(r的允许值为0~255)
加密需要2r+2个w位子密钥:
S0,S1,…,S2r+1
A=A+S0
B=B+S1
fori=1tor{
A=((A+B)<<
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全
![提示](https://static.bdocx.com/images/bang_tan.gif)