第11章 网络安全.ppt
合集下载
《网络安全课件PPT》
2 应用程序安全
关注软件和应用程序的漏洞和安全性。
3 数据安全
保护数据的完整性、保密性和可用性。
4 用户教育和意识
提高用户对网络安全威胁和最佳实践的认识。
网络安全威胁类型
恶意软件
包括病毒、间谍软件、勒索 软件等。
网络钓鱼
通过冒充合法实体来获取用 户的敏感信息。
拒绝服务攻击
削弱或瘫痪目标系统的网络 服务。
网络攻击类型与漏洞利用
1
入侵攻击
入侵者通过窃取凭据或利用漏洞来获
缓冲区溢出
2
取未授权访问。
利用编程错误来覆盖内存中的关键数
据。
3
社交工程
利用人们的社交行为来欺骗获取信息。
网络攻防基础知识
安全团队
构建专业的网络安全团队来保 护网络。
强密码
使用复杂且独特的密码来保护 账户安全。
防火墙
设置防火墙来监控和控制网络 流量。
利用受害者已验证的会话执 行非法操作。
S QL 注入
通过构造恶意SQL语句来获 取数据库中的信息。
社交工程与身份盗窃
1 钓鱼
通过冒充合法实体来获取用 户的敏感信息。
2 身份盗窃
使用他人的身份信息进行欺 骗和非法活动。
3 社交工程攻击
利用人们的社交行为和信任来获取信息。
网络安全协议
1 SSL/TLS
加密通信传输层安全协议, 确保数据传输的机密性和完 整性。
2 IPSec
用于安全地传输网络层数据 的协议。
3 SSH
用于安全远程访问服务器的协议。
网络安全策略
1 访问控制
限制对网络资源的访问和权 限。
2 加密
保护敏感数据的机密性。
关注软件和应用程序的漏洞和安全性。
3 数据安全
保护数据的完整性、保密性和可用性。
4 用户教育和意识
提高用户对网络安全威胁和最佳实践的认识。
网络安全威胁类型
恶意软件
包括病毒、间谍软件、勒索 软件等。
网络钓鱼
通过冒充合法实体来获取用 户的敏感信息。
拒绝服务攻击
削弱或瘫痪目标系统的网络 服务。
网络攻击类型与漏洞利用
1
入侵攻击
入侵者通过窃取凭据或利用漏洞来获
缓冲区溢出
2
取未授权访问。
利用编程错误来覆盖内存中的关键数
据。
3
社交工程
利用人们的社交行为来欺骗获取信息。
网络攻防基础知识
安全团队
构建专业的网络安全团队来保 护网络。
强密码
使用复杂且独特的密码来保护 账户安全。
防火墙
设置防火墙来监控和控制网络 流量。
利用受害者已验证的会话执 行非法操作。
S QL 注入
通过构造恶意SQL语句来获 取数据库中的信息。
社交工程与身份盗窃
1 钓鱼
通过冒充合法实体来获取用 户的敏感信息。
2 身份盗窃
使用他人的身份信息进行欺 骗和非法活动。
3 社交工程攻击
利用人们的社交行为和信任来获取信息。
网络安全协议
1 SSL/TLS
加密通信传输层安全协议, 确保数据传输的机密性和完 整性。
2 IPSec
用于安全地传输网络层数据 的协议。
3 SSH
用于安全远程访问服务器的协议。
网络安全策略
1 访问控制
限制对网络资源的访问和权 限。
2 加密
保护敏感数据的机密性。
网络安全教育PPT课件(共23页PPT)
电信诈骗的定义
电信诈骗,又称通讯网络诈骗,是指利用 电话、短信、网络等电信技术手段,通过 编造虚假信息、设置诱人陷阱,诱使受害 人打款或转账,以达到非法占有他人财物 的目的。这种犯罪行为具有远程、非接触、 隐蔽性强等特点,给社会治安和人民群众 财产安全带来严重威胁。
传播正能量 安全网络行
电信诈骗的常见手段
传播正能量 安全网络行 02 第二部分
网络问济损失
诈骗犯通过骗取受害人的个人信息、银行 账户信息等进行非法操作,导致受害人财 产损失。 有些受害者可能一夜之间失去全部的积蓄, 造成巨大的经济压力。
传播正能量 安全网络行
个人隐私泄露
电信诈骗犯常常会获取受害人的个人信息, 包括姓名、电话号码、身份证号码等,进 一步危及受害人的个人隐私安全。 这些信息可能被用于其他非法活动,例如 假冒身份、虚假交易等。
传播正能量 安全网络行
网络钓鱼
诈骗手法:“网络钓鱼”是当前最为常见也 较为隐蔽的网络诈骗形式。 所谓“网络钓鱼”,是指犯罪分子通过使用 “盗号木马”、“网络监听”以及伪造的假网 站或网页等手法,盗取用户的银行账号、 证券账号、密码信息和其他个人资料,然 后以转账盗款、网上购物或制作假卡等方 式获取利益。主要可细分为以下两种方式。
传播正能量 安全网络行
社会不信任
电信诈骗活动的增加会导致人们对电话或 网络交流的不信任感增加,影响社会正常 的信息传递与交流,甚至降低人们对正规 机构和公共服务的信任度。
传播正能量 安全网络行
精神与心理伤害
受害人经过被骗的经历,可能会受到精神 上的伤害,失去信心、焦虑、抑郁甚至自 暴自弃。 尤其是对于那些老年人或易受骗者来说, 受到电信诈骗的打击可能更为严重。
传播正能量 安全网络行 03 第三部分
电信诈骗,又称通讯网络诈骗,是指利用 电话、短信、网络等电信技术手段,通过 编造虚假信息、设置诱人陷阱,诱使受害 人打款或转账,以达到非法占有他人财物 的目的。这种犯罪行为具有远程、非接触、 隐蔽性强等特点,给社会治安和人民群众 财产安全带来严重威胁。
传播正能量 安全网络行
电信诈骗的常见手段
传播正能量 安全网络行 02 第二部分
网络问济损失
诈骗犯通过骗取受害人的个人信息、银行 账户信息等进行非法操作,导致受害人财 产损失。 有些受害者可能一夜之间失去全部的积蓄, 造成巨大的经济压力。
传播正能量 安全网络行
个人隐私泄露
电信诈骗犯常常会获取受害人的个人信息, 包括姓名、电话号码、身份证号码等,进 一步危及受害人的个人隐私安全。 这些信息可能被用于其他非法活动,例如 假冒身份、虚假交易等。
传播正能量 安全网络行
网络钓鱼
诈骗手法:“网络钓鱼”是当前最为常见也 较为隐蔽的网络诈骗形式。 所谓“网络钓鱼”,是指犯罪分子通过使用 “盗号木马”、“网络监听”以及伪造的假网 站或网页等手法,盗取用户的银行账号、 证券账号、密码信息和其他个人资料,然 后以转账盗款、网上购物或制作假卡等方 式获取利益。主要可细分为以下两种方式。
传播正能量 安全网络行
社会不信任
电信诈骗活动的增加会导致人们对电话或 网络交流的不信任感增加,影响社会正常 的信息传递与交流,甚至降低人们对正规 机构和公共服务的信任度。
传播正能量 安全网络行
精神与心理伤害
受害人经过被骗的经历,可能会受到精神 上的伤害,失去信心、焦虑、抑郁甚至自 暴自弃。 尤其是对于那些老年人或易受骗者来说, 受到电信诈骗的打击可能更为严重。
传播正能量 安全网络行 03 第三部分
第11章 无线网络安全PPT讲义
UTRAN) 演进的分组核心网络(Evolved Packet Core,EPC) 应用网络域
LTE的安全性
LTE网络架构
用户设备(UE)
用户设备中类似于UMTS的终端设备包括终端ME和USIM卡两部分,除了普通的用户设备外,LTE 系统还支持多种机器类型设备(Machine Type Communication Device,MTCD)接入到EPC。
应用网络域
LTE系统引入两种新型的服务,包括机器类型通信MTC和IP多媒体子系统(IMS),因此应用网络 域主要用于处理两种应用场景:IP多媒体子系统(IMS)、机器类型通信(MTC)。
LTE的安全性
LET的安全性
接入网和核心网的双层安全模型:UE和基站之间的接入层(AS)安 全机制、UE到MME间的非接入层信令安全机制(NAS)
AP发送一个认证请求信息,请求STA提供身份 信息。
STA将自己的身份信息发送给AP。 AP将包含用户身份的信息转发给RADIUS服务
器。
RADIUS服务器通过查询用户身份信息数据库 或使用其他认证算法验证用户身份的合法性。
RADIUS服务器向AP发送接收或拒绝用户访问 的信息。
AP向STA发送认证成功或认证失败的消息。如 果RADIUS服务器告知AP可以允许用户接入, 则AP将为用户开放一个受控端口,用户STA将 就可用该端口传输数据。
第11章 无线网络安全
本章内容
11.1 • 无线网络面临的安全威胁 11.2 • 无线蜂窝网络的安全性 11.3 • 无线局域网络的安全性 11.4 • 移动Ad hoc网络的安全性
什么是安全威胁?
主动威胁 被动威胁
安全威胁是指某个人、物或事件对某一资源(如信 息)的保密性、可用性、完整性以及资源的合法使 用构成危险。
LTE的安全性
LTE网络架构
用户设备(UE)
用户设备中类似于UMTS的终端设备包括终端ME和USIM卡两部分,除了普通的用户设备外,LTE 系统还支持多种机器类型设备(Machine Type Communication Device,MTCD)接入到EPC。
应用网络域
LTE系统引入两种新型的服务,包括机器类型通信MTC和IP多媒体子系统(IMS),因此应用网络 域主要用于处理两种应用场景:IP多媒体子系统(IMS)、机器类型通信(MTC)。
LTE的安全性
LET的安全性
接入网和核心网的双层安全模型:UE和基站之间的接入层(AS)安 全机制、UE到MME间的非接入层信令安全机制(NAS)
AP发送一个认证请求信息,请求STA提供身份 信息。
STA将自己的身份信息发送给AP。 AP将包含用户身份的信息转发给RADIUS服务
器。
RADIUS服务器通过查询用户身份信息数据库 或使用其他认证算法验证用户身份的合法性。
RADIUS服务器向AP发送接收或拒绝用户访问 的信息。
AP向STA发送认证成功或认证失败的消息。如 果RADIUS服务器告知AP可以允许用户接入, 则AP将为用户开放一个受控端口,用户STA将 就可用该端口传输数据。
第11章 无线网络安全
本章内容
11.1 • 无线网络面临的安全威胁 11.2 • 无线蜂窝网络的安全性 11.3 • 无线局域网络的安全性 11.4 • 移动Ad hoc网络的安全性
什么是安全威胁?
主动威胁 被动威胁
安全威胁是指某个人、物或事件对某一资源(如信 息)的保密性、可用性、完整性以及资源的合法使 用构成危险。
网络的安全ppt课件
02
移动设备安全最佳实践
介绍移动设备安全的最佳实践, 如使用受信任的应用程序商店、 更新操作系统和应用程序、配置 适当的安全设置等。
物联网安全挑战与对策
物联网安全威胁和挑战
概述物联网面临的安全威胁和 挑战,如设备易受攻击、数据 泄露和滥用、隐私侵犯等。
物联网安全最佳实践
介绍物联网安全的最佳实践, 如使用安全的设备和组件、实 施适当的安全策略和协议、加 密数据传输和存储等。
04
网ห้องสมุดไป่ตู้安全协议与标准
BIG DATA EMPOWERS TO CREATE A NEW
ERA
SSL/TLS协议
加密通信协议,用于保护数据在网络中的传输。
SSL/TLS协议提供了一种在互联网通信中保护数据的方法。它使用加密技术来确保数据在传输过程中不被窃取或篡改。该协 议广泛应用于各种在线服务和应用程序,如Web浏览器、电子邮件和即时通讯工具。
物联网安全
04
随着物联网设备的普及,针对智 能家居、工业控制系统的攻击也 日益增多,需加强安全防护措施 。
人工智能在网络安全中的应用
威胁检测与预防
利用人工智能技术分析网络流量和日志数据,识 别异常行为,提前预警和阻止潜在的攻击。
安全漏洞扫描与评估
利用智能算法对系统进行漏洞扫描和风险评估, 提高漏洞发现和修复的效率。
网络安全PPT课件
BIG DATA EMPOWERS TO CREATE A NEW
ERA
• 网络安全概述 • 网络攻击与防护 • 密码学与加密技术 • 网络安全协议与标准 • 网络安全应用与实践 • 网络安全发展趋势与展望
目录
CONTENTS
01
网络安全概述
网络安全意识ppt课件可编辑全文
4.在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。 5.电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。 6.计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。
网络诈骗的特点
1、犯罪方法简单,容易进行 网络用于诈骗犯罪使犯罪行为人虚构的事实更加逼近事实,或者能够更加隐瞒地掩盖事实真相,从而使被害人易于上当受骗,给出钱物。 2、犯罪成本低,传播迅速,传播范围广 犯罪行为人利用计算机网络技术和多媒体技术制作形式极为精美的电子信息,诈骗他人的财物,并不需要投入很大的资金,人力和物力。着手犯罪的物质条件容易达到。 3、渗透性强,网络化形式复杂,不定性强 网络发展形成一个虚拟的电脑空间,即消除了国境线也打破了社会和空间的界限,使得行为人在进行诈骗他人财物时有极高的渗透性。网络诈骗的网络化形式发展,使得受害人从理论上而言是所有上网的人。
造成网络安全的因素
自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客” 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等; 信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全 从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全PPT课件演示
07
CATALOGUE
数据安全与隐私保护
数据加密存储和传输技术
01
对称加密技术
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和
解密。
02
非对称加密技术
又称公钥加密技术,使用一对密钥来分别完成加密和解密操作,其中一
个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。
03
混合加密技术
应急响应计划和演练实施
01
02
03
04
制定应急响应计划
明确应急响应组织、通讯方式 、处置流程等。
资源准备
准备必要的应急响应资源,如 备份数据、安全专家团队等。
演练实施
定期组织应急响应演练,提高 团队应对突发事件的能力。
持续改进
根据演练结果和实际情况,不 断完善应急响应计划,提高应
对效率。
THANKS
密码等。
拒绝服务攻击
通过大量无用的请求拥 塞目标服务器,使其无
法提供正常服务。
漏洞攻击
利用系统或应用程序中 的漏洞,实施非法访问
和数据窃取。
网络安全法律法规
1 2
《中华人民共和国网络安全法》
我国首部全面规范网络空间安全管理的基础性法 律,明确规定了网络运营者、网络产品和服务提 供者等的法律责任和义务。
结合对称加密和非对称加密的优点,先用非对称加密技术对对称密钥进
行加密,再用对称加密技术对明文进行加密。
数据备份和恢复策略
完全备份
备份所有数据,包括操作系统、应用程 序和所有数据文件。
差分备份
备份自上次完全备份以来有变化的数 据。
增量备份
只备份自上次备份以来有变化的数据 。
网络安全ppt
3 了解网络陷阱
病毒陷阱
• 电脑病毒是一种经过恶意设计,能隐蔽运行 和自我复制、具有破坏力和不良表现欲的计 算机软件。
• 它们在用户不注意的时候侵入计算机系统, 破坏用户文件,窃取用户隐私,强迫用户浏 览不良站点。
3 了解网络陷阱
感情陷阱
• 不少人热衷于去聊天室找异性聊天,沉迷于精 神恋爱之中,这不仅耗时劳神,而且还有一定 的风险性。
密性、可用性的能力全法律法规有哪些?
答
我国网络安全法律法规主要包括: 《中华人民共和国网络安全法》、《中华人民共和 国数据安全法》、《中华人民共和国个人信息保护 法》、《关键信息基础设施安全保护条例》。下面 为大家做以下解读:
2 网络安全法律法规
1、《中华人民共和国网络安全法》
权利:国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服 务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
义务:遵守宪法法律,遵守公共秩序,尊重社会 公德,不得利用网络从事危害国家安全、荣誉, 煽动颠覆国家政权、推翻社会主义制度,煽动分 裂国家破坏国家统一,宣扬恐怖主义、极端主义, 宣扬民族仇恨、民族歧视,传播暴力、淫秽、色 情信息,编造、传播假信息扰乱经济秩序和社会 秩序,以及侵害他人名誉隐私、知识产权和其他 合法权益的活动。
从世界范围看,网络安全威胁和风险日益突出,并向政治、 经济、文化、社会、生态、国防等领域传导渗透。网络安 全已经成为我国面临的最复杂、最现实、最严峻的非传统 安全问题之一。
网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使 用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保
4 网络使用注意事项
网络安全概述 ppt
网络安全概述 ppt网络安全是指保护网络系统和数据免受未经授权的访问、破坏、窃取或伪造的威胁的一系列措施。
由于现代社会高度依赖于信息技术和互联网,网络安全的重要性日益凸显。
网络安全包含多个方面,包括网络设备的安全、数据的安全、通信的安全以及对网络攻击进行检测和应对等。
网络设备的安全是网络安全的基础,它包括保护网络设备不受恶意攻击和未经授权的访问。
为了保证网络设备的安全,可以采取一些措施,如及时更新设备的操作系统和软件,设置强密码和访问控制,启用防火墙等。
数据的安全是网络安全的核心,它涉及到保护数据不受未经授权的访问、窃取和篡改。
为了保护数据的安全,可以采取加密、备份、访问控制等措施。
加密是指将数据转换为一种不可读的形式,只有拥有正确密钥的人才能解密。
备份是指将数据复制到其他存储设备上,以防止数据丢失。
访问控制是指限制对数据的访问权限,只有经过授权的用户才能访问数据。
通信的安全是保护网络通信过程中的信息不被窃听、篡改和伪造。
为了实现通信的安全,可以采取加密和认证等措施。
加密可以保证通信内容在传输过程中只能被合法的接收方解密,而不能被窃听者获取。
认证是指确保通信双方的身份的真实性,防止冒充和伪造。
网络安全还包括对于网络攻击进行检测和应对。
网络攻击是指未经授权的人通过网络手段对网络设备和数据进行攻击和破坏的行为。
常见的网络攻击包括病毒、木马、黑客攻击、DoS攻击等。
为了防范网络攻击,可以采取防火墙、入侵检测系统、入侵预防系统等技术手段。
总之,网络安全是保护网络设备和数据免受未经授权的访问、破坏、窃取或伪造的一系列措施。
只有通过合理的安全措施和策略,才能保障网络安全,确保网络系统的正常运行和数据的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新编计算机网络 易睿得 主
11.5 报文鉴别:防伪造
11.5.1 报文鉴别码 为了确保报文的完整性以及实现数据来源的鉴别,需要创建报文鉴别码 (MAC)。如图11.9所示。
新编计算机网络 易睿得 主
11.5.2 数字签名
1.数字签名过程 图11.10所示为数字签名的过程。
新编计算机网络 易睿得 主
新编计算机网络 易睿得 主
11.2.4 密钥分配中心:KDC
把整个世界划分为几个区,每个区都可以有一个或多个KDC,这些KDC可 以分为本地KDC、国家KDC和国际KDC。
图11.4描绘了分级的多KDC的配置。
新编计算机
为了建立会话密钥,人们已经提出了多种不同的方法。
第11章 网 络 安 全
11.1 网络安全和威胁
11.2 11.3
报文保密性: 对称密钥密码体制
报文保密性: 不对称密钥加密法
11.4 报文完整性: 采用报文摘要
11.5 报文鉴别:防伪造
11.6 实 体 鉴 别 11.7 网络层安全 11.8 运输层安全 11.9 应用层的安全 11.10 防火墙:防止非法接入
新编计算机网络 易睿得 主
11.1 网络安全和威胁
先来讨论网络安全的3个目标:保密性、完整性和有效性。 上述3个安全目标可能会受到安全攻击的威胁,图11.1所示为攻击的分类。
新编计算机网络 易睿得 主
11.1 网络安全和威胁
1.威胁保密性的攻击 一般来说,有两种类型的攻击会威胁到信息的保密性:窃取和通信量分析。 2.威胁完整性的攻击 数据的完整性可能会受到多种类型的攻击:更改、伪装、重放和否认。 3.威胁有效性的攻击 拒绝服务(DoS)是一种很常见的攻击。它会使一个系统的服务变得越来越 慢,甚至完全中断服务。
新编计算机网络 易睿得 主
11.3.2 不对称密钥加密系统:RSA
【例11.2】 假设B选择7和11作为p和q,并计算n=7×11=77。另一个值 ф(n)= (7−1)(11−1)=60。如果他选择e为13,那么d为37。请注意,(e×d)mod 60=1。现在假设A希望发送明文5给B,他用公钥13作为指数来为5加密。
2.散列函数 加密散列函数以任意长度的报文作为输入,并产生固定长度的报文摘要。 安全散列算法(SHA)是由美国国家标准和技术学会(NIST)开发的一个标 准,它也经历了多个版本,有一些散列算法是由Ron Rivest设计的,最新版本为 MD5,其中MD代表“报文摘要”。 报文摘要算法MD5可对任意长的报文进行运算,然后得出128位的MD5报文摘 要代码。
新编计算机网络 易睿得 主
11.3 报文保密性:不对称密钥加密法
11.3.1 不对称密钥加密法 不对称密钥加密术使用了两个独立的密钥:一个私钥和一个公钥。
新编计算机网络 易睿得 主
11.3.2 不对称密钥加密系统:RSA
1.RSA公钥算法 B选择两个较大的数p和q,计算:
n=p×q,ф=(p−1)×(q−1) 2.加密解密 任何人(包括A)都可以用Y=Xe mod n来对报文加密,并把密文发送给B。只 有B能够用X=Yd mod n来解密这个报文。
新编计算机网络 易睿得 主
11.4 报文完整性:采用报文摘要
1.报文摘要 为了保护一个报文的完整性,A对这个报文经过一个称为加密散列函数算法的 处理。这个函数为报文产生一个压缩的印记,称为摘要。 B为了检查报文或文档的完整性,也要运行相同的加密散列函数,产生摘要。
新编计算机网络 易睿得 主
11.4 报文完整性:采用报文摘要
新编计算机网络 易睿得 主
11.2.3 对称密钥协商
生成一个对称密钥之前,双方需要选择两个数p和g。 这两个数可以通过因特网发送,是可公开的。
新编计算机网络 易睿得 主
11.2.3 对称密钥协商
【例11.1】假设g=7且p=23(实际情况这个数应当很大),计算对称会话密钥。 步骤如下: (1)A选择一个随机的大数s,让0≤s≤p−l,并计算R1=gs mod p。 (2)A把R1发送给B。 (3)B选择另一个随机的大数t,让0≤t≤p−l,并计算R2=gt mod p。 (4)B把R2发送给A。 (5)A计算K=(R2)s mod p=43 mod 23=18。 B也计算K=(R1)t mod p=216 mod 23=18。 K就是这次会话使用的对称密钥,A和B得出的K值是相同的,因为: A计算K=(R2)s mod p=(gt mod p)s mod p=gst mod p B计算K=(R1)t mod p=(gs mod p)t mod p=gst mod p 而K=gst mod p=73×6 mod 23=18
新编计算机网络 易睿得 主
11.2 报文保密性:对称密钥密码体制
11.2.1 对称密钥密码体制 所谓对称密钥密码体制,即加密密钥与解密密钥采用相同的密码体制。
新编计算机网络 易睿得 主
11.2.2 DES对称密钥密码体制
DES是一种分组密码。在加密前,先对整个明文进行分组。 每一个组为64位长的二进制数据。然后对每一个64位二进制数据进行加密处理, 产生一组64位密文数据。 最后将各组密文串接起来,即得出整个密文。 使用的密钥为64位(实际密钥长度为56位,有8位用于奇偶校验)。
新编计算机网络 易睿得 主
11.3.3 公钥分配
1.认证管理机构 最常见的分配公钥的方式就是建立公钥证书。B希望人们知道他的公钥,同时 又希望没有人会把伪造的公钥当成是他的。 可以采用的方法如图11.7所示。
新编计算机网络 易睿得 主
11.3.3 公钥分配
2.X.509 X.509是用结构化的形式描述证书的一种方法,它使用了一种熟知的称为 ASN.1(抽象语法记法1)的协议。
11.5.2 数字签名
2.对报文摘要的签名 图11.11所示为在数字签名系统中对摘要进行签名的过程。
新编计算机网络 易睿得 主
11.5.2 数字签名
3.不可否认性 数字签名可以实现报文鉴别、报文完整性和不可否认性。 一种解决办法是引入彼此都信任的第三方,这个可信的第三方能解决很多与 安全服务和密钥交换相关的问题。如图11.12所示。
11.5 报文鉴别:防伪造
11.5.1 报文鉴别码 为了确保报文的完整性以及实现数据来源的鉴别,需要创建报文鉴别码 (MAC)。如图11.9所示。
新编计算机网络 易睿得 主
11.5.2 数字签名
1.数字签名过程 图11.10所示为数字签名的过程。
新编计算机网络 易睿得 主
新编计算机网络 易睿得 主
11.2.4 密钥分配中心:KDC
把整个世界划分为几个区,每个区都可以有一个或多个KDC,这些KDC可 以分为本地KDC、国家KDC和国际KDC。
图11.4描绘了分级的多KDC的配置。
新编计算机
为了建立会话密钥,人们已经提出了多种不同的方法。
第11章 网 络 安 全
11.1 网络安全和威胁
11.2 11.3
报文保密性: 对称密钥密码体制
报文保密性: 不对称密钥加密法
11.4 报文完整性: 采用报文摘要
11.5 报文鉴别:防伪造
11.6 实 体 鉴 别 11.7 网络层安全 11.8 运输层安全 11.9 应用层的安全 11.10 防火墙:防止非法接入
新编计算机网络 易睿得 主
11.1 网络安全和威胁
先来讨论网络安全的3个目标:保密性、完整性和有效性。 上述3个安全目标可能会受到安全攻击的威胁,图11.1所示为攻击的分类。
新编计算机网络 易睿得 主
11.1 网络安全和威胁
1.威胁保密性的攻击 一般来说,有两种类型的攻击会威胁到信息的保密性:窃取和通信量分析。 2.威胁完整性的攻击 数据的完整性可能会受到多种类型的攻击:更改、伪装、重放和否认。 3.威胁有效性的攻击 拒绝服务(DoS)是一种很常见的攻击。它会使一个系统的服务变得越来越 慢,甚至完全中断服务。
新编计算机网络 易睿得 主
11.3.2 不对称密钥加密系统:RSA
【例11.2】 假设B选择7和11作为p和q,并计算n=7×11=77。另一个值 ф(n)= (7−1)(11−1)=60。如果他选择e为13,那么d为37。请注意,(e×d)mod 60=1。现在假设A希望发送明文5给B,他用公钥13作为指数来为5加密。
2.散列函数 加密散列函数以任意长度的报文作为输入,并产生固定长度的报文摘要。 安全散列算法(SHA)是由美国国家标准和技术学会(NIST)开发的一个标 准,它也经历了多个版本,有一些散列算法是由Ron Rivest设计的,最新版本为 MD5,其中MD代表“报文摘要”。 报文摘要算法MD5可对任意长的报文进行运算,然后得出128位的MD5报文摘 要代码。
新编计算机网络 易睿得 主
11.3 报文保密性:不对称密钥加密法
11.3.1 不对称密钥加密法 不对称密钥加密术使用了两个独立的密钥:一个私钥和一个公钥。
新编计算机网络 易睿得 主
11.3.2 不对称密钥加密系统:RSA
1.RSA公钥算法 B选择两个较大的数p和q,计算:
n=p×q,ф=(p−1)×(q−1) 2.加密解密 任何人(包括A)都可以用Y=Xe mod n来对报文加密,并把密文发送给B。只 有B能够用X=Yd mod n来解密这个报文。
新编计算机网络 易睿得 主
11.4 报文完整性:采用报文摘要
1.报文摘要 为了保护一个报文的完整性,A对这个报文经过一个称为加密散列函数算法的 处理。这个函数为报文产生一个压缩的印记,称为摘要。 B为了检查报文或文档的完整性,也要运行相同的加密散列函数,产生摘要。
新编计算机网络 易睿得 主
11.4 报文完整性:采用报文摘要
新编计算机网络 易睿得 主
11.2.3 对称密钥协商
生成一个对称密钥之前,双方需要选择两个数p和g。 这两个数可以通过因特网发送,是可公开的。
新编计算机网络 易睿得 主
11.2.3 对称密钥协商
【例11.1】假设g=7且p=23(实际情况这个数应当很大),计算对称会话密钥。 步骤如下: (1)A选择一个随机的大数s,让0≤s≤p−l,并计算R1=gs mod p。 (2)A把R1发送给B。 (3)B选择另一个随机的大数t,让0≤t≤p−l,并计算R2=gt mod p。 (4)B把R2发送给A。 (5)A计算K=(R2)s mod p=43 mod 23=18。 B也计算K=(R1)t mod p=216 mod 23=18。 K就是这次会话使用的对称密钥,A和B得出的K值是相同的,因为: A计算K=(R2)s mod p=(gt mod p)s mod p=gst mod p B计算K=(R1)t mod p=(gs mod p)t mod p=gst mod p 而K=gst mod p=73×6 mod 23=18
新编计算机网络 易睿得 主
11.2 报文保密性:对称密钥密码体制
11.2.1 对称密钥密码体制 所谓对称密钥密码体制,即加密密钥与解密密钥采用相同的密码体制。
新编计算机网络 易睿得 主
11.2.2 DES对称密钥密码体制
DES是一种分组密码。在加密前,先对整个明文进行分组。 每一个组为64位长的二进制数据。然后对每一个64位二进制数据进行加密处理, 产生一组64位密文数据。 最后将各组密文串接起来,即得出整个密文。 使用的密钥为64位(实际密钥长度为56位,有8位用于奇偶校验)。
新编计算机网络 易睿得 主
11.3.3 公钥分配
1.认证管理机构 最常见的分配公钥的方式就是建立公钥证书。B希望人们知道他的公钥,同时 又希望没有人会把伪造的公钥当成是他的。 可以采用的方法如图11.7所示。
新编计算机网络 易睿得 主
11.3.3 公钥分配
2.X.509 X.509是用结构化的形式描述证书的一种方法,它使用了一种熟知的称为 ASN.1(抽象语法记法1)的协议。
11.5.2 数字签名
2.对报文摘要的签名 图11.11所示为在数字签名系统中对摘要进行签名的过程。
新编计算机网络 易睿得 主
11.5.2 数字签名
3.不可否认性 数字签名可以实现报文鉴别、报文完整性和不可否认性。 一种解决办法是引入彼此都信任的第三方,这个可信的第三方能解决很多与 安全服务和密钥交换相关的问题。如图11.12所示。