計算機網絡(第31講)第9章 網絡安全_第1頁
計算機網絡(第31講)第9章 網絡安全_第2頁
計算機網絡(第31講)第9章 網絡安全_第3頁
計算機網絡(第31講)第9章 網絡安全_第4頁
計算機網絡(第31講)第9章 網絡安全_第5頁
已閱讀5頁,還剩37頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、1上次課主要內容網絡管理與SNMP協(xié)議基于SNMP協(xié)議的網絡管理由三個部分組成SNMP協(xié)議管理信息機構SMI管理信息庫MIBIPv6IPv6的改進IPv6的首部格式IPv6的擴展首部IPv6的地址類型和地址空間從IPv4向IPv6過渡ICMPv68.2 多協(xié)議標記交換 MPLS(MultiProtocol Label Switching) MPLS 的產生背景在 20 世紀 80 年代,出現(xiàn)了一種思路:用面向連接的方式取代 IP 的無連接分組交換方式,這樣就可以利用更快捷的查找算法,而不必使用最長前綴匹配的方法來查找路由表。這種基本概念就叫做交換(switching)。人們經常把這種交換概念與

2、異步傳遞方式 ATM (Asynchronous Transfer Mode)聯(lián)系起來,在傳統(tǒng)的路由器上也可以實現(xiàn)這種交換 標號 轉發(fā)接口 0 1 1 0 2 1 3 101S1S2S30S1 的轉發(fā)表01為了實現(xiàn)交換,可以利用面向連接的概念,使每個分組攜帶一個叫做標記(label)的小整數(shù)。當分組到達交換機時,交換機讀取分組的標記,并用標記值來檢索分組轉發(fā)表。 1、MPLS 的特點 (1) 支持面向連接的服務質量。(2) 支持流量工程,平衡網絡負載。(3) 有效地支持虛擬專用網 VPN。2、MPLS 的工作原理MPLS 對打上固定長度“標記”的分組用硬件進行轉發(fā),使分組轉發(fā)過程中省去了每到達

3、一個結點都要查找路由表的過程,因而分組轉發(fā)的速率大大加快。采用硬件技術對打上標記的分組進行轉發(fā)稱為標記交換?!敖粨Q”也表示在轉發(fā)分組時不再上升到第三層用軟件分析 IP 首部和查找轉發(fā)表,而是根據(jù)第二層的標記用硬件進行轉發(fā)。 MPLS 協(xié)議的基本原理 MPLS 域普通 IP 分組LDPLDPLDPMPLS入口結點打上標記去除標記MPLS出口結點標記交換標記交換標記交換ABCD普通路由器標記交換路由器 LSR打上標記的分組MPLS 的基本工作過程 (1) MPLS 域中的各 LSR 使用專門的標記分配協(xié)議 LDP 交換報文,并找出標記交換路徑LSP。各 LSR 根據(jù)這些路徑構造出分組轉發(fā)表。 (2

4、) 分組進入到 MPLS 域時, MPLS 入口結點把分組打上標記,并按照轉發(fā)表將分組轉發(fā)給下一個 LSR。(3) 以后的所有 LSR 都按照標記進行轉發(fā)。每經過一個 LSR,要換一個新的標記。(4) 當分組離開 MPLS 域時,MPLS 出口結點把分組的標記去除。再以后就按照一般分組的轉發(fā)方法進行轉發(fā)。3、轉發(fā)等價類 FEC(Forwarding Equivalence Class) “轉發(fā)等價類”就是路由器按照同樣方式對待的分組的集合。 劃分 FEC 的方法不受什么限制,這都由網絡管理員來控制,因此非常靈活。入口結點并不是給每一個分組指派一個不同的標記,而是將屬于同樣 FEC 的分組都指派

5、同樣的標記。FEC 和標記是一一對應的關系。 .虛電路合并(VC merging)FEC 可以有不同的粒度。細粒度的例子:為特定源主機和目的主機之間的特定應用指派的 FEC。粗粒度的例子:與特定出口 LSR 相關聯(lián)的 FEC 是。許多應用流聚合到出口 LSR 離開 MPLS 域,它的根在出口 LSR。這種應用流的聚合也稱為虛電路合并。這樣做可以大大減少轉發(fā)表中的項目數(shù)。 應用流聚合到出口 LSR 入口 LSR入口 LSR入口 LSR入口 LSR入口 LSR入口 LSR出口 LSR1335342141S1S2S3S4FEC 用于負載平衡 CBAH1EDH2H3H4(a) 傳統(tǒng)路由選擇協(xié)議使最短路

6、徑 ABC 過載 CBAH1H2H3H4DE(b) 利用 FEC 使通信量分散 棧底4、MPLS 首部的位置與格式 MPLS 的一個重要功能就可以構成標記棧。MPLS 標記的格式以及標記棧: 棧頂幀首部 MPLS標記 MPLS標記 IP 首部 數(shù) 據(jù) 部 分 幀尾部標 記 值生存時間 TTL試 驗S位 20 3 1 8MPLS 標記棧IP 數(shù)據(jù)報以太網幀發(fā)送在前MPLS 標記 MPLS 標記一旦產生就壓入到標記棧中,而整個標記棧放在數(shù)據(jù)鏈路層首部和IP首部之間。棧是一種后進先出的數(shù)據(jù)結構。MPLS 協(xié)議規(guī)定,標記棧的棧頂(最后進入棧的標記)最靠近數(shù)據(jù)鏈路層首部,而棧底最靠近 IP 首部。在最簡

7、單的情況下,標記棧中只有一個標記。 MPLS 標記棧的使用 廠區(qū) 1廠區(qū) 2ABCDMPLS 域 2MPLS 域 1ABCD標記入棧標記入棧標記出棧標記出棧10.3 P2P 文件共享 自從因特網能夠提供音頻/視頻服務后,寬帶上網用戶數(shù)也急劇增長。很多用戶使用寬帶接入的目的就是為了更快地下載音頻/視頻文件。P2P 工作方式受到廣大網民的歡迎。這種工作方式解決了集中式媒體服務器可能出現(xiàn)的瓶頸問題。在 P2P 工作方式下,所有的音頻/視頻文件都是在普通的因特網用戶之間傳輸。這是相當于有很多分散在各地的媒體服務器向其他用戶提供所要下載的音頻/視頻文件。 Napster最早出現(xiàn)的 P2P 技術,可提供免

8、費下載 MP3 音樂。Napster 能夠搜索音樂文件,能夠提供檢索功能。所有的音樂文件地址集中存放在一個 Napster 目錄服務器中。使用者可很方便地下載需要的 MP3 文件。用戶要及時向 Napster 的目錄服務器報告自己存有的音樂文件。當用戶想下載某個 MP3 文件時,就向目錄服務器發(fā)出詢問。目錄服務器檢索出結果后向用戶返回存放此文件的 PC 機的 IP 地址。Napster 的文件傳輸是分散的,但文件的定位則是集中的。這種集中式目錄服務器的缺點就是可靠性差。Napster 被判決屬于“間接侵害版權”,因此在 2000 年 7 月底 Napster 網站就被迫關閉了。 Gnutell

9、aGnutella 是第二代 P2P 文件共享程序,它全分布方法定位內容的P2P 文件共享應用程序。 。Gnutella 與 Napster 最大的區(qū)別就是不使用集中式的目錄服務器,而是使用洪泛法在大量 Gnutella 用戶之間進行查詢。為了不使查詢的通信量過大,Gnutella 設計了一種有限范圍的洪泛查詢。這樣可以減少傾注到因特網的查詢流量,但由于查詢的范圍受限,因而這也影響到查詢定位的準確性。 第三代 P2P 共享文件程序eMule 使用分散定位和分散傳輸技術,把每一個文件劃分為許多小文件塊,并使用多源文件傳輸協(xié)議 MFTP 進行傳送。因此用戶可以同時從很多地方下載一個文件中的不同文件

10、塊。由于每一個文件塊都很小,并且是并行下載,所以下載可以比較快地完成。eMule 用戶在下載文件的同時,也在上傳文件,因此,因特網上成千上萬的 eMule 用戶在同時下載和上傳一個個小的文件塊。eMule 的其他特點eMule 使用了一些服務器。這些服務器并不是保存音頻/視頻文件,而是保存用戶的有關信息,因而可以告訴用戶從哪些地方可以下載到所需的文件。eMule 使用了專門定義的文件夾,讓用戶存放可以和其他用戶共享的文件。eMule 的下載文件規(guī)則是鼓勵用戶向其他用戶上傳文件。用戶上傳文件越多,其下載文件的優(yōu)先級就越高(因而下載就越快)。第9章 網絡安全9.1 網絡安全問題概述9.2 密碼學基

11、礎9.3 數(shù)字簽名9.4 鑒別9.5 密鑰分配9.6 網絡安全協(xié)議9.7 鏈路加密與端到端加密9.8 防火墻技術9.1 網絡安全問題概述計算機網絡上的通信面臨以下的四種威脅: (1) 截獲從網絡上竊聽他人的通信內容。 (2) 中斷有意中斷他人在網絡上的通信。 (3) 篡改故意篡改網絡上傳送的報文。 (4) 偽造偽造信息在網絡上傳送。截獲信息的攻擊稱為被動攻擊,而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。9.1.1 被動攻擊和主動攻擊在被動攻擊中,攻擊者只是觀察和分析某一個協(xié)議數(shù)據(jù)單元 PDU 而不干擾信息流。主動攻擊是指攻擊者對某個連接中通過的 PDU 進行各種處理。更改報文流 拒絕報文服

12、務 偽造連接初始化 對網絡的被動攻擊和主動攻擊 截獲篡改偽造中斷被動攻擊主 動 攻 擊目的站源站源站源站源站目的站目的站目的站(1) 防止析出報文內容;(2) 防止通信量分析;(3) 檢測更改報文流;(4) 檢測拒絕報文服務;(5) 檢測偽造初始化連接。計算機網絡通信安全的目標 (1) 計算機病毒會“傳染”其他程序的程序,“傳染”是通過修改其他程序來把自身或其變種復制進去完成的。(2) 計算機蠕蟲通過網絡的通信功能將自身從一個結點發(fā)送到另一個結點并啟動運行的程序。(3) 特洛伊木馬一種程序,它執(zhí)行的功能超出所聲稱的功能。(4) 邏輯炸彈一種當運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊功能的程序。

13、惡意程序(rogue program) 9.1.2 計算機網絡安全的內容保密性安全協(xié)議的設計 訪問控制 9.2 密碼學基礎 密碼學保證在新的信息社會中的授權、認證、完整性、機密性以及所有通信和數(shù)據(jù)交換的不可否認性。這些保證是建立在以下安全服務的基礎之上: 機密性通過加密實現(xiàn)認證通過數(shù)字簽名和數(shù)字證書實現(xiàn)誠信用公鑰解密數(shù)字簽名以獲取消息摘要,對消息進行哈希處理創(chuàng)建第二個摘要,如果摘要相同則說明該消息是真實的,簽名者的身份得到證明不可否認性哈希處理過的消息的數(shù)字簽名利用發(fā)件人的秘鑰加密結果,將數(shù)字簽名與發(fā)生的消息綁定起來不可重放加密,哈希和數(shù)字簽名明文 X 截獲密文 Y1、一般的數(shù)據(jù)加密模型 加密

14、密鑰 K明文 X密文 Y截取者篡改ABE 運算加密算法D 運算解密算法因特網解密密鑰 K一些重要概念 密碼編碼學(cryptography)是密碼體制的設計學,而密碼分析學(cryptanalysis)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術。密碼編碼學與密碼分析學合起來即為密碼學(cryptology)。如果不論截取者獲得了多少密文,但在密文中都沒有足夠的信息來唯一地確定出對應的明文,則這一密碼體制稱為無條件安全的,或稱為理論上是不可破的。如果密碼體制中的密碼不能被可使用的計算資源破譯,則這一密碼體制稱為在計算上是安全的。 2、密碼系統(tǒng)的組成一個密碼系統(tǒng)由如下4個基本組成部分:明文

15、P將被發(fā)送的原信息。密碼系統(tǒng)或一種密碼由數(shù)學的加密E和解密D算法所組成。密文C在將原文件發(fā)送給收件人之前應用加密算法對原始信息加密后的結果。密鑰K在加密和解密過程中被兩種數(shù)學算法使用的比特串。3、加密類型密碼可以是序列密碼也可以是分組密碼。序列密碼依賴于密鑰序列函數(shù)派生出來的密鑰流。然后將密鑰和算法一次一個地應用到每一個比特上。分組密碼將信息分解成塊,并且每一塊結合了一個密鑰?;诿荑€的加密算法可以是對稱的,即通常所謂的傳統(tǒng)加密,也可以是不對稱的加密算法,也被稱為公共密鑰加密。對稱算法實際上是基于秘密密鑰的,這里加密算法和解密算法使用相同的密鑰進行加密和解密。非對稱或公共密鑰算法與對稱的不同,

16、使用不同的密鑰進行加密和解密,而解密密鑰不能從加密密鑰中推導出來。 9.2.1 對稱密鑰密碼體制 所謂常規(guī)密鑰密碼體制,即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。1、數(shù)據(jù)加密標準 DES數(shù)據(jù)加密標準 DES 屬于常規(guī)密鑰密碼體制,是一種分組密碼。在加密前,先對整個明文進行分組。每一個組長為 64 位。然后對每一個 64 位 二進制數(shù)據(jù)進行加密處理,產生一組 64 位密文數(shù)據(jù)。最后將各組密文串接起來,即得出整個的密文。使用的密鑰為 64 位(實際密鑰長度為 56 位,有 8 位用于奇偶校驗)。 DES 的保密性DES 的保密性僅取決于對密鑰的保密,而算法是公開的。盡管

17、人們在破譯 DES 方面取得了許多進展,但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES 是世界上第一個公認的實用密碼算法標準,它曾對密碼學的發(fā)展做出了重大貢獻。目前較為嚴重的問題是 DES 的密鑰的長度?,F(xiàn)在已經設計出來搜索 DES 密鑰的專用芯片。 2、其他的對稱加密算法3DES從最初的由56比特有效密鑰和8比特奇偶校驗位組成的64比特密碼DES發(fā)展而來, 3DES按8字節(jié)塊加密數(shù)據(jù),經過16次不同的迭代復雜移位,異或,替代并沿著64比特數(shù)據(jù)分組密鑰擴展組成。其他的對稱加密算法包括:美國國家標準與技術研究院NIST提出了高級加密標準AES,用來取代DES。IDEA (國際數(shù)據(jù)加密標準),

18、Blowfish,Rivest Cipher 4 (RC4),RC5和CAST-128。9.2.2 公鑰密碼體制公鑰密碼體制使用不同的加密密鑰與解密密鑰,是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。 公鑰密碼體制的產生主要是因為兩個方面的原因,一是由于常規(guī)密鑰密碼體制的密鑰分配問題,另一是由于對數(shù)字簽名的需求。現(xiàn)有最著名的公鑰密碼體制是RSA 體制,它基于數(shù)論中大數(shù)分解問題的體制,由美國三位科學家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式發(fā)表的。加密密鑰與解密密鑰 在公鑰密碼體制中,加密密鑰(即公鑰) PK 是公開信息,而解密密鑰(即私鑰或秘鑰) SK 是需要保密的。加密算法 E 和解密算法 D 也都是公開的。雖然秘鑰 SK 是由公鑰 PK 決定的,但卻不能根據(jù) PK 計算出 SK。 應當注意 任何加密方法的安全性取決于密鑰的長度,以及攻破密文所需的計算量。在這方面,公鑰密碼體制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。 由于目前公鑰加密算法的開銷較大,在可見的將來還看不出來要放棄傳統(tǒng)的加密方法。公鑰還需要密鑰分配協(xié)議,具體的分配過程并不比采用傳統(tǒng)加密方法時更簡單。 公鑰算法的特點 發(fā)送者

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論