計算機(jī)網(wǎng)絡(luò)-9第九章計算機(jī)

第9章計算?概數(shù)據(jù)加密密鑰分配鏈路加密與端到端加因特網(wǎng)的安全體系結(jié)技檢計算 計算9.1概網(wǎng)絡(luò)的不安全網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)協(xié)議本身的安全缺陷。例如：如協(xié)議的口令傳輸采用明文，很容易被竊取采用的，性不強(qiáng)某些協(xié)議存在安全網(wǎng)絡(luò)的開放性給互聯(lián)帶來方便，但開放性容 者利用成為網(wǎng)絡(luò)的工具9.1概述——1.網(wǎng)絡(luò)的不安全因外部因主要來自故意，其分為和主動兩種者，只對信息進(jìn)行，而不干擾信息源，如偷聽、監(jiān)視、查詢以及通信量分析（者通過對信息的流向、流量、通信頻度用信息。）等。9.1概述——1.網(wǎng)絡(luò)的不安全因外部因主動是指者對信息進(jìn)行篡改、刪除破，企圖建立新的連接，有用信息；或者延遲或以前的信息，使之報文服務(wù)；甚至干擾、破壞整個系統(tǒng)的正常運(yùn)行9.1概述——1.網(wǎng)絡(luò)的不安全因主要對對：通常檢測不出來，但可采用各種數(shù)據(jù)密技術(shù)對付對主動：采取適當(dāng)措施檢測，并加密、鑒別反拒認(rèn)和完整性技術(shù)結(jié)合起來對付。9.1概計算機(jī)的目檢測報文服務(wù)，檢測連接。計算 9.1概計算機(jī)的主要內(nèi)為用戶提供安全可靠的通信。例如，存取以及數(shù)字簽名設(shè)計等都離不開機(jī)制。設(shè)計安全的協(xié)議實(shí)施存取控制或控制，對網(wǎng)絡(luò)的權(quán)限計算 第9章計算概 9.2據(jù)加密密鑰分配鏈路加密與端到端加因特網(wǎng)的安全體系結(jié)技檢計算 數(shù)據(jù)加密技基本概要加密的信

上圖中，E、D是數(shù)學(xué)函數(shù)，如果不論截取者獲得了多的明文，則稱這一體制為無條件安全的。計算 計算9.2——1.常規(guī)密鑰體制——對稱密鑰體制（加密的密鑰相同替代和置數(shù)據(jù)加密標(biāo)準(zhǔn)國際數(shù)據(jù)加密算法公開密鑰體制——非對稱密鑰體制（加密和密的密鑰不相同9.2技常規(guī)密鑰體替代和置換、數(shù)據(jù)加密標(biāo)準(zhǔn)DES、國際數(shù)加密算法替代與置對于替代，每個字符都用字符表中向右移動順序保持不變，都左移3個字符，即密鑰為3。明文ACD…WXYZ密文dfq…zabc置換，是按某一規(guī)則重新排列明文中字(或比特)的順序。9.2據(jù)9.2據(jù)加密技術(shù)——2.計算例如，在發(fā)送方以CHINA在字母表中的順序作為密鑰，將明文按個字符為一組寫在密鑰下，如：密CHINA順23451明abcackIgnsaftuobzmw密文：替代和置換兩種均容易破譯，一作為復(fù)雜編碼過程中的中間步驟從得到的密文序列的結(jié)構(gòu)來分體制有兩種，即序序列序列體制是將明文X看成是連續(xù)的比特流或字符流)x1x2…，在發(fā)端用密鑰序列K=K1K2…中的第i個元素Ki對明文中的i進(jìn)行加密。EK(X)=EK1(x1)K2(x2)…計算9.2數(shù)據(jù)加密技術(shù)——2.常規(guī)密 體分組n的控制下按組進(jìn)行加密。最有名的是數(shù)據(jù)加密標(biāo)準(zhǔn)DES和國際數(shù)據(jù)加密算法計算9.2數(shù)據(jù)加密技術(shù)——2.常規(guī)密 體數(shù)據(jù)加密標(biāo)準(zhǔn)DE是IBM公司于1971年至1972年研制成功的，1977年被定為信息標(biāo)準(zhǔn)，ISO也將DE作為數(shù)據(jù)加密標(biāo)準(zhǔn)。DES屬于常規(guī)密鑰體制，也是一種分組。DE使用6位密鑰除去8位奇偶校驗(yàn)，實(shí)際密鑰長為56位)對64位二進(jìn)制數(shù)加密，經(jīng)過16輪的迭代、乘積、變換、壓縮變換等處理，產(chǎn)生4位密文數(shù)據(jù)。9.2據(jù)9.2據(jù)加密技術(shù)——2.計算初始左初始左右各32加密方程Ri=Li-1⊕f(Ri-Ki為48位密⊕為模2加運(yùn)f是一個復(fù)雜的換函對初的逆變其中：函數(shù)f是一個非常復(fù)雜的變換，變換SS變換函擴(kuò)展序P置加密KiKi64位，運(yùn)算16計算9.2數(shù)據(jù)加密技術(shù)——2.常規(guī)密 體數(shù)據(jù)加密標(biāo)準(zhǔn)DES的過程和加密過程是用同一算法和同一個函數(shù)，但密鑰的生成順序正好相反，即（16,15,…,1）。由于該算法既可用于加密，又可用于，因此，可方便的用硬件或來實(shí)現(xiàn)DES。DES的性完全取決于對密鑰的，而算法是計算9.2數(shù)據(jù)加密技術(shù)——2.常規(guī)密 體DES是世界上第一個公認(rèn)的實(shí)用算法標(biāo)準(zhǔn)。缺點(diǎn)是：DE的密鑰長度（56位）短，影響了它的強(qiáng)度DES，并于1985年成為的一個加密標(biāo)準(zhǔn)。三DES使用兩個密鑰，對明文執(zhí)行3次DES算法。9.2據(jù)9.2據(jù)加密技術(shù)——2.計算國際數(shù)據(jù)加密算法國際數(shù)據(jù)加密算法（ntnationaldatanytionalgorith，）是在DES算法的基礎(chǔ)上發(fā)展起來的，在常規(guī)密鑰體制中最為著名IDEA采用128比特密鑰，因而更加不容易被攻破。類似于DESIDEA也是先將明文劃分成一個個64長的數(shù)據(jù)分組，然后經(jīng)過8次迭代和一次變換，得到64比特密文。對于每一次迭代，每一個輸出比特都與每一個輸入比特有關(guān)。（3）國際數(shù)據(jù)加密算法1百萬次，則破譯時間為5.×018年。顯然128比特的密鑰是安全的。計算9.2技公開密鑰體公開密鑰體制是指加密密鑰(即公開密鑰)PK開信息，加密算法和算法也都是公開的，而解密密鑰(即密鑰)SK是的。雖然SK是由PK決定的，但卻不能根據(jù)PK計算出SK，即不能逆向推出。9.2據(jù)9.2據(jù)加密技術(shù)——3.計算公開密鑰算法的特加密密鑰K對明文X加密后，再用密鑰S解密即得明文，即SK(PK(X))=X。而且，加密和解密的運(yùn)算可以對調(diào)，即EPK(DSK(X))=X;加密密鑰不能用來，即在計算機(jī)上可以很容易地產(chǎn)生成對的PK和SK從已知的K不可能推導(dǎo)出S。存在問題。若由A端產(chǎn)生一對密鑰，則要由AB端，不僅送達(dá)過程是非常脆弱的，而且容易引起糾紛；若由第產(chǎn)生一對密鑰，也存在密鑰分配鑰，則無密可言。措施①為通信的雙方各生成一對密鑰——PKA、SKA、PB、B，將KAPB稱為公開密鑰(簡稱公鑰)，將SKA、SKB稱為私有密鑰(簡稱私鑰)；掌握自己的私鑰和對方的公鑰；9.2數(shù)據(jù)加密技術(shù)——3.公開密 體③設(shè)A為發(fā)送方，B為接收方，加密／過程A端先用自己的私鑰SKA對報文進(jìn)行單向不可逆變換A端用B端的公鑰PKB，對經(jīng)過簽名變換的文本進(jìn)行加密，生成密文EPKB(DSKA(X))傳向B方B端收到密文EPKB(DSKA(X))，先用其私鑰SKB進(jìn)行，生成SKA(X，接著再用A端的公鑰KA進(jìn)行變換，便可得到明文X。計算 計算數(shù)據(jù)加密技術(shù)——3.公開密 體RSA體在公開密鑰體制中，應(yīng)用得最多的是RSA體制，出的，曾被ISO/TC97的數(shù)據(jù)加密技術(shù)SC20推RSA是基于數(shù)論原理。根據(jù)尋求兩個大素數(shù)容易，而將它們的乘積分解開則極其這一原理來設(shè)計的。每個用戶有加密密鑰PK=(e,N)和密鑰用戶把加密密鑰PK公開而對密鑰中的d。其中N為兩個大素數(shù)pq的乘積pq一般為100位以上的十進(jìn)制素數(shù))，雖然e和d滿足一定的關(guān)系，但不能根據(jù)已知的e和N求出d。體制——(3)RSA體制——(3)RSA體公開計算密鑰確定過用戶選擇兩個大素數(shù)p和q，計算出N=pq,將公開計算N的函數(shù)Φ(N)=(p-1)(q-1)，定義為小于等于N且與N互素的數(shù)的個數(shù)用戶從［0,Φ(N)-1］中任選一個與Φ(N)數(shù)e作為公開的加密指數(shù)；計算出滿足下式的ed=1mod作為指數(shù)，從而產(chǎn)生了所需要的公開密鑰 密鑰SK加密、過X落在0<X<區(qū)段內(nèi)，即明文分成k比特，滿足2<N。則加密、算法為：加密：Y=Xemod：X=YdmodRSA特加密性例如，用每一微秒做一次操作的計算機(jī)，分計算數(shù)據(jù)加密技術(shù)——3.公開密 體DES和RSA的結(jié)合使RS問題，而DES加密速度快，適合加密較長報文，但有密鑰分配問題。若將二者結(jié)合使用，即用DES加密明文，用RSA加密密鑰，則可互補(bǔ)。增強(qiáng)郵件協(xié)議，就是這樣做的，已成為通信標(biāo)準(zhǔn)。計算數(shù)據(jù)加密技數(shù)字簽：接收者一份來自發(fā)送者的文件；冒充：網(wǎng)絡(luò)中某一用戶冒充發(fā)送者或接收者數(shù)據(jù)數(shù)據(jù)加密技——4.數(shù)字簽名(digitalsignature)是一種信息認(rèn)證技術(shù)它利用數(shù)據(jù)加密技術(shù)、數(shù)據(jù)變換技術(shù)，根據(jù)某種協(xié)以保證文件的真實(shí)性和有效性的數(shù)字技術(shù)，同時也可用來核實(shí)接收者是否有、篡改行為。數(shù)據(jù)簽名目的是反拒認(rèn)，因而必須做到者事后不能抵賴；接收者不能對報文的簽名計算 數(shù)據(jù)數(shù)據(jù)加密技——4.計算數(shù)據(jù)簽名的主要方法有基于公開密鑰的數(shù)字簽基于密鑰的數(shù)字簽報文鑒基于公開密鑰的數(shù)字簽簽發(fā)送者A用其密鑰SKA和算法D對報文X運(yùn)算，將結(jié)果SKA(X傳給接收者。用已知的A的公開加密密鑰PKA和加密算法E得出EPKA(DSKA(X))=X。由于的密鑰SA有A知道，所以除外無人能產(chǎn)生密文SKA(X)A簽名了。計算——4.鑒假設(shè)A要抵賴曾發(fā)報文X給B，B可將X及DSA(X)出示給第三者。第三者很容易用PKA去證實(shí)確實(shí)發(fā)給B。反之，若是BX成X′，則不敢在第三者前出示DSKA(X′。這樣就證明了B了報文。由過程可知，實(shí)現(xiàn)數(shù)字簽名也同時實(shí)現(xiàn)了對報文來源鑒別。但是，對傳送的報文X本身卻未因?yàn)椋仓腊l(fā)送者的人，通過查閱手冊便可獲得發(fā)送者的公開密鑰PKA,只要截到密文DSKA(X)，就能夠理解電文內(nèi)容。數(shù)據(jù)數(shù)據(jù)加密技——4.計算為了同時實(shí)現(xiàn)數(shù)字簽名和通信，可以采用下圖所示的方法?；诿荑€的數(shù)字簽通信雙方尋求一個可以共同信任和依賴的第方，就可以實(shí)現(xiàn)基于密鑰的數(shù)字簽名 ，擁有密擁有密鑰 擁有密鑰簽名過程：假設(shè)第為BB，A方的密鑰為KA，B方的密鑰為KB，則只有A和BB知道KA，B和BB知道KB。A發(fā)送KA(X)到②BB用KA將KA(X)為X，然后將A的名字和地址A時間t及原報文X構(gòu)造成新的報文，用A和B的密鑰KBB生成密文KBB(A+t+X)送回A轉(zhuǎn)手將KBB(A+t+X)發(fā)給④B無法對KBB(A+t+X)，再將其傳給⑤BB將KBB(A+t+X)，與原來的文本比較，證無誤后，用KB生成KB(A+t+X)傳給B；B用KB將之常用MD5報要算報文使用報文鑒別碼（messageauthenticationcode，MD5報要算發(fā)送端先將可變長的報文M輸入單向散列函數(shù)H，得固定長度的報要：MD=H(M)然后用密鑰K對H(M)加密得報要的密文EK(H(M))，接收端對收到的報文M重新計算報要，并用密鑰K對收到的報要密文EK(H(M))還原為報要由于報要H（M）定長且比報文M短，因此，其加密比對M加密簡單得多，而效果相散列函數(shù)H必須滿足以下條件論用硬件還是實(shí)現(xiàn)；對任何給定的報要md，不可能找到一個報文x，得H(x)=md，即散列函數(shù)的逆運(yùn)算H-1(mdx對任何給定的報文x，找出另一報文y≠x，但H(x)，在計算上是不可行的MD5報要算法已在因特網(wǎng)上廣泛應(yīng)用。MD5算法可對意長的報文進(jìn)行運(yùn)算，得到128比特的報要代碼第9章計算概?數(shù)據(jù)加密密鑰分配鏈路加密與端到端加因特網(wǎng)的安全體系結(jié)技檢計算 計算密鑰分配協(xié)網(wǎng)絡(luò)的安全性取決于密鑰的性，如何通過安全的通道對密鑰進(jìn)行分配是要解決的主要問題。采用網(wǎng)內(nèi)自動分配密鑰，常用方法：用一個密鑰來分配其他通過KDC來分配密計算密鑰分配協(xié)用一個密鑰來分配其他密該方法是DES的密鑰分配方法，但適合于任何密鑰基本思該方法有兩種密鑰，即主密鑰(MK)和會話密鑰(SK)，主鑰只用來加密會話密鑰。主密鑰不需頻繁更換示例假設(shè)用戶A已與用戶B首先A與B協(xié)商好共同的主密鑰KAB通信結(jié)束，A和B銷毀SK計算密鑰分配協(xié)議－用一個密鑰來分配其他密特對稱的密鑰分配協(xié)議無論是A或B都可請求會話和選取一個密鑰或終止使用一個密鑰、更換一個新密鑰。主密鑰KAB必須精心保護(hù)但當(dāng)用戶很多時，對多個主密鑰的是很的。而且，當(dāng)一個解決辦采用高度安全的密鑰分配中心(KDC)通過KDC來分配計算密鑰分配協(xié)通過KDC來分配密用KDC來分配常規(guī)密密鑰分配分為3申請會話密鑰

由于KDC可以為每對用戶的每次通信產(chǎn)生一個新的會話密鑰，從而使得破譯密文更加 。9.39.3鑰分配協(xié)議——通過KDC計算用KDC來管理和分配公開密

密密鑰(PKKDC,SKKDC個用戶在通信之前先

Token Token兩種的比

明的范不時間戳的有效不KDC的作用不第9章計算概數(shù)據(jù)加密密鑰分配 9.4路加密與端到端加因特網(wǎng)的安全體系結(jié)技檢計算 鏈鏈路加密與端到端加對于面向連接的網(wǎng)絡(luò)，需要對傳輸數(shù)據(jù)進(jìn)行加密，實(shí)現(xiàn)通信安全的加密策略，一般有兩種：鏈路加端到端加計算 鏈鏈路加密與端到端加計算1、鏈路加密。為了避免一條鏈路受到破壞導(dǎo)致其他鏈傳送的信息被析出，各條鏈路使用不同的加密密鑰加密算法通常采用序列計算鏈路加密與端到端加密——鏈路加優(yōu)點(diǎn)密鑰管理易實(shí)現(xiàn)。相鄰結(jié)點(diǎn)之間具有相同密鑰缺點(diǎn)報文的形式在各結(jié)點(diǎn)加密，在結(jié)點(diǎn)PDU加密會造成無法確定接收者和發(fā)送者計算2端到端加密是在源、目結(jié)點(diǎn)中對傳送的PDU進(jìn)行加密和。鏈路加密與端到端加密——端到端加優(yōu)點(diǎn)中間結(jié)點(diǎn)的不可靠不會更容易適應(yīng)不同用戶的要求。加密可以在層或以上各層來實(shí)現(xiàn)既可適用于互聯(lián)網(wǎng)環(huán)境，又可適用于廣播網(wǎng)缺點(diǎn)易受到通信量分析的。因?yàn)镻DU的控制信（如源、目的結(jié)點(diǎn)地址、路由信息等）加密，否則中間結(jié)點(diǎn)就不能正確選擇路由。將兩種加密方法結(jié)合使用，用鏈路加密來加密PDU的目的地址，用端到端加密來加密數(shù)據(jù)。計算 第9章計算機(jī)9.1概數(shù)據(jù)加密密鑰分配鏈路加密與端到端加 9.5特網(wǎng)的安全體系結(jié)9.6技9.7檢計算 計算安全關(guān)TCP/IP協(xié)議具有開放性，但對安全性考慮較少。例如，缺乏數(shù)據(jù)傳輸?shù)耐暾院托员Ｗo(hù)機(jī)制，缺乏對通信雙方的鑒別能力等。為此IETF成立了因特網(wǎng)安全協(xié)議工作組，負(fù)責(zé)P安全協(xié)議和密鑰管理機(jī)制的制定。全體系結(jié)構(gòu)，總稱IPSec(IPsecurityprotocol)。9.59.5因特網(wǎng)的安全體系結(jié)構(gòu)－安全關(guān)計算主要安全標(biāo)準(zhǔn)有IP安全體系結(jié)構(gòu)IP鑒別首部協(xié)議封裝安全凈負(fù)荷因特網(wǎng)密鑰交換IP安全特征是通過IP的擴(kuò)展鑒別首部（authenticationheader，AH）：為進(jìn)行封裝安全凈負(fù)荷（encapsulatingsecurity安全關(guān)安全關(guān)聯(lián)（securityassociation，SA）是IPsec的基別首部實(shí)現(xiàn)時需要加密算法（ESP首部實(shí)現(xiàn)時需要抗重 的序列號與安全關(guān)聯(lián)有關(guān)的兩個數(shù)據(jù)安全策略數(shù)據(jù)庫SPD:SPD根據(jù)IP數(shù)據(jù)報的源地址、目的地址、IP數(shù)據(jù)報是入站還是出站，確定對IP數(shù)據(jù)報的安全服務(wù)，是采用還是繞開IPSec處理；安全關(guān)聯(lián)數(shù)據(jù)庫SAD：SAD聯(lián)SA的參數(shù)。安全關(guān)聯(lián)數(shù)據(jù)庫SAD和安全策略數(shù)據(jù)庫SPD的應(yīng)對于出站的I數(shù)據(jù)報，IPSec先查詢SPD，確定對該數(shù)據(jù)該使用的安全策略。如果查到安全策略是使用IPSec進(jìn)行處理，則繼續(xù)查詢SAD，取出SA的參數(shù)，將數(shù)據(jù)報封裝后發(fā)送出去。對于入站的IP數(shù)據(jù)報，IPSec先查詢SAD，取出應(yīng)該使用的A參數(shù)，然后對數(shù)據(jù)報進(jìn)行解封還原。再查詢SPD全策略相符。若與安全策略相符，則將還原后的數(shù)據(jù)報發(fā)送出去；否則將數(shù)據(jù)報丟棄，并記錄出錯信息。鑒別首部（AH）協(xié)議支持IP鑒別，提供可選的抗重播服務(wù)。

長比特 長下一個首

鑒別數(shù)為32比特字的整算

9.59.5因特網(wǎng)的安全體系結(jié)構(gòu)－鑒別首部協(xié)計算AHAH可用于模式（transport-mode）和隧道模（tunnel-mode）AH模式只用在兩臺主機(jī)之間，實(shí)現(xiàn)端到端的安全，它在保護(hù)P數(shù)據(jù)報首部的同時，也保護(hù)上層協(xié)議數(shù)據(jù)單元。在這種模式下，AH位于IP數(shù)據(jù)報首部與上層協(xié)議數(shù)據(jù)單元之間或在其他已經(jīng)的IPSec首部之前。網(wǎng)關(guān)、終點(diǎn)網(wǎng)關(guān)地址。AH位于外部IP首部與IP數(shù)據(jù)報之間（3）AH進(jìn)出站對IP數(shù)據(jù)報的出站（即源站）查找安全關(guān)聯(lián)SA，只有當(dāng)數(shù)據(jù)報與安全關(guān)聯(lián)計算完整性鑒別碼。需將I數(shù)據(jù)報容易變化的字段置為零，進(jìn)行MD填充，使整個生成MD5數(shù)據(jù)長度為512比特的整數(shù)倍。數(shù)據(jù)報分片進(jìn)站（即目的站）檢驗(yàn)封裝安全凈負(fù)荷ESP協(xié)一般地講，包括SPI和可能有的一些參數(shù)在內(nèi)的首部的前一部分是明文（即不加密），而首部的其余部分，如果有的話，在傳輸時為密文(即加密)使用ESP首部可以對IP數(shù)據(jù)報提供和數(shù)據(jù)完整性的支持。ESP可以工作在兩種模式：模式、隧道模式計算 9.59.5因特網(wǎng)的安全體系結(jié)構(gòu)－ESP協(xié)（1）模式ESP首部位于層報文的首部之前。對于IPv6，當(dāng)有模式ESP的操作如下源點(diǎn)，對ESP首部的后部分和整個TCP報文所構(gòu)成的數(shù)據(jù)進(jìn)行加密傳輸過程中，所有的路由器只檢查明文，查密文終點(diǎn)，先檢查明文，再根據(jù)ESP首部中的安全參數(shù)索引將密文部分進(jìn)行，并將層報文恢復(fù)成明文計算 9.59.5因特網(wǎng)的安全體系結(jié)構(gòu)－ESP協(xié)（2）隧道模式在隧道模式，為使路由器能進(jìn)行路由選擇，需要在IP前面加一個ESP首部和其他的IP首部，構(gòu)成一個外層數(shù)據(jù)報。再對ESP首部后一部分和內(nèi)層IP數(shù)據(jù)報進(jìn)行加密一般的應(yīng)用環(huán)境計計算9.59.5因特網(wǎng)的安全體系結(jié)構(gòu)－ESP協(xié)計算示設(shè)外部網(wǎng)絡(luò)主機(jī)HB與網(wǎng)絡(luò)的HA1通信。通信要經(jīng)過使用了加密隧道。HB向HA1發(fā)送一個層報文的主HB向HA1發(fā)送一個層報文的主要操作為HB產(chǎn)生要傳給HA1的IP報。再構(gòu)建一個外層IP首部的目的站地址為將外層IP數(shù)據(jù)報發(fā)往安全網(wǎng)關(guān)RA檢查外部IP數(shù)據(jù)報的首部，并根據(jù)ESP首部中的安全參數(shù)索引SPI，對后面的密文進(jìn)行，將內(nèi)層IP數(shù)據(jù)報恢復(fù)成明文，在網(wǎng)絡(luò)中傳送。IP數(shù)據(jù)報被傳送到目的站主機(jī)（可路由器）的若干網(wǎng)絡(luò)互聯(lián)起來，構(gòu)成一個虛擬網(wǎng)絡(luò).計算密鑰交換IKE協(xié)SA。Internet密鑰交換協(xié)議（internetkeyIKESA安全關(guān)聯(lián)數(shù)據(jù)庫SAD進(jìn)行，保障雙方通信的安全。第9章計算概數(shù)據(jù)加密密鑰分配鏈路加密與端到端加因特網(wǎng)的安全體系結(jié) 技 檢計算 概概念計算概

是位于兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)以 或硬件，或者兩者并用)，用來限制外部法 )用戶網(wǎng)絡(luò)資源和向部傳遞信息，而允許那 的數(shù)據(jù)通過技術(shù)分為網(wǎng)絡(luò)層和應(yīng)用層兩類。分別應(yīng)用于濾器，應(yīng)用層網(wǎng)關(guān)與電路層網(wǎng)關(guān)網(wǎng)絡(luò)層網(wǎng)絡(luò)層保護(hù)整個網(wǎng)絡(luò)不受，其典型技術(shù)IP協(xié)議類型IP源地址IP目標(biāo)地址IP可選字段的內(nèi)TCP源端TCP目的端TCP確認(rèn)號——概念達(dá)幾百條。使用分組過濾規(guī)則的路由器稱為篩選路由器。例如，存在下列兩條規(guī)則來篩選進(jìn)入分組，并用主機(jī)名來標(biāo)識本機(jī)和外部主機(jī)規(guī)則2：允許位于本機(jī)上的端口25連接至郵件網(wǎng)計計算概概所取信息與規(guī)則表中的規(guī)則進(jìn)行比較若分組來自HOST1，無論目的地址為何處都將其丟棄若分組不是來自HOST1而通過了規(guī)則，則檢查它是否SMTP-mail的主機(jī)，若是,就送至目的地(端口25),否則丟棄若前兩條規(guī)則都不滿足，則根據(jù)規(guī)則號3，丟棄該分組概概計算由于規(guī)則是順序執(zhí)行允許被后面規(guī) 的分組通過序?qū)τ嬎恪拍钊绻谝?guī)則12的基礎(chǔ)上，希望接收來自外部主機(jī)HOST2的分組，則必須在規(guī)則表1中規(guī)則號3的前面增加一條規(guī)則.計算——概目前多數(shù)路由器，既具有路由的功能，還具有篩選功能。它們采用列表的方法來決定是否允許某一IP分組，也可篩選發(fā)出分組。Router(config)#access-list50denyhostRouter(config)#access-list50denyRouter(config)#access-list50permitRouter#showaccess-list50Router#conftRouter(config)#intS0Router(config-if)#ipaccess-group50概概念計算應(yīng)用層網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)控制對應(yīng)用程序的，即允許用程序的。各個模塊相互無關(guān)。管理員通過配置控制表中的規(guī)則，決定內(nèi)、外部網(wǎng)應(yīng)用層網(wǎng)關(guān)是運(yùn)行服務(wù)器的計算機(jī)，通常叫做“保壘主機(jī)”(bastionhost)。由于它采用了一應(yīng)用層網(wǎng)關(guān)運(yùn)行的是一個安全的操作系除安裝模塊外，還安裝了用戶鑒別模塊，能對用戶進(jìn)行鑒別電路層網(wǎng)關(guān)一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)的連接，不做任何、過濾或net協(xié)議管理，就像電線一樣，只在連接和外部連接之間來回數(shù)據(jù)。當(dāng)對 用戶信任時，電路層網(wǎng)關(guān)常用于向外連接。這樣，堡壘主機(jī)可以被設(shè)置成混合網(wǎng)關(guān)，即對進(jìn)入的連接使用應(yīng)用層網(wǎng)關(guān)，而對于出去的連接使用電路層網(wǎng)關(guān)。使 既方便 用戶，又能保證 網(wǎng)絡(luò)免受外部 。計算技的配網(wǎng)絡(luò)層、應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)防火墻都是的基本部件。它們的不同組合和集成，會形成不同能力、不同類型的。分組(或?yàn)V路由雙宿主機(jī)過濾子網(wǎng)過濾的配的配計算分組(或?yàn)V路由R外部這種R外部程序，對用戶是透明 規(guī)則表隨應(yīng)用的深化會很快變得長而復(fù)雜，導(dǎo)致則難以測試，而且規(guī)則結(jié)構(gòu)出現(xiàn)的可能性也會增加依靠一個單一的部件來保護(hù)系統(tǒng)，一旦部件出現(xiàn) 提供日志，助于發(fā)現(xiàn)由于其是一臺主機(jī)，可以用于諸如驗(yàn)證服務(wù)器及服務(wù)器，使其具有多種功能DNS信息不會通過被保護(hù)系統(tǒng)傳到外界，所以統(tǒng)的名字和IP地址對因特網(wǎng)是隱蔽的每項(xiàng)服務(wù)必須使用專門設(shè)計的服務(wù)單一部件，該部件一旦出問題，將使受到危害主機(jī)過濾主機(jī)過濾由分組過濾路由器和應(yīng)用網(wǎng)關(guān)組成層安全。主機(jī)過濾配置靈活，而濾的規(guī)則較簡單計算9.6技術(shù)— 的配子網(wǎng)過濾子網(wǎng)過濾是在主機(jī)過濾配置上再加一個路關(guān)和分組過濾路由器共同構(gòu)成了整個的安全基礎(chǔ)。計算9.6技術(shù)— 的配非事外部抵擋外部的并管理所有網(wǎng)絡(luò)對DMZ的。管理DMZ對于網(wǎng)絡(luò)的訪問。是網(wǎng)絡(luò)的第二道安全防線。而局域網(wǎng)內(nèi)對于internet的由和位于非事第9章計算概數(shù)據(jù)加密密鑰分配鏈路加密與端到端加因特網(wǎng)的安全體系結(jié)技 檢計算 檢檢計算基本概檢測系統(tǒng)（intuiondtctionytm，DS）是繼、數(shù)據(jù)加密等保護(hù)措施后的新一代安全保障技術(shù)。是一種能夠及時發(fā)現(xiàn)并報告未或異常現(xiàn)象的系統(tǒng)。它既能識別和響應(yīng)網(wǎng)絡(luò)外部的行為，又能監(jiān)督用戶的未活動。通常檢測可以分為5類?；诰W(wǎng)絡(luò)的檢基于主機(jī)的檢檢測的分基于網(wǎng)絡(luò)的檢測（networknetworkID是最常用的一種檢測系統(tǒng)。主要網(wǎng)絡(luò)流量進(jìn)行，對可疑的異?；顒雍途哂刑卣鞯幕顒幼鞒龇磻?yīng)。它由器和管理工作站兩部分組成，器放在一個網(wǎng)段上，接收并本網(wǎng)段上的所有流量，分析其中的可疑成分，如果發(fā)現(xiàn)情況異常，便向管理工作站匯報，管理工作站收到后，將顯示通知操作員。計算檢測— 檢測的分（1）基于網(wǎng)絡(luò)的檢測（network優(yōu)點(diǎn)能夠檢測來自網(wǎng)絡(luò)的和的訪不需改變服務(wù)器等的位置，在主機(jī)上不需增由于網(wǎng)絡(luò)檢測系統(tǒng)不像路由器、串接于網(wǎng)絡(luò)中，而是“掛靠”在網(wǎng)絡(luò)上，不需變網(wǎng)絡(luò)結(jié)構(gòu)，因而不會成為網(wǎng)絡(luò)瓶頸。網(wǎng)絡(luò)行。檢測檢測的分計算基于網(wǎng)絡(luò)的檢測（network缺點(diǎn)限性。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，需要安裝器的地方會增多；基于網(wǎng)絡(luò)的檢測通常采用特征檢測法，雖然可以檢測出普通，但很難檢測一些需要大量計算與分析時間的；有些網(wǎng)絡(luò)檢測系統(tǒng)需要將大量的數(shù)據(jù)傳送到由器對進(jìn)行判斷和決策，雖然減少了量數(shù)據(jù)的傳輸，控制會成為狀態(tài)顯示與通信中心，但是減弱了協(xié)同工作能力?；谥鳈C(jī)的檢測（host基于主機(jī)的檢測系統(tǒng)，主要對本機(jī)的用戶、進(jìn)程、系統(tǒng)和事件日志進(jìn)行，檢測所有經(jīng)的使用系統(tǒng)等。能夠提供詳盡的相關(guān)分析、日志信息，如執(zhí)行令、運(yùn)行的程序、打開的文件等。在通常情況下誤報率較計算檢測— 檢測的分基于主機(jī)的檢測（host缺點(diǎn)主機(jī)檢測系統(tǒng)需要安裝在被保護(hù)的主機(jī)上，會降低系統(tǒng)效率。影響。 者可利用這些盲點(diǎn)達(dá)到目標(biāo)。計算檢測— 檢測的分基于應(yīng)用的檢測（application基于應(yīng)用的檢測系統(tǒng)是基于主機(jī)的檢測的一個特殊部件。它主要檢測應(yīng)用，例如，Web服務(wù)器和數(shù)據(jù)庫系統(tǒng)的安全等。應(yīng)用的交易日志文件是應(yīng)用 檢測系統(tǒng)常用的信息源。計算檢測— 檢測的分文件完整性檢查器（fileintegritycheckers）通過對關(guān)鍵文件進(jìn)行消息，并周期地檢查這些文件，可以發(fā)現(xiàn)文件變化。一旦發(fā)現(xiàn)文件變化會觸件完整性檢查器發(fā)出警報。系統(tǒng)管理員可提供即時檢查和。計計算檢測— 檢測的分密罐系密罐（honeypoted）的設(shè)計目標(biāo)是收集者的密罐系統(tǒng)就是誘騙系統(tǒng)，它是一個包含的系統(tǒng)，通過模擬一個或多個易受的主機(jī)，給黑客提供一個容易的目標(biāo)。主機(jī)的連接都是可能的途徑。密罐的另一個用途是拖延者對真正目標(biāo)的攻擊，讓者在密罐上浪費(fèi)時間，使真正有價值的內(nèi)容。計算9.7檢檢測方目前，檢測主要有3種方式：異常檢測、特征