計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章

以前，我總控制不住自己的嘴巴，一直吃零食，就因?yàn)檫@樣，中藥也跟我形影不離了。只要一有零食，我就會一把奪過在沙發(fā)上津津有味地吃起來。可過幾天，我就會咳嗽起來。就連在幼兒園里，媽媽也不忘送中藥過來，這也不是一次兩次的事兒了。我恨透了中藥，只要它在，我碰一下零食都不行。我討厭喝中藥。雖然媽媽說這是最后一碗作文，但最后一次也還是得去面對。我很不情愿地跟媽媽來到桌前，噘著嘴巴，生氣地盯著眼前的中藥，一臉的不服從。媽媽又開始催我喝藥了，而我心想：都是最后一次了，還不如痛痛快快地干了。我把碗端起來喝得一干二凈，心里默默地說：再見了，中藥！但愿這是我最后一次喝中藥了，我以后一定要管住我這張貪吃的嘴巴，徹底地跟中藥說再見！計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章以前，我總控制不住自己的嘴巴，一直吃零食，就因?yàn)檫@樣，中藥也跟我形影不離了。只要一有零食，我就會一把奪過在沙發(fā)上津津有味地吃起來?？蛇^幾天，我就會咳嗽起來。就連在幼兒園里，媽媽也不忘送中藥過來，這也不是一次兩次的事兒了。我恨透了中藥，只要它在，我碰一下零食都不行。我討厭喝中藥。雖然媽媽說這是最后一碗作文，但最后一次也還是得去面對。我很不情愿地跟媽媽來到桌前，噘著嘴巴，生氣地盯著眼前的中藥，一臉的不服從。媽媽又開始催我喝藥了，而我心想：都是最后一次了，還不如痛痛快快地干了。我把碗端起來喝得一干二凈，心里默默地說：再見了，中藥！但愿這是我最后一次喝中藥了，我以后一定要管住我這張貪吃的嘴巴，徹底地跟中藥說再見！主要內(nèi)容9.1網(wǎng)絡(luò)安全概述9.2密碼學(xué)9.3防火墻技術(shù)9.4計(jì)算機(jī)病毒與木馬防治計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第1頁。主要內(nèi)容9.1網(wǎng)絡(luò)安全概述9.2密碼學(xué)9.3防火墻技術(shù)9.4計(jì)算機(jī)病毒與木馬防治計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第2頁。9.1網(wǎng)絡(luò)安全概述9.1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅9.1.2網(wǎng)絡(luò)安全服務(wù)9.1.3網(wǎng)絡(luò)安全機(jī)制9.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第3頁。9.1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅(1)偽裝(2)非法連接(3)非授權(quán)訪問(4)拒絕服務(wù)(5)抵賴(6)信息泄露(7)通信量分析(8)無效的信息流(9)篡改或破壞數(shù)據(jù)(10)推斷或演繹信息(11)非法篡改程序計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第4頁。9.1.2網(wǎng)絡(luò)安全服務(wù)ISO描述了在OSI參考模型下進(jìn)行安全通信所必須提供的5種安全服務(wù)鑒別服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)防抵賴服務(wù)-數(shù)字簽名計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第5頁。9.1.3網(wǎng)絡(luò)安全機(jī)制加密機(jī)制數(shù)字簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制認(rèn)證（鑒別）機(jī)制通信業(yè)務(wù)填充機(jī)制路由選擇控制機(jī)制公證機(jī)制計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第6頁。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第7頁。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第8頁。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第9頁。9.2.1密碼技術(shù)概述密碼學(xué)（Cryptography）一詞來源于希臘語中的短語“secretwriting(秘密的書寫)”。古希臘人使用一根叫做scytale的棍子來加密。送信人先在棍子上呈螺旋式繞一張紙條，然后把信息豎寫在紙條上，收信人如果不知道棍子的直徑，就不能正確地恢復(fù)信息。密碼學(xué)包括密碼編碼學(xué)與密碼分析學(xué)。人們利用加密算法和密鑰來對信息編碼進(jìn)行隱藏，而密碼分析學(xué)則試圖破解算法和密鑰。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第10頁。9.2.2對稱密碼對稱加密的基本概念典型的對稱加密算法計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第11頁。對稱加密的基本概念對稱加密技術(shù)對信息的加密與解密都使用相同的密鑰，因此又被稱為密鑰密碼技術(shù)。由于在對稱加密體系中加密方和解密方使用相同的密鑰，系統(tǒng)的保密性主要取決于密鑰的安全性。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第12頁。典型的對稱加密算法數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）是典型的對稱加密算法，它是由IBM公司提出，于1977年被美國政府采用。DES是一種對二元數(shù)據(jù)進(jìn)行加密的算法。明文按64位數(shù)據(jù)塊的單位被加密，生成64位密文。DES算法帶一個56位密鑰作為參數(shù)。DES的整個體制是公開的，系統(tǒng)的安全性完全依賴于密鑰的保密。已經(jīng)有一些比DES算法更安全的對稱加密算法，如IDEA算法、RC2算法、RC4算法與Skipjack算法等。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第13頁。DES算法的執(zhí)行過程計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第14頁。9.2.3非對稱密碼非對稱加密的基本概念非對稱加密的標(biāo)準(zhǔn)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第15頁。非對稱加密的基本概念非對稱加密技術(shù)對信息的加密與解密采用不同的密鑰，用來加密的密鑰是可以公開的，用來解密的私鑰是需要保密的，因此又被稱為公鑰加密（PublicKeyEncryption）技術(shù)。非對稱加密的產(chǎn)生主要因?yàn)閮蓚€方面的原因，一是由于對稱密碼的密鑰分配問題，另一個是對數(shù)字簽名的需求。非對稱加密技術(shù)與對稱加密技術(shù)相比，其優(yōu)勢在于不需要共享通用的密鑰，用于解密的密鑰不需要發(fā)往任何地方，公鑰在傳遞和發(fā)布過程中即使被截獲，由于沒有與公鑰相匹配的私鑰，截獲的公鑰對入侵者也就沒有太大意義。公鑰加密技術(shù)的主要缺點(diǎn)是加密算法復(fù)雜，加密與解密的速度比較慢。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第16頁。非對稱加密的標(biāo)準(zhǔn)目前，主要的公鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法等。

1978年由Rivest、Shamir和Adleman提出RSA體制被認(rèn)為是目前為止理論最為成熟的一種公鑰密碼體制，多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面。1985年，ElGamal構(gòu)造一種基于離散對數(shù)的公鑰密碼體制，這就是ElGamal公鑰體制。許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie-Hellman密鑰交換、數(shù)據(jù)簽名標(biāo)準(zhǔn)DSS、橢圓曲線密碼等。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第17頁。9.2.4數(shù)字簽名技術(shù)數(shù)字簽名技術(shù)的基本概念數(shù)字簽名的工作原理數(shù)字簽名的具體工作過程計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第18頁。數(shù)字簽名技術(shù)的基本概念數(shù)字簽名是在網(wǎng)絡(luò)環(huán)境中模擬日常生活中的親筆簽名以保證文件或資料真實(shí)性的一種方法。數(shù)字簽名將信息發(fā)送人的身份與信息傳送結(jié)合起來，可以保證信息在傳輸過程中的完整性，并提供信息發(fā)送者的身份驗(yàn)證，以防止信息發(fā)送者抵賴行為的發(fā)生。利用非對稱加密算法（例如RSA算法）進(jìn)行數(shù)字簽名是最常用的方法。數(shù)字簽名需要實(shí)現(xiàn)以下3項(xiàng)功能。(1)接收方可以核對發(fā)送方對報(bào)文的簽名，以確定對方的身份。(2)接收方在發(fā)送報(bào)文之后無法對發(fā)送的報(bào)文及簽名抵賴。(3)接收方無法偽造發(fā)送方的簽名。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第19頁。數(shù)字簽名的工作原理數(shù)字簽名使用兩對公開密鑰的加密/解密的密鑰計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第20頁。數(shù)字簽名的具體工作過程(1)發(fā)送方使用單向散列函數(shù)對要發(fā)送的信息進(jìn)行運(yùn)算，生成信息摘要。(2)發(fā)送方使用自己的私鑰，利用非對稱加密算法，對生成的信息摘要進(jìn)行數(shù)字簽名。(3)發(fā)送方通過網(wǎng)絡(luò)將信息本身和已進(jìn)行數(shù)字簽名的信息摘要發(fā)送給接收方。(4)接收方使用與發(fā)送方相同的單向散列函數(shù)，對接收到的信息進(jìn)行運(yùn)算，重新生成信息摘要。(5)接收方使用發(fā)送方的公鑰對接收的信息摘要進(jìn)行解密。(6)將解密的信息摘要與重新生成的信息摘要進(jìn)行比較，以判斷信息在發(fā)送過程中是否被篡改過計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第21頁。9.3防火墻技術(shù)9.3.1防火墻的概念9.3.2實(shí)現(xiàn)防火墻的技術(shù)9.3.3防火墻的體系結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第22頁。9.3.1防火墻的概念防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部網(wǎng)絡(luò)受到外部非法用戶的攻擊。防火墻的位置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第23頁。9.3.1防火墻的概念（續(xù)）防火墻的主要功能(1)檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。(2)檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。(3)執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過。(4)具有防攻擊能力，保證自身的安全性。防火墻只是一種整體安全防范策略的一部分。防火墻不能防范不經(jīng)由防火墻的攻擊。防火墻不能防止感染了病毒的軟件或文件的傳輸防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第24頁。9.3.2實(shí)現(xiàn)防火墻的技術(shù)實(shí)現(xiàn)防火墻的技術(shù)大體上分為兩類：一類作用于網(wǎng)絡(luò)層之上，保護(hù)整個網(wǎng)絡(luò)不受非法用戶的侵入，這類防火墻可以通過包過濾技術(shù)實(shí)現(xiàn)；另一類作用于應(yīng)用層之上，控制對應(yīng)用層的訪問。包過濾技術(shù)應(yīng)用層網(wǎng)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第25頁。包過濾技術(shù)包過濾技術(shù)是基于路由器技術(shù)的普通的路由器只對分組的網(wǎng)絡(luò)層包頭進(jìn)行處理，而包過濾路由器通過系統(tǒng)內(nèi)部設(shè)置的包過濾規(guī)則（即訪問控制表），檢查TCP報(bào)頭的端口號字節(jié)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第26頁。包過濾規(guī)則舉例包過濾規(guī)則一般是基于部分或全部報(bào)頭的內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第27頁。包過濾的流程圖包過濾路由器會對所有收到的分組按照每一條規(guī)則加以判斷凡是符合包轉(zhuǎn)發(fā)規(guī)則的被轉(zhuǎn)發(fā)不符合包轉(zhuǎn)發(fā)規(guī)則的包被丟棄。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第28頁。應(yīng)用層網(wǎng)關(guān)作用于應(yīng)用層的防火墻技術(shù)稱為應(yīng)用層網(wǎng)關(guān)，應(yīng)用層網(wǎng)關(guān)控制對應(yīng)用層的訪問。應(yīng)用層網(wǎng)關(guān)通過應(yīng)用程序訪問控制允許或禁止對某些程序的訪問。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第29頁。9.3.3防火墻的體系結(jié)構(gòu)在防火墻與網(wǎng)絡(luò)的配置上，有以下3種典型結(jié)構(gòu)：雙宿/多宿主機(jī)模式屏蔽主機(jī)模式屏蔽子網(wǎng)模式堡壘主機(jī)是一種配置了較為全面的安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，從網(wǎng)絡(luò)安全上來看，堡壘主機(jī)是防火墻管理員認(rèn)為最強(qiáng)壯的系統(tǒng)。通常情況下，堡壘主機(jī)可作為應(yīng)用層網(wǎng)關(guān)的平臺。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第30頁。雙宿/多宿主機(jī)防火墻又稱為雙宿/多宿網(wǎng)關(guān)防火墻它是一種擁有兩個或多個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺裝有兩塊或多網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連這種防火墻的特點(diǎn)是主機(jī)的路由功能是被禁止的，兩個網(wǎng)絡(luò)之間的通信通過應(yīng)用層代理服務(wù)來實(shí)現(xiàn)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第31頁。屏蔽主機(jī)模式由包過濾路由器和堡壘主機(jī)組成堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)置過濾規(guī)則，并使這個堡壘主機(jī)成為外部網(wǎng)絡(luò)唯一可以直接到達(dá)的主機(jī)，這保證了內(nèi)部網(wǎng)絡(luò)不被未經(jīng)授權(quán)的外部用戶攻擊。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第32頁。屏蔽子網(wǎng)模式采用了兩個包過濾路由器和一個堡壘主機(jī)在內(nèi)外網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng)，定義為“非軍事區(qū)”網(wǎng)絡(luò)。將堡壘主機(jī)、WWW服務(wù)器、E-mail服務(wù)器等公用的服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第33頁。9.4計(jì)算機(jī)病毒與木馬防治9.4.1計(jì)算機(jī)病毒9.4.2特洛伊木馬計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第34頁。9.4.1計(jì)算機(jī)病毒編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的預(yù)防計(jì)算機(jī)病毒的清除計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第35頁。計(jì)算機(jī)病毒的特點(diǎn)傳染性破壞性隱蔽性潛伏性計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第36頁。計(jì)算機(jī)病毒的分類引導(dǎo)型病毒文件型病毒網(wǎng)絡(luò)病毒計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第37頁。計(jì)算機(jī)病毒的預(yù)防管理上的預(yù)防管理人員充分認(rèn)識計(jì)算機(jī)病毒對計(jì)算機(jī)的危害性，制定完善的使用計(jì)算機(jī)的管理制度。用技術(shù)手段預(yù)防這是指采用一定的技術(shù)措施預(yù)防計(jì)算機(jī)病毒，如使用查殺毒軟件、防火墻軟件，一旦發(fā)現(xiàn)病毒及時向用戶發(fā)出警報(bào)等。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章全文共44頁，當(dāng)前為第38頁。計(jì)算機(jī)病毒的清除最佳的解決辦法就是用殺毒軟件對計(jì)算機(jī)進(jìn)行一次全面地清查。目前我國病毒的清查技術(shù)已經(jīng)成熟，已出現(xiàn)一些世界領(lǐng)先水平的殺毒軟件，如瑞星殺毒軟件、KV3000、KILL2000、金山毒霸等。計(jì)算