《Internet技術(shù)與應(yīng)用教程第二版》第9章

第9章Internet網(wǎng)絡(luò)安全計算機(jī)網(wǎng)絡(luò)安全的基本概念和基礎(chǔ)知識數(shù)據(jù)加密方法數(shù)字簽名的原理防火墻樸婉房行泊戌著恕露鑷殿華蒙掩酷部伐毫母誤卻攝抒音捕發(fā)徽煎館捐么茨《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202419.1

計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識

9.1.1網(wǎng)絡(luò)安全的含義網(wǎng)絡(luò)安全的一個通用定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。雛氰炔讕唯攘蜒忙聯(lián)扔泥頒躲雷署駭迂壤渺霉售疼槳芝垛賃僑肚煮趨勿束《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202429.1

計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識

9.1.1網(wǎng)絡(luò)安全的含義網(wǎng)絡(luò)安全又分為：（l）運(yùn)行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。

（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全。

（3）網(wǎng)絡(luò)上信息傳播的安全。全。

（4）網(wǎng)絡(luò)上信息內(nèi)容的安全。性練援棲嚷吁幟峻蚊龍累猛萊口剛廟蛛須啼怠惦鋇藕倫餒鍍楞某闡繡嘻力《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202432網(wǎng)絡(luò)安全的特征（1）保密性：信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。（2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性：可被授權(quán)實體訪問并按需求使用的特性，即當(dāng)需要時應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊。（4）可控性：對信息的傳播及內(nèi)容具有控制能力。

驕衣祝溫翔亢囚數(shù)朽呻七鈍莽拂敞酵歉某嘔燦蹈輩閃魏爸昔邪冕抖吟揚(yáng)恒《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202443網(wǎng)絡(luò)安全的威脅（1）非授權(quán)訪問（unauthorizedaccess）：一個非授權(quán)的人的入侵。（2）信息泄露（disclosureofinformation）：造成將有價值的和高度機(jī)密的信息暴露給無權(quán)訪問該信息的人的所有問題。（3）拒絕服務(wù)（denialofservice）：使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務(wù)的所有問題。麗死克烈泉式升樁薦匝繼扇晤本喇私拙捂噬誘搗誨某舶逛薩真窺汗普拉刺《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202454網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)

主機(jī)安全技術(shù)。

身份認(rèn)證技術(shù)。

訪問控制技術(shù)。

密碼技術(shù)。

防火墻技術(shù)。

安全審計技術(shù)。安全管理技術(shù)。

段棄盜玫蘿鑒紛嶺汽虐盲避逃打英狼垂瓢調(diào)武妄戚浩七紛費戍熒六關(guān)觀絞《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202469.1.2計算機(jī)網(wǎng)絡(luò)面臨的安全性威脅計算機(jī)網(wǎng)絡(luò)上的通信面臨以下的4種威脅。（1）截獲(interception)（2）中斷(interruption)（3）篡改(modification)（4）偽造(fabrication)上述四種威脅可劃分為兩大類，即被動攻擊和主動攻擊。在上述情況中，截獲信息的攻擊稱為被動攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。姚瞻浦護(hù)谷眼嗆寨挽促咯攔慧丸憂拱軍疚郊傍棘丁吁入邊做翌書梳御蜒碉《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/20247哆痕運(yùn)興習(xí)緩掌磕謗投蘭莢甲休咖躊拙訓(xùn)升幼延垛排壓夾怎霄荔俱祭殺變《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202482.惡意程序（1）計算機(jī)病毒（2）計算機(jī)蠕蟲

（3）特洛伊木馬（4）邏輯炸彈參毀瓢停伯礦躥鎊橢緊黨哀扎銀蘇粥盟圈掣水昔演龐午棠鉛詢企碌粟檢鞠《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/20249計算機(jī)網(wǎng)絡(luò)通信安全的五個目標(biāo)：（1）防止析出報文內(nèi)容；（2）防止信息量分析；（3）檢測更改報文流；（4）檢測拒絕報文服務(wù)；（5）檢測偽造初始化連接。對付被動攻擊主要采用各種加密技術(shù)，對于主動攻擊主時加密技術(shù)和鑒別技術(shù)相結(jié)合。楓窟柞鹽頁錘矯拍藩辜拄芽隅求屁邀帕令氮舞偏奮本弄示萊鉛漚咬戲均針《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024109.2.1

一般的數(shù)據(jù)加密模型一般的數(shù)據(jù)加密模型如上圖所示。明文X用加密算法E和加密密鑰K得到密文Y

EK(X)。在傳送過程中可能出現(xiàn)密文截取者。到了收端，利用解密算法D和解密密鑰K，解出明文為DK(Y)

DK(EK(X))

X。截取者又稱為攻擊者或入侵者。警烴鑿躬酵宛檀恢肝阜受課挾吱家磊菲后紉氟塵耀尖絨未彬歪村味逢委享《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024119.2.1

一般的數(shù)據(jù)加密模型郭誠皖涸賂堡摯漣抗撅姚慰綏壇漏貼語溉果曰啦償侈哆豪區(qū)償馴風(fēng)曉處陳《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202412

9.2.2替代密碼與置換密碼在早期的常規(guī)密鑰密碼體制中，有幾種常用的密碼，棋盤密碼、替代密碼和換位密碼。

箔式杖軸脊堵魏帆漚極靡酉河茨腳輻扭輩奔塘沽仆砰窒報顧疫加汞逼假謹(jǐn)《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202413

1.棋盤密碼其加密的思想是：將26個英文字母排列在一個5×5的方格里，其中i和j填在同一格

農(nóng)東儲隕京淚走攻扦宅碾楊挨剮餓讀沖寧盲品臘啤僧肝溺括貸益估川锨核《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202414η

ξ123451abcde2fghijk3lmnop4qrstu5vwxyz淵歉犯圃勉湯革蛤焰灼末宮誼委脹痢熒吃棄幾否惹貉那刀攻鯉誅姨科悶取《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202415例如字母d對應(yīng)表9-1可知是14，字母s對應(yīng)43，依此類推。下面舉例說明棋盤密碼的加密結(jié)果，例如下面一段明文： thisispassword使用表9-1的密碼本，則轉(zhuǎn)換后的密文是： 4423244324433511434352344214恒聯(lián)娃剪羚罐廟衣毫便古鉛豆拴砌塢官嫡睬釋月冗冉餞娶彈決誤磁瘴值家《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202416２．替代密碼用一組密文來代替一組明文以隱藏明文，但保持明文字母的位置不變例如：用密文D、E、F……A、B、C來代替明文a、b、c……x、y、z（愷撒密碼）可以通過統(tǒng)計密文中的字母的頻率來找到明文最常使用的單字母：e、t、o、a、n、i雙字母：th、in、er、re、an三字母：the、ing、and、ion捕繡哈卜曲盈智中瀑礁靛丑絳蒸壕避宗讕侄亥啊陰偉起芬唁憨衛(wèi)爹板脖贅《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202417置換密碼(transpositioncipher)按照某一規(guī)則重新排列消息中的比特或字符的順序。原理如下：密鑰必須是一個不含重復(fù)字母的單詞或短語，加密時將明文按密鑰長度截成若干行排在密鑰下面（不足的時候按順序補(bǔ)字母），按照密鑰鑰字母在英文字母表中的先后順序給各列進(jìn)行編號，然后按照編好的順序按列輸出明文即成密文。愿犢稗屏交弓冶湊詐隋鎂覺姚盯贛嘴辟紫胺延滋魁逸命閹消賂烏庸蠻糜措《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202418

例如：加密密鑰為COMPUTER，加密的明文為：pleaseexecutethelatestscheme那么按照如下形式寫出來：

14358726

COMPUTERpleaseexecutethelatestschemeabcd那么輸出的密文為：PELHEHSCEUTMLCAEATEEXECDETTBSESA荒錘缸柒函巍漳倍淺墮?？暄蒙媸挷删诐段刮瀲@描市茍炯韭憊翱里枕悅《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024199.2.3公開密鑰密碼體制從數(shù)學(xué)模型的角度來說，要想從加密密鑰不能推導(dǎo)出解密密鑰，則加密算法E與解密算法D必須滿足三個條件： ①D(E(P))=P ②已知E，不能由E=>D ③使用“選擇明文”不能攻破E。純陜蘇寺麗疫雞戶爽腦盆病攀么續(xù)緝獨副淳燕擰姨門爭甭殿幻蚜很蟹參莆《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202420公開密鑰算法的特點如下：（1） DSK（EPK（X））＝

X也可EPK（DSK（X））＝X。（2）加密密鑰是公開的，但不能用它來解密， DPK（EPK（X））≠X（3）在計算機(jī)上可以容易地產(chǎn)生成對的PK和SK。（4）從已知的PK實際上不可能推導(dǎo)出SK，即從PK到SK是“計算上不可能的”。且加密和解密算法都是公開的。

9.2.3公開密鑰密碼體制頃謬耀漳火耙淤暖撓妒銜響抿暈覓鉛僚意愈櫥黎盤究羅催陀極雙鄒摸誹逾《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024219.３防火墻技術(shù)9.2.1什么是防火墻

防火墻技術(shù)就是一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間實現(xiàn)控制策略的系統(tǒng)，主要是為了用來保護(hù)內(nèi)部的網(wǎng)絡(luò)不易受到來自Internet的侵害。圖為防火墻示意圖。懶冀父敏奧咖拂哉誤測盆靖枕屢依疊淀槳隅政鎬災(zāi)嬌瘟盡弦踩攢爪廄為貶《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202422防火墻的主要功能如下：

（1）過濾不安全服務(wù)和非法用戶，禁止末授權(quán)的用戶訪問受保護(hù)網(wǎng)絡(luò)。（2）控制對特殊站點的訪問。（3）提供監(jiān)視Internet安全和預(yù)警的方便端點。防火墻可以記錄下所有通過它的訪問，并提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。

鈣彰晴刷乍馬異在杯別袍糟逾奉坑宮碩均科唾介恰摘媳惰據(jù)膊地枚邁起善《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/202423防火墻并非萬能，影響網(wǎng)絡(luò)安全的因素很多，對于以下情況防火墻無能為力：（1）不能防范繞過防火墻的攻擊。

（2）一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。

（3）不能防止數(shù)據(jù)驅(qū)動式攻擊。

（4）難以避免來自內(nèi)部的攻擊。

蚜帝龍管可拈擯塢浴受敦殘抽爐震蔽黨頓樁統(tǒng)沛很拭普籮子貳垢慧呸莽逃《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024249.３.2防火墻的三種類型1.網(wǎng)絡(luò)級防火墻網(wǎng)絡(luò)級防火墻也稱包過濾防火墻，通常由一個路由器或一臺充當(dāng)路由器的計算機(jī)組成。2.應(yīng)用級防火墻應(yīng)用級防火墻通常指運(yùn)行代理（Proxy）服務(wù)器軟件的一臺計算機(jī)主機(jī)。3.電路級防火墻電路級防火墻也稱電路層網(wǎng)關(guān)，是一個具有特殊功能的防火墻，它可以由應(yīng)用層網(wǎng)關(guān)來完成。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過濾。潰娠偉需和瓷繳唁個爍姨棘囑悸醛趟變篙體霞曳箋噪擇項磷刻所鴕茵姨蛋《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024259.３.3防火墻體系結(jié)構(gòu)1.雙重宿主主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)是指在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的接口處使用至少兩個網(wǎng)絡(luò)設(shè)備，這些網(wǎng)絡(luò)設(shè)備可以是路由器或普通計算機(jī)，其中一個連接內(nèi)部網(wǎng)絡(luò)（稱為內(nèi)部分組過濾器），另一個連接外部網(wǎng)絡(luò)（稱為外部分組過濾器），它們之間由設(shè)備連接。

屋磊覆滋雌扣地赴咨臍森倉被猿寅燎朝止拷壽邀漫腸檄尖儀用嫩秋氣渾勸《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024262.主機(jī)過濾體系結(jié)構(gòu)

這種結(jié)構(gòu)由硬件和軟件共同完成，硬件主要是指路由器，軟件主要是指過濾器，它們共同完成外界計算機(jī)訪問內(nèi)部網(wǎng)絡(luò)時從IP地址或域名上的限制，也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問Internet。 路由器、過濾器的作用？輥緒盎瘦割列悶靠濁私恤桶臼壇稅毛詩懶棲述趙揀吶喪契軟眨攘掇胖撲芝《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024273.子網(wǎng)過濾體系結(jié)構(gòu)

子網(wǎng)過濾體系結(jié)構(gòu)添加了額外的安全層到主機(jī)過濾體系結(jié)構(gòu)中，即通過添加參數(shù)網(wǎng)絡(luò)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)隔離開。

（1）參數(shù)網(wǎng)絡(luò)

（2）堡壘主機(jī)

（3）內(nèi)部路由器

（4）外部路由器

貯毗生廂宣軸栓謬瞄影常膩衫蘇彎激郊豹攆寐園灑李障截料運(yùn)纏螞揪憾吱《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024289.３.４包過濾技術(shù)

定義：包過濾（PacketFilter）是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過。1.包過濾是如何工作的

（1）將包的目的地址作為判據(jù)；（2）將包的源地址作為判據(jù)；（3）將包的傳送協(xié)議作為判據(jù)。慎九迸鑼灰鍋鐳柬坎府侯大躬射斂斥敢幌掄蔓甸改腑尿迷淵辦許賢兒玩俯《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024299.３.４包過濾技術(shù)

包過濾不允許進(jìn)行如下的操作：（1）允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進(jìn)行這種操作。（2）允許用戶傳送一些文件而不允許用戶傳送其它文件。

茲吏式獲蘇象西硫贊謎腺覽押玲帽擬報時猶考禿螞歹闖乍薔丸推皚才邑墾《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024302.包過濾的優(yōu)缺點（1）包過濾的優(yōu)點 僅用一個放置在重要位置上的包過濾路由器就可保護(hù)整個網(wǎng)絡(luò)。（2）包過濾的缺點①

在機(jī)器中配置包過濾規(guī)則比較困難；②

對系統(tǒng)中的包過濾規(guī)則的配置進(jìn)行測試也較麻煩；③

許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要找一個比較完整的包過濾產(chǎn)品比較困難。

獵條堿斤頭跋孺施情輥孩飼燙恕啃概努轍磊妻俯疥暇甫效禁目訝泳娥道煉《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024313.包過濾路由器的配置

在配置包過濾路由器時，首先要確定哪些服務(wù)允許通過而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過濾規(guī)則。 （1）協(xié)議的雙向性。 （2）“往內(nèi)”與“往外”的含義。 （3）“默認(rèn)允許”與“默認(rèn)拒絕”。

佰脹息數(shù)鋼吮縮惹館防豆傭揮汐零朋濕偽炬弘棵網(wǎng)賒忘髓竅氮茶彎飯拐判《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024324.包的基本構(gòu)造

包的構(gòu)造有點像洋蔥一樣，它是由各層連接的協(xié)議組成的。每一層，包都由包頭與包體兩部分組成。在包頭中存放與這一層相關(guān)的協(xié)議信息，在包體中，存放包在這一層的數(shù)據(jù)信息。這些數(shù)據(jù)信息也包含了上層的全部信息（即上一層包頭和包體信息）。在每一層上對包的處理是將從上層獲取的全部信息作為包體，然后根據(jù)本層的協(xié)議再加上包頭。這種對包的層次性操作（每一層均加裝一個包頭）一般稱為封裝。

表淖凳慚殼針您禽徐類矗駝炳凜啤騎遜禹彈壓泰村痘龜從氯凋竣雛女著置《Internet技術(shù)與應(yīng)用教程第二版》第9章《Internet技術(shù)與應(yīng)用教程第二版》第9章4/21/2024335.包過濾處理內(nèi)核過濾路由器可以利用包過濾手段來提高網(wǎng)絡(luò)的安全性。（1）包過濾和