網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件

第18章網(wǎng)絡(luò)安全密碼學(xué)基礎(chǔ)-1網(wǎng)絡(luò)安全基本概念安全服務(wù)對安全的攻擊Internet上常見的攻擊P欺騙(IPspoofing)服務(wù)拒絕(denialofservice密碼學(xué)基礎(chǔ)-1第18章網(wǎng)絡(luò)安全密碼學(xué)基礎(chǔ)-11網(wǎng)絡(luò)安全基本概念一安全服務(wù)安全服務(wù):國際標(biāo)準(zhǔn)化組織ISO在提出開放系統(tǒng)互連參考模型OSI之后,在1989年提出網(wǎng)絡(luò)安全體系結(jié)構(gòu)SA(SecurityArchitecture),稱為OSI-SA,它定義了五類安全服務(wù)身份認(rèn)證(authentication):驗證通信參與者的身份與其申明的一致,不是冒名頂替者。認(rèn)證服務(wù)是向接收方保證消息確實來自所聲稱的源。身份認(rèn)證是其它服務(wù),如訪問控制的前提。網(wǎng)絡(luò)安全基本概念一安全服務(wù)2網(wǎng)絡(luò)安全基本概念一安全服務(wù)(續(xù))訪問控制(accesscontro):保證網(wǎng)絡(luò)資源(主機(jī)系統(tǒng)、應(yīng)用程序..)不被未經(jīng)授權(quán)的用戶使用訪問權(quán)限包括讀、寫、刪、執(zhí)行等。在用戶進(jìn)程被授予權(quán)限訪問資源前,必須首先通過身份認(rèn)證。訪問權(quán)限一般由目標(biāo)系統(tǒng)控制。數(shù)據(jù)機(jī)密性(dataconfidentiality):通過加密,保護(hù)數(shù)據(jù)免遭泄漏,防止信息被未授權(quán)用戶獲取,包括防分析。網(wǎng)絡(luò)安全基本概念一安全服務(wù)(續(xù))3網(wǎng)絡(luò)安全基本概念一安全服務(wù)(續(xù))不可抵賴on-repudiation):防止通信參與者事后否認(rèn)曾參與通信。有兩種不可抵賴服務(wù)發(fā)送的不可抵賴,防止數(shù)據(jù)發(fā)送者否認(rèn)曾發(fā)送過此數(shù)據(jù);接收的不可抵賴,防止數(shù)據(jù)接收者否認(rèn)曾收到此數(shù)據(jù)。例:簽名函、掛號信數(shù)據(jù)完整性(dataintegrity):確保收到的信息在傳遞過程中沒有被插入、篡改、刪除、重放目前討論安全服務(wù),常常增加:可用性(availability):防止或恢復(fù)因攻擊造成系統(tǒng)的不可用。網(wǎng)絡(luò)安全基本概念一安全服務(wù)(續(xù))4對安全的攻擊假冒(fabrication)正常通非授權(quán)用戶假冒合法信用戶、甚至特權(quán)用戶的身份進(jìn)行通信,這○是對身份認(rèn)證和訪問控制的攻擊。它還包括在網(wǎng)絡(luò)中插入偽造的報文,截取通信雙方交換的信息進(jìn)行重假冒放攻擊等對安全的攻擊5對安全的攻擊(續(xù))截取(interception):非授權(quán)用戶截獲了對某資源的訪問,這是對訪問控制的攻擊。截取例如通過監(jiān)控網(wǎng)絡(luò)或搭線竊聽以獲取數(shù)據(jù)。對安全的攻擊(續(xù))6對安全的攻擊(續(xù))篡改(modification)非授權(quán)用戶不僅獲得了對某資源的訪問,而且篡改了某資源,這是對數(shù)據(jù)完整性的篡改攻擊。例如篡改文件、程序、在網(wǎng)絡(luò)中傳輸?shù)男畔?nèi)容等。對安全的攻擊(續(xù))7對安全的攻擊(續(xù))破壞(interruption):破壞系統(tǒng)資源,使系統(tǒng)不能使用或不可訪問。如破壞通信設(shè)備,切斷通信線路,破壞破壞文件系統(tǒng)等。破壞性攻擊還包括對特定目標(biāo)發(fā)送大量信息流,使目標(biāo)超載以至癱瘓。對安全的攻擊(續(xù))8對安全的攻擊(續(xù))對網(wǎng)絡(luò)的攻擊又分主動攻擊和被動攻擊:被動攻擊:是在傳輸中的偷聽或監(jiān)視,目的是截取在網(wǎng)上傳輸?shù)闹匾舾行畔?包括消息內(nèi)容析取和通信量分析。在局域網(wǎng)如以太網(wǎng)上監(jiān)聽是很容易的.。在用telnet作遠(yuǎn)程登錄時,用戶的標(biāo)識名和口令也是一個個字符封裝傳輸被動攻擊檢測困難,主要通過加密防止其成功主動攻擊:包括假冒、重放、篡改、破壞。杜絕主動攻擊很困難,要對所有設(shè)施保護(hù),主要是靠檢測,及時發(fā)現(xiàn)和恢復(fù)。對安全的攻擊(續(xù))9IP欺騙(IPspoofing)IP欺騙是指攻擊者在I層假冒一個合法的主機(jī)。攻擊者只要用偽造的源P地址生成IP數(shù)據(jù)報,就可以進(jìn)行I欺騙了。IP欺騙常和其它攻擊(如服務(wù)拒絕)結(jié)合使用,攻擊者利用IP欺騙隱瞞自己的真實地址。攻擊者可以使用竊聽和協(xié)議分析確定TCP連接的狀態(tài)和數(shù)據(jù)片序號,當(dāng)某個連接建立后,在客戶和服務(wù)器之間進(jìn)行的數(shù)據(jù)片交換過程中,攻擊者可利用I欺騙冒充該客戶方,插入自己的數(shù)據(jù)片,這種攻擊稱TCP會話劫持。TelnetIP欺騙(IPspoofing)10網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件11網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件12網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件13網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件14網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件15網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件16網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件17網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件18網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件19網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件20網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件21網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件22網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件23網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件24網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件25網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件26網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件27網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件28網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件29網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件30網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件31網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件32網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件33網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件34網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件35網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件36網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件37網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件38網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件39網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件40網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件41網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件42網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件43網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件44網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件45網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件46網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件47網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件48網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件49網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件50網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件51網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件52網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件53第18章網(wǎng)絡(luò)安全密碼學(xué)基礎(chǔ)-1網(wǎng)絡(luò)安全基本概念安全服務(wù)對安全的攻擊Internet上常見的攻擊P欺騙(IPspoofing)服務(wù)拒絕(denialofservice密碼學(xué)基礎(chǔ)-1第18章網(wǎng)絡(luò)安全密碼學(xué)基礎(chǔ)-154網(wǎng)絡(luò)安全基本概念一安全服務(wù)安全服務(wù):國際標(biāo)準(zhǔn)化組織ISO在提出開放系統(tǒng)互連參考模型OSI之后,在1989年提出網(wǎng)絡(luò)安全體系結(jié)構(gòu)SA(SecurityArchitecture),稱為OSI-SA,它定義了五類安全服務(wù)身份認(rèn)證(authentication):驗證通信參與者的身份與其申明的一致,不是冒名頂替者。認(rèn)證服務(wù)是向接收方保證消息確實來自所聲稱的源。身份認(rèn)證是其它服務(wù),如訪問控制的前提。網(wǎng)絡(luò)安全基本概念一安全服務(wù)55網(wǎng)絡(luò)安全基本概念一安全服務(wù)(續(xù))訪問控制(accesscontro):保證網(wǎng)絡(luò)資源(主機(jī)系統(tǒng)、應(yīng)用程序..)不被未經(jīng)授權(quán)的用戶使用訪問權(quán)限包括讀、寫、刪、執(zhí)行等。在用戶進(jìn)程被授予權(quán)限訪問資源前,必須首先通過身份認(rèn)證。訪問權(quán)限一般由目標(biāo)系統(tǒng)控制。數(shù)據(jù)機(jī)密性(dataconfidentiality):通過加密,保護(hù)數(shù)據(jù)免遭泄漏,防止信息被未授權(quán)用戶獲取,包括防分析。網(wǎng)絡(luò)安全基本概念一安全服務(wù)(續(xù))56網(wǎng)絡(luò)安全基本概念一安全服務(wù)(續(xù))不可抵賴on-repudiation):防止通信參與者事后否認(rèn)曾參與通信。有兩種不可抵賴服務(wù)發(fā)送的不可抵賴,防止數(shù)據(jù)發(fā)送者否認(rèn)曾發(fā)送過此數(shù)據(jù);接收的不可抵賴,防止數(shù)據(jù)接收者否認(rèn)曾收到此數(shù)據(jù)。例:簽名函、掛號信數(shù)據(jù)完整性(dataintegrity):確保收到的信息在傳遞過程中沒有被插入、篡改、刪除、重放目前討論安全服務(wù),常常增加:可用性(availability):防止或恢復(fù)因攻擊造成系統(tǒng)的不可用。網(wǎng)絡(luò)安全基本概念一安全服務(wù)(續(xù))57對安全的攻擊假冒(fabrication)正常通非授權(quán)用戶假冒合法信用戶、甚至特權(quán)用戶的身份進(jìn)行通信,這○是對身份認(rèn)證和訪問控制的攻擊。它還包括在網(wǎng)絡(luò)中插入偽造的報文,截取通信雙方交換的信息進(jìn)行重假冒放攻擊等對安全的攻擊58對安全的攻擊(續(xù))截取(interception):非授權(quán)用戶截獲了對某資源的訪問,這是對訪問控制的攻擊。截取例如通過監(jiān)控網(wǎng)絡(luò)或搭線竊聽以獲取數(shù)據(jù)。對安全的攻擊(續(xù))59對安全的攻擊(續(xù))篡改(modification)非授權(quán)用戶不僅獲得了對某資源的訪問,而且篡改了某資源,這是對數(shù)據(jù)完整性的篡改攻擊。例如篡改文件、程序、在網(wǎng)絡(luò)中傳輸?shù)男畔?nèi)容等。對安全的攻擊(續(xù))60對安全的攻擊(續(xù))破壞(interruption):破壞系統(tǒng)資源,使系統(tǒng)不能使用或不可訪問。如破壞通信設(shè)備,切斷通信線路,破壞破壞文件系統(tǒng)等。破壞性攻擊還包括對特定目標(biāo)發(fā)送大量信息流,使目標(biāo)超載以至癱瘓。對安全的攻擊(續(xù))61對安全的攻擊(續(xù))對網(wǎng)絡(luò)的攻擊又分主動攻擊和被動攻擊:被動攻擊:是在傳輸中的偷聽或監(jiān)視,目的是截取在網(wǎng)上傳輸?shù)闹匾舾行畔?包括消息內(nèi)容析取和通信量分析。在局域網(wǎng)如以太網(wǎng)上監(jiān)聽是很容易的.。在用telnet作遠(yuǎn)程登錄時,用戶的標(biāo)識名和口令也是一個個字符封裝傳輸被動攻擊檢測困難,主要通過加密防止其成功主動攻擊:包括假冒、重放、篡改、破壞。杜絕主動攻擊很困難,要對所有設(shè)施保護(hù),主要是靠檢測,及時發(fā)現(xiàn)和恢復(fù)。對安全的攻擊(續(xù))62IP欺騙(IPspoofing)IP欺騙是指攻擊者在I層假冒一個合法的主機(jī)。攻擊者只要用偽造的源P地址生成IP數(shù)據(jù)報,就可以進(jìn)行I欺騙了。IP欺騙常和其它攻擊(如服務(wù)拒絕)結(jié)合使用,攻擊者利用IP欺騙隱瞞自己的真實地址。攻擊者可以使用竊聽和協(xié)議分析確定TCP連接的狀態(tài)和數(shù)據(jù)片序號,當(dāng)某個連接建立后,在客戶和服務(wù)器之間進(jìn)行的數(shù)據(jù)片交換過程中,攻擊者可利用I欺騙冒充該客戶方,插入自己的數(shù)據(jù)片,這種攻擊稱TCP會話劫持。TelnetIP欺騙(IPspoofing)63網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件64網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件65網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件66網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件67網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件68網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件69網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件70網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件71網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件72網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件73網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件74網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件75網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件76網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件77網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件78網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件79網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件80網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件81網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件82網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件83網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件84網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件85網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件86網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件87網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件88網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件89網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件90網(wǎng)絡(luò)安全I(xiàn)密碼學(xué)基礎(chǔ)課件91網(wǎng)絡(luò)安