《計(jì)算機(jī)網(wǎng)絡(luò)概論》省公開課金獎(jiǎng)全國(guó)賽課一等獎(jiǎng)微課獲獎(jiǎng)?wù)n件

計(jì)算機(jī)網(wǎng)絡(luò)概論劉兵制作1/50學(xué)習(xí)關(guān)鍵點(diǎn)：?

計(jì)算機(jī)網(wǎng)絡(luò)安全基本概念和基礎(chǔ)知識(shí)?

數(shù)據(jù)加密方法?

數(shù)字署名原理?

防火墻第7章計(jì)算機(jī)網(wǎng)絡(luò)安全

2/507.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述7.2數(shù)據(jù)加密7.3數(shù)字署名7.4防火墻退出第7章計(jì)算機(jī)網(wǎng)絡(luò)安全

3/507.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述7.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)

7.1.2計(jì)算機(jī)網(wǎng)絡(luò)面臨主要威脅

返回4/507.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)

1.計(jì)算機(jī)網(wǎng)絡(luò)安全含義

計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)受到保護(hù)，不會(huì)因偶然或者惡意原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中止。

5/50計(jì)算機(jī)網(wǎng)絡(luò)安全又分為：（l）運(yùn)行系統(tǒng)安全，即確保信息處理和傳輸系統(tǒng)安全。

（2）網(wǎng)絡(luò)上系統(tǒng)信息安全。

（3）網(wǎng)絡(luò)上信息傳輸安全。全。

（4）網(wǎng)絡(luò)上信息內(nèi)容安全。

6/502.網(wǎng)絡(luò)安全特征（1）保密性：（2）完整性：（3）可用性：（4）可控性：7/503.網(wǎng)絡(luò)安全策略（1）

網(wǎng)絡(luò)用戶安全責(zé)任（2）

系統(tǒng)管理員安全責(zé)任（3）

正確利用網(wǎng)絡(luò)資源（4）

檢測(cè)到安全問(wèn)題時(shí)對(duì)策8/504.網(wǎng)絡(luò)安全性辦法

（1）網(wǎng)絡(luò)安全辦法

要實(shí)施一個(gè)完整網(wǎng)絡(luò)安全系統(tǒng)，最少應(yīng)該包含三類辦法： 社會(huì)法律、法規(guī)以及企業(yè)規(guī)章制度和安全教育等外部軟件環(huán)境。 技術(shù)方面辦法，如網(wǎng)絡(luò)防毒、信息加密、存放通信、授權(quán)、認(rèn)證以及防火墻技術(shù)。

審計(jì)和管理辦法，這方面辦法同時(shí)也包含了技術(shù)與社會(huì)辦法。

9/50（2）網(wǎng)絡(luò)安全性方法為網(wǎng)絡(luò)安全系統(tǒng)提供適當(dāng)安全慣用方法有：修補(bǔ)系統(tǒng)漏洞、病毒檢驗(yàn)、加密、執(zhí)行身份判別、防火墻、捕捉闖進(jìn)者、直接安全、空閑機(jī)器守則、廢品處理守則、口令守則。

10/501.概述計(jì)算機(jī)網(wǎng)絡(luò)受到安全威脅主要來(lái)自以下幾個(gè)方面：

竊取網(wǎng)絡(luò)信息。 中止網(wǎng)絡(luò)信息。

篡改網(wǎng)絡(luò)信息。

仿冒用戶身份。7.1.2計(jì)算機(jī)網(wǎng)絡(luò)面臨主要威脅11/50計(jì)算機(jī)網(wǎng)絡(luò)安全性威脅又分成兩大類：一個(gè)是被動(dòng)攻擊一個(gè)是主動(dòng)攻擊。12/502.惡意程序

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅較大有： 計(jì)算機(jī)病毒 計(jì)算機(jī)蠕蟲 特洛伊木馬 邏輯炸彈等。

13/507.2數(shù)據(jù)加密

7.2.1普通數(shù)據(jù)加密模型

7.2.2常規(guī)密鑰密碼體制

返回7.2.3公開密鑰密碼體制

14/50密碼學(xué)是以研究秘密通信為目標(biāo)，即研究對(duì)傳輸信息采取何種秘密變換以預(yù)防第三者對(duì)信息竊取.密碼學(xué)分為密碼編碼學(xué)和密碼分析學(xué)，其中密碼編碼學(xué)是密碼體制設(shè)計(jì)學(xué)，而密碼分析學(xué)則是在未知密鑰情況下從密文推演出明文或密鑰技術(shù)。

7.2.1普通數(shù)據(jù)加密模型

15/50一組含有參數(shù)k變換E。設(shè)已知信息m（又稱之為明文），經(jīng)過(guò)變換E，得到密文c，即c=Ek(m)這個(gè)過(guò)程稱之為加密，參數(shù)k稱之為密鑰，變換E稱之為加密算法。16/50 常規(guī)密鑰密碼體制就是指加密密鑰與解密密鑰是相同密碼體制。這種加密系統(tǒng)又稱為對(duì)稱密鑰系統(tǒng)。 常規(guī)密鑰密碼體制有各種加密方法，這里僅講授三種方法：棋盤密碼、替換密碼和換位密碼。

7.2.1普通數(shù)據(jù)加密模型

17/501.棋盤密碼

其加密思想是：將26個(gè)英文字母排列在一個(gè)5×5方格里，其中i和j填在同一格這么26個(gè)英文字母中每一個(gè)字母都對(duì)應(yīng)著由ξη所組成一個(gè)數(shù)，其中，ξ是該字母所在行標(biāo)號(hào)、η表示是列標(biāo)號(hào)。18/50

ηξ123451abcde2fgH2ijk3lmnop4qrstu5vwxyz19/502.替換密碼

用一組密文字母來(lái)代替一組明文字母能夠隱藏明文，但保持明文字母位置不變。20/503.換位密碼

對(duì)明文字母次序按密鑰規(guī)律對(duì)應(yīng)排列組合后輸出，然后形成密文。原理以下:密鑰必須是一個(gè)不含重復(fù)字母單詞或短語(yǔ)，加密時(shí)將明文按密鑰長(zhǎng)度截成若干行排在密鑰下面（不足時(shí)候按次序補(bǔ)字母），按照密鑰鑰字母在英文字母表中先后次序給各列進(jìn)行編號(hào)，然后按照編好次序按列輸出明文即成密文。21/50

比如：加密密鑰為COMPUTER，加密明文為：pleaseexecutethelatestscheme（1）密鑰COMPUTER各字母按照英文26個(gè)字母中先后次序排列以下：1435872622/50（2）再把明文按那么按照密鑰長(zhǎng)度截成若干行排，以以下形式寫出來(lái)： COMPUTER pleaseex ecutethe latestsc hemeabcd（3）按照密鑰各字母先后次序按列輸出明文即成密文。那么輸出密文為：PELHEHSCEUTMLCAEATEEXECDETTBSESA23/50主要在于其密鑰管理：（1）進(jìn)行安全通信前需要以安全方式進(jìn)行密鑰交換。（2）密鑰規(guī)模復(fù)雜。4.以上加密方法缺點(diǎn)

24/50從數(shù)學(xué)模型角度來(lái)說(shuō)，要想從加密密鑰不能推導(dǎo)出解密密鑰，則加密算法E與解密算法D必須滿足三個(gè)條件：①D(E(P))=P已知E，不能由E=>D③

使用“選擇明文”不能攻破E。

7.2.3公開密鑰密碼體制

25/50公開密鑰算法特點(diǎn)以下：（1）發(fā)送者用加密密鑰（或稱公開密鑰）PK對(duì)明文X加密后，在接收者用解密密鑰（或稱秘密密鑰）SK解密，即可恢復(fù)出明文，或?qū)憺椋? DSK（EPK（X））

X解密密鑰是接收者專用秘密密鑰，對(duì)其它人都保密。26/50（2）加密密鑰是公開，但不能用它來(lái)解密，即DPK（EPK（X））≠X（3）在計(jì)算機(jī)上能夠輕易地產(chǎn)生成正確PK和SK。（4）從已知PK實(shí)際上不可能推導(dǎo)出SK，即從PK到SK是“計(jì)算上不可能”。且加密和解密算法都是公開。

27/5028/507.3數(shù)字署名

數(shù)字署名(DigitalSignature)是指用戶用自己私鑰對(duì)原始數(shù)據(jù)哈希摘要進(jìn)行加密所得數(shù)據(jù)。信息接收者使用信息發(fā)送者公鑰對(duì)附在原始信息后數(shù)字署名進(jìn)行解密后取得哈希摘要，并經(jīng)過(guò)與自己用收到原始數(shù)據(jù)產(chǎn)生哈希摘要對(duì)照，便可確信原始信息是否被篡改。

29/507.3.1數(shù)字署名概述

署名表達(dá)了以下幾個(gè)方面確保：（1）署名是可信。（2）署名是不可偽造。（3）署名不可重用。（4）署名后文件是不可變。（4）署名是不可抵賴。30/507.3.1數(shù)字署名概述

為使數(shù)字署名能代替?zhèn)鹘y(tǒng)署名，必須確保以下三個(gè)條件：（1）接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文署名；（2）發(fā)送者事后不能抵賴對(duì)報(bào)文署名；（3）接收者不能偽造對(duì)報(bào)文署名。31/507.3.2數(shù)字署名實(shí)現(xiàn)

32/5033/507.4防火墻

7.4.1什么是防火墻

防火墻技術(shù)就是一個(gè)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性辦法，是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間實(shí)現(xiàn)控制策略系統(tǒng)，主要是為了用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)不易受到來(lái)自Internet侵害。34/5035/50防火墻主要功效以下：

（1）過(guò)濾不安全服務(wù)和非法用戶，禁止未授權(quán)用戶訪問(wèn)受保護(hù)網(wǎng)絡(luò)。（2）控制對(duì)特殊站點(diǎn)訪問(wèn)。（3）提供監(jiān)視Internet安全和預(yù)警方便端點(diǎn)。36/50對(duì)于以下情況防火墻無(wú)能為力：（1）不能防范繞過(guò)防火墻攻擊。（2）普通防火墻不能預(yù)防受到病毒感染軟件或文件傳輸。（3）不能預(yù)防數(shù)據(jù)驅(qū)動(dòng)式攻擊。（4）難以防止來(lái)自內(nèi)部攻擊。37/507.4.2防火墻三種類型

1.網(wǎng)絡(luò)級(jí)防火墻

由一個(gè)路由器或一臺(tái)充當(dāng)路由器計(jì)算機(jī)組成。 包過(guò)濾路由器對(duì)所接收每個(gè)數(shù)據(jù)包進(jìn)行審查，方便確定其是否與某一條包過(guò)濾規(guī)則匹配。

38/502.應(yīng)用級(jí)防火墻

應(yīng)用級(jí)防火墻通常指運(yùn)行代理（Proxy）服務(wù)器軟件一臺(tái)計(jì)算機(jī)主機(jī)。

3.電路級(jí)防火墻是一個(gè)含有特殊功效防火墻，它能夠由應(yīng)用層網(wǎng)關(guān)來(lái)完成。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加包處理或過(guò)濾。

39/507.4.3防火墻體系結(jié)構(gòu)

1.雙重宿主主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)是指在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)接口處使用最少兩個(gè)網(wǎng)絡(luò)設(shè)備，這些網(wǎng)絡(luò)設(shè)備能夠是路由器或普通計(jì)算機(jī)，其中一個(gè)連接內(nèi)部網(wǎng)絡(luò)（稱為內(nèi)部分組過(guò)濾器），另一個(gè)連接外部網(wǎng)絡(luò)（稱為外部分組過(guò)濾器），它們之間由設(shè)備連接

40/5041/507.4.3防火墻體系結(jié)構(gòu)

2.主機(jī)過(guò)濾體系結(jié)構(gòu)這種結(jié)構(gòu)由硬件和軟件共同完成，硬件主要是指路由器，軟件主要是指過(guò)濾器，它們共同完成外界計(jì)算機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)從IP地址或域名上限制，也能夠指定或限制內(nèi)部網(wǎng)絡(luò)訪問(wèn)Internet。42/507.4.3防火墻體系結(jié)構(gòu)

3.子網(wǎng)過(guò)濾體系結(jié)構(gòu)43/507.4.4包過(guò)濾技術(shù)

包過(guò)濾（PacketFilter）是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇經(jīng)過(guò)。依據(jù)系統(tǒng)內(nèi)事先設(shè)定過(guò)濾邏輯，檢驗(yàn)數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，依據(jù)數(shù)據(jù)包源地址、目標(biāo)地址、TCP/UDP源端口號(hào)、TCP/UDP目標(biāo)端口號(hào)以及數(shù)據(jù)包頭中各種標(biāo)志位等原因來(lái)確定是否允許數(shù)據(jù)包經(jīng)過(guò)，其關(guān)鍵是安全策略即過(guò)濾算法設(shè)計(jì)。

44/501.包過(guò)濾是怎樣工作包過(guò)濾技術(shù)能夠允許或不允許一些包在網(wǎng)絡(luò)上進(jìn)行傳遞，其依據(jù)以下判據(jù)：（1）將包目標(biāo)地址作為判據(jù)；（2）將包源地址作為判據(jù)；（3）將包傳送協(xié)議作為判據(jù)。

45/502.包過(guò)濾優(yōu)缺點(diǎn)（1）包過(guò)濾優(yōu)點(diǎn)僅用一個(gè)放置在主要位置上包過(guò)濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。假如內(nèi)部網(wǎng)絡(luò)中站點(diǎn)與Internet網(wǎng)絡(luò)之間只有一臺(tái)路由器，那么不論內(nèi)部網(wǎng)絡(luò)規(guī)模有多大，只要在這臺(tái)路由器上設(shè)置適當(dāng)包過(guò)濾，內(nèi)部網(wǎng)絡(luò)中站點(diǎn)就可取得很好網(wǎng)絡(luò)安全保護(hù)。

46/50（2）包過(guò)濾缺點(diǎn)①

在機(jī)器中配置包過(guò)濾規(guī)則比較困難；②

對(duì)系統(tǒng)中包過(guò)濾規(guī)則配置進(jìn)行測(cè)試也較麻煩