西安交通大学：《计算机网络技术》第8讲 网络安全

第8讲网终安全 基本概念: 参考教科书:第10章 口什么是安全性? 口密码术 口报文鉴别 信息安全性 口密钥发放和确认 实用安全技术: 口应用层:安全邮件 口传输层:电子商务,SSL,SET 口防火墙技术 主讲人:西安交通大学程向前 第8讲网络安全1

主讲人：西安交通大学程向前 第8讲 网络安全 1 第8讲 网络安全 基本概念:  什么是安全性?  密码术  报文鉴别  信息安全性  密钥发放和确认 实用安全技术:  应用层: 安全邮件  传输层: 电子商务， SSL, SET  防火墙技术 参考教科书：第10章

敌友之间: Alice,Bob, Trudy Dato Data control, data messages Secure Secure Receiver channe Alice Bob Trudy 口三位网络安全领域里的“知名人士” 口Bob,Aice(恋人)需要进行“私密”的通信 o Trudy,则是侵入者“有可能对他人的通信进行截获 删改活动 主讲人:西安交通大学程向前 第8讲网络安全2

主讲人：西安交通大学程向前 第8讲 网络安全 2 敌友之间: Alice, Bob, Trudy  三位网络安全领域里的“知名人士”  Bob, Alice (恋人!) 需要进行“私密”的通信  Trudy, 则是“侵入者”有可能对他人的通信进行截获 、删改活动 Figure 7.1 goes here

什么是网络安全? 安全性:只有发送方,意欲中的接收方能够“理解 ”报文内容 O发送方加密报文 o接收方解密报文 报文鉴别:收发双方需要证实对方的身份 报文完整性:收发双方需要保证报文不被篡改〔 在传输过程中,或传输完毕以后),不被探测 主讲人:西安交通大学程向前 第8讲网络安全3

主讲人：西安交通大学程向前 第8讲 网络安全 3 什么是网络安全? 安全性: 只有发送方,意欲中的接收方能够 “理解 ” 报文内容  发送方加密报文  接收方解密报文 报文鉴别: 收发双方需要证实对方的身份 报文完整性: 收发双方需要保证报文不被篡改 ( 在传输过程中,或传输完毕以后) ，不被探测

网络上的主动攻击和被动攻击 口截获--被动攻击(主要的对应策略为加密传输 口中断--主动攻击(主要的对应策略为信道冗余 ,防火墙的等 口篡改--主动攻击(主要的对应策略为报文鉴别) 口伪造--主动攻击(主要的对应策略为报文鉴别) 主讲人:西安交通大学程向前 第8讲网络安全4

主讲人：西安交通大学程向前 第8讲 网络安全 4 网络上的主动攻击和被动攻击  截获--被动攻击(主要的对应策略为加密传输)  中断--主动攻击(主要的对应策略为信道冗余 ，防火墙的等)  篡改--主动攻击(主要的对应策略为报文鉴别)  伪造--主动攻击(主要的对应策略为报文鉴别)

因特网的安全隐患举例 分组泄漏( Packet sniffing): o广播介质 O间谍NrC可以读出所有传输的分组 o即可以读出所有未加密的数据(eg. passwords) oeg:c在“嗅”B的分组 A C src: B dest: Payload B 主讲人:西安交通大学程向前 第8讲网络安全5

主讲人：西安交通大学程向前 第8讲 网络安全 5 因特网的安全隐患举例 分组泄漏（Packet sniffing）:  广播介质  间谍 NIC 可以读出所有传输的分组  即可以读出所有未加密的数据 (e.g. passwords)  e.g.: C 在“嗅“B的分组 A B C src:B dest:A payload

因特网安全隐患 P欺骗( Spoofing): O可以应用程序中产生“原始”的工P分组,将任意的 值植入TP信源字段 O接受方往往分辨不出信源地址的真假 egc假装成B A src:B dest: A payload B 主讲人:西安交通大学程向前 第8讲网络安全6

主讲人：西安交通大学程向前 第8讲 网络安全 6 因特网安全隐患 IP 欺骗（Spoofing）:  可以应用程序中产生“原始”的IP分组, 将任意的 值植入IP信源字段  接受方往往分辨不出信源地址的真假  e.g.: C 假装成 B A B C src:B dest:A payload

因特网安全隐患 拒绝服务( Denial of service DOS): o发送“洪水”分组将接受方“淹死” o分布式DOs(DDOS):多个协调的信源向接受端发起攻击 oegC和远程主机同步攻击A A C SYN SYN SYN SYN SYN SYN 主讲人:西安交通大学程向前 第8讲网络安全7

主讲人：西安交通大学程向前 第8讲 网络安全 7 因特网安全隐患 拒绝服务(Denial of service ,DOS) :  发送“洪水”分组将接受方“淹死”  分布式 DOS (DDOS): 多个协调的信源向接受端发起攻击  e.g., C 和远程主机同步攻击 A A B C SYN SYN SYN SYN SYN SYN SYN

密码术的术语 Plaintext Painter plaintext crvotion K, ci Blecryptic plaintext Q algorith g ciphertext algorithm Ali Ice Bob True 对称密钥加密:收发双方密钥完全相同 公共密钥加密:加密密钥是公开的,解密密钥是保密的 注:密码术是被动攻击主要防护策略 主讲人:西安交通大学程向前 第8讲网络安全8

主讲人：西安交通大学程向前 第8讲 网络安全 8 密码术的术语 对称密钥加密: 收发双方密钥完全相同 公共密钥加密: 加密密钥是公开的, 解密密钥是保密的 注：密码术是被动攻击主要防护策略 Figure 7.3 goes here plaintext plaintext ciphertext K A K B

常规密钥密码体制-对称密钥加密术 替代密码:使用一种符号来替代另一种 o单字符密码:用一个字母来替换另一个 明文: abcdefghijk】 mnopgrstuvwxyz 密文: mnbvcxzasdfghjk1 poiuytrewa E.g.: Plaintext: bob. i love you. alice ciphertext: nkn. s gktc wky. mgsbc Q:这样的简单密码的解码难度如何?: brute force(how hard?) ° other? 主讲人:西安交通大学程向前 第8讲网络安全9

主讲人：西安交通大学程向前 第8讲 网络安全 9 常规密钥密码体制--对称密钥加密术 替代密码: 使用一种符号来替代另一种  单字符密码: 用一个字母来替换另一个 明文: abcdefghijklmnopqrstuvwxyz 密文: mnbvcxzasdfghjklpoiuytrewq Plaintext: bob. i love you. alice ciphertext: nkn. s gktc wky. mgsbc E.g.: Q: 这样的简单密码的解码难度如何?: •brute force (how hard?) •other?

解码难度分析 口惟秘文攻击:入侵者只有密文,不知道内容的 背景。统计分析对分析加密方案有用 口已知明文攻击:入侵者已知某些明文和密文 口选择明文攻击:入侵者选择明文信息并且得到 相应的秘文 主讲人:西安交通大学程向前 第8讲网络安全10

主讲人：西安交通大学程向前 第8讲 网络安全 10 解码难度分析  惟秘文攻击：入侵者只有密文，不知道内容的 背景。统计分析对分析加密方案有用。  已知明文攻击：入侵者已知某些明文和密文  选择明文攻击：入侵者选择明文信息并且得到 相应的秘文