《Computer Networking：A Top Down Approach》英文教材教学资源（PPT课件讲稿，6th edition）Chapter 8 网络安全 Network Security

Chapter 8: Network Security Chapter goal 口理解网络安全原理: o加密 o身份鉴别 o报文完整性 网络安全应用: o防火墙和入侵检测系统 o应用层、传输层、网络层和链路层上的安全 8: Network Security 8-2

8: Network Security 8-2 Chapter 8: Network Security Chapter goals:  理解网络安全原理:  加密  身份鉴别  报文完整性  网络安全应用：  防火墙和入侵检测系统  应用层、传输层、网络层和链路层上的安全

Chapter 8 roadmap 8. 1 What is network security? 8.2 Principles of cryptography 8. 3 Message integrity and Digital Signature 8.4 End point authentication 8.5 Securing e-mail 8.6 Securing TCP connections: SSL 8.7 Network layer security: IPsec 8.8 Securing wireless LANs 8.9 Operational security: firewalls and IDS 8: Network Security 8-3

8: Network Security 8-3 Chapter 8 roadmap 8.1 What is network security? 8.2 Principles of cryptography 8.3 Message integrity and Digital Signature 8.4 End point authentication 8.5 Securing e-mail 8.6 Securing TCP connections: SSL 8.7 Network layer security: IPsec 8.8 Securing wireless LANs 8.9 Operational security: firewalls and IDS

什么是网络安全? 网络安全的通用定义: 网络安全是指网络系统的硬件、软件及其系统 中的数据受到保护,不受偶然的或者恶意的原 因而遭到破坏、更改、泄露,系统连续可靠地 运行,网络服务不中断

什么是网络安全？ 网络安全的通用定义：  网络安全是指网络系统的硬件、软件及其系统 中的数据受到保护，不受偶然的或者恶意的原 因而遭到破坏、更改、泄露，系统连续可靠地 运行，网络服务不中断

网终中的通信安全 口机密性 o报文内容的机密性 o通信活动的机密性 口端点鉴别: o发送者和接收者能够证实对方的身份 口报文完整性 o报文来自真实的源,且传输过程中未被修改 运行安全性: o网络不受攻击,网络服务可用 8: Network Security 8-5

8: Network Security 8-5 网络中的通信安全  机密性:  报文内容的机密性  通信活动的机密性  端点鉴别：  发送者和接收者能够证实对方的身份  报文完整性:  报文来自真实的源，且传输过程中未被修改  运行安全性：  网络不受攻击，网络服务可用

安全攻击的类型:被动攻击 口试图从系统中获取信息,但不对系统产生影响 两种类型 o偷听:监听并记录网络中传输的内容 o流量分析:从通信频度、报文长度等流量模式 推断通信的性质

安全攻击的类型：被动攻击 试图从系统中获取信息，但不对系统产生影响 两种类型： 偷听：监听并记录网络中传输的内容 流量分析：从通信频度、报文长度等流量模式 推断通信的性质

安全攻击的类型:主动攻击 口试图改变系统资源或影响系统的操作 T四种类型: o伪装:一个实体假冒另一个实体 o重放:从网络中被动地获取一个数据单元,经 过一段时间后重新发送到网络中 o报文修改:改变报文的部分内容、推迟发送报 文或改变报文的发送顺序 o拒绝服务:阻止通信设施的正常使用或管理

安全攻击的类型：主动攻击 试图改变系统资源或影响系统的操作 四种类型： 伪装：一个实体假冒另一个实体 重放：从网络中被动地获取一个数据单元，经 过一段时间后重新发送到网络中 报文修改：改变报文的部分内容、推迟发送报 文或改变报文的发送顺序 拒绝服务：阻止通信设施的正常使用或管理

常见的安全机制 口加密:使用数学算法对数据进行变换,使其不易理解 口鉴别:通过报文交换确信一个实体的身份,以防假冒 口数据完整性:用于保护数据单元或数据单元流的完整性, 以防报文修改 口数字签名:附加在一个数据单元后面的数据,用来证明数 据单元的起源及完整性,以防伪造及抵赖 □流量填充:在数据流间隙中插入比特,以挫败流量分析的 企图 口访问控制:通过授权机制限制用户对资源的访问,防止越 权

常见的安全机制  加密：使用数学算法对数据进行变换，使其不易理解  鉴别：通过报文交换确信一个实体的身份，以防假冒  数据完整性：用于保护数据单元或数据单元流的完整性， 以防报文修改  数字签名：附加在一个数据单元后面的数据，用来证明数 据单元的起源及完整性，以防伪造及抵赖  流量填充：在数据流间隙中插入比特，以挫败流量分析的 企图  访问控制：通过授权机制限制用户对资源的访问，防止越 权

Chapter 8 roadmap 8. 1 What is network security 8.2 Principles of cryptography 8. 3 Message integrity and Digital Signature 8.4 End point authentication 8.5 Securing e-mail 8.6 Securing TCP connections: SSL 8.7 Network layer security: IPsec 8.8 Securing wireless LANs 8.9 Operational security: firewalls and IDS 8: Network Security 8-9

8: Network Security 8-9 Chapter 8 roadmap 8.1 What is network security? 8.2 Principles of cryptography 8.3 Message integrity and Digital Signature 8.4 End point authentication 8.5 Securing e-mail 8.6 Securing TCP connections: SSL 8.7 Network layer security: IPsec 8.8 Securing wireless LANs 8.9 Operational security: firewalls and IDS

密码学术语 口明文( plaintext):欲加密的原始数据 口密文( ciphertext):明文经加密算法作用后的 输出 口密钥(key):加密和解密时需要使用的参数 口密码分析( cryptanalysis):破译密文 口密码学( cryptology):设计密码和破译密码的 技术统称为密码学

密码学术语  明文（plaintext）：欲加密的原始数据  密文（ciphertext）：明文经加密算法作用后的 输出  密钥（key）：加密和解密时需要使用的参数  密码分析（cryptanalysis）：破译密文  密码学（cryptology）：设计密码和破译密码的 技术统称为密码学

密码学术语(图示) ⊙Aice加 KA密密钥 ⊙Bob的解密 Kg 密钥 明文m 加密算法人密文KA(m) 解密算法明文mK(Am 8: Network Security

8: Network Security 8-11 密码学术语（图示） 明文 m 明文 m=KB 密文 (KA(m)) KA(m) KA A 加密算法 解密算法 Alice的加 密密钥 Bob的解密 KB 密钥