1、计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用第七章第七章 计算机网络的安全计算机网络的安全教学目标教学重点教学过程8/16/20221第1页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应
2、用网络技术与应用教学目标教学目标 了解计算机网络安全的概念了解计算机网络安全的概念 掌握常用加密掌握常用加密/解密的方法解密的方法 理解防火墙技术理解防火墙技术 了解病毒及其防治技术了解病毒及其防治技术8/16/20222第2页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用教学重点教学重点 掌握加密掌握加密/解密的方法解密的方法 掌握报文鉴别的方法掌握报文鉴别的方法8/16/2
3、0223第3页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用教学过程教学过程 网络安全问题概述网络安全问题概述 密码与信息加密密码与信息加密 防火墙技术防火墙技术 计算机病毒与防治计算机病毒与防治8/16/20224第4页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络
4、技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.1 网络安全问题概述网络安全问题概述 计算机网络安全的概念计算机网络安全的概念 网络安全的需求特性网络安全的需求特性 网络安全研究的主要问题网络安全研究的主要问题8/16/20225第5页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.1.1 计算机网络安全的概念计
5、算机网络安全的概念 国际标准化组织国际标准化组织(1SO)引用引用ISO 74982文献文献中对安全的定义是:安全就是最大程度地中对安全的定义是:安全就是最大程度地减少数据和资源被攻击的可能性。减少数据和资源被攻击的可能性。中华人民八和国计算机信息系统安全保护条例中华人民八和国计算机信息系统安全保护条例的第的第三条规范了包括计算机网络系统在内的计算机信息系统三条规范了包括计算机网络系统在内的计算机信息系统安全的概念:安全的概念:“计算机信息系统的安全保护,应当保障计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施计算机及其相关的和配套的设备、设施(含网络含网络)的安全,的安全
6、,运行环境的安全,保障信息的安全,保障计算机功能的运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。正常发挥,以维护计算机信息系统的安全运行。”8/16/20226第6页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.1.2 网络安全的需求特性网络安全的需求特性 网络安全保障的归结点还是网上的信息安网络安全保障的归结点还是网上的信息安全
7、全 信息安全的需求特性信息安全的需求特性机密性机密性 完整性完整性 可用性可用性 可控性可控性 不可否认性不可否认性8/16/20227第7页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.1.3 网络安全研究的主要问题网络安全研究的主要问题 网络安全涉及网络安全涉及5个层次的安全个层次的安全8/16/20228第8页,共49页。计算机网络技术与应用简明教程计算机网络技术与应
8、用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.1.3 网络安全研究的主要问题(网络安全研究的主要问题(1)物理安全物理安全 环境安全环境安全 设备安全设备安全 媒体安全媒体安全8/16/20229第9页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术
9、与应用网络技术与应用网络技术与应用7.1.3 网络安全研究的主要问题(网络安全研究的主要问题(2)网络安全网络安全网络安全局域网、子网安全访问控制(防火墙)网络检测(网络入侵监测系统)网络中数据传输安全数据加密(VPN等)网络运行安全备份与恢复应急网络协议安全TCP/IP其他协议8/16/202210第10页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.1.3 网络安全研究
10、的主要问题(网络安全研究的主要问题(3)系统安全系统安全系统安全操作系统安全反病毒系统安全检测入侵检测(监控)审计分析数据库系统安全数据库安全数据库管理系统安全8/16/202211第11页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.1.3 网络安全研究的主要问题(网络安全研究的主要问题(4)应用安全应用安全应用安全应用软件开发平台安全各种编程语言平台安全程序本身的安全应
11、用系统安全应用软件系统安全8/16/202212第12页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.1.3 网络安全研究的主要问题(网络安全研究的主要问题(5)管理安全管理安全 人在一系列的安全问题中总是处于主导的作用,人在一系列的安全问题中总是处于主导的作用,因此要解决这个问题须从技术和管理两个方面因此要解决这个问题须从技术和管理两个方面入手。入手。技术技术 管理管理8
12、/16/202213第13页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.2 密码与信息加密密码与信息加密 7.2.1 密码技术概述密码技术概述 7.2.2 对称加密算法对称加密算法 7.2.3 非对称加密算法非对称加密算法 7.2.4 报文鉴别报文鉴别8/16/202214第14页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学
13、出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.2 密码与信息加密密码与信息加密 密码学是一门古老而深奥的学科密码学是一门古老而深奥的学科 计算机密码学又是一门新兴的学科计算机密码学又是一门新兴的学科 随着计算机网络和计算机通信技术的发展,计随着计算机网络和计算机通信技术的发展,计算机密码学得到了前所未有的重视并迅速普及算机密码学得到了前所未有的重视并迅速普及和发展起来。在国外,它已成为计算机安全主和发展起来。在国外,它已成为计算机安全主要的研究方向。要的研究方向。
14、8/16/202215第15页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.2.1 密码技术概述密码技术概述 密码学的历史比较悠久,在四千年前,古密码学的历史比较悠久,在四千年前,古埃及人就开始使用密码来保密传递消息。埃及人就开始使用密码来保密传递消息。两千多年前,罗马国王两千多年前,罗马国王Julius Caesar(恺恺撒撒)就开始使用目前称为就开始使用目前称为“恺撒密
15、码恺撒密码”的密的密码系统。但是密码技术直到码系统。但是密码技术直到20世纪世纪40年代年代以后才有重大突破和发展。特别是以后才有重大突破和发展。特别是20世纪世纪70年代后期,由于计算机、电子通信的广年代后期,由于计算机、电子通信的广泛使用,现代密码学得到了空前的发展。泛使用,现代密码学得到了空前的发展。8/16/202216第16页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与
16、应用(一)一般的数据加密模型(一)一般的数据加密模型8/16/202217第17页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用一般的数据加密模型(一般的数据加密模型(1)加密算法与解密算法加密算法与解密算法 加密的基本思想是伪装明文(加密的基本思想是伪装明文(plaint text,未经现代密码学的一个未经现代密码学的一个基本原则是:一切秘密寓于密钥之中。在设计加密系统时,加
17、密基本原则是:一切秘密寓于密钥之中。在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。加密的信息)以隐算法是可以公开的,真正需要保密的是密钥。加密的信息)以隐藏其真实内容,即将明文藏其真实内容,即将明文X伪装成密文伪装成密文Y(cipher text,加密后的信加密后的信息息)。伪装明文的操作称为加密伪装明文的操作称为加密 由密文恢复出原文的过程称为解密由密文恢复出原文的过程称为解密 现代密码学的一个基本原则是:一切秘密寓于密钥之中。现代密码学的一个基本原则是:一切秘密寓于密钥之中。在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。在设计加密系统时,加密算法是可以公开的
18、,真正需要保密的是密钥。8/16/202218第18页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用一般的数据加密模型(一般的数据加密模型(2)密钥密钥 加密算法和解密算法的操作通常都是在一组密加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。钥的控制下进行的。对于同一种加密算法,密钥的位数越长,破译的难对于同一种加密算法,密钥的位数越长,破译的难度也就越大,安全性也就
19、越好,密钥空间度也就越大,安全性也就越好,密钥空间(key space)即二进制即二进制01组合的数目越大,密钥的可能范组合的数目越大,密钥的可能范围也就越大,那么攻击者就越不容易通过蛮力攻击围也就越大,那么攻击者就越不容易通过蛮力攻击(brute-force attack)来破译,只好用穷举法对密)来破译,只好用穷举法对密钥的所有组合进行猜测,直到成功地解密。钥的所有组合进行猜测,直到成功地解密。对称密码体制对称密码体制 非对称密码体制非对称密码体制8/16/202219第19页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网
20、络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用一般的数据加密模型(一般的数据加密模型(3)模型的数学表示模型的数学表示 明文用明文用M(Message,消息消息)或或P(Plaintext,明明文文)密文用密文用C(Ciphertext)加密加密E(Encrypt)EK(M)=C 解密解密D(Decrypt)DK(C)=M DK(EK(M)=M 8/16/202220第20页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络
21、技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用(二)基本的加密方法举例(二)基本的加密方法举例(1)替代加密替代加密 保持明文的字符顺序,只是将原字符替换并隐藏起来。保持明文的字符顺序,只是将原字符替换并隐藏起来。密钥为密钥为3 明文明文 caesar cipher 密文密文 FDHVDU FLSKHUa b c d e f g h i m q r s t u v w x y zD E F G H I J K L P T U V WX Y Z A B C8/16/202221第21页,共49
22、页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用(二)基本的加密方法举例(二)基本的加密方法举例(2)置换加密(变位加密)置换加密(变位加密)不隐藏原明文的字符,但不隐藏原明文的字符,但却将字符重新排序变位却将字符重新排序变位 密钥为密钥为 cipher 明文明文 Attack begin at four 密文密文 abacnuaiotettgfksr密钥C I P H E R顺序1 4
23、 5 3 2 6 注:此顺序与密钥等价,但不如密钥便于记忆明文a tta c K 注:明文的意思是“四时开始进攻”b e g in sa tf o u r8/16/202222第22页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.2.2 对称加密算法对称加密算法 加密密钥和解密密钥相同加密密钥和解密密钥相同 Dk(Ek(M)=C 典型算法:数据加密标准典型算法:数据加密标准
24、DES8/16/202223第23页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.2.3 非对称加密非对称加密 又称又称“公开密钥加密公开密钥加密”,密钥互不相同,密钥互不相同,公钥用来加密,私钥用来解密。公钥用来加密,私钥用来解密。Dsk(Epk(M)=C8/16/202224第24页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华
25、大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用RSA 公开密钥密码系统()公开密钥密码系统()RSA算法的安全性基于大整数分解的难度。算法的安全性基于大整数分解的难度。其公钥和私钥是一对大素数的函数。从一其公钥和私钥是一对大素数的函数。从一个公钥和密文中恢复出明文的难度等价于个公钥和密文中恢复出明文的难度等价于分解两个大素数的乘积。分解两个大素数的乘积。加密过程举例:加密过程举例:1)选择两个大素数)选择两个大素数p=7,q=17 2)计算)计算n=p*q=119
26、 3)计算)计算(n)=(p 1)(q 1)=96 8/16/202225第25页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用 4)从)从0,95中随机选取一个正整数中随机选取一个正整数e,1e(n),且,且e与与(n)互素。选互素。选e=5 )最后计算出满足)最后计算出满足e*d=1 mod(n)的的d=77。)公开密钥)公开密钥PK=(e,n)=5,119 )秘密密钥)秘
27、密密钥SK=(d,n)=77,119 )用公钥加密,)用公钥加密,Y=Xe mod n=66,即密即密文为文为66 )用私钥解密,)用私钥解密,X=Yd mod n=19,即明即明文为文为19 RSA 公开密钥密码系统()公开密钥密码系统()8/16/202226第26页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.2 报文鉴别报文鉴别 为了防止信息在传送的过程中被非法窃听
28、,可以采用数为了防止信息在传送的过程中被非法窃听,可以采用数据加密技术对信息进行加密;据加密技术对信息进行加密;为了防止信息被篡改或伪造,使用了鉴别技术为了防止信息被篡改或伪造,使用了鉴别技术;所谓鉴别,就是验证对象身份的过程,例如验证用户身所谓鉴别,就是验证对象身份的过程,例如验证用户身份、网络或数据串的完整性等,它保证了其他人不能冒份、网络或数据串的完整性等,它保证了其他人不能冒名顶替。名顶替。报文鉴别就是信息在网络通信的过程中,通信的接收方报文鉴别就是信息在网络通信的过程中,通信的接收方能够验证所收到的报文的真伪的过程,包括验证发送方能够验证所收到的报文的真伪的过程,包括验证发送方的身份
29、、报文内容、发送时间等等。的身份、报文内容、发送时间等等。8/16/202227第27页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用报文鉴别原理(报文鉴别原理(1)采用报文摘要算法来实现报文鉴别采用报文摘要算法来实现报文鉴别8/16/202228第28页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应
30、用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用报文鉴别原理(报文鉴别原理(2)在发送方在发送方A,将长度不定的报文,将长度不定的报文m经过报文摘要算法(也称为经过报文摘要算法(也称为MD算法)运算后,得到长度固定的报文算法)运算后,得到长度固定的报文H(m),H(m)称为报文摘要;称为报文摘要;使用发送方的私钥使用发送方的私钥SKA对报文对报文H(m)进行加密,生成报文摘要密文进行加密,生成报文摘要密文ESKA(H(m),并将其拼接在报文并将其拼接在报文m上,一起发送到接收方上,一起发送到接收方B;
31、在接收方,接收到报文在接收方,接收到报文m和报文摘要密文和报文摘要密文ESKA(H(m)后,将其用对应的后,将其用对应的发送方发送方A的公钥的公钥PKA进行解密进行解密DPKA(ESKA(H(m),还原为还原为H(m);将接收到的报文将接收到的报文m经过经过MD算法运算得到报文摘要,并将该报文摘要于算法运算得到报文摘要,并将该报文摘要于中中解得的解得的H(m)比较,判断两者是否相同,从而判断接收到的报文是否是发送端比较,判断两者是否相同,从而判断接收到的报文是否是发送端发送的。发送的。8/16/202229第29页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出
32、版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用报文鉴别原理(报文鉴别原理(3)报文鉴别特性报文鉴别特性防抵赖特性防抵赖特性发送方私钥加密的信息摘要,称为数字签名,即发送方私钥加密的信息摘要,称为数字签名,即ESKA(H(m)。接收方收到此签名,由于私钥。接收方收到此签名,由于私钥SKA的持有者只有发送方的持有者只有发送方A自己,因此接收方自己,因此接收方B,只需,只需用接收方算出的报文摘要用接收方算出的报文摘要H(m)和接收方解密的报和接收方解密的报文摘要
33、文摘要DPKA(ESKA(H(m)加以比较即可。若相加以比较即可。若相同,说明对应的公钥揭开了对应私钥加密的信息,同,说明对应的公钥揭开了对应私钥加密的信息,由于私钥的唯一性,也就可以断定发送方由于私钥的唯一性,也就可以断定发送方A的身份,的身份,A也就不能抵赖了。也就不能抵赖了。8/16/202230第30页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用报文鉴别原理(报文鉴别
34、原理(4)报文鉴别特性报文鉴别特性防篡改和防伪造特性防篡改和防伪造特性为了实现报文鉴别的不可篡改、不可伪造的目的,为了实现报文鉴别的不可篡改、不可伪造的目的,MD算法必须满算法必须满足下面的几个条件;足下面的几个条件;给定一个报文给定一个报文m,计算其报文摘要,计算其报文摘要H(m)是非常容易的;是非常容易的;给定一个报文摘要值给定一个报文摘要值y,想返回原始的报文,想返回原始的报文x,使得,使得H(x)=y是很难的,或者是不可能的,也就是是很难的,或者是不可能的,也就是MD算法是不可逆的;算法是不可逆的;给定给定m,想找到另外一个,想找到另外一个m,使得,使得H(m)=H(m)是很难的是很难
35、的,也就也就是要求是要求MD值是唯一的。值是唯一的。这样,就保证了攻击者无法伪造另外一个报文这样,就保证了攻击者无法伪造另外一个报文m,使得,使得H(m)=H(m),从而达到了报文鉴别的目的。,从而达到了报文鉴别的目的。8/16/202231第31页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3 防火墙技术防火墙技术 7.3.1 防火墙的概述防火墙的概述 7.3.2 典型
36、防火墙技术典型防火墙技术 7.3.3 防火墙的不足与新技术防火墙的不足与新技术8/16/202232第32页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3.1 防火墙概述防火墙概述 概念和模型概念和模型 由计算机硬件或软件系统构成防火墙,用来在由计算机硬件或软件系统构成防火墙,用来在内部可信任网络和外部非信任网络之间实施接内部可信任网络和外部非信任网络之间实施接入控制策略
37、,以保护内部安全,使敏感的数据入控制策略,以保护内部安全,使敏感的数据不被窃取和篡改。不被窃取和篡改。8/16/202233第33页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3.1 概述概述(1)功能功能1)防火墙是网络安全的屏障:一个防火墙能极大地提高一个内部网络的安全)防火墙是网络安全的屏障:一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务降低风险
38、。性,并通过过滤不安全的服务降低风险。2)防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配)防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。置,能将所有安全软件配置在防火墙上。3)对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,)对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。计数据。4)防止内部信息外泄:通过防火墙对内部网络的划分,可实现内)防止内部信息外泄:通过
39、防火墙对内部网络的划分,可实现内网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。局网络造成的影响。5)防止资源被滥用:防火墙支持具有)防止资源被滥用:防火墙支持具有Internet服务特性的服务特性的VPN,通过,通过VPN将企将企业单位分布在全世界各地的业单位分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。了专用通信线路,而且为信息共享提供了技术保障。8/16/202234第34页,共49页。计算机网络技术
40、与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3.1 概述概述(2)发展过程发展过程8/16/202235第35页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3.2 典型防火墙
41、技术典型防火墙技术(1)包过滤型防火墙包过滤型防火墙8/16/202236第36页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3.2 典型防火墙技术典型防火墙技术(2)应用代理防火墙应用代理防火墙8/16/202237第37页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术
42、与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3.2 典型防火墙技术典型防火墙技术(3)状态检测防火墙状态检测防火墙8/16/202238第38页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3.2 典型防火墙技术典型防火墙技术(4)自适应代理型防火墙自适应代理型防火墙8/16/202239第39页
43、,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.3.3 防火墙的不足与新技术防火墙的不足与新技术不能防范不经过防火墙的攻击行为不能防范不经过防火墙的攻击行为 不能防止来自内部的以及和外部勾结的攻击不能防止来自内部的以及和外部勾结的攻击防火墙对用户不完全透明防火墙对用户不完全透明限制或关闭一些有用但存在安全缺陷的网络服务限制或关闭一些有用但存在安全缺陷的网络服务防火墙不能有效地
44、防范数据驱动型的攻击防火墙不能有效地防范数据驱动型的攻击 防火墙也不能防范受到病毒感染的程序、文件或电子防火墙也不能防范受到病毒感染的程序、文件或电子邮件的传输。邮件的传输。防火墙不能防范防火墙不能防范Internet上不断出现的新的威胁手段和上不断出现的新的威胁手段和新的攻击方法。新的攻击方法。8/16/202240第40页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.4
45、 计算机病毒及防治计算机病毒及防治7.4.1 计算机病毒概述计算机病毒概述7.4.2 计算机病毒的特点及分类计算机病毒的特点及分类7.4.3 计算机病毒的检测和防治计算机病毒的检测和防治7.4.4 反病毒软件的选择反病毒软件的选择8/16/202241第41页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.4.1 计算机病毒概述(定义)计算机病毒概述(定义)一般来说,凡是能够
46、引起计算机故障、破坏计算机数据的一般来说,凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒程序统称为计算机病毒(Computer Virus)。依据此定义,。依据此定义,诸如逻辑炸弹、蠕虫等均可称为计算机病毒。诸如逻辑炸弹、蠕虫等均可称为计算机病毒。一种较为广泛的定义是:计算机病毒就是能够通过某种途径一种较为广泛的定义是:计算机病毒就是能够通过某种途径潜伏在计算机存储介质或程序之中,当达到某种条件即被激潜伏在计算机存储介质或程序之中,当达到某种条件即被激活,对计算机资源进行破坏的一组程序或指令集合。活,对计算机资源进行破坏的一组程序或指令集合。1994年年2月月18日,我国正式颁布
47、实施日,我国正式颁布实施中华人民共和国计算中华人民共和国计算机信息系统安全保护条例机信息系统安全保护条例,在,在条例条例第二十八条中明确第二十八条中明确指出:指出:“计算机病毒,是指编制或者在计算机程序中插入的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。复制的一组计算机指令或者程序代码。”8/16/202242第42页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网
48、络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.4.1 计算机病毒概述(产生)计算机病毒概述(产生)1949年,约翰年,约翰冯纽曼提出一种会自我繁殖的程序冯纽曼提出一种会自我繁殖的程序(现现在称为病毒在称为病毒)。1959年,年,Bell实验室的实验室的Core War,计算机病毒的雏形。,计算机病毒的雏形。1983年,年,VAXII/750计算机系统上运行,第一个病计算机系统上运行,第一个病毒实验成功毒实验成功。1986年初,第一个真正的计算机病毒问世,即在巴基斯年初,第一个真正的计算机病毒问世,即在巴基斯坦出现
49、的坦出现的“Brain”病毒。病毒。1989年,我国发现最早的小球病毒报告。年,我国发现最早的小球病毒报告。1989年年7月,第一个反病毒软件月,第一个反病毒软件KILL6.0问世。问世。8/16/202243第43页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.4.2 计算机病毒的特点及分类(计算机病毒的特点及分类(1)特点特点传染性传染性传染性是判断一段程序代码是否为计
50、算机病毒的传染性是判断一段程序代码是否为计算机病毒的根本依据根本依据 隐蔽性隐蔽性潜伏性及可触发性潜伏性及可触发性CIH,冲击波,冲击波MSblast等等破坏性破坏性8/16/202244第44页,共49页。计算机网络技术与应用简明教程计算机网络技术与应用简明教程 清华大学出版社清华大学出版社网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用网络技术与应用7.4.2 计算机病毒的特点及分类(计算机病毒的特点及分类(2)分类分类1按感染方式分为引导型、文件型和混合型按感染方式分为引导型、文件型