1、计算机网络安全,第一章,1.1信息安全和网络安全,病毒,信息,病毒,信息,攻击,窃取,主机安全和网络安全,主机安全信息不被窃取;提供正常服务;不感染病毒。网络安全信息正常传输;按照授权进行操作。,网络安全成为主因,病毒通过网络传播;通过网络瘫痪主机;通过网络窃取主机信息;网络成为引发主机安全问题的主要原因!,网络安全问题,非法接入;传播病毒;拒绝服务攻击;窃取信息;源地址欺骗。,1.2信息安全目标,适用性;保密性;完整性;不可抵赖性;可控制性。,1.3 网络安全机制,加密、报文摘要算法和数字签名;接入控制和认证机制;分组检测和信息流管制机制;入侵防御机制;应用层安全机制。,加密、报文摘要算法和
2、数字签名,加密,Y=EK1(P)P=DK2(Y)DK2(EK1(P)=P加密解密过程,报文摘要算法,加密、报文摘要算法和数字签名,报文的报文摘要不变,确定报文不变的前提:根据报文P,找出P,P P,但MD(P)= MD(P)计算上不可行!,数字签名,加密、报文摘要算法和数字签名,数字签名成立的前提:根据报文P,找出P,P P,但MD(P)= MD(P),计算上不可行!只有发送者拥有密钥K1;密钥K2和密钥K1一一对应,即只能用密钥K2解密密钥K1加密的密文。,接入控制和认证机制,接入控制只允许授权用户接入网络;合法注册用户才是授权用户;认证用于鉴别用户是否是注册用户;认证通过用户发送的数据携带
3、用户标识。,明文传输用户名和口令,传输对口令运算后的结果,基于端口方式一旦认证用户身份,一切通过该端口输入输出的数据都认定是注册用户的数据,因此,当该端口只连接注册用户终端时,才能使用基于端口方式。基于MAC地址方式,完成用户身份认证,记录下该用户终端的MAC地址,以后所有源地址为该MAC地址的数据认定是注册用户的数据。,接入控制和认证机制,授权用户一旦通过身份认证,S4端口1记录下授权用户终端的MAC地址;以后只有源MAC地址属于访问控制列表中MAC地址的MAC帧才能经过S4转发。,接入控制和认证机制,分组检测和信息流管制,将网络分成若干区,精致定义允许各区间传输的信息类型;信息类型可以依据源和目的IP地址、源和目的端口号,及其他首部字段值确定;有状态分组检测可以将同一信息类型定义为完成某次资源访问所涉及全部报文。,入侵防御系统,入侵防御系统主要用于监测流经关键网段的信息流;是否协议异常、是否是已知恶意代码、是否是木马病毒反向连接、是否是非正常流量等等。,应用层安全机制,Web站点和用户之间的双向认证,防止登录伪造商务网站泄漏私密信息。建立银行、客户和商家之间关联,保证公平、安全交易。,1.4 网络安全体系,每一层都需实行安全功能;各层安全功能有机集成;直接面向终端的接入网络必须提供接入控制功能。,
