网络安全培训课程资料.ppt

1、课课 程程 综综 述述课课 程程 内内 容容 本课程以分析计算机网络面临的安全威胁为起点，本课程以分析计算机网络面临的安全威胁为起点，阐述了常用的网络安全技术，介绍了主流网络安全产阐述了常用的网络安全技术，介绍了主流网络安全产品和常用网络安全策略，并着重强调内容安全（防病品和常用网络安全策略，并着重强调内容安全（防病毒）在网络安全中的重要地位。毒）在网络安全中的重要地位。q分析计算机网络面临的安全威胁分析计算机网络面临的安全威胁q阐述常用的计算机网络安全技术阐述常用的计算机网络安全技术q介绍主要的网络安全产品类型介绍主要的网络安全产品类型q推荐企业网络安全策略推荐企业网络安全策略课课 程程 综

2、综 述述课程目标课程目标 本课程的目标是提高学员的网络安全意识，使学本课程的目标是提高学员的网络安全意识，使学员熟悉基本的网络安全理论知识和常用网络安全产品，员熟悉基本的网络安全理论知识和常用网络安全产品，了解部署整个网络安全的防护系统和策略的方法。在了解部署整个网络安全的防护系统和策略的方法。在此基础上，让学员充分了解病毒防范的重要性和艰巨此基础上，让学员充分了解病毒防范的重要性和艰巨性，了解性，了解“内部人员的不当使用内部人员的不当使用”和和“病毒病毒”是整个是整个网络系统中最难对付的两类安全问题。网络系统中最难对付的两类安全问题。q全面了解基本的网络弱点全面了解基本的网络弱点q了解安全技

3、术原理了解安全技术原理q了解各类安全技术的产品及其实现方式了解各类安全技术的产品及其实现方式q了了解解内内容容安安全全（防防病病毒毒）的的难难度度及及在在网网络络安安全全中日益重要的地位中日益重要的地位网络安全概述网络安全概述第一章网网 络络 安安 全全 概概 述述本本 章章 概概 要要 本章介绍网络安全的定义、安全网络的基本本章介绍网络安全的定义、安全网络的基本特征以及计算机网络面临的威胁。本章内容包含特征以及计算机网络面临的威胁。本章内容包含以下几部分：以下几部分：q网络安全背景网络安全背景q计算机网络面临的威胁计算机网络面临的威胁q网络安全的定义网络安全的定义q安全网络的基本特征安全网络

4、的基本特征网网 络络 安安 全全 概概 述述课课 程程 目目 标标通过本章的学习，学员应能够了解：通过本章的学习，学员应能够了解：q网络安全的定义及其涵盖的范围网络安全的定义及其涵盖的范围q计算机网络面临的威胁主要来自哪些方面计算机网络面临的威胁主要来自哪些方面q安全的计算机网络的基本特征安全的计算机网络的基本特征在我们的生活中，经常可以听到下面的报道：在我们的生活中，经常可以听到下面的报道：qXX网站受到黑客攻击网站受到黑客攻击qXX计算机系统受到攻击，造成客户数据丢失计算机系统受到攻击，造成客户数据丢失q目前又出现目前又出现XX计算机病毒，已扩散到各大洲计算机病毒，已扩散到各大洲q网络安全

5、的背景网络安全的背景计算机网络在带给我们便利的同时已经体现出计算机网络在带给我们便利的同时已经体现出了它的脆弱性了它的脆弱性网络安全的背景网络安全的背景经常有网站遭受黑客攻击经常有网站遭受黑客攻击网络安全的背景网络安全的背景用户数据的泄漏用户数据的泄漏网络安全的背景网络安全的背景调查显示：网络攻击数量与日俱增调查显示：网络攻击数量与日俱增http:/www.cert.org/stats/cert_stats.htmlIncidentsreportedtoCERT/CCinrecentyearsYear网络安全的背景网络安全的背景网络病毒在全球范围内高速扩散网络病毒在全球范围内高速扩散2001年

6、年7月月19日日 01:05:00 2001年年7月月19日日 20:15:00 网络病毒在全球范围内高速扩散网络病毒在全球范围内高速扩散Sat Jan 25 05:29:00 2003Sat Jan 25 06:00:00 2003网络安全的背景网络安全的背景黑客攻击技术与网络病毒日趋融合黑客攻击技术与网络病毒日趋融合网络安全的背景网络安全的背景攻击者需要的技能日趋下降攻击者需要的技能日趋下降攻击工具攻击工具复杂性复杂性攻击者所攻击者所需技能需技能网络安全面临的威胁网络安全面临的威胁互联网在推动社会发展的同时，也面临着日益严互联网在推动社会发展的同时，也面临着日益严重的安全问题：重的安全问题

7、：q信息系统存在诸多弱点信息系统存在诸多弱点q企业外部的网络攻击企业外部的网络攻击q企业内部发起的网络破坏企业内部发起的网络破坏q计算机病毒的破坏计算机病毒的破坏q计算机网络的最大威胁是来自企业内部员工的计算机网络的最大威胁是来自企业内部员工的恶意攻击和计算机病毒的威胁。恶意攻击和计算机病毒的威胁。网络安全面临的威胁网络安全面临的威胁网络面临多种风险网络面临多种风险物理风险 系统风险信息风险应用风险其它风险网络的风险管理风险 设备防盗，防毁设备防盗，防毁设备防盗，防毁设备防盗，防毁 链路老化人为破坏链路老化人为破坏链路老化人为破坏链路老化人为破坏 网络设备自身故障网络设备自身故障网络设备自身故

8、障网络设备自身故障 停电导致无法工作停电导致无法工作停电导致无法工作停电导致无法工作 机房电磁辐射机房电磁辐射机房电磁辐射机房电磁辐射 其他其他其他其他 信息存储安全信息存储安全信息存储安全信息存储安全 信息传输安全信息传输安全信息传输安全信息传输安全 信息访问安全信息访问安全信息访问安全信息访问安全 其他其他其他其他 身份鉴别身份鉴别身份鉴别身份鉴别 访问授权访问授权访问授权访问授权 机密性机密性机密性机密性 完整性完整性完整性完整性 不可否认性不可否认性不可否认性不可否认性 可用性可用性可用性可用性 计算机病毒计算机病毒计算机病毒计算机病毒 外部攻击外部攻击外部攻击外部攻击 内部破坏内部破

9、坏内部破坏内部破坏 其他风险其他风险其他风险其他风险 软件弱点软件弱点软件弱点软件弱点是否存在管理方面是否存在管理方面是否存在管理方面是否存在管理方面的风险需的风险需的风险需的风险需有无制定相应的安有无制定相应的安有无制定相应的安有无制定相应的安全制度全制度全制度全制度 安全拓扑安全拓扑安全拓扑安全拓扑 安全路由安全路由安全路由安全路由Internet磁盘意外损坏磁盘意外损坏磁盘意外损坏磁盘意外损坏光盘意外损坏光盘意外损坏光盘意外损坏光盘意外损坏磁带被意外盗走磁带被意外盗走磁带被意外盗走磁带被意外盗走 导致数据丢失导致数据丢失导致数据丢失导致数据丢失 导致数据无法访问导致数据无法访问导致数据无

10、法访问导致数据无法访问信息系统的弱点信息系统的弱点信息存储的弱点信息存储的弱点信息系统的弱点信息系统的弱点信息传输的弱点信息传输的弱点搭线窃听信息总部总部下属机构下属机构黑客黑客 信息泄密信息泄密信息泄密信息泄密 信息被篡改信息被篡改信息被篡改信息被篡改Internet企业网络企业网络非法用户非法用户非法登录非法登录合法用户合法用户越权访问越权访问信息系统的弱点信息系统的弱点计算机网络计算机网络信息被非法访问信息被非法访问 信息被越权访问信息被越权访问信息被越权访问信息被越权访问 信息被非授权访问信息被非授权访问信息被非授权访问信息被非授权访问各种网络攻击各种网络攻击企业外部的网络攻击企业外部

11、的网络攻击q1993年年3月月1日，由于骇客入侵，纽约市区供电日，由于骇客入侵，纽约市区供电中断中断8个小时，造成巨大经济损失。个小时，造成巨大经济损失。q1998年年6月，国内某著名银行一用户通过网络使月，国内某著名银行一用户通过网络使用非法手段盗支用非法手段盗支36万元人民币。万元人民币。q1999年年8月，一少年侵入德里医院篡改血库信息，月，一少年侵入德里医院篡改血库信息，致使致使12名病人因错误输血而死亡。名病人因错误输血而死亡。q据美国金融时报报道，现在平均每据美国金融时报报道，现在平均每20秒就发秒就发生一次入侵计算机网络的事件；超过生一次入侵计算机网络的事件；超过1/3的互联的互

12、联网被攻破。网被攻破。q各种网络攻击各种网络攻击企业内部的网络破坏企业内部的网络破坏q统计显示：来自统计显示：来自企业内部的网络企业内部的网络破坏更加危险；破坏更加危险；q员工的不正常使员工的不正常使用也是企业内网用也是企业内网的一个重要不安的一个重要不安全因素。全因素。尽管企业外部的攻击可以对企业网络造成巨大威尽管企业外部的攻击可以对企业网络造成巨大威胁，企业内部员工的不正确使用和恶意破坏是一种更胁，企业内部员工的不正确使用和恶意破坏是一种更加危险的因素。加危险的因素。摘自ICSA/FBI,2001 计算机病毒的破坏计算机病毒的破坏q1998年，年，CIH病毒影响到病毒影响到2000万台计算

13、机；万台计算机；q1999年，梅利莎造成年，梅利莎造成8000万美元损失；万美元损失；q2000年，爱虫病毒影响到年，爱虫病毒影响到1200万台计算机，损万台计算机，损失高达几十亿美元；失高达几十亿美元；q2001年，红色代码病毒，目前造成的损失已超年，红色代码病毒，目前造成的损失已超过十二亿美元。过十二亿美元。q现在计算机病毒已达现在计算机病毒已达5万多种，并呈几何级数增长万多种，并呈几何级数增长网络安全问题的严重性网络安全问题的严重性网络安全隐患到处存在网络安全隐患到处存在q据美国金融时报报道，现在平均每据美国金融时报报道，现在平均每20秒就发秒就发生一次入侵计算机网络的事件；超过生一次入

14、侵计算机网络的事件；超过1/3的互联的互联网被攻破。网被攻破。q被认为保护措施最严密的美国白宫被多次闯入。被认为保护措施最严密的美国白宫被多次闯入。q中国国内中国国内80的网络存在安全隐患，的网络存在安全隐患，20的网的网站有严重安全问题。站有严重安全问题。q网络安全问题的严重性网络安全问题的严重性网络安全问题造成的巨大损失网络安全问题造成的巨大损失q据统计，在全球范围内，由于信息系统的脆弱性据统计，在全球范围内，由于信息系统的脆弱性而导致的经济损失，每年达数亿美元，并且呈逐而导致的经济损失，每年达数亿美元，并且呈逐年上升的趋势。年上升的趋势。q美国美国FBI统计数据：美国每年因为网络安全问题

15、统计数据：美国每年因为网络安全问题而造成的经济损失高达而造成的经济损失高达75亿美圆。亿美圆。q网络安全的定义网络安全的定义q广义的网络安全定义：凡是涉及到网络上信息广义的网络安全定义：凡是涉及到网络上信息的安全性，完整性，可用性，真实性和可控性的安全性，完整性，可用性，真实性和可控性的相关理论和技术都是网络信息安全所要研究的相关理论和技术都是网络信息安全所要研究的领域。的领域。q狭义的网络安全定义：指信息内容的安全性，狭义的网络安全定义：指信息内容的安全性，即保护信息的秘密性、真实性和完整性，避免即保护信息的秘密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、攻击者利用系统的

16、安全漏洞进行窃听、冒充、诈骗、盗用等有损合法用户利益的行为，保护诈骗、盗用等有损合法用户利益的行为，保护合法用户的利益和隐私。合法用户的利益和隐私。q本课程涉及的网络安全是指狭义的网络安全。本课程涉及的网络安全是指狭义的网络安全。网络安全从其本质上来讲就是网络上的信息安全，网络安全从其本质上来讲就是网络上的信息安全，它涉及的范围相当广。它涉及的范围相当广。安全网络的特征安全网络的特征安全的网络具有下列四个特征：安全的网络具有下列四个特征：q保密性保密性q完整性完整性q可用性可用性q可控性可控性如何构建一个安全的网络？如何构建一个安全的网络？构建计划周密、安全可行的安防体系构建计划周密、安全可行

17、的安防体系人人 制度制度 技术技术安防体系安防体系q完整的安防体系应该由人、制度和技术三方面完整的安防体系应该由人、制度和技术三方面组成；组成；q本课程的第二章到第四章讨论了网络安全技术本课程的第二章到第四章讨论了网络安全技术的相关问题；的相关问题；q本课程第五章着重讨论了安防体系中人和制度本课程第五章着重讨论了安防体系中人和制度的因素，并提出了规划企业安防体系的一般方的因素，并提出了规划企业安防体系的一般方法。法。计算机网络面临的计算机网络面临的安全威胁安全威胁第二章本章概要本章概要计算机网络面临的安全威胁计算机网络面临的安全威胁本章分析了威胁计算机网络安全的各种因素，具本章分析了威胁计算机

18、网络安全的各种因素，具体如下：体如下：q网络安全漏洞网络安全漏洞q网络攻击概述网络攻击概述q网络攻击手段网络攻击手段q计算机病毒的危害计算机病毒的危害网络安全漏洞网络安全漏洞q系统存在安全方面的脆弱性系统存在安全方面的脆弱性q非法用户得以获得访问权非法用户得以获得访问权q合法用户未经授权提高访问权限合法用户未经授权提高访问权限q系统易受来自各方面的攻击系统易受来自各方面的攻击网络安全漏洞的概念网络安全漏洞的概念q网络协议的安全漏洞网络协议的安全漏洞q操作系统的安全漏洞操作系统的安全漏洞q应用程序的安全漏洞应用程序的安全漏洞安全漏洞的分类安全漏洞的分类网络安全漏洞网络安全漏洞q系统和软件的设计存

19、在缺陷，通信协议不完备；系统和软件的设计存在缺陷，通信协议不完备；如如TCP/IP协议就有很多漏洞。协议就有很多漏洞。q技术实现不充分；如很多缓存溢出方面的漏洞就技术实现不充分；如很多缓存溢出方面的漏洞就是在实现时缺少必要的检查。是在实现时缺少必要的检查。q配置管理和使用不当也能产生安全漏洞；配置管理和使用不当也能产生安全漏洞；如口令如口令过于简单，很容易被黑客猜中。过于简单，很容易被黑客猜中。安全漏洞产生的原因安全漏洞产生的原因网络安全漏洞网络安全漏洞常见的常见的Internet服务中都存在安全漏洞：服务中都存在安全漏洞：安全漏洞安全漏洞FTP文件传输的安全漏洞WWW服务的安全漏洞Usene

20、t新闻的安全漏洞网络服务的安全漏洞网络文件系统的安全漏洞电子邮件的安全漏洞Telnet的安全漏洞网络安全漏洞网络安全漏洞常见的常见的Internet服务中都存在安全漏洞：服务中都存在安全漏洞：安全漏洞安全漏洞FTP文件传输的安全漏洞WWW服务的安全漏洞Usenet新闻的安全漏洞网络服务的安全漏洞网络文件系统的安全漏洞电子邮件的安全漏洞Telnet的安全漏洞网络攻击网络攻击病毒破坏病毒破坏网络攻击概述网络攻击概述网络攻击的概念网络攻击的概念q利用安全漏洞利用安全漏洞q使用攻击软件或命令使用攻击软件或命令使用网络命令使用网络命令使用专用网络软件使用专用网络软件自己编写攻击软件自己编写攻击软件q攻击

21、具体内容攻击具体内容非法获取、修改或删除用户系统信息非法获取、修改或删除用户系统信息在用户系统上增加垃圾、色情或有害的信息在用户系统上增加垃圾、色情或有害的信息破坏用户的系统破坏用户的系统网络攻击概述网络攻击概述常见的网络攻击者常见的网络攻击者q骇客（骇客（Hacker）q黑客（黑客（Cracker）q幼稚黑客（幼稚黑客（ScriptKiddie）q内奸内奸q工业间谍工业间谍q病毒制造者病毒制造者q网络攻击概述网络攻击概述网络攻击的工具网络攻击的工具q分布式工具分布式工具(DistributedDistributedTool)q攻击程序攻击程序(IntrusionProgram)q自治代理自治

22、代理(AutonomousAgents)q工具集工具集(ToolSets)q用户命令用户命令(UserCommand)网络攻击概述网络攻击概述一个网络攻击的组成一个网络攻击的组成网络攻击攻击者工具访问结果目标骇客黑客幼稚黑客内奸工业间谍分布式工具程序自治代理工具集用户命令信息破坏信息暴露服务偷窃服务拒绝 破坏配置的脆弱点实现的漏洞黑客黑客用户命令用户命令配置的脆弱点配置的脆弱点信息破坏信息破坏破坏破坏网络攻击的类型网络攻击的类型q拒绝服务：使遭受的资源目标不能继续正常提拒绝服务：使遭受的资源目标不能继续正常提供服务供服务q侵入攻击：攻击者窃取到系统的访问权并盗用侵入攻击：攻击者窃取到系统的访问

23、权并盗用资源资源q信息盗窃：攻击者从目标系统中偷走数据。信息盗窃：攻击者从目标系统中偷走数据。q信息篡改：攻击者篡改信息内容。信息篡改：攻击者篡改信息内容。网络攻击主要可以分为以下几种类型：网络攻击主要可以分为以下几种类型：网络攻击的类型网络攻击的类型拒绝服务（拒绝服务（DenialofService）CPUCPU拒绝服务拒绝服务网络攻击的类型网络攻击的类型信息盗窃（信息盗窃（Eavesdropping）信息盗窃信息盗窃telnetfoo.bar.orgusername:danpassword:m-y-p-a-s-s-w-o-r-dd-a-n网络攻击的类型网络攻击的类型侵入攻击（侵入攻击（In

24、trusion）Bob侵入攻击侵入攻击ImBob,PleaseletmeLogin.网络攻击的类型网络攻击的类型信息篡改（信息篡改（LossofIntegrity）BankCustomerDeposit$1000Deposit$100信息篡改信息篡改常见的网络攻击手段常见的网络攻击手段主要网络攻击手段主要网络攻击手段qE-Mail炸弹炸弹(E-MailBombing)q逻辑炸弹逻辑炸弹(LogicBombing)qDDos攻击攻击(DistributedDenialofService)q特洛伊木马特洛伊木马(TrojanHorseProgram)q口令入侵口令入侵(PasswordIntrus

25、ion)q网络窃听网络窃听(Eavesdropping)qIP地址欺骗地址欺骗(IPSpoofing)q病毒攻击病毒攻击(Viruses)计算机病毒的危害计算机病毒的危害q计算机病毒的概念计算机病毒的概念q计算机病毒的特征计算机病毒的特征q计算机病毒的种类计算机病毒的种类q网络病毒网络病毒q网络病毒的特点及危害性网络病毒的特点及危害性q常见的网络病毒常见的网络病毒q病毒病毒网络攻击的有效载体网络攻击的有效载体本部分主要讨论以下几内容：本部分主要讨论以下几内容：计算机病毒的概念计算机病毒的概念计算机病毒是指一段具有自我复制和传播功能计算机病毒是指一段具有自我复制和传播功能的计算机代码，这段代码通

26、常能影响计算机的正常的计算机代码，这段代码通常能影响计算机的正常运行，甚至破坏计算机功能和毁坏数据。运行，甚至破坏计算机功能和毁坏数据。计算机病毒的特征计算机病毒的特征q病毒是一段可执行的程序病毒是一段可执行的程序q病毒具有广泛的传染性病毒具有广泛的传染性q病毒具有很强的隐蔽性病毒具有很强的隐蔽性q病毒具有潜伏性病毒具有潜伏性q病毒具有可触发性病毒具有可触发性q病毒具有破坏性病毒具有破坏性计算机病毒的种类计算机病毒的种类q启动型病毒启动型病毒q文件型病毒文件型病毒q宏病毒宏病毒qScript病毒病毒qJAVA病毒病毒qShockwave病毒病毒网络病毒的概念网络病毒的概念利用网络协议及网络的体

27、系结构作为传播的途径利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。机病毒称为网络病毒。网络病毒的特点及危害网络病毒的特点及危害q破坏性强破坏性强q传播性强传播性强q针对性强针对性强q扩散面广扩散面广q传染方式多传染方式多q消除难度大消除难度大常见的网络病毒常见的网络病毒q蠕虫病毒蠕虫病毒q多态病毒多态病毒q伙伴病毒伙伴病毒q梅利莎病毒梅利莎病毒qBO病毒病毒q隐藏病毒隐藏病毒qJAVA病毒病毒病毒病毒网络攻击的有效载体网络攻击的有效载体网络的新威胁网络的新威胁病毒病毒+网络攻击网络攻击网

28、络安全技术基础网络安全技术基础第三章网络安全技术基础网络安全技术基础本本 章章 概概 要要 本章首先介绍了计算机网络的基本知识，然后本章首先介绍了计算机网络的基本知识，然后分别就各种网络安全技术进行了阐述。本章涉及的分别就各种网络安全技术进行了阐述。本章涉及的网络安全技术有：网络安全技术有：q数据加密技术数据加密技术（Encryption）q身份认证技术（身份认证技术（Authentication）q包过滤技术（包过滤技术（PacketFiltering）q资源授权使用（资源授权使用（Authorization）q内容安全（防病毒）技术内容安全（防病毒）技术网络安全技术基础网络安全技术基础课课

29、 程程 目目 标标 通过本章的学习，学员应能够了解：通过本章的学习，学员应能够了解：q计算机网络的基本知识和常用网络协议计算机网络的基本知识和常用网络协议q常用的网络安全技术及其适用范围常用的网络安全技术及其适用范围q内容安全（防病毒）技术在网络安全领域的内容安全（防病毒）技术在网络安全领域的重要地位重要地位计算机网络基础知识计算机网络基础知识计算机网络的分层结构计算机网络的分层结构q复杂的计算机网络复杂的计算机网络q计算机网络的七层模型（计算机网络的七层模型（OSI）qTCP/IP网络的层次结构网络的层次结构常用的网络协议和网络技术常用的网络协议和网络技术qTCP/IP协议族协议族q局域网技

30、术和广域网技术局域网技术和广域网技术常见的常见的Internet服务服务复杂的计算机网络复杂的计算机网络计算机网络分层结构计算机网络分层结构IBM3274Dial-on-DemandSDLCT1/E1XWindowsASCIIProtocolTranslatorLATHostPoint-to-PointSMDS,X.25,FrameRelayIBMMainframewithFEPFDDIDialBackupDialBackupLoadSharingLANSwitchLANSwitchInter-SwitchLink(ISL)VLANsSwitch1Switch2Switch3Switch4Ro

31、uter1Router2Router3Router4Router5Router6Router7Router8OSI七层模型七层模型计算机网络分层结构计算机网络分层结构应用层Application Layer表示层Presentation Layer会话层Session Layer传输层Transport Layer网络层Network Layer数据链路层Data Link Layer物理层Physical Layer与用户应用的接口数据格式的转换会话管理与数据同步端到端的可靠传输分组传送、路由选择、流量控制相邻节点间无差错地传送帧在物理媒体上透明传送位流OSI七层模型七层模型计算机网络分层结

32、构计算机网络分层结构应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层应用层协议表示层协议会话层协议传输层协议主机主机A主机主机B路由器路由器路由器路由器计算机网络分层结构计算机网络分层结构TCP/IP网络层次结构网络层次结构应用层Application Layer表示层Presentation Layer会话层Session Layer传输层Transport Layer网络层Network Layer数据链路层Data Link Layer物理层Physical Layer应用层Application L

33、ayer传输层Transport Layer互联网络层Inter-Networking Layer网络接口层Network Access LayerTCP/IP网络分层结构网络分层结构OSI网络分层结构网络分层结构计算机网络分层结构计算机网络分层结构应用层Application Layer传输层Transport Layer互联网络层Inter-Networking Layer网络接口层Network Access LayerXWindowNFSSMTPDNSSNMPHTTPFTPTelnetUDPTCPIPRARPARPBootPICMPFDDITokenRingX.25EthernetTC

34、P/IP网络层次结构网络层次结构常用的网络协议和网络技术常用的网络协议和网络技术TCP/IP协议族协议族(网络互联层和传输层网络互联层和传输层)qIP协议：协议：InternetProtocolqTCP协议：协议：TransmissionControlProtocolqUDP协议：协议：UserDatagramProtocolqICMP协议：协议：InternetControlMessageProtocolqARP协议：协议：AddressResolutionProtoclqRARP协议：协议：ReversedAddressResolutionProtocol常用的网络协议和网络技术常用的网络

35、协议和网络技术TCP/IP协议族协议族(应用层应用层)qHTTP：HyperTextTransmissionProtocolqFTP：FileTransmissionProtocolqSMTP：SimpleMailTransmissionProtocolqDNS：DomainnameServiceqSNMP：SimpleNetworkManagementProtocolqTelnetqPOP3常用的网络协议和网络技术常用的网络协议和网络技术TCP/IP协议支持的链路层协议协议支持的链路层协议qEthernetqTokenRingqFDDIqHLDCqPPPqX.25qFrameRelayTCP

36、/IP协议几乎能支持所有的链路层协议，包括协议几乎能支持所有的链路层协议，包括局域网协议和广域网协议局域网协议和广域网协议常用的网络协议和网络技术常用的网络协议和网络技术局域网局域网(LAN)技术技术q令牌环网（令牌环网（TokenRing）q分布式光纤接入（分布式光纤接入（FDDI）q以太网以太网/快速以太网快速以太网/千兆以太网（千兆以太网（Ethernet/FastEthernet/GigabitEthernet）常用的网络协议和网络技术常用的网络协议和网络技术局域网局域网(LAN)常见设备常见设备集线器（集线器（HUB）交换机（交换机（Switch）网卡（网卡（NIC）PCMCIA网卡

37、网卡常用的网络协议和网络技术常用的网络协议和网络技术广域网广域网(WAN)技术技术q租用专线（租用专线（LeasedLine）q帧中继技术（帧中继技术（FrameRelay）q电话拨号接入技术（电话拨号接入技术（DialUp）qISDN拨号接入技术（拨号接入技术（ISDN）q虚拟专用网技术（虚拟专用网技术（VPN）Serviceprovider常用的网络协议和网络技术常用的网络协议和网络技术广域网广域网(WAN)常见设备常见设备ADSL路由器路由器CableModemISDN适配器适配器常见的常见的Internet服务服务电子邮件电子邮件WWW WWW 服务服务TelnetTelnet文件传输

38、文件传输网络管理网络管理拨号网络拨号网络数据加密技术数据加密技术 q数据加密的概念数据加密的概念q数据加密技术原理数据加密技术原理q数据传输的加密数据传输的加密q常用加密协议常用加密协议本部分涉及以下内容：本部分涉及以下内容：数据加密的概念数据加密的概念 数据加密模型数据加密模型密文密文网络信道网络信道明文明文明文明文q三要素：信息明文三要素：信息明文(Plaintext)、密钥、密钥(Key)、信息密文信息密文(Ciphertext).加密密钥加密密钥信息窃取者信息窃取者解密密钥解密密钥加密算法加密算法解密算法解密算法数据加密的概念数据加密的概念 数据加密技术的概念数据加密技术的概念数据加密

39、数据加密(Encryption)是指将明文信息是指将明文信息(Plaintext)采取数学方法进行函数转换成密文采取数学方法进行函数转换成密文(Ciphertext)，只有特定接受方才能将其解密只有特定接受方才能将其解密(Decryption)还原成明文的过程。还原成明文的过程。q明文明文(Plaintext)：加密前的原始信息；加密前的原始信息；q密文密文(Ciphertext)：明文被加密后的信息；：明文被加密后的信息；q密钥密钥(Key)：控制加密算法和解密算法得以实控制加密算法和解密算法得以实现的关键信息，分为加密密钥和解密密钥；现的关键信息，分为加密密钥和解密密钥；q加密加密(Enc

40、ryption)：将明文通过数学算法转换将明文通过数学算法转换成密文的过程；成密文的过程；q解密解密(Decryption)：将密文还原成明文的过程。将密文还原成明文的过程。数据加密的概念数据加密的概念 数据加密技术的应用数据加密技术的应用q数据保密；数据保密；q身份验证；身份验证；q保持数据完整性；保持数据完整性；q确认事件的发生。确认事件的发生。数据加密技术原理数据加密技术原理 q对称密钥加密（保密密钥法）对称密钥加密（保密密钥法）q非对称密钥加密（公开密钥法）非对称密钥加密（公开密钥法）q混合加密算法混合加密算法q哈希（哈希（Hash）算法算法q数字签名数字签名q数字证书数字证书q公共密

41、钥体系公共密钥体系数据加密技术原理数据加密技术原理数据加密技术原理数据加密技术原理对称密钥加密（保密密钥法）对称密钥加密（保密密钥法）加密算法加密算法解密算法解密算法密钥密钥网络信道网络信道明文明文明文明文密文密文加密密钥加密密钥解密密钥解密密钥两者相等两者相等数据加密技术原理数据加密技术原理非对称密钥加密（公开密钥加密）非对称密钥加密（公开密钥加密）加密算法加密算法解密算法解密算法公开密钥公开密钥网络信道网络信道明文明文明文明文密文密文私有密钥私有密钥公钥公钥私钥私钥 公钥公钥私钥私钥不可相互推导不可相互推导不相等不相等数据加密技术原理数据加密技术原理 混合加密系统混合加密系统对称密钥加密算

42、法对称密钥加密算法对称密钥解密算法对称密钥解密算法对称密钥对称密钥网络信道网络信道明文明文明文明文密文密文混合加密系统既能够安混合加密系统既能够安全地交换对称密钥，又全地交换对称密钥，又能够克服非对称加密算能够克服非对称加密算法效率低的缺陷！法效率低的缺陷！非对称密钥加密算法非对称密钥加密算法非对称密钥解密算法非对称密钥解密算法对称密钥对称密钥公开密钥公开密钥私有密钥私有密钥混合加密系统是对称密钥加密技术和非对称密钥混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合加密技术的结合数据加密技术原理数据加密技术原理 哈希（哈希（Hash）算法算法信息信息加密加密解密解密网络信道网络信道信息信

43、息密文密文 哈希算法（哈希算法（hashalgorithm），），也叫信息标记算法也叫信息标记算法（message-digestalgorithm），），可以提供数据完整性可以提供数据完整性方面的判断依据。方面的判断依据。哈希算法哈希算法结果相同，则结果相同，则数据未被篡改数据未被篡改比较比较结果不同，则结果不同，则数据已被篡改数据已被篡改信息标记信息标记（digest）常用的哈希算法：常用的哈希算法：MD5SHA-1哈希算法哈希算法数据加密技术原理数据加密技术原理数字签名数字签名 数字签名（数字签名（digitalsignature）技术通过某种加技术通过某种加密算法，在一条地址消息的尾部添

44、加一个字符串，而密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可收信人可以根据这个字符串验明发信人的身份，并可进行数据完整性检查。进行数据完整性检查。数据加密技术原理数据加密技术原理数字签名的工作原理数字签名的工作原理非对称加密算法非对称加密算法非对称解密算法非对称解密算法Alice的私有密钥的私有密钥网络信道网络信道合同合同Alice的公开密钥的公开密钥哈希算法哈希算法标记标记标记标记-2合同合同哈希算法哈希算法比较比较标记标记-1如果两标记如果两标记相同，则符相同，则符合上述确认合上述确认要求要求。AliceBob假定假定Alice需要传送一份合

45、同给需要传送一份合同给Bob。Bob需要确认：需要确认：q合同的确是合同的确是Alice发送的发送的q合同在传输途中未被修改合同在传输途中未被修改数据加密技术原理数据加密技术原理数字签名的作用数字签名的作用q唯一地确定签名人的身份；唯一地确定签名人的身份；q对签名后信件的内容对签名后信件的内容是否又发生变化进行验证；是否又发生变化进行验证；q发信人无法对信件的内容进行抵赖。发信人无法对信件的内容进行抵赖。当我们对签名人同公开密钥的对应关当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构系产生疑问时，我们需要第三方颁证机构（CA:CertificateAuthorities）的

46、帮助。的帮助。数据加密技术原理数据加密技术原理数字证书数字证书 数字证书相当于电子化的身份证明，应有值得数字证书相当于电子化的身份证明，应有值得信赖的颁证机构（信赖的颁证机构（CA机构）的数字签名，可以用来机构）的数字签名，可以用来强力验证某个用户或某个系统的身份及其公开密钥。强力验证某个用户或某个系统的身份及其公开密钥。数字证书既可以向一家公共的办证机构申请，数字证书既可以向一家公共的办证机构申请，也可以向运转在企业内部的证书服务器申请。这些也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。机构提供证书的签发和失效证明服务。数据加密技术原理数据加密技术原理数字证书

47、标准：数字证书标准：X.509qX.509是由国际电信联盟（是由国际电信联盟（ITU-T）制定的数字证书制定的数字证书标准。在标准。在X.500确保用户名称惟一性的基础上确保用户名称惟一性的基础上,X.509为为X.500用户名称提供了通信实体的鉴别机制，并规用户名称提供了通信实体的鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接定了实体鉴别过程中广泛适用的证书语法和数据接口。口。qX.509的最初版本公布于的最初版本公布于1988年。年。X.509证书由用户证书由用户公共密钥和用户标识符组成。此外还包括版本号、公共密钥和用户标识符组成。此外还包括版本号、证书序列号、证书序列号、CA

48、标识符、签名算法标识、签发者名标识符、签名算法标识、签发者名称、证书有效期等信息。称、证书有效期等信息。qX.509标准的最新版本是标准的最新版本是X.509v3，它定义了包含扩它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展展信息的数字证书。该版数字证书提供了一个扩展信息字段，用来提供更多的灵活性及特殊应用环境信息字段，用来提供更多的灵活性及特殊应用环境下所需的信息传送下所需的信息传送。数据加密技术原理数据加密技术原理数字证书中的常见内容数字证书中的常见内容q发信人的公开密钥；发信人的公开密钥；q发信人的姓名；发信人的姓名；q证书颁发者的名称；证书颁发者的名称；q证书的序列号；证书

49、的序列号；q证书颁发者的数字签名；证书颁发者的数字签名；q证书的有效期限。证书的有效期限。数据加密技术原理数据加密技术原理申请数字证书，并利用它发送电子邮件申请数字证书，并利用它发送电子邮件用户向CA机构申请一份数字证书，申请过程会生成他的公开/私有密钥对。公开密钥被发送给CA机构，CA机构生成证书，并用自己的私有密钥签发之，然后向用户发送一份拷贝。用户的同事从CA机构查到用户的数字证书，用证书中的公开密钥对签名进行验证。用户把文件加上签名，然后把原始文件同签名一起发送给自己的同事。证书申请签发的数字证书文件和数字签名数字证书的验证用户用户同事同事CA数据传输的加密数据传输的加密 链路加密方式

50、链路加密方式SH：会话层包头；TH：传输层包头；NH：网络层包头；LH：链路层包头；E：链路层包尾；应用层表示层会话层传输层网络层链路层物理层MessageMessageSH MessageTHNHLHLHSHTH SHNH TH SHNH TH SHMessageMessageMessageMessageEE：明文信息：密文信息数据传输的加密数据传输的加密 链路加密方式链路加密方式用于保护通信节点间传输的数据，通常用硬件用于保护通信节点间传输的数据，通常用硬件在物理层或数据链路层实现。在物理层或数据链路层实现。优点优点q由于每条通信链路上的加密是独立进行的，因由于每条通信链路上的加密是独立进