【正文】 脅 分組嗅探 : ?廣播媒體 ?混雜模式的 NIC讀通過的所有分組 ?能夠讀所有未加密的數(shù)據(jù) (如口令 ) ?如： C嗅探 B的分組 A B C src:B dest:A 負(fù)載 對策 ? 網(wǎng)絡(luò)安全 62 因特網(wǎng)安全性威脅 分組嗅探 : 對策 ?組織中的所有主機(jī)運行軟件進(jìn)行周期性的檢查，看是否主機(jī)接口為混雜模式 ?廣播媒體的每段一臺主機(jī) (交換式以太網(wǎng) ) A B C src:B dest:A 負(fù)載 網(wǎng)絡(luò)安全 63 因特網(wǎng)安全性威脅 IP哄騙 : ?能夠直接從應(yīng)用程序生成 “raw” IP分組，在 IP源地址字段放入任何值 ?接收方不能分辨源是否哄騙 ?如 C假裝是 A B C src:B dest:A 負(fù)載 對策 ? 網(wǎng)絡(luò)安全 64 因特網(wǎng)安全性威脅 IP哄騙：入口過濾 ?路由器對于非法源地址不應(yīng)當(dāng)向外轉(zhuǎn)發(fā) (如 數(shù)據(jù)報源地址不在路由器網(wǎng)絡(luò)中 ) ?很好的方法！但入口過濾不能強(qiáng)制所有網(wǎng)絡(luò)實行 A B C src:B dest:A 負(fù)載 網(wǎng)絡(luò)安全 65 因特網(wǎng)安全性威脅 拒絕服務(wù) (DOS): ?產(chǎn)生的大量敵意分組淹沒了接收方 ?分布式 DOS (DDOS): 多個協(xié)同的源淹沒接收方 ?如 C和遠(yuǎn)程主機(jī) SYN攻擊 A A B C SYN SYN SYN SYN SYN SYN SYN 對策 ? 網(wǎng)絡(luò)安全 66 因特網(wǎng)安全性威脅 拒絕服務(wù) (DOS): 對策 ?在到達(dá)主機(jī)前 過濾出 洪泛分組 (如 SYN)：扔掉 ?溯源 (traceback)到洪泛的源 (許多可能是無辜的、被連累的機(jī)器 ) A B C SYN SYN SYN SYN SYN SYN SYN 網(wǎng)絡(luò)安全 67 第 8章 要點 什么是網(wǎng)絡(luò)安全 ? 密碼學(xué)的原則 鑒別 完整性 密鑰分發(fā)和證書 訪問控制 : 防火墻 攻擊和防范措施 在多層次中的安全性 . 安全電子郵件 . 安全套接字 . IPsec . 在 網(wǎng)絡(luò)安全 68 安全電子郵件 Alice: ? 生成隨機(jī) 對稱 私鑰 KS ? 用 KS 加密報文 (為了提高效率 ) ? 也用 Bob的公鑰加密 KS ? 向 Bob發(fā)送 KS(m)和 KB(KS) ? Alice要向 Bob發(fā)送機(jī)密的電子郵件 , m KS( ) . KB( ) . + + KS(m ) KB(KS ) + m KS KS KB + 因特網(wǎng) KS( ) . KB( ) . KB KS m KS(m ) KB(KS ) + 網(wǎng)絡(luò)安全 69 安全電子郵件 Bob: ? 使用他的私鑰解密并恢復(fù) KS ? 使用 KS 解密 KS(m)以恢復(fù) m ? Alice要向 Bob發(fā)送機(jī)密電子郵件 m KS( ) . KB( ) . + + KS(m ) KB(KS ) + m KS KS KB + 因特網(wǎng) KS( ) . KB( ) . KB KS m KS(m ) KB(KS ) + 網(wǎng)絡(luò)安全 70 安全電子郵件 (續(xù) ) ? Alice要提供發(fā)送方鑒別和報文完整性 ? Alice數(shù)字簽名報文 ? 發(fā)送報文 (以明文方式 )并數(shù)字簽名 H( ) . KA( ) . + H(m ) KA(H(m)) m KA 因特網(wǎng) m KA( ) . + KA + KA(H(m)) m H( ) . H(m ) 比較 網(wǎng)絡(luò)安全 71 安全電子郵件 (續(xù) ) ? Alice要提供安全性，發(fā)送方 鑒別，報文完整性 . Alice使用 3個密鑰 : 她的私鑰， Bob的公鑰，新生成的 對稱密鑰 H( ) . KA( ) . + KA(H(m)) m KA m KS( ) . KB( ) . + + KB(KS ) + KS KB + 因特網(wǎng) KS 網(wǎng)絡(luò)安全 72 Pretty good privacy (PGP) ? 因特網(wǎng)電子郵件解密方案，事實上的標(biāo)準(zhǔn) ? 使用前面所述的對稱密鑰密碼學(xué) , 公鑰密碼學(xué) , 散列函數(shù) , 和數(shù)字簽名 ? 提供安全性，發(fā)送方鑒別 , 完整性 ? 發(fā)明者 Phil Zimmerman被聯(lián)邦調(diào)查局調(diào)查 3年 BEGIN PGP SIGNED MESSAGE Hash: SHA1 Bob:My husband is out of town yours, Alice BEGIN PGP SIGNATURE Version: PGP Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2 END PGP SIGNATURE 一份 PGP簽名的報文 : 網(wǎng)絡(luò)安全 73 第 8章 要點 什么是網(wǎng)絡(luò)安全 ? 密碼學(xué)的原則 鑒別 完整性 密鑰分發(fā)和證書 訪問控制 : 防火墻 攻擊和防范措施 在多層次中的安全性 . 安全電子郵件 . 安全套接字 . IPsec . 在 網(wǎng)絡(luò)安全 74 安全套接字層 (SSL) ? 使用 SSL服務(wù)為任何基于TCP應(yīng)用程序提供運輸層安全性 ? 用于 Web瀏覽器和電子商務(wù)服務(wù)器之間 () ? 安全性服務(wù) : ? 服務(wù)器鑒別 ? 數(shù)據(jù)加密 ? 客戶機(jī)鑒別 (選項 ) ? 服務(wù)器鑒別： ? SSL使能的瀏覽器包括用于可信 CA的公鑰 ? 瀏覽器請求服務(wù)器證書，由可信 CA發(fā)行 ? 瀏覽器使用 CA的公鑰，從證書中提取服務(wù)器的公鑰 ? 檢查你瀏覽器的安全性菜單，觀察它的可信 CA 網(wǎng)絡(luò)安全 75 SSL(續(xù) ) 加密的 SSL會話 : ? 瀏覽器生成 對稱的會話密鑰 , 用服務(wù)器的公鑰加密它，并向服務(wù)器發(fā)送加密的密鑰 ? 使用私鑰，服務(wù)器解密會話密鑰 ? 瀏覽器、服務(wù)器知道會話密鑰 ? 所有向 TCP套接字發(fā)送的數(shù)據(jù)(由客戶機(jī)或服務(wù)器 ) ，都用會話密鑰加密 ? SSL: IETF運輸層安全性 (TLS)的基礎(chǔ) ? SSL能被用于非 Web應(yīng)用程序，如 IMAP. ? 客戶機(jī)鑒別能用客戶機(jī)證書完成 網(wǎng)絡(luò)安全 76 第 8章 要點 密鑰分發(fā)和證書 訪問控制 : 防火墻 攻擊和防范措施 在多層次中的安全性 . 安全電子郵件 . 安全套接字 . IPsec . 在 網(wǎng)絡(luò)安全 77 IPsec: 網(wǎng)絡(luò)層安全性 ? 網(wǎng)絡(luò)層安全性 : ? 發(fā)送主機(jī)加密在 IP數(shù)據(jù)報中的數(shù)據(jù) ? TCP和 UDP報文段； ICMP和SNMP報文 ? 網(wǎng)絡(luò)層鑒別 ? 目的主機(jī)能夠鑒別源 IP地址 ? 兩個基本協(xié)議 : ? 鑒別首部 (AH)協(xié)議 ? 封裝安全性載荷 (ESP) 協(xié)議 ? 對 AH和 ESP, 源和目的握手 : ? 創(chuàng)建網(wǎng)絡(luò)層邏輯通道稱為安全性關(guān)聯(lián) (SA) ? 每個 SA是單向的 ? 惟一地由下列決定 : ? 安全性協(xié)議 (AH或 ESP) ? 目的 IP地址 ? 32bit