【正文】 加密算法 IDEA。 若 n＞ m， 是有數(shù)據(jù)擴展的分組密碼；若n＜ m， 是有數(shù)據(jù)壓縮的分組密碼 。 ? 分組密碼算法的特點： 分組密碼與序列密碼的差別在于輸出的每一位數(shù)字不是只與相應時刻輸入的明文數(shù)字有關 ， 還與一組長為 m的明文數(shù)字有關 。關鍵是序列的周期要足夠長，且序列要有很好的隨機性 (這是很難尋找的 )。 ? 密碼學家試圖模仿這種一次一密亂碼本體制。因此又稱為 一次一密亂碼本體制 。 序列密碼體制 (續(xù) ) 對稱密鑰密碼體制 (續(xù) 29) 序列密碼體制的保密性 ? 序列密碼體制的保密性完全在于 密鑰的隨機性 。 78 對稱密鑰密碼體制 (續(xù) 27) 在開始工作時，種子 I0 對密鑰序列產(chǎn)生器進行初始化。 abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC 明文 密文 caesar cipher FDH 明文 e 變成了密文 H caesar cipher FDHVDU FLSKHU 明文 r 變成了密文 U ┅ 77 對稱密鑰密碼體制 (續(xù) 26) 兩種對稱密鑰密碼體制 ? 序列密碼密碼體制 將明文 Ｐ 看成是連續(xù)的比特流 (或字符流 )P1P2P3┅ ，并且用密碼序列 K=K1K2K3 ┅ 中的第 i個元素 Ki對明文中的第 i個元素 Pi進行加密，所得密文為 Ck(P)=Ck1(P1) Ck2(P2) Ck3(P3) ┅ 該體制的安全性取決于密鑰的隨機性。其映射關系可 表示為 )()( kaaf ??nmod74 對稱密鑰密碼體制 (續(xù) 23) ? 替代密碼 舉例 (密鑰是 3) abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC 明文 密文 caesar cipher F 明文 c 變成了密文 F 75 對稱密鑰密碼體制 (續(xù) 24) abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC caesar cipher FD 明文 密文 明文 a 變成了密文 D 76 對稱密鑰密碼體制 (續(xù) 25) 由于英文字母中各字母出現(xiàn)的頻率早已有人進行過統(tǒng)計，所以根據(jù)字母頻度表可以很容易對這種替代密碼進行破譯。于是得出密鑰字母的相對先后順序為 145326。因為密鑰中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對先后順序為 145326。因為密鑰中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對先后順序為 145326。因為密鑰中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對先后順序為 145326。因為密鑰中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對先后順序為 145326。因為密鑰中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對先后順序為 145326。因為密鑰中沒有 A 和 B，因此 C 為第 1。 列換位法 ——把明文按行順序寫入二維矩陣，再按列順序讀出來構成密文。 典型加密方法 早期的對稱密鑰密碼體制的加密方法很多，但本質(zhì)上可分為兩大類： ① 換位密碼 不改變明文中字符本身，僅按照某種模式將其重新排列構成密文的加密方法。加密或破密還與經(jīng)濟有著密切的關系。 ? 完成加密和解密的算法稱為密碼體制。但在無任何限制的條件下，目前幾乎所有實用的密碼體制均是可破的，所以人們關心的是研制出在計算上 (而不是在理論上 )是不可破的密碼體制。密碼編碼學與密碼分析學合起來即為 密碼學 (cryptology)。 ⑷ 真實性 （ authenticity） 指計算機網(wǎng)絡能夠驗證一個用戶的標識。 ⑵ 完整性 （ integrity） 指屬于某個計算機網(wǎng)絡的資源只能被授權者所更改。 45 計算機網(wǎng)絡面臨的安全威脅 (續(xù) 4) 被動攻擊和主動攻擊 竊聽 分析 篡改 偽裝 拒絕服務 被動攻擊 目的站 源站 源站 源站 源站 目的站 目的站 目的站 主 動 攻 擊 計算機網(wǎng)絡安全的目標：防止析出報文內(nèi)容；防止通信量分析；檢測拒絕報文服務；檢測更改報文流；檢測偽造報文。 對付主動攻擊應重在檢測和恢復。 對付被動攻擊應重在防范而不是檢測。 ⑥ 陷門 (后門 ) 一種秘密的程序入口，允許知曉陷門的惡意對手繞過通常的安全訪問規(guī)程直接獲得訪問權。 ④ 邏輯炸彈 一種 編程代碼， 當運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊的功能。 ② 計算機蠕蟲 一種進行自我復制的程序，它可以通過磁盤或郵件等傳輸機制進行自我復制和激活運行。 服務拒絕 阻止或禁止正常用戶訪問 ， 或者破壞整個網(wǎng)絡 ， 使網(wǎng)絡癱瘓或超載 ， 從而達到降低網(wǎng)絡性能的目的 。 協(xié)議缺陷 攻擊者通信協(xié)議存在的缺陷來欺騙用戶或重定向通信量 。 這種攻擊常發(fā)自其他合法實體 ， 而不是來自未知的非法實體 。 未授權訪問 攻擊者未授權使用系統(tǒng)資源 ， 以達到攻擊目的 。 假冒 假冒者偽裝成合法用戶的身份以欺騙系統(tǒng)中其他合法用戶 ， 獲取系統(tǒng)資源的使用權 。 42 名 稱 含 義 竄改 對傳輸數(shù)據(jù)進行竄改 ， 破壞其完整性 ， 以造成災難性的后果 。 通信量分析 指敵方通過判斷通信主機的位置以及身份 ， 觀察被交換的報文的頻率以及長度 ， 對其進行猜測 ， 從而分析正在進行通信的種類及特點 。 口令嗅探 使用協(xié)議分析器等捕獲口令 ， 以達到非授權使用的目的 。 偵收信號 搜集各種通信信號的頻譜 、 特征和參數(shù) ， 為電子戰(zhàn)做準備 。 40 第 12章 內(nèi)容提綱 計算機網(wǎng)絡的管理 簡單網(wǎng)絡管理協(xié)議 SNMP 計算機網(wǎng)絡的安全 數(shù)字加密技術 網(wǎng)絡安全策略 虛擬專用網(wǎng) 因特網(wǎng)的安全協(xié)議 ? 41 計算機網(wǎng)絡的安全 計算機網(wǎng)絡面臨的安全威脅 計算機網(wǎng)絡 面臨的安全威脅分為兩大類 ? 被動攻擊 被動攻擊試圖從系統(tǒng)中竊取信息為主要目的，但不會造成系統(tǒng)資源的破壞。 ? SNMPv2對 SNMPv1作了改進。 38 39 SNMP報文和協(xié)議數(shù)據(jù)單元 (續(xù) 7) ? SNMPv1已是現(xiàn)今最流行的網(wǎng)絡管理協(xié)議，優(yōu)點是：簡單、易于實現(xiàn)；得到廣泛的使用和支持；擴展性好。 ? 非轉發(fā)器 (nonrepeaters)和最大重復 (maxrepetition)。這是管理器希望讀取或設置的一組具有相應值的變量。只用于響應報文中，代理進程設置一個整數(shù)，指明有差錯的變量在變量列表中的偏移。例如， 0表示無差錯，1表示響應太大無法裝入報文等。 ? 差錯狀態(tài) (error status)。是一個序號 (4字節(jié) )。如果數(shù)據(jù)是加密的，那么在該 PDU前面還要有上下文引擎 ID和上下文名兩個有關加密信息的字段。 定全參數(shù) ， 用來產(chǎn)生報文摘要 。 34 SNMP報文和協(xié)議數(shù)據(jù)單元 (續(xù) 3) SNMP報文 的格式 35 版本 ， 現(xiàn)在的版本為第 3版。 ? 在運行代理程序的服務器端用熟知端口 161來接收 get或 set報文和發(fā)送響應報文 (與熟知端口通信的客戶端使用臨時端口 ) 。 ? SNMP使用無連接的 UDP，因此在網(wǎng)絡上傳送 SNMP報文的開銷較小。過濾的好處：①僅在嚴重事件發(fā)生時才發(fā)送陷阱；②陷阱信息很簡單且所需字節(jié)數(shù)很少。 ? 當被管對象的代理檢測到有事件發(fā)生時，就檢查其門限值。 32 SNMP報文和協(xié)議數(shù)據(jù)單元 (續(xù) 1) 陷阱 (trap) ? SNMP 不是完全的探詢協(xié)議，它允許不經(jīng)過詢問就能發(fā)送某些信息。探詢系統(tǒng)的開銷也較大。②能限制通過網(wǎng)絡所產(chǎn)生的管理信息的通信量。 ? 這兩種基本功能都是通過探詢來實現(xiàn)的， 即SNMP 管理進程定時向被管理設備周期性地發(fā)送探詢信息。 ? 對 MIB變量的訪問， 可參見圖 122，按部分對象標識樹結構進行訪問。每一個代理都有它自己的 MIB2。 ? 被管理對象必須維持可供管理程序讀寫的若干控制和狀態(tài)信息。因此得出 IPAddress 的編碼是 40 04 C0 01 02 03。先查表 122，得標記字段是 40。最后得編碼為 02 04 00 00 00 0F。先查表 122，得標記字段是 02。 該字段按照 BER規(guī)則對數(shù)據(jù)的值進行編碼。當該字段最高位為 1， 其余 7位定義后續(xù)字節(jié)的字節(jié)數(shù)，所有后續(xù)字節(jié)串接起來的二進制數(shù)定義該字段的長度。 管理信息結構 (續(xù) 5) 29 編號 類別 格式 位 2 1 5 標記 長度 可變 可變 1 字節(jié) 值 長度 L(1或多字節(jié) )。 ③ 編號 (5位 )。 ② 格式 (1位 )。 分為 通用類 (00)， 應用類 (01)， 上下文類 (10)和專用類 (11)。 ? SMI對數(shù)據(jù)的編碼格式 28 編號 類別 格式 位 2 1 5 標記 長度 可變 可變 1 字節(jié) 值 標記 T(1字節(jié) ) 該字段用來定義 數(shù)據(jù)類型，由三個子字段組成： ① 類別 (2位 )。另一種是 Sequence of，是所有相 同類型的簡單數(shù)據(jù)類型的組合，或同類型的 Sequence數(shù)據(jù)類型的組合，類似于 C語言中的 array。此 類型有兩種：一種是 Sequence，是一些簡單數(shù)據(jù)類型的組合。 其中一部分直接取自，另一部分是 SMI增加的 (見表 121)。 25 管理信息結構 (續(xù) 2) 部分對象標識樹 26 sys(1) if(2) at(3) ip(4) icmp(5) tcp(6) udp(7) egp(8) trans(11) snmp(12) (3) dod(6) inter(1) ?() mib2(1) ? () iso(1) isoituu (2) 根 itut(0) mgmt(2) 管理信息結構 (續(xù) 3) 對象的數(shù)據(jù)類型 ? SMI使用抽象語法記法 1()來定義數(shù)據(jù)類型，卻又增加了新的定義。每個對象可用點隔開的整數(shù)序列表示，而 在 樹結構用點分隔開的文本名字序列來定義對象。 ? SMI有三個功能 ① 被管對象進行命名； ② 定義對象中存儲的數(shù)據(jù)類型； ③ 對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)給出編碼方法。 ? 管理信息庫 MIB 在被管對象的實體中創(chuàng)建命名對象，并規(guī)定其類型。 ? 管理信息結構 SMI 定義了對象命名和對象類型 (包括范圍和長度 )，以及如何把對象和對象的值進行編碼的的一些通用規(guī)則。 22 簡單網(wǎng)絡管理協(xié)議 SNMP(續(xù) 3) ? 網(wǎng)絡管理 的主要構件 ? SNMP 定義了管理器和代理之間交換的分組格式 ，內(nèi) 含對象 (變量 )及其狀態(tài) (值 )。這時可使用 委托代理 (proxy agent)。 ? 管理進程和代理進程利用 SNMP 報文進行通信，而 SNMP 報文又使用 UDP 來傳送。管理是通過管理器和代理之間的簡單交互來實現(xiàn)的。 由 管理器 (通常是主機 )控制和監(jiān)視一組代理 (通常是路由器 )。 ? SNMP的基本功能是監(jiān)視網(wǎng)絡性能、檢測分析網(wǎng)絡差錯和配置網(wǎng)絡設備等。 20 簡單網(wǎng)絡管理協(xié)議 SNMP(續(xù) 1) ? 網(wǎng)絡管理的基本思想 若要管理某個對象，就必然會給該對象添加一些軟件或硬件，但這種“添加”必須 對原有對象的影響盡量小些 。之后又修訂為SNMPv2， 1999年 4月又提出了 SNMPv3。為此， 人們 對網(wǎng)絡管理的開發(fā)研究 十分重視， 并提出了多種網(wǎng)絡管理方案。許多廠商都擴展了網(wǎng)絡管理的內(nèi)容，作為網(wǎng)絡管理系統(tǒng)功能的一部份。 安全管理 建立加密及密鑰管理、授權和訪問機制，以及建立、維護和檢查安全日志。 18 ISO的網(wǎng)絡管理功能 (續(xù) 1) 性能管理 通過監(jiān)視和分析被管網(wǎng)絡及其所提供服務的性能機制，來評估系統(tǒng)的運行狀況及通信效率等系統(tǒng)性能。目的是為了實現(xiàn)某個特定功能或使網(wǎng)絡性能達到最優(yōu)的等級。包括故障檢測、診斷和恢復三個方面。 17 ISO的網(wǎng)絡管理功能 ? ISO 74984標準定義了網(wǎng)絡管理的五項基本功能，簡稱 FCAPS。 ? 1985年， ITUT提出電信管理網(wǎng) TMN的構想， 1988年又發(fā)表了 。 16 網(wǎng)絡管理的體系結構 (續(xù) 1) ? 1990年初，開放軟件基金會 OSF提出分布式管理環(huán)境 DME的網(wǎng)絡管理方案，將是未來計算機網(wǎng)絡管理的發(fā)展方向。 ② 專用網(wǎng)管體系結構 針對特定網(wǎng)絡環(huán)境提出的