【正文】 是美國的數(shù)據(jù)加密標(biāo)準(zhǔn) DES和國際數(shù)據(jù)加密算法 IDEA。 若 n＞ m， 是有數(shù)據(jù)擴(kuò)展的分組密碼；若n＜ m， 是有數(shù)據(jù)壓縮的分組密碼 。 ? 分組密碼算法的特點(diǎn)： 分組密碼與序列密碼的差別在于輸出的每一位數(shù)字不是只與相應(yīng)時(shí)刻輸入的明文數(shù)字有關(guān) ， 還與一組長為 m的明文數(shù)字有關(guān) 。關(guān)鍵是序列的周期要足夠長，且序列要有很好的隨機(jī)性 (這是很難尋找的 )。 ? 密碼學(xué)家試圖模仿這種一次一密亂碼本體制。因此又稱為 一次一密亂碼本體制 。 序列密碼體制 (續(xù) ) 對(duì)稱密鑰密碼體制 (續(xù) 29) 序列密碼體制的保密性 ? 序列密碼體制的保密性完全在于 密鑰的隨機(jī)性 。 78 對(duì)稱密鑰密碼體制 (續(xù) 27) 在開始工作時(shí)，種子 I0 對(duì)密鑰序列產(chǎn)生器進(jìn)行初始化。 abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC 明文 密文 caesar cipher FDH 明文 e 變成了密文 H caesar cipher FDHVDU FLSKHU 明文 r 變成了密文 U ┅ 77 對(duì)稱密鑰密碼體制 (續(xù) 26) 兩種對(duì)稱密鑰密碼體制 ? 序列密碼密碼體制 將明文 Ｐ 看成是連續(xù)的比特流 (或字符流 )P1P2P3┅ ，并且用密碼序列 K=K1K2K3 ┅ 中的第 i個(gè)元素 Ki對(duì)明文中的第 i個(gè)元素 Pi進(jìn)行加密，所得密文為 Ck(P)=Ck1(P1) Ck2(P2) Ck3(P3) ┅ 該體制的安全性取決于密鑰的隨機(jī)性。其映射關(guān)系可 表示為 )()( kaaf ??nmod74 對(duì)稱密鑰密碼體制 (續(xù) 23) ? 替代密碼 舉例 (密鑰是 3) abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC 明文 密文 caesar cipher F 明文 c 變成了密文 F 75 對(duì)稱密鑰密碼體制 (續(xù) 24) abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC caesar cipher FD 明文 密文 明文 a 變成了密文 D 76 對(duì)稱密鑰密碼體制 (續(xù) 25) 由于英文字母中各字母出現(xiàn)的頻率早已有人進(jìn)行過統(tǒng)計(jì)，所以根據(jù)字母頻度表可以很容易對(duì)這種替代密碼進(jìn)行破譯。于是得出密鑰字母的相對(duì)先后順序?yàn)? 145326。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對(duì)先后順序?yàn)? 145326。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對(duì)先后順序?yàn)? 145326。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對(duì)先后順序?yàn)? 145326。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對(duì)先后順序?yàn)? 145326。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。于是得出密鑰字母的相對(duì)先后順序?yàn)? 145326。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。 列換位法 ——把明文按行順序?qū)懭攵S矩陣，再按列順序讀出來構(gòu)成密文。 典型加密方法 早期的對(duì)稱密鑰密碼體制的加密方法很多，但本質(zhì)上可分為兩大類： ① 換位密碼 不改變明文中字符本身，僅按照某種模式將其重新排列構(gòu)成密文的加密方法。加密或破密還與經(jīng)濟(jì)有著密切的關(guān)系。 ? 完成加密和解密的算法稱為密碼體制。但在無任何限制的條件下，目前幾乎所有實(shí)用的密碼體制均是可破的，所以人們關(guān)心的是研制出在計(jì)算上 (而不是在理論上 )是不可破的密碼體制。密碼編碼學(xué)與密碼分析學(xué)合起來即為 密碼學(xué) (cryptology)。 ⑷ 真實(shí)性 （ authenticity） 指計(jì)算機(jī)網(wǎng)絡(luò)能夠驗(yàn)證一個(gè)用戶的標(biāo)識(shí)。 ⑵ 完整性 （ integrity） 指屬于某個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的資源只能被授權(quán)者所更改。 45 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅 (續(xù) 4) 被動(dòng)攻擊和主動(dòng)攻擊 竊聽 分析 篡改 偽裝 拒絕服務(wù) 被動(dòng)攻擊 目的站 源站 源站 源站 源站 目的站 目的站 目的站 主 動(dòng) 攻 擊 計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)：防止析出報(bào)文內(nèi)容；防止通信量分析；檢測拒絕報(bào)文服務(wù)；檢測更改報(bào)文流；檢測偽造報(bào)文。 對(duì)付主動(dòng)攻擊應(yīng)重在檢測和恢復(fù)。 對(duì)付被動(dòng)攻擊應(yīng)重在防范而不是檢測。 ⑥ 陷門 (后門 ) 一種秘密的程序入口，允許知曉陷門的惡意對(duì)手繞過通常的安全訪問規(guī)程直接獲得訪問權(quán)。 ④ 邏輯炸彈 一種 編程代碼， 當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其他特殊的功能。 ② 計(jì)算機(jī)蠕蟲 一種進(jìn)行自我復(fù)制的程序，它可以通過磁盤或郵件等傳輸機(jī)制進(jìn)行自我復(fù)制和激活運(yùn)行。 服務(wù)拒絕 阻止或禁止正常用戶訪問 ， 或者破壞整個(gè)網(wǎng)絡(luò) ， 使網(wǎng)絡(luò)癱瘓或超載 ， 從而達(dá)到降低網(wǎng)絡(luò)性能的目的 。 協(xié)議缺陷 攻擊者通信協(xié)議存在的缺陷來欺騙用戶或重定向通信量 。 這種攻擊常發(fā)自其他合法實(shí)體 ， 而不是來自未知的非法實(shí)體 。 未授權(quán)訪問 攻擊者未授權(quán)使用系統(tǒng)資源 ， 以達(dá)到攻擊目的 。 假冒 假冒者偽裝成合法用戶的身份以欺騙系統(tǒng)中其他合法用戶 ， 獲取系統(tǒng)資源的使用權(quán) 。 42 名 稱 含 義 竄改 對(duì)傳輸數(shù)據(jù)進(jìn)行竄改 ， 破壞其完整性 ， 以造成災(zāi)難性的后果 。 通信量分析 指敵方通過判斷通信主機(jī)的位置以及身份 ， 觀察被交換的報(bào)文的頻率以及長度 ， 對(duì)其進(jìn)行猜測 ， 從而分析正在進(jìn)行通信的種類及特點(diǎn) 。 口令嗅探 使用協(xié)議分析器等捕獲口令 ， 以達(dá)到非授權(quán)使用的目的 。 偵收信號(hào) 搜集各種通信信號(hào)的頻譜 、 特征和參數(shù) ， 為電子戰(zhàn)做準(zhǔn)備 。 40 第 12章 內(nèi)容提綱 計(jì)算機(jī)網(wǎng)絡(luò)的管理 簡單網(wǎng)絡(luò)管理協(xié)議 SNMP 計(jì)算機(jī)網(wǎng)絡(luò)的安全 數(shù)字加密技術(shù) 網(wǎng)絡(luò)安全策略 虛擬專用網(wǎng) 因特網(wǎng)的安全協(xié)議 ? 41 計(jì)算機(jī)網(wǎng)絡(luò)的安全 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅 計(jì)算機(jī)網(wǎng)絡(luò) 面臨的安全威脅分為兩大類 ? 被動(dòng)攻擊 被動(dòng)攻擊試圖從系統(tǒng)中竊取信息為主要目的，但不會(huì)造成系統(tǒng)資源的破壞。 ? SNMPv2對(duì) SNMPv1作了改進(jìn)。 38 39 SNMP報(bào)文和協(xié)議數(shù)據(jù)單元 (續(xù) 7) ? SNMPv1已是現(xiàn)今最流行的網(wǎng)絡(luò)管理協(xié)議，優(yōu)點(diǎn)是：簡單、易于實(shí)現(xiàn)；得到廣泛的使用和支持；擴(kuò)展性好。 ? 非轉(zhuǎn)發(fā)器 (nonrepeaters)和最大重復(fù) (maxrepetition)。這是管理器希望讀取或設(shè)置的一組具有相應(yīng)值的變量。只用于響應(yīng)報(bào)文中，代理進(jìn)程設(shè)置一個(gè)整數(shù)，指明有差錯(cuò)的變量在變量列表中的偏移。例如， 0表示無差錯(cuò)，1表示響應(yīng)太大無法裝入報(bào)文等。 ? 差錯(cuò)狀態(tài) (error status)。是一個(gè)序號(hào) (4字節(jié) )。如果數(shù)據(jù)是加密的，那么在該 PDU前面還要有上下文引擎 ID和上下文名兩個(gè)有關(guān)加密信息的字段。 定全參數(shù) ， 用來產(chǎn)生報(bào)文摘要 。 34 SNMP報(bào)文和協(xié)議數(shù)據(jù)單元 (續(xù) 3) SNMP報(bào)文 的格式 35 版本 ， 現(xiàn)在的版本為第 3版。 ? 在運(yùn)行代理程序的服務(wù)器端用熟知端口 161來接收 get或 set報(bào)文和發(fā)送響應(yīng)報(bào)文 (與熟知端口通信的客戶端使用臨時(shí)端口 ) 。 ? SNMP使用無連接的 UDP，因此在網(wǎng)絡(luò)上傳送 SNMP報(bào)文的開銷較小。過濾的好處：①僅在嚴(yán)重事件發(fā)生時(shí)才發(fā)送陷阱；②陷阱信息很簡單且所需字節(jié)數(shù)很少。 ? 當(dāng)被管對(duì)象的代理檢測到有事件發(fā)生時(shí)，就檢查其門限值。 32 SNMP報(bào)文和協(xié)議數(shù)據(jù)單元 (續(xù) 1) 陷阱 (trap) ? SNMP 不是完全的探詢協(xié)議，它允許不經(jīng)過詢問就能發(fā)送某些信息。探詢系統(tǒng)的開銷也較大。②能限制通過網(wǎng)絡(luò)所產(chǎn)生的管理信息的通信量。 ? 這兩種基本功能都是通過探詢來實(shí)現(xiàn)的， 即SNMP 管理進(jìn)程定時(shí)向被管理設(shè)備周期性地發(fā)送探詢信息。 ? 對(duì) MIB變量的訪問， 可參見圖 122，按部分對(duì)象標(biāo)識(shí)樹結(jié)構(gòu)進(jìn)行訪問。每一個(gè)代理都有它自己的 MIB2。 ? 被管理對(duì)象必須維持可供管理程序讀寫的若干控制和狀態(tài)信息。因此得出 IPAddress 的編碼是 40 04 C0 01 02 03。先查表 122，得標(biāo)記字段是 40。最后得編碼為 02 04 00 00 00 0F。先查表 122，得標(biāo)記字段是 02。 該字段按照 BER規(guī)則對(duì)數(shù)據(jù)的值進(jìn)行編碼。當(dāng)該字段最高位為 1， 其余 7位定義后續(xù)字節(jié)的字節(jié)數(shù)，所有后續(xù)字節(jié)串接起來的二進(jìn)制數(shù)定義該字段的長度。 管理信息結(jié)構(gòu) (續(xù) 5) 29 編號(hào) 類別 格式 位 2 1 5 標(biāo)記 長度 可變 可變 1 字節(jié) 值 長度 L(1或多字節(jié) )。 ③ 編號(hào) (5位 )。 ② 格式 (1位 )。 分為 通用類 (00)， 應(yīng)用類 (01)， 上下文類 (10)和專用類 (11)。 ? SMI對(duì)數(shù)據(jù)的編碼格式 28 編號(hào) 類別 格式 位 2 1 5 標(biāo)記 長度 可變 可變 1 字節(jié) 值 標(biāo)記 T(1字節(jié) ) 該字段用來定義 數(shù)據(jù)類型，由三個(gè)子字段組成： ① 類別 (2位 )。另一種是 Sequence of，是所有相 同類型的簡單數(shù)據(jù)類型的組合，或同類型的 Sequence數(shù)據(jù)類型的組合，類似于 C語言中的 array。此 類型有兩種：一種是 Sequence，是一些簡單數(shù)據(jù)類型的組合。 其中一部分直接取自，另一部分是 SMI增加的 (見表 121)。 25 管理信息結(jié)構(gòu) (續(xù) 2) 部分對(duì)象標(biāo)識(shí)樹 26 sys(1) if(2) at(3) ip(4) icmp(5) tcp(6) udp(7) egp(8) trans(11) snmp(12) (3) dod(6) inter(1) ?() mib2(1) ? () iso(1) isoituu (2) 根 itut(0) mgmt(2) 管理信息結(jié)構(gòu) (續(xù) 3) 對(duì)象的數(shù)據(jù)類型 ? SMI使用抽象語法記法 1()來定義數(shù)據(jù)類型，卻又增加了新的定義。每個(gè)對(duì)象可用點(diǎn)隔開的整數(shù)序列表示，而 在 樹結(jié)構(gòu)用點(diǎn)分隔開的文本名字序列來定義對(duì)象。 ? SMI有三個(gè)功能 ① 被管對(duì)象進(jìn)行命名； ② 定義對(duì)象中存儲(chǔ)的數(shù)據(jù)類型； ③ 對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)給出編碼方法。 ? 管理信息庫 MIB 在被管對(duì)象的實(shí)體中創(chuàng)建命名對(duì)象，并規(guī)定其類型。 ? 管理信息結(jié)構(gòu) SMI 定義了對(duì)象命名和對(duì)象類型 (包括范圍和長度 )，以及如何把對(duì)象和對(duì)象的值進(jìn)行編碼的的一些通用規(guī)則。 22 簡單網(wǎng)絡(luò)管理協(xié)議 SNMP(續(xù) 3) ? 網(wǎng)絡(luò)管理 的主要構(gòu)件 ? SNMP 定義了管理器和代理之間交換的分組格式 ，內(nèi) 含對(duì)象 (變量 )及其狀態(tài) (值 )。這時(shí)可使用 委托代理 (proxy agent)。 ? 管理進(jìn)程和代理進(jìn)程利用 SNMP 報(bào)文進(jìn)行通信，而 SNMP 報(bào)文又使用 UDP 來傳送。管理是通過管理器和代理之間的簡單交互來實(shí)現(xiàn)的。 由 管理器 (通常是主機(jī) )控制和監(jiān)視一組代理 (通常是路由器 )。 ? SNMP的基本功能是監(jiān)視網(wǎng)絡(luò)性能、檢測分析網(wǎng)絡(luò)差錯(cuò)和配置網(wǎng)絡(luò)設(shè)備等。 20 簡單網(wǎng)絡(luò)管理協(xié)議 SNMP(續(xù) 1) ? 網(wǎng)絡(luò)管理的基本思想 若要管理某個(gè)對(duì)象，就必然會(huì)給該對(duì)象添加一些軟件或硬件，但這種“添加”必須 對(duì)原有對(duì)象的影響盡量小些 。之后又修訂為SNMPv2， 1999年 4月又提出了 SNMPv3。為此， 人們 對(duì)網(wǎng)絡(luò)管理的開發(fā)研究 十分重視， 并提出了多種網(wǎng)絡(luò)管理方案。許多廠商都擴(kuò)展了網(wǎng)絡(luò)管理的內(nèi)容，作為網(wǎng)絡(luò)管理系統(tǒng)功能的一部份。 安全管理 建立加密及密鑰管理、授權(quán)和訪問機(jī)制，以及建立、維護(hù)和檢查安全日志。 18 ISO的網(wǎng)絡(luò)管理功能 (續(xù) 1) 性能管理 通過監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機(jī)制，來評(píng)估系統(tǒng)的運(yùn)行狀況及通信效率等系統(tǒng)性能。目的是為了實(shí)現(xiàn)某個(gè)特定功能或使網(wǎng)絡(luò)性能達(dá)到最優(yōu)的等級(jí)。包括故障檢測、診斷和恢復(fù)三個(gè)方面。 17 ISO的網(wǎng)絡(luò)管理功能 ? ISO 74984標(biāo)準(zhǔn)定義了網(wǎng)絡(luò)管理的五項(xiàng)基本功能，簡稱 FCAPS。 ? 1985年， ITUT提出電信管理網(wǎng) TMN的構(gòu)想， 1988年又發(fā)表了 。 16 網(wǎng)絡(luò)管理的體系結(jié)構(gòu) (續(xù) 1) ? 1990年初，開放軟件基金會(huì) OSF提出分布式管理環(huán)境 DME的網(wǎng)絡(luò)管理方案，將是未來計(jì)算機(jī)網(wǎng)絡(luò)管理的發(fā)展方向。 ② 專