高级计算机网络课件.ppt

1、2022-6-23史忠植 高级计算机网络1 高级计算机网络高级计算机网络 第九章第九章 网络网络安全安全 史忠植史忠植 中国科学院计算技术研究所中国科学院计算技术研究所 2022-6-23史忠植 高级计算机网络2内容提要内容提要9.1 9.1 网络安全概述网络安全概述 9.2 9.2 网络安全的级别网络安全的级别 9.3 9.3 网络安全的策略网络安全的策略 9.4 9.4 虚拟专用网虚拟专用网 9.5 9.5 入侵检测入侵检测 9.6 9.6 防火墙防火墙 9.7 9.7 加密加密9.8 常规密码体系常规密码体系 9.9 公开密钥密码体制公开密钥密码体制 9.10 报文的鉴别报文的鉴别 9.

2、11 9.11 密钥分配密钥分配 9.12 9.12 公钥证书公钥证书 9.13 9.13 网络安全的发展网络安全的发展 2022-6-23史忠植 高级计算机网络39.1 9.1 网络安全概述网络安全概述众所周知，作为全球使用范围最大的信息网，众所周知，作为全球使用范围最大的信息网，InternetInternet自身协自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在但是，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理上的无政府状态，使用和管理上的无政府状态，给了

3、众多的给了众多的hackerhacker们许多机会，们许多机会，使使InternetInternet自身的安全受到严重威胁，与它有关的安全事故屡自身的安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问、冒充合有发生。对网络安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与病毒、线路窃听等方面。这就要求我们对与InternetInternet互连所带互连所带来的安全性问题予以足够重视。来的安全性问题予以足够重视。2022-6-2

4、3史忠植 高级计算机网络49.1 9.1 网络安全概述网络安全概述保密性保密性安全协议的设计安全协议的设计访问控制访问控制2022-6-23史忠植 高级计算机网络59.2 9.2 网络安全的级别网络安全的级别 D1D1级级 C1C1级级 C2C2级级 B1 B1级级 B2 B2级级 B3 B3级级 A A级级2022-6-23史忠植 高级计算机网络69.3 9.3 网络安全的策略网络安全的策略 你试图保护那些资源？你试图保护那些资源？ 你需要保护这些资源防备那些人？你需要保护这些资源防备那些人？ 可能存在什么样的威胁？可能存在什么样的威胁？ 资源如何重要？资源如何重要？ 你能够采取什么措施以合

5、算和节时的方式保护你的财你能够采取什么措施以合算和节时的方式保护你的财产？产？2022-6-23史忠植 高级计算机网络7网络操作系统的安全性能网络操作系统的安全性能 NetWare网络操作系统网络操作系统 Windows NT 网络操作系统网络操作系统 UNIX网络操作系统网络操作系统 2022-6-23史忠植 高级计算机网络8NetWareNetWare网络操作系统网络操作系统 登录安全登录安全NetWareNetWare登录安全需要用户输入一个有效的用户名和登录安全需要用户输入一个有效的用户名和口令，并由此控制用户对网络的访问。口令，并由此控制用户对网络的访问。 受托者受托者一个受托者是指

6、对特殊的目录、文件或对象有特定的一个受托者是指对特殊的目录、文件或对象有特定的控制权的一个用户或一个用户组。网络管理员可通过控制权的一个用户或一个用户组。网络管理员可通过受托者来指定授予访问权。受托者来指定授予访问权。 权限权限权限表示了一个受托者对目录、文件和对象有什么级权限表示了一个受托者对目录、文件和对象有什么级别的访问权。权限可分为目录权限、文件权限、对象别的访问权。权限可分为目录权限、文件权限、对象权限和属性权限。权限和属性权限。2022-6-23史忠植 高级计算机网络9NetWareNetWare网络操作系统网络操作系统 继承继承继承简化了为所有用户、目录、文件及对象创建相同的受托

7、者继承简化了为所有用户、目录、文件及对象创建相同的受托者权限分配的任务。虽然继承给管理员提供了很大的方便，但是权限分配的任务。虽然继承给管理员提供了很大的方便，但是必须小心使用继承以确保权限的适当分配。必须小心使用继承以确保权限的适当分配。 有效权限有效权限当一个用户开始操作时，当一个用户开始操作时，NetWareNetWare就会计算用户对给定的目录就会计算用户对给定的目录、文件或对象的有效权限。有效权限是指用户对目录、文件或、文件或对象的有效权限。有效权限是指用户对目录、文件或对对象实际拥有的权限。对对象实际拥有的权限。 属性属性又称标志，主要描述了特殊目录和文件的特性，这些属性定义又称标

8、志，主要描述了特殊目录和文件的特性，这些属性定义了操作权限。属性在了操作权限。属性在NetWareNetWare安全环境中特别重要。安全环境中特别重要。 2022-6-23史忠植 高级计算机网络10Windows NT Windows NT 网络操作系统网络操作系统 登录进程登录进程 这一部分接受用户的登录请求，包括远程请求这一部分接受用户的登录请求，包括远程请求。 局部安全授权（局部安全授权（LSALSA）这部分保证任何已经登录的用户可以访问系统，局部这部分保证任何已经登录的用户可以访问系统，局部安全授权产生访问令牌、管理策略，同时给用户提供安全授权产生访问令牌、管理策略，同时给用户提供鉴别

9、服务。鉴别服务。2022-6-23史忠植 高级计算机网络11Windows NT Windows NT 网络操作系统网络操作系统2022-6-23史忠植 高级计算机网络12 UNIXUNIX网络操作系统网络操作系统 UNIX安全涉及的主要范围是用户、用户组和文件系统。安全涉及的主要范围是用户、用户组和文件系统。 用户和用户组用户和用户组象象Windows NT一样一样UNIX利用用户名和口令来识别用户。每个利用用户名和口令来识别用户。每个用户被指定到某一用户组，就能指定这些用户与用户组访问文用户被指定到某一用户组，就能指定这些用户与用户组访问文件和目录。这是件和目录。这是UNIX安全存在的实际

10、问题。即为使用户能够安全存在的实际问题。即为使用户能够创建其它用户，可简单允许该用户写访问口令文件。创建其它用户，可简单允许该用户写访问口令文件。 文件系统文件系统UNIX的文件系统类似于的文件系统类似于NT，也是以层次结构组织的。每个文也是以层次结构组织的。每个文件有一组简单的许可权或权限，对三类用户件有一组简单的许可权或权限，对三类用户文件拥有者，文件拥有者，文件拥有者组与在其它组上的用户，各不相同。可使用的许可文件拥有者组与在其它组上的用户，各不相同。可使用的许可权包括：读、写、执行。权包括：读、写、执行。2022-6-23史忠植 高级计算机网络13网络设计及硬件网络设计及硬件 安全设备

11、安全设备（1）脸部特征识别设备脸部特征识别设备（2）智能卡智能卡； ( (3）WebWeb站点阻断工具站点阻断工具（4）冗余设备冗余设备 2022-6-23史忠植 高级计算机网络14 虚拟网络虚拟网络虚拟局域网虚拟局域网 基于端口的虚拟基于端口的虚拟LANLAN。这种这种VLANVLAN是最简单的，但提供是最简单的，但提供了绝大部分控制功能和安全特性。基于了绝大部分控制功能和安全特性。基于VLANVLAN实际所连实际所连接的端口给接的端口给VLANVLAN分配设备。端口分配是静态的，只有分配设备。端口分配是静态的，只有管理员才能改变。管理员才能改变。 MAC MAC地址地址VLANVLAN。配

12、置配置MACMAC地址地址VLANVLAN更为复杂。更为复杂。VLAN VLAN 网络由一组网络由一组MAC MAC 地址组成，地址组成，AutoTrackerAutoTracker软件将这组软件将这组地址转换成了一个广播域。由于是基于对地址转换成了一个广播域。由于是基于对MACMAC地址的地址的鉴别，这种类型的鉴别，这种类型的VLANVLAN是一种更安全的方案。机器在是一种更安全的方案。机器在访问访问VLANVLAN之前，必须先具有一个可识别的之前，必须先具有一个可识别的VLANVLAN地址。地址。 2022-6-23史忠植 高级计算机网络15 虚拟网络虚拟网络虚拟局域网虚拟局域网 第三层。

13、在第三层的第三层。在第三层的VLANVLAN中，管理员用不同的协议中，管理员用不同的协议要求对不同的要求对不同的VLANVLAN分配通信业务。分配通信业务。 协议策略协议策略VLANVLAN。这种类型的网络基于数据帧内的协这种类型的网络基于数据帧内的协议标准。比如，管理员可以在这类网络的数据帧内指议标准。比如，管理员可以在这类网络的数据帧内指明一个数据场用于确定明一个数据场用于确定VLANVLAN的隶属。的隶属。 多终点传输多终点传输VLANVLAN。多终点传输多终点传输VLANVLAN通过通过“一点对多一点对多点点”或或“多点对多点多点对多点”的方式传输信息。这对新闻广的方式传输信息。这对新

14、闻广播或电视会议之类的应用是很有用的。播或电视会议之类的应用是很有用的。 2022-6-23史忠植 高级计算机网络16 虚拟网络虚拟网络虚拟局域网虚拟局域网 基于政策的基于政策的VLANVLAN。这类这类VLANVLAN使管理员能组合应用使管理员能组合应用VLANVLAN政策以产生灵活的政策以产生灵活的VLAN VLAN 。设备可以配置给不同设备可以配置给不同政策条件下的政策条件下的VLAN VLAN 系统。网络中的每个转换器都能系统。网络中的每个转换器都能识别各种识别各种VLANVLAN政策。政策。 用户鉴别用户鉴别VLANVLAN。这是一种高安全性能的这是一种高安全性能的VLANVLAN，

15、它要它要求用户在访问网络资源之前，先要通过服务器对用户求用户在访问网络资源之前，先要通过服务器对用户的鉴别。的鉴别。 2022-6-23史忠植 高级计算机网络179.4 9.4 虚拟专用网虚拟专用网 VPN通过公用网络在多个地区之间建立了安全链路。通过公用网络在多个地区之间建立了安全链路。VPN新模型在公用新模型在公用INTERNET中勾划出一个中勾划出一个“专用专用”网络，使网络，使不同地方的网点或子网能相互连接在一起，为企业建立了一个不同地方的网点或子网能相互连接在一起，为企业建立了一个实实在在的实实在在的WAN。这与这与VLAN不同，它将大型网络分成多个子不同，它将大型网络分成多个子网，

16、在通过软件来管理其间的连接。网，在通过软件来管理其间的连接。有直接式的和隧道式的两种类型的有直接式的和隧道式的两种类型的VPN。直接式的直接式的VPN使用使用IP寻址并通过寻址并通过VPN建立数据的直接控制。它加密数据，并作为基建立数据的直接控制。它加密数据，并作为基于用户而不是于用户而不是IP地址的鉴别。另一方面，隧道模式的地址的鉴别。另一方面，隧道模式的VPN使用使用IP帧作为数据包的一个隧道。这种模式的网络受到侵入，入侵帧作为数据包的一个隧道。这种模式的网络受到侵入，入侵者只能访问目标网络。如果是双向模式，源网络及目标网络二者只能访问目标网络。如果是双向模式，源网络及目标网络二者都会被侵

17、入。者都会被侵入。2022-6-23史忠植 高级计算机网络189.5 9.5 入侵检测入侵检测 生成异常记录 修改Profile 事件生成器 活动Profile 规则集 系统时钟 确定新的规则修改现存规则 系统审计记录/网络包/应用审计记录 图9.2 一般的入侵检测模型 2022-6-23史忠植 高级计算机网络192022-6-23史忠植 高级计算机网络20异常检测模型异常检测模型 （1 1）通过将征抽取或事件到特征字符串的映射）通过将征抽取或事件到特征字符串的映射形成异常行为空间；形成异常行为空间； （2 2）系统运行时采集可观察的事件窨并进行筛）系统运行时采集可观察的事件窨并进行筛选；选；

18、 （3 3）采集到的事件与预先建好的异常行为空间）采集到的事件与预先建好的异常行为空间中的事件比较，差异标闪准可用预先确定的阈值或某中的事件比较，差异标闪准可用预先确定的阈值或某个统计量，超过则判断为攻击。个统计量，超过则判断为攻击。2022-6-23史忠植 高级计算机网络21滥用检测模型滥用检测模型 对用户的行为特征与某种攻击活动的行为特征进行对用户的行为特征与某种攻击活动的行为特征进行比较。这种方法的基本前提是对可能收集到入侵例子比较。这种方法的基本前提是对可能收集到入侵例子的行为特征进行分析和提取，并使特征尽量覆盖可能的行为特征进行分析和提取，并使特征尽量覆盖可能的变种攻击。然而，这种方

19、法的有效性也由于攻击的的变种攻击。然而，这种方法的有效性也由于攻击的多样性和利用合法手段进行攻击的例子的增多而显出多样性和利用合法手段进行攻击的例子的增多而显出其无能为力的一面。其无能为力的一面。 另外不论哪一种入侵检测的教学模型，都同样面另外不论哪一种入侵检测的教学模型，都同样面临一个实时和处理大量信息的难题。如要检测的信息临一个实时和处理大量信息的难题。如要检测的信息源包括：网络包、主机事件（进程、任务等）、网络源包括：网络包、主机事件（进程、任务等）、网络状态（流社信息等）、主机状态（机器忙闲等）。日状态（流社信息等）、主机状态（机器忙闲等）。日益增多的攻击例子验证和说明入侵检测模型的局

20、限性益增多的攻击例子验证和说明入侵检测模型的局限性。2022-6-23史忠植 高级计算机网络229.6 9.6 防火墙防火墙防火墙是通过创建一个中心控制点来实现网络安全控制的一种防火墙是通过创建一个中心控制点来实现网络安全控制的一种技术。通过在专用网和技术。通过在专用网和Internet之间设置路卡，防火墙监视所之间设置路卡，防火墙监视所有出入专用网的信息流，并决定那些是可以通过的，那些是不有出入专用网的信息流，并决定那些是可以通过的，那些是不可以的。可以的。给防火墙下一个确切的定义如下：给防火墙下一个确切的定义如下：防火墙是放置在两个网络之间的一组组件。这组元件共同具有防火墙是放置在两个网络

21、之间的一组组件。这组元件共同具有下列性质：下列性质： 双向通信信息必须经过防火墙双向通信信息必须经过防火墙 只允许本地安全策略授权的通信信息通过只允许本地安全策略授权的通信信息通过 防火墙本身不会影响信息的流通防火墙本身不会影响信息的流通2022-6-23史忠植 高级计算机网络23防火墙有三种实现手段防火墙有三种实现手段 分组过滤：这种方法过滤掉那些未经证实的主机发来分组过滤：这种方法过滤掉那些未经证实的主机发来的的TCP/IP分组，并拒绝内部分组，并拒绝内部 使用那些未经授权的服务以及使用那些未经授权的服务以及与其建立连接。与其建立连接。 IP伪装：以一个虚假的伪装：以一个虚假的IP地址代替

22、内部主机的地址代替内部主机的IP地址地址，这样可以躲避外部的监视。，这样可以躲避外部的监视。 代理服务：这种方法是通过在高层建立代理，从而在代理服务：这种方法是通过在高层建立代理，从而在网络层完全断绝内部和外部之间的连接。网络层完全断绝内部和外部之间的连接。2022-6-23史忠植 高级计算机网络24安全手段安全手段 加密鉴别：为公共网络的用户提供身份加密鉴别：为公共网络的用户提供身份检查的功能，这样企业的职员从外部也可以访检查的功能，这样企业的职员从外部也可以访问企业专用网了。问企业专用网了。 加密隧道：通过一个与加密隧道：通过一个与InternetInternet一样的公一样的公共媒介，在

23、两个专用网间建立虚网络安全连接共媒介，在两个专用网间建立虚网络安全连接， 这 种 方 式 为 物 理 上 分 散 的 网 络 通 过， 这 种 方 式 为 物 理 上 分 散 的 网 络 通 过Internet,Internet,而不是租用线建立通信连接提供了而不是租用线建立通信连接提供了可能。可能。2022-6-23史忠植 高级计算机网络25防火墙的种类防火墙的种类 数据包过滤防火墙数据包过滤防火墙 双位置网关防火墙双位置网关防火墙 主机屏蔽防火墙主机屏蔽防火墙 子网屏蔽防火墙子网屏蔽防火墙2022-6-23史忠植 高级计算机网络26数据包过滤防火墙数据包过滤防火墙 Internet IP

24、软件包过 滤路由器 2022-6-23史忠植 高级计算机网络27数据包过滤器数据包过滤器数据包过滤防火墙是最普通的防火墙，最适合于简单网络。这数据包过滤防火墙是最普通的防火墙，最适合于简单网络。这种方法只需简单地在种方法只需简单地在InternetInternet网关处安装一个数据包过滤路由网关处安装一个数据包过滤路由器，并设置过滤规则阻挡协议或地址。器，并设置过滤规则阻挡协议或地址。数据包过滤器在发送前检查每一个数据包，在将其与规则进行数据包过滤器在发送前检查每一个数据包，在将其与规则进行对比，决定什么类型的数据包是允许的，什么类型是禁止的。对比，决定什么类型的数据包是允许的，什么类型是禁止

25、的。IPIP数据包过滤功能是在比数据包过滤功能是在比IPIP协议更低层执行的。协议更低层执行的。IPIP在每台主机在每台主机上运行，负责将数据包送到相应的目的地。上运行，负责将数据包送到相应的目的地。数据包过滤路由器对数据包过滤路由器对IPIP数据包的过滤基于如下几个方面：数据包的过滤基于如下几个方面： (1) (1)源源IPIP地址地址 (2) (2)目的目的IPIP地址地址 (3) (3)TCP/UDPTCP/UDP源端口源端口(4)(4)TCP/UDPTCP/UDP目标端口目标端口2022-6-23史忠植 高级计算机网络28数据包过滤器数据包过滤器数据包过滤设备检查数据包的标题，这一部分

26、描述了连接及使用的协议。数据包过滤设备检查数据包的标题，这一部分描述了连接及使用的协议。数据包过滤器基于以下条件对数据包过滤：数据包过滤器基于以下条件对数据包过滤： 源及目的源及目的IPIP地址地址 源及目的的端口。这些端口表明了对源及目的的端口。这些端口表明了对TCP/UDP TCP/UDP 的使用，如的使用，如FTPFTP、TelnetTelnet、SNMPSNMP或或RealAudioRealAudio。 TCPTCP。这是一种面向连接的协议，用于绝大多数服务器，如这是一种面向连接的协议，用于绝大多数服务器，如FTPFTP、TelnetTelnet。 UDPUDP（用户数据报协议）。这是

27、一种无连接协议，用于用户数据报协议）。这是一种无连接协议，用于SNMPSNMP及及RealAudioRealAudio。 ICMPICMP（InternetInternet控制报文协议）。这是一种控制报文协议）。这是一种InternetInternet的低层管理协议的低层管理协议。 数据包是否是新的数据包是否是新的TCP/IPTCP/IP连接的第一个数据包或是接着的数据包。连接的第一个数据包或是接着的数据包。 数据包是起源于某局部应用或指定用于某局部应用。数据包是起源于某局部应用或指定用于某局部应用。数据包是内界的还是外界的。数据包是内界的还是外界的。2022-6-23史忠植 高级计算机网络2

28、9双位置网关防火墙双位置网关防火墙 Internet安全局域网周边局域网Router网关2022-6-23史忠植 高级计算机网络30双位置网关防火墙双位置网关防火墙双位置网关防火墙可能是一种更好的方案。双位置网关配置在双位置网关防火墙可能是一种更好的方案。双位置网关配置在一个主机上设立了两个网络接口并禁止了主机的一个主机上设立了两个网络接口并禁止了主机的IP IP 移动。换移动。换句话说，双位置网关连接了两个网络。一个是内部安全网络，句话说，双位置网关连接了两个网络。一个是内部安全网络，另一个是通过路由器连接到另一个是通过路由器连接到InternetInternet的周边网络。这种方案完的周边

29、网络。这种方案完全禁止了全禁止了InternetInternet与内部网络之间的与内部网络之间的IP IP 传输。传输。双位置网关通常用于禁止访问没有得到特别允许的所有设备。双位置网关通常用于禁止访问没有得到特别允许的所有设备。例如，这种类型的防火墙可以用来分隔通信，允许从外界访问例如，这种类型的防火墙可以用来分隔通信，允许从外界访问信息服务器，同时禁止访问任何其他服务器。信息服务器，同时禁止访问任何其他服务器。由于存在两个域名服务器，内部主机的名字对由于存在两个域名服务器，内部主机的名字对InternetInternet上的任上的任何用户都是不可见的；然而，内部用户仍然可因访问全系统，何用户

30、都是不可见的；然而，内部用户仍然可因访问全系统，甚至包括周边网上的公用服务器。甚至包括周边网上的公用服务器。 2022-6-23史忠植 高级计算机网络31 主机屏蔽防火墙主机屏蔽防火墙 Internet安全网RouterGateway公共SERVER2022-6-23史忠植 高级计算机网络32 主机屏蔽防火墙主机屏蔽防火墙 主机屏蔽防火墙比双位置防火墙具有稍多一些的灵活性。主机屏蔽防火墙比双位置防火墙具有稍多一些的灵活性。这种防火墙在路由器的被保护的一边，综合使用了数据包过滤这种防火墙在路由器的被保护的一边，综合使用了数据包过滤路由器和应用网关。与双位置网关方案不同，它只需一个网络路由器和应用

31、网关。与双位置网关方案不同，它只需一个网络接口。在有代理服务的情况下，应用网关把接口。在有代理服务的情况下，应用网关把TelnetTelnet（远程登录远程登录）及其他服务发送给专用系统。路由器滤除危险协议，以防这）及其他服务发送给专用系统。路由器滤除危险协议，以防这些协议到达网关及专用系统。些协议到达网关及专用系统。 在主机屏蔽防火墙系统中，内部网络与周边网络的分隔是逻在主机屏蔽防火墙系统中，内部网络与周边网络的分隔是逻辑上的，而不是物理上的。也就是说，数据包过滤规则仅仅用辑上的，而不是物理上的。也就是说，数据包过滤规则仅仅用于检查于检查InternetInternet与网关及公用服务器之间

32、的通信业务。与网关及公用服务器之间的通信业务。 由于是逻辑的，而不是物理上的分隔，因此这种配置不允由于是逻辑的，而不是物理上的分隔，因此这种配置不允许存在错误，如果公用服务器遭到外界攻击，它可能变成一个许存在错误，如果公用服务器遭到外界攻击，它可能变成一个同往内部网络的入口。同往内部网络的入口。 2022-6-23史忠植 高级计算机网络33 子网屏蔽防火墙子网屏蔽防火墙 子网屏蔽防火墙与双位置屏蔽防火墙相似。使用这种设置，子网屏蔽防火墙与双位置屏蔽防火墙相似。使用这种设置，防火墙的每个构成部分都位于不同的系统中。尽管设置更复杂防火墙的每个构成部分都位于不同的系统中。尽管设置更复杂，但提供了更好

33、的灵活性和更大的处理能力。，但提供了更好的灵活性和更大的处理能力。 在这种配置中，两个路由器建立了一个在这种配置中，两个路由器建立了一个 内部屏蔽的子网，内部屏蔽的子网，子网中包含应用网关、信息服务器、调制解调器或应限制访问子网中包含应用网关、信息服务器、调制解调器或应限制访问的其他系统。的其他系统。 在这种类型的防火墙配置条件下，从在这种类型的防火墙配置条件下，从InternetInternet上不能直接上不能直接访问任何系统，路由器将通信业务转给专用系统。外部路由器访问任何系统，路由器将通信业务转给专用系统。外部路由器限制了限制了InternetInternet访问专用系统，并禁止了到访问

34、专用系统，并禁止了到InternetInternet的其他通的其他通信，这些通信可能起源于不需要信，这些通信可能起源于不需要InternetInternet访问的系统。内部路访问的系统。内部路由器在屏蔽子网的系统之间发送通信业务。由器在屏蔽子网的系统之间发送通信业务。2022-6-23史忠植 高级计算机网络34 子网屏蔽防火墙子网屏蔽防火墙 Internet安全网周边局域网RouterRouter2022-6-23史忠植 高级计算机网络35防火墙未来趋势防火墙未来趋势 第一代防火墙是数据包过滤路由器。第一代防火墙是数据包过滤路由器。 第二代防火墙第二代防火墙应用和线路网关（应用和线路网关（也称

35、代理器）。也称代理器）。 第三代防火墙技术综合了数据包过滤第三代防火墙技术综合了数据包过滤与代理器系统的特点和功能，以状态的多与代理器系统的特点和功能，以状态的多层检查（层检查（SMLISMLI）为代表。为代表。 2022-6-23史忠植 高级计算机网络369.7 9.7 加密加密 明 文 密 文 加 密 解 密 2022-6-23史忠植 高级计算机网络37密码系统密码系统 单密钥密码体制：单密钥密码体制又叫对称密码体单密钥密码体制：单密钥密码体制又叫对称密码体制，其加密密钥与解密密钥相同，或实质上等同，即制，其加密密钥与解密密钥相同，或实质上等同，即从一个易于得出另一个。从一个易于得出另一个

36、。 双密钥密码体制：双密钥密码体制其加密密钥与解双密钥密码体制：双密钥密码体制其加密密钥与解密密钥不相同，从一个难于得出另一个。密密钥不相同，从一个难于得出另一个。 多密钥密码体制：多密钥体制是基于非对称加密多密钥密码体制：多密钥体制是基于非对称加密的体制。的体制。 无密钥密码体制：无密钥密码体制是一个没有特无密钥密码体制：无密钥密码体制是一个没有特定密钥的加密体制定密钥的加密体制2022-6-23史忠植 高级计算机网络38密码通信系统密码通信系统 发送者 接受者 密码分析员 析取信息 注入信息 2022-6-23史忠植 高级计算机网络39工作原理工作原理 组成员的动态特征意味着树需要定期的更

37、新。也就组成员的动态特征意味着树需要定期的更新。也就是说，多播报文必须定期的发往是说，多播报文必须定期的发往InternetInternet网络中的每网络中的每个路由器。这就使得在大规模传送服务如在个路由器。这就使得在大规模传送服务如在InternetInternet上的传送问题不容忽视，而且，每个路由器必须保留上的传送问题不容忽视，而且，每个路由器必须保留关于源和组的所有状态信息。尽管这对于小网络来说关于源和组的所有状态信息。尽管这对于小网络来说不构成威胁，但是当源的数目和多播组成员大幅增加不构成威胁，但是当源的数目和多播组成员大幅增加时就是一个严重的问题。时就是一个严重的问题。2022-6

38、-23史忠植 高级计算机网络406.10 6.10 核心树核心树 核心树（核心树（core-based tree, CBTcore-based tree, CBT）算法将建立一棵算法将建立一棵被小组中所有的发送者和接收者共享的传送树被小组中所有的发送者和接收者共享的传送树( (图图6.10)6.10)，而不是为每一个源，而不是为每一个源- -组对建立一棵树。使用组对建立一棵树。使用CBTCBT算法时，无论报文是从那个源发出的，路由器将算法时，无论报文是从那个源发出的，路由器将多信道信息沿着相同的传送树来传递。多信道信息沿着相同的传送树来传递。共享树途径最显著的优势是能够很好的适应大规模网共享树

39、途径最显著的优势是能够很好的适应大规模网络。然而，络。然而，CBTCBT可能导致在核心路由器附近的流量集可能导致在核心路由器附近的流量集中和瓶颈问题。这是因为从任意源结点发出的信息在中和瓶颈问题。这是因为从任意源结点发出的信息在接近核心时，都沿着相同的连接。接近核心时，都沿着相同的连接。2022-6-23史忠植 高级计算机网络41CBTCBT 源主机 核心路由 树上路由 图 6.10 核心树 CBT 2022-6-23史忠植 高级计算机网络42设计目的设计目的 (1) CBT (1) CBT是用于大规模网络，处理过程中只需要少是用于大规模网络，处理过程中只需要少量的内存和带宽资源。因为量的内存

40、和带宽资源。因为CBTCBT不针对于源，尤其适不针对于源，尤其适合于多发送者的应用程序。合于多发送者的应用程序。 (2) (2) CBTCBT时健壮的多播路由选择算法。为了获得健时健壮的多播路由选择算法。为了获得健壮的多播传送树，核心将放置在最佳位置。壮的多播传送树，核心将放置在最佳位置。 (3) (3)和其他多播路由选择协议比较而言，和其他多播路由选择协议比较而言，CBTCBT协议协议比较简单。简单性能导致性能的提高。比较简单。简单性能导致性能的提高。 (4) (4)CBTCBT路由选择算法适度利于协议的。任何地方路由选择算法适度利于协议的。任何地方都可以安装，并且支持域间多信道路由选择。都

41、可以安装，并且支持域间多信道路由选择。CBTCBT与与CBMRPCBMRP有着良好的协同工作的机制，有着良好的协同工作的机制，CBMRPCBMRP是一种能够是一种能够普遍连接不同种类的多播域的协议。普遍连接不同种类的多播域的协议。2022-6-23史忠植 高级计算机网络43当一主机成为多播组的成员当一主机成为多播组的成员将执行以下步骤将执行以下步骤 (1)(1)主机向所有连接广播一主机向所有连接广播一IGMPIGMP主机成员报告。主机成员报告。 (2) (2)附近的一个具附近的一个具CBTCBT算法的路由器唤醒加入树算法的路由器唤醒加入树的过程：的过程： 产生产生JOIN_REQUESTJOI

42、N_REQUEST信息信息 将信息发往沿着导向组的核心路由器的路将信息发往沿着导向组的核心路由器的路径的下一个站点。径的下一个站点。 (3) (3)核心路由或发送路由和核心路由之间的另一核心路由或发送路由和核心路由之间的另一路由器确认该信息。路由器确认该信息。2022-6-23史忠植 高级计算机网络44当一主机成为多播组的成员当一主机成为多播组的成员将执行以下步骤将执行以下步骤 (4)(4)请求加入的信息在它穿过的路由器暂时建立加请求加入的信息在它穿过的路由器暂时建立加入状态，包括组、进入的接口和连出的接口。所有中入状态，包括组、进入的接口和连出的接口。所有中间路由器处理加入请求：间路由器处理

43、加入请求： 确认加入请求是从那个接口接收的。确认加入请求是从那个接口接收的。 告知信加入的主机告知信加入的主机CBTCBT传送树。传送树。 (5) (5)临时状态如果没有接到从上游传来的确认信临时状态如果没有接到从上游传来的确认信息，将最终超时。因为有临时加入状态，加入确认可息，将最终超时。因为有临时加入状态，加入确认可以沿着加入请求来的路径返回。以沿着加入请求来的路径返回。 (6) (6)一旦加入确认到达产生加入请求的路由器，一旦加入确认到达产生加入请求的路由器，发向这个组的信息将同时发往这个新的接收者。发向这个组的信息将同时发往这个新的接收者。 2022-6-23史忠植 高级计算机网络45

44、CBTCBT (4)(4)请求加入的信息在它穿过的路由器暂时建立加请求加入的信息在它穿过的路由器暂时建立加入状态，包括组、进入的接口和连出的接口。所有中入状态，包括组、进入的接口和连出的接口。所有中间路由器处理加入请求：间路由器处理加入请求： 确认加入请求是从那个接口接收的。确认加入请求是从那个接口接收的。 告知信加入的主机告知信加入的主机CBTCBT传送树。传送树。 (5) (5)临时状态如果没有接到从上游传来的确认信临时状态如果没有接到从上游传来的确认信息，将最终超时。因为有临时加入状态，加入确认可息，将最终超时。因为有临时加入状态，加入确认可以沿着加入请求来的路径返回。以沿着加入请求来的

45、路径返回。 (6) (6)一旦加入确认到达产生加入请求的路由器，一旦加入确认到达产生加入请求的路由器，发向这个组的信息将同时发往这个新的接收者。发向这个组的信息将同时发往这个新的接收者。 2022-6-23史忠植 高级计算机网络466.116.11路由多播选择算法路由多播选择算法KMBKMB理想化的多播路由选择算法应该是：理想化的多播路由选择算法应该是： 构建树时具有所想要的成本和延迟特征。构建树时具有所想要的成本和延迟特征。 算法可以适用于广播组的成员增加的情况算法可以适用于广播组的成员增加的情况（如（如CBTCBT），），而不是每次成员增加都需要更新（如而不是每次成员增加都需要更新（如SM

46、TSMT）。）。 维护原始路由的特性。维护原始路由的特性。 不干扰正在进行的数据传送。不干扰正在进行的数据传送。 是由接收者驱动的。是由接收者驱动的。 2022-6-23史忠植 高级计算机网络47问题的形式化定义问题的形式化定义给定图给定图 G = (V, E, c)V= 顶点集顶点集E= 边集边集c= 成本函数成本函数 c: E Z0+ ( 边边 非负整数非负整数)Z-顶点集顶点集: 终结集合终结集合(有时用有时用M表示表示)S-点集点集: 非终结集合非终结集合TO: 初始树初始树 = s.Q : 树上顶点的优先级队列树上顶点的优先级队列Vt: 树上顶点树上顶点At: 树上边树上边 2022

47、-6-23史忠植 高级计算机网络48Dijkstra最短路径算法 Begin. v V, 将将v加到集合加到集合U, Distance(v) = cost(s, v) Distance(s) = 0; 从从U中删除中删除s. while U 不为空不为空 do 具有最小距离的任何具有最小距离的任何G的成员的成员v. U=U-v. For 每个每个v的近邻的近邻 w , do if member(w, U) distance(w) = min(distance(w), cost(w, v) + distance(v) ); Stop.2022-6-23史忠植 高级计算机网络49 Matsuyam

48、a最短成本路径启发式算法 Begin T1 : 包含任选的包含任选的iZ的的G的子树的子树 .k = 1;Zk=i. 找到离找到离 Tk 最近的最近的i Z - Zk 在在Tk 的基础上加入从的基础上加入从Tk 到到 I的最短路径建树的最短路径建树Tk+1k = k+1. If k p, 转转T1. If k = p, 输出结论输出结论 Tp Stop. 2022-6-23史忠植 高级计算机网络50 KMB 算法 输入：图输入：图G和顶点集和顶点集Z 输出：输出：Steiner树树Th 步骤：步骤： 1由由G和和Z建立完全有向带权图建立完全有向带权图G1=（V1，E1，c1）。）。 2找到找到

49、G1的最小生成树。的最小生成树。 3用用G中相应的最短路径替换中相应的最短路径替换T1中的一边，建立中的一边，建立G的子图的子图Gs。 4找到找到Gs的最小生成树的最小生成树Ts。 5. 如必要的话删去如必要的话删去Ts中的边，构建中的边，构建Steiner树树Th，使得使得Th中所有中所有的叶子为的叶子为Steiner点。点。2022-6-23史忠植 高级计算机网络51KMBKMB算法算法 KMB KMB算法最坏时间复杂度算法最坏时间复杂度 O O（|S|V|S|V|2 2）。）。成本不大于成本不大于2 2（1-1/1-1/l l）最优成本，其中最优成本，其中l = l = SteinerS

50、teiner树的叶结点数。树的叶结点数。2022-6-23史忠植 高级计算机网络52KMB算法的工作过程 B 10 B C A 1 A B C D I G F C D H E 1 1 9 1 1 8 1/2 1/2 1 4 4 4 4 A D 4 4 4 4 4 A 1 I G F B C D H E 1 1 1 1 1/2 1/2 1 初始状态 第1步之后 第2步之后 第3步之后 2022-6-23史忠植 高级计算机网络53KMB算法的工作过程 1 I G F B C D H E 1 1 1 1 1/2 1/2 1 I F B C D E 1 1 1 1 第5步之后 第4步之后 2022-6