网络工程规划与设计案例教程-项目一-任务1-网络管理与网络安全课件.ppt

1、网络工程规划与设计网络管理与网络安全网络管理与网络安全网络工程规划与设计21 1 网络管理网络管理1.1 1.1 网络管理的发展历史网络管理的发展历史1网络管理的发展19世纪末的电信网络就已有相应的管理“系统”电话话务员，他就是整个电话网络系统的管理员，尽管他能管理的内容非常有限。而计算机网络的管理，是伴随着1969年世界上第一个计算机网络ARPANET的诞生而产生的，当时，ARPANET就有一个相应的管理系统。2网络管理的不足和进一步的发展过去的网络管理系统常常是厂商开发的专用系统，很难对其他厂商的网络系统、通信设备等进行管理，这种状况很不适应网络异构互连的发展趋势。19世纪80年代初期In

2、ternet的出现和发展更使人们意识到了这一点的重要性，研究者迅速展开了对网络管理的研究，并提出了多种网络管理方案。最终，SNMP成为了网络管理领域中的工业标准，并得到了广泛支持和应用，目前大多数的网络管理系统和网络管理平台都基于SNMP。网络工程规划与设计31 1 网络管理网络管理1.2 SNMP1.2 SNMP网络管理模型网络管理模型 1简单网络协议及其组成简单网络管理协议（Simple Network Management Protocol，SNMP），同它定义的管理信息库（Management Information Base，MIB）一同提供了一种系统地监控和管理计算机网络的方案。它

3、管理局域网和广域网中的各种网络设备，包括路由器、工作站和PC。SNMP提供了较为完善的差错管理和配置管理功能，同时在一定程度上也支持其他功能。SNMP网络管理模型由4部分组成。网络管理站 被管设备 管理信息库（MIB）管理协议（SNMP）网络工程规划与设计41 1 网络管理网络管理2SNMP的设计原则SNMP的设计原则是把所有智能和复杂性放在管理器（客户端）上，使代理（服务器端）尽可能简单，以尽量减少对被管设备的影响，也就是说，不要让被管设备因为执行网络管理功能而影响它完成本职工作.3SNMP模型的传输过程 SNMP模型采用ASN.1（1号抽象句法表示）描述对象的语法结构以及进行信息传输。在传

4、输各类数据时，SNMP首先要把内部数据转换成ASN.1语法表示，然后发送出去，另一端收到此ASN.1语法表示的数据后也必须首先变成内部数据表示，然后才执行其他的操作。这样就实现了不同系统之间的无缝通信。网络工程规划与设计51 1 网络管理网络管理4ASN.1对MIB对象名称的规定 ASN.1对MIB对象名称规定了一种“字典排序方法”。在对象名称均用数字序列表示时，如果两个对象名称有相同的序列表示，即对应树中同一个节点，则这两个名称按字典顺序相等；如果一个名称是另一个名称的前部，或一个名称比另一个名称中第一个不同的节点具有较低的数字值，则称这个名称按字典顺序小于另一个名。注意：SNMP最终操作的

5、不是对象，而是对象的实例（Instance），以下称为变量。对象表示一种数据类型，而不代表具体的网管信息。SNMP协议规定了如何从对象的名称得到实例的名称方法。网络工程规划与设计61 1 网络管理网络管理5SNMP的主要报文类型的规定（1）get（请求）：取得当前存储于指定变量内的数值。（2）get_next（请求）：指定一个名称并要求服务器以字典顺序中下一个变量 的名称和数值作为响应。（3）set（请求）：把一个数值赋给指定的变量。（4）get_response（响应）：返回操作的结果。（5）trap（异常）：向管理站报告突发事件，如停机。网络工程规划与设计71 1 网络管理网络管理1.3

6、1.3 其他网络管理协议其他网络管理协议 1目前主流的网络管理协议还有如下几种（1）CMIS/CMIP公共管理信息服务/公共管理信息协议（CMIS/CMIP）是OSI提供的网络管理协议簇。CMIS定义了每个网络组成部分提供的网络管理服务，CMIP则是实现CMIS服务的协议。（2）RMON协议 RMON是远程监控的简称，是用于分布式监视网络通信的工业标准。RMON协议广泛应用于如路由器、网管型交换机这类设备中。网络工程规划与设计81 1 网络管理网络管理（3）AgentX（扩展代理）协议AgentX协议是由Internet工程任务组（IETF）在1998年提出的标准。AgentX协议允许多个子代

7、理来负责处理MIB信息，该过程对于SNMP管理应用程序是透明的。AgentX协议为代理的扩展提供了一个标准的解决方法，使得各子代理将它们的职责信息通告给主代理。每个符合AgentX的子代理运行在各自的进程空间里，因此比采用单个完整的SNMP代理具有更好的稳定性。另外，通过AgentX协议能够访问它们的内部状态，进而管理站随后也能通过SNMP访问到它们。随着服务器进程和应用程序处理的日益复杂，最后一点尤其重要。通过AgentX技术，可以利用标准的SNMP管理工具来管理大型软件系统。网络工程规划与设计91 1 网络管理网络管理1.4 1.4 网路管理的主要功能网路管理的主要功能 1 ISO在ISO

8、/IEC 7498-4文档中定义了网络管理的五大功能。这五大功能内容具体如下（1）故障管理（fault management）故障管理是网络管理中最基本的功能之一。网络故障管理包括故障检测、隔离和纠正三方面，应包括以下典型功能：维护并检查错误日志；接受错误检测报告并做出响应；跟踪、辨认错误；执行诊断测试；纠正错误。网络工程规划与设计101 1 网络管理网络管理（2）计费管理（accounting management）计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价，可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理员还可规定用户可使用的最大费用，从而

9、控制用户过多占用和使用网络资源。这也从另一方面提高了网络的效率。另外，当用户为了一个通信目的需要使用多个网络中的资源时，计费管理应可计算总计费用。网络工程规划与设计111 1 网络管理网络管理（3）配置管理（configuration management）配置管理同样相当重要，它初始化网络并对网络进行配置，以使其提供网络服务。配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能，目的是为了实现某个特定功能或使网络性能达到最优。配置管理包括以下内容：设置开放系统中有关路由操作的参数；被管对象和被管对象组名字的管理；初始化或关闭被管对象；根据要求收集系统当前状态的有关信息

10、；获取系统重要变化的信息；更改系统的配置。网络工程规划与设计121 1 网络管理网络管理（4）性能管理（performance management）性能管理，估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。性能管理一些典型的功能包括以下几方面：收集统计信息；维护并检查系统状态日志；确定自然和人工状况下系统的性能；改变系统操作模式以进行系统性能管理的操作。网络工程规划与设计131 1 网络管理网络管理（5

11、）安全管理（security management）安全性一直是网络的薄弱环节之一，而用户对网络安全的要求又相当高，因此网络安全管理非常重要。网络中主要有以下几大安全问题：网络数据的私有性（保护网络数据不被侵入者非法获取）；授权（authentication）（防止入侵者进入在网络并发送错误信息）；访问控制（控制对网络资源的访问）。网络安全管理应包括对授权机制、访问控制和加密机制的 管理，另外还要维护和检查安全日志。网络工程规划与设计141 1 网络管理网络管理1.51.5计算机网络日常管理与维护计算机网络日常管理与维护 1.网络管理中的几项重要的工作(1)VLAN管理VLAN是一种将局域网设

12、备从逻辑上划分成一个个网段（或者说是更小的局域网），从而实现虚拟工作组（单元）的数据交换技术。VLAN的一个主要特性就是提供了更多的管理控制，减少了相对日常管理开销，提供了更大的配置灵活性 网络工程规划与设计151 1 网络管理网络管理VLAN的特性当用户从一个地点移动到另一个地点时，简化了配置操作和过程修改。当网络阻塞时，可以重新调节流量分布。供流量与广播行为的详细报告，同时统计VLAN逻辑区域的规模与组成。提供根据实际情况在VLAN中增加和减少用户的灵活性。2WAN接入管理 网络管理的解决方案中，一个大型网络（WAN）是通过分层进行管理的。每个想入网的用户，首先要考虑在网络连接上怎样接入这

13、个网络。一般用户需要找到主管自己这片地区的地区性网络中心，然后提出申请，最后该地区性网络中心再进行用户的接入操作。网络工程规划与设计161 1 网络管理网络管理WAN接入管理一般包括以下主要内容：（1）连网用户必须租用一条网络线路，连接用户与地区性网络中心。（2）连网用户需要向地区网络中心申请一段属于自己的IP地址，然后在全国网络中心注册域名。（3）对于接入的连网用户，一般都要向地区性网络中心一次性交纳一笔接入费用，然后地区网络中心再对该用户进行网络接入的相关配置。（4）在连网用户端也需要进行相应的配置，然后开通该用户的网络连接，最后连网用户需要根据其使用网络资源的流量交纳网络费用。网络工程规

14、划与设计171 1 网络管理网络管理3网络故障的诊断与排除按照网络故障不同性质划分：（1）物理故障：是指设备或线路损坏、插头松动、线路受到严重电磁干扰等情况。（2）逻辑故障：一种常见情况就是配置错误，就是指因为网络设备的配置原因而导致的网络异常或故障。根据故障的不同对象划分：（1）线路故障：线路故障最常见的情况就是线路不通。（2）路由器故障：事实上，线路故障中很多情况都涉及路由器，因此也可以把一些线路故障归结为路由器故障。（3）主机故障：主机故障常见的现象就是主机的配置不当。网络工程规划与设计182 2 网络安全概述网络安全概述 2.1 2.1 网络安全防范体系结构网络安全防范体系结构ITU-

15、TX.800标准将常说的“网络安全（network security）”进行逻辑上的分别定义，即安全攻击（security attack）是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。网络工程规划与设计19图 1 三维安全防范技术体系框架结构2 2 网络安全概述网络安全概述网络工程规划与设计202 2 网络安全概述网络安全概述框架结构中的每一个系统单元都对应于某一个协议层

16、次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则认为该信息网络是安全的。网络工程规划与设计21安全管理网络层安全网络层安全系统层安全物理层安全2 2 网络安全概述网络安全概述2.2 2.2 网络安全防范体系层次网络安全防范体系层次作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用情况和网络的结构

17、，将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理几部分。网络工程规划与设计222 2 网络安全概述网络安全概述1物理环境的安全性（物理层安全）该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。2操作系统的安全性（系统层安全）该层次的安全问题来自网络内使用的操作系统的安全，如Windows 2000，Windows 2003等。主要表现在以下3方面。（1）操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。（2）对操作系统的安全配置问题。（3）病毒对操作系统的威胁。网络工程规划与设计232 2 网络安全概述网络安全概述3网络

18、的安全性（网络层安全）该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。4应用的安全性（应用层安全）该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。5管理的安全性（管理层安全）安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。网络工程规划与设计242 2 网络安全概述网络安全概述2.3 2.3 网络安全防范体系设计原则网络安全防范体系设计原则网络安

19、全防范体系在整体设计过程中应遵循以下9项原则：1.1.网络信息安全的木桶原则网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面的进行保护，即“木桶最大容积取决于最短的一块木板”。2 2网络信息安全的整体性原则网络信息安全的整体性原则本原则要求在网络发生被攻击、破坏事件的情况下，必须尽可能快速恢复网络信息中心的服务，减少损失。3 3安全性评价与平衡原则安全性评价与平衡原则对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的安全性评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和

20、衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。网络工程规划与设计252 2 网络安全概述网络安全概述4 4标准化与一致性原则标准化与一致性原则网络安全系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互连互通、信息共享。5 5技术与管理相结合原则技术与管理相结合原则安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。6 6统筹规划，分步实施原则统筹规

21、划，分步实施原则由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着网络规模的扩大及应用的增加，调整或增强安全防护力度，保证整个网络的安全需求。网络工程规划与设计262 2 网络安全概述网络安全概述7 7等级性原则等级性原则等级是指安全层次和安全级别的等级，良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安

22、全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。8 8动态发展原则动态发展原则 根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。9 9易操作性原则易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。措施的采用不能影响系统的正常运行。网络工程规划与设计272 2 网络安全概述网络安全概述2.4 2.4 计算机系统安全技术标准计算机系统安全技术标准国际上对计算机安全问题是非常重视的，有专门的公司在研制有关产品，也制定了许多标准，下面介绍几种计算机系统安全技术标准。（1）国际标准化组织对安全体系结构的论

23、述。国际标准化组织ISO7498-2中描述的OSI参考模型安全体系结构的5种安全服务项目如下：鉴别（authentication）；访问控制（access control）；数据保密（data confidentiality）；数据完整性（data integrity）；抗否认（non-reputation）。网络工程规划与设计282 2 网络安全概述网络安全概述 为了实现以上服务，制定了8种安全机制，分别是：加密机制（encryption mechanisms）；数字签名机制（digital signature mechanisms）；访问控制机制（access control mechan

24、isms）；数据完整性机制（data integrity mechanisms）；鉴别交换机制（authentication mechanisms）；通信业务填充机制（traffic padding mechanisms）；路由控制机制（routing control mechanisms）；公证机制（notarization mechanisms）。网络工程规划与设计292 2 网络安全概述网络安全概述（2）美国国家计算机安全中心的TCSEC提出的可信计算机系统评测标准（Trusted Computer System Evaluation Criteria，TCSEC），将计算机系统的安全分

25、为A、B、C、D四类7级。不同计算机信息系统可根据需要选用不同安全保密强度的不同标准，如军事、国防为A、B类，金融、财贸为BI、C2级或更高级的计算机系统。可信系统评价准则见下表。网络工程规划与设计302 2 网络安全概述网络安全概述网络工程规划与设计312 2 网络安全概述网络安全概述2.5 2.5 我国计算机信息系统安全保护等级的划分我国计算机信息系统安全保护等级的划分国家质量技术监督局于1999年9月13日发布，2001年1月l日起实施，标准规定了计算机信息系统安全保护能力的五个等级 第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标记保护级；第四级，结构化保护级；第五级，访

26、问验证保护级。网络工程规划与设计322 2 网络安全概述网络安全概述该标准适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增加，逐渐增强。等级划分准则具体内容如下。（1）第一级，用户自主保护级 本级别包括以下内容。自主访问控制。身份鉴别。数据完整性。（2）第二级，系统审计保护级本级别包括以下内容。自主访问控制，控制访问权限扩散。身份鉴别。客体重用。审计。数据完整性。网络工程规划与设计332 2 网络安全概述网络安全概述（3）第三级，安全标记保护级。本级别包括以下内容。自主访问控制，控制访问权限扩散。强制访问控制。标记。身份鉴别。客体重用。审计。数据完

27、整性。网络工程规划与设计342 2 网络安全概述网络安全概述（4）第四级，结构化保护级。本级别包括以下内容。自主访问控制。同安全标记保护级。强制访问控制。标记。身份鉴别。客体重用。审计。数据完整性。隐蔽信道分析。可信路径。网络工程规划与设计352 2 网络安全概述网络安全概述（5）第五级，访问验证保护级。本级别包括以下内容。自主访问控制。强制访问控制。标记。身份鉴别。客体重用。审计。数据完整性。隐蔽信息分析。可信路径。可信恢复。网络工程规划与设计363 3 网络数据加密与认证技术网络数据加密与认证技术3.1 3.1 加密的基本概念加密的基本概念“加密”是一种限制对网络上传输数据的访问权的技术。

28、原始数据也称为明文，（plaintext）被加密设备（硬件或软件）和密钥加密而产生的经过编码的数据称为密文（ciphertext）1.加密的基本功能包括如下几方面：（1）防止不速之客查看机密的数据文件；（2）防止机密数据被泄露或篡改；（3）防止特权用户（如系统管理员）查看私人数据文件；网络工程规划与设计373 3 网络数据加密与认证技术网络数据加密与认证技术2.数据加密可在网络OSI参考模型七层协议的多层上实现，所以从加密技术应用的逻辑位置看，有如下三种方式。（1）链路加密：通常把网络层以下的加密叫链路加密，主要用于保护通信节点间传输的数据，加解密由置于线路上的密码设备实现。根据传递的数据的同

29、步方式又可分为同步通信加密和异步通信加密两种，同步通信加密又包含字节同步通信加密和位同步通信加密。链路加密的不足：尽管链路加密在计算机网络环境中使用得相当普遍，但它并非没有漏洞。链路加密通常用在点对点的同步或异步线路上，它要求先对在链路两端的加密设备进行同步，然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。网络工程规划与设计383 3 网络数据加密与认证技术网络数据加密与认证技术（2）节点加密：节点加密是对链路加密的改进。节点加密是对数据在传输层上进行加密，主要是对源节点和目标节点之间传输数据进行加密保护，与链路加密类似，只是加密算法要结合在依附于节点的加

30、密模块中，克服了链路加密在节点处易遭非法存取的缺点。节点加密的操作方式：尽管节点加密能给网络数据提供较高的安全性，但它在操作方式上与链路加密是类似的，两者均在通信链路上为传输的消息提供安全性，都在中间节点先对消息进行解密，然后进行加密。因为要对所有传输的数据进行加密，所以加密过程对用户是透明的。网络工程规划与设计393 3 网络数据加密与认证技术网络数据加密与认证技术（3）端到端加密：网络层以上的加密称为端到端的加密，端到端加密面向网络层主体。对应用层的数据信息进行加密，易于用软件实现，且成本低，但密钥管理问题困难，主要适合大型网络系统中信息在多个发方和收方之间传输的情况。端到端加密的优点：端

31、到端加密系统的价格便宜，并且与链路加密和节点加密相比更可靠，更容易设计、实现和维护。端到端加密还避免了其他加密系统所固有的同步问题，因为每个包均是独立被加密的，所以一个包所发生的传输错误不会影响后续的包。网络工程规划与设计403 3 网络数据加密与认证技术网络数据加密与认证技术3.2 3.2 加密的分类加密的分类加密类型可以简单地分为如下三种：根本不考虑解密问题；私用密钥加密技术；公开密钥加密技术。第一种加密技术主要是针对一些如口令加密这样的类型，它只需要被加密，并与以前的加密进行比较；第二种和第三种加密技术是按如何使用密钥上的不同来划分的。以下主要介绍第二种和第三种加密技术。1私用密钥加密技

32、术私用密钥加密是利用一个密钥对数据进行加密，对方接收到数据后，需要用同一密钥来进行解密。这种加密技术的特点是数学运算量小，加密速度快，其主要弱点在于密钥管理困难，而且一旦密钥泄露则直接影响到信息的安全性。网络工程规划与设计413 3 网络数据加密与认证技术网络数据加密与认证技术（1）密钥加密技术算法及其发展对称密钥加密技术中最具有代表性的算法是IBM公司提出的DES（Data Encryption Standard）算法，该算法于1977年被美国国家标准局NBS颁布为商用数据加密标准。DES综合运用了置换、代替、代数多种密码技术，并把消息分成64位大小的块，使用56位密钥，迭代l6轮对数据进行

33、加密。它设计精巧，实现容易，使用方便。随机化数据加密标准（RDES）算法是日本密码学家Nakao Y.Kaneko T等人于1996年初提出的一种新的DES改进算法。它只是在每轮迭代前的右半部增加了一个随机置换，其他均与DES相同，它比DES安全性要好。网络工程规划与设计423 3 网络数据加密与认证技术网络数据加密与认证技术IDEA（International Data Encryption Algorithm）是一种国际信息加密算法。它是1991年的瑞士ETH Zurich由James Massey 和Xueiia Lai发明的，于l992年正式公开，是一个分组大小为64位，密钥为l28位

34、，迭代轮数为8轮的迭代型密码体制。IDEA的特点是用户可以根据需求选用64位或128位密钥以满足所需的安全要求2公开密钥加密技术l976年，Diffie和Hellman首次提出公开密钥加密体制，即每个人都有一对密钥，其中一个为公开的，一个为私有的。目前公认比较安全的公开密钥算法主要就是RSA算法及其变种Rabin算法，离散对数算法等 网络工程规划与设计433 3 网络数据加密与认证技术网络数据加密与认证技术3.3 3.3 加密技术发展趋势加密技术发展趋势（1）私用密钥加密技术与公开密钥加密技术相结合：鉴于两种密码体制加密的特点，在实际应用中可以采用折衷方案，即结合使用DES/IDEA和RSA，

35、以DES为“内核”，RSA为“外壳”，对于网络中传输的数据可用DES或IDEA加密，而加密用的密钥则用RSA加密传送，此种方法既保证了数据安全又提高了加密和解密的速度，这也是目前加密技术发展的方向之一。（2）寻求新算法：跳出以常见的迭代为基础的构造思路，脱离基于某些数学问题复杂性的构造方法。（3）加密最终将被集成到系统和网络中。网络工程规划与设计443 3 网络数据加密与认证技术网络数据加密与认证技术3.4 3.4 密钥管理密钥管理根据密码假设，一个密码系统的安全性取决于对密钥的保护，而不是对系统或硬件本身的保护。即使在密码体制公开或密码设备丢失的情况下，同一型号的密码机仍可继续使用。然而一旦

36、密钥丢失或出错，不但合法用户不能提取信息，而且可能会是非法用户窃取信息。密钥的保密和安全管理在数据系统安全中是极为重要的 密钥分配协定 密钥分配协定是这样的一种机制：系统中的一个成员先选择一个秘密密钥，然后将它传送另一个成员或别的成员。网络工程规划与设计453 3 网络数据加密与认证技术网络数据加密与认证技术密钥分配协议应满足以下两个条件：（1）传输量和存储量都比较小。（2）每一对用户U和V都能独立地计算一个秘密密钥K。网络工程规划与设计463 3 网络数据加密与认证技术网络数据加密与认证技术1 密钥共享技术密匙存在两个明显的缺陷：一是若主密钥偶然或有意地被暴露，整个系统就易受攻击二是若主密钥

37、丢失或损坏，系统中的所有信息就不能用了。关于这个问题，Shamir于1979年提出了一种解决方法，称为门限法，实质上是一种秘密共享的思想。网络工程规划与设计473 3 网络数据加密与认证技术网络数据加密与认证技术2 秘密共享的基本方法（1）已知任意t个Ki的值易于计算出K。（2）已知任意t 1个或更少个Ki，则由于信息短缺而不能确定出k。将n个小片分给n个用户，由于要重构密钥需要t个小片，故暴露一个小片或大到 1个小片不会危及密钥，且少于 1个用户不可能共谋到密钥，同时，若一个小片被丢失或损坏，也可恢复密钥（只要至少有t个有效的小片）。网络工程规划与设计483 3 网络数据加密与认证技术网络数

38、据加密与认证技术3密钥托管技术 加密技术既可以帮助守法公民和企业保密，又可以被犯罪分子用于掩护其犯罪事实，这就为政府管理社会，法律执行部门跟踪犯罪分子带来了一定的困难。现在密钥托管已经是一些系统的派生术语，包括密钥恢复、受信任的第三方、特别获取、数据恢复等。近几年，密钥托管加密技术已成为密码技术研究和应用的焦点。网络工程规划与设计493 3 网络数据加密与认证技术网络数据加密与认证技术3.5 3.5 信息认证技术信息认证技术1.认证的目的 一是验证信息的发送者是真正的，而不是冒充的。二是验证信息的完整性，即验证信息在传送或存储过程中是否被窜改，重放或延迟等。2.对密码系统的攻击主要有两类 第一

39、类是被动攻击，攻击者只是对截获的密文进行分析。第二类是主动攻击，攻击者通过采用删除、增添、重放和伪造等手段主动向系统注入假消息。网络工程规划与设计503 3 网络数据加密与认证技术网络数据加密与认证技术3.认证技术认证是防止他人对系统进行主动攻击（如伪造，窜改信息等）的一种重要技术。信息认证技术主要包括以下个方面（1）数字签名技术 一个数字签名算法主要由两部分组成，即签名算法和验证算法。签名者能使用一个（秘密）签名算法签一个消息，所得的签名能通过一个公开的验证算法来验证。给定一个签名，验证算法根据签名是否真实来作出一个“真”或“假”的问答。网络工程规划与设计513 3 网络数据加密与认证技术网

40、络数据加密与认证技术A使用一个签名算法对消息x签名和B验证签名（x，y）的过程可描述为如下过程：（1）首先A使用他的秘密密钥对x进行签名得到y。（2）然后A将（x，y）发送给B。（3）最后B用A的公钥验证A的签名的合法性网络工程规划与设计523 3 网络数据加密与认证技术网络数据加密与认证技术（2）身份识别技术身份识别的常用的两种方式 一种是使用通行字的方式。通行字是使用最广泛的一种身份识别方式。通行字一般由数字、字母、特殊字符、控制字符等组成。其选择规则为易记，难于被别人猜中或发现，抗分析能力强。一种是使用持证的方式。持证（token）是一种个人持有物，它的作用类似于钥匙，用于启动电子设备。

41、使用比较多的是一种嵌有磁条的塑料卡，磁条上记录有用于机器识别的个人信息。这类卡通常和个人识别号（PIN）一起使用。网络工程规划与设计533 3 网络数据加密与认证技术网络数据加密与认证技术身份识别的两种方式的认证过程 通行字方式：（1）A将他的通行字传送给计算机。（2）计算机完成通行字的单向函数值的计算。（3）计算机把单向函数值和机器存储的值比较。持证方式：（1）识别者A能向验证者B证明他的确是A。（2）在识别者A向验证者B证明他的身份后，验证者B没有获得任何有用的信息，B不能模仿A向第三方证明他是A。网络工程规划与设计543 3 网络数据加密与认证技术网络数据加密与认证技术（3）杂凑技术和消

42、息的完整性 杂凑函数（也称杂凑算法）是把任意长的输入串变化成固定长的输出串的一种函数。因为杂凑函数是多对一的函数，所以一定将某些不同的输入变化成相同的输入。一个安全的杂凑函数应该至少满足以下几个条件：（1）输入长度是任意的。（2）输出长度是固定的，根据目前的计算技术应至少取128位长，以便抵抗生日攻击。网络工程规划与设计553 3 网络数据加密与认证技术网络数据加密与认证技术（3）对每一个给定的输入，计算输出其杂凑值是很容易的（4）给定杂凑函数的描述，找到两个不同的输入消息杂凑到同一个值在计算上是不可行的，或给定杂凑函数的描述和一个随机选择的消息，找到另一个与该消息不同的消息使得它们杂凑到同一

43、个值在计算上也是不可行的。4消息认证消息认证是指使指定的消息接收者能够检验收到的消息是否真实的方法。检验的内容包括证实消息的源和宿、消息的内容是否被窜改过（即消息的完整性）、消息的序号和时间性。网络工程规划与设计563 3 网络数据加密与认证技术网络数据加密与认证技术（1）消息的源和宿的常用的认证方法第一种方法是通信双方事先约定发送消息的数据加密密钥，接收者只需证实发送来的消息是否能用该密钥还原成明文就能鉴定发送者。如果双方使用同一个数据加密密钥，那么只需在消息中嵌入发送者的识别符即可。一种方法是通信双方事先约定各自发送消息所使用的通行字，发送消息中含有此通行字并进行加密，接收者只需判别消息中

44、解密的通行字是否等于约定的通行字就能鉴定发送者。为了安全起见，通行字应该是可变的。网络工程规划与设计573 3 网络数据加密与认证技术网络数据加密与认证技术（2）消息的序号和时间性的常用认证方法 消息的流水作业号、链接认证符，随机数认证法和时戳等。（3）消息内容的认证 消息内容的认证即消息的完整性检验常用的方法是消息发送者在消息中加入一个认证码并经加密后发送给接收者检验（有时只需加密认证码即可），接收者利用约定的算法对解密后的消息进行运算，将得到的认证码与收到的认证码进行比较，若二者相等，则接收，否则拒绝接收网络工程规划与设计583 3 网络数据加密与认证技术网络数据加密与认证技术目前实现这种

45、方法的基本途径有两条：一条是采用消息认证码（MAC）。一条是采用窜改检测码（MDC）。网络工程规划与设计594 4 网络物理隔离网络数据加密与认证技术网络物理隔离网络数据加密与认证技术4.1 4.1 网络物理隔离的技术原理网络物理隔离的技术原理1.物理隔离技术，需要做到以下5点：高度安全。物理隔离要从物理链路上切断网络连接，达到高度安全的可行性。较低的成本。建立物理隔离时要考虑其成本，如果物理隔离的成本达到或超过了两套网络的建设费用，那就失去了物理隔离的意义。容易布置。在实施物理隔离时，既要满足内外网络的功能又要易于布置，结构要简单。操作简单。物理隔离技术应用的对象是工作人员与网络专业技术人员

46、，因此要求简单易行、方便用户，使用者不会感觉到操作的困难。灵活性与扩展性。网络工程规划与设计604 4 网络物理隔离网络数据加密与认证技术网络物理隔离网络数据加密与认证技术2.物理隔离的原理每一次数据交换，隔离设备经历了数据的接受，存储和转发3个过程。物理隔离的技术架构在隔离上。外网是安全性不高的Internet，内网是安全性很高的内部专用网络。正常情况下，隔离设备和外网，隔离设备和内网，外网和内网是完全断开的。保证网络之间是完全断开的。隔离设备可以理解为纯粹的存储介质和一个单纯的调度和控制电路。3.物理隔离的好处物理隔离的好处是，即使在外网环境最坏情况下，内网也不会遭到任何破坏。网络工程规划

47、与设计614 4 网络物理隔离网络数据加密与认证技术网络物理隔离网络数据加密与认证技术4.2 4.2 网络物理隔离产品网络物理隔离产品第一代产品 第一代产品采用的是双网机技术，其工作原理是：在一个机箱内，设有两块主机板、两套内存、两块磁盘和两个CPU、相当于两台计算机共用一个显示器。用户通过客户端开关，分别选择两套计算机系统。第一代产品的特点是客户端的成本很高，并要求网络布线为双网线结构，技术水平相对而言比较简单。网络工程规划与设计624 4 网络物理隔离网络数据加密与认证技术网络物理隔离网络数据加密与认证技术2第二代产品 第二代产品主要采用双网线的安全隔离卡技术。客户端需要增加一块PCI卡，

48、客户端磁盘或其他存储设备首先连接到该卡，然后再转接到主板，这样通过该卡用户就能控制客户端的磁盘或其他存储设备。用户在选择磁盘的时候，同时也选择了该卡上所对应的网络接口，连接到不同的网络。第二代产品与第一代产品相比，技术水平提高，成本也降低，但是这一代产品仍然要求网络布线采用双网线结构。如果用户在客户端交换两个网络的网线连接，内外网的存储介质也同时被交换了，这时信息的安全还存在着隐患 网络工程规划与设计634 4 网络物理隔离网络数据加密与认证技术网络物理隔离网络数据加密与认证技术3第三代产品 第三代产品采用基于单网线的安全隔离卡，加上网络选择器技术。客户端仍然采用类似于第二代双网线安全隔离卡的

49、技术，所不同的是第三代产品只利用一个网络接口，通过网线将不同的电平信息传递到网络选择端，在网络选择端安装网络选择器，并根据不同的电平信号，选择不同的网络连接，这类产品能够有效利用用户现有的单网线网络环境，实现成本较低，由于选择网络的选择器不在客户端，系统的安全性有了很大的提高。网络工程规划与设计644 4 网络物理隔离网络数据加密与认证技术网络物理隔离网络数据加密与认证技术4.3 4.3 网络物理隔离技术方案网络物理隔离技术方案1.方案一、双布线双磁盘网络隔离方案对于某些用户（尤其是政府机构），需要同时使用两个网络，并且要对两个网络进行隔离，针对有物理隔离需求并且已经建立了双布线环境的用户，可

50、以使用以下解决方案，如图所示。网络工程规划与设计65图图1 1 物理隔离卡（双布线）网络结构物理隔离卡（双布线）网络结构4 4 网络物理隔离网络数据加密与认证技术网络物理隔离网络数据加密与认证技术网络工程规划与设计664 4 网络物理隔离网络数据加密与认证技术网络物理隔离网络数据加密与认证技术用户满足双布线结构后，每位使用者只需要额外配置一套物理隔离卡和一块磁盘即可实现双网双磁盘双布线物理隔离。两块磁盘中，一块安装外网操作系统，另一块安装内网操作系统；受隔离卡控制，在同一时间，两块磁盘中只有一块处于工作状态，因此两块磁盘之间不存在物理通道，实现磁盘的物理隔离。同时，隔离卡保障对网络状态和磁盘状