第9章网络管理与信息安全

计算机网络计算机网络Computer Network*课程目录课程目录第 1章 概述第 2章 物理层与数据通信基础第 3章 数据链路层第 4章 局域网第 5章 网络层第 6章 网络互联技术第 7章 传输层第 8章 应用层第 9章 网络管理与信息安全第 10章 网络新技术专题2计算机网络 -刘桂江9.1网络管理基础9.2网络信息安全概述9.3数据加密算法9.4常用网络安全技术举例第第 9章章 网络管理与信息安全网络管理与信息安全 3计算机网络 -刘桂江9.1 网络管理基础9.1.1 网络管理的功能9.1.2 简单网络管理协议 SNMP4计算机网络 -刘桂江n ISO在网络管理的标准 中 定义了网络管理的五个功能域 :1、配置管理：u 管理所有的网络设备，含各设备参数的配置与设备帐目的管理； 2、故障管理：u 找出故障的位置并进行恢复； 9.1.1 网络管理的功能 (1/2)5计算机网络 -刘桂江3、性能管理：u 统计网络的使用状况，根据网络的使用情况进行扩充，确定设备的规划； 4、安全管理：u 限制非法用户窃取或修改网络中的重要数据等； 5、计费管理：u 记录用户使用网络资源的数量，调整用户使用网络资源的配额大小和记帐收费。 9.1.1 网络管理的功能 (2/2)6计算机网络 -刘桂江n SNMP的设计思想（十分简单）：u 它通过 SNMP的 PDU(协议数据单元 )来与被管理的对象交换信息，这些对象有对象所特有的属性和值。 n SNMP共有五种 PDUu 其中两个用来读取数据，两个用来设置数据，还有一个用来监视网络上发生的事件，如网络故障报警信息等等 9.1.2 简单网络管理协议SNMP(1/7)7计算机网络 -刘桂江n 优点u 最大优点是它的简单性，容易设立、容易编程，而且对网络不会造成很大压力u 当前已经被广泛使用u 可扩充性n 缺点u 安全性：为网络黑客的入侵提供了方便之门9.1.2 简单网络管理协议SNMP(2/7)8计算机网络 -刘桂江n SNMP网络管理模型9.1.2 简单网络管理协议SNMP(3/7)9计算机网络 -刘桂江n SNMP采用简化的面向对象的方法来实现对网络设施的管理， SNMP管理模型由以下四个部分组成n 被管对象u 被管设施可以是一个网桥、路由器、网络打印机、 TCP连接、路由端口状态等等 n 网络管理站u 网络管理站向网络管理员提供了对网络的管理界面，所有网络管理功能都在网络管理站上得到体现 9.1.2 简单网络管理协议SNMP(4/7)10计算机网络 -刘桂江n 网络管理信息u 代理是被管对象在网络管理环境中的数值体现，被管对象的有关信息保留在代理内部，这些信息就是网络管理信息 n 网络管理协议u 网络管理站通过 SNMP协议与代理通信，这个协议使得网络管理站可以获取代理的信息9.1.2 简单网络管理协议SNMP(5/7)11计算机网络 -刘桂江n SNMP协议中的信息用 ASN.1来定义，称为 SMI（ Structure of Management Information）， SMI由三部分组成：模块定义、对象定义和通知定义。 u 模块定义用来定义网络管理信息模块，使用 MODULE-IDENTITY来定义模块的语法和语义u 对象定义用来定义被管对象，使用 OBJECT-TYPE来定义对象的语法和语义u 通知定义用来定义网络设施发出的事件信息，用NOTIFICATION-TYPE来定义通知的语法和语义 9.1.2 简单网络管理协议SNMP(6/7)12计算机网络 -刘桂江9.1.2 简单网络管理协议SNMP(7/7)n 到目前为止，已经开发了三个版本的 SNMP，它们是 SNMPv1、SNMPv2和 SNMPv3u SNMPv1n 最初的版本，通过 RFC1155、 RFC1212、 RFC1157三个文档进行定义u SNMPv2n SNMPv2在 RFC 1902到 RFC 1907中定义， RFC 1908定义了SNMPv1和 SNMPv2共存及转换等问题u SNMPv3n SNMPv3由 RFC 2271到 RFC 2275定义，描述了 SNMPv2中所缺乏（或者讲不完善）的安全和管理方面的问题 13计算机网络 -刘桂江9.2网络信息安全概述9.2.1 网络安全隐患与对策9.2.2 病毒与防范14计算机网络 -刘桂江9.2.1 网络安全隐患与对策 (1/2) n 大多数安全问题都是由于某些恶意的人企图获得某种利益而故意制造的。例如窃取机密的、隐私的信息；攻击系统，使系统不能提供正常的服务；对系统进行破坏性攻击，造成系统崩溃；篡改数据等。n 网络信息安全主要表现在以下方面：u 保密性 是保证信息只为授权用户使用的特性，防止信息泄露给非 授权用户。 u 完整性 是防止信息未经授权地擅自被改变的特性。u 真实可靠性 是指系统能够完成规定的功能并确保信息的可靠。u 不可抵赖性 是指建立有效的责任机制，防止用户否认其行为。u 可控制性 是指授权机构对信息的内容以及传播具有控制能力的特性，可以控制授权范围内信息的流向以及方式。 15计算机网络 -刘桂江9.2.1 网络安全隐患与对策 (2/2) n 计算机网络的安全性主要通过隔离技术、防火墙技术、网络防病毒技术、加密技术、网络管理技术等一系列的手段来实现。n 网络安全涉及的内容既有 技术 方面的问题，也有 管理 方面的问题。技术方面主要侧重于防范外部非法用户的攻击；管理方面则侧重于内部人为因素的管理。 16计算机网络 -刘桂江n 恶意程序 (1)系统病毒 此类病毒是传统定义的病毒，直接以破坏系统正常工作为目的。 (2) 计算机蠕虫 通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3) 特洛伊木马 木马病毒与系统病毒的一个重大区别在于木马病毒通常不能自我复制。木马病毒表面上以正常的程序形式存在，继承了与用户相同的、唯一的优先权和存取权。 (4)流氓软件或恶意软件 是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他 终端 上安装运行，侵犯用户合法权益的软件。9.2.2 病毒与防范 (1/2)17计算机网络 -刘桂江9.2.2 病毒与防范 (2/2)n 病毒的防治1.安装杀毒软件及防火墙。 2.严格管理制度，养成个人良好的使用计算机系统的习惯。 3.有备无患。备份系统，经常备份数据，把病毒的危害降到最低。 18计算机网络 -刘桂江9.3数据加密算法9.3.1 数据加密一般原理9.3.2 对称密钥算法9.3.3 公开密钥算法19计算机网络 -刘桂江9.3.1 数据加密一般原理n 数据加密的基本过程n 密文 只能在输入相应的密钥之后才能显示出本来内容。明文 密文某种算法20计算机网络 -刘桂江9.3.2 对称密钥算法n 对称加密 ：是一种单钥密码系统，其 加密运算、解密运算使用的是同样的密钥 ，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密码（称为 对称密码 ）。加密算法解密算法密钥 密钥明文 密文 明文A B21计算机网络 -刘桂江9.3.3 公开密钥算法 (1/4)n 在公钥密码系统中，加密和解密使用的是 不同的密钥（又称为 非对称密钥 ），这两个密钥之间存在着相互依存关系：即 用其中任一个密钥加密的信息只能用另一个密钥进行解密 。n 加密密钥和算法是对外公开的，人人都可以通过这个密钥加密文件然后发给收信者，这个加密密钥又称为公钥 。n 收信者收到加密文件后，可以使用他的解密密钥解密，这个密钥是由他自己私人掌管的，并不需要分发，因此又称为 私钥 。 22计算机网络 -刘桂江9.3.3 公开密钥算法 (2/4)n 解密密钥不能从加密密钥获得，假设明文为 P，加密算法为 E（包括密钥），解密算法为 D（包括密钥），要求满足以下三个条件： u D(E(P)=Pu 从 E推导 D是极其困难的u E不能通过部分明文来解破23计算机网络 -刘桂江n RSA算法u 选择两个大整数 p和 q，一般要求大于 10100u 计算 n= p q 和 z =(p-1) (q-1)u 选择一个与 z互素的整数，记为 du 计算满足下列条件的 e ，（ e d） mod z = 19.3.3 公开密钥算法 (3/4)24计算机网络 -刘桂江n 在进行加密时，首先可以把待加密的明文分割成一定大小的块 P，这个 P可以看成是一个整数，要求 0 P n，我们可以把 P的长度设为 k，则要求 2knn 对 P加密就是计算 C = Pe mod n；解密则为 P = Cd mod n。可以证明在指定范围内的 P，上述等式成立。为了加密，我们需要 e和 n，为了解密，我们需要 d和 n，这样，加密密钥（即公开密钥）为（ e， n），解密密钥（即秘密密钥）为（ d， n） 9.3.3 公开密钥算法 (4/4)25计算机网络 -刘桂江9.4常用网络安全技术举例9.4.1 身份鉴别9.4.2 数字签名9.4.3 数字证书9.4.4 防火墙 (firewall)9.4.5 Web的安全性技术 SSL26计算机网络 -刘桂江9.4.1 身份鉴别n 身份鉴别的过程就是证明某人身份的过程。n 身份鉴别系统主要包括用户与服务器间的身份鉴别、服务器与服务器之间的身份鉴别以及用户之间的身份鉴别。其中主要以用户和服务器之间的身份鉴别最为普遍。 27计算机网络 -刘桂江9.4.2 数字签名n 数字签名 是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名，来代替手工书写签名和印章。 n 它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。28计算机网络 -刘桂江9.4.3 数字证书n 数字证书 就是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在 Internet上验证身份的方式。n 它是由一个权威机构 -CA (Certificate Authority， 证书授权中心 ) 发行的，人们可以在网上用它来识别对方的身份。n 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。u 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关 (证书授权中心 )的名称，该证书的序列号等信息。 29计算机网