第九章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全本章內(nèi)容●網(wǎng)絡(luò)管理的基本概念、發(fā)展、功能●網(wǎng)絡(luò)管理協(xié)議：CMIP、SNMP●網(wǎng)絡(luò)安全的基本概念●加密、認(rèn)證、防火墻2023/10/211第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全9.1網(wǎng)絡(luò)管理基礎(chǔ)

網(wǎng)絡(luò)管理基本概念網(wǎng)絡(luò)管理是關(guān)于規(guī)劃、監(jiān)督、設(shè)計(jì)和控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動(dòng)。網(wǎng)絡(luò)管理的基本目標(biāo)是將所有的管理子系統(tǒng)集成在一起，向管理員提供單一的控制方式。這樣系統(tǒng)需要一個(gè)管理者的角色和被管理對(duì)象。要實(shí)現(xiàn)對(duì)被管理程序（代理）的管理，管理者需要知道被管理程序中的信息模型（實(shí)際上就是代理包含的被管理對(duì)象的信息模型）。為了這些信息的傳送，人們就必須在管理者和被管理者之間規(guī)定一個(gè)網(wǎng)絡(luò)管理協(xié)議。由于網(wǎng)絡(luò)規(guī)模的不斷增大，復(fù)雜性日益增加，網(wǎng)絡(luò)管理技術(shù)也在不斷發(fā)展。2023/10/212第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

網(wǎng)絡(luò)管理的發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)的管理可以說是伴隨著ARPANET的產(chǎn)生而產(chǎn)生的。由于當(dāng)時(shí)網(wǎng)絡(luò)規(guī)模小，復(fù)雜性不高，一個(gè)簡(jiǎn)單的專用網(wǎng)絡(luò)管理系統(tǒng)就可滿足網(wǎng)絡(luò)正常工作的需要。但隨著網(wǎng)絡(luò)的發(fā)展，使人們意識(shí)到以前的網(wǎng)絡(luò)管理技術(shù)已經(jīng)不能適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展。一些標(biāo)準(zhǔn)化組織及產(chǎn)業(yè)集團(tuán)，如ISO、ITU、IAB因特網(wǎng)活動(dòng)委員會(huì)等積極開展研究活動(dòng)，提出了多種網(wǎng)絡(luò)管理方案：HEMS（HighLevelEntityManagement）、SGMP（theSimpleGatewayMonitoringProtocol）、CMIS/CMIP（theCommonManagementInformationService/Protocol）、NETVIEW、SNMP(SimpleNetworkManagementProtocol)、LANManager等。其中比較有名的是：CMIP和SNMP。CMIS/CMIP是OSI提供的網(wǎng)絡(luò)管理協(xié)議簇。SNMP目前已成為網(wǎng)絡(luò)管理領(lǐng)域中事實(shí)上的工業(yè)標(biāo)準(zhǔn)。2023/10/213第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

網(wǎng)絡(luò)管理的功能在ISO網(wǎng)絡(luò)管理標(biāo)準(zhǔn)（ISO/IEC7498-4）中定義了網(wǎng)絡(luò)管理的五大功能，并被廣泛接受。這五大功能是：配置管理·

配置管理是最基本的網(wǎng)絡(luò)管理功能。·

配置管理的重點(diǎn)是被管對(duì)象的標(biāo)識(shí)和狀態(tài)。這些信息構(gòu)成了進(jìn)一步討論被管對(duì)象能力的基礎(chǔ)。·

配置管理的目的是通過定義、收集、管理、和使用配置信息，以及網(wǎng)絡(luò)資源配置的控制來最佳地維持網(wǎng)絡(luò)環(huán)境所提供的服務(wù)質(zhì)量。·

配置管理至少應(yīng)具有事件報(bào)告、狀態(tài)監(jiān)測(cè)和管理配置信息的功能。故障管理·

故障管理是對(duì)系統(tǒng)非正常操作的操作管理。所謂故障就是那些引起系統(tǒng)以非正常方式操作的事件，可分為：由損壞的部件或軟件故障（bug）引起的（內(nèi)部）故障，常常是可重復(fù)的；由環(huán)境影響引起的外部故障，通常是突發(fā)的，不可重復(fù)。2023/10/214第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全·故障管理的主要內(nèi)容有：

故障檢測(cè)：維護(hù)和檢查故障日志，檢查事件的發(fā)生率看是否已（或?qū)ⅲ┏蔀楣收希唤邮展收蠄?bào)告。

故障診斷：尋找故障發(fā)生的原因，可執(zhí)行診斷測(cè)試，以尋找故障發(fā)生的準(zhǔn)確位置。

故障糾正：將故障點(diǎn)從正常系統(tǒng)中隔離出去，并根據(jù)故障原因進(jìn)行修復(fù)。·故障管理為操作決策提供依據(jù)，以確保網(wǎng)絡(luò)的可用性。計(jì)費(fèi)管理·計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。這些資源有：

網(wǎng)絡(luò)服務(wù)，負(fù)責(zé)用戶數(shù)據(jù)的傳輸（例如數(shù)據(jù)的傳輸量）；

網(wǎng)絡(luò)應(yīng)用（例如對(duì)服務(wù)器的使用）。

對(duì)用戶行為的了解與控制

2023/10/215第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

性能管理

性能管理估價(jià)系統(tǒng)資源的運(yùn)行狀況及通信效率等系統(tǒng)指標(biāo)。它定義了網(wǎng)絡(luò)的動(dòng)態(tài)評(píng)估方法，以便于檢驗(yàn)網(wǎng)絡(luò)所保持的服務(wù)水平，確定實(shí)際的和潛在的網(wǎng)絡(luò)性能瓶頸。根據(jù)網(wǎng)絡(luò)的各項(xiàng)運(yùn)行指標(biāo)的趨勢(shì)，為制定和規(guī)劃管理決策產(chǎn)生報(bào)告。

性能管理還包括了為操作控制建立和維護(hù)性能數(shù)據(jù)庫(kù)和自動(dòng)操作程序，隨機(jī)或定時(shí)收集由統(tǒng)計(jì)數(shù)據(jù)產(chǎn)生的性能日志。這些日志除了性能管理本身使用外，其它管理功能亦可充分加以利用： 故障管理應(yīng)用性能日志檢測(cè)故障； 配置管理根據(jù)性能日志決定何時(shí)需要改變配置； 計(jì)費(fèi)管理應(yīng)用性能日志調(diào)整計(jì)費(fèi)策略2023/10/216第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

安全管理

·安全管理用于保證降低運(yùn)行網(wǎng)絡(luò)及其網(wǎng)絡(luò)管理系統(tǒng)的風(fēng)險(xiǎn)。它是一些功能組合，通過分析網(wǎng)絡(luò)安全漏洞將網(wǎng)絡(luò)危險(xiǎn)最小化。

·實(shí)施網(wǎng)絡(luò)安全規(guī)劃，可動(dòng)態(tài)地確保網(wǎng)絡(luò)安全。

·主要包括維護(hù)防火墻和安全日志、安全指示器的監(jiān)測(cè)、分區(qū)隔離、口令管理和提供各種級(jí)別的警告或報(bào)警。2023/10/217第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

網(wǎng)絡(luò)管理協(xié)議

CMIP協(xié)議公共管理信息服務(wù)/公共管理信息協(xié)議（CMIS/CMIP）是OSI提供的網(wǎng)絡(luò)管理協(xié)議簇，主要是針對(duì)OSI七層協(xié)議模型的傳輸環(huán)境而設(shè)計(jì)的。CMIS定義了每個(gè)網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù)，CMIP則是實(shí)現(xiàn)CMIS服務(wù)的協(xié)議。CMIS/CMIP的整體結(jié)構(gòu)是建立在ISO網(wǎng)絡(luò)參考模型的基礎(chǔ)上的，網(wǎng)絡(luò)管理應(yīng)用進(jìn)程使用ISO參考模型的應(yīng)用層。CMIP協(xié)議相對(duì)于SNMP而言，需要大量資源：包括實(shí)現(xiàn)時(shí)投入的資源（人力、物力）以及運(yùn)行時(shí)的計(jì)算機(jī)和網(wǎng)絡(luò)資源。由于此缺陷，注定了CMIP協(xié)議生命周期的有限性。2023/10/218第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全SNMP協(xié)議1）、概述簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）是一種用于在網(wǎng)絡(luò)設(shè)備之間交換管理信息的應(yīng)用層協(xié)議，目前被廣泛地實(shí)現(xiàn)在各種網(wǎng)絡(luò)設(shè)備中，并在Internet中普遍使用。SNMP的前身是簡(jiǎn)單網(wǎng)關(guān)管理協(xié)議(SGMP)，用來對(duì)通信線路進(jìn)行管理。隨后，人們對(duì)SGMP進(jìn)行了很大的修改，特別是加入了符合Internet定義的SMI和MIB體系結(jié)構(gòu)，改進(jìn)后的協(xié)議就是著名的SNMP。SNMPv1是1990年5月正式公布的（RFC1155和RFC1157），SNMPv2是前者的改進(jìn)，于1993年陸續(xù)公布（RFC1441－RFC1452），后來又發(fā)展為SNMP3（由RFC2271到RFC2275定義），描述了SNMP2中所缺乏的安全和管理方面上的問題。SNMP屬于網(wǎng)絡(luò)管理平臺(tái)，它為網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)和被管的網(wǎng)絡(luò)設(shè)備之間的交互提供了標(biāo)準(zhǔn)的界面。2023/10/219第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全2）、SNMP網(wǎng)絡(luò)管理模型由4部分組成：網(wǎng)絡(luò)管理站、被管設(shè)備、管理信息庫(kù)MIB和管理協(xié)議SNMP。網(wǎng)絡(luò)管理系統(tǒng)（NMS）管理應(yīng)用程序用戶接口被管設(shè)備代理MIB被管設(shè)備代理MIB被管設(shè)備代理MIBSNMPSNMPSNMP2023/10/2110第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理者是指實(shí)施網(wǎng)絡(luò)管理的處理實(shí)體，網(wǎng)絡(luò)管理者駐留在管理工作站上，管理工作站通常是指那些工作站、微機(jī)等，一般位于網(wǎng)絡(luò)系統(tǒng)的主干或接近于主干的位置，它負(fù)責(zé)發(fā)出管理操作的指令，并接收來自網(wǎng)管代理的信息

。網(wǎng)管代理是一個(gè)軟件模塊，它駐留在被管設(shè)備上它的功能是把來自網(wǎng)絡(luò)管理者的命令或信息的請(qǐng)求轉(zhuǎn)換成本設(shè)備特有的指令，完成網(wǎng)絡(luò)管理者的批示或把所在設(shè)備的信息返回到網(wǎng)絡(luò)管理者。網(wǎng)管代理實(shí)際所起的作用就是充當(dāng)網(wǎng)絡(luò)管理者與網(wǎng)管代理所駐留的設(shè)備之間的信息中介。管理站和網(wǎng)管代理者之間通過網(wǎng)絡(luò)管理協(xié)議SNMP通信，網(wǎng)絡(luò)管理者進(jìn)程通過網(wǎng)絡(luò)管理協(xié)議SNMP來完成網(wǎng)絡(luò)管理。管理信息庫(kù)（MIB）是一個(gè)信息存儲(chǔ)庫(kù)，它是網(wǎng)絡(luò)管理系統(tǒng)中的一個(gè)非常重要的部分。MIB定義了一種對(duì)象數(shù)據(jù)庫(kù)，由系統(tǒng)內(nèi)的許多被管對(duì)象及其屬性組成。在MIB中的數(shù)據(jù)可大體分為3類：感測(cè)數(shù)據(jù)、結(jié)構(gòu)數(shù)據(jù)和控制數(shù)據(jù)。2023/10/2111第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全SNMP網(wǎng)絡(luò)管理模型的核心是由代理維護(hù)而由管理器讀寫的管理信息。在SNMP文獻(xiàn)中，這些信息稱為對(duì)象。網(wǎng)絡(luò)中所有可管對(duì)象的集合稱為管理信息庫(kù)MIB。被管網(wǎng)絡(luò)中的信息交換會(huì)因?yàn)楸还茉O(shè)備所采用的數(shù)據(jù)表示技術(shù)的不同而產(chǎn)生麻煩，因此要設(shè)法在這些異構(gòu)設(shè)備通信時(shí)消除這些不兼容性，統(tǒng)一使用一種語(yǔ)法表示法可以使不同種類的計(jì)算機(jī)共享管理信息。SNMP應(yīng)用了ISO的開放系統(tǒng)互連抽象語(yǔ)法表示法1（ASN.1）的一個(gè)子集，它是用于以與機(jī)器無關(guān)的形式對(duì)MIB的被管對(duì)象進(jìn)行描述的一種語(yǔ)言。用ASN.1定義管理協(xié)議所交換的各種報(bào)文格式和被管對(duì)象，將被管對(duì)象簡(jiǎn)化為可管理的事物的特征。如，一特定主機(jī)中當(dāng)前活動(dòng)的TCP范圍表就是一個(gè)被管對(duì)象。在傳輸各類數(shù)據(jù)時(shí)，SNMP協(xié)議首先要把內(nèi)部數(shù)據(jù)轉(zhuǎn)換成ASN.1語(yǔ)法表示，然后發(fā)送出去；另一端收到此ASN.1語(yǔ)法表示的數(shù)據(jù)后也必須首先變成內(nèi)部數(shù)據(jù)表示后，然后才執(zhí)行其他的操作。2023/10/2112第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全MIB與對(duì)象標(biāo)識(shí)符：所有的被管對(duì)象都包含在管理信息庫(kù)（MIB）中，它是對(duì)象所必須的數(shù)據(jù)庫(kù)。一個(gè)MIB可以描述為一棵抽象樹（MIB樹），樹的根沒有名字，各個(gè)數(shù)據(jù)項(xiàng)組成了樹的葉節(jié)點(diǎn)。對(duì)象標(biāo)識(shí)符（OID）唯一地標(biāo)識(shí)或命名了樹中的各種MIB對(duì)象。對(duì)象標(biāo)識(shí)符類似于電話號(hào)碼，不同的組織和機(jī)構(gòu)有層次地分配了特定的數(shù)字組成了這些對(duì)象標(biāo)識(shí)符。SNMPMIB的對(duì)象標(biāo)識(shí)符結(jié)構(gòu)定義了三個(gè)主要分枝：CCITT負(fù)責(zé)分枝0，ISO管理分枝1，CCITT和ISO聯(lián)合管理分枝2。目前多數(shù)MIB的活動(dòng)發(fā)生在ISO分枝部分，ISO將它的分枝分給了幾個(gè)組織，其中將子樹1給了美國(guó)國(guó)防部（DOD），DOD用它作為Internet對(duì)象表示。這樣在Internet子樹中，對(duì)象標(biāo)識(shí)符以開頭,意思是它們屬于ISO，ORG，DOD，Internet子樹，專門用于Internet范圍。2023/10/2113第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全MIB樹ROOTCCITT(0)ISO(1)JOINT-ISO-CCITT(2)ORG(3)DOD(6)INTERNET(1)PRIVATE(4)EXPERIMENTAL(3)MGMT(2)DIRECTORY(1)MIB(1)IP(4)地址轉(zhuǎn)換(3)接口(2)TCP(6)ICNP(5)UDP(7)EGP(8)OMI(9)傳輸(10)SNMP(11)系統(tǒng)(1)2023/10/2114第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全I(xiàn)nternet子樹有四個(gè)分枝：Directory（1）、Mgmt（2）、Experimental（3）和Private（4）。Directory計(jì)劃用于OSI目錄；Mgmt用于網(wǎng)際活動(dòng)委員會(huì)（IAB）承認(rèn)的文本對(duì)象的定義；Experimental用于Internet網(wǎng)絡(luò)實(shí)驗(yàn)；Private用于專用MIB的定義。目前在RFC1213中定義的Internet標(biāo)準(zhǔn)MIB和MIB－II包含了171個(gè)對(duì)象。這些對(duì)象按照協(xié)議（包括TCP，IP，UDP，SNMP和其它）和其它類項(xiàng)（包括“系統(tǒng)”和“接口”）進(jìn)行分組。MIB樹可以擴(kuò)展為實(shí)驗(yàn)和專用分枝。沒有標(biāo)準(zhǔn)化的那些MIB往往被放置在實(shí)驗(yàn)分枝。廠商可以定義自己的專用分枝來包括其產(chǎn)品的各種實(shí)例。例如，Cisco的專用MIB的對(duì)象標(biāo)識(shí)符是.4.1.9，該標(biāo)識(shí)符包括了許多對(duì)象，如用OID..2.1.51來標(biāo)識(shí)對(duì)象“HostConfigAddr”。對(duì)象HostConfigAddr說明了為一臺(tái)具體的Cisco設(shè)備提供主機(jī)配置文件的主機(jī)的地址。2023/10/2115第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全管理信息結(jié)構(gòu)（SMI）：因?yàn)镮nternet網(wǎng)絡(luò)可能很龐大而且要保存維護(hù)每個(gè)設(shè)備的大量的信息，網(wǎng)絡(luò)管理員需要一種組織和管理這些信息的方法。SMI定義了MIB的結(jié)構(gòu)以及定義MIB的規(guī)則。SMI允許使用標(biāo)準(zhǔn)ASN.1的數(shù)據(jù)類型。3）、SNMP協(xié)議定義了五種類型的操作SNMP共有5種PDU，其中2種用來讀取數(shù)據(jù)，2種用來設(shè)置數(shù)據(jù)，1種用來監(jiān)視網(wǎng)絡(luò)上發(fā)生的事件，如網(wǎng)絡(luò)故障報(bào)警等。請(qǐng)求讀取對(duì)象信息（Get-Request）：從代理那里取得一個(gè)對(duì)象的實(shí)例，證實(shí)型操作；請(qǐng)求讀取下一個(gè)對(duì)象信息（Get-Next-Request）：從代理那里取得下一個(gè)對(duì)象實(shí)例，這個(gè)操作是與上下文有關(guān)的，缺省時(shí)指的是MIB中第一個(gè)對(duì)象實(shí)例的值，證實(shí)型操作；設(shè)置對(duì)象的有關(guān)參數(shù)（Set-Request）：在代理中設(shè)置指定對(duì)象實(shí)例的值，證實(shí)型操作；對(duì)讀操作作出響應(yīng)回答(Get-Response)：是上述操作的應(yīng)答信息，也包含錯(cuò)誤和狀態(tài)信息。捕捉事件并給出報(bào)告（Trap）：代理異步地通知NMS某個(gè)事件的發(fā)生，非證實(shí)型操作；事件的定義是NMS預(yù)先設(shè)置的（如某個(gè)門檻值）。2023/10/2116第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

網(wǎng)絡(luò)管理平臺(tái)與網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理的最終目標(biāo)是通過什么實(shí)現(xiàn)的呢？

是通過網(wǎng)絡(luò)管理系統(tǒng)，也就是要通過一個(gè)實(shí)施網(wǎng)絡(luò)管理功能的應(yīng)用系統(tǒng)來實(shí)現(xiàn)。網(wǎng)絡(luò)管理平臺(tái)通常由協(xié)議通信軟件包、MIB編譯器、網(wǎng)絡(luò)管理應(yīng)用編程接口和圖形化的用戶界面組成。它是管理站的功能基礎(chǔ)，在網(wǎng)絡(luò)管理平臺(tái)的基礎(chǔ)上可以進(jìn)一步實(shí)現(xiàn)各種管理功能和開發(fā)各種管理應(yīng)用。網(wǎng)絡(luò)管理系統(tǒng)(NMS，NetworkManagementSystem)是用來管理網(wǎng)絡(luò)，保障網(wǎng)絡(luò)正常運(yùn)行的軟件和硬件的有機(jī)組合，是在網(wǎng)絡(luò)管理平臺(tái)的基礎(chǔ)上實(shí)現(xiàn)的各種網(wǎng)絡(luò)管理功能的集合，包括故障管理、性能管理、配置管理、安全管理和計(jì)費(fèi)管理等功能。2023/10/2117第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全基于Internet技術(shù)的結(jié)構(gòu)SNMP響應(yīng)

操作系統(tǒng)HTTPSNMP服務(wù)器SQL數(shù)據(jù)庫(kù)CGI

網(wǎng)絡(luò)

網(wǎng)絡(luò)管理服務(wù)器PC瀏覽器查詢/響應(yīng)查詢HTTP2023/10/2118第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

概述隨著計(jì)算機(jī)網(wǎng)絡(luò)廣泛用于政治、軍事、經(jīng)濟(jì)和科技各個(gè)領(lǐng)域，數(shù)據(jù)在存儲(chǔ)和傳輸中可能被盜用、暴露或篡改，網(wǎng)絡(luò)軟件也可能遭受惡意的攻擊而時(shí)網(wǎng)絡(luò)癱瘓。因此應(yīng)架構(gòu)一套理想的安全機(jī)制，以建立一個(gè)即能享受網(wǎng)絡(luò)便利，又能阻絕非常手段的良好環(huán)境。網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和漏露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。其目的是確保經(jīng)過網(wǎng)絡(luò)廠商和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄漏等.9.2網(wǎng)絡(luò)安全2023/10/2119第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

主要的網(wǎng)絡(luò)安全問題1．網(wǎng)絡(luò)系統(tǒng)軟件自身的安全問題：安全漏洞及時(shí)彌補(bǔ)

2．網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)庫(kù)的安全問題：數(shù)據(jù)的安全性、完整性 和并發(fā)控制3．傳輸?shù)陌踩c質(zhì)量：防竊聽、可靠性

4．網(wǎng)絡(luò)安全管理問題：安全管理5．各種人為因素：病毒黑客人員的疏忽2023/10/2120第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全策略一個(gè)行之有效的安全措施是:從檢測(cè)網(wǎng)絡(luò)中的威脅、安全裝置和脆弱性入手，圍繞下述幾個(gè)方面進(jìn)行保護(hù):

1．保護(hù)辦公地點(diǎn)

2．保護(hù)工作站

3．保護(hù)服務(wù)器

4．保護(hù)電纜代表性的安全技術(shù)主要有： 訪問控制與口令技術(shù)、防火墻技術(shù)、加密技術(shù)、數(shù)字簽名技術(shù)、身份認(rèn)證技術(shù)等。2023/10/2121第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

加密概述 明文：原始數(shù)據(jù)

密文：經(jīng)過轉(zhuǎn)換所得的數(shù)據(jù)密鑰；加密和解密算法中的關(guān)鍵參數(shù)。加密：指將原始數(shù)據(jù)根據(jù)事先定義好的算法法則，將之轉(zhuǎn)換成無法理解的數(shù)據(jù)，這個(gè)過程便稱之為加密。解密：是指在解密密鑰的控制下，將密文恢復(fù)為明文。在加密系統(tǒng)中，算法是相對(duì)穩(wěn)定的，為了加強(qiáng)數(shù)據(jù)的安全性，密鑰經(jīng)常改變2023/10/2122第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全數(shù)據(jù)加密的目的：是使得入侵者在無論獲得多少密文數(shù)據(jù)的條件下，都無法唯一確定出對(duì)應(yīng)的明文數(shù)據(jù)。若一個(gè)加密算法或加密機(jī)制能夠滿足這一條件，則我們稱該算法或機(jī)制是無條件安全的或理論上是不可破的。但在無任何限制的條件下，目前幾乎所有實(shí)用的密碼體制都是可破的。因此，人們關(guān)心的是要研制出在計(jì)算上而不是在理論上不可破的密碼體制。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱密鑰又稱秘密密鑰（SecretKey）：常見的對(duì)稱密鑰標(biāo)準(zhǔn)有DES、FEAL、IDEA等。公開密鑰（PublicKey）：常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高。下面介紹幾種常見的實(shí)現(xiàn)加密體制的技術(shù)。2023/10/2123第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

秘密密鑰密碼體制所謂秘密密鑰密碼體制，即加密密鑰與解密密鑰是相同的。在早期的秘密密鑰密體制中，典型的有兩種：

·替換加密算法：每個(gè)字符都用字符表中向左移動(dòng)一固定數(shù)字的字符代替。如：將明文字符的順序保持不變，都左移3個(gè)字符，即密鑰為3。明文：abcd……；密文：defg……·變換加密算法：按某一規(guī)則重新排列數(shù)據(jù)中字符或比特的順序。以上兩種密碼均易破譯,一般作為復(fù)雜編碼過程中的中間步驟。若從得到的密文序列的結(jié)構(gòu)分密碼體制：

·序列密碼：把明文看成連續(xù)的比特流

·分組密碼：把明文看成固定的N比特?cái)?shù)據(jù)組2023/10/2124第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES算法由IBM公司于1971-1972年研制成功，1977年被美國(guó)國(guó)家標(biāo)準(zhǔn)局和國(guó)家安全局定為數(shù)據(jù)加密標(biāo)準(zhǔn)，而且ISO也將DES作為數(shù)據(jù)加密標(biāo)準(zhǔn)。DES使用64位長(zhǎng)的密鑰，并用加密算法對(duì)以64位長(zhǎng)度為單位的二進(jìn)制數(shù)據(jù)加密，從而產(chǎn)生64位長(zhǎng)度的密文數(shù)據(jù)。由于DES使用的64位密鑰中有8位是用于奇偶檢驗(yàn)，以便發(fā)現(xiàn)和糾正傳輸誤差，因此DES算法的實(shí)際密鑰長(zhǎng)度只有56位。DES算法的工作原理：公開算法，包括加密和解密算法；但對(duì)密鑰進(jìn)行保密。只有掌握了和發(fā)送方相同密鑰的人才能解讀由DES算法加密的密文數(shù)據(jù)。因此破譯DES算法實(shí)際上就是搜索密鑰的編碼。對(duì)于56位長(zhǎng)度的密鑰來說，若用窮舉法來進(jìn)行搜索的話，其運(yùn)算次數(shù)為256。DES的保密性完全取決于對(duì)密鑰的保密。2023/10/2125第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

公開密鑰密碼體制RSADES算法除了可被人們使用高速計(jì)算機(jī)在較短時(shí)間內(nèi)被破譯外，另一主要的缺點(diǎn)是它不適合Internet上的許多應(yīng)用，如電子郵件等，這是因?yàn)镈ES算法的信息發(fā)送和接收雙方使用相同的密鑰的緣故。公開密鑰密碼體制是指加密密鑰/公開密鑰PK是公開的，加密算法E和解密算法D也都是公開的，而解密密鑰/秘密密鑰SK是保密的。雖然SK是由PK決定的，但不能根據(jù)PK計(jì)算出SK。公開密鑰密碼體制又稱雙鑰或非對(duì)稱密鑰密碼體制。最有名的是RSA體制。它已被ISO/TC97的數(shù)據(jù)加密技術(shù)委員會(huì)SC20推薦為公開密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。公開密鑰算法的特點(diǎn)：·用加密密鑰PK對(duì)明文P加密后，再用解密密鑰SK解密即得明文，即DSK（EPK（P））=P。且加密和解密的運(yùn)算可對(duì)調(diào)，即EPK（DSK（P））=P2023/10/2126第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全·加密密鑰不能用來解密，即DPK（DPK（P）=P·在計(jì)算機(jī)上可容易地產(chǎn)生成對(duì)的PK和SK，但從已知的PK不能推導(dǎo)SK。·加密密鑰PK和加密解密算法一起公開，而解密密鑰SK必須保密。RSA體制的基本原理：RSA體制是根據(jù)尋求兩個(gè)大素?cái)?shù)容易，而將它們的乘積分解開則極其困難這一原理來設(shè)計(jì)。在這一體制中，每個(gè)用戶有加密密鑰PK=（e，N）和解密密鑰SK=（d，N），用戶把PK公開，SK中的d保密。其中N為兩個(gè)大素?cái)?shù)p、q的乘積（p、q

一般>100位的十進(jìn)制素?cái)?shù)），雖然e和d滿足一定的關(guān)系，但敵手不能根據(jù)已知的e和N求出d。加密：C=XeMODN,解密：P=CdMODNRSA的安全性在于對(duì)大數(shù)N的分解極其困難。如用每1us做一次操作的計(jì)算機(jī)，分解100位的十進(jìn)制數(shù)N，需時(shí)74年。2023/10/2127第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

認(rèn)證認(rèn)證的基本原理

認(rèn)證是一種查證對(duì)方真實(shí)身份的技術(shù)，一般通過某種復(fù)雜的身份認(rèn)證協(xié)議來實(shí)現(xiàn)。身份認(rèn)證在網(wǎng)絡(luò)安全中占據(jù)十分重要的位置。身份認(rèn)證協(xié)議往往是通過公開密鑰加密算法來實(shí)現(xiàn)的，其工作原理如圖所示。

B的公鑰

傳送

B的私鑰

用戶A 用戶B（a）使用公開密鑰系統(tǒng)的運(yùn)作方式，可確保數(shù)據(jù)的私密性明文加密密文密文解密明文

A的私鑰

傳送

A的公鑰

用戶A 用戶B（b）A無可否認(rèn)；但這樣的運(yùn)作方式卻無法達(dá)到數(shù)據(jù)傳輸?shù)乃矫苄悦魑募用苊芪拿芪慕饷苊魑?023/10/2128第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

B的公鑰

傳送

B的私鑰

用戶A 用戶B（a）使用公開密鑰系統(tǒng)的運(yùn)作方式，可確保數(shù)據(jù)的私密性明文加密密文密文解密明文

A的私鑰

傳送

A的公鑰

用戶A 用戶B（b）A無可否認(rèn)；但這樣的運(yùn)作方式卻無法達(dá)到數(shù)據(jù)傳輸?shù)乃矫苄悦魑募用苊芪拿芪慕饷苊魑?/p>

B的公鑰

A的私鑰傳送

A的公鑰 B的私鑰

用戶A 用戶B（c）將a和b兩種方式相結(jié)合，即可保障數(shù)據(jù)傳輸時(shí)的私密性，又可符合數(shù)據(jù)傳送的不可否 認(rèn)性。明文加密密文密文解密明文加密密文解密密文2023/10/2129第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全數(shù)字簽名數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全的核心技術(shù)之一。數(shù)字簽名必須保證以下3點(diǎn)：·接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名。·發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名。·接收者不能偽造對(duì)報(bào)文的簽名。現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字方法，但簽名采用公開密鑰算法要比常規(guī)算法更容易實(shí)現(xiàn)。數(shù)字簽名的實(shí)現(xiàn)：發(fā)送者A用其秘密解密密鑰SKA對(duì)報(bào)文P進(jìn)行運(yùn)算，將結(jié)果DSKA（P）傳送給接收者B，B用A的公開加密密鑰PKA得出EPKA（DSKA（P））=P，由于除A外沒有別人具有A的解密密鑰SKA，所以只有A能產(chǎn)生密文DSKA（P），這樣報(bào)文P就被A簽名了。若A抵賴，B可將P及DSKA（P）出示給第三者，第三者可以用PKA去證實(shí)A確實(shí)發(fā)送信息P給B；若B將P偽造成P’，則B不敢向第三者出示DSKA（P’）。

上述過程只是對(duì)報(bào)文進(jìn)行了簽名，但對(duì)報(bào)文本身卻未保密。2023/10/2130第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

密鑰的管理與分配對(duì)稱密鑰加密方法致命的一個(gè)弱點(diǎn)就是它的密鑰管理十分困難，因此它很難在電子商務(wù)的實(shí)踐中得到廣泛的應(yīng)用；在這一點(diǎn)上，公開密鑰加密方法占有絕對(duì)優(yōu)勢(shì)。不過，無論實(shí)施哪種方案，密鑰的管理都是要考慮的問題。公認(rèn)的有效方法是通過密鑰分配中心KDC來管理和分配公開密鑰。KDC的公開密鑰和秘密密鑰分別為PK、SK。每個(gè)用戶只保存自己的秘密密鑰和KDC的公開密鑰PK。用戶可以通過KDC獲得任何其他用戶的公開密鑰。2023/10/2131第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

防火墻

防火墻的概念防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。但防火墻系統(tǒng)一旦被攻擊者突破或迂回，就不能提供任何保護(hù)了。防火墻可由硬件或軟件來實(shí)現(xiàn)。Internet防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源。2023/10/2132第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全防火墻的功能·過濾不安全服務(wù)和非法用戶，禁止末授權(quán)的用戶訪問受保護(hù)網(wǎng)絡(luò)。·控制對(duì)特殊站點(diǎn)的訪問。·提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。防火墻可以記錄下所有通過它的訪問并提供網(wǎng)絡(luò)使用情況