网络管理和网络安全.ppt

因特网小结,对于不同的应用，可以选择TCP或者UDP来传输相应的信息；因特网应用十分丰富，尤其是E-mail和WWW具有广泛的用户。主机接入因特网的关键是执行TCP/IP协议集，可以获得合法的IP地址，以及某个合法的因特网设备愿意提供接入服务。,因特网的核心应是IP技术，通过定义接口，实现了基于不同物理网络的数据传输；尽管IP本身仅提供无连接的、尽力而为的、不可靠的数据报传输，但ICMP的报错和TCP的恢复能力，使得基于因特网的应用可以获得可靠的数据传输保障。,东南大学计算机系 吉逸,内联网（Intranet）,内联网是应用因特网技术构建的企业内部网，执行TCP/IP技术，具有IP地址，提供类似因特网服务。目前，内联网用户使用的最多的服务是WWW，包括应用B/W/D（三层结构）构建的应用服务。通常，内联网用户不与外部发生联系，或者通过互连部件和安全设施（如防火墙）有限制的和外部世界（如因特网）联系。此处的安全设施意在保护内联网的安全性。,东南大学计算机系 吉逸,外联网（Extranet）,外联网的核心技术是在企业网之间构建隧道（有时，隧道技术也可被理解为封装技术，即用支撑协议封装被传输的数据），隧道的两端执行相关的安全操作和封装操作，而中间的广域网仅执行透明的数据传输。,外联网是为适应企业网之间，或者跨区域的企业内部部门网之间的安全交换信息而形成的网络；外联网的基础是广域网，如X25网络、帧中继网络，也可以是因特网。,东南大学计算机系 吉逸,虚拟专用网（VPNVirtual Private Network）,VPN的核心是隧道技术；鉴于因特网技术的广泛应用，VPN的封装协议通常为IP协议，即用IP协议封装了其它各种安全协议，支持封装后的数据单元在IP网络上传输。具有两种提供VPN服务的方式：（1）用户自身构建安全隧道，形成专用网；（2）专业公司在公网环境下构建VPN，向社会提供安全服务。,VPN是外联网的外延，施加安全技术在公网的基础上构建的专用网络，（可以是因特网或者内联网，专用的范围可大可小。）,东南大学计算机系 吉逸,第八章 网络管理和网络安全,8.1 网络管理必要性：单机性能问题：软件本身、系统设置和配置，系统工具+人工；网络性能问题：因素众多，需要对基于网络的应用，以及网络的 流量、设备的运行状况进行分析；设备的分布性，需要相应的工 具协助管理员网络管理。网络规模扩展，意义日益显著。目的：对组成网络的各种硬软件设施的综合管理，以达到充分 利用这些资源的目标。实质：对各种网络资源进行监测、控制和协调，并在网络出现 故障时，可以及时进行报告和处理，尤其是向管理员报 警，以便尽快维护。标准：网络设备的异构性导致标准化的需求。ISO/OSI网络管理标准公共管理信息协议（CMIP）；因特网网络管理标准简单网络管理协议（SNMP）。,东南大学计算机系 吉逸,网络管理的功能,故障管理、配置管理、计费管理、性能管理、安全管理故障管理：网络管理最基本的功能，系统出现异常情况下的管理操作，简单地说，就是找出故障的位置并进行恢复。其目标是自动监测、记录网络故障并通知用户，以便网络有效地运行。网络故障管理包括以下几个步骤：.检测故障、判断故障症状：依赖于对网络设备的状态监测；.隔离故障：通过诊断、测试辨别故障根源，对根源故障进行隔离；.故障修复：不严重的简单故障通常由网络设备通过本身具有的故障检测、诊断和恢复措施予以解决；.记录故障的监测及其结果,东南大学计算机系 吉逸,配置管理：定义、收集、监测和管理系统的配置参数，使得网络性能达到最优。配置参数：包括（但不局限于）设备资源、它们的容量和属性，以及它们之间的关系。配置管理的功能：包括设置设备参数、初始化和关闭网络资源、根据请求向网管中心反馈特定的数据等。配置管理的目的：在于随时了解系统网络的拓扑结构以及所交换的信息，包括连接前静态设定的和连接后动态更新的。,网络管理的功能,东南大学计算机系 吉逸,计费管理：记录网络资源的使用情况和 使用这些资源的代价。包括:.统计已被使用的网络资源和估算用户应付的费用；.设置网络资源的使用计费限制，控制用户占用和使用过多的网络资源；.对为了实现某个特定通信目的所引用的多个网络资源进行联合收费的能力。计费管理的目标:衡量网络的利用率，用户可以按规则利用网络资源，使网络资源可以根据其能力的大小而合理地分配，这样的规则可使网络故障降低到最小，也可使所有用户对网络的访问更加公平。为了实现合理的计费，计费管理必须和性能管理相结合。,网络管理的功能,东南大学计算机系 吉逸,性能管理：收集和统计网络系统的数据（如网络的吞吐量、用户响应时间和网络资源的利用率等)，以便根据统计信息来评价网络资源的使用等系统性能，分析系统资源的使用趋势，或者平衡系统资源的负载。性能管理包括：.收集网络管理者感兴趣的那些变量的性能参数；.分析这些统计数据，以判断是否处于正常水平；.为每个重要的变量决定一个适合的性能门槛值，超过该槛值就意味着网络的故障。性能分析的结果可能会触发某个诊断测试过程，或者引起网络重新配置以维持网络预定的性能。,网络管理的功能,东南大学计算机系 吉逸,安全管理：按照本地的指导来控制对网络资源的访问，以保证网络不被侵害（有意识的或无意识的），并保证重要信息不被未授权的用户访问。网络安全问题：网络数据的私有性、授权控制、访问控制,网络管理的功能,东南大学计算机系 吉逸,网络安全管理的操作包括：标识重要的网络资源，确定网络资源和用户集的映射关系，监视对重要网络资源的访问等。,网络安全管理主要包括:（1）授权管理：分配权限给所请求的实体。（2）访问控制管理：分配口令、进入或修改访问控制表和能力表。（3）安全检查跟踪和事件处理（4）密钥管理：进行密钥分配,网络管理的体系结构,系统管理应用进程（SMAP）：负责管理整个系统的资源，并提供控制和监测的能力两类实体：管理员：负责对整个网络的资源进行管理，代理：则驻留在被管对象上，响应管理员的指令。管理员和代理之间遵循公共管理信息协议（CMIP）。,东南大学计算机系 吉逸,OSI的资源具有层次的概念，系统管理应用实体（SAME）：收集本系统各层次，以及其它代理的信息。代表SMAP执行管理功能，包括与各层的管理实体（LME）的协作，对各层资源的管理。LME在SMAE的控制下，负责本层资源的管理。,网络管理的体系结构,东南大学计算机系 吉逸,网络管理的基本模型,被管设备：网络交换结点、集中器、线路设备、用户结点等,网络管理工作站：通过网络向各种被管网络设施发出各种控制命令，被管设备上的相关软件（代理）负责响应网络管理工作站的命令将被管设备的信息通过网络管理协议提供给NMS中的管理工作站。代理还可以负责监测、记录网络故障并报于管理工作站。,管理信息库：保存为OSI管理目的而收集的信息。,东南大学计算机系 吉逸,因特网网络管理模型,网络管理站点：监控网络元素的状态网络元素（被管对象包括主机、网络部件等）：借助管理代理（Agent）执行网络管理的指令；,东南大学计算机系 吉逸,因特网网络管理的工作方式,请求/应答方式工作：管理员：向代理发出“请求”指令，获取或者设置网络元素的参数；代理：向管理员返回“应答”响应，报告“请求”的执行结果；一个管理员可以管理多个代理：“轮询”；管理员和代理分别维护全局和本地管理信息库MIB：使得管理工作可以延续。本地数据库：保存结点的参数及运行状况；中心数据库：保存全网的设备参数等。,东南大学计算机系 吉逸,简单网络管理协议（SNMP）,为支持管理员和代理之间的管理信息的交换，IETF成立两个工作组，从两个方面定义因特网管理的标准。管理信息库（MIB）工作组负责定义MIB内的元素及结构；网络管理协议（SNMP）工作组定义不同厂商的设备之间交换的协议；1990年，SNMPv1（RFC1157）和MIBv1（RFC1156）；1996年，SNMPv2（RFC1905）和MIBv2（RFC1904）目前大部分网络设备均支持该版本；1998年，SNMPv3（RFC2273）和MIBv3（RFC2272）。,东南大学计算机系 吉逸,SNMP位于应用层，利用UDP的两个端口（161和162）实现管理员和代理之间的管理信息交换。UDP端口161用于数据收发，UDP端口162用于代理报警；SNMPv1（RFC1157）采用集中管理模式，一个管理员轮询管理多个代理；管理员/代理之间交换五种类型的PDU：,简单网络管理协议（SNMP）,东南大学计算机系 吉逸,SNMPv1的信息交换过程 基于UDP的请求/应答,东南大学计算机系 吉逸,MIB库中变量的标识：,privace(4),System(1)interfaces(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)snmp(11)类,例：IP信息类变量标识为1.3.6.1.2.1.4;GetRequest（1.3.6.1.2.1.4）表示取IP相关的信息；GetNextRequest（1.3.6.1.2.1.4）表示取ICMP相关的信息；,东南大学计算机系 吉逸,SNMP信息分类,东南大学计算机系 吉逸,简单网络管理协议（SNMPv2RFC1905）,SNMPv2引进区域管理（分布式管理）的思想，扩充了管理员之间的操作。并用Snmpv2-Trap取代了原Trap报警PDU。,名称,编码,功能说明,GetRequest,0,管理员至代理，查询指定变量的值；,GetNextRequest,1,管理员至代理，查询下一变量的值；,Response,2,至管理员，回送执行结果（正确/差错）；,SetRequest,3,管理员至代理，设置代理维护的某个变量的值；,GetBulkRequest,5,代理至管理员，传递批量信息；,InformRequest,6,管理员至管理员，传递参数处理请求；,SNMPV2-Trap,7,代理至管理员，传递报警信息；（取代原4）,Report,8,待定义,manager,manager,Agent,0,1,3,5,2,7,6,2,东南大学计算机系 吉逸,SNMP产品的一般结构SNMP仅定义了网络元素的参数传递，利用这些参数服务于人类管理员是产品追求的目标。,东南大学计算机系 吉逸,网络管理实例1某网管中心的状态监测图,东南大学计算机系 吉逸,网络管理实例2,某天某段被管辖区中的网络性能参数-吞吐量（出/入）的静态走势图,8.2 网络安全,信息需要保密信息需要共享,网络安全的要考虑的几个方面（1）网络系统的安全：网络操作系统的安全性；来自外部的安全威胁；来自内部用户的安全威胁；通信协议软件本身缺乏安全性；病毒感染；应用服务的安全等。（2）局域网安全：广播方式（3）Internet互连安全：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒等。（4）数据安全：本地数据安全：本地数据被人删除、篡改，外人非法进入系统。网络数据安全：数据在传输过程中被人窃听、篡改。如数据在通信线路上传输时被人搭线窃取，数据在中继结点机上被人篡改、伪造、删除等。,东南大学计算机系 吉逸,8.2 网络安全,截取（窃取）：非法截取网络信息，窃取其中的机密；篡改：对截取的数据进行部分/全部篡改，再送到目的地；冒充：冒充合法用户进行网络操作，嫁祸于人；重播/插播：干扰用户的正常操作；发方否认：否认已向接受者发送过数据；收方否认：否认已收取过发送方发送的数据。,东南大学计算机系 吉逸,网络安全的措施,局域网安全措施：进行局域网网络分段，将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。将整个网络分成若干个虚拟网段（IP子网），各子网之间无法直接通信，必须通过路由器、路由交换机、网关等设备进行连接，可利用这些中间设备的安全机制来控制各子网间的访问。,Internet互连安全措施：在Internet网络与内部网之间设置一道屏障，防止黑客进入内部网。由用户制定安全访问策略，抵御黑客的侵袭，主要方法有：IP地址过滤，服务代理等.,东南大学计算机系 吉逸,网络安全的措施,数据安全措施加密/解密技术：为提高信息系统及数据的安全性和保密性,使得数据以密文的方式进行传输和存储，防止数据在传输过程中被别人窃听、篡改。数据加密是所有数据安全技术的核心。密钥管理：在加密过程中，加密算法和密钥是两个关键的部分，但现在倾向于把算法公开，让所有的秘密包含在密钥中，密钥管理涉及密钥的整个生存周期，包括密钥的生成、验证、传递、保管、使用、销毁。数字签名：数字签名与传统的签名具有类似的功能，可以防止伪造与抵赖。数据完整性技术主要是用来保证数据在传输过程中不被篡改。认证技术：认证是用来防止入侵者进行假冒、篡改等。通常人们利用认证技术作为保护网络安全的第一道防线。,东南大学计算机系 吉逸,防火墙技术,防火墙是一种将内部网和公网分开的方法，它实际上是一种隔离技术。允许你“同意”的人和数据进入你的网络，将“不同意”的人和数据拒之门外，最大限度地阻止黑客来访问网络。,1、防火墙的作用作为网络安全是屏障：只有经过精心选择的应用协议才能通过防火墙，外部的攻击者就不可能利用一些脆弱的协议（如NFS）来攻击内部网络。可以强化网络安全的策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。可以对网络存取和访问进行监控和审计：防火墙能对各种访问进行记录并作出日志记录，也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。可以防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离。,东南大学计算机系 吉逸,分组过滤式防火墙,原理：1、有选择地允许数据分组穿过防火墙，实现内部和外部主机之间的数据交换；2、作用在网络层和传输层；3、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发，否则丢弃。,东南大学计算机系 吉逸,分组过滤式防火墙,1、分组过滤软件通常集成到路由器上，允许用户根据某种安全策略进行设置，允许特定的分组穿越防火墙。2、路由器对每个分组进行分析，并为分组选择一条最佳的路径。普通路由器只执行两种操作：如果它知道分组的目的地址的路由，就转发该分组；否则丢弃或者退回分组。增加了分组过滤功能的路由器则检查更多的内容。3、通过分析IP地址和端口号来决定是否转发一个分组。例如:建立一个对应端口号为23的防火墙过滤器来阻止向内部计算机上发送远程登录分组；建立一个对应端口号为21的防火墙过滤器来阻止外部用户向内部计算机发送文件传输分组（FTP）等。4、基 于分组过滤的防火墙的安全性依赖于用户制定的安全策略。系统对用户设置的理解，为两类：不允许的就是禁止和不禁止的就是允许。,东南大学计算机系 吉逸,分组过滤式防火墙,SMTP简单邮件传输协议是基于TCP的服务；SMTP服务器（即接受者）使用端口25，客户机（即发送者）使用大于1023的任意端口。,东南大学计算机系 吉逸,代理服务：代理外部（或内部）用户访问内部（或外部）网络，杜绝内部和外部的直接访问。“中介作用”,代理服务式防火墙,东南大学计算机系 吉逸,代理服务器与路由器的合作：路由器实现内部和外部网络交互时的信息流导向，将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。,代理服务器分析客户的请求，根据制定的策略决定允许或者拒绝某个特定的请求；当一个请求被允许时，代理服务器就“代表”该客户执行访问操作，并将结果返回客户。代理服务应用服务，不同的应用服务可以设置不同的代理服务器，如FTP代理服务器、TELNET代理服务器等。,代理服务式防火墙,目前，很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性，并且取得了较好的效果。,东南大学计算机系 吉逸,地址迁移式防火墙（NATNetwork Address Translation）,企业分配若干个全局IP地址，企业网内部使用自定义的IP地址（称为本地IP地址或者虚拟IP地址）。当内外用户希望相互访问时，专门的路由器（地址迁移路由器，或者NAT路由器）负责全局/本地IP地址的映射。NAT路由器位于不同地址域的边界处，通过保留部分全局IP地址的分配权来支持IP数据报的跨网传输。,x1.x2.x3.x4,东南大学计算机系 吉逸,地址迁移式防火墙（NAT）,NAT地址分配政策：（1）静态地址分配：支持内部地址和外部地址之间进行一对一的映射，这种映射的有效期可以是长久的（例如NAT启动时进行分配），也可以是划分时间区域的（某段时间内，分配给特定的结点）（2）动态地址分配：以会话为单位，按需进行地址分配，用完后即予以归还。,NAT工作原理：（1）地址绑定（静态或动态地建立本地/全局地址的映射关系）（2）地址查找和转换（对数据报中的相关地址信息进行修改）（3）地址解绑定（释放全局地址）,东南大学计算机系 吉逸,NAT的优点：（1）融合了分组过滤和应用代理的设计思想，可以根据应用的需求限定允许内外网访问的结点；（2）可以屏蔽内网的地址，保证内网的安全性。（3）数据报分析是NAT路由器必须做的工作（例如，修改IP数据报携带的高层协议数据单元中的地址信息），可以有选择地提供/拒绝部分跨网的应用服务。,地址迁移式防火墙（NAT）,东南大学计算机系 吉逸,内部网常采用局域网技术，外部网常为广域网，路由器作为互连设备，路由器所在的位置也应是防火墙的位置；有时，路由器中也集成了防火墙的功能。,防火墙的位置,东南大学计算机系 吉逸,IP地址服务 代理服务 Socks代理 邮件服务,防火墙的位置,东南大学计算机系 吉逸,防火墙仅用于隔绝内部网和外部网的直接连通，无法防御内部网自身的侵袭，例如内部网用户的越权访问；因此，内部网的资源仍需设置必要的访问控制（主要是访问权限设置）；防火墙仅是一种被动的防御设施，且建立在已有知识的基础上，因此，难以防范可能出现的新的攻击（类似防病毒设施）；网络协议本身的漏洞是目前黑客攻击的主要对象，因此，网络协议本身也被列为安全考察的目标。,防火墙说明,东南大学计算机系 吉逸,数据安全服务,安全服务,功能描述,内容保密,防止报文内容被未授权地阅读，防窃取；,内容完整性,保证被交换的报文未被篡改，防篡改；,序列完整性,防止数据的重播和丢失，防重播和插播；,实体鉴别,鉴别数据的来源和通信实体的身份，防冒充；,抗发方否认,防御发送方否认曾经发送过报文；,抗收方否认,防御接收方否认曾经收取过报文。,注：所有的服务只能保证出现的攻击可以被识别，并不能防止攻击的发生。安全服务的基础：密码学数据加密技术,东南大学计算机系 吉逸,数据加密、解密技术,原理：利用某种变换技术，将原文（明文）变换为一般用户无法识别的密文，数据以密文的形式在网络上传输；,习惯记法：明文M、密文X、加密密钥K和解密密钥P，有：EK（M）用密钥K对明文M进行加密，形成密文；DP（X）用密钥P对密文X进行解密，还原明文；针对上面的模型有：M=DP（EK（M）,加密：明文到密文的过程解密：密文还原为明文的过程；密钥：一串参与加密的字符串，算法在密钥的控制下进行操作，对应不同的密钥，相同的算法和相同的明文可以产生完全不同的密文。密钥是加密/解码的核心。,东南大学计算机系 吉逸,数据加密算法：秘密密钥加密体系,1967年，美国的Horst Feistel在分析传统加密算法的基础上，提出了秘密密钥加密体制的思想。,东南大学计算机系 吉逸,原理：在传统加密算法的基础上，充分利用计算机的处理能力，将算法内部的变换过程设计的非常复杂，并使用较长的密钥，使得攻击者对密文的破译变得非常困难。攻击者即使掌握了加密算法的本身，也会由于不知道密钥而得不到明文。将算法和密钥进行了分离，并且算法的保密性完全依赖于密钥的安全性，因此，被称为秘密密钥加密体制。,典型算法：DES算法基本思想：首先将整个明文分块：每64位（8个字节）一块；然后用64位的密钥对每个64位的明文块进行加密，形成若干个64位的密文块；最后串接所有的密文块形成整个密文。,数据加密算法：秘密密钥加密体系,解密密钥与加密密钥相同，或者可以由加密密钥导出。即通信双方共享一个密钥（K=P），M=DK(EK(M)。,东南大学计算机系 吉逸,加密过程：由16个独立的加密循环所组成，每个循环均使用一个密钥和一种加密算法（包括移位和置换）；每一循环使用的密钥是对上一循环所用密钥（包括用户输入的最初密钥，称为主密钥）进行处理得到的结果。每个循环产生的密文（中间密文）均作为下一循环的输入而进行进一步的加密。,特点：（1）通信双方维护相同的密钥；因此如何保证密钥的一致性，以及如何维护密钥的安全性成为确保DES算法有效的关键技术，而这一点通常由用户自行决定。（2）对应N个通信伙伴应维护N个密钥，用户工作量大；（3）无法用于群组内的安全通信；（4）算法较简单，加密/解密速度快。,数据加密算法：秘密密钥加密体系,DES算法的安全问题：主密钥选择空间很大（256），如果攻击者试图用穷举法来进行攻击，即使每微秒攻击一个密钥，也要耗费约相当长的时间。有可能用高性能计算机破译64位密钥的DES算法，提出了加长密钥（如密钥长度增加到128位）的应对措施。,东南大学计算机系 吉逸,公开密钥加密体系：1976年，美国的Diffie和Hallman提出了一种新的加密体制公开密钥加密体制。,数据加密算法,东南大学计算机系 吉逸,1、基本思想:设计一种新的加密算法，该算法拥有一对不同的加密密钥E和解密密钥D。使得E和D之间具有如下性质：（1）D（E（M）M，即对数据M用E加密后再用D解密，应当可以还原为M；（2）E和D都是易于计算的；（3）从E难以推导出D的结构。,数据加密算法公开密钥加密体系,2、工作原理（1）每个用户可以选择一对E和D，并将E公开（称为公开密钥），存入其他用户都可访问的公共存储区，将D（称为秘密密钥）严格保密。（2）如果A用户希望向B用户发送数据（M），A首先从公共存储区中取得B的加密密钥Eb，并用Eb对数据进行加密，产生Eb（M）传输给B（3）B可对接收的密文用Db进行解密获得明文数据M。B以外的所有用户都不掌握Db，并且无法从公开的Eb中推导出Db，所以即使攻击者获得了密文，也无法解出相应的明文。,东南大学计算机系 吉逸,加密算法的混合使用,为提高加密的效率，混合使用秘密密钥加密体系和公开密钥加密体系的算法。,（1）发送方使用密钥生成算法生成对称密钥，并用该密钥和DES加密算法一起对明文进行加密，生成密文；（2）使用接收方的公开密钥对生成的对称密钥进行加密，形成加密的密钥，该密钥连通密文一起传输给接收方。（3）接收方执行相反的动作，用接收方的秘密密钥解密已加密的密钥，得到对称密钥；（4）利用该对称密钥解密密文，还原明文。,东南大学计算机系 吉逸,加密技术可用于提供网络安全中的内容保密服务。,加密算法的混合使用,特点:（1）秘密密钥加密体制和公开密钥加密体制的结合使用，简化了秘密密钥加密体制中的密钥管理；密钥和密文一同传输，以便对方可以解密。（2）能够做到对应每个明文使用一个不同的密钥（即一次一钥）；由于每个密钥仅仅使用一次，既使在某一次传输中密钥不慎泄露，它也只影响本次交换的信息。（3）使用DES算法和一次密钥对明文加密，提高效率；（4）使用RSA算法对密钥加密，保护密钥的秘密性；,东南大学计算机系 吉逸,摘录技术也称散列技术,原理：对报文进行某种运算，形成与报文密切相关、且长度有限的摘录值，有时也称为报文的指纹（Fingerprint）；,东南大学计算机系 吉逸,典型的摘录算法：CRC校验算法利用该算法可检测传输过程中产生的差错；采用不同的产生式可以形成特定长度的校验和；报文摘录算法（MD2）RFC1319,产生128位的摘录值；报文摘录算法（MD4）RFC1320,产生128位的摘录值；报文摘录算法（MD5）RFC1321,产生128位的摘录值;完全散列算法（SHA-1）RFC2202 产生160位的摘录值，1997年9月。摘录技术可用于提供网络安全中的内容完整性服务。,要求：不同内容的报文形成相同摘录值的概率几乎为零；根据摘录值无法还原原报文；,内容完整性检查,内容保密直接采用加密技术对数据进行加密；内容完整性直接采用摘录技术对报文处理。工作过程：1、发送方利用摘录算法（如MD5）形成摘录值(MIC)2、报文连同MIC值一起传递给接收方；3、接收方分隔报文和MIC值；4、对报文执行相同的摘录算法，形成新的MIC值；5、新MIC值和原MIC值比较，判断报文在传输的过程中是否被修改。,东南大学计算机系 吉逸,序列完整性在报文中增加序号和时标；实体鉴别：含身份鉴别和数据源鉴别。（1）身份鉴别鉴别对等实体的身份。进入系统时传递用户标识和口令字，和系统内保留的用户标识和口令字进行比较，验证用户的合法性。问题：传递过程中，用户标识和口令字被窃取；用户标识和口令字加密传输？仍然存在冒用的可能！解决方法：口令字不在线路上传输（两次握手）。,结果：随机数可以蕴含时间信息；口令字始终不在线路上传输；摘录值随随机数和口令字而变，仅一次有效。,身份鉴别,东南大学计算机系 吉逸,（2）数据源鉴别鉴别数据真实性（防冒充、伪造）确实来自期望的发送方。利用数字签名技术支持数据源的鉴别。,发方：使用MD5生成信息的摘录（MIC）；使用自己的密钥对摘录加密形成签名，该签名和报文内容密切相关；使用收方公开密钥对签名加密后发送。收方：用自己的秘密和发方的公开密钥解密，获得原始MIC值；利用MD5对报文求MIC值；如果新MIC值和原始MIC值一致，可认为报文确实来自于期望的发送方，且在传输过程中内容未被篡改。,数据源鉴别,东南大学计算机系 吉逸,理想的解决方案：第三方的参与和仲裁。措施：至少维护一个认证中心（CA），合法用户需在中心注册，获得自己的密钥对；CA以安全的方式转发通信双方的报文，并予以记录，作为产生异议时的仲裁依据。,过程：A以CA的公钥和A的私钥向CA认证自身，并获得B的公钥；A以B的公钥形成密文（容许含随机密钥的秘密加密），并提交CA；CA记录全部或者部分（如MIC值）信息后，转发密文至B；B收取报文后，应向CA返回确认信息。,抗否认、防抵赖服务,东南大学计算机系 吉逸,抗否认服务抵御通信的一方对所作的操作进行否认（抵赖）。外来攻击或内部攻击；,网络安全技术,局域网安全：网段划分、虚拟网络Internet互连安全：防火墙：分组过滤式防火墙；代理服务式防火墙；地址迁移式防火墙网络数据安全：防截取（窃取）：数据加密、解密技术：秘密密钥加密体系（DES加密算法）、公开密钥加密体系（RSA加密算法）防篡改：摘录技术（内容完整性服务）防冒充：身份鉴别（用户名、口令）、数据源鉴别（伪造数据、冒充别人）数字签名技术防重播/插播：序列完整性在报文中增加序号和时标；防否认、抵赖：认证技术认证中心,东南大学计算机系 吉逸,某单位有三幢大楼（一幢主楼，两幢辅楼），楼与楼之间不超过300米。主楼共有六层，其中4楼现有计算机40台，其余楼层各有计算机1520台。两个辅楼各四层，现有计算机约20台；该单位在外地还有几个办事处。现请您为该单位设计一个粗略的网络方案，并对网络方案作简要的说明（包括网络拓扑、选用的网络设备/通信协议等）。,网络工程设计举例：,网络至少应满足以下几点：（1）能够互连现有的计算机设备，并具有一定的网络扩充能力；（2）外地办事处要能够访问本企业的网络（3）能连入因特网；（4）提供WWW服务和Email服务，在企业内部实现计算机信息管理。,东南大学计算机系 吉逸,网络工程设计举例：,分析设计：物理环境：3幢大楼，可以以主楼为中心，可以将网络主设备放在主楼4楼，形成星形结构 需要接入网络的设备：主楼：现最多140台用户主机，23台服务器；辅楼：现各20台用户主机。网络布线：大楼内的设备连接用5类双绞线，主楼内可以采用集中布线的方式的方式（综合布线，以4楼为中心），辅楼内采用集中布线。主楼到辅楼用多模光纤连接网络设备。,所需网络设备选择：1、千兆以太交换网主干，100 M交换到桌面。一台千兆以太网交换机（12个端口），至少有2个千兆光纤端口与辅楼设备相连。2、24口的100M交换机8台：主楼6台（一个RJ45 千兆端口，24个RJ45 100M端口）；辅楼各一台（一个千兆光纤端口，24个RJ45 100M端口）；,东南大学计算机系 吉逸,3、路由器一台，用于与外部网互连、使得允许外地办事处拨号访问企业内部网。路由器端口：以太网端口连接企业内部网 接入广域网的端口（DDN/ISDN/其他）；电话拨号端口（串行端口）4、防火墙5、WWW服务器、Email服务器、企业信息管理服务器,网络工程设计举例：,外地办事处访问企业内部网的方式：1、通过电话拨号方式，直接访问。2、接入当地的公网（电信网等），通过Internet访问到企业内部网。（注意网络的安全性）,东南大学计算机系 吉逸,网络工程设计举例：,网络拓扑图：,应用服务器WEB服务器邮件服务器 等,1000M交换器,100M交换器,24口 100M交换机,1000M,外地办事处,1000M,主楼,24口 100M交换机,辅楼1,辅楼2,东南大学计算机系 吉逸,防火墙,路由器,网管,另一种方案：采用100M以太网交换，10M交换到桌面 主楼内采用分层布线，每一层放12台交换机，连接本层的计算机设备。,网络工程设计举例：,与前一种方案比较，其优缺点？主干网带宽低，费用低（成本低）布线简单，使用的双绞线少，便于临时增加线路。管理不便，每一层都放交换机，不能统一管理。计算机设备增加、减少时，不灵活。（如果一层设备超过交换机的端口数（25台），就要增加设备。交换机之间的端口不能灵活分配。,东南大学计算机系 吉逸,如果一个大楼楼层很多，可以分段设配线架，几层一个。注意双绞线的最大传输长度（100米）长距离的可以采用光纤,网络工程设计举例：,东南大学计算机系 吉逸,计算机网络的发展是一个不断迭代的过程：研究应用验证新的研究新的验证。1、网络发展的基本方向：开放：具有统一的标准，向互连、互通、互操作的方向发展集成：多种网络、协议、应用的集成，满足社会信息化的要求高性能：高速、高服务质量智能化：网络管理的智能化、网络服务的自动适配等个性化：满足人们个性化的需求。,计算机网络技术的发展趋势,东南大学计算机系 吉逸,2、开放：在简单、实用的原则下统一标准，优化和重组。网络体系结构的变化 新型传输媒体应用，网络系统瓶颈由媒体移向主机；,计算机网络技术的发展趋势,层次的简化：IP交换可能一统天下；IP over SDH和IP over ATM,协议的简化和改进 TCP向XTP逼近（优化）IPv6是对IPv4的升级；光纤传输网络将统一到SDH标准,东南大学计算机系 吉逸,3 集成多种媒体应用的集成（多媒体传输）网络应能支持无差错的数据传输；网络应能支持实时的语音、图像传输；多种应用服务的集成 支持单点投递（正常应用）支持多点投递多种网络的集成 网络的高效互连和协议转换；路由技术和交换技术的集成。（3层交换、4层交换）接入网 基于CATV同轴电缆的光纤同轴混合网（HFC）基于电话线的用户数字线（xDSL）,无线网，手机,计算机网络技术的发展趋势,东南大学计算机系 吉逸,4 高性能(1)高速高速的传输媒体：UTP/STP（5类、6类、7类），光纤、卫星、微波通信，高效的编码技术 4B5B（80的编码效率，125MHz带宽支持100Mb/s）3线3电平8B6T（3倍效率，25MHz带宽支持100Mb/s）等高效的交换技术 直通式交换、路由交换，尤其是光交换技术等；高效的压缩技术 MPEGII，MPEG4，RM，JPEG，MPEG7等(2)高服务质量（QOS）：按需分配带宽（带宽预留）、流量控制（滑动窗口）、拥塞/死锁处理（有选择的丢弃分组）,计算机网络技术的发展趋势,东南大学计算机系 吉逸,5 智能化(1)智能化的网络管理 将人工智能技术应用到网络管理过程中；自动检测、诊断和排除故障；(2)智能化服务 根据应用需求，自动选择最佳的服务，语言（音）自动翻译。(3)移动通信技术（无线数字网）支持用户漫游,计算机网络技术的发展趋势,东南大学计算机系 吉逸,网络工程举例,某市税务局组建税务网络，支持电子化纳税和稽查服务。该局拥有一座19层高的大楼，底层为征收分局和纳税大厅，具有近40台终端；215楼包括1个稽查局、3个管理分局和4个检查分局，每个分局占一层或者二层楼，平均每层楼有办公室10间，2人/间；即20个终端/层；共360个终端。市局下属7个分局和19个乡镇所，分布在全市各地及乡镇；目前，全市共有纳税户20000个，平均1500户/分局，400户/所；预计5年内翻番；目前，税种包括企业所得税、个人所得税、社保、营业税、土建税等20余个税种。每次每个税种交纳时的信息量约为500字节；纳税的特点：按月纳税，且集中在最后的5个工作日内；信息至少保存3年，支持实时查阅；系统的要求：集中处理、设备保证5年可用、可靠性和安全性；建网的附加希望是开通数字化电话，节省市局和分局和税务所的电话费用。,东南大学计算机系 吉逸,存储量分析,20000户、20税种、500字节、36个月、翻番，约100Gb；传输信息量分析：服务器的访问速度（协议开销至少5倍）：20000*20*500*8*（5+1）*10/3600应大于54Mbps分局：1500户、20税种、500字节、翻番(240Mb)；协议开销5倍，集中在3天共12小时，广域网速率应大于28Kbps；主要考虑语音传输：64Kbps。乡镇所：400户、20税种、500字节、翻番（64Mb）；协议开销5倍，集中在3天共12小时，广域网速率应大于2.4Kbps；主要考虑语音传输：64Kbps。考虑今后其它应用的增加，主干网设计采用千兆网，但目前可使用百兆端口。设备厂家选择：路由器将以Cisco为主（主流产品），交换器可在Cisco、IBM、Intel等选择，Cisco优势在于一致性便于管理。缆线铺设：光纤至各个楼层交换机；超五类双绞线至终端。,东南大学计算机系 吉逸,网络工程举例,设备指标交换机C4006：10*千兆，32*百兆C3548：2*千兆，48*百兆C2924：24*10/100M路由器3640-1：2*百兆，1-E1，1-V3640-2：2*百兆，1-V 10*IsdnBri2610：1*百兆，1-64FR 1*IsdnBri，1-V1750：1*10M，1-64FR 1*IsdnBri，1-V防火墙：CiscoPIX525,东南大学计算机系 吉逸,