[精选]计算机网络技术-第9章_计算机网络安全15250.pptx-得力文库

资源描述

《[精选]计算机网络技术-第9章_计算机网络安全15250.pptx》由会员分享，可在线阅读，更多相关《[精选]计算机网络技术-第9章_计算机网络安全15250.pptx（62页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1第9章计算机网络安全计算机网络安全问题问题原由原由计算机网络广泛应用，促进了社会的进步和繁荣计算机网络广泛应用，促进了社会的进步和繁荣,并并为人类社会创造了巨大财富。但由于计算机及其网为人类社会创造了巨大财富。但由于计算机及其网络自身的脆弱性以及人为的攻击破坏，也给社会带络自身的脆弱性以及人为的攻击破坏，也给社会带来了损失来了损失。因此，网络安全已成为重要研究课题。因此，网络安全已成为重要研究课题。本章重点讨论网络安全技术本章重点讨论网络安全技术措施：措施：计算机密码技术计算机密码技术、防火墙技术防火墙技术、虚拟专用网技术虚拟专用网技术、网络病毒防治技术网络病毒防治技术，以及网络管理技术

2、。以及网络管理技术。教学教学重点重点能力能力要求要求掌握：掌握：网络安全与管理的概念；网络安全与管理技网络安全与管理的概念；网络安全与管理技术的应用。术的应用。熟悉：熟悉：计算机密码技术、防火墙技术、虚拟专用网计算机密码技术、防火墙技术、虚拟专用网技术、网络病毒防治技术。技术、网络病毒防治技术。2 9.1 网络安全问题概述网络安全问题概述 9.5 网络管理网络管理 9.3 网络安全的攻击与防卫网络安全的攻击与防卫 9.4 防火墙的安装调试与设置防火墙的安装调试与设置 9.2 计算机网络安全技术计算机网络安全技术本章内容3知识结构计算机网络安全技术计算机网络安全技术计计算算机机网网络络安

3、安全全防火墙的安装调试防火墙的安装调试与设置与设置网络安全的层次模型网络安全的层次模型网络管理网络管理网络安全问题概述网络安全问题概述瑞星杀毒软件和个人瑞星杀毒软件和个人防火墙的防治防火墙的防治天网防火墙天网防火墙防火墙技术防火墙技术数字签名数字签名加密技术加密技术网络管理协议与网络管理协议与网络管理工具网络管理工具网络管理功能网络管理功能网络管理概述网络管理概述网络安全的攻网络安全的攻击与防卫击与防卫病毒病毒信息窃取信息窃取邮件炸弹邮件炸弹特洛伊木马特洛伊木马网络所面临的安全威胁网络所面临的安全威胁网络安全的内容网络安全的内容访问控制技术访问控制技术实时监视技术实时监视技术自

4、动解压缩技自动解压缩技49.1 网络安全问题概述随着计算机网络技术的发展，网络的安全性和可靠性成为各随着计算机网络技术的发展，网络的安全性和可靠性成为各层用户所共同关心的问题。人们都希望自己的网络能够更加可靠层用户所共同关心的问题。人们都希望自己的网络能够更加可靠地运行，不受外来入侵者的干扰和破坏，所以解决好网络的安全地运行，不受外来入侵者的干扰和破坏，所以解决好网络的安全性和可靠性，是保证网络正常运行的前提和保障。性和可靠性，是保证网络正常运行的前提和保障。Internet防火墙防火墙学生区学生区Info GateInfo GateIISIIS服务服务WebWeb服务服务DMZDMZ区区教

5、工区教工区安全安全垃圾邮垃圾邮内内容容审计审计件网关件网关过过滤滤数据库服务器群数据库服务器群应用服务器群应用服务器群59.1.1网络所面临的安全威胁 1 1 1 1、网络安全要求、网络安全要求、网络安全要求、网络安全要求网络安全，是指网络系统的硬件、软件及其系统中的数据网络安全，是指网络系统的硬件、软件及其系统中的数据受到保护受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露，不受偶然或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不会中断。系统连续可靠正常地运行，网络服务不会中断。身份认证身份认证完整性完整性保密性保密性授权和访授权和访问控制问控制可用性

6、可用性不可抵不可抵赖性赖性6 2 2 2 2、网络安全威胁、网络安全威胁、网络安全威胁、网络安全威胁一般认为，黑客攻击、计算机病毒和拒绝服务攻击等一般认为，黑客攻击、计算机病毒和拒绝服务攻击等3 3个个方面是计算机网络系统受到的主要威胁。方面是计算机网络系统受到的主要威胁。黑客攻击黑客攻击计算机病毒计算机病毒拒绝服务攻击拒绝服务攻击黑客使用专用工具和采取各种入侵手段非黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络法进入网络、攻击网络,并非法使用网络并非法使用网络资源。资源。计算机病毒侵入网络，对网络资源进行破计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个坏

7、，使网络不能正常工作，甚至造成整个网络的瘫痪。网络的瘫痪。攻击者在短时间内发送大量的访问请求，攻击者在短时间内发送大量的访问请求，而导致目标服务器资源枯竭，不能提供正而导致目标服务器资源枯竭，不能提供正常的服务。常的服务。9.1.1网络所面临的安全威胁7 3 3 3 3、网路安全漏洞、网路安全漏洞、网路安全漏洞、网路安全漏洞网络安全漏洞实际上是给不法分子以可乘之机的网络安全漏洞实际上是给不法分子以可乘之机的“通道通道”,大致可分为以下大致可分为以下3 3个方面。个方面。网络的漏洞网络的漏洞服务器的漏洞服务器的漏洞操作系统的漏洞操作系统的漏洞包括网络传输时对协议的信任以及网络传包括网络传输时

8、对协议的信任以及网络传输漏洞，比如输漏洞，比如IPIP欺骗和信息腐蚀就是利用欺骗和信息腐蚀就是利用网络传输时对网络传输时对IPIP和和DNSDNS的信任。的信任。利用服务进程的利用服务进程的bugbug和配置错误和配置错误,任何向外任何向外提供服务的主机都有可能被攻击。这些漏提供服务的主机都有可能被攻击。这些漏洞常被用来获取对系统的访问权。洞常被用来获取对系统的访问权。WindowsWindows和和UNIXUNIX操作系统都存在许多安全操作系统都存在许多安全漏洞漏洞,如如InternetInternet蠕虫事件就是由蠕虫事件就是由UNIXUNIX的的安全漏洞引发的。安全漏洞引发的。9.1.1

9、网络所面临的安全威胁8 4 4 4 4、网络安全攻击、网络安全攻击、网络安全攻击、网络安全攻击要保证运行在网络环境中的信息安全要保证运行在网络环境中的信息安全,首先要解决的问题首先要解决的问题是如何防止网络被攻击。根据是如何防止网络被攻击。根据Steve KentSteve Kent提出的方法提出的方法,网络安网络安全攻击可分为被动攻击和主动攻击两大类，如下图所示。全攻击可分为被动攻击和主动攻击两大类，如下图所示。网络安全攻击分类网络安全攻击分类被动攻击被动攻击截获截获(秘密秘密)分析信息内容分析信息内容通信量分析通信量分析主动攻击主动攻击拒绝拒绝篡改篡改伪造伪造重放重放(可用性

10、可用性)(完整性完整性)(真实性真实性)(时效性时效性)被动攻击不修改信息内容，所以非常难以检测，因此防护被动攻击不修改信息内容，所以非常难以检测，因此防护方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生一个虚假的数据流。一个虚假的数据流。9.1.1网络所面临的安全威胁9 1中断（中断（Interruption）：）：中断是对可利用性的威胁。例如破坏信中断是对可利用性的威胁。例如破坏信息存储硬件、切断通信线路、侵犯文件管理系统等。息存储硬件、切断通信线路、侵犯文件管理系统等。2窃取（窃取（Interception）：）：入侵者窃取信息

11、资源是对保密性的威胁。入侵者窃取信息资源是对保密性的威胁。入侵者入侵者窃取线路上窃取线路上传送的数据，或非法拷贝文件和程序等。传送的数据，或非法拷贝文件和程序等。3篡改（篡改（Modification）：）：篡改是对数据完整性的威胁。例如改篡改是对数据完整性的威胁。例如改变文件中的数据，改变程序功能，修改网上传送的报文等。变文件中的数据，改变程序功能，修改网上传送的报文等。4假冒（假冒（Fabrication）：）：入侵者在系统中加入伪造的内容，如像入侵者在系统中加入伪造的内容，如像网络用户发送虚假的消息、在文件中插入伪造的记录等。网络用户发送虚假的消息、在文件中插入伪造的记录等。5 5 5

12、5、网络安全破坏、网络安全破坏、网络安全破坏、网络安全破坏网络安全破坏的技术手段是多种多样的，了解最通常的网络安全破坏的技术手段是多种多样的，了解最通常的破坏手段，有利于加强技术防患破坏手段，有利于加强技术防患。9.1.1网络所面临的安全威胁109.1.2网络安全内容国国际际标标准准化化组组织织（ISOISO）对对网网络络安安全全的的定定义义是是：为为数数据据处处理理系系统统建建立立和和采采用用的的技技术术和和管管理理的的安安全全保保护护，保保护护计计算算机机硬硬件件、软软件件和和数数据据不不因因偶偶然然和和恶恶意意的的原原因因遭遭到到破破坏坏、更更改改和和泄泄露露。简简单单说说，安安全全

13、的的目目的的是是保保证证网网络络数数据据的的三三个个特特性性：可可用用性性、完完整整性性和和机机密密性性。由由此此可可以以将将计计算算机机网网络络的的安安全全理理解解为为：通通过过采采用用各各种种技技术术和和管管理理措措施施，使使网网络络系系统统正正常常运运行行，从从而而确确保保网网络络数数据据的的可可用用性性、完完整整性性和和保保密密性性。所所以以，建建立立网网络络安安全全保保护护措措施施的的目目的的是是确确保保经经过过网网络络传传输输和和交交换换的的数数据据不不会会发生增加、修改、丢失和泄露等。发生增加、修改、丢失和泄露等。119.1.3网络安全的层次模型 1 1 1 1、安全体系框架、安

14、全体系框架、安全体系框架、安全体系框架为了系统的、科学地分析网络安全所涉及的各种问题，为了系统的、科学地分析网络安全所涉及的各种问题，我们从安全服务特性、系统单元、开放系统互连参考模型安我们从安全服务特性、系统单元、开放系统互连参考模型安全特性三个方面研究网络安全，并提出了一个三维的安全体全特性三个方面研究网络安全，并提出了一个三维的安全体系框架，如下图所示。系框架，如下图所示。三维安全框架体系三维安全框架体系 129.1.3网络安全的层次模型 2 2 2 2、安全服务特性、安全服务特性、安全服务特性、安全服务特性（1 1）身份认证）身份认证身份认证是访问控制的基础。身份认证必身份认证是

15、访问控制的基础。身份认证必须做到准确无误地将对方辨别出来，同时还应该提供双向的认须做到准确无误地将对方辨别出来，同时还应该提供双向的认证，即互相证明自己的身份。证，即互相证明自己的身份。（2 2）访问控制）访问控制控制不同用户对信息资源访问的权限，防控制不同用户对信息资源访问的权限，防止非授权使用资源或以非授权的方式使用资源。止非授权使用资源或以非授权的方式使用资源。（3 3）数据加密）数据加密保证数据安全通信的手段，指在数据存储保证数据安全通信的手段，指在数据存储和传输时进行加密，防止数据在传输过程中被窃听。和传输时进行加密，防止数据在传输过程中被窃听。（4 4）数据的完整性）数据的完整

16、性指防止数据在传输过程中被篡改、删指防止数据在传输过程中被篡改、删除、插入替换或重发，以保证合法用户接收和使用该数据的真除、插入替换或重发，以保证合法用户接收和使用该数据的真实性。实性。（5 5）不可否认性）不可否认性防止发送方企图否认所发送的信息，同防止发送方企图否认所发送的信息，同时也防止接受方企图否认接收到信息。时也防止接受方企图否认接收到信息。（6 6）安全审计）安全审计设置安全、可靠的审计记录措施，便于事设置安全、可靠的审计记录措施，便于事后的分析审计。后的分析审计。139.1.3网络安全的层次模型 3 3 3 3、系统单元、系统单元、系统单元、系统单元（1 1）通信平台）通

17、信平台信息网络的通信设备、通信网络平台；信息网络的通信设备、通信网络平台；（2 2）网络平台）网络平台信息网络的网络系统；信息网络的网络系统；（3 3）系统平台）系统平台信息网络的操作系统平台；信息网络的操作系统平台；（4 4）应用平台）应用平台信息网络各种应用的开发、运行平台：信息网络各种应用的开发、运行平台：（5 5）物理环境）物理环境信息网络运行的物理环境及人员管理。信息网络运行的物理环境及人员管理。149.1.3网络安全的层次模型 4 4 4 4、层次模型、层次模型、层次模型、层次模型（1 1）物理层）物理层在通信线路上采用电磁屏蔽技术、干扰及跳频等在通信线路上采用电磁屏

18、蔽技术、干扰及跳频等技术，来防止电磁辐射造成的信息外泄，保证在线路上不被搭线偷技术，来防止电磁辐射造成的信息外泄，保证在线路上不被搭线偷听，或者轻易的检测出信息。但由于网络分布广，物理层的安全很听，或者轻易的检测出信息。但由于网络分布广，物理层的安全很难保证。难保证。（2 2）数据链路层数据链路层点对点的链路可以采用数据通信保密机制，点对点的链路可以采用数据通信保密机制，对数据采用加密和解密，保证通信的安全。对数据采用加密和解密，保证通信的安全。（3 3）网络层网络层采用加密、路由控制、访问控制、审计、防火采用加密、路由控制、访问控制、审计、防火墙技术和墙技术和IPIP加密传输信道技术，保

19、证信息的机密性。防火墙被用来加密传输信道技术，保证信息的机密性。防火墙被用来处理信息在内外网络边界的流动，它可以确定来自哪些地址的信息处理信息在内外网络边界的流动，它可以确定来自哪些地址的信息可以或者禁止访问哪些目的地址的主机。可以或者禁止访问哪些目的地址的主机。IPIP加密传输信道技术是在加密传输信道技术是在两个网络结点间建立透明的安全加密信道。这种技术对应用透明，两个网络结点间建立透明的安全加密信道。这种技术对应用透明，提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的专用网。专用网。（4 4）应用层应用层针对用户身份进行

20、认证并建立起安全的通信信针对用户身份进行认证并建立起安全的通信信道。道。159.2 数据加密与数字认证数据加密和数字签名是数据加密和数字签名是网络信息安全的核心技术。网络信息安全的核心技术。其中，数据加密是保护数据其中，数据加密是保护数据免遭攻击的一种主要方法；免遭攻击的一种主要方法；数字认证是解决网络通信过数字认证是解决网络通信过程中双方身份的认可，以防程中双方身份的认可，以防止各种敌手对信息进行篡改止各种敌手对信息进行篡改的一种重要技术。的一种重要技术。数据加密和数字签名的数据加密和数字签名的联合使用，是确保信息安全联合使用，是确保信息安全的有效措施。的有效措施。Internet加密数据

21、流加密数据流供应商供应商采购单位采购单位SSLSSL安全安全论证网关论证网关WebWeb服务器服务器9.2.1 加密技术169.2.1加密技术 1 1 1 1、密码学与密码技术、密码学与密码技术、密码学与密码技术、密码学与密码技术计算机密码学是研究计算机信息加密、解密及其变换的新计算机密码学是研究计算机信息加密、解密及其变换的新兴科学兴科学,密码技术是密码学的具体实现密码技术是密码学的具体实现,它包括它包括4 4个方面：保密个方面：保密(机密机密)、消息验证、消息完整和不可否认性。、消息验证、消息完整和不可否认性。1保密（保密（privacy）：）：在通信中消息发送方与接收方都希望保密，在通

22、信中消息发送方与接收方都希望保密，只有消息的发送者和接收者才能理解消息的内容。只有消息的发送者和接收者才能理解消息的内容。2验证（验证（authentication）：）：安全通信仅仅靠消息的机密性是不安全通信仅仅靠消息的机密性是不够的，必须加以验证，即接收者需要确定消息发送者的身份。够的，必须加以验证，即接收者需要确定消息发送者的身份。3完整（完整（integrity）：）：保密与认证只是安全通信中的两个基本要保密与认证只是安全通信中的两个基本要素，还必须保持消息的完整素，还必须保持消息的完整,即消息在传送过程中不发生改变。即消息在传送过程中不发生改变。4不可否认（不可否认（nonrepud

23、iation）：）：安全通信的一个基本要素就是安全通信的一个基本要素就是不可否认性，防止发送者抵赖（否定）。不可否认性，防止发送者抵赖（否定）。17 2 2 2 2、加密和解密、加密和解密、加密和解密、加密和解密密码技术包括数据加密和解密两部分密码技术包括数据加密和解密两部分。加密是把需要加密加密是把需要加密的报文按照以密码钥匙（简称密钥）为参数的函数进行转换，的报文按照以密码钥匙（简称密钥）为参数的函数进行转换，产生密码文件；解密是按照密钥参数进行解密产生密码文件；解密是按照密钥参数进行解密,还原成原文件还原成原文件。数据加密和解密过程是在信源发出与进入通信之间进行加密，数据加密和解密过程

24、是在信源发出与进入通信之间进行加密，经过信道传输经过信道传输,到信宿接收时进行解密到信宿接收时进行解密,以实现数据通信保密。以实现数据通信保密。数据加密和解密过程如下图所示。数据加密和解密过程如下图所示。加加密密密钥密钥报报文文解解密密原报文原报文加密解密模型加密解密模型明文明文密文传输密文传输明文明文信源信源加密单元加密单元解密单元解密单元信宿信宿9.2.1加密技术 18 3 3 3 3、密钥体系、密钥体系、密钥体系、密钥体系加密和解密是通过密钥来实现的。如果把密钥作为加密体加密和解密是通过密钥来实现的。如果把密钥作为加密体系标准，则可将密码系统分为单钥密码（又称对称密码或私钥系标准

25、，则可将密码系统分为单钥密码（又称对称密码或私钥密码）体系和双钥密码（又称非对称密码或公钥密码）体系。密码）体系和双钥密码（又称非对称密码或公钥密码）体系。在单钥密码体制下，加密密钥和解密密钥是一样的。在这在单钥密码体制下，加密密钥和解密密钥是一样的。在这种情况下，由于加密和解密使用同一密钥（密钥经密钥信道传种情况下，由于加密和解密使用同一密钥（密钥经密钥信道传给对方），所以密码体制的安全完全取决于密钥的安全。给对方），所以密码体制的安全完全取决于密钥的安全。双钥密码体制是双钥密码体制是1976年年W.Diffie和和M.E.Heilinan 提出的一提出的一种新型密码体制。种新型密码体制。1

26、977年年Rivest,Shamir和和Adleman提出提出RSA密密码体制。在双钥密码体制下码体制。在双钥密码体制下,加密密钥与解密密钥是不同的加密密钥与解密密钥是不同的,它它不需要安全信道来传送密钥，可以公开加密密钥，仅需保密解不需要安全信道来传送密钥，可以公开加密密钥，仅需保密解密密钥。密密钥。9.2.1加密技术 19传统加密方法传统加密方法传统加密方法传统加密方法 1 1 1 1、代换密码法、代换密码法、代换密码法、代换密码法单字母加密方法：单字母加密方法：是用一个字母代替另一个字母是用一个字母代替另一个字母,它把它把A A变成变成E E，B B变成变成F F，C C变为变为G G

27、，D D变为变为H H。多字母加密方法：多字母加密方法：密钥是简短且便于记忆的词组。密钥是简短且便于记忆的词组。2 2 2 2、转换密码法、转换密码法、转换密码法、转换密码法保持明文的次序，而把明文字符隐藏起来。转换密码法不是保持明文的次序，而把明文字符隐藏起来。转换密码法不是隐藏它们，而是靠重新安排字母的次序。隐藏它们，而是靠重新安排字母的次序。3 3 3 3、变位加密法、变位加密法、变位加密法、变位加密法把明文中的字母重新排列把明文中的字母重新排列,字母本身不变，但位置变了。常字母本身不变，但位置变了。常见的有简单变位法、列变位法和矩阵变位法。见的有简单变位法、列变位法和矩阵变位法。4

28、 4 4 4、一次性密码簿加密法、一次性密码簿加密法、一次性密码簿加密法、一次性密码簿加密法就是用一页上的代码来加密一些词，再用另一页上的代码加就是用一页上的代码来加密一些词，再用另一页上的代码加密另一些词，直到全部的明文都被加密。密另一些词，直到全部的明文都被加密。9.2.1加密技术 20现代加密方法现代加密方法现代加密方法现代加密方法 1 1 1 1、DESDESDESDES加密算法加密算法加密算法加密算法 DES DES加密算法是一种通用的现代加密方法加密算法是一种通用的现代加密方法,该标准是在该标准是在5656位密位密钥控制下钥控制下,将每将每6464位为一个单元的明文变成位为一个单

29、元的明文变成6464位的密码。采用多位的密码。采用多层次复杂数据函数替换算法，使密码被破译的可能性几乎没有。层次复杂数据函数替换算法，使密码被破译的可能性几乎没有。2 2 2 2、IDEAIDEAIDEAIDEA加密算法加密算法加密算法加密算法相对于相对于DESDES的的5656位密钥，它使用位密钥，它使用128128位的密钥，每次加密一个位的密钥，每次加密一个6464位的块。这个算法被加强以防止一种特殊类型的攻击位的块。这个算法被加强以防止一种特殊类型的攻击,称为微称为微分密码密钥。分密码密钥。IDEA IDEA的特点是用了混乱和扩散等操作的特点是用了混乱和扩散等操作,主要有三种运算：异主

30、要有三种运算：异或、模加、模乘，并且容易用软件和硬件来实现。或、模加、模乘，并且容易用软件和硬件来实现。IDEAIDEA算法被认算法被认为是现今最好的、最安全的分组密码算法，该算法可用于加密和为是现今最好的、最安全的分组密码算法，该算法可用于加密和解密。解密。9.2.1加密技术 21邮件内容邮件内容C CH=MDS(C)H=MDS(C)S=ENS=ENRSA(H)(H)KSM=C+SM=C+S随机加密密钥随机加密密钥E1=ENIDEA(M)E2=ENRSA(K)KRP将将E1+E2E1+E2寄出寄出发送邮件发送邮件收到收到E1+E2E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)

31、K将将M分离成分离成C和和SH1=MD5(C)取得收信人的取得收信人的分开密钥分开密钥KPS1=DERSA(H1)KPS1=S?NoNoYesYes接收此邮件接收此邮件拒绝此邮件拒绝此邮件接收邮件接收邮件 3 3 3 3、RSARSARSARSA公开密钥算法公开密钥算法公开密钥算法公开密钥算法 RSARSA是屹今为止最著名是屹今为止最著名、最完善、使用最广泛的一种最完善、使用最广泛的一种公匙密码体制公匙密码体制。RSARSA算法的要算法的要点在于它可以产生一对密钥点在于它可以产生一对密钥,一个人可以用密钥对中的一一个人可以用密钥对中的一个加密消息，另一个人则可个加密消息，另一个人则可以用密钥

32、对中的另一个解密以用密钥对中的另一个解密消息。任何人都无法通过公消息。任何人都无法通过公匙确定私匙，只有密钥对中匙确定私匙，只有密钥对中的另一把可以解密消息。的另一把可以解密消息。取得收信人的取得收信人的分开密钥分开密钥KRP9.2.1加密技术 22 4 4 4 4、HashHashHashHashMD5MD5MD5MD5加密算法加密算法加密算法加密算法 HashHash函数又名信息摘要（函数又名信息摘要（Message DigestMessage Digest）函数，是基于因）函数，是基于因子分解或离散对数问题的函数，可将任意长度的信息浓缩为较子分解或离散对数问题的函数，可将任意长度的信息浓

33、缩为较短的固定长度的数据。这组数据能够反映源信息的特征，因此短的固定长度的数据。这组数据能够反映源信息的特征，因此又可称为信息指纹（又可称为信息指纹（Message Fingerprint)Message Fingerprint)。HashHash函数具有很函数具有很好的密码学性质好的密码学性质,且满足且满足HashHash函数的单向函数的单向、无碰撞基本要求。无碰撞基本要求。5 5 5 5、量子加密系统、量子加密系统、量子加密系统、量子加密系统量子加密系统是加密技术的新突破。量子加密法的先进之量子加密系统是加密技术的新突破。量子加密法的先进之处在于这种方法依赖的是量子力学定律。传输的光量子

34、只允许处在于这种方法依赖的是量子力学定律。传输的光量子只允许有一个接收者，如果有人窃听，窃听动作将会对通信系统造成有一个接收者，如果有人窃听，窃听动作将会对通信系统造成干扰。通信系统一旦发现有人窃听，随即结束通信，生成新的干扰。通信系统一旦发现有人窃听，随即结束通信，生成新的密钥。密钥。9.2.1加密技术 23解密方法解密方法解密方法解密方法 1.1.1.1.密钥穷尽搜索密钥穷尽搜索密钥穷尽搜索密钥穷尽搜索就是尝试所有可能的密钥组合，虽然这种密钥尝试通常是就是尝试所有可能的密钥组合，虽然这种密钥尝试通常是失败的，但最终总会有一个密钥让破译者得到原文。失败的，但最终总会有一个密钥让破译者得到原

35、文。2.2.2.2.密码分析密码分析密码分析密码分析密码分析是在不知密钥的情况下利用数学方法破译密文或密码分析是在不知密钥的情况下利用数学方法破译密文或找到秘密密钥。常见的密码分析有如下两种：找到秘密密钥。常见的密码分析有如下两种：已知明文的破译方法：已知明文的破译方法：是当密码分析员掌握了一段明文是当密码分析员掌握了一段明文和对应的密文和对应的密文,目的是发现加密的密钥。在实际应用中目的是发现加密的密钥。在实际应用中,获得某获得某些密文所对应的明文是可能的。些密文所对应的明文是可能的。选定明文的破译方法：选定明文的破译方法：密码分析员设法让对手加密一段密码分析员设法让对手加密一段分析员选定

36、的明文，并获得加密后的结果分析员选定的明文，并获得加密后的结果,以获得确定加密的密以获得确定加密的密钥。钥。9.2.1加密技术 24 3 3 3 3、防止密码破译的措施、防止密码破译的措施、防止密码破译的措施、防止密码破译的措施为了防止密码破译为了防止密码破译,可以采取一些相应的技术措施。目前可以采取一些相应的技术措施。目前通常采用的技术措施以下通常采用的技术措施以下3 3种。种。好的加密算法：好的加密算法：一个好的加密算法往往只有用穷举法一个好的加密算法往往只有用穷举法才能得到密钥，所以只要密钥足够长就会比较安全。才能得到密钥，所以只要密钥足够长就会比较安全。20世纪世纪70708080年

37、代密钥长通常为年代密钥长通常为48486464位，位，9090年代年代,由于发达国家不由于发达国家不准许出口准许出口6464位加密产品，所以国内大力研制位加密产品，所以国内大力研制128128位产品。位产品。保护关键密钥保护关键密钥（KCKKCK：KEY CNCRYPTION KEYKEY CNCRYPTION KEY）。）。动态会话密钥：动态会话密钥：每次会话的密钥不同。每次会话的密钥不同。动态或定期变换会话密钥是有好处的，因为这些密钥是动态或定期变换会话密钥是有好处的，因为这些密钥是用来加密会话密钥的，一旦泄漏，被他人窃取重要信息，将用来加密会话密钥的，一旦泄漏，被他人窃取重要信息，将引起

38、灾难性的后果。引起灾难性的后果。9.2.1加密技术 259.2.2数字签名对文件进行加密只是解决了传送信息的保密问题，而防对文件进行加密只是解决了传送信息的保密问题，而防止他人对传输的文件进行破坏、如何确定发信人的身份还需止他人对传输的文件进行破坏、如何确定发信人的身份还需要采用其他的手段，这一手段就是数字签名。一个完整的数要采用其他的手段，这一手段就是数字签名。一个完整的数字签名字签名应该具有不可抵赖性、不可伪造性、不可重用性等。应该具有不可抵赖性、不可伪造性、不可重用性等。“数字签名数字签名”是数字是数字认证技术中其中最常用的认证技术。认证技术中其中最常用的认证技术。在日常工作和生活中，

39、人们对书信或文件的验收是根据亲笔在日常工作和生活中，人们对书信或文件的验收是根据亲笔签名或盖章来证实接收者的真实身份。在书面文件上签名有签名或盖章来证实接收者的真实身份。在书面文件上签名有两个作用：一是因为自己的签名难以否认，从而确定了文件两个作用：一是因为自己的签名难以否认，从而确定了文件已签署这一事实；二是因为签名不易伪冒，从而确定了文件已签署这一事实；二是因为签名不易伪冒，从而确定了文件是真实的这一事实。但是，在计算机网络中传送的报文又如是真实的这一事实。但是，在计算机网络中传送的报文又如何签名盖章呢，这就是数字签名所要解决的问题。何签名盖章呢，这就是数字签名所要解决的问题。26KeyK

40、ey数数字字签签名名初初始始文文件件签签名名文文件件加加密密的的签签名名文文件件数数字字签签名名初初始始文文件件数数字字摘摘要要数数字字摘摘要要正正确确初初始始文文件件HASHHASH编码编码一一致致KeyKeyKeyKeyKeyKey数数字字摘摘要要初初始始文文件件在网络传输中如果发送方和接收方的加密、解密处理两在网络传输中如果发送方和接收方的加密、解密处理两者的信息一致，则说明发送的信息原文在传送过程中没有被者的信息一致，则说明发送的信息原文在传送过程中没有被破坏或篡改破坏或篡改,从而得到准确的原文。传送过程如下图所示从而得到准确的原文。传送过程如下图所示。数字签名的验证及文件的传送过程

41、数字签名的验证及文件的传送过程9.2.2数字签名 279.2.3防火墙技术防火墙技术是一种成熟可靠的网络安全技术，应用于内防火墙技术是一种成熟可靠的网络安全技术，应用于内部网络与外部网络之间，是保护内部网络不受到侵入的一道部网络与外部网络之间，是保护内部网络不受到侵入的一道屏障。目前，防火墙产品是世界上使用最多的网络安全产品屏障。目前，防火墙产品是世界上使用最多的网络安全产品之一，其功能也在不断的增加。之一，其功能也在不断的增加。1 1、防火墙的概念、防火墙的概念、防火墙的概念、防火墙的概念为了防止病毒和黑客，可在该网络和为了防止病毒和黑客，可在该网络和InternetInternet之间

42、插入之间插入一个中介系统，竖起一道用来阻断来自外部通过网络对本网一个中介系统，竖起一道用来阻断来自外部通过网络对本网络的威胁和入侵的安全屏障，其作用与古代防火砖墙有类似络的威胁和入侵的安全屏障，其作用与古代防火砖墙有类似之处，人们把这个屏障就叫做之处，人们把这个屏障就叫做“防火墙防火墙”，其逻辑结构如下，其逻辑结构如下页图所示。页图所示。28 防火墙的逻辑结构示意图防火墙的逻辑结构示意图外部网络外部网络内部网络内部网络9.2.3防火墙技术29 2 2 2 2、防火墙的基本特性、防火墙的基本特性、防火墙的基本特性、防火墙的基本特性所有内部和外部网络之间传输的数据必须通过防火墙所有内部和外部网

43、络之间传输的数据必须通过防火墙。只有被授权的合法数据即防火墙系统中安全策略允许只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。的数据可以通过防火墙。防火墙本身不受各种攻击的影响。防火墙本身不受各种攻击的影响。3 3 3 3、防火墙的基本准则、防火墙的基本准则、防火墙的基本准则、防火墙的基本准则过滤不安全服务：过滤不安全服务：防火墙应封锁所有的信息流防火墙应封锁所有的信息流,然后对然后对希望提供的安全服务逐项开放，把不安全的服务或可能有安全希望提供的安全服务逐项开放，把不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。隐患的服务一律扼杀在萌芽之中。过滤非法用户和访问特殊

44、站点：过滤非法用户和访问特殊站点：防火墙允许所有用户防火墙允许所有用户和站点对内部网络进行访问，然后网络管理员按照和站点对内部网络进行访问，然后网络管理员按照IPIP地址对未地址对未授权的用户或不信任的站点进行逐项屏蔽。授权的用户或不信任的站点进行逐项屏蔽。9.2.3防火墙技术30防火墙的基本功能 1 1 1 1、作为网络安全的屏障、作为网络安全的屏障、作为网络安全的屏障、作为网络安全的屏障防火墙作为阻塞点、控制点，能极大地提高一个内部网络防火墙作为阻塞点、控制点，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。的安全性，并通过过滤不安全的服务而降低风险。2 2 2 2、

45、可以强化网络安全策略、可以强化网络安全策略、可以强化网络安全策略、可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件通过以防火墙为中心的安全方案配置，能将所有安全软件（口令、加密、身份认证、审计等）配置在防火墙上。（口令、加密、身份认证、审计等）配置在防火墙上。3 3 3 3、对网络存取和访问进行监控审计、对网络存取和访问进行监控审计、对网络存取和访问进行监控审计、对网络存取和访问进行监控审计所有的外部访问都经过防火墙时，防火墙就能记录下这些所有的外部访问都经过防火墙时，防火墙就能记录下这些访问，为网络使用情况提供统计数据。当发生可疑信息时防火访问，为网络使用情况提供统

46、计数据。当发生可疑信息时防火墙能发出报警，并提供网络是否受到监测和攻击的详细信息。墙能发出报警，并提供网络是否受到监测和攻击的详细信息。4 4 4 4、可以防止内部信息的外泄、可以防止内部信息的外泄、可以防止内部信息的外泄、可以防止内部信息的外泄利用防火墙可以实现内部网重点网段的隔离，从而限制了利用防火墙可以实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。局部重点或敏感网络安全问题对全局网络造成的影响。31防火墙的分类1 1 1 1、网络级防火墙（、网络级防火墙（、网络级防火墙（、网络级防火墙（Network GatewayNetwork GatewayN

47、etwork GatewayNetwork Gateway）网络级防火墙主要用来防止整个网络出现外来非法的入侵。网络级防火墙主要用来防止整个网络出现外来非法的入侵。包过滤路由器的工作原理示意图包过滤路由器的工作原理示意图内部网络内部网络物理层物理层分组过滤规则分组过滤规则数据链跑层数据链跑层Internet外部网络外部网络网络层网络层物理层物理层数据链跑层数据链跑层网络层网络层包过滤路由器包过滤路由器32防火墙的分类 2 2 2 2、应用级防火墙（、应用级防火墙（、应用级防火墙（、应用级防火墙（Application GatewayApplication GatewayApplication

48、GatewayApplication Gateway）这种类型的防火墙被网络安全专家和媒体公认为是最安全这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。在外部网络向的防火墙。它的核心技术就是代理服务器技术。在外部网络向内部网络申请服务时发挥了中间转接的作用。代理防火墙的最内部网络申请服务时发挥了中间转接的作用。代理防火墙的最大缺点是速度相对比较慢。应用级代理工作原理图所示。大缺点是速度相对比较慢。应用级代理工作原理图所示。应用级代理工作原理示意图应用级代理工作原理示意图内部网络内部网络真正服务器真正服务器代理服务器代理服务器实际的连接实际的连接实际的

49、连接实际的连接外部网络外部网络客户客户虚拟的连接虚拟的连接Internet防火墙防火墙33防火墙的分类 3 3 3 3、电路级防火墙（、电路级防火墙（、电路级防火墙（、电路级防火墙（GatewayGatewayGatewayGateway）电路级防火墙也称电路层网关电路级防火墙也称电路层网关,是一个具有特殊功能的防是一个具有特殊功能的防火墙。电路级网关只依赖于火墙。电路级网关只依赖于TCPTCP连接，并不进行任何附加的包连接，并不进行任何附加的包处理或过滤。与应用级防火墙相似处理或过滤。与应用级防火墙相似,电路级防火墙也是代理服电路级防火墙也是代理服务器务器,只是它不需要用户配备专门的代理客户

50、应用程序只是它不需要用户配备专门的代理客户应用程序。另外另外,电路级防火墙在客户与服务器间创建了一条电路电路级防火墙在客户与服务器间创建了一条电路,双方应用程双方应用程序都不知道有关代理服务的信息。序都不知道有关代理服务的信息。4 4 4 4、状态监测防火墙（、状态监测防火墙（、状态监测防火墙（、状态监测防火墙（Statefu inspection GatewayStatefu inspection GatewayStatefu inspection GatewayStatefu inspection Gateway）状态检测是比包过滤更为有效的安全控制方法状态检测是比包过滤更为有效的安全控制

展开阅读全文