计算机网络基础教材第十五章网络安全

第15章网络安全,本章主要内容,1.网络提供的安全服务2.网络攻击的主要方式3.数据加密与数字签名4.包过滤、防火墙和SSL5.实践内容安装证书管理软件为WWW服务器申请证书配置SSL,网络安全,1.信息安全不是一个新问题军事、经济、社会活动都存在信息安全性问题2.计算机网络的出现使信息安全问题更加突出有人无意识地非法访问并修改了某些敏感信息，致使网络服务中断有人出于各种目的有意地窃取机密信息，破坏网络的正常工作3.网络安全主要研究内容计算机网络的安全技术和安全机制，以确保网络免受各种威胁和攻击，做到正常而有序地工作,网络提供的安全服务,身份认证验证某个通信参与者的身份与其所申明的一致，确保通信参与者不是冒名顶替访问控制保证网络资源不被未经授权的用户访问和使用数据保密防治信息被未授权用户获知数据完整确保收到的信息在传递的过程中没有被篡改不可否认防止通信参与者事后否认参与通信,网络攻击对信息流的威胁,中断：破坏网络系统资源，使之变成无效的或无用的截取：非法访问网络系统的资源修改：不但非法访问网络系统资源，而且修改网络中的资源假冒：假冒合法用户身份，将伪造的信息非法插入网络,网络攻击被动与主动攻击,1.被动攻击进行网络监听，截取重要敏感信息被动攻击常常是主动攻击的前奏被动攻击很难被发现对策：加密传输的信息流2.主动攻击利用网络本身的缺陷对网络实施的攻击主动攻击常常以被动攻击获取的信息为基础杜绝和防范主动攻击相当困难对策：检测和修复,数据加密,加密技术加密密钥：加密和解密过程中使用的一串数字加密算法：作用于密钥和明文（或密文）的一个数学函数密文：明文和密钥结合，经过加密算法运算的结果在同一种加密算法下，密钥的位数越长，安全性越好,加密技术分类,秘密密钥加密技术（常规密钥加密技术、对称密钥加密技术）公开密钥加密技术（非对称密钥加密技术）,秘密密钥加密技术,用户需保存的密钥数,秘密密钥加密技术的特点,算法简单、速度快，被加密的数据块长度可以很大密钥在加密方和解密方之间传递和分发必须通过安全通道进行,公开密钥加密技术,用户需保存的密钥数,公开密钥加密技术的特点,算法复杂、速度慢，被加密的数据块长度不宜太大公钥在加密方和解密方之间传递和分发不必通过安全通道进行,著名的加密算法,秘密密钥加密算法数据加密标准（dataencryptionstandard，DES）公开密钥加密算法RSA（RSA是发明者Rivest、Shamir和Adleman名字首字母的组合）,秘密密钥加密技术和公开密钥加密技术的结合,数字签名,1.数字签名的基本方法计算需要签名信息的消息摘要利用公开密钥加密算法和用户的私钥对消息摘要签名2.为什么不对信息直接签名？公钥加密算法复杂、加密速度慢，不适合处理大数据块信息消息摘要技术能将一个大数据块映射到一个小信息块,消息摘要,1.消息摘要是利用单向散列函数对要签名的数据进行运算生成2.利用单向散列函数对数据块进行运算不是一种加密机制，它仅能提取数据块的某些关键信息3.著名的消息摘要算法MD5SHA-1,单向散列函数的主要特性,能处理任意大小的信息，生成的消息摘要数据块长度总是具有固定的大小。对同一个源数据反复执行该函数得到的消息摘要相同生成的消息摘要是不可预见的，产生的消息摘要的大小与原始数据信息块的大小没有任何联系。原始数据信息的一个微小变化都会对新产生的消息摘要产生很大的影响具有不可逆性，没有办法通过生成的消息摘要重新生成原始数据信息,完整的数字签名过程,数据加密和数字签名的区别,1.数据加密的作用保证信息的机密性2.数字签名的作用保证信息的完整性保证信息的真实性保证信息的不可否认性,保证网络安全的几种具体措施,包过滤防火墙SSL协议,包过滤,1.包过滤技术的作用：阻止某些主机随意访问另外一些主机2.包过滤路由器：具有包过滤功能的路由器3.包过滤技术主要检查的内容数据包的源地址、目的地址数据包的源端口、目的端口数据包传递的服务内容等,防火墙,1.防火墙将网络分成内部网络和外部网络两部分内部网络是安全的和可信赖的外部网络是不太安全和不太可信的2.主要功能：检查和检测所有进出内部网的信息流，防止未经授权的通信进出被保护的内部网络应用层数据的安全控制和过滤具有认证、日志、计费等功能包过滤功能3.防火墙实现技术复杂，对可靠性和处理效率要求很高,SSL,SSL作为Web安全性解决方案1995年由Netscape公司提出SSL已经作为事实上的标准被众多网络产品提供商采纳,实践：利用SSL实现安全数据传输,CA安全认证中心,CA是公开密钥的管理机构CA通过签发证书来分发公钥证书包含了证书拥有者的基本信息和公钥，并经过CA中心数字签名获取了一个用户的证书，就得到了该用户的公钥。可以利用该公钥给这个用户发送加密信息,安装证书管理软件和服务（1）,安装证书管理软件和服务（2）,安装证书管理软件和服务（3）,安装证书管理软件和服务（4）,安装证书管理软件和服务（5）,准备一个证书请求信息（1）,准备一个证书请求信息（2）,准备一个证书请求信息（3）,准备一个证书请求信息（4）,准备一个证书请求信息（5）,准备一个证书请求信息（6）,准备一个证书请求信息（7）,提交证书申请（1）,提交证书申请（2）,提交证书申请（3）,提交证书申请（4）,提交证书申请（5）,为证书申请者颁布证书（1）,为证书申请者颁布证书（2）,为证书申请者颁布证书（3）,为证书申请者颁布证书（4）,下载证书（1）,下载证书（2）,下载证书（3）,下载证书（4）,安装证书并配置WWW服务器（1）,安装证书并配置WWW服务器（