计算机网络安全电子教案(新版)第四章.ppt

1、第四章 常用的网络安全技术,第一节 数据加密 一、数据加密技术 数据加密:就是将被传输的数据转换成表面上杂乱无章的数据，只有合法的接收者才能恢复数据的本来面目，而对于非法窃取者来说，转换后的数据是读不懂的毫无意义的数据。我们把没有加密的原始数据称为明文，将加密以后的数据称为密文，把明文变换成密文的过程叫加密，而把密文还原成明文的过程叫解密。,例：,同济大学计算机科学技术系基础学科教研室啊啊啊啊啊,同机基室济科础啊大学学啊学技科啊计术教啊算系研啊,同济大学计算机科学技术系基础学科教研室,置换加密：按某一规则重新排列明文中的字符顺序，即改变字符的位置，字符本身不变。（属于对称密码体系）,欢天喜地再

2、牵手， 迎来和平弃干戈。 连接两岸丰功业， 战胜台独全民乐！,传统的藏头诗实为一种对称加密。,密码学,对称密钥密码体系（加解密使用相同的密钥）,非对称密钥密码体系（加解密使用不同的密钥）,1.对称密钥密码体系,加密方式的特点： （l）对称密钥密码体系的安全性 （2）对称加密方式的速度 （3）对称加密方式中密钥的分发与管理 （4）常见的对称加密算法,明文,明文,密文,发送,接收,2.非对称密钥密码体系,非对称密钥密码体系又叫公钥密码体系，非对称加密使用两个密钥：一个公共密钥PK和一个私有密钥SK，如图所示 （l）非对密钥密码体系的安全性 （2）非对称加密方式的速度 （3）非对称加密方式中密钥的分

3、发与管理 （4）常见的非对称加密算法(RSA),明文,明文,密文,其他人,本人,公共密钥PK,私有密钥PK,二、数字签名,数字签名（Digital Signature）是指对网上传输的电子报文进行签名确认的一种方式，这种签名方式不同于传统的手写签名。 数字签名必须满足以下3点： 接收方能够核实发送方对报文的签名。 发送方不能抵赖对报文的签名。 接收方不能伪造对报文的签名。,假设A要发送一个电子报文给B，A、B双方只需经过下面3个步骤即可： A用其私钥加密报文，这便是签字过程。 A将加密的报文送达B。 B用A的公钥解开A送来的报文。,例：如果需要发送添加数字签名的安全电子邮件，首先启动outlo

4、ok express，选择“工具”“选项”命令中的“安全”标签，显示如图所示的对话框，选中“在对所有待发邮件中添加数字签名”，或在“新邮件”窗口单击“工具”“数字签名”就可以对指定新邮件添加数字签名，如右图,三、 数字证书,数字证书相当于网上的身份证，它以数字签名的方式通过第三方权威认证中心(Certificate Authority，CA)有效地进行网上身份认证，数字身份认证是基于国际公钥基础结构（Public Key Infrastructure，PKI）标准的网上身份认证系统，帮助网上各终端用户识别对方身份和表明自身的身份，具有真实性和防抵赖的功能，与物理身份证不同的是，数字证书还具有安

5、全、保密、防篡改的特性，可对网上传输的信息进行有效的保护和安全的传递。 数字证书一般包含用户的身份信息、公钥信息以及身份验证机构(CA）的数字签名数据,中国金融认证中心（CFCA）,RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般设置在商业银行的总行、证券公司、保险公司总部,数字证书包含一下内容： （l）申请者的信息 版本信息 用来与X.509的将来版本兼容； 证书序列号 每一个由CA发行的证书必须有一个惟一的序列号； CA所使用的签名算法； 发行证书 CA的名称； 证书的有效期限； 证书主题名称； 被证明的公钥信息 包括公钥算法和公钥的位字符串表示； 额外信息的

6、特别扩展 （2）身份验证机构的信息,右面是Outlook Express 中收发电子邮件时对邮件实行数字签名和加密传输时从Version Class 1 CA Individual Subscriberpersonal Not Validated”（一个国际中级证书颁发机构）获取的用于发送安全电子邮件时所用的数字证书,例：,第二节、防火墙技术,一、 防火墙概述 防火墙(Firewall)是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合，对内部网络和外部网络之间的通信进行控制，通过监测和限制跨越防火墙的数据流，尽可能地对外部网络屏蔽内网络部的结构。信息和运行情况，用于防止发生不可预测

7、的、潜在破坏性的入侵或攻击，这是一种行之有效的网络安全技术。如下图：,工作站,工作站,终端,终端,终端,笔记本电脑,打印机,服务器,internet,防火墙,二、防火墙的常用类型,包过滤防火墙 数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的依据是系统内设置的访问控制表（又叫规则表），规则表指定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。 优点：速度快、逻辑简单、成本低、易于安装和使用，网络 性能和透明度好 缺点：配置困难，容易出现漏洞，而且为特定服务开放的端口存在着

8、潜在的危险,2应用代理防火墙 应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。 优点：外部计算机的网络链路只能到达代理服务器， 从而起到隔离防火墙内外计算机系统的作用 缺点：是执行速度慢，操作系统容易遭到攻击。,3状态检测防火墙 状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，以此作为依据来决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，就中止该连接。 状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性，能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。,三、 防火墙的局限性,1. 防火墙防外不防内 防火墙一般只能对外屏蔽内部网络的拓扑结构，封锁外部网上的用户连接内部网上的重要站点或某些端口，对内也可屏蔽外部的一些危险站点，但是防火墙很难解决内部网络人员的安全问题，例如内部网络管理人员蓄意破坏网络的物理设备，将内部网络的敏感数据拷贝到软盘等，防火墙将无能为力。 2. 防火墙难于管理