计算机网络技术与应用14.ppt

应用网关 应用网关（应用代理）：运行在内部网络的某些具有访问Internet权限的专用服务器上，为内部用户访问外部网络的一些特定服务（或为外部用户访问内部网络的一些特定服务）提供转接或控制 应用网关每次通信维护两个独立的会话：一个位于应用网关与外部Internet用户之间，一个位于应用网关与内部服务器之间 特点：控制策略的设置比包过滤防火墙简单，鉴别是否属于授权用户比包过滤防火墙方便，但处理速度比包过滤防火墙差 Web应用网关工作过程 外部用户与应用网关建立TCP连接，向应用网关发送请求； 应用网关进行认证，若允许则转(3)；否则拒绝； 应用网关作为客户与内部Web服务器建立TCP连接，将用户请求转发至内部Web服务器； 内部Web服务器对请求进行响应，将响应发往应用网关； 应用网关向用户转发内部Web服务器的响应； 应用网关将中转Internet用户与内部Web服务器之间的信息。 安全套接层SSL 作为Web安全性解决方案1995年由Netscape公司提出 SSL - TLS 运行在应用层与传输层之间，在TCP之上建立安全通道 SSL工作过程 实验：利用SSL实现安全数据传输 安装证书管理软件和服务（1/2） 安装证书管理软件和服务（2/2） 准备一个证书请求信息（1/4） 准备一个证书请求信息（2/4） 准备一个证书请求信息（3/4） 准备一个证书请求信息（4/4） 提交证书申请（1/5） 提交证书申请（2/5） 提交证书申请（3/5） 提交证书申请（4/5） 提交证书申请（5/5） 为证书申请者颁布证书（1/4） 为证书申请者颁布证书（2/4） 为证书申请者颁布证书（3/4） 为证书申请者颁布证书（4/4） 下载证书（1/3） 下载证书（2/3） 下载证书（3/3） 安装证书并配置Web服务器（1/6） 安装证书并配置Web服务器（2/6） 安装证书并配置Web服务器（3/6） 安装证书并配置Web服务器（4/4） 安装证书并配置Web服务器（5/6） 安装证书并配置Web服务器（6/6） 验证并访问安全的Web站点（1/2） 验证并访问安全的Web站点（2/2） 张建忠 徐敬东 编著 机械工业出版社 出版 ISBN：9787111305194 第14章 网络安全 张建忠 徐敬东 南开大学计算机科学与技术系 网络安全 信息安全问题：军事、经济、社会活动都存在 网络的普及使信息安全问题更加突出 有人无意识地非法访问并修改了某些敏感信息，致使网络服务中断 有人出于各种目的有意地窃取机密信息，破坏网络的正常工作 研究内容：网络的安全技术和安全机制，确保网络免受各种威胁和攻击，做到正常、有序地工作 网络提供的安全服务 身份认证：验证通信参与者的身份与其所申明的一致，确保通信参与者不是冒名顶替 访问控制：保证网络资源不被未经授权的用户访问和使用 数据保密：防治信息被未授权用户获知 数据完整：确保收到的信息在传递的过程中没有被篡改 不可否认：防止通信参与者事后否认参与通信 网络攻击 — 对信息流的威胁 中断：破坏网络系统资源，使之变成无效的或无用的 截取：非法访问网络系统的资源 修改：不但非法访问网络系统资源，而且修改网络中的资源 假冒：假冒合法用户身份，将伪造的信息非法插入网络 网络攻击 — 被动与主动攻击 被动攻击 进行网络监听，截取重要敏感信息 被动攻击常常是主动攻击的前奏 被动攻击很难发现 对策：加密传输的信息流 主动攻击 利用网络本身的缺陷对网络实施的攻击 主动攻击常常以被动攻击获取的信息为基础 杜绝和防范主动攻击相当困难 对策：检测和修复 数据加密 加密技术 加密密钥：加密和解密过程中使用的一串数字 加密算法：作用于密钥和明文（或密文）的一个数学函数 密文：明文和密钥结合，经过加密算法运算的结果 在同一种加密算法下，密钥的位数越长，安全性越好 通常加密算法是公开的，用户需保证密钥安全 加密技术分类 常规密钥加密技术（对称密钥加密技术） 公开密钥加密技术（非对称密钥加密技术） 常规密钥加密技术 常规密钥加密 加解密用相同密钥：Y=EK(X)、X=DK(Y)，K相同 破译：“野蛮攻击”— 对密钥逐个尝试 著名的加密算法 数据加密标准DES：曾为最常用的常规密钥加密算法，密钥长度56位（共64位，8位用于奇偶校验） 高级加密标准AES（Rijndael加密算法）：密钥长度128位、192位、256位可选 若破解56位密钥的DES需要1秒，则破解128位密钥的AES需要大约149万亿年 公开密钥加密技术 公开密钥加密技术 加解密使用不同的密钥 Y=EPKb(X)、X=DRKb(Y)，PKb ≠ RKb 公钥：加密密钥（ PKb ） 私钥：解密密钥（ RKb ） 公钥与私钥数学相关，