计算机信息安全-整理.pptVIP

* * 扩展的欧几里得算法 * 扩展的欧几里得算法 * 扩展的欧几里得算法 * 扩展的欧几里得算法 * 扩展的欧几里得算法 * 扩展的欧几里得算法 * 扩展的欧几里得算法 * * * * * * IPSec有两种工作方式：隧道模式和传输模式。 采用对称密钥存在着许多问题，密钥传递时容易泄密；网络通信时如果网内用户采用同样的密钥，就失去了保密的意义。但如果任意两个用户通信时都使用互不相同的密钥，N个人就要使用N＊(N－1)/2个密钥，密钥量太大，在实际使用中无法实现。 ? 所以在IPSec中使用非对称密钥技术，将加密和解密的密钥分开，并且不可能从其中一个推导出另外一个。采用非对称密钥技术后，每一个用户都有一对选定的密钥，一个由用户自己保存，一个可以公开得到。它的好处在于密钥分配简单，由于加密和解密的密钥互不相同并且无法互相推导，所以加密的密钥可以分发给各个用户，而解密密钥由用户自己保存。密钥保存量少，N个用户通信最多只需保存N对密钥，便于管理。可以满足不同用户间通信的私密性，可以完成数字签名和数字鉴别。发送方使用只有自己知道的密钥进行签名，接收方利用公开密钥进行检查，非常方便。目前有许多种非对称密钥算法，其中有的适用于密钥分配，有的适用于数字签名。 ? IPSec中的AH和ESP实际上只是加密的使用者，那么如何保证通信的双方可以互相信任，并采用相同的加密算法呢？IETF制定了IKE用于通信双方之间进行身份认证、协商加密算法和散列算法、生成公钥。在 IPSec的具体实现中我们采用密钥管理协议(ISAKMP－Oakley)。密钥交换采用Diffie－Hellman协议,身份认证采用数字签名和公开密钥。 ? IPSec不仅可以保证隧道的安全，同时还有一整套保证用户数据安全的措施，利用它建立起来的隧道更具有安全性和可靠性。IPSec还可以和L2TP、GRE等其它隧道协议一同使用，给用户提供更大的灵活性和可靠性。IPSec可以运行于网络的任意一部分，它可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号访问设备之间。最后需要注意的是无论何种隧道技术，一旦进行加密或验证时，都会对系统的性能造成影响。密码算法需要消耗大量的处理器时间，而且大多数密码算法还有个建立准备过程。 应用层 TCP 层 IP 层 网络接口层 TCP 101010101 IP 101010101 TCP TCP 101010101 IP ETH 101010101 TCP 101010101 IP 应用层 TCP 层 IP 层 网络接口层 TCP 101010101 IP 101010101 TCP TCP 101010101 IP ETH 101010101 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 状态检测包过滤 防火墙的工作原理 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱 建立连接状态表 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用代理技术介绍 应用层 表示层 会话层 传输层 网络层 链路层 物理层 优点： 安全性高 提供应用层的安全 缺点： 性能差 伸缩性差 只支持有限的应用 不透明 FTP HTTP SMTP 应用层 TCP 层 IP 层 网络接口层 TCP 101010101 IP 101010101 TCP TCP 101010101 IP ETH 101010101 TCP 101010101 IP 应用层 TCP 层 IP 层 网络接口层 TCP 101010101 IP 101010101 TCP TCP 101010101 IP ETH 101010101 只检查数据 101001001001010010000011100111101111011 001001001010010000011100111101111011 应用代理 防火墙的工作原理 不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 主服务器 硬盘数据 TCP 开始攻击 IP 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 主服务器 硬盘数据 检查多个报文组成的会话 101001001001010010000011100111101111011 00100100101001000001110011110111101