网_络_安_全.ppt

第15章 网 络 安 全 15.1 15.2 15.3 15.4 本章主要内容 1.网络提供的安全服务 2.网络攻击的主要方式 3.数据加密与数字签名 4.包过滤、防火墙和SSL 5.实践内容 安装证书管理软件 为WWW服务器申请证书 配置SSL 网络安全 1.信息安全不是一个新问题 军事、经济、社会活动都存在信息安全性问题 2.计算机网络的出现使信息安全问题更加突出 有人无意识地非法访问并修改了某些敏感信息，致使网络服务中断 有人出于各种目的有意地窃取机密信息，破坏网络的正常工作 3.网络安全主要研究内容 计算机网络的安全技术和安全机制，以确保网络免受各种威胁和攻 击，做到正常而有序地工作 网络提供的安全服务 身份认证 验证某个通信参与者的身份与其所申明的一致，确保通信参与者 不是冒名顶替 访问控制 保证网络资源不被未经授权的用户访问和使用 数据保密 防治信息被未授权用户获知 数据完整 确保收到的信息在传递的过程中没有被篡改 不可否认 防止通信参与者事后否认参与通信 网络攻击—对信息流的威胁 中断：破坏网络系统资源，使之变成无效的或无用的 截取：非法访问网络系统的资源 修改：不但非法访问网络系统资源，而且修改网络中的资源 假冒：假冒合法用户身份，将伪造的信息非法插入网络 网络攻击 — 被动与主动攻击 1.被动攻击 进行网络监听，截取重要敏感信息 被动攻击常常是主动攻击的前奏 被动攻击很难被发现 对策：加密传输的信息流 2.主动攻击 利用网络本身的缺陷对网络实施的攻击 主动攻击常常以被动攻击获取的信息为基础 杜绝和防范主动攻击相当困难 对策：检测和修复 数据加密 加密技术 加密密钥：加密和解密过程中使用的一串数字 加密算法：作用于密钥和明文（或密文）的一个数学函数 密文：明文和密钥结合，经过加密算法运算的结果 在同一种加密算法下，密钥的位数越长，安全性越好 加密技术分类 秘密密钥加密技术（常规密钥加密技术、对称密钥加密技术） 公开密钥加密技术（非对称密钥加密技术） 秘密密钥加密技术 用户需保存的密钥数 秘密密钥加密技术的特点 算法简单、速度快，被加密的数据块长度可以很大 密钥在加密方和解密方之间传递和分发必须通过安全通道进行 公开密钥加密技术 用户需保存的密钥数 公开密钥加密技术的特点 算法复杂、速度慢，被加密的数据块长度不宜太大 公钥在加密方和解密方之间传递和分发不必通过安全通道进行 著名的加密算法 秘密密钥加密算法 数据加密标准（data encryption Standard，DES） 公开密钥加密算法 RSA（RSA是发明者Rivest、Shamir和 Adleman名字首字母的组合） 秘密密钥加密技术和公开密钥加密技术的结合 数字签名 1.数字签名的基本方法 计算需要签名信息的消息摘要 利用公开密钥加密算法和用户的私钥对消息摘要签名 2.为什么不对信息直接签名？ 公钥加密算法复杂、加密速度慢，不适合处理大数据块信息 消息摘要技术能将一个大数据块映射到一个小信息块 消息摘要 1.消息摘要是利用单向散列函数对要签名的数据进行运算生成 2.利用单向散列函数对数据块进行运算不是一种加密机制，它仅能提取数据块的某些关键信息 3.著名的消息摘要算法 MD5 SHA-1 单向散列函数的主要特性 能处理任意大小的信息，生成的消息摘要数据块长度总是具有固 定的大小。对同一个源数据反复执行该函数得到的消息摘要相同 生成的消息摘要是不可预见的，产生的消息摘要的大小与原始数 据信息块的大小没有任何联系。原始数据信息的一个微小变化都 会对新产生的消息摘要产生很大的影响 具有不可逆性，没有办法通过生成的消息摘要重新生成原始数据 信息 完整的数字签名过程 数据加密和数字签名的区别 1.数据加密的作用 保证信息的机密性 2.数字签名的作用 保证信息的完整性 保证信息的真实性 保证信息的不可否认性 保证网络安全的几种具体措施 包过滤 防火墙 SSL协议 包过滤 1.包过滤技术的作用：阻止某些主机随意访问另外一些主机 2.包过滤路由器：具有包过滤功能的路由器 3.包过滤技术主要检查的内容 数据包的源地址、目的地址 数据包的源端口、目的端口 数据包传递的服务内容等 防火墙 1.防火墙将网络分成内部网络和外部网络两部分 内部网络是安全的和可信赖的 外部网络是不太安全和不太可信的 2.主要功能：检查和检测所有进出内部网的信息流，防止未经授权的通信进出被保护的内部网络 应用层数据的安全控制和过滤 具有认证、日志、计费等功能 包过滤功能 3.防火墙实现技术复杂，对可靠性和处理效率要求很高 SSL SSL作为Web安全性解决方案1995年由Netscape公司提出 SSL已经作为事实上的标准被众多网络产品提供商采纳 实践：利用SSL实现安全数据传输 CA安全认