7网络安全教程详解.pptVIP

计算机专业核心课程 第7章 应用层 本章学习目标 了解网络面临的安全威胁。 了解常用的加密算法。 理解公开密钥密码体制的加/解密过程。 掌握数字签名和数据鉴别的基本原理。 了解防火墙和入侵检测技术。 了解目前的网络安全协议。 7.1网络安全概述 ◇由于计算机网络所具有的开放性、互连性等特征，致使网络容易受到各种攻击和破坏，无论是在局域网还是广域网中，都存在着自然的和人为的等诸多因素形成的潜在安全威胁，计算机网络的安全问题日趋严重 ◇当资源共享广泛用于政治、军事、经济以及科学等各个领域，网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护 ◇针对各种不同的安全威胁，必须全方位地加强计算机网络安全措施，以确保网络信息的保密性、完整性和有效性 网络的脆弱性和面临的安全威胁 网络的脆弱性 安全的模糊性 网络的开放性 产品的垄断性 技术的公开性 人类的天性 网络的安全威胁 无意产生的威胁 人为恶意攻击 网络系统漏洞和“后门” 网络安全体系结构 网络安全服务 定义了网络各层可以提供的安全功能 主要包括：数据保密性 、数据完整性 、鉴别 、访问控制 、无否认 网络安全机制 用于定义网络安全服务的实现方法 主要包括：数据加密 、数字签名 、访问控制 、数据完整性 、鉴别交换 、流量填充 、路由控制 、公证 网络安全管理 保证网络系统的可用性 目标分为：了解网络和用户的行为 、进行安全性评估 、确保安全管理政策的实施 7.2数据加密 7.2 数据加密 密码体制分类 根据密码算法所使用的加密密钥和解密密钥是否相同，可将密码体制分成对称密码体制和非对称密码体制 根据密码算法对明文信息的加密方式进行分类，密码体制可分为序列密码体制和分组密码体制 根据明文、密钥与密文间的确定关系，密码体制可分为确定型密码体制和概率密码体制 根据加密、解密过程是否可逆，密码体制分为单向函数密码体制和双向函数密码体制 7.2 数据加密 加密的基本方法 替代密码 基本思想是改变明文内容的表示形式，但内容元素之间的排列次序保持不变 恺撒密码 、同义替代密码 、密本式或辞典式密码 、插入式密码 、连锁替代密码 置换密码 基本思想是改变明文内容元素的排列次序，但保持内容的表现形式不变 7.2 数据加密 典型加密算法 数据加密标准 设计思想是： 硬件实现高效而软件实现效率低 DES属于分组密码体制它将数据分为 64比特的数据块进行加密得到等长的 密文。密钥长度也是64比特。 DES加解密钥相同，属于双向变换对称 密码体制。 过程如图 7.2 数据加密 典型加密算法 国际数据加密算法（IDEA） 加密过程为：将明文划分为64比特的数据分组，经过8次迭代和一次变换，输出64比特的密文 7.2 数据加密 RSA公开密钥密码体制 ◇公开密钥密码体制是一种非对称密码体制，其加密密钥与解密密钥不相同，而且由已知加密密钥推导出解密密钥在计算上是不可行的 ◇基本原理是：根据数论，寻求两个大素数比较简单，而将它们的乘积分解成两个质因子则是计算不可行的 ◇密钥产生过程 7.2 数据加密 基于哈希函数的加密机制 通常，单向哈希函数应具有如下特点： ◇哈希函数能够接受任意大小的数据块作为输入。 ◇哈希函数能够产生一个固定长度的输出。 ◇给定消息M，计算H (M )应当是很容易的，不论硬件或软件实现都要比加密的代价小。 ◇对于任何给定的代码m，要求找出x 使得H (x)=m 是计算上不可行的。 ◇对于任何给定的数据块x，要求找出y 使得y≠x 但H (y)=H (x)是计算上不可行的。 ◇找出任何一对(x,y)使得H (x)=H (y)是计算上不可行的。 常用的单向哈希算法有MD5 和SHA1。 数字签名技术 ◇签名的目的 使报文的接收方能够对公正的第三者证明其报文内容是真实的，而且是由指定的发送方发出的，发送方事后不能根据自己的利益来否认报文的内容，接收方也不能根据自己的利益来伪造报文的内容 ◇通常，数字签名利用数据加密机制来实现 利用公开密钥算法实现数字签名如图 具有保密性的数字签名 利用公开密钥算法实现数字签名 具有保密性的数字签名 RSA签名和RSA加密的异同点 数据鉴别 数据鉴别是指在计算机网络中，通信双方对所接收到的数据信息进行验证，以保证数据信息的真实性的过程。 ◇数据内容的鉴别 报文鉴别码 单向散列函数 ◇数据源的鉴别 共享数据加密密钥 通信字 网络地址 ◇数据顺序的鉴别 用于保证接收方所接收的报文顺序同发送方发出的顺序是一致的 7.3访问控制 ◇访问控制是一种保护资源的合法使用者能够正确访问资源，同时杜绝非授权用户对资源的非法访问和破坏。 ◇访问控制实质上是对资源