网络安全与防火墙技术2 网络安全技术.ppt

2 网络安全技术? 2.1 安全技术概述? 计算机网络的安全主要涉及传输的数据和存储的数据的安全问题。它包含两个主要内容：一是保密性，即防止非法地获悉数据；二是完整性，即防止非法地编辑数据。解决这个问题的基础是现代密码学。 对传输中的数据，即网络通信的安全，通常有两种攻击形式，如图2.1所示。 图2.1 网络通信安全的威胁 对于存储的数据，在保密性方面主要有3种安全威胁形式，如图2.2所示。 图2.2 网络存储安全的威胁 为了保障计算机网络中传输与存储的数据的安全，通常采用5种不同的控制方法，即密码控制、访问控制、漏洞扫描、入侵监测和防火墙等，此外，还包括备份与数据恢复等手段。? 2.2 密码技术 2.2.1 传统加密算法 在传统的加密算法中，加密密钥与解密密钥是相同的或者可以由其中一个推知另一个，称为对称密钥算法。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用 该密钥解密信息。 传统的加密方法，其密钥是由简单的字符串组成的，它可以选择许多加密形式中的一种。只要有必要，可以经常改变密钥。因此，这种基本加密模型是稳定的，它的优点就在于可以秘密而又方便地变换密钥，从而达到保密的目的，传统的加密方法可以分为两大类：替代密码和换位密码。 替代密码是用一组密文字母代替一组明文字母，但保持明文字母的位置不变。在替代法加密体制中，使用了密钥字母表。它可以由一个明文字母表构成，也可以由多 个明文字母表构成。由一个字母表构成的替代密码，称为单表密码，其替代过程就是在明文和密码字符之间进行一对一的映射。如果是由多个字母表构成的替代密码，称为多表密码，其替代过程与前者不同之处在于明文的同一字符可在密码文中表现为多种字符。因此，在明码文与密码文的字符之间的映射是一对多的。例如： 明文：can you believe her? 密钥： 密文：3 4 2 1 8 7 6 5 9 10 11 12 20 19 18 17? 换位密码根据一定的规则重新安排明文字母，使之成为密文。换位密码是采用移位法进行加密的。它把明文中的字母重新排列，字母不变，但位置变了。换位密码是靠重新安排字母的次序，而不是隐藏它们。 最简单的例子是：把明文中的字母的顺序倒过来写，然后以固定长度的字母组发送或记录，例如： 明文：computer systems? 密文：smetsys retupmoc? 又如：? 明文：can you believe her? 密钥： 密文：yevrnbeecoleauih? 2.2.2 私钥密码体制? DES是对称加密算法中最具代表性的一种，又称为单钥密码、对称密码或私钥密码。 DES是一种典型的按分组方式工作的密码，是两种基本的加密组块替代和换位的细致而复杂的结构。它通过反复依次应用这两项技术来提高其强度，经过总共16轮的替代和换位的变换后，使得密码分析者无法获得该算法一般特性以外更多的信息。DES可以对任意长度的数据加密，实际可用密钥长度56位，加密时首先将数据分为64位的数据块，采用ECB(Electronic Code Book)，CBC(Cipher Block Chaining)，CFB(Cipher FeedBcak)等模式之一，每次将输入的64位明文变换为64位密文。最终，将所有输出数据块合并，实现数据加密。 DES密码系统的原理框架图如图2.3所示。 ? ? 图2.3 私钥密码系统的原理框架图 2.2.3 公钥密码体制? 公开密钥密码体制最主要的特点就是加密和解密使用不同的密钥，每个用户保存着一对密钥——公开密钥PK和秘密密钥SK，因此，这种体制又称为双钥或非对称密钥 密码体制。公钥算法的重要特性是：已知密码算法和加密密钥，求解密钥在计算上是不可行的。 如图2.4所示，在公钥加密算法下，加密密钥与解密密钥是不同的，公钥是公开的，不需要安全信道来传送密钥，任何人可以用公钥加密信息，再将密文发送给私钥拥有者；私钥是保密的，只需利用本地密钥发生器产生解密密钥即可。 图2.4 公钥密码系统的原理框架图 密码技术是保护信息安全的主要手段之一。密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的综合学科。它不仅具有信息加密功能，而且具有数字签名、身份验证、秘密分存、系统安全等功能。使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和正确性，防止信息被篡改、伪造或假冒。 2.2.4 密钥分配 密钥分配是密钥管理中最大的问题，密钥必须通过最安全的通路进行分配。例如，可以通过非常可靠的信使携带密钥分配给相互通信的各用户，这种方法称为网络外分配方式。如果网络中通信的用户很多且密钥更换