flash第十讲.ppt

第十讲 网络安全 主讲人：阚宝朋 计算机科学与工程系 内 容 提 要 一、网络安全概述 二、保证网络安全的几种具体措施 三、安全协议 一、网络安全概述 网络安全的基本要素：保密性、完整性、可用性、可审查性 保密性：使系统只对被授权的使用者提供信息。 完整性：使系统只允许授权的用户修改信息。 可用性：使系统可以及时向所有用户提供各自应得到的信息资源服务 可审查性：使系统内所发生的与安全有关的动作均有详细记录可查。 网络攻击 — 被动与主动攻击 1.被动攻击 进行网络监听，截取重要敏感信息:窃取用户帐号和口令、窃听网络传输数据 被动攻击常常是主动攻击的前奏 被动攻击很难被发现 对策：加密传输的信息流 2.主动攻击 利用网络本身的缺陷对网络实施的攻击:冒充合法用户、非法入侵、非授权访问 主动攻击常常以被动攻击获取的信息为基础 杜绝和防范主动攻击相当困难 对策：检测和修复 94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。 网络攻击—对信息流的威胁 安全攻击：某种安全威胁的其体实现.当消息从信源向信宿流动时，可能受到各种类型的攻击。 中断：威胁源使系统的资源受损或不能使用，从而导致服务停止。 窃取：未经允许获取对资源的访问，从而盗取有效的数据或服务。 更改：一个未经允许的用户非法的成功的改动某项资源。并进一步篡改提供的数据服务。 伪造：某个威胁源未经许可，但成功的在系统中制造出了假源，从而产生了虚假的数据或服务。 网络安全的目标 数据保密性、数据完整性、资源可用性、身份认证、 防抵赖性 数据保密性：数据只能为合法用户所使用，让非法用户无法接触或读懂数据。 实现方法：授权和访问控制、数据加密技术。 数据完整性：完整性指维护信息的一致性，防止非法用户对系统数据的篡改。 实现方法：采用数据加密及校验和技术。 资源可用性：保证合法用户在任何时候都能使用、访问资源，阻止非法用户使用系统资源。 实现方法：访问控制、防火墙、入侵检测等。 身份认证：保证通信对方的身份是真实的。 实现方法：帐号-口令，电子证书等。 防抵赖性：参与网络通讯过程的各方（用户、实体或者进程）无法否认其过去参与的活动； 实现方法：数字签名等。 数据加密 加密技术 加密密钥：加密和解密过程中使用的一串数字 加密算法：作用于密钥和明文（或密文）的一个数学函数 密文：明文和密钥结合，经过加密算法运算的结果 在同一种加密算法下，密钥的位数越长，安全性越好 加密技术分类 秘密密钥加密技术（对称密钥加密技术） 公开密钥加密技术（非对称密钥加密技术） 秘密密钥加密技术 公开密钥加密技术 秘密密钥加密技术和公开密钥加密技术的结合 著名的加密算法 秘密密钥加密算法 数据加密标准（data encryption Standard，DES） 解密和签名 公开密钥加密算法 RSA（RSA是发明者Rivest、Shamir和 Adleman名字首字母的组合） 加密和验证签名 数字签名 1.数字签名的基本方法 计算需要签名信息的消息摘要 利用公开密钥加密算法和用户的私钥对消息摘要签名 2.为什么不对信息直接签名？ 公钥加密算法复杂、加密速度慢，不适合处理大数据块信息 消息摘要技术能将一个大数据块映射到一个小信息块 消息摘要 1.消息摘要是利用单向散列函数对要签名的数据进行运算生成 2.利用单向散列函数对数据块进行运算不是一种加密机制，它仅能提取数据块的某些关键信息 3.著名的消息摘要算法 MD5 SHA-1 完整的数字签名过程 数据加密和数字签名的区别 1.数据加密的作用 保证信息的机密性 2.数字签名的作用 保证信息的完整性 保证信息的真实性 保证信息的不可否认性 CA安全认证中心 CA是公开密钥的管理机构 CA通过签发证书来分发公钥 证书包含了证书拥有者的基本信息和公钥，并经 过CA中心数字签名 获取了一个用户的证书，就得到了该用户的公钥。可以 利用该公钥给这个用户发送加密信息 二、保证网络安全的几种具体措施 包过滤 防火墙 SSL协议 包过滤 1.包过滤技术的作用：阻止某些主机随意访问另外一些主机 2.包过滤路由器：具有包过滤功能的路由器 3.包过滤技术主要检查的内容 数据包的源地址、目的地址 数据包的源端口、目的端口 数据包传递的服务内容等 防火墙 1.防火墙将网络分成内部网络和外部网络两部分 内部网络是安全的和可信赖的 外部网络是不太安全和不太可信的 2.主要功能：检查和检测所有进出内部网的信息流，防止未经授权的通信进出被保护的内部网络 应用层数据的安全控制和过滤 具有认证、日志、计费