第七章 ch10网络安全1.pptVIP

用 PGP 进行加密 A 的私钥 X 散列 H 加密 摘要 报文鉴别码 MAC ? X 一次性密钥 加密 B 的公钥 ? 加密 A 邮件 发送 A有三个密钥： 自己的私钥、B的公钥 和自己生成的一次性密钥。 B有两个密钥： 自己的私钥和A的公钥。 用 PGP 进行解密 A 的公钥 散列 X 一次性密钥 B 的私钥 加密的邮件 及其摘要 解密 加密的密钥 解密 解密 H 摘要 H 摘要 比较 接收 MAC 8.7 系统安全：防火墙与入侵检测8.7.1 防火墙 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。 接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。 防火墙内的网络称为“可信的网络”(trusted network)，而将外部的因特网称为“不可信的网络”(untrusted network)。 防火墙可用来解决内联网和外联网的安全问题。 防火墙(firewall) 示意图 防火墙是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。 接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。 防火墙内的网络称为“可信赖的网络”(trusted network)，而外部的因特网则称为“不可信赖的网络”(untrusted network)。 防火墙可用来解决内联网和外联网的安全问题。 防火墙在互连网络中的位置 内联网 可信的网络 不可信的网络 分组过滤 路由器 分组过滤 路由器 应用网关 外局域网 内局域网 防火墙 G 因特网 防火墙的里面 防火墙的外面 防火墙的功能 防火墙的功能有两个：阻止和允许。 “阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络或反过来）。 “允许”的功能与“阻止”恰好相反。 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。 防火墙技术一般分为两类 (1) 网络级防火墙——用来防止整个网络出现外来非法的入侵。有 分组过滤：检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据。 授权服务器：则是检查用户的登录是否合法。 (2) 应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。 包过滤 包过滤技术的作用：阻止某些主机随意访问另外一些主机 2.包过滤路由器：具有包过滤功能的路由器 3.包过滤技术主要检查的内容 数据包的源地址、目的地址 数据包的源端口、目的端口 数据包传递的服务内容等 8.7.2 入侵检测系统 入侵检测系统 IDS (Intrusion Detection System)能够在入侵开始时，但还没有造成危害或在造成更大危害前，及时检测到入侵，以尽快阻止入侵，把危害降低到最小。 基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。 基于特征的IDS只能检测已知攻击，对于未知攻击则束手无策。 保证网络安全的几种具体措施 包过滤 防火墙 SSL协议 8.4.1 报文鉴别(message authentication) 在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用报文鉴别。 报文鉴别使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。 使用加密就可达到报文鉴别的目的。但在网络的应用中，许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。 报文摘要 MD (Message Digest) 发送方将报文 m 经过报文摘要算法运算后得出固定长度的报文摘要 H(m)。然后对 H(m) 进行加密，得出EK(H(m))，并将其追加在报文 m 后面发送出去。 接收方将 EK(H(m)) 解密还原为 H(m)，再将收到的报文进行报文摘要运算，看得出的是否为此 H(m)。 如不一样，则可断定收到的报文不是发送方产生的。 报文摘要的优点就是：仅对短得多的定长报文摘要 H(m)进行加密比对整个长报文 m 进行加密要简单得多。 M 和 EK(H(m)) 合在一起是不可伪造的，是可检验的和不可抵赖的。 i）发送方使用单向散列函数对要发送的信息运算，生成消息摘要MD； ii）发送方式用自己的私钥，利用公开密钥加密算法对生成的消息摘要进行数字签名DS； iii）发送方通过网络将信息本身和已进行数字签名的消息摘要发送给接收方； iv）接收方使用与发送方相同的单向散列函数对收到的信息本身进行操作，重新生成消息摘要MD； v）接收方使用发送方的公钥，利用公开密钥加密算法解密接收的消息摘要MD； vi）通过解密