2015内蒙古职校数据通信与计算机网络技术课件：第10章 网络安全02.pptVIP

10.3 数据完整性验证与数字签名 Hash函数一般用于为信息产生验证值，此外它也被用于用户密码存储。为避免密码被盗用，许多操作系统（如Windows NT、Unix）都只存储用户密码的Hash值，当用户登录时，则计算其输入密码的Hash值，并与系统储存的值进行比对，如果结果相同，就允许用户登录。 10.3.2 数据完整性验证 完整性验证可见于许多软、硬件应用中。例如传统的磁盘用校验和或循环冗余校验（CRC）等技巧产生分区数据的验证值，在低层网络协议中也可见到类似技术的应用，以检测所传送的数据是否受到了噪音的干扰。 10.3.3 数字签名 10.4 网上身份认证常识 1. 密码认证 密码认证（Password Based）方式普遍存在于各种操作系统中，例如在登录系统或使用系统资源前，用户需先出示其用户名与密码，以通过系统的认证。 密码认证的一般方式是，用户将自己的秘密告诉对方，后者在核对无误后，便承认前者的身份。 2. 加密认证 加密认证（Cryptographic）可弥补密码认证的不足之处。在这种认证方式中，双方使用请求与响应（Challenge Response）技巧来识别对方。 下面来具体来介绍两种认证的方式： 1.利用秘密钥匙的认证方式。 2.利用公用钥匙的认证方式。 10.4.2 发证机关 10.6 防火墙技术 10.6.2 防火墙的三种类型 网络级防火墙也称包过滤防火墙，通常由一部路由器或一部充当路由器的计算机组成。Internet/Intranet上的所有信息都是以IP数据包的形式传输的，两个网络之间的数据传送都要经过防火墙。包过滤路由器对所接收的每个数据包进行审查，以便确定其是否与某一条包过滤规则匹配。 2. 应用级防火墙 应用级防火墙通常指运行代理（Proxy）服务器软件的一部计算机主机。采用应用级防火墙时，Intranet与Internet间是通过代理服务器连接的，二者不存在直接的物理连接,代理服务器的工作就是把一个独立的报文拷贝从一个网络传输到另一个网络。 3. 电路级防火墙 电路级防火墙也称电路层网关，是一个具有特殊功能的防火墙，它可以由应用层网关来完成.它就像电线一样，只是在内部连接和外部连接之间来回拷贝字节。但是由于连接要穿过防火墙，其隐藏了受保护网络的有关信息。 10.6.3 防火墙的结构 2. 屏蔽主机网关 屏蔽主机网关易于实现也很安全，因此应用广泛。它有单宿堡垒主机和双宿堡垒主机两种类型。 3．屏蔽子网 这种方法是在内部网络与外部网络之间建立一个起隔离作用的子网。 * * 10.3.1 Hash函数 Hash函数又名信息摘要（message digest）函数，可将一任意长度的信息浓缩为较短的固定长度的数据。其特点是： 1.浓缩结果与源信息密切相关，源信息每一微小变化，都会使浓缩结果发生变化。 2. Hash函数所生成的映射关系是多对一关系。因此无法由浓缩结果推算出源信息。 3.运算效率较高。 Hash函数另一著名的应用是与公用钥匙加密法联合使用，以产生数字签名。 完整性（integrity）验证用于确认数据经长途劳顿、长期保存后是否仍然保持原样，不曾改变。 验证数据完整性的一般方法用Hash函数对原数据进行处理，产生一组长度固定（例如32比特）的摘要值。需要验证时，便重新计算摘要值，再与原验证值进行比对，以判别数据是否发生了变化。 传统的完整性验证方式虽然可检测物理信号的衰退或被噪音改变的情况，但无法抵御人为的窜改。 防止这种情形发生的技术之一就是将验证值加密后再行传送或存储。 利用钥匙加密验证值可防止信息遭篡改。进一步地，采用公用钥匙算法中的私有钥匙加密验证值，则除了可防止信息遭篡改外，该加密值也同时是数字签名。 如下页图所示为甲和乙之间进行数字签名的生成和确认流程。 从图中可看出，数字签名的功能有三：可证明信件的来源；可判定信件内容是否被篡改；发信者无法否认曾经发过信。 数字签名的生成和 确认流程示意图 认证即“验明正身”，用于确认某人或某物的身份。 在网络上，需要确认身份者，大致可分为人类用户和物理设备两类。本书只介绍与人类用户身份认证有关的基本知识。 10.4.1 认证类型 传统的认证，凭据一般是名称和一组秘密字符组合。前者称为标识（ID），后者称为密码（password）。进行认证时，被认证者需要提供标识（一般为用户