计算机网络技术PPT教学课件-第9章 网络安全与网络管理技术.ppt

第九章 网络安全与网络管理技术 本章内容 网络安全的基本概念 信息安全技术 防火墙技术 网络病毒 网络管理技术 9.1 网络安全的基本概念 本质上讲 保护——网络系统的硬件、软件、数据 防止——系统和数据遭受破坏、更改、泄露 保证——系统连续可靠正常地运行，网络服务不中断。 广义上讲 涉及到网络信息的保密性、完整性、可用性、真实性、可控性的相关技术和理论。 主要解决数据保密和认证的问题 数据保密就是采取复杂多样的措施对数据加以保护，以防止数据被有意或无意地泄露给无关人员。 认证分为信息认证和用户认证两个方面 信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造， 用户认证是指用户双方都能证实对方是这次通信的合法用户。通常在一个完备的保密系统中既要求信息认证，也要求用户认证。 网络安全研究的主要问题 网络防攻击技术 网络安全漏洞与对策研究 网络中的信息安全问题（存储、传输） 防抵赖问题 网络内部安全防范 网络防病毒 无用信息邮件与灰色软件 网络数据备份恢复与灾难恢复 网络安全标准 可信计算机系统评估准则TC-SEC-NCSC 分为4类7个等级 D（最低） C1 C2 B1 B2 B3 A1（最高） 9.2 加密与认证技术 信息加密原理 信息加密的目的是确保通信双方相互交换的数据是保密的，即使这些数据在半路上被第三方截获，也会出于不知道密码而无法了解该信息的真实含义。把未加密的原始信息称为明文，经过以密匙为参数的函数加以转换后，得到的结果叫密文。 数据加密 网络入侵 网络入侵者分为消极入侵者和积极入侵者两种 消极入侵者只是窃听而已，并不对数据造成破坏； 积极入侵者会截获密文，篡改数据甚至伪造假数据送入网中。 密码分析和密码学 破译密码的技术叫做密码分析 设计密码和破译密码的技术统称为密码学 基本加密模型 密码学的一条基本原则是：必须假定破译者知道通用的加密方法，也就是说加密算法E是公开的。 基本加密模型：加密算法是公开的和相对稳定的，而作为参数的密钥是保密的，并且是易于更换的。 传统加密技术 密码学的历史非常悠久，传统的加密方法可以分成两类： 替代密码 换位密码 替代密码 定义：替代密码就用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母的位置不变。 换位密码 换位有时也称为排列，它不对明文字母进行变换，只是将明文字母的次序进行重新排列。 对称密码体系 典型的对称加密算法是数据加密标准DES 密钥分发问题 秘密密钥的一个弱点是解密密钥必须和加密密钥相同，这就产生了如何安全地分发密钥的问题。 传统上是由一个中心密钥生成设备产生一个相同的密钥对，并由人工信使将其传送到各自的目的地。 对于一个拥有许多部门的组织来说，这种分发方式是不能令人满意的，尤其是出于安全方面的考虑需要经常更换密钥时更是如此。 非对称加密是使用不同的加密密钥与解密密钥，也称公开密钥密码体制。是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。加密密钥(即公开密钥)是公开的，而解密密钥(即秘密密钥)是需要保密的，加密算法和解密算法也都是公开的。虽然秘密密钥是由公开密钥决定的，但却不能根据公开密钥计算出秘密密钥。 在这种算法中，每个用户都使用两个密钥：加密密钥是供其他人向他发送报文用的，这是公开的；解密密钥是用于对收到的密文进行解密的，这是保密的。 通常用公开密钥和私人密钥分别称呼公开密钥算法中的加密密钥和解密密钥，以同传统密码学中的秘密密钥相区分。 由于私人密钥只由用户自己掌握，不需要分发给别人，也就不用担心在传输的过程中或被其他用户泄密，因而是极其安全的。 主要的公钥算法：RSA、DSA、PKCS、PGP 数字签名技术 数字签名的基本原理 数字前名将信息发送人的身份与信息传送结合起来，可以保证信息在传输过程中的完整性，并提供信息发送者的身份认证，以防止信息发送者抵赖行为的发生。数字签名必须保证： 接收方通过文件中的签名能认证发送方的身份； 发送方以后不能否认发送过签名文件； 接收方不可能伪造文件内容。 数字签名的工作原理 数字签名具体工作过程 发送方式用单向散列函数对要发送的信息进行运算，生成信息摘要； 发送方式用自己的私钥，利用非对称加密算法，对生成的信息摘要进行数字签名； 发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接收方； 接收方使用与发送方相同的单向散列函数，对收到的信息进行运算，重新生成信息摘要； 接收方使用发送方的公钥对接收的信息摘要解密； 将解密的信息摘要与重新生成的信息摘要进行比较，以判断信息在发送过程中是否被篡改过。 加密技术应用案例 防火墙（Firewa