(精选)网络安全与防火墙技术2 网络安全技术课件.pptVIP

图2.10 基于主机的入侵检测过程 2)基于网络的入侵检测系统? 基于网络的入侵检测系统的输入数据来源于网络的信息流，该类系统一般被动地在网络上监听整个网络段上的信息流，通过捕获网络数据包进行分析，能够检测该网段上发生的入侵行为，如图2.11所示。 图2.11 基于网络的入侵检测过程 2 网络安全技术? 2.1 安全技术概述? 计算机网络的安全主要涉及传输的数据和存储的数据的安全问题。它包含两个主要内容：一是保密性，即防止非法地获悉数据；二是完整性，即防止非法地编辑数据。解决这个问题的基础是现代密码学。 对传输中的数据，即网络通信的安全，通常有两种攻击形式，如图2.1所示。 图2.1 网络通信安全的威胁 对于存储的数据，在保密性方面主要有3种安全威胁形式，如图2.2所示。 图2.2 网络存储安全的威胁 为了保障计算机网络中传输与存储的数据的安全，通常采用5种不同的控制方法，即密码控制、访问控制、漏洞扫描、入侵监测和防火墙等，此外，还包括备份与数据恢复等手段。? 2.2 密码技术 2.2.1 传统加密算法 在传统的加密算法中，加密密钥与解密密钥是相同的或者可以由其中一个推知另一个，称为对称密钥算法。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用 密文：3 4 2 1 8 7 6 5 9 10 11 12 20 19 18 17? 换位密码根据一定的规则重新安排明文字母，使之成为密文。换位密码是采用移位法进行加密的。它把明文中的字母重新排列，字母不变，但位置变了。换位密码是靠重新安排字母的次序，而不是隐藏它们。 最简单的例子是：把明文中的字母的顺序倒过来写，然后以固定长度的字母组发送或记录，例如： 明文：computer systems? 密文：smetsys retupmoc? 又如：? 明文：can you believe her? 密钥： 密文：yevrnbeecoleauih? 2.2.2 私钥密码体制? DES是对称加密算法中最具代表性的一种，又称为单钥密码、对称密码或私钥密码。 DES是一种典型的按分组方式工作的密码，是两种基本的加密组块替代和换位的细致而复杂的结构。它通过反复依次应用这两项技术来提高其强度，经过总共16轮的替代和换位的变换后，使得密码分析者无法获得该算法一般特性以外更多的信息。DES可以对任意长度的数据加密，实际可用密钥长度56位，加密时首先将数据分为64位的数据块，采用ECB(Electronic Code Book)，CBC(Cipher Block Chaining)，CFB(Cipher FeedBcak)等模式之一，每次将输入的64位明文变换为64位密文。最终，将所有输出数据块合并，实现数据加密。 DES密码系统的原理框架图如图2.3所示。 ? ? 图2.3 私钥密码系统的原理框架图 2.2.3 公钥密码体制? 公开密钥密码体制最主要的特点就是加密和解密使用不同的密钥，每个用户保存着一对密钥——公开密钥PK和秘密密钥SK，因此，这种体制又称为双钥或非对称密钥 密码体制。公钥算法的重要特性是：已知密码算法和加密密钥，求解密钥在计算上是不可行的。 如图2.4所示，在公钥加密算法下，加密密钥与解密密钥是不同的，公钥是公开的，不需要安全信道来传送密钥，任何人可以用公钥加密信息，再将密文发送给私钥拥有者；私钥是保密的，只需利用本地密钥发生器产生解密密钥即可。 图2.4 公钥密码系统的原理框架图 密码技术是保护信息安全的主要手段之一。密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的综合学科。它不仅具有信息加密功能，而且具有数字签名、身份验证、秘密分存、系统安全等功能。使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和正确性，防止信息被篡改、伪造或假冒。 2.2.4 密钥分配 密钥分配是密钥管理中最大的问题，密钥必须通过最安全的通路进行分配。例如，可以通过非常可靠的信使携带密钥分配给相互通信的各用户，这种方法称为网络外分配方式。如果网络中通信的用户很多且密钥更换很频繁，则要求采用网络通信进行网络内分配方式，即对密钥自动分配。 目前，密钥分配公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。每个用户只保存自己的秘密密钥SK和KDC的公开密钥PK。用户可以通过KDC获得任何其他 用户的公开密钥或者某一次通信采用的对称密钥加密算法的临时密钥。 在公开密钥体制中，为使各用户有更加安全的通信，必须有一个机构把用户的公开密钥与用户的实体(人或计算机)绑定联系起来，这样才能防止有人用自己的秘密密钥签名报文伪造