网络信息安全的关键技术.ppt

网络信息安全的关键技术 网络信息安全的关键技术 网络信息安全的关键技术 网络信息安全的关键技术 网络信息安全的关键技术 网络信息安全的关键技术 网络信息安全的关键技术 电子商务系统的安全 电子商务主要的安全要素 可靠性； 完整性； 保密性； 确定性； 不可否认性； 合法性。 防火墙示意图 防火墙的概念（1） 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙 。 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。 防火墙的概念（2） 具有下列性质： 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通 防火墙概念（3） 防火墙的实质是一对矛盾（或称机制)： 限制数据流通 允许数据流通 两种极端的表现形式： 除了允许的都被禁止，安全但不好用。（限制政策） 除了禁止的都被允许，好用但不安全。（宽松政策） 多数防火墙都在两种之间采取折衷。 在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到统一的安全标准 基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降 如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统。 防火墙的局限性 防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击 ，如内部提供拨号服务。 防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递。 防火墙不能防止数据驱动式攻击。如特洛伊木马。 加密技术 数据加密从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。 在网络应用中一般采取两种加密形式：对称密钥和公开密钥。 对称式加密算法 对称加密的算法与体制是加密和解密双方共用一个公共的密钥，加密方使用这个密钥对数据进行加密，而解密方只有用这个密钥才能使数据还原。 典型代表是： 数据加密标准----DES 对称加密算法的优劣 优点：加密、解密速度非常快。 缺点： 要求提供一个安全的渠道使交易双方在首次通信时能够协商一个共同的密钥。 密钥难以管理。 不能提供信息完整性的鉴别，无法验证发送者和接受者的身份。 对称密钥的管理和分发工作是一项具有潜在危险和烦琐的过程。 在Internet中使用更多的是公钥系统。即公开密钥加密，它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后，将其中一个作为公钥公开，另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法。 公开密钥技术 亦称非对称加密算法，是由斯坦福大学三人研究发明的，自1977年进入市场以来，成为目前应用最普遍的一种加密算法(RSA)。 重要特点：加密和解密使用不同的密钥，每个用户保存着两个密钥：一个公开密钥，简称公钥，一个私人密钥，简称私钥。 非对称加密算法 数字信封 “数字信封”技术结合了对称加密和非对称加密的优点，使用两个层次的加密来获得非对称加密的灵活性和对称加密的高效性。 数字签名的原理 原理为： 被发送的文件用HASH编码加密产生一定长度的数字摘要； 发送方用自己的私钥对摘要再加密，这就形成了数字签名； 将原文和加密的摘要同时传送给对方； 数字签名 对方用发送方的公钥对摘要进行解密，同时对收到的文件用HASH编码加密产生另外一个摘要； 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没被破坏或纂改过，否则就有伪劣假冒的嫌疑。 数字时间戳 数字时间戳技术就是对电子文件签署的日期和时间进行的安全性保护和有效证明的技术。它是由专门的认证机构来加的，并以认证机构收到文件的时间为依据。 双重签名 网上购物过程中，客户需要发送定购信息OI给商户，发送支付信息PI给银行。这两条信息是相关联的。用DS连接这两条消息的摘要（PIMD和OIMD），并安全地将连接后的消息分别传送到不同的接收方 双重签名 DS=EKRc[H(H(PI)‖H(OI))] 式中KRC为客户私有签名密钥 商户接收客户发来的OI、PIMD=H(PI)、DS后，利用从客户证书中获得的客户公钥KUC，计算如下两项结果，若相等则客户签名正确 H(PIMD‖H(OI)) DKUc[DS] 银行接收客户发来的DS、PI、OIMD=H(OI)和客户公钥KUC，若如下运算所得的两个数值相等，则银行确认了客户的签名 H(H(PI‖O