第7章节_网络安全.pptVIP

第7章 网络安全 本章重点与学习目标 掌握计算机密码的基本原理 ； 了解数字证书的原理与应用； 了解身份认证与访问控制的基本原理； 了解常见的网络攻击方法及防范措施； 了解防火墙的基本原理。 7.1 案例需求 鲁中学院的师生要为校园网开发一个Web信息系统，对系统的安全性要求较高： l只有注册用户利用用户名和口令才能访问系统； l规定系统资源的访问权限按用户在学校里扮演的角色分配； l即使系统管理员打开系统数据库也不能看懂一些关键数据，比如密码、敏感信息等； l对一些重要的数据和文件要保证其不被篡改，若发生改动能检验出来； l用户访问系统后要留下证据，以备过后审核。 7.2 网络安全概述 7.2.1 网络安全的基本概念 1.身份认证服务 身份认证(Authentication)确保会话对方的资源(人或计算机)同他声称的相一致。 2.数据保密服务 数据保密(Privacy)确保敏感信息不被非法者获取。 3.数据完整性服务 数据完整性(Integrity)确保接收到的信息同发送的一致。 7.2.2 网络安全的威胁 主要的威胁种类有： 1．假冒 2．窃听 3．破坏完整性 4．抵赖 5．资源的非授权使用 6．重放 7．流量分析 8．拒绝服务 9．木马与病毒 10．诽谤 7.2.3 网络安全的意义 网络安全与个人密切相关。 网络安全不但与个人密切相关，而且已经渗透到国家的政治、经济、军事等领域。 另外，因特网上的虚假信息与有害信息对社会秩序造成的危害，要比现实社会中的一个谣言大得多。 网络安全是双刃剑。 安全性高，固然可以保证国家和民众的财产和正常生活，可是犯罪分子也可以用它来危害社会。 有报告称，现在的恐怖分子都使用加密的电子邮件互相联络，从而难以发现他们的行踪。 7.3 计算机密码7.3.1 计算机密码的基本原理 1．计算机密码的基本概念 加密前的数据称为明文（plaintext）或消息（message），用P或M表示，加密过程为： EK1（P）= C （ C 是密文） 解密过程为： DK2（C）= P 2．计算机密码的基本原则 计算机密码学中有一条基本原则：密码的安全性基于密钥的保密性，而不是基于密码算法的保密性。 3．计算机密码的破译 蛮力攻击（brute attack）。 抵抗蛮力攻击很简单，使密钥较长即可，这时，蛮力攻击将需要天文数字般的计算量。 7.3.2 对称密钥密码 在早期的计算机密码中，加密密钥与解密密钥是相同的，这叫做对称密钥密码（symmetric key cipher）或传统密码。 在1976年，美国的W. Diffie和M. Hellman发明了一种新的计算机密码，它的加密密钥与解密密钥是不同的（非对称）。 这种非对称密钥密码的加密密钥能够公开，所以叫做公开密钥密码（public key cipher），简称公钥密码。 对称密钥密码（又称为秘密密钥密码），公钥密码（又称为非对称密码）。 对称密钥密码的关键是密钥，密钥的长度可以是64位、128位、256位等。128位长度的密钥足以抵御蛮力攻击了。 对称密钥密码又分为两种：分组密码（block cipher）和序列密码（stream cipher），序列密码也叫做流密码。 1．分组密码 分组密码将明文划分成固定长度的分组，各分组分别在密钥的控制下变换成等长度的密文分组；解密时，各密文分组在密钥控制下再变换成明文分组。 目前常用的分组密码算法有DES、AES、IDEA等几种。 2．序列密码 序列密码将明文划分成字节或单个的二进制位，密钥送入密钥流生成器，生成与明文等长的密钥流，然后明文与密钥流作用（通常为异或）以加密。 解密时，再用同样的密钥流与密文异或，就能得到明文。 7.3.3 公开密钥密码 公钥密码：加密密钥不同于解密密钥，而且加密密钥能够公开，解密密钥则必须保密，这样任何人都能用加密密钥加密数据，但只有用相应的解密密钥才能解密数据。 加密密钥叫做公开密钥（public key），简称公钥；解密密钥叫做私人密钥（private key），简称私钥，公钥与私钥统称为密钥对。 1．RSA密码算法 RSA是目前使用最广泛的公钥密码算法，它的安全性基于大数分解的困难性：求一对大素数的乘积很容易，但要对这个乘积进行因子分解则非常困难。 2．密钥分配 对称密钥密码的一个难题是如何进行密钥分配。 例如张三要与李四通信，通过网络直接传输密钥显然是不安全的。 公钥密码解决了这个难题，公钥可以通过网络随意分发，任何人都可以用公钥加密数据，而只有拥有私钥的人才能解密数据。 张三选择一个对称密钥K，用李四的公钥加密后发送给李四，李四用自己的私钥解密就得到了K，此后张三与李四就可以用K安全地通信了。 K使用完后丢弃，下次通信时再