东华大学计算机科学与技术学院计算机系统与网络技术课件 第二十九讲.ppt

第6章 网络管理与网络安全 （二） 网络安全技术 加密与认证技术 防火墙技术 入侵检测技术 VPN技术 网络病毒 加密与认证技术 早期加密 明文报文： RETURN TO BASE 加密报文： UHWXUQ WR EDVH 凯撒密码 每个字符都被它的后三个字母所替换，这里后三个字符就是密码学中的密钥（Secret Key） 对称密钥算法 加密和解密的算法是相同的 强度依赖于加密密钥的安全性，而不依赖于加密算法的保密 可以使用密钥空间穷举法进行破解 代表算法：DES，速度快 公开密钥算法 加密和解密使用不同的密钥 公开密钥（Public Key），对外发布，网络服务器注册 秘密密钥（Secret Key） ，用户保存 代表算法：RSA算法，速度慢 应用方式 如果某用户想与另一用户进行保密通信，只需从公钥簿上查出对方的加密密钥，用它对所传送的信息加密发出即可。 对方收到信息后，用仅为自己所知的解密密钥将信息解密，了解报文的内容。 加密应用 RSA算法和DES结合使用 DES用于明文加密 RSA用于DES密钥的加密 DES加密速度快，适合加密较长的报文；而RSA可解决DES密钥分配的问题 公钥加密服务 - 保密性 发送方使用公钥加密 接受方式用私钥解密 无法保证完整性 报文摘要技术 完整性要求 信息在传输过程中未被非授权用户篡改，信息在传输过程中完整无缺 使用加密算法，代价太高 报文摘要 使用比原文少得多的文字概括文章的主要内容 算法要求： 1）给定报文P，能够很容易计算出报文摘要MD(P)； 2）知道报文摘要MD(P)，不能反推出报文P； 3）在计算可行性上，对于任何报文P，无法找到另一个报文 P’，P≠P’，但MD(P)=MD(P’)。 报文摘要技术应用 成熟算法 MD5（Message Digest 5）和SHA-1（Secure Hash Algorithm1） 报文摘要无法完全保证完整性，黑客将明文和摘要密文一起替换，接受者同样无法识别出原文已被替换。 数字签名 防止发送方或接受方抵赖的技术，主要用于解决否认、伪造、篡改及冒充等问题 主要技术，基于公钥密码体制 普通数字签名 特殊数字签名 采用公开密钥方案进行数字签名 用某实体的私钥对数据进行加密的过程 如何获得私钥？可信？ 公开密钥设施PKI CA认证中心，向用户发放数字证书 证书是一个经CA数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件 用户私钥、包括CA中心的公钥都保存在硬件卡（通常是USB棒）中 PKI – 身份认证 用CA私钥加密的Mick的公钥 用Mick私钥加密的Mick的公钥 判断从CA和Mick两方获得的公钥是否一致，以鉴定Mick的身份 PKI – 完整性 不可抵赖性 例：John向Mick借钱1000元，用Word文档写了借条一份，但John不能直接把借条发送给Mick，原因如下： （1）Mick可能会在收到借条后将“人民币1000元”改为“人民币2000元”； （2）如果John赖账，Mick无法证明这个借条就是John写的； （3）普通的Word文档不能作为法律证据。 PKI – 完整性 不可抵赖性 例：John向Mick借钱1000元，用Word文档写了借条一份，但John不能直接把借条发送给Mick，原因如下： （1）Mick可能会在收到借条后将“人民币1000元”改为“人民币2000元”； （2）如果John赖账，Mick无法证明这个借条就是John写的； （3）普通的Word文档不能作为法律证据。 PKI – 完整性 不可抵赖性 发送密文 防篡改 密文可解 防抵赖 电子签名法 具法律效力 正确方法：John将文档签名后发送 防火墙 防火墙由一系列软件或硬件设备构成一个系统，放置于两个信任级别不同的网络之间，是这两个网络之间信息的唯一交换出口，控制两个网络之间的通信 防火墙分类（1） 包过滤防火墙 工作在网络体系结构中的网络层和传输层 设置一系列包过滤规则 主要用来防止外来攻击 限制内部用户访问某些外部资源 规则定义 源IP地址 = 218.154.173.0/24 .and. 目的IP = 218.152.168.3/32 .and. 目的端口号 = 23， 匹配数据包采取的动作是：拒绝传输 作用：禁止218.154.173.0网段中的终端用Telnet方式访问218.152.168.0网段中IP地址为218.152.168.3的服务器 应用代理防火墙 完全“隔断”内部网络和外部网络的直接通信 通过为每种应用服务编制专门的代理程序 防火墙分类（2） 入侵检测技术 Intrusion Detection System，IDS 入侵检测系统的分类 基于主机入侵检测系统HIDS