东华大学计算机科学与技术学院计算机系统与网络技术课件 第十四讲.ppt

* 如自动取款机就是使用DES算法加密的。 * * of 55 * of 55 * of 55 Room 234, No.1 Building Donghua University, Shanghai, China Phone 021-csit.dhu.edu.cn changshan@dhu.edu.cn 第13讲 网络安全 讲课教师：常姗 2014. 6.4 计算机系统与网络技术 网络安全的目标 网络安全威胁 网络安全层次体系 网络安全技术 加密与认证技术 防火墙技术 入侵检测技术 VPN技术 网络病毒 主要内容 网络安全目标 完整性 保证网络信息未经授权不能进行改变的特性 方法：纠错编码方法、协议、密码校验 可用性 网络可被授权实体访问，并按需使用的特性 方法：身份识别、访问控制 保密性 网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性 方法：防侦听/辐射、加密、物理保密 可靠性 网络信息系统能够在规定条件下和规定时间内完成规定功能的特性 主要从抗毁性、生存性和有效性三个方面来衡量 不可抵赖性 信息交互过程中，确信参与者的真实同一性 方法：PKI/PMI 可控性 可控性是确保一个实体的访问动作可以被唯一地区别、跟踪和记录的特性 方法：跟踪、审计 外力影响 环境、自然灾害等 人员疏忽 安全配置不当、密码泄露等 病毒 木马、蠕虫等 恶意攻击 DOS、僵尸网络…… 信息泄露和丢失 身份、位置、喜好…… 系统与网络软件漏洞 Bug、后门…… 网络安全威胁 网络安全的层次体系 网络层安全 防火墙产品 虚拟专用网VPN 入侵检测技术 网络访问是否得到控制，即不是任何数据都能够进出网络 操作系统安全 安全等级 防病毒 防黑客攻击 用户安全 用户、口令 PKI身份认证 应用安全 授权管理设施PMI 应用程序对数据的合法权限； 应用程序对用户的合法权限 数据安全 加密技术 网络层SSL协议 机密数据是否处于机密状态， 数据经过传输后是否完整无误 安全措施包括： 采用安全性较高的操作系统； 对操作系统进行安全配置； 进行漏洞扫描及时对操作系统的补丁，病毒防护的补丁进行更新升级 是否只有那些真正被授权的用户才能够使用系统中的资源和数据 早期加密 加密与认证技术 明文报文： RETURN TO BASE 加密报文： UHWXUQ WR EDVH 凯撒密码 一种替代密码，通过将字母按顺序推后n位起到加密作用，这里后n个字符就是密码学中的密钥（Secret Key）。如密钥为3，则将字母A换作字母D，将字母B换作字母E。 对称密钥算法 加密和解密的秘钥是相同的，速度快 强度依赖于加密密钥的安全性， 可以使用密钥空间穷举法进行破解 代表算法：DES（Data Encryption Standard） 密钥长度56bit 加密和解密使用不同的密钥 公开密钥（Public Key），对外发布，网络服务器注册 秘密密钥（Secret Key） ，用户保存 代表算法：RSA算法，速度慢 应用方式 如果某用户想与另一用户进行保密通信，只需从公钥簿上查出对方的加密密钥，用它对所传送的信息加密发出即可。 对方收到信息后，用仅为自己所知的解密密钥将信息解密，了解报文的内容。 公开密钥算法 RSA算法和DES结合使用 DES用于明文加密 RSA用于DES密钥的加密 DES加密速度快，适合加密较长的报文；而RSA可解决DES密钥分配的问题 加密应用 公钥加密服务 - 保密性 发送方使用公钥加密 接受方式用私钥解密 无法保证完整性 完整性要求 信息在传输过程中未被非授权用户篡改，信息在传输过程中完整无缺 报文摘要 使用比原文少得多的文字概括文章的主要内容 算法要求： 1）给定报文P，能够很容易计算出报文摘要MD(P)； 2）知道报文摘要MD(P)，不能反推出报文P； 3）在计算可行性上，对于任何报文P，无法找到另一个报文 P’，P≠P’，但MD(P)=MD(P’)。 报文摘要技术 成熟算法 MD5（Message Digest 5）和SHA-1（Secure Hash Algorithm1） 报文摘要技术应用 报文摘要无法完全保证完整性，黑客将明文和摘要密文一起替换，接受者同样无法识别出原文已被替换。 防止发送方或接受方抵赖的技术，主要用于解决否认、伪造、篡改及冒充等问题 主要技术，基于公钥密码体制-数字签名 采用公开密钥方案进行数字签名 用某实体的私钥对数据进行加密的过程 用公钥对签名进行验证 数字签名 如何获得私钥？可信？ CA认证中心，向用户发放数字证书 证书是一个经CA数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件