第15章网络安全.pptVIP

8.3.2 防火墙技术分类 (1) 网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有包过滤和授权服务器。 8.3.2 防火墙技术分类 (2) 应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。 8.4 网络安全策略与机制 8.4.1 网络安全策略 加密策略（链路加密和端到端加密） 鉴别策略 防火墙技术 回拨技术 其他策略：物理安全策略、访问控制策略等 8.4.2 网络安全机制 加密机制 数字签名机制 访问控制机制 数据完整性机制 鉴别交换机制 防业务流分析机制 路由控制机制 公证机制 * 网络安全是指网络系统的硬件，软件，及其系统中的数据受到保护，不因为偶然或恶意原因而遭到破坏，更改，泄露，影响系统连续，可靠，正常的运行。 网络安全的本质是网络上信息的安全，涉及的领域相当广泛，目前的公用通信网络中存在各种各样的漏洞。 * 网络安全的特征：2.存储和传输过程中 * 加密技术是对计算机数据进行保护的最实用和最可靠的方法。密码学。 一： 1.明文2.密文 加密 解密 加密算法和解密算法 都是在一组密钥的控制下完成的，加密密钥和解密密钥。本质上是等同的，单钥或对称密码体制，加密和解密密钥不一样，两者之间很难推导，双钥或非对称密码体制。密钥是一系列的排列，计算及换位变化从而形成的加密算法。 二：最有代表性的单钥密码是1977 美国的DES算法 优点：安全性高，算法实现速度快。缺点：密钥管理额外的安全通道来传送。2种：流密码，一个字符一个字符的加密 分组密码：分组的加密 三： 双钥 也称为公钥体制 特点：加密和解密是分开的。需要一对密钥，一个是公开的，被大众查询的。一个是用户自身唯一拥有的，代表是RSA密码体制。加入数字签名。 现在是2种的混合加密解密方法。 * 以非对称的思想来设计的，使用数学函数来设计密钥算法。使用了2个密钥：公钥和私钥，不需要额外的传送密钥。 * 每个用户都有一对密钥，加密的公钥，解密的私钥。 * 接受者拥有1对用来加密的公钥和解密的私钥，公钥放在一个公开的寄存器或文件中，私钥为自己保密。 发送者找到接受者的公钥，用这个公钥来加密文件。途中密文可能会遭受窃取，但没有接受者的私钥是无法打开密文的。 * 原理是基于大整数的分解。 * 如果n是一个500位的大整数，要把它分解需要的时间是4.2*10的25次幂年。安全性和保密性能很高。 * 消息认证能验证发送者是谁及所发消息是否被篡改， * 传统的书信和文件是根据亲笔签名或印章来证明其真实性的，对于在计算机网络中传送的报文特别是商务文件自然是不现实的。用数字签名就可以辨认数字化文件。 * 数字签名中，签名和消息是分开处理的。实现方法，可以归为2种：直接方式和具有仲裁方式。 1.直接方式实际上就是单钥体制的认证算法。 2.仲裁方式实际上就是公钥加密体制的认证原理。 * 数字签名中，签名和消息是分开处理的。实现方法，可以归为2种：直接方式和具有仲裁方式。仲裁方式实际上就是公钥加密体制的认证原理。第三方实际就是仲裁机构。 仲裁方式：发送者A用其私钥SKA和选定的公钥加密算法对报文进行加密运算，A的私钥只有A知道。签名只是DSKA(X) 1. A的私钥只有A知道,没有别人能具有A的私钥SKA，这样报文X就被签名了。如果A要抵赖曾经发送报文给B，B可以将X及DSKA（X）出示给第三方。 反之，b要伪造的话，不可能在第三方前出示DSKA（X），这样就放伪造。 * 用自己的私钥对摘要进行 数字签名，并将其附在数字信息上 加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。 用Bob的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给Bob。 得到DES密钥 再解密 得到摘要 Bob用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。 Bob将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。 * 正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的 会搜寻其他符合其传染条件的程序或存储介质，确定目