网络安全培训课件(PPT 126页).ppt

算法存在的问题 这种数字签名看上去很好，但在实际的使用中也存在一些问题，这些问题不是算法本身的问题，而是和算法的使用环境有关。 首先只有DA仍然是秘密的，B才能证明A确实发送过DA（P），如果A试图否认这一点，他只需公开他的私人密钥，并声称他的私人密钥被盗了，这样任何人包括B都有可能发送DA（P）； 其次是A改变了他的私人密钥，出于安全因素的考虑，这种做法显然是无可非议的，但这时如果发生纠纷的话，裁决人用新的EA去解老的DA（P），就会置B于非常不利的地位。 * 报文摘要 使用一个单向的哈希（Hash）函数，将任意长的明文转换成一个固定长度的比特串，然后仅对该比特串进行加密。这样的方法通常称为报文摘要（Message Digest，MD），它必须满足以下三个条件： ① 给定P，很容易计算出MD（P）； ② 给出MD（P），很难计算出P； ③ 任何人不可能产生出具有相同报文摘要的两个不同的报文。 为满足条件3，MD（P）至少必须达到128位，实际上有很多函数符合以上三个条件。 * 报文摘要-CA KCA（A，t，MD（P）） * 报文摘要-公开密钥密码系统 在公开密钥密码系统中，使用报文摘要进行数字签名的过程如图所示。 使用报文摘要的数字签名 P,DA（MD（P）） * 加密技术应用案例 * 第10章 网络安全 本章内容 网络安全基本概念 信息安全技术 防火墙技术 网络病毒 * 防火墙技术 防火墙（Firewall）是在两个网络之间执行访问控制策略的硬件或软件系统，目的是保护网络不被他人侵扰。 本质上，它遵循的是一种数据进行过滤的网络通信安全机制，只允许授权的通信，而禁止非授权的通信。 通常，防火墙就是位于内部网或Web站点与因特网之间的一台路由器或计算机。 * 通常，部署防火墙的理由包括： 防止入侵者干扰内部网络的正常运行； 防止入侵者删除或修改存储再内部网络中的信息； 防止入侵者偷窃内部的秘密信息。 防火墙应该有以下功能： 所有进出网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上说，防火墙是穿不透的 。 * 内部网需要防范的三种攻击 间谍、试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃，盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。 破坏系统：通过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网（外部网）和服务器。 * 防火墙在因特网与内部网中的位置 * 防火墙体系结构 1．双重宿主主机体系结构 2．主机过滤体系结构 3．子网过滤体系结构 4. 堡垒主机的安全防护 * 双重宿主主机 双重宿主主机结构是围绕具有双重宿主的计算机而构筑的。 该计算机至少有两个网络接口，这样的主机可以充当与之相连的网络之间的路由器，并能够在网络之间转发IP数据包。 防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统（在因特网上）也能与双重宿主主机通信。 通过双重宿主主机，防火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止（这意味着双重宿主主机具有两个不同的IP地址，一个属于外网，另一个属于内网）。 * 双重宿主主机防火墙结构 双重宿主主机防火墙结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。 * 主机过滤体系结构 在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。主机过滤结构有一台单独的路由器（过滤路由器）。在这种体系结构中，主要的安全能力由路由器的数据包过滤特性提供，其结构双重宿主主机防火墙结构类似，只是双重宿主主机由路由器替代。 * 子网过滤结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与因特网隔离开 。 * 参数网络 参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙，参数网络就能在入侵者与内部网之间再提供一层保护。 * 如果入侵者仅仅侵入到参数网络的堡垒主机，他只能偷看到参数网络的信息流，看不到内部网的信息，而参数网络的信息流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内部信息流（内部主机间互传的重要和敏感的信息）在参数网络中流动，所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流。 * 堡垒主机 在子网过滤结构中，堡垒主机与参数网络相连，而这台主机是外部网服务于内部网的主节点。 它为内部网服务的主要功能有： ① 它接收外来的电子邮件再分发给相应的站点； ② 它接收外来的FTP，并连到内部网的匿名FTP服务器； ③ 它接收外来的有关内部网站点的域名服务。 向外的服务功能可用以下方法来实施： ① 在内、外部路由器上建立包过滤，以便内部网的用