第章_网络安全.pptxVIP

第7章 网络平安本章重点与学习目标掌握计算机密码的根本原理 ；了解数字证书的原理与应用；了解身份认证与访问控制的根本原理；了解常见的网络攻击方法及防范措施；了解防火墙的根本原理。7.1 案例需求鲁中学院的师生要为校园网开发一个Web信息系统，对系统的平安性要求较高：l只有注册用户利用用户名和口令才能访问系统；l规定系统资源的访问权限按用户在学校里扮演的角色分配；l即使系统管理员翻开系统数据库也不能看懂一些关键数据，比方密码、敏感信息等；l对一些重要的数据和文件要保证其不被篡改，假设发生改动能检验出来；l用户访问系统后要留下证据，以备过后审核。l现在计算机网络的平安问题非常突出，当远程访问一台计算机时，数据都在网络上传输，需要采取措施来保证网络上传输数据的平安。l鲁中学院校园网中有很多应用系统，需要考虑黑客攻击这些系统会采用哪些方法，采取哪些措施保证这些应用系统的平安，来自因特网的黑客攻击十分猖獗，能不能把来自因特网的攻击阻挡在校园网外。7.2 网络平安概述网络平安的根本概念 1.身份认证效劳身份认证(Authentication)确保会话对方的资源(人或计算机)同他声称的相一致。 2.数据保密效劳数据保密(Privacy)确保敏感信息不被非法者获取。 3.数据完整性效劳数据完整性(Integrity)确保接收到的信息同发送的一致。 4．不可否认效劳不可否认(Non-repudiation)又称为审计(Accountability)，确保任何发生的交易在事后可以被证实.如发信者和收信者都认为交换发生过，即所谓的不可抵赖性。 5．访问控制效劳访问控制(Access Control)确保会话对方(人或计算机)有权做他所声称的事情。 网络平安的威胁主要的威胁种类有：1．假冒2．窃听3．破坏完整性4．抵赖5．资源的非授权使用6．重放7．流量分析8．拒绝效劳9．木马与病毒10．诽谤网络平安的意义网络平安与个人密切相关。网络平安不但与个人密切相关，而且已经渗透到国家的政治、经济、军事等领域。另外，因特网上的虚假信息与有害信息对社会秩序造成的危害，要比现实社会中的一个谣言大得多。网络平安是双刃剑。平安性高，固然可以保证国家和民众的财产和正常生活，可是犯罪分子也可以用它来危害社会。有报告称，现在的恐怖分子都使用加密的电子邮件互相联络，从而难以发现他们的行踪。7.3 计算机密码计算机密码的根本原理1．计算机密码的根本概念加密前的数据称为明文〔plaintext〕或消息〔message〕，用P或M表示，加密过程为：EK1〔P〕= C 〔 C 是密文〕解密过程为：DK2〔C〕= P2．计算机密码的根本原那么计算机密码学中有一条根本原那么：密码的平安性基于密钥的保密性，而不是基于密码算法的保密性。3．计算机密码的破译蛮力攻击〔brute attack〕。抵抗蛮力攻击很简单，使密钥较长即可，这时，蛮力攻击将需要天文数字般的计算量。对称密钥密码在早期的计算机密码中，加密密钥与解密密钥是相同的，这叫做对称密钥密码〔symmetric key cipher〕或传统密码。在1976年，美国的W. Diffie和M. Hellman创造了一种新的计算机密码，它的加密密钥与解密密钥是不同的〔非对称〕。这种非对称密钥密码的加密密钥能够公开，所以叫做公开密钥密码〔public key cipher〕，简称公钥密码。对称密钥密码〔又称为秘密密钥密码〕，公钥密码〔又称为非对称密码〕。对称密钥密码的关键是密钥，密钥的长度可以是64位、128位、256位等。128位长度的密钥足以抵御蛮力攻击了。对称密钥密码又分为两种：分组密码〔block cipher〕和序列密码〔stream cipher〕，序列密码也叫做流密码。1．分组密码分组密码将明文划分成固定长度的分组，各分组分别在密钥的控制下变换成等长度的密文分组；解密时，各密文分组在密钥控制下再变换成明文分组。目前常用的分组密码算法有DES、AES、IDEA等几种。2．序列密码序列密码将明文划分成字节或单个的二进制位，密钥送入密钥流生成器，生成与明文等长的密钥流，然后明文与密钥流作用〔通常为异或〕以加密。解密时，再用同样的密钥流与密文异或，就能得到明文。公开密钥密码公钥密码：加密密钥不同于解密密钥，而且加密密钥能够公开，解密密钥那么必须保密，这样任何人都能用加密密钥加密数据，但只有用相应的解密密钥才能解密数据。加密密钥叫做公开密钥〔public key〕，简称公钥；解密密钥叫做私人密钥〔private key〕，简称私钥，公钥与私钥统称为密钥对。1．RSA密码算法RSA是目前使用最广泛的公钥密码算法，它的平安性基于大数分解的困难性：求一对大素数的乘积很容易，但要对这个乘积进行因子分解那么非常困难。 2．密钥分配对