計算機網絡基礎教材第十五章

1、第15章 網 絡 安 全本章主要內容1.網絡提供的平安效勞2.網絡攻擊的主要方式3.數(shù)據(jù)加密與數(shù)字簽名4.包過濾、防火墻和SSL5.實踐內容安裝證書管理軟件為WWW效勞器申請證書配置SSL網絡平安1.信息平安不是一個新問題軍事、經濟、社會活動都存在信息平安性問題2.計算機網絡的出現(xiàn)使信息平安問題更加突出有人無意識地非法訪問并修改了某些敏感信息，致使網絡效勞中斷有人出于各種目的有意地竊取機密信息，破壞網絡的正常工作3.網絡平安主要研究內容計算機網絡的平安技術和平安機制，以確保網絡免受各種威脅和攻擊，做到正常而有序地工作網絡提供的平安效勞身份認證驗證某個通信參與者的身份與其所申明的一致，確保通信參

2、與者不是冒名頂替訪問控制保證網絡資源不被未經授權的用戶訪問和使用數(shù)據(jù)保密防治信息被未授權用戶獲知數(shù)據(jù)完整確保收到的信息在傳遞的過程中沒有被篡改不可否認防止通信參與者事后否認參與通信網絡攻擊對信息流的威脅中斷：破壞網絡系統(tǒng)資源，使之變成無效的或無用的截取：非法訪問網絡系統(tǒng)的資源修改：不但非法訪問網絡系統(tǒng)資源，而且修改網絡中的資源假冒：假冒合法用戶身份，將偽造的信息非法插入網絡網絡攻擊 被動與主動攻擊1.被動攻擊進行網絡監(jiān)聽，截取重要敏感信息被動攻擊常常是主動攻擊的前奏被動攻擊很難被發(fā)現(xiàn)對策：加密傳輸?shù)男畔⒘?.主動攻擊利用網絡本身的缺陷對網絡實施的攻擊主動攻擊常常以被動攻擊獲取的信息為根底杜絕和

3、防范主動攻擊相當困難對策：檢測和修復數(shù)據(jù)加密加密技術加密密鑰：加密和解密過程中使用的一串數(shù)字加密算法：作用于密鑰和明文或密文的一個數(shù)學函數(shù)密文：明文和密鑰結合，經過加密算法運算的結果在同一種加密算法下，密鑰的位數(shù)越長，平安性越好加密技術分類秘密密鑰加密技術常規(guī)密鑰加密技術、對稱密鑰加密技術公開密鑰加密技術非對稱密鑰加密技術秘密密鑰加密技術用戶需保存的密鑰數(shù)秘密密鑰加密技術的特點算法簡單、速度快，被加密的數(shù)據(jù)塊長度可以很大密鑰在加密方和解密方之間傳遞和分發(fā)必須通過平安通道進行公開密鑰加密技術用戶需保存的密鑰數(shù)公開密鑰加密技術的特點算法復雜、速度慢，被加密的數(shù)據(jù)塊長度不宜太大公鑰在加密方和解密方之

4、間傳遞和分發(fā)不必通過平安通道進行著名的加密算法秘密密鑰加密算法數(shù)據(jù)加密標準data encryption standard，DES公開密鑰加密算法RSARSA是創(chuàng)造者Rivest、Shamir和Adleman名字首字母的組合秘密密鑰加密技術和公開密鑰加密技術的結合數(shù)字簽名1.數(shù)字簽名的根本方法計算需要簽名信息的消息摘要利用公開密鑰加密算法和用戶的私鑰對消息摘要簽名2.為什么不對信息直接簽名？公鑰加密算法復雜、加密速度慢，不適合處理大數(shù)據(jù)塊信息消息摘要技術能將一個大數(shù)據(jù)塊映射到一個小信息塊消息摘要1.消息摘要是利用單向散列函數(shù)對要簽名的數(shù)據(jù)進行運算生成2.利用單向散列函數(shù)對數(shù)據(jù)塊進行運算不是一種

5、加密機制，它僅能提取數(shù)據(jù)塊的某些關鍵信息3.著名的消息摘要算法MD5SHA-1單向散列函數(shù)的主要特性能處理任意大小的信息，生成的消息摘要數(shù)據(jù)塊長度總是具有固定的大小。對同一個源數(shù)據(jù)反復執(zhí)行該函數(shù)得到的消息摘要相同生成的消息摘要是不可預見的，產生的消息摘要的大小與原始數(shù)據(jù)信息塊的大小沒有任何聯(lián)系。原始數(shù)據(jù)信息的一個微小變化都會對新產生的消息摘要產生很大的影響具有不可逆性，沒有方法通過生成的消息摘要重新生成原始數(shù)據(jù)信息完整的數(shù)字簽名過程數(shù)據(jù)加密和數(shù)字簽名的區(qū)別1.數(shù)據(jù)加密的作用保證信息的機密性2.數(shù)字簽名的作用保證信息的完整性保證信息的真實性保證信息的不可否認性保證網絡平安的幾種具體措施包過濾防火

6、墻SSL協(xié)議包過濾1.包過濾技術的作用：阻止某些主機隨意訪問另外一些主機2.包過濾路由器：具有包過濾功能的路由器3.包過濾技術主要檢查的內容數(shù)據(jù)包的源地址、目的地址數(shù)據(jù)包的源端口、目的端口數(shù)據(jù)包傳遞的效勞內容等防火墻1.防火墻將網絡分成內部網絡和外部網絡兩局部內部網絡是平安的和可信賴的外部網絡是不太平安和不太可信的2.主要功能：檢查和檢測所有進出內部網的信息流，防止未經授權的通信進出被保護的內部網絡應用層數(shù)據(jù)的平安控制和過濾具有認證、日志、計費等功能包過濾功能3.防火墻實現(xiàn)技術復雜，對可靠性和處理效率要求很高SSLSSL作為Web平安性解決方案1995年由Netscape公司提出SSL已經作為

7、事實上的標準被眾多網絡產品提供商采納實踐：利用SSL實現(xiàn)平安數(shù)據(jù)傳輸CA平安認證中心CA是公開密鑰的管理機構CA通過簽發(fā)證書來分發(fā)公鑰證書包含了證書擁有者的根本信息和公鑰，并經過CA中心數(shù)字簽名獲取了一個用戶的證書，就得到了該用戶的公鑰。可以利用該公鑰給這個用戶發(fā)送加密信息安裝證書管理軟件和效勞1安裝證書管理軟件和效勞2安裝證書管理軟件和效勞3安裝證書管理軟件和效勞4安裝證書管理軟件和效勞5準備一個證書請求信息1準備一個證書請求信息2準備一個證書請求信息3準備一個證書請求信息4準備一個證書請求信息5準備一個證書請求信息6準備一個證書請求信息7提交證書申請1提交證書申請2提交證書申請3提交證書申請4提交證書申請5為證書申請者公布證書1為證書申請者公布證書2為證書申請者公布證書3為證書申請者公布證書4下載證書1下載證書2下載證書3下載證書4安裝證書并配置WWW效勞