第15章网 络 安 全.ppt

《第15章网 络 安 全.ppt》由会员分享，可在线阅读，更多相关《第15章网 络 安 全.ppt（60页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1515章章 网网 络络 安安 全全学习本章应掌握：网络提供的安全服务网络提供的安全服务网络攻击的主要方式网络攻击的主要方式数据加密与数字签名数据加密与数字签名包过滤、防火墙和包过滤、防火墙和SSLSSL学习本章后请：安装证书管理软件安装证书管理软件为为WWWWWW服务器申请证书服务器申请证书配置配置SSLSSL15.1 网络安全的基本概念网络安全的基本概念1.1.信息安全不是一个新问题信息安全不是一个新问题军事、经济、社会活动都存在信息安全性问题军事、经济、社会活动都存在信息安全性问题2.2.计算机网络的出现使信息安全问题更加突出计算机网络的出现使信息安全问题更加突出l l有人无意识地非

2、法访问并修改了某些敏感信息，致使网络服务有人无意识地非法访问并修改了某些敏感信息，致使网络服务中断中断l l有人出于各种目的有意地窃取机密信息，破坏网络的正常工作有人出于各种目的有意地窃取机密信息，破坏网络的正常工作3.3.网络安全主要研究内容网络安全主要研究内容计算机网络的安全技术和安全机制，以确保网络免受各种威胁和计算机网络的安全技术和安全机制，以确保网络免受各种威胁和攻击，做到正常而有序地工作攻击，做到正常而有序地工作制作：张卫东制作：张卫东15.1.1 网络提供的安全服务网络提供的安全服务l l身份认证身份认证验证某个通信参与者的身份与其所申明的一致，确保通信参与者验证某个通信参与者的

3、身份与其所申明的一致，确保通信参与者不是冒名顶替不是冒名顶替l l访问控制访问控制保证网络资源不被未经授权的用户访问和使用保证网络资源不被未经授权的用户访问和使用l l数据保密数据保密防治信息被未授权用户获知防治信息被未授权用户获知l l数据完整数据完整确保收到的信息在传递的过程中没有被篡改确保收到的信息在传递的过程中没有被篡改l l不可否认不可否认防止通信参与者事后否认参与通信防止通信参与者事后否认参与通信制作：张卫东制作：张卫东15.1.2 网络攻击网络攻击对信息流的威胁对信息流的威胁l l中断：破坏网络系统资源，使之变成无效的或中断：破坏网络系统资源，使之变成无效的或无用的无用的l l截

4、取：非法访问网络系统的资源截取：非法访问网络系统的资源l l修改：不但非法访问网络系统资源，而且修改修改：不但非法访问网络系统资源，而且修改网络中的资源网络中的资源l l假冒：假冒合法用户身份，将伪造的信息非法假冒：假冒合法用户身份，将伪造的信息非法插入网络插入网络制作：张卫东制作：张卫东网络攻击网络攻击 被动与主动攻击被动与主动攻击1.1.被动攻击被动攻击l l进行网络监听，截取重要敏感信息进行网络监听，截取重要敏感信息l l被动攻击常常是主动攻击的前奏被动攻击常常是主动攻击的前奏l l被动攻击很难被发现被动攻击很难被发现l l对策：加密传输的信息流对策：加密传输的信息流2.2.主动攻击主动

5、攻击l l利用网络本身的缺陷对网络实施的攻击利用网络本身的缺陷对网络实施的攻击l l主动攻击常常以被动攻击获取的信息为基础主动攻击常常以被动攻击获取的信息为基础l l杜绝和防范主动攻击相当困难杜绝和防范主动攻击相当困难l l对策：检测和修复对策：检测和修复制作：张卫东制作：张卫东15.2.1 15.2.1 15.2.1 15.2.1 数据加密数据加密数据加密数据加密加密技术加密技术l l加密密钥：加密和解密过程中使用的一串数字加密密钥：加密和解密过程中使用的一串数字l l加密算法：作用于密钥和明文（或密文）的一个数加密算法：作用于密钥和明文（或密文）的一个数学函数学函数l l密文：明文和密钥结

6、合，经过加密算法运算的结果密文：明文和密钥结合，经过加密算法运算的结果在同一种加密算法下，密钥的位数越长，安全性在同一种加密算法下，密钥的位数越长，安全性越好越好15.2 15.2 数据加密和数字签名数据加密和数字签名制作：张卫东制作：张卫东加密技术分类加密技术分类l l秘密密钥加密技术（常规密钥加密技术、对称密秘密密钥加密技术（常规密钥加密技术、对称密钥加密技术）钥加密技术）l l公开密钥加密技术（非对称密钥加密技术）公开密钥加密技术（非对称密钥加密技术）制作：张卫东制作：张卫东1.秘密密钥加密技术秘密密钥加密技术制作：张卫东制作：张卫东用户需保存的密钥数用户需保存的密钥数制作：张卫东制作：

7、张卫东秘密密钥加密技术的特点秘密密钥加密技术的特点l l算法简单、速度快，被加密的数据块长度可以很大l l密钥在加密方和解密方之间传递和分发必须通过安全通道进行制作：张卫东制作：张卫东2.公开密钥加密技术公开密钥加密技术制作：张卫东制作：张卫东用户需保存的密钥数用户需保存的密钥数制作：张卫东制作：张卫东公开密钥加密技术的特点公开密钥加密技术的特点l l算法复杂、速度慢，被加密的数据块长度不宜太大l l公钥在加密方和解密方之间传递和分发不必通过安全通道进行制作：张卫东制作：张卫东著名的加密算法著名的加密算法l l秘密密钥加密算法秘密密钥加密算法数据加密标准（数据加密标准（data encrypt

8、ion standarddata encryption standard，DESDES）l l公开密钥加密算法公开密钥加密算法RSARSA（RSARSA是发明者是发明者RivestRivest、ShamirShamir和和AdlemanAdleman名字名字首字母的组合）首字母的组合）制作：张卫东制作：张卫东3.秘密密钥加密技术和公开密钥加密技术的秘密密钥加密技术和公开密钥加密技术的结合结合制作：张卫东制作：张卫东15.2.2 数字签名数字签名1.1.数字签名的基本方法数字签名的基本方法l l计算需要签名信息的消息摘要计算需要签名信息的消息摘要l l利用利用公开密钥加密算法公开密钥加密算法和用

9、户的和用户的私钥私钥对消息摘要签名对消息摘要签名2.2.为什么不对信息直接签名？为什么不对信息直接签名？l l公钥加密算法复杂、加密速度慢，不适合处理大数据公钥加密算法复杂、加密速度慢，不适合处理大数据块信息块信息l l消息摘要技术能将一个大数据块映射到一个小信息块消息摘要技术能将一个大数据块映射到一个小信息块制作：张卫东制作：张卫东3.消息摘要消息摘要1 1）消息摘要是利用）消息摘要是利用单向散列函数单向散列函数对要签名的数据进行运对要签名的数据进行运算生成算生成2 2）利用单向散列函数对数据块进行运算）利用单向散列函数对数据块进行运算不是一种加密机不是一种加密机制制，它仅能提取数据块的某些

10、关键信息，它仅能提取数据块的某些关键信息3 3）著名的消息摘要算法）著名的消息摘要算法l lMD5MD5l lSHA-1SHA-1制作：张卫东制作：张卫东4）单向散列函数的主要特性）单向散列函数的主要特性l l能处理任意大小的信息，生成的消息摘要数据块长度总是具有固能处理任意大小的信息，生成的消息摘要数据块长度总是具有固定的大小。对同一个源数据反复执行该函数得到的消息摘要相同定的大小。对同一个源数据反复执行该函数得到的消息摘要相同l l生成的消息摘要是不可预见的，产生的消息摘要的大小与原始数生成的消息摘要是不可预见的，产生的消息摘要的大小与原始数据信息块的大小没有任何联系。原始数据信息的一个微

11、小变化都据信息块的大小没有任何联系。原始数据信息的一个微小变化都会对新产生的消息摘要产生很大的影响会对新产生的消息摘要产生很大的影响l l具有不可逆性，没有办法通过生成的消息摘要重新生成原始数据具有不可逆性，没有办法通过生成的消息摘要重新生成原始数据信息信息制作：张卫东制作：张卫东2.完整的数字签名过程完整的数字签名过程制作：张卫东制作：张卫东15.2.3 数据加密和数字签名的区别数据加密和数字签名的区别1.数据加密的作用保证信息的机密性保证信息的机密性2.数字签名的作用l保证信息的完整性保证信息的完整性l保证信息的真实性保证信息的真实性l保证信息的不可否认性保证信息的不可否认性制作：张卫东制

12、作：张卫东15.3 保证网络安全的几种具体措施保证网络安全的几种具体措施l l包过滤l l防火墙l lSSL协议制作：张卫东制作：张卫东15.3.1 包过滤包过滤1.1.包过滤技术的作用：阻止某些主机随意访问另包过滤技术的作用：阻止某些主机随意访问另外一些主机外一些主机2.2.包过滤路由器：具有包过滤功能的路由器包过滤路由器：具有包过滤功能的路由器3.3.包过滤技术主要检查的内容包过滤技术主要检查的内容l l数据包的源地址、目的地址数据包的源地址、目的地址l l数据包的源端口、目的端口数据包的源端口、目的端口l l数据包传递的服务内容等数据包传递的服务内容等制作：张卫东制作：张卫东13.3.2

13、 防火墙防火墙1.1.防火墙将网络分成内部网络和外部网络两部分防火墙将网络分成内部网络和外部网络两部分l l内部网络是安全的和可信赖的内部网络是安全的和可信赖的l l外部网络是不太安全和不太可信的外部网络是不太安全和不太可信的2.2.主要功能：检查和检测所有进出内部网的信息流，防主要功能：检查和检测所有进出内部网的信息流，防止未经授权的通信进出被保护的内部网络止未经授权的通信进出被保护的内部网络l l应用层数据的安全控制和过滤应用层数据的安全控制和过滤l l具有认证、日志、计费等功能具有认证、日志、计费等功能l l包过滤功能包过滤功能3.3.防火墙实现技术复杂，对可靠性和处理效率要求很高防火墙

14、实现技术复杂，对可靠性和处理效率要求很高制作：张卫东制作：张卫东15.3.3 SSLl lSSLSSL作为作为WebWeb安全性解决方案安全性解决方案19951995年由年由NetscapeNetscape公司公司提出提出l lSSLSSL已经作为事实上的标准被众多网络产品提供商采纳已经作为事实上的标准被众多网络产品提供商采纳制作：张卫东制作：张卫东15.4 实践：利用实践：利用SSL实现安全数据传输实现安全数据传输制作：张卫东制作：张卫东15.4.1 CA安全认证中心安全认证中心l lCACA是公开密钥的管理机构是公开密钥的管理机构l lCACA通过签发证书来分发公钥通过签发证书来分发公钥l

15、 l证书包含了证书拥有者的基本信息和公钥，并证书包含了证书拥有者的基本信息和公钥，并经过经过CACA中心数字签名中心数字签名l l获取了一个用户的证书，就得到了该用户的公获取了一个用户的证书，就得到了该用户的公钥。可以利用该公钥给这个用户发送加密信息钥。可以利用该公钥给这个用户发送加密信息制作：张卫东制作：张卫东安装证书管理软件和服务（安装证书管理软件和服务（1）制作：张卫东制作：张卫东安装证书管理软件和服务（安装证书管理软件和服务（2）制作：张卫东制作：张卫东安装证书管理软件和服务（安装证书管理软件和服务（3）制作：张卫东制作：张卫东安装证书管理软件和服务（安装证书管理软件和服务（4）制作：

16、张卫东制作：张卫东安装证书管理软件和服务（安装证书管理软件和服务（5）制作：张卫东制作：张卫东1.1.准备一个证书请求信息（准备一个证书请求信息（准备一个证书请求信息（准备一个证书请求信息（1 1）14.4.2 14.4.2 为为WWWWWW服务器申请和安装证书服务器申请和安装证书制作：张卫东制作：张卫东准备一个证书请求信息（准备一个证书请求信息（2）制作：张卫东制作：张卫东准备一个证书请求信息（准备一个证书请求信息（3）制作：张卫东制作：张卫东准备一个证书请求信息（准备一个证书请求信息（4）制作：张卫东制作：张卫东准备一个证书请求信息（准备一个证书请求信息（5）制作：张卫东制作：张卫东准备一

17、个证书请求信息（准备一个证书请求信息（6）制作：张卫东制作：张卫东准备一个证书请求信息（准备一个证书请求信息（7）制作：张卫东制作：张卫东2.提交证书申请（提交证书申请（1）制作：张卫东制作：张卫东提交证书申请（提交证书申请（2）制作：张卫东制作：张卫东提交证书申请（提交证书申请（3）制作：张卫东制作：张卫东提交证书申请（提交证书申请（4）制作：张卫东制作：张卫东提交证书申请（提交证书申请（5）制作：张卫东制作：张卫东3.为证书申请者颁布证书（为证书申请者颁布证书（1）制作：张卫东制作：张卫东为证书申请者颁布证书（为证书申请者颁布证书（2）制作：张卫东制作：张卫东为证书申请者颁布证书（为证书申

18、请者颁布证书（3）制作：张卫东制作：张卫东为证书申请者颁布证书（为证书申请者颁布证书（4）制作：张卫东制作：张卫东4.下载证书（下载证书（1）制作：张卫东制作：张卫东下载证书（下载证书（2）制作：张卫东制作：张卫东下载证书（下载证书（3）制作：张卫东制作：张卫东下载证书（下载证书（4）制作：张卫东制作：张卫东5.安装证书并配置安装证书并配置WWW服务器（服务器（1）制作：张卫东制作：张卫东安装证书并配置安装证书并配置WWW服务器（服务器（2）制作：张卫东制作：张卫东安装证书并配置安装证书并配置WWW服务器（服务器（3）制作：张卫东制作：张卫东安装证书并配置安装证书并配置WWW服务器（服务器（4）制作：张卫东制作：张卫东安装证书并配置安装证书并配置WWW服务器（服务器（5）制作：张卫东制作：张卫东安装证书并配置安装证书并配置WWW服务器（服务器（6）制作：张卫东制作：张卫东安装证书并配置安装证书并配置WWW服务器（服务器（7）制作：张卫东制作：张卫东15.4.3 验证并访问安全的验证并访问安全的Web站点（站点（1）制作：张卫东制作：张卫东验证并访问安全的验证并访问安全的Web站点（站点（2）制作：张卫东制作：张卫东