第9章网络安全技术

第9章网络安全技术内容摘要：

险 • 网络安全防护技术 – 主要应用的信息安全技术如下： • 反病毒软件 • 防火墙 • 基于服务的访问控制技术 • 入侵检测系统 • 数据传输加密 • 帐户与登录口令控制 • 入侵防御系统 • 文件加密技术 • 卡片认证与一次性密码技术 • 公钥基础设施系统 • 生物特征技术 30 加密认证技术 • 加密技术概述 – 信息安全主要包括系统安全和数据安全两个方面。 系统安全一般采用防火墙 、 防病毒及其他安全防范技术等措施 ， 是属于被动型的安全措施；数据安全则主要采用现代密码技术对数据进行主动的安全保护 ， 如数据保密 、 数据完整性 、 身份认证等技术。 – 为了有效控制加密 、 解密算法的实现 ， 在这些算法的实现过程中 ， 需要有某些只被通信双方所掌握的专门的 、 关键的信息参与 ， 这些信息就称为密钥。 31 加密认证技术 加 密 变 换C = Ek 1（ m ）明 文 m发 送 者 A信 息 传 送 信 道密 文 c明 文 m接 收 者 B解 密 变 换m = Dk 2（ c ）非 法 接 入 者直 接 注 入密 码 分 析搭 线 窃 听窃 听 者明 文 m ’加 密 器 解 密 器密 钥 传 送 信 道密 钥 k1密 钥 k2图 97 保密通信系统模型 32 加密认证技术 • 常用密码体制与密码算法 – 密码体制 • 对称算法：加密密钥和解密密钥相同 ， 或实质上等同 （ 即从一个可以推出另外一个 ） ， 我们称其为对称密钥 、 私钥或单钥密码体制。 • 非对称算法：若加密密钥和解密密钥不相同 ， 从其中一个难以推出另一个 ， 则称为非对称密钥或双钥密码体制。 – 常用密码算法 • 古典密码算法 ：代码加密 、 替换加密 、 变位加密 • 单钥加密算法： DES算法 、 IDEA算法 • 双钥加密算法： RSA算法 33 加密认证技术 • 加密技术的应用 – 数字签名：数字签名就是信息发送者使用公开密钥算法技术 ， 产生别人无法伪造的一段数字串。 发送者用自己的私有密钥加密数据传给接收者 ， 接收者用发送者的公钥解开数据后 ， 就可以确定消息来自于谁 ， 同时也是对发送者发送信息的真实性的一个证明。 发送者对所发信息不能抵赖。 – 身份认证：是指被认证方在没有泄露自己身份信息的前提下 ， 能够以电子的方式来证明自己的身份。 – 消息认证 （ 也称数字指纹 ） ：消息认证是指通过对消息或消息相关信息进行加密或签名变换进行的认证 ， 目的是为防止传输和存储的消息被有意或无意地篡改。 – 数字水印：数字水印就是将特定的标记隐藏在数字产品中 ， 用以证明原创者对产品的所有权。 34 防火墙技术 • 防火墙技术概述 – 概念： • 防火墙是位于两个 (或多个 )网络间 ， 实施网络之间访问控制的一组组件的集合。 它是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统。 – 基本特性： • 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 • 只有符合安全策略的数据流才能通过防火墙 • 防火墙自身应具有非常强的抗攻击免疫力 35 防火墙技术 • 防火墙技术概述 – 防火墙的功能 (1)限定内部用户访问特殊站点。 (2)防止未授权用户访问内部网络。 (3)允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。 (4)记录通过防火墙的信息内容和活动。 (5)对网络攻击进行监测和报警。 防火墙的访问控制可通过源 MAC地址、目的 MAC地址、源 IP地址、目的 IP地址、源端口、目的端口实现，还能基于方向、时间、用户、流量、内容进行控制。 一般地，防火墙还具有路由功能和 NAT功能，用来保护内部网络的安全。 36 防火墙技术 • 防火墙技术概述 – DMZ区 • DMZ区 （ demilitarized zone， 也称非军事区 ） ， 是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题 ， 而设立的一个非安全系统与安全系统之间的缓冲区 ， 这个缓冲区位于企业内部网络和外部网络之间的小网络区域内 ， 在这个小网络区域内可以放置一些必须公开的服务器设施 ， 如企业 Web服务器 、 FTP服务器和论坛等。 37 防火墙技术 • 防火墙分类 图 912 防火墙实体分类 38 防火墙技术 • 防火墙分类 – 从技术上特征上区分 ， 防火墙一般可以分为包过滤型防火墙 、 应用网关型防火墙 、 电路级网关型防火墙 、 代理服务型防火墙 、 状态检测型防火墙 、 自适应代理型防火墙等几种类。