文档介绍:第9章 � 计算机网络安全
精选课件
主要内容
网络安全概述
密码学
防火墙技术
计算机病毒与木马防治
精选课件
网络安全概述
计算机码的密钥分配问题,另一个是对数字签名的需求。
非对称加密技术与对称加密技术相比,其优势在于不需要共享通用的密钥,用于解密的密钥不需要发往任何地方,公钥在传递和发布过程中即使被截获,由于没有与公钥相匹配的私钥,截获的公钥对入侵者也就没有太大意义。公钥加密技术的主要缺点是加密算法复杂,加密与解密的速度比较慢。
精选课件
非对称加密的标准
目前,主要的公钥算法包括RSA算法、DSA算法、PKCS算法与PGP算法等。
1978年由Rivest、Shamir和Adleman提出 RSA体制被认为是目前为止理论最为成熟的一种公钥密码体制,多用在数字签名、密钥管理和认证等方面。
1985年,ElGamal构造一种基于离散对数的公钥密码体制,这就是ElGamal公钥体制。
许多商业产品采用的公钥加密算法还有Diffie-Hellman密钥交换、数据签名标准DSS、椭圆曲线密码等。
精选课件
数字签名技术
数字签名技术的基本概念
数字签名的工作原理
数字签名的具体工作过程
精选课件
数字签名技术的基本概念
数字签名是在网络环境中模拟日常生活中的亲笔签名以保证文件或资料真实性的一种方法。
数字签名将信息发送人的身份与信息传送结合起来,可以保证信息在传输过程中的完整性,并提供信息发送者的身份验证,以防止信息发送者抵赖行为的发生。
利用非对称加密算法(例如RSA算法)进行数字签名是最常用的方法。
数字签名需要实现以下3项功能。
(1)接收方可以核对发送方对报文的签名,以确定对方的身份。
(2)接收方在发送报文之后无法对发送的报文及签名抵赖。
(3)接收方无法伪造发送方的签名。
精选课件
数字签名的工作原理
数字签名使用两对公开密钥的加密/解密的密钥
精选课件
数字签名的具体工作过程
(1) 发送方使用单向散列函数对要发送的信息进行运算,生成信息摘要。
(2) 发送方使用自己的私钥,利用非对称加密算法,对生成的信息摘要进行数字签名。
(3) 发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接收方。
(4) 接收方使用与发送方相同的单向散列函数,对接收到的信息进行运算,重新生成信息摘要。
(5) 接收方使用发送方的公钥对接收的信息摘要进行解密。
(6) 将解密的信息摘要与重新生成的信息摘要进行比较,以判断信息在发送过程中是否被篡改过
精选课件
防火墙技术
防火墙的概念
实现防火墙的技术
防火墙的体系结构
精选课件
防火墙的概念
防火墙是在网络之间执行控制策略的系统,它包括硬件和软件。
设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部网络受到外部非法用户的攻击。防火墙的位置在内部网络和外部网络之间。
精选课件
防火墙的概念(续)
防火墙的主要功能
(1)检查所有从外部网络进入内部网络的数据包。
(2)检查所有从内部网络流出到外部网络的数据包。
(3)执行安全策略,限制所有不符合安全策略要求的数据包通过。
(4)具有防攻击能力,保证自身的安全性。
防火墙只是一种整体安全防范策略的一部分。
防火墙不能防范不经由防火墙的攻击。
防火墙不能防止感染了病毒的软件或文件的传输
防火墙不能防止数据驱动式攻击。
精选课件
实现防火墙的技术
实现防火墙的技术大体上分为两类:一类作用于网络层之上,保护整个网络不受非法用户的侵入,这类防火墙可以通过包过滤技术实现;另一类作用于应用层之上,控制对应用层的访问。
包过滤技术
应用层网关
精选课件
包过滤技术
包过滤技术是基于路由器技术的
普通的路由器只对分组的网络层包头进行处理,而包过滤路由器通过系统内部设置的包过滤规则(即访问控制表),检查TCP报头的端口号字节。
精选课件
包过滤规则举例
包过滤规则一般是基于部分或全部报头的内容。
精选课件
包过滤的流程图
包过滤路由器会对所有收到的分组按照每一条规则加以判断
凡是符合包转发规则的被转发
不符合包转发规则的包被丢弃。
精选课件
应用层网关
作用于应用层的防火墙技术称为应用层网关,应用层网关控制对应用层的访问。
应用层网关通过应用程序访问控制允许或禁止对某些程序的访问。
精选课件
防火墙的体系结构
在防火墙与网络的配置上,有以下3种典型结构:
双宿/多宿主机模式