《6.2--网络安全防护技术.ppt》由会员分享,可在线阅读,更多相关《6.2--网络安全防护技术.ppt(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、6.2 6.2 网络安全防护技术网络安全防护技术一一 防火墙技术防火墙技术 从计算机网络安全技术的角度看,防火墙是一个连接两个或更多物理网络,并把分组从一个网络转发到另一个网络的意义上的路由器,它将网络分成内部网络和外部网络。1.1.防火墙的定义防火墙的定义6.2 6.2 网络安全防护技术网络安全防护技术 在被保护网络和外部网络之间建立一道屏障,通过相应的访问控制策略(允许、拒绝、监测、记录)控制进出网络的访问行为。2.2.防火墙的目的防火墙的目的6.2 6.2 网络安全防护技术网络安全防护技术6.2 6.2 网络安全防护技术网络安全防护技术 通常意义下的防火墙具有以下三个方面的特征:所有的网
2、络数据流都必须经过防火墙:不同安全级别的网络或安全域之间的唯一通道。3.3.防火墙的特征防火墙的特征6.2 6.2 网络安全防护技术网络安全防护技术防火墙是安全策略的检查站:只有被防火墙策略明确授权的通信才可以通过。6.2 6.2 网络安全防护技术网络安全防护技术防火墙具有非常强的抗攻击能力。1.防火墙系统自身具有高安全性和高可靠性。这是防火墙能担当企业内部网络安全防护重任的先决条件。一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。6.2 6.2 网络安全防护技术网络安全防护技术4 防火墙的功能防火墙的功能l限定内部用户访问特殊站点;l防止未授权用户访问内部网络;1.
3、1.过滤和管理过滤和管理l允许内部网络中的用户访问外部网络的服务和资源;l不泄漏内部网络的数据和资源;2.2.保护和隔离保护和隔离6.2 6.2 网络安全防护技术网络安全防护技术5 防火墙防火墙分类分类 通过软件的方式来达到,价格便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。1.1.软件防火墙软件防火墙 采用电路级设计,通常使算法设计专用芯片,效率最高,但价格较贵,一般小型企业和个人很难实现。2.2.硬件防火墙硬件防火墙6.2 6.2 网络安全防护技术网络安全防护技术 基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力
4、更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。3.3.芯片级防火墙芯片级防火墙6.2 6.2 网络安全防护技术网络安全防护技术5 工作方式工作方式 防火墙的工作方式主要分为包过滤型、应用代理型和状态检测型。包过滤(Packet filtering)防火墙是最简单的防火墙,通常只包括对源和目的的IP地址及端口的检查。1.1.包过滤型包过滤型 6.2 6.2 网络安全防护技术网络安全防护技术 包过滤防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地
5、址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。包过滤防火墙的原理包过滤防火墙的原理6.2 6.2 网络安全防护技术网络安全防护技术包过滤型防火墙包过滤型防火墙 6.2 6.2 网络安全防护技术网络安全防护技术包过滤防火墙逻辑简单、价格便宜、网络性能和透明性好。它的不足之处也显而易见,包过滤防火墙配置困难,且无法满足各种安全要求,缺少审计和报警机制。包过滤防火墙的优缺点包过滤防火墙的优缺点6.2 6.2 网络安全防护技术网络安全防护技术应用代理型防火墙(Application Proxy)工作在OSI的最高层,
6、即应用层。其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。2.2.应用代理型应用代理型6.2 6.2 网络安全防护技术网络安全防护技术6.2 6.2 网络安全防护技术网络安全防护技术6 防火墙结构防火墙结构 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。与一台计算机结构差不多,价格昂贵。1.1.单一主机防火墙单一主机防火墙6.2 6.2 网络安全防护技术网络安全防护技术单一主机防火墙单一主机防火墙6.2 6.2 网络安全防护技术网络安全防护技术 这
7、种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能,如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。2.2.路由器集成式防火墙路由器集成式防火墙6.2 6.2 网络安全防护技术网络安全防护技术 分布式防火墙不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。3.3.分布式防火墙分布式防火墙6.2 6.2 网络安全防护技术网络安全防护技术7 防火墙在网络中的位置防火墙在网络中的位置 1.1.安装防
8、火墙以前的网络安装防火墙以前的网络 6.2 6.2 网络安全防护技术网络安全防护技术2.2.安装防火墙后的网络安装防火墙后的网络 6.2 6.2 网络安全防护技术网络安全防护技术 数据备份概述数据备份概述 随着信息化建设的进展,各种应用系统的运行,必然会产生大量随着信息化建设的进展,各种应用系统的运行,必然会产生大量的数据,而这些数据作为企业和组织最重要的资源,越来越受到大家的数据,而这些数据作为企业和组织最重要的资源,越来越受到大家的重视。同样,由于数据量的增大和新业务的涌现,如何确保数据的的重视。同样,由于数据量的增大和新业务的涌现,如何确保数据的一致性、安全性和可靠性;如何解决数据集中管
9、理后的安全问题,建一致性、安全性和可靠性;如何解决数据集中管理后的安全问题,建立一个强大的、高性能的、可靠的数据备份平台是当务之急。数据遭立一个强大的、高性能的、可靠的数据备份平台是当务之急。数据遭到破坏,有人为的因素,也有各种不可预测的因素。到破坏,有人为的因素,也有各种不可预测的因素。有专业机构的研究数据表明:丢失有专业机构的研究数据表明:丢失300MB的数据的数据对于市场营销部对于市场营销部门就意味着门就意味着13万元人民币的损失,对财务部门意味着万元人民币的损失,对财务部门意味着16万的损失,对万的损失,对工程部门来说损失可达工程部门来说损失可达80万。而丢失的关键数据如果万。而丢失的
10、关键数据如果15天内仍得不到天内仍得不到恢复,企业就有可能被淘汰出局。恢复,企业就有可能被淘汰出局。二二 数据备份与恢复数据备份与恢复6.2 6.2 网络安全防护技术网络安全防护技术6.2 6.2 网络安全防护技术网络安全防护技术数据备份概述数据备份概述 数据备份就是将数据以某种方式加以保留,以便在系统需数据备份就是将数据以某种方式加以保留,以便在系统需要时重新恢复和利用。其作用主要体现在如下两个方面:要时重新恢复和利用。其作用主要体现在如下两个方面:1在数据遭到意外事件破坏时,通过数据恢复还原数据。在数据遭到意外事件破坏时,通过数据恢复还原数据。2数据备份是历史数据保存归档的最佳方式。数据备
11、份是历史数据保存归档的最佳方式。备备份份的的最最基基本本问问题题是是:为为保保证证能能恢恢复复全全部部系系统统,需需要要备备份多少以及何时进行备份。目前常用的备份方法备份策略有:份多少以及何时进行备份。目前常用的备份方法备份策略有:(1)全盘备份)全盘备份;(2)增量备份)增量备份;(3)差异备份)差异备份;(4)按需备份)按需备份6.2 6.2 网络安全防护技术网络安全防护技术传统存储模式与现代存储模式传统存储模式与现代存储模式 传传统统的的企企业业业业务务数数据据存存储储备备份份和和灾灾难难恢恢复复思思想想是是每每天天将将企企业业业业务务数数据据备备份份在在磁磁带带库库中中,以以在在发发生
12、生紧紧急急情情况况时时实实现现保保护护和和恢恢复复。但但是是近近年年来来,关关键键数数据据的的范范围围正正在在日日益益扩扩大大,处处于于常常规规生生产产系系统统之之外外的的电电子子邮邮件件、知知识识产产权权、客客户户关关系系管管理理、企企业业计计划划资资源源、电电子子业业务务、电电子子商商务务、供供应应链链和和交交易易记记录录都都存存放放在在网网络络数数据据库库中中,再再加加上上“911”事事件件之之后后,提提出出了了对对数数据据安安全全存存储储更更高高的的要要求求,这这种种基基于于磁磁磁磁带带带带的的的的传传传传统统统统数数数数据据据据备备备备份份份份和和和和灾灾灾灾难难难难恢恢恢恢复复复复
13、模模模模式式式式已已已已经经经经不不不不能能能能再再再再满满满满足足足足新新新新的的的的客客客客户户户户需需需需求求求求。因因此此,采采采采用用用用最最最最新新新新技技技技术术术术信信信信息息息息基基基基础础础础架架架架构构构构或或或或存存存存储储储储网网网网络络络络的的的的新新新新业业业业务务务务连连连连续续续续性性性性计计计计划划划划,从从而而将将员员工工解解放放出出来来,转转而而去去从从事事更更富富生生产产力力的的工工作作,提提高高人人员员和和资资源源重重新新部部署署的的效效率率,并并缩缩短短重重新新恢恢复复关关键键性性业业务务功功能能的的时间成为了新的追求。时间成为了新的追求。6.2
14、6.2 网络安全防护技术网络安全防护技术异地备份异地备份 为了有效地进行灾难恢复,重要的网络系统和应用为了有效地进行灾难恢复,重要的网络系统和应用系统的数据库必须进行异地备份,这里指的系统的数据库必须进行异地备份,这里指的“异地异地”,指的是在两个以上不同城市甚至是不同国家之间进行热指的是在两个以上不同城市甚至是不同国家之间进行热备份。比如,中国人民银行总行网络系统的中心主机设备份。比如,中国人民银行总行网络系统的中心主机设在北京,可同时在上海和广州设立实时热备份的主机,在北京,可同时在上海和广州设立实时热备份的主机,即将银行资料同时备份在三个城市的计算机上,如下图即将银行资料同时备份在三个城
15、市的计算机上,如下图所示。如果北京中心主机或主机房被破坏,则可及时地所示。如果北京中心主机或主机房被破坏,则可及时地从上海和广州的存储介质上恢复系统程序和数据,而且从上海和广州的存储介质上恢复系统程序和数据,而且还可用广州或上海的主机代替北京中心主机继续进行银还可用广州或上海的主机代替北京中心主机继续进行银行交易活动。行交易活动。6.2 6.2 网络安全防护技术网络安全防护技术6.2 6.2 网络安全防护技术网络安全防护技术目前比较常见的远程备份方式有:目前比较常见的远程备份方式有:(1)定期磁带备份数据)定期磁带备份数据远程远程磁带库磁带库、光盘库光盘库备份。即将数据传送到远程备份中备份。即
16、将数据传送到远程备份中心制作完整的备份磁带或光盘。心制作完整的备份磁带或光盘。采用磁带备份数据,生产采用磁带备份数据,生产机实时向备份机发送关键数据。机实时向备份机发送关键数据。(2)远程数据库备份)远程数据库备份就是在与主数据库所在生产机相分离的备份机上建立主就是在与主数据库所在生产机相分离的备份机上建立主数据库的一个拷贝。数据库的一个拷贝。(3)网络数据镜像)网络数据镜像这种方式是对生产系统的数据库数据和所需跟踪的重要这种方式是对生产系统的数据库数据和所需跟踪的重要目标文件的更新进行监控与跟踪,并将更新日志实时通过网目标文件的更新进行监控与跟踪,并将更新日志实时通过网络传送到备份系统,备份
17、系统则根据日志对磁盘进行更新。络传送到备份系统,备份系统则根据日志对磁盘进行更新。6.2 6.2 网络安全防护技术网络安全防护技术(4)远程镜像磁盘)远程镜像磁盘通过高速光纤通道线路和磁盘控制技术将镜像磁盘延通过高速光纤通道线路和磁盘控制技术将镜像磁盘延伸到远离生产机的地方,镜像磁盘数据与主磁盘数据完全伸到远离生产机的地方,镜像磁盘数据与主磁盘数据完全一致,更新方式为同步或异步。一致,更新方式为同步或异步。6.2 6.2 网络安全防护技术网络安全防护技术数据备份必须要考虑到数据备份必须要考虑到数据恢复数据恢复的问题,包括采用的问题,包括采用双双机热备机热备、磁盘镜像或容错、备份磁带异地存放、关
18、键部件、磁盘镜像或容错、备份磁带异地存放、关键部件冗余等多种灾难预防措施。这些措施能够在系统发生故障冗余等多种灾难预防措施。这些措施能够在系统发生故障后进行系统恢复。但是这些措施一般只能处理计算机单点后进行系统恢复。但是这些措施一般只能处理计算机单点故障,对区域性、毁灭性灾难则束手无策,也不具备灾难故障,对区域性、毁灭性灾难则束手无策,也不具备灾难恢复能力。恢复能力。对对计计算算机机系系统统进进行行全全面面的的备备份份,并并不不只只是是简简单单地地进进行行文文件件拷拷贝贝。一一个个完完整整的的系系统统备备份份方方案案,应应由由备备份份硬硬件件、备备份份软软件件、日日常常备备份份制制度度和和灾灾
19、难难恢恢复复措措施施四四个个部部份份组组成成。选选择择了了备备份份硬硬件件和和软软件件后后,还还需需要要根根据据本本单单位位的的具具体体情情况况制制定定日日常常备备份份制制度度和和灾灾难难恢恢复复措措施施,并并由由系系统统管管理理人人员员切切实实执行备份制度。执行备份制度。6.2 6.2 网络安全防护技术网络安全防护技术1.系统还原卡系统还原卡 2.3.系统还原卡可以在硬盘非物理损坏的情况下,系统还原卡可以在硬盘非物理损坏的情况下,让硬盘系统数据恢复到预先设置的状态。让硬盘系统数据恢复到预先设置的状态。4.可以利用系统还原卡,在受到病毒、误删除、可以利用系统还原卡,在受到病毒、误删除、故意破坏
20、硬盘的数据时,都可以轻易地还原系统。故意破坏硬盘的数据时,都可以轻易地还原系统。6.2 6.2 网络安全防护技术网络安全防护技术克隆大师克隆大师Ghost 克克隆隆大大师师Norton Ghost是是最最著著名名的的硬硬盘盘备备份份工工具具,Ghost 对对现现有有的的操操作作系系统统都都有有良良好好的的支支持持,包包括括DOS、Windows、Linux、Unix等操作系统。等操作系统。Ghost主要功能有:主要功能有:1硬盘备份硬盘备份 Ghost对对硬硬盘盘进进行行备备份份是是按按照照簇簇方方式式将将硬硬盘盘上上的的所所有有内内容容全全部部备备份份下下来来,并并可可采采用用映映像像文文件
21、件形形式式保保存存在在另另外外一一个个硬硬盘盘上上,在在需需要要恢恢复复整整个个硬硬盘盘数数据据时时,就就可可以以利利用用这这个个映映像像文文件件,还原原硬盘上的所有数据。还原原硬盘上的所有数据。6.2 6.2 网络安全防护技术网络安全防护技术 2硬盘恢复硬盘恢复 硬盘恢复就是在硬盘上的系统文件受到严重硬盘恢复就是在硬盘上的系统文件受到严重破坏的情况下,用已备份的映像文件,恢复被破破坏的情况下,用已备份的映像文件,恢复被破坏的硬盘。坏的硬盘。3硬盘复制硬盘复制 利用利用Ghost中的硬盘复制功能可以迅速地将一中的硬盘复制功能可以迅速地将一个硬盘上的所有数据和内容复制到其它硬盘上。个硬盘上的所有
22、数据和内容复制到其它硬盘上。4分区复制分区复制 Ghost还允许以硬盘分区为单位,对硬盘上某还允许以硬盘分区为单位,对硬盘上某个分区进行复制、备份恢复,为用户提供了更灵个分区进行复制、备份恢复,为用户提供了更灵活的硬盘保护方式。活的硬盘保护方式。目标分区容量要大于原始分区。目标分区容量要大于原始分区。6.2 6.2 网络安全防护技术网络安全防护技术 10.5 数据恢复数据恢复 数数据据恢恢复复就就是是把把遭遭到到破破坏坏、删删除除和和修修改改的的数数据据还还原原为为可使用数据的过程。可使用数据的过程。10.5.1 数据恢复概述数据恢复概述 可以将数据恢复分为两种情况:可以将数据恢复分为两种情况
23、:(1)因因为为计计算算机机病病毒毒破破坏坏、人人为为破破坏坏和和人人为为误误操操作作造造成成当当前前的的系系统统数数据据或或用用户户数数据据丢丢失失或或损损坏坏,但但存存储储数数据据的的物物理理介介质质没没有有遭遭到到破破坏坏,原原始始的的备备份份数数据据也也保保存存良良好好,这这种种情情况况下下只只要要使使用用备备份份软软件件或或应应用用程程序序的的还还原原功功能能,就就基基本上可以恢复所损坏的数据;本上可以恢复所损坏的数据;6.2 6.2 网络安全防护技术网络安全防护技术 (2)当当前前数数据据和和原原始始的的备备份份数数据据都都遭遭到到破破坏坏,甚甚至至存存储储数数据据的的物物理理介介
24、质质也也出出现现逻逻辑辑或或物物理理上上的的故障,这种情况将会引起灾难性后果。故障,这种情况将会引起灾难性后果。数数据据恢恢复复比比较较困困难难的的是是后后一一种种情情况况,如如硬硬盘盘故故障障。为为了了提提高高数数据据的的修修复复率率,在在发发现现硬硬盘盘数数据据丢丢失失或或遭遭到到破破坏坏时时,最最重重要要的的就就是是注注意意“保保护护好好现场现场”,要立即禁止对硬盘再进行新的写操作。,要立即禁止对硬盘再进行新的写操作。6.2 6.2 网络安全防护技术网络安全防护技术 进进行行数数据据恢恢复复之之前前,首首要要的的一一点点就就是是认认真真、细细致致地地制制订订恢复计划,对每一步操作都有一个
25、明确的目的。恢复计划,对每一步操作都有一个明确的目的。在在进进行行每每一一步步操操作作之之前前就就考考虑虑好好做做完完该该步步之之后后能能达达到到什什么么目目的的,可可能能造造成成什什么么后后果果,能能不不能能回回退退至至上上一一状状态态。特特别别是对于一些破坏性操作,一定要考虑周到。是对于一些破坏性操作,一定要考虑周到。只只要要条条件件允允许许,就就一一定定要要在在操操作作之之前前对对要要恢恢复复的的数数据据进进行镜像备份,以防止数据恢复失败和误操作。行镜像备份,以防止数据恢复失败和误操作。要要注注意意的的是是,应应该该先先抢抢救救那那些些最最有有把把握握能能恢恢复复的的数数据据,恢复一点,
26、就备份一点。恢复一点,就备份一点。6.2 6.2 网络安全防护技术网络安全防护技术硬盘数据恢复硬盘数据恢复 对硬盘来说,如果整个系统瘫痪、系统无对硬盘来说,如果整个系统瘫痪、系统无法启动,恢复数据可以先从硬盘的法启动,恢复数据可以先从硬盘的5个区域入手,个区域入手,首先恢复首先恢复MBR(主引导记录区),然后恢复(主引导记录区),然后恢复DBR(操作系统引导记录区),操作系统引导记录区),FAT(文件分配表),(文件分配表),FDT(文件目录表),最后恢复数据文件。必要(文件目录表),最后恢复数据文件。必要时,系统需要检测磁道,修复时,系统需要检测磁道,修复0磁道和其他坏磁磁道和其他坏磁道。道
27、。6.2 6.2 网络安全防护技术网络安全防护技术对信息进行对信息进行加密加密可以防止攻击者窃取网络机密信息,可以使系可以防止攻击者窃取网络机密信息,可以使系统信息不被无关者识别,也可以检测出非法用户对数据的插统信息不被无关者识别,也可以检测出非法用户对数据的插入、删除、修改及滥用有效数据的各种行为。入、删除、修改及滥用有效数据的各种行为。基于数据加密的数字签名和鉴别技术除具有保密功能外,还可基于数据加密的数字签名和鉴别技术除具有保密功能外,还可以进行用户的身份验证和数据源及其内容的鉴别。以进行用户的身份验证和数据源及其内容的鉴别。三三 数据加密概述数据加密概述6.2 6.2 网络安全防护技术
28、网络安全防护技术加密在网络上的作用就是防止有价值的信息在网上被窃加密在网络上的作用就是防止有价值的信息在网上被窃取并识别;取并识别;基于加密技术的鉴别的作用是用来确定用户身份的真实基于加密技术的鉴别的作用是用来确定用户身份的真实性和数据的真实性。性和数据的真实性。6.2 6.2 网络安全防护技术网络安全防护技术加密加密:把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程明文明文(Plain Text):原来的信息(报文)、消息,就是网络中所说的报文(Message)密文密文(Cipher Text):经过加密后得到的信息解密解密:将密文还原为明文的过程6.2 6.2 网络安
29、全防护技术网络安全防护技术密钥密钥(Key):加密和解密时所使用的一种专门信息(工具)密码算法密码算法(Algorithm):加密和解密变换的规则(数学函数),有加密算法和解密算法加密系统加密系统:加密和解密的信息处理系统加密过程加密过程是通过某种算法并使用密钥来完成的信息变换6.2 6.2 网络安全防护技术网络安全防护技术明文P解密密钥Kd解密(D)加密密钥Ke加密(E)明文P密文C攻击者 简单的密码系统示意图简单的密码系统示意图6.2 6.2 网络安全防护技术网络安全防护技术传统密码技术数据的表示替代密码移位密码一次一密钥密码6.2 6.2 网络安全防护技术网络安全防护技术数据的表示数据的
30、表示传统加密方法加密的对象是文字信息。文字由字母表中的字母组成,在表中字母是按顺序排列的,赋予它们相应的数字标号,即可用数学方法进行运算(变换)了。将字母表中的字母看作是循环的,则字母的加减形成的代码可用求模运算来表示了。如 A+4=E,X+6=D (mod 26)6.2 6.2 网络安全防护技术网络安全防护技术替代密码替代密码替代也叫置换。替代密码就是明文中的每个或每组字符由另一个或另一组字符所替换,即形成密文。6.2 6.2 网络安全防护技术网络安全防护技术简单替代密码简单替代密码简单替代的就是明文的一个字母,用相应的密文字母代替。规律是根据密钥形成一个新的字母表,与原明文字母表有相应的对
31、应关系。6.2 6.2 网络安全防护技术网络安全防护技术典型的一种替代密码是凯撒密码,又叫循环移位密码。其加密方法就是将明文中的每个字母都用其右边固定步长的字母代替,构成密文。例如:步长为4,则明文A、B、C、Y、Z可分别由E、F、G、C、D代替。如果明文是“about”,则变为密文“efsyx”,其密钥k=+4。两个循环的字母表对应。6.2 6.2 网络安全防护技术网络安全防护技术移位密码移位密码移位密码变换:只对明文字母重新排序,位置变化了,而不隐藏它们。是一种打乱原文顺序的替代法。把明文按行写出,读出时按列进行,得到的即为密文。6.2 6.2 网络安全防护技术网络安全防护技术如明文为“t
32、his is a bookmark”,将其分为三行五列,则为以下形式:t h i s i s a b o o k m a r k按列从左至右读,可得到密文:tskhamibasoriok6.2 6.2 网络安全防护技术网络安全防护技术一次一次一密钥密码一密钥密码 一次一密钥密码是一种理想的加密方案。就是一个随机密码字母集,包括多个随机密码,这些密码就好象一个本,其中每页上记录一条密码。类似日历的使用过程,每使用一个密码加密一条信息后,就将该页撕掉作废,下次加密时再使用下一页的密码。6.2 6.2 网络安全防护技术网络安全防护技术发送者使用密钥本中每个密钥字母串去加密一条明文字母串接收者有一个同
33、样的密钥本,并依次使用密钥本上的每个密钥去解密密文的每个字母串。接收者在解密信息后也销毁密钥本中用过的一页密钥。6.2 6.2 网络安全防护技术网络安全防护技术一次一密密码在今天仍有应用场合,主要用于高度机密的低带宽信道。美国与前苏联之间的热线电话据说就是用一次一密密钥本加密的,许多前苏联间谍传递的信息也是用一次一密钥密码加密的。至今这些信息仍是保密的,并将一直保密下去。6.2 6.2 网络安全防护技术网络安全防护技术公开密钥密码体制公钥密钥密码体制的概念公钥密钥密码体制的概念加密密钥与解密密钥不同,且由其中一 个不容易得到另一个,则这种密码系统是非对称密钥系统。往往其中一个密钥是公开的,另一
34、个是保密的。因此,相应的密码体制叫公开密钥密码体制。6.2 6.2 网络安全防护技术网络安全防护技术网络保密通信通信安全通信安全要保证系统的通信安全,就要充分认识到网络系统的脆弱性,特别是网络通信系统和通信协议的弱点,估计到系统可能遭受的各种威胁,采取相应的安全策略,尽可能地减少系统面临的各种风险,保证计算机网络系统具有高度的可靠性、信息的完整性和保密性。6.2 6.2 网络安全防护技术网络安全防护技术网络通信系统可能面临各种各样的威胁,如来自各种自然灾害、恶劣的系统环境、人为破坏和误操作等。所以,要保护网络通信安全,不仅必须要克服各种自然和环境的影响,更重要的是要防止人为因素造成的威胁。6.
35、2 6.2 网络安全防护技术网络安全防护技术通信加密通信加密(1)硬件加密和软件加密硬件加密和软件加密 网络中的数据加密可分为两个途径,一种是通过硬件实现数据加密,一种是通过软件实现数据加密。通过硬件实现网络数据加密有三种方式:链路加密、节点加密和端-端加密;软件数据加密就是指使用前述的加密算法进行的加密。6.2 6.2 网络安全防护技术网络安全防护技术硬件加密:硬件加密:所有加密产品都有特定的硬件形式。这些加、解密硬件被嵌入到通信线路中,然后对所有通过的数据进行加密。虽然软件加密在今天正变得很流行,但硬件加密仍是商业和军事等领域应用的主要选择。选用硬件加密的原因有:6.2 6.2 网络安全防
36、护技术网络安全防护技术快速。加密算法中含有许多复杂运算,采用硬件措施将提高速度,而用软件实现这些复杂运算将影响速度;安全。使用硬件加密设备可将加密算法封装保护,以防被修改。易于安装。将专用加密硬件放在电话、传真机中比设置在微处理器中更方便。安装一个加密设备比修改配置计算机系统软件更容易。6.2 6.2 网络安全防护技术网络安全防护技术软件加密:软件加密:任何加密算法都可用软件实现。软件实现的劣势是速度、开销和易于改动,而优势是灵活性和可移植性,易使用,易升级。软件加密程序很大众化,并可用于大多数操作系统。这些加密程序可用于保护个人文件,用户通常用手工加/解密文件。软件加密的密钥管理很重要,密钥
37、不应该存储在磁盘中,密钥和未加密文件在加密后应删除。6.2 6.2 网络安全防护技术网络安全防护技术鉴别与认证技术网络安全系统的一个重要方面是防止非法用户对系统的主动攻击。鉴别鉴别(Authentication 也叫验证)是防止主动攻击的重要技术。鉴别的目的就是验证一个用户身份的合法性和用户间传输信息的完整性与真实性。6.2 6.2 网络安全防护技术网络安全防护技术鉴别包括报文鉴别和身份验证。报文鉴别报文鉴别是为了确保数据的完整性和真实性,对报文的来源、时间性及目的地进行验证。身份验证身份验证是验证进入网络系统者是否是合法用户,以防非法用户访问系统报文鉴别和身份验证可采用数字签名技术来实现。6
38、.2 6.2 网络安全防护技术网络安全防护技术数字签名数字签名数字签名数字签名(Digital Signature)可解决手写签名中的签字人否认签字或其他人伪造签字等问题。因此,被广泛用于银行的信用卡系统、电子商务系统、电子邮件以及其他需要验证、核对信息真伪的系统中。6.2 6.2 网络安全防护技术网络安全防护技术手工签名是模拟的,因人而异,而数字签名数字式的(0、1数字串),因信息而异。数字签名的功能:收方能够确认发方的签名,但不能伪造;发方发出签过名的信息后,不能再否认;收方对收到的签名信息也不能否认;一旦收发方出现争执,仲裁者可有充足的证据进行评判。6.2 6.2 网络安全防护技术网络安
39、全防护技术数字签名的主要方式是:报文的发送方利用单向散列函数从报文文本中生成一个128位的散列值。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后,该数字签名将作为报文的附件和报文一起发送给报文的接收方。6.2 6.2 网络安全防护技术网络安全防护技术报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密得到原散列值。如果这两个散列值相同,则接收方就能确认该数字签名是发送方的。6.2 6.2 网络安全防护技术网络安全防护技术单向函数明文信息摘要签名后的信息摘要密文签名后的信息摘要用A的私钥签名发送方A明文信息摘要签名后的信息摘要密文签名后的信息摘要用A的公钥验证接收方B信息摘要单向函数比较数字签名和验证过程数字签名和验证过程