【正文】 個(gè) M’， M’≠M(fèi)滿足 H(M) = H(M’)，在計(jì)算上也是不可行的。 網(wǎng)絡(luò)安全 104 HASH函數(shù)的應(yīng)用 ? Hash函數(shù)一般用于為信息產(chǎn)生驗(yàn)證值（數(shù)字指紋）。 ? Hash函數(shù)也常用于用戶口令存儲(chǔ)，以防口令被盜用。 ? Hash函數(shù)較著名的應(yīng)用是與公鑰加密體制聯(lián)合使用，以產(chǎn)生數(shù)字簽名。 網(wǎng)絡(luò)安全 105 數(shù)字簽名流程 ? 發(fā)送者使用一個(gè)單向散列函數(shù)對(duì)原始報(bào)文進(jìn)行運(yùn)算，生成報(bào)文摘要，并使用自己的私鑰（加密）報(bào)文摘要，形成自己的數(shù)字簽名； ? 發(fā)送者把數(shù)字簽名附在原始報(bào)文之后一起發(fā)送出去； ? 接收者使用同一個(gè)單向散列函數(shù)對(duì)接收的報(bào)文本身產(chǎn)生新的報(bào)文摘要，再使用發(fā)送者的公鑰對(duì)收到的數(shù)字簽名進(jìn)行解密，得到另一個(gè)報(bào)文摘要； ? 接收者比較兩個(gè)報(bào)文摘要是否一致，以確認(rèn)報(bào)文發(fā)送者的身份和報(bào)文是否被修改過(guò)。 網(wǎng)絡(luò)安全 106 數(shù)字簽名的創(chuàng)建和驗(yàn)證 A. 創(chuàng)建數(shù)字簽名 B. 驗(yàn)證數(shù)字簽名 報(bào)文摘要 簽 名 發(fā)送 比較 發(fā)方報(bào)文 私鑰 加密 發(fā)方報(bào)文 簽 名 發(fā)方報(bào)文 散列函數(shù) Hash處理 公鑰 解密 報(bào)文摘要 1 報(bào)文摘要 2 散列函數(shù) Hash處理 接收 網(wǎng)絡(luò)安全 107 數(shù)字簽名的特點(diǎn) 數(shù)字簽名 使用的是發(fā)送方的密鑰對(duì)： ? 發(fā)送方用自己的 私鑰 進(jìn)行加密，接收方用發(fā)送方的 公鑰進(jìn)行解密； ? 這是一個(gè) 一對(duì)多 的關(guān)系， 任何擁有發(fā)送方公開(kāi)密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性 。 ? 數(shù)字簽名只采用非對(duì)稱密鑰加密算法，它能保證發(fā)送信息的 完整性 、 真實(shí)性 和 不可否認(rèn)性 。 網(wǎng)絡(luò)安全 108 數(shù)字加密的特點(diǎn) 數(shù)字加密 使用的是接收方的密鑰對(duì)： ? 發(fā)送方用接收方 公鑰 進(jìn)行加密，接收方用自己的 私鑰 進(jìn)行解密； ? 這是 多對(duì)一 的關(guān)系， 任何知道接收方公開(kāi)密鑰的人都可以向接收方發(fā)送加密信息 ， 只有 唯一 擁有接收方私有密鑰的人才能對(duì)信息解密 。 ? 數(shù)字加密可采用對(duì)稱密鑰加密算法和非對(duì)稱密鑰加密算法相結(jié)合的方法，它能保證發(fā)送信息 保密性 。 網(wǎng)絡(luò)安全 109 網(wǎng)上身份認(rèn)證 ? 認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備（例如客戶機(jī)、服務(wù)器、交換機(jī)、路由器、防火墻等）的聲明身份的過(guò)程，即確定信息發(fā)送者或接收者的身份。 網(wǎng)絡(luò)安全 110 口令認(rèn)證 ? 口令認(rèn)證的一般方式 ： 用戶將自己的秘密告訴對(duì)方，后者在核對(duì)無(wú)誤后，便承認(rèn)前者的身份。 ? 主要問(wèn)題： ? 用戶的秘密可能被竊聽(tīng)或盜用，因?yàn)閷?duì)方在進(jìn)行核對(duì)用戶輸入的密碼時(shí)，也知道了用戶的秘密。 ? 這種傳統(tǒng)的密碼也極易被破解。主要原因是用戶警惕性不高與破解知識(shí)的普及。 網(wǎng)絡(luò)安全 111 加密認(rèn)證 ? 加密認(rèn)證 （ Cryptographic） – 雙方使用詢問(wèn)與應(yīng)答（ Challenge amp。 Response）技巧來(lái)識(shí)別對(duì)方。 ? 基于不同加密算法的認(rèn)證方式： – 利用秘密密鑰的認(rèn)證方式 。 – 利用公開(kāi)密鑰的認(rèn)證方式 。 網(wǎng)絡(luò)安全 112 秘密密鑰認(rèn)證過(guò)程 ? 假定 主認(rèn)證方 A、 被認(rèn)證方 B， 兩方持有同一密鑰 K， 其認(rèn)證過(guò)程如下： 接收 R，用 K加密得 X 被認(rèn)證方 B 生成隨機(jī)數(shù) R，發(fā)送 R 主認(rèn)證方 A R 發(fā)送 X 接收 X，用 K解密得 R’與 R比較。 X 網(wǎng)絡(luò)安全 113 公開(kāi)密鑰認(rèn)證過(guò)程 ? 假定 被認(rèn)證方 B的公開(kāi)密鑰為 KB， 私有密鑰為 Kb其認(rèn)證過(guò)程如下： 接收 R，用Kb 加密得 X 被認(rèn)證方 B 生成隨機(jī)數(shù) R，發(fā)送 R 主認(rèn)證方 A R 發(fā)送 X 接收 X，用 KB解密得 R’與 R比較。 X 網(wǎng)絡(luò)安全 114 發(fā)證機(jī)關(guān) ? 為了保證密鑰分發(fā)的權(quán)威性，應(yīng)設(shè)置網(wǎng)絡(luò)發(fā)證機(jī)關(guān)（ CA，Certificate Authority），專門(mén)負(fù)責(zé)頒發(fā)公開(kāi)密鑰的持有證書(shū)。 ? CA所辦法的證書(shū)旨在證明用戶持有公開(kāi)密鑰的真實(shí)性和有效性。 網(wǎng)絡(luò)安全 115 防火墻技術(shù) 1. 防火墻的基本概念 2. 防火墻的類型 3. 防火墻的結(jié)構(gòu) 網(wǎng)絡(luò)安全 116 1. 防火墻 的基本概念 ? 防火墻是用來(lái)連接兩個(gè)網(wǎng)絡(luò)并控制兩個(gè)網(wǎng)絡(luò)之間相互訪問(wèn)的一個(gè)系統(tǒng)或一組系統(tǒng) ，它在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略。 ? 防火墻包括用于網(wǎng)絡(luò)連接的 軟件 和 硬件 以及 控制訪問(wèn)的方案 。 ? 通常在 Inter和 Intra之間安裝防火墻，對(duì)進(jìn)出的所有數(shù)據(jù)進(jìn)行分析，并對(duì)用戶進(jìn)行認(rèn)證，從而防止有害信息進(jìn)入受保護(hù)網(wǎng)，保護(hù) Intra的安全。 ? 防火墻是 一類防范措施的總稱 。這類防范措施簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。它可以在 IP層設(shè)置屏障，也可以用應(yīng)用層軟件來(lái)阻止外來(lái)攻擊。 網(wǎng)絡(luò)安全 117 防火墻的主要功能 ? 過(guò)濾不安全服務(wù)和非法用戶，禁止未授權(quán)的用戶訪問(wèn)受保護(hù)網(wǎng)絡(luò)。 ? 控制對(duì)特殊站點(diǎn)的訪問(wèn)。 ? 提供監(jiān)視 Inter安全和預(yù)警的端點(diǎn)。 Inter 網(wǎng)絡(luò)安全 118 防火墻的局限性 ? 防火墻并非萬(wàn)能，影響網(wǎng)絡(luò)安全的因素很多，對(duì)于以下情況它無(wú)能為力： （ 1）不能防范繞過(guò)防火墻的攻擊。 （ 2）一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。 （ 3）不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。 （ 4）難以避免來(lái)自內(nèi)部的攻擊。 ? 防火墻只是網(wǎng)絡(luò)安全防范策略的一部分，而不是解決所有網(wǎng)絡(luò)安全問(wèn)題的靈丹妙藥。 網(wǎng)絡(luò)安全 119 防火墻的基本安全控制準(zhǔn)則 兩種基本的安全控制準(zhǔn)則： 1. 未經(jīng)許可的就是禁止的。 ? 防火墻阻塞所有流經(jīng)的信息，每一個(gè)服務(wù)請(qǐng)求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上。 ? 該理念的不足在于過(guò)于 強(qiáng)調(diào)安全而減弱了可用性 ，限制了用戶可以申請(qǐng)的服務(wù)的數(shù)量。 2. 未被禁止的均為許可的。 ? 約定防火墻總是傳遞所有的信息，此方式認(rèn)定每一個(gè)潛在的危害總是可以基于逐項(xiàng)審查而被杜絕。 ? 該理念的不足在于它 將可用性置于比安全更為重要的地位 ，增加了保證私有網(wǎng)安全性的難度。 網(wǎng)絡(luò)安全 120 2. 防火墻的類型 ? 不同的連接方式和功能對(duì)防火墻的要求也不一樣，為了滿足各種網(wǎng)絡(luò)連接的要求，目前防火墻按照防護(hù)原理主要分為兩種類型： ? 網(wǎng)絡(luò)級(jí)防火墻 ? 應(yīng)用級(jí)防火墻 網(wǎng)絡(luò)安全 121 網(wǎng)絡(luò)級(jí)防火墻 ? 網(wǎng)絡(luò)級(jí)防火墻 也稱 包過(guò)濾防火墻 ，通常由一臺(tái)路由器或一臺(tái)充當(dāng)路由器的計(jì)算機(jī)組成。 ? Inter/Intra上的所有信息都是以 IP數(shù)據(jù)包的形式傳輸?shù)?，兩個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)傳送都要經(jīng)過(guò)防火墻。 ? 包過(guò)濾路由器對(duì)所接收的每個(gè)數(shù)據(jù)包進(jìn)行審查，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。 ? 注意： 包過(guò)濾防火墻是一種基于網(wǎng)絡(luò)層的安全技術(shù)，對(duì)于應(yīng)用層上的黑客行為無(wú)能為力。這一類的防火墻產(chǎn)品主要有防火墻路由器、在充當(dāng)路由器的計(jì)算機(jī)上運(yùn)行的防火墻軟件等。 網(wǎng)絡(luò)安全 122 數(shù)據(jù)包過(guò)濾的原理 ? 在路由器上 建立訪問(wèn)列表過(guò)濾規(guī)則 ，實(shí)現(xiàn)對(duì)外界計(jì)算機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的限制，也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問(wèn) Inter。 ? 路由器只對(duì)允許通過(guò)特定端口上的數(shù)據(jù)加以路由，過(guò)濾器的主要功能就是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包 實(shí)施有選擇的轉(zhuǎn)發(fā)。 ? 依照 IP（ Inter Protocol）包信息為基礎(chǔ)，根據(jù) IP源地址、 IP目標(biāo)地址、封裝協(xié)議端口號(hào)，確定它是否允許該數(shù)據(jù)包通過(guò)。 網(wǎng)絡(luò)安全 123 應(yīng)用級(jí)防火墻 ? 應(yīng)用級(jí)防火墻通常指運(yùn)行代理（ Proxy）服務(wù)器軟件的一部多宿主計(jì)算機(jī)主機(jī)。 ? 由于該計(jì)算機(jī)負(fù)責(zé)在不同網(wǎng)絡(luò)之間交換數(shù)據(jù)，并在應(yīng)用層進(jìn)行用戶身份認(rèn)證與服務(wù)請(qǐng)求的合法性檢查，因此通常成為 應(yīng)用層網(wǎng)關(guān) 。 ? 這種方式的防火墻能夠滿足高安全性的要求。但由于代理軟件必須分析網(wǎng)絡(luò)數(shù)據(jù)包并作出訪問(wèn)控制決定，從而影響網(wǎng)絡(luò)的性能。 網(wǎng)絡(luò)安全 124 應(yīng)用層網(wǎng)關(guān) ? 應(yīng)用層網(wǎng)關(guān)又稱為堡壘主機(jī) (Bastion Host)。 ? 堡壘主機(jī)的硬件執(zhí)行一個(gè)安全版本的操作系統(tǒng)。經(jīng)過(guò)特殊的設(shè)計(jì)，避免了操作系統(tǒng)的弱點(diǎn)，保證防火墻的完整性。 ? 堡壘主機(jī)運(yùn)行代理服務(wù)程序，提供代理服務(wù)，故稱為代理服務(wù)器 (Proxy Server) 。 網(wǎng)絡(luò)安全 125 代理服務(wù) ? 應(yīng)用層網(wǎng)關(guān)通過(guò)代理服務(wù) (Proxy Service)，將通過(guò)防火墻的通信鏈路分為兩段：一段從外部網(wǎng)絡(luò)節(jié)點(diǎn)到達(dá)代理服務(wù)器，另一段從內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)到達(dá)代理服務(wù)器。 ? 代理服務(wù)由服務(wù)器端程序和客戶端程序構(gòu)成。當(dāng)客戶端需要獲得某項(xiàng)服務(wù)時(shí)，向代理服務(wù)器發(fā)出請(qǐng)求，代理服務(wù)器再與要訪問(wèn)的真實(shí)服務(wù)器建立連接。因此內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間不存在直接的連接。 ? 代理服務(wù)器同時(shí)提供日志和審計(jì)服務(wù)。 網(wǎng)絡(luò)安全 126 防火墻的結(jié)構(gòu) ? 雙宿主機(jī)網(wǎng)關(guān) ? 屏蔽主機(jī)網(wǎng)關(guān) ? 屏蔽子網(wǎng)網(wǎng)關(guān) 網(wǎng)絡(luò)安全 127 防火墻的結(jié)構(gòu) 1．雙宿主機(jī)網(wǎng)關(guān) ? 作為代理服務(wù)器的堡壘主機(jī)上有兩個(gè)網(wǎng)絡(luò)適配器，其中一個(gè)連接 Intra內(nèi)部網(wǎng)，；另一個(gè)連接 Inter。 Inter 雙宿堡壘主機(jī) 網(wǎng)絡(luò)安全 128 防火墻的結(jié)構(gòu) 2．屏蔽主機(jī)網(wǎng)關(guān) ? 由一個(gè)包過(guò)濾路由器加堡壘主機(jī)構(gòu)成。 ? 包過(guò)濾路由器隔離堡壘主機(jī)和外部網(wǎng)絡(luò)，堡壘主機(jī)是內(nèi)部網(wǎng)絡(luò)中可到達(dá) Inter的唯一主機(jī)。 Inter 單宿堡壘主機(jī) Inter 雙宿堡壘主機(jī) 網(wǎng)絡(luò)安全 129 防火墻的結(jié)構(gòu) 3．屏蔽子網(wǎng)網(wǎng)關(guān) ? 由兩個(gè)包過(guò)濾路由器加堡壘主機(jī)構(gòu)成。 ? 在內(nèi)部網(wǎng)絡(luò)和 Inter之間構(gòu)成了一個(gè)小型的獨(dú)立的屏蔽子網(wǎng)。堡壘主機(jī)和各類公用服務(wù)器放在子網(wǎng)中。 Inter 屏蔽子網(wǎng) 網(wǎng)絡(luò)安全 130 復(fù)習(xí)思考題 1. 計(jì)算機(jī)網(wǎng)絡(luò)安全研究哪些問(wèn)題？ 2. 了解各種網(wǎng)絡(luò)安全威脅的具體表現(xiàn)和來(lái)源，理解網(wǎng)絡(luò)安全問(wèn)題的根源。 3. 什么是密碼學(xué)？理解明文、密文、加密、解密等術(shù)語(yǔ)。 4. 什么是算法？什么是密鑰？密碼系統(tǒng)由哪些部分構(gòu)成？ 5. 什么是對(duì)稱密碼體制？什么是非對(duì)稱密碼體制？二者的代表性算法各是什么？二者有何區(qū)別？ 6. 數(shù)字簽名和數(shù)字加密有何區(qū)別？ 7. 數(shù)字信封如何實(shí)現(xiàn)？ 8. 什么是防火墻？防火墻的主要功能是什么？ 9. 防火墻如何分類？各類防火墻有何特點(diǎn)？