【正文】 類是駭客，他們只想引人注目，證明自己的能力，在進人網(wǎng)絡系統(tǒng)后，不會去破壞系統(tǒng)，或者僅僅會做一些無傷大雅的惡作劇，他們追求的是從侵人行為本身獲得巨大的成功滿足感； – 另一類是竊客，他們的行為帶有強烈的目的性，早期的這些黑客主要是竊取國家情報、科研情報，而現(xiàn)在的這些黑客的目標大部分瞄準了銀行的資金和電子商務的整個交易過程。 密碼技術(shù) F 由于 Inter 是一種真正意義的全球網(wǎng)，所以假如沒有加密技術(shù)的幫助，所有的通信都會毫無?秘密?可言 – 對一家打算從事電子商務的公司而言 — 亦即通過 Inter銷售產(chǎn)品和提供服務，通信的安全是一個最基本的前提； – 在 Inter上，每個人都需要、而且有權(quán)利保護自己的個人隱私。某人上網(wǎng)之后，對隱私的這種要求并未消失。 F 密碼 技術(shù)可有效地解決這些問題。 基本概念 對稱密鑰密碼體系 非對稱密鑰密碼體系 數(shù)字簽名 基本概念 加密過程 密文明文信息源結(jié)點解密過程密文 明文信息目的結(jié)點數(shù)據(jù)加密與解密的過程 ?密碼是含有一個參數(shù) k的數(shù)學變換，即 C = Ek（ m） ?m是未加密的信息（明文） ?C是加密后的信息（密文） ?E是加密算法 ?參數(shù) k稱為密鑰 ?密文 C是明文 m 使用密鑰 k 經(jīng)過加密算法計算后的結(jié)果； ?加密算法可以公開，而密鑰只能由通信雙方來掌握。 對稱密鑰密碼體系 加密過程 解密過程 密鑰 明文 密文 明文 傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對稱密碼體制 對稱加密算法： DES F DES數(shù)據(jù)加密標準 – DES (data encrytion standard)算法由 IBM 發(fā)明，并于 1976 年成為美國政府標準 – DES是一種數(shù)據(jù)分塊的加密算法，數(shù)據(jù)長度為 64位，其中 8位作為基偶校驗位，有效密碼長度為 56位 – 首先將明文數(shù)據(jù)進行初始置換，得到 64位的混亂明文組，再將其分為 2段，每段 32位 – 然后進行乘積變換，在密匙的控制下，做 16次迭代 – 最后進行逆初始變換而得到密文 對稱加密算法： IDEA F IDEA國際數(shù)據(jù)加密算法 – IDEA是行之有效的加密算法中最好、最安全的一種。由瑞士聯(lián)邦科學技術(shù)學院 ( SFT )的Xuejia Lai 和 James Massey 提出 – IDEA使用 3 個 64 位的塊，以進一步防范加密分析過程。 IDEA使用了密碼反饋操作，使得算法強度更高 – IDEA的密鑰長度為 128 位。當試圖破譯 IDEA時，它和 DES一樣沒有泄露任何明文組成的信息 – IDEA存在最低要求。為得到強有力的密文，它在一個編碼塊中需要 64 位的信息文本 – IDEA是為有大量數(shù)據(jù)傳輸?shù)?FTP 設計的 非對稱密鑰密碼體系 F RSA算法： 1978年出現(xiàn)的，其名字來源于它的發(fā)明者 Ron Rivest 、 Adi Shamir 以及 Leonard Adleman F RSA的安全依賴于大數(shù)分解 – 假如已知兩個非常大的質(zhì)數(shù)的乘積，那么很難解析出到底是哪兩個質(zhì)數(shù)相乘的結(jié)果 (因數(shù)分解 ) – RSA 的重要特點是其中一個密鑰可用來加密數(shù)據(jù)，另一個密鑰可用來解密。 加密過程 解密過程 公鑰 明文 密文 明文 私鑰 公共密鑰算法 RSA F 這意味著任何人都能用你的公共密鑰對一條消息進行加密，而只有你才能對它進行解密。另外，你也可用自己的私人密鑰對任何東西進行加密，而拿到你的公共密鑰的任何人都能對其解密。這個概念在“非拒認”及數(shù)字簽名中是非常重要的 數(shù)字簽名 F 公共密鑰加密可用來進行身份驗證，只需構(gòu)建一個所謂的“數(shù)字簽名”即可。 F RSA體制被認為是目前為止理論上最為成熟的一種公鑰密碼體制。 RSA體制多用在數(shù)字簽名、密鑰管理和認證等方面。 生成摘要發(fā)送方私鑰明文發(fā)送方接收方信息摘要信息摘要加密過程單向散列函數(shù)信息摘要明文 明文信息摘要明文生成摘要信息摘要單向散列函數(shù)發(fā)送方公鑰解密過程信息摘要比較身份認證 數(shù)字簽名 F 數(shù)字簽名的特點 – 難以偽造：只有私人密鑰的持有人才能生成簽名。 – 無法抵賴：由于極難偽造，所以對于一份經(jīng)過簽名的文檔來說，簽署人很難抵賴這不是自己的?手跡?。 – 不可更改：一經(jīng)簽名，文檔便不能修改。 – 不能轉(zhuǎn)移：簽名不能移走，并加入另一個不相干的文檔。 防火墻 F 防火墻概念 F 防火墻類型 F 防火墻體系結(jié)構(gòu) Firewall 防火墻概念 F 什么是防火墻 Firewall:是計算機硬件和軟件組成的一個或一組系統(tǒng)，用于增強內(nèi)部網(wǎng)絡和 Inter之間的訪問控制。 – 內(nèi)部和外部之間的所有網(wǎng)絡數(shù)據(jù)流必須經(jīng)過防火墻 – 只有符合安全政策的數(shù)據(jù)流才能通過防火墻 – 防火墻自身應對滲透 (peneration)免疫 過濾器 過濾器 內(nèi)部網(wǎng)絡 防火墻 外部網(wǎng)絡 防火墻的作用 F 防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。 內(nèi)部網(wǎng) FTP服務器 WWW服務器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 路由器 防火墻的拓撲結(jié)構(gòu) 防火墻的功能 F 防火墻的功能 – 過濾進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包 – 管理進入內(nèi)部網(wǎng)絡的訪問 – 阻擋被禁止的訪問 – 記錄通過防火墻的信息和活動 – 對網(wǎng)絡攻擊進行檢測和告警 防火墻類型 F 從防火墻技術(shù)分為 兩大類。 – (1). 包過濾 (Packet filtering)型 包過濾型防火墻工作在 OSI網(wǎng)絡參考模型的網(wǎng)絡層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。 – (2). 應用代理 (Application Proxy)型 應用代理型防火墻是工作在 OSI的最高層，即應用層。其特點是完全 阻隔 了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。 防火墻體系結(jié)構(gòu) F 雙宿網(wǎng)關型 – 包含兩個連接在不同網(wǎng)絡上的網(wǎng)絡接口 ， 一個連在外部網(wǎng)絡上 ， 另一個連在內(nèi)部網(wǎng)絡上 – 阻止兩個網(wǎng)絡在 IP層直接進行通信 ， 通過應用層代理服務來完成 – 防火墻既是外部網(wǎng)絡的宿主主機 ， 也是內(nèi)部網(wǎng)絡的宿主主機 內(nèi)部網(wǎng)絡外部網(wǎng)絡 堡壘主機 防火墻體系結(jié)構(gòu) – 提供服務的兩種方式 u 方式一 : 用戶直接登錄到雙宿網(wǎng)關上 ， 將用戶賬號存放在雙宿主機中 u 方式二 : 在雙宿網(wǎng)關上運行代理服務器 。 對各種服務進行檢查和認定 – 在實現(xiàn)時要禁止網(wǎng)絡層的路由選擇功能 ， 因此需要重新配置網(wǎng)絡操作系統(tǒng)的內(nèi)核 ， 還要清除一些服務和工具 – 由于外部用戶訪問內(nèi)部網(wǎng)絡必須經(jīng)由雙宿主機的認定 ， 因此它需要支持很多用戶賬號 ， 對主機的性能要求較高 防火墻體系結(jié)構(gòu) F 屏蔽主機型 – 通過一個分組過濾路由器將外部主機的連接限制到一個堡壘主機上 ， 再由它提供向內(nèi)部主機的連接 。 – 兩種類型的結(jié)合 ， 既提供了分組過濾的安全保護， 也提供了代理服務的安全保護 ， 實現(xiàn)了更高等級的安全 IP分組過濾器內(nèi)部網(wǎng)絡外部網(wǎng)絡堡壘主機 防火墻體系結(jié)構(gòu) – 堡壘主機被配置在內(nèi)部網(wǎng)絡之中 ， 分組過濾路由器被配置在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間 。 – 外部的訪問要通過兩個安全體系才能進入內(nèi)部網(wǎng)絡 – 分組過濾路由器的規(guī)則配置使得外部系統(tǒng)只能直接訪問堡壘主機 ， 去往內(nèi)部網(wǎng)絡其他主機的信息被阻隔 。 – 對分組過濾路由器進行規(guī)則配置也使內(nèi)部用戶只能通過堡壘主機的代理服務而不能直接與外部通信 ，從而可以對內(nèi)部信息向外傳遞采取統(tǒng)一的強制的安全措施 。 防火墻體系結(jié)構(gòu) F 屏蔽子網(wǎng)型 – 在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個屏蔽子網(wǎng) ，用兩個分組過濾路由器將這個子網(wǎng)分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡隔開 – 外部網(wǎng)絡與屏蔽子網(wǎng)間的分組過濾路由器被稱為外部路由器 ， 屏蔽子網(wǎng)與內(nèi)部網(wǎng)絡之間的分組過濾路由器被稱為內(nèi)部路由器 IP分 組過濾器 內(nèi)部網(wǎng)絡外部網(wǎng)絡屏蔽子網(wǎng)堡壘主機IP分 組過濾器