【正文】 類是駭客，他們只想引人注目，證明自己的能力，在進(jìn)人網(wǎng)絡(luò)系統(tǒng)后，不會(huì)去破壞系統(tǒng)，或者僅僅會(huì)做一些無傷大雅的惡作劇，他們追求的是從侵人行為本身獲得巨大的成功滿足感； – 另一類是竊客，他們的行為帶有強(qiáng)烈的目的性，早期的這些黑客主要是竊取國家情報(bào)、科研情報(bào)，而現(xiàn)在的這些黑客的目標(biāo)大部分瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個(gè)交易過程。 密碼技術(shù) F 由于 Inter 是一種真正意義的全球網(wǎng)，所以假如沒有加密技術(shù)的幫助，所有的通信都會(huì)毫無?秘密?可言 – 對(duì)一家打算從事電子商務(wù)的公司而言 — 亦即通過 Inter銷售產(chǎn)品和提供服務(wù)，通信的安全是一個(gè)最基本的前提； – 在 Inter上，每個(gè)人都需要、而且有權(quán)利保護(hù)自己的個(gè)人隱私。某人上網(wǎng)之后，對(duì)隱私的這種要求并未消失。 F 密碼 技術(shù)可有效地解決這些問題。 基本概念 對(duì)稱密鑰密碼體系 非對(duì)稱密鑰密碼體系 數(shù)字簽名 基本概念 加密過程 密文明文信息源結(jié)點(diǎn)解密過程密文 明文信息目的結(jié)點(diǎn)數(shù)據(jù)加密與解密的過程 ?密碼是含有一個(gè)參數(shù) k的數(shù)學(xué)變換，即 C = Ek（ m） ?m是未加密的信息（明文） ?C是加密后的信息（密文） ?E是加密算法 ?參數(shù) k稱為密鑰 ?密文 C是明文 m 使用密鑰 k 經(jīng)過加密算法計(jì)算后的結(jié)果； ?加密算法可以公開，而密鑰只能由通信雙方來掌握。 對(duì)稱密鑰密碼體系 加密過程 解密過程 密鑰 明文 密文 明文 傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對(duì)稱密碼體制 對(duì)稱加密算法： DES F DES數(shù)據(jù)加密標(biāo)準(zhǔn) – DES (data encrytion standard)算法由 IBM 發(fā)明，并于 1976 年成為美國政府標(biāo)準(zhǔn) – DES是一種數(shù)據(jù)分塊的加密算法，數(shù)據(jù)長度為 64位，其中 8位作為基偶校驗(yàn)位，有效密碼長度為 56位 – 首先將明文數(shù)據(jù)進(jìn)行初始置換，得到 64位的混亂明文組，再將其分為 2段，每段 32位 – 然后進(jìn)行乘積變換，在密匙的控制下，做 16次迭代 – 最后進(jìn)行逆初始變換而得到密文 對(duì)稱加密算法： IDEA F IDEA國際數(shù)據(jù)加密算法 – IDEA是行之有效的加密算法中最好、最安全的一種。由瑞士聯(lián)邦科學(xué)技術(shù)學(xué)院 ( SFT )的Xuejia Lai 和 James Massey 提出 – IDEA使用 3 個(gè) 64 位的塊，以進(jìn)一步防范加密分析過程。 IDEA使用了密碼反饋操作，使得算法強(qiáng)度更高 – IDEA的密鑰長度為 128 位。當(dāng)試圖破譯 IDEA時(shí)，它和 DES一樣沒有泄露任何明文組成的信息 – IDEA存在最低要求。為得到強(qiáng)有力的密文，它在一個(gè)編碼塊中需要 64 位的信息文本 – IDEA是為有大量數(shù)據(jù)傳輸?shù)?FTP 設(shè)計(jì)的 非對(duì)稱密鑰密碼體系 F RSA算法： 1978年出現(xiàn)的，其名字來源于它的發(fā)明者 Ron Rivest 、 Adi Shamir 以及 Leonard Adleman F RSA的安全依賴于大數(shù)分解 – 假如已知兩個(gè)非常大的質(zhì)數(shù)的乘積，那么很難解析出到底是哪兩個(gè)質(zhì)數(shù)相乘的結(jié)果 (因數(shù)分解 ) – RSA 的重要特點(diǎn)是其中一個(gè)密鑰可用來加密數(shù)據(jù)，另一個(gè)密鑰可用來解密。 加密過程 解密過程 公鑰 明文 密文 明文 私鑰 公共密鑰算法 RSA F 這意味著任何人都能用你的公共密鑰對(duì)一條消息進(jìn)行加密，而只有你才能對(duì)它進(jìn)行解密。另外，你也可用自己的私人密鑰對(duì)任何東西進(jìn)行加密，而拿到你的公共密鑰的任何人都能對(duì)其解密。這個(gè)概念在“非拒認(rèn)”及數(shù)字簽名中是非常重要的 數(shù)字簽名 F 公共密鑰加密可用來進(jìn)行身份驗(yàn)證，只需構(gòu)建一個(gè)所謂的“數(shù)字簽名”即可。 F RSA體制被認(rèn)為是目前為止理論上最為成熟的一種公鑰密碼體制。 RSA體制多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面。 生成摘要發(fā)送方私鑰明文發(fā)送方接收方信息摘要信息摘要加密過程單向散列函數(shù)信息摘要明文 明文信息摘要明文生成摘要信息摘要單向散列函數(shù)發(fā)送方公鑰解密過程信息摘要比較身份認(rèn)證 數(shù)字簽名 F 數(shù)字簽名的特點(diǎn) – 難以偽造：只有私人密鑰的持有人才能生成簽名。 – 無法抵賴：由于極難偽造，所以對(duì)于一份經(jīng)過簽名的文檔來說，簽署人很難抵賴這不是自己的?手跡?。 – 不可更改：一經(jīng)簽名，文檔便不能修改。 – 不能轉(zhuǎn)移：簽名不能移走，并加入另一個(gè)不相干的文檔。 防火墻 F 防火墻概念 F 防火墻類型 F 防火墻體系結(jié)構(gòu) Firewall 防火墻概念 F 什么是防火墻 Firewall:是計(jì)算機(jī)硬件和軟件組成的一個(gè)或一組系統(tǒng)，用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和 Inter之間的訪問控制。 – 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻 – 只有符合安全政策的數(shù)據(jù)流才能通過防火墻 – 防火墻自身應(yīng)對(duì)滲透 (peneration)免疫 過濾器 過濾器 內(nèi)部網(wǎng)絡(luò) 防火墻 外部網(wǎng)絡(luò) 防火墻的作用 F 防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。 內(nèi)部網(wǎng) FTP服務(wù)器 WWW服務(wù)器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 路由器 防火墻的拓?fù)浣Y(jié)構(gòu) 防火墻的功能 F 防火墻的功能 – 過濾進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包 – 管理進(jìn)入內(nèi)部網(wǎng)絡(luò)的訪問 – 阻擋被禁止的訪問 – 記錄通過防火墻的信息和活動(dòng) – 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警 防火墻類型 F 從防火墻技術(shù)分為 兩大類。 – (1). 包過濾 (Packet filtering)型 包過濾型防火墻工作在 OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。 – (2). 應(yīng)用代理 (Application Proxy)型 應(yīng)用代理型防火墻是工作在 OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全 阻隔 了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。 防火墻體系結(jié)構(gòu) F 雙宿網(wǎng)關(guān)型 – 包含兩個(gè)連接在不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口 ， 一個(gè)連在外部網(wǎng)絡(luò)上 ， 另一個(gè)連在內(nèi)部網(wǎng)絡(luò)上 – 阻止兩個(gè)網(wǎng)絡(luò)在 IP層直接進(jìn)行通信 ， 通過應(yīng)用層代理服務(wù)來完成 – 防火墻既是外部網(wǎng)絡(luò)的宿主主機(jī) ， 也是內(nèi)部網(wǎng)絡(luò)的宿主主機(jī) 內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò) 堡壘主機(jī) 防火墻體系結(jié)構(gòu) – 提供服務(wù)的兩種方式 u 方式一 : 用戶直接登錄到雙宿網(wǎng)關(guān)上 ， 將用戶賬號(hào)存放在雙宿主機(jī)中 u 方式二 : 在雙宿網(wǎng)關(guān)上運(yùn)行代理服務(wù)器 。 對(duì)各種服務(wù)進(jìn)行檢查和認(rèn)定 – 在實(shí)現(xiàn)時(shí)要禁止網(wǎng)絡(luò)層的路由選擇功能 ， 因此需要重新配置網(wǎng)絡(luò)操作系統(tǒng)的內(nèi)核 ， 還要清除一些服務(wù)和工具 – 由于外部用戶訪問內(nèi)部網(wǎng)絡(luò)必須經(jīng)由雙宿主機(jī)的認(rèn)定 ， 因此它需要支持很多用戶賬號(hào) ， 對(duì)主機(jī)的性能要求較高 防火墻體系結(jié)構(gòu) F 屏蔽主機(jī)型 – 通過一個(gè)分組過濾路由器將外部主機(jī)的連接限制到一個(gè)堡壘主機(jī)上 ， 再由它提供向內(nèi)部主機(jī)的連接 。 – 兩種類型的結(jié)合 ， 既提供了分組過濾的安全保護(hù)， 也提供了代理服務(wù)的安全保護(hù) ， 實(shí)現(xiàn)了更高等級(jí)的安全 IP分組過濾器內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)堡壘主機(jī) 防火墻體系結(jié)構(gòu) – 堡壘主機(jī)被配置在內(nèi)部網(wǎng)絡(luò)之中 ， 分組過濾路由器被配置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間 。 – 外部的訪問要通過兩個(gè)安全體系才能進(jìn)入內(nèi)部網(wǎng)絡(luò) – 分組過濾路由器的規(guī)則配置使得外部系統(tǒng)只能直接訪問堡壘主機(jī) ， 去往內(nèi)部網(wǎng)絡(luò)其他主機(jī)的信息被阻隔 。 – 對(duì)分組過濾路由器進(jìn)行規(guī)則配置也使內(nèi)部用戶只能通過堡壘主機(jī)的代理服務(wù)而不能直接與外部通信 ，從而可以對(duì)內(nèi)部信息向外傳遞采取統(tǒng)一的強(qiáng)制的安全措施 。 防火墻體系結(jié)構(gòu) F 屏蔽子網(wǎng)型 – 在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)屏蔽子網(wǎng) ，用兩個(gè)分組過濾路由器將這個(gè)子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔開 – 外部網(wǎng)絡(luò)與屏蔽子網(wǎng)間的分組過濾路由器被稱為外部路由器 ， 屏蔽子網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間的分組過濾路由器被稱為內(nèi)部路由器 IP分 組過濾器 內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)屏蔽子網(wǎng)堡壘主機(jī)IP分 組過濾器