【正文】 這就涉及到一個(gè)密鑰的管理問(wèn)題，因?yàn)橛眉用苘浖M(jìn)行加密時(shí)所用的密鑰通常不是我們平常所用的密碼那么簡(jiǎn)單，一般情況下，這種密鑰達(dá) 64位，甚至可能達(dá)到 128位，顯然要記憶這些密鑰非常困難，只能保存在一個(gè)安全的地方，即進(jìn)行密鑰的管理。南昌大學(xué)計(jì)算中心 45 2022/2/5 加密技術(shù)在智能卡上的應(yīng)用 ?與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。該技術(shù)是目前使用得最廣泛的，如常用的 IC卡、銀行取款卡、智能門(mén)鎖卡等等 ?但應(yīng)當(dāng)了解的是： “ 安全 ” 都是相對(duì)，不可能寄希望有了安全措施之后就能保證信息萬(wàn)無(wú)一失，任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的防范措施是有一定的限度。南昌大學(xué)計(jì)算中心 47 2022/2/5 ? 信息加密技術(shù)是一門(mén)專(zhuān)門(mén)研究數(shù)據(jù)加密的學(xué)科，應(yīng)用信息加密可以保證數(shù)據(jù)的安全性，也可用于驗(yàn)證用戶(hù)，是在實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要手段之一。通過(guò)小心使用數(shù)學(xué)方程式，可以保證只讓有權(quán)接收的人才能查看它。數(shù)據(jù)仍能夠被非法破解開(kāi)修改。 ? 認(rèn)證：數(shù)字簽名提供認(rèn)證服務(wù)。金融組織尤其依賴(lài)于這種方式的加密，用于電子貨幣交易。南昌大學(xué)計(jì)算中心 48 2022/2/5 加密強(qiáng)度 ?在加密信息的過(guò)程中， — 個(gè)常被討論但又經(jīng)常被誤解的方面是加密強(qiáng)度。比如 40位的密鑰對(duì)于金融交易來(lái)說(shuō)并不合適的，但對(duì)于個(gè)人用戶(hù)已經(jīng)足夠了。 169。在最基本的級(jí)別上，一個(gè)信任關(guān)系包括一方加密的信息并只有另一方的合作伙伴可以解密這個(gè)文件。這種類(lèi)別的加密要求建立一個(gè)私鑰和一個(gè)公鑰。 ?一般通過(guò)以下兩種方法來(lái)發(fā)布公鑰： ?手動(dòng)：你首先必須和接收方交換公鑰，然后用接收方的公鑰來(lái)加密信息。 169。盡管單密鑰加密的一個(gè)簡(jiǎn)單的過(guò)程，但要求雙方都必須完全的信賴(lài)對(duì)方，并都持有這個(gè)密鑰的備份。 ?對(duì)稱(chēng)加密的好處就是快速并且強(qiáng)壯。對(duì)稱(chēng)加密的缺點(diǎn)是有關(guān)密鑰的傳播，所有的接收者和查看者都必須持有相同的密鑰，因此所有的用戶(hù)必須尋求一種安全的方法來(lái)發(fā)送和接收密鑰。南昌大學(xué)計(jì)算中心 51 2022/2/5 非對(duì)稱(chēng)加密 ?非對(duì)稱(chēng)加密在加密的過(guò)程中使用一對(duì)密鑰，而不像對(duì)稱(chēng)加密只使用 — 個(gè)單獨(dú)的密鑰。如用 A加密，則用 B解密，如果用 B加密，則要用 A解密。非對(duì)稱(chēng)加密的一個(gè)缺點(diǎn)就是加密的速度非常慢，因?yàn)樾枰獜?qiáng)烈的數(shù)學(xué)運(yùn)算程序。 大學(xué)計(jì)算機(jī)基礎(chǔ)與應(yīng)用 防火墻技術(shù) 169。 HASH加密用于不想對(duì)信息解密或讀取。 HASH加密別一種用途是簽名文件。 169。 ? 第一代防火墻，又稱(chēng)包過(guò)濾防火墻，主要通過(guò)對(duì)數(shù)據(jù)包源地址、目的地址、端口號(hào)等參數(shù)來(lái)決定是否允許該數(shù)據(jù)包通過(guò)，對(duì)其進(jìn)轉(zhuǎn)發(fā)，但這種防火墻很難抵御 IP地址欺騙等攻擊，而且審計(jì)功能很差。 ? 第三代防火墻有效地提高了防火墻的安全性，稱(chēng)為狀態(tài)監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測(cè)和監(jiān)控。南昌大學(xué)計(jì)算中心 55 2022/2/5 防火墻定義 ?防火墻語(yǔ)參考來(lái)自己應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。一旦某個(gè)單元起火這種方法保護(hù)了其它的居住者。因此，雖然防火墻保護(hù)了人們的安全，但這個(gè)門(mén)在提供增強(qiáng)安全性的同時(shí)允許必要的訪(fǎng)問(wèn)。南昌大學(xué)計(jì)算中心 56 2022/2/5 防火墻的任務(wù) ?防火墻在實(shí)施安全的過(guò)程中是至關(guān)重要的。 ?實(shí)現(xiàn)一個(gè)企業(yè)的安全策略：防火墻的主要意圖是強(qiáng)制執(zhí)行企業(yè)的安全策略 ?創(chuàng)建一個(gè)阻塞點(diǎn)：防火墻在一個(gè) Intra網(wǎng)絡(luò)和Inter間建立一個(gè)檢查點(diǎn)。 ?限制網(wǎng)絡(luò)暴露：防火墻在內(nèi)部網(wǎng)絡(luò)周?chē)鷦?chuàng)建了一個(gè)保護(hù)的邊界。南昌大學(xué)計(jì)算中心 57 2022/2/5 防火墻術(shù)語(yǔ) ?1．網(wǎng)關(guān) :網(wǎng)關(guān)是在兩個(gè)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。 ?2．電路級(jí)網(wǎng)關(guān) :電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶(hù)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，決定該會(huì)話(huà)是否合法，電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話(huà)層上來(lái)過(guò)濾數(shù)據(jù)包，這樣比包過(guò)濾防火墻要高兩層。南昌大學(xué)計(jì)算中心 58 2022/2/5 ?3．應(yīng)用級(jí)網(wǎng)關(guān)可以工作在 OSI七層模型的任一層上，能夠檢查進(jìn)出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶(hù)機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。 ?5．代理服務(wù)器 :代理服務(wù)器代表內(nèi)部客戶(hù)端與外部的服務(wù)器通信。 ?6．網(wǎng)絡(luò)地址翻譯（ NAT） :網(wǎng)絡(luò)地址解釋是對(duì) Intemet隱藏內(nèi)部地址，防止內(nèi)部地址公開(kāi)。 ?7．堡壘主機(jī) :堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。南昌大學(xué)計(jì)算中心 59 2022/2/5 防火墻技術(shù) ?1．包過(guò)濾技術(shù) ? 包過(guò)濾防火墻的安全性是基于對(duì)包的 IP地址的校驗(yàn)。那些不符合規(guī)定的 IP地址的信息包會(huì)被防火墻過(guò)濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。它將內(nèi)部系統(tǒng)與外界隔離開(kāi)來(lái)，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。 ?3．狀態(tài)監(jiān)視技術(shù) ? 這是第三代網(wǎng)絡(luò)安全技術(shù)。南昌大學(xué)計(jì)算中心 60 2022/2/5 包過(guò)濾防火墻 ?Inter采用 TCP／ IP協(xié)議，設(shè)置在不同網(wǎng)絡(luò)層次上的電子屏障構(gòu)成了不同類(lèi)型的防火墻，一般分為兩大類(lèi)：包過(guò)濾型與代理服務(wù)器。在建立防火墻之前要在安全現(xiàn)狀、風(fēng)險(xiǎn)評(píng)估和商業(yè)需求的基礎(chǔ)上提出一個(gè)完備的總體安全策略，這是配制防火墻的關(guān)鍵。 ?拒絕訪(fǎng)問(wèn)除明確準(zhǔn)許的全部訪(fǎng)問(wèn) —— 所有末被允許的都禁止訪(fǎng)問(wèn)。南昌大學(xué)計(jì)算中心 61 2022/2/5 ?包過(guò)濾防火墻的優(yōu)點(diǎn)是簡(jiǎn)單、透明，其缺點(diǎn)是： ?該防火墻需從建立交全策略和過(guò)濾規(guī)則集入于，需要花費(fèi)大量的時(shí)間和人力，還要 不斷根據(jù)新情況不斷更新過(guò)濾規(guī)則集。 ?對(duì)了采用動(dòng)態(tài)分配端口的服務(wù)，如很多毗（遠(yuǎn)程過(guò)程調(diào)用）服務(wù)相關(guān)聯(lián)的服務(wù)器 在系統(tǒng)啟動(dòng)時(shí)隨機(jī)分配端口的，就很難進(jìn)行有效地過(guò)濾。 同時(shí)它不能識(shí)別相同 IP地址的不同用戶(hù)，不具備用戶(hù)身份認(rèn)證等功能。南昌大學(xué)計(jì)算中心 62 2022/2/5 代理服務(wù)器 ?代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)程序。代理能提供部分與傳輸方面的信息，代理也能處理管理信息。 ?代理主要有三種基本類(lèi)型： WEB代理、電路級(jí)網(wǎng)關(guān)，應(yīng)用級(jí)網(wǎng)關(guān)。南昌大學(xué)計(jì)算中心 63 2022/2/5 1． WEB代理 ?WEB代理服務(wù)的最大好處就是能提高訪(fǎng)問(wèn)Inter的速度：一旦 — 個(gè) WEB代理服務(wù)器配置了足夠的緩存，它就可以從這些緩存里對(duì)請(qǐng)求提供服務(wù)。 WEB代理第二個(gè)好處是 WEB代理使客戶(hù)端無(wú)需真正接連接Inter，因此可以避免成為被攻擊的目標(biāo)。南昌大學(xué)計(jì)算中心 64 2022/2/5 2．電路級(jí)網(wǎng)關(guān) ?電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶(hù)或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息，這樣來(lái)決定該會(huì)話(huà)是否合法。 ?電路級(jí)網(wǎng)關(guān)不能很好地區(qū)別好包與壞包、易受 IP欺騙這類(lèi)的攻擊及自身的復(fù)雜性，這些都是電路級(jí)網(wǎng)關(guān)的缺陷。 169。 ?代理服務(wù)器的主要優(yōu)點(diǎn)就是提供 NAT的功能