第6章 网络管理与网络安全 （二）

网络安全技术 加密与认证技术 防火墙技术 入侵检测技术 VPN技术 网络病毒

加密与认证技术 早期加密 对称密钥算法 加密和解密的算法是相同的 强度依赖于加密密钥的安全性，而不依赖于加密算法的保密 凯撒密码 每个字符都被它的后三个字母所替换，这里后三个字符就是密码学中的密钥（Secret Key） 明文报文： RETURN TO BASE 加密报文： UHWXUQ WR EDVH 早期加密 对称密钥算法 加密和解密的算法是相同的 强度依赖于加密密钥的安全性，而不依赖于加密算法的保密 可以使用密钥空间穷举法进行破解 代表算法：DES，速度快

公开密钥算法 加密和解密使用不同的密钥 应用方式 公开密钥（Public Key），对外发布，网络服务器注册 秘密密钥（Secret Key） ，用户保存 代表算法：RSA算法，速度慢 应用方式 如果某用户想与另一用户进行保密通信，只需从公钥簿上查出对方的加密密钥，用它对所传送的信息加密发出即可。 对方收到信息后，用仅为自己所知的解密密钥将信息解密，了解报文的内容。

加密应用 RSA算法和DES结合使用 DES用于明文加密 RSA用于DES密钥的加密

公钥加密服务 - 保密性 发送方使用公钥加密 接受方式用私钥解密 无法保证完整性

报文摘要技术 完整性要求 报文摘要 信息在传输过程中未被非授权用户篡改，信息在传输过程中完整无缺 使用加密算法，代价太高 使用比原文少得多的文字概括文章的主要内容 算法要求： 1）给定报文P，能够很容易计算出报文摘要MD(P)； 2）知道报文摘要MD(P)，不能反推出报文P； 3）在计算可行性上，对于任何报文P，无法找到另一个报文 P’，P≠P’，但MD(P)=MD(P’)。

报文摘要技术应用 成熟算法 MD5（Message Digest 5）和SHA-1（Secure Hash Algorithm1） 报文摘要无法完全保证完整性，黑客将明文和摘要密文一起替换，接受者同样无法识别出原文已被替换。

数字签名 采用公开密钥方案进行数字签名 如何获得私钥？可信？ 防止发送方或接受方抵赖的技术，主要用于解决否认、伪造、篡改及冒充等问题 主要技术，基于公钥密码体制 普通数字签名 特殊数字签名 采用公开密钥方案进行数字签名 用某实体的私钥对数据进行加密的过程 如何获得私钥？可信？

用户私钥、包括CA中心的公钥都保存在硬件卡（通常是USB棒）中 公开密钥设施PKI CA认证中心，向用户发放数字证书 证书是一个经CA数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件 用户私钥、包括CA中心的公钥都保存在硬件卡（通常是USB棒）中

判断从CA和Mick两方获得的公钥是否一致，以鉴定Mick的身份 PKI – 身份认证 用CA私钥加密的Mick的公钥 判断从CA和Mick两方获得的公钥是否一致，以鉴定Mick的身份 用Mick私钥加密的Mick的公钥

PKI – 完整性 不可抵赖性 例：John向Mick借钱1000元，用Word文档写了借条一份，但John不能直接把借条发送给Mick，原因如下： （1）Mick可能会在收到借条后将“人民币1000元”改为“人民币2000元”； （2）如果John赖账，Mick无法证明这个借条就是John写的； （3）普通的Word文档不能作为法律证据。

PKI – 完整性 不可抵赖性 例：John向Mick借钱1000元，用Word文档写了借条一份，但John不能直接把借条发送给Mick，原因如下： （1）Mick可能会在收到借条后将“人民币1000元”改为“人民币2000元”； （2）如果John赖账，Mick无法证明这个借条就是John写的； （3）普通的Word文档不能作为法律证据。

PKI – 完整性 不可抵赖性 正确方法：John将文档签名后发送 电子签名法 具法律效力 密文可解 防抵赖 发送密文 防篡改

防火墙 防火墙由一系列软件或硬件设备构成一个系统，放置于两个信任级别不同的网络之间，是这两个网络之间信息的唯一交换出口，控制两个网络之间的通信

防火墙分类（1） 包过滤防火墙 工作在网络体系结构中的网络层和传输层 设置一系列包过滤规则 主要用来防止外来攻击 限制内部用户访问某些外部资源 规则定义 源IP地址 = 218.154.173.0/24 .and. 目的IP = 218.152.168.3/32 .and. 目的端口号 = 23， 匹配数据包采取的动作是：拒绝传输 作用：禁止218.154.173.0网段中的终端用Telnet方式访问218.152.168.0网段中IP地址为218.152.168.3的服务器

防火墙分类（2） 应用代理防火墙 完全“隔断”内部网络和外部网络的直接通信 通过为每种应用服务编制专门的代理程序

入侵检测技术 Intrusion Detection System，IDS

入侵检测系统的分类 基于主机入侵检测系统HIDS 基于网络入侵检测系统NIDS 从主机的日志、应用程序日志等审计记录文件中获取所需的数据源，并辅助使用主机上的其他信息，如文件系统属性、进程状态等来发现可能存在的攻击行为 基于网络入侵检测系统NIDS 监听网络中的数据包来获得必要的数据源，并通过协议分析、特征匹配、统计分析等各种手段发现可能的攻击行为

入侵检测系统的部署 IDS是并联在网络中 通过旁路监听的方式实时地监视网络中的流量 IDS不是防范工具，它并不能阻断攻击

VPN技术 提供了一种通过公用IP网络（如Internet）安全地对企业内部专用网络进行远程访问的连接方式 软件、硬件形式实现

VPN技术-隧道 隧道技术是一种通过使用公用网络的设施在网络之间传递数据的方式。 隧道协议将其它协议的数据帧或包重新封装在新的包头中发送 IPSec在两个IP栈之间商定所用的加密和数字签名方法，对数据加密后进行传输，能够提供IP包级的安全验证，保证数据完整性和可信任

VPN系统组成 VPN客户端 软件安装在客户计算机上 VPN服务器 传输介质 使用 “隧道（Tunneling）”做为传输介质

SSL VPN IPSec VPN SSL VPN 运行于网路层，无法识别应用 需安装端 基于安全套接层（Security Socket Layer，SSL）协议 数字证书进行双端实体认证 运行于传输层和应用层 电子图书馆 财务系统

网络病毒 计算机病毒是一种人为编制的特殊程序，能在计算机系统中驻留、繁殖和传播，通常对系统具有破坏作用 传染性 潜伏性 破坏性 变异性

主要的网络病毒 蠕虫病毒 特洛伊木马病毒 互联网环境中复制自身进行传播，传染目标是互联网内的所有计算机 如：熊猫烧香 非法运行在计算机系统内、能够被远程控制的程序。 木马运行后，通过网络内外勾结，非法监视、记录、控制目标计算机上合法用户的行为 传播方式：Email，软件下载

病毒预防 预防病毒 使用专业的反病毒软件 及时打补丁填补操作系统、浏览器等系统软件与应用软件的漏洞 不要随意下载网络上来历不明的软件 使用专门的杀木马软件 及时更新病毒库 网络版防病毒软件 集中更新