计算机网络与通信 第9章网络安全.ppt

安全策略的目的是决定一个组织机构怎样来保护自己。一般来说，策略包括两个部分：总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想，而具体的规则用于说明什么活动是被允许的，什么活动是被禁止的。 首先，须对资源进行评估，包括硬件、软件、数据、文档等分出安全等级。 然后，对可能的威胁进行分析，包括非授权访问、信息泄漏和内部缺陷等等。 安全策略还应提出一般性的安全防护措施：存取控制、认证、密码技术、防火墙系统、操作系统安全、数据库系统安全、计算机病毒防护、审计和恢复等。  9.2 加密技术 数据加密是计算机网络安全很重要的一个部分。由于因特网本身的不安全性，我们不仅对口令进行加密，有时也对在网上传输的文件进行加密。为了保证电子邮件的安全，人们采用了数字签名这样的加密技术，并提供基于加密的身份认证技术。数据加密也使电子商务成为可能。 9.2.1 密码学的基本概念 密码学是必威体育官网网址学的一部分。必威体育官网网址学是研究密码系统或通信安全的科学，它包含两个分支：密码学和密码分析学。 (1)按将明文转换成密文的操作类型可分为：置换密码和易位密码。 (2)按明文的处理方法可分为：分组密码和序列密码。 (3)按密钥的使用个数可分为：对称密码体制和非对称密码体制。 1．置换密码和易位密码 在置换密码(substation cipher)中，每个或每组字母由另一个或另一组伪装字母所替换。 易位密码(transposition cipher)只对明文字母重新排序，但不隐藏它们。列易位密码是一种常用的易位密码，如图9.2所示。 2．分组密码和序列密码 分组密码的加密方式是首先将明文序列以固定长度进行分组，每一组明文用相同的密钥和加密函数进行运算。 分组密码的优点是：明文信息良好的扩散性；对插入的敏感性；不需要密钥同步；较强的适用性，适合作为加密标准。 分组密码的缺点是：加密速度慢；错误扩散和传播。 序列密码的加密过程是把报文、话音、图像、数据等原始信息转换成明文数据序列，然后将它同密钥序列进行逐位模2加（即异或运算），生成密文序列发送给接收者。 序列密码的优点是：处理速度快，实时性好；错误传播小；不易被破译；适用于军事、外交等必威体育官网网址信道。 序列密码的缺点是：明文扩散性差；插入信息的敏感性差；需要密钥同步。 3．加密技术概述 数据加密技术可以分为3类，即对称型加密、不对称型加密和不可逆加密。 加密技术用于网络安全通常有两种形式，即面向网络或面向应用服务。 从通信网络的传输方面，数据加密技术还可分为以下3类：链路加密方式、节点到节点方式和端到端方式。 4．密码分析 密码分析的过程通常包括：分析(统计所截获的消息材料)、假设、推断和证实等步骤。 另外两种类型的攻击：选择密文和选择文本。它们很少作为密码分析技术，但仍是一种可能的攻击方法。 如果加密方案生成的密文符合以下两个条件之一，则加密方案是计算安全的： (1)破译密文的成本超过了加密信息本身的价值。 (2)破译密文所要的时间超过了信息的有效期。 9.2.2 对称加密技术 对称加密也叫做常规加密、必威体育官网网址密钥或单密钥加密。 1．对称加密的模型 目前经常使用的一些对称加密算法有： (1)数据加密标准(Data Encryption Standard，DES)； (2)三重DES(3DES，或称TDEA)； (3)Rivest Cipher 5(RC-5)； (4)国际数据加密算法(International Data Encryption Algorithm, IDEA)。 2．对称加密的要求 对称加密有两个安全要求： (1)需要强大的加密算法。 (2)发送方和接收方必须用安全的方式来获得必威体育官网网址密钥的副本，必须保证密钥的安全。 3．一些常用的对称加密算法 最常用的加密方案是美国国家标准和技术局(NIST)在1977年采用的数据加密标准（DES），它作为联邦信息处理第46号标准（FIPS PUB 46）。 9.2.3 公钥加密技术 公开密钥加密又叫做非对称加密。 1．公钥加密体制的模型 公钥密码体制有两种基本的模型，一种是加密模型，另一种是认证模型。如图9-4所示。 公钥加密技术的基本步骤如下： ①每个用户都生成一对加密和解密时使用的密钥。 ②每个用户都在公共寄存器或其他访问的文件中放置一个密钥，这个就是公钥。另一个密钥为私钥。每个用户都要保持从他人那里得到的公钥集合。 ③如果鲍伯想要向爱丽斯发送私有消息，鲍伯可以用爱丽斯的公钥加密消息。 ④当爱丽斯收到消息时，她可以用自己的私钥进行解密。其他接收方不能解密消息，因为只有爱丽斯知道她自己的私钥。 常规加密使用的密钥通常叫做必威体育官网网址密钥。公钥加密使用的密钥对叫做公钥或私钥。而私钥总是必威体育官网网址的。之所以叫做私钥，而不是保