第四章 常用的网络安全技术
第一节
一、数据加密技术 数据加密:就是将被传输的数据转换成表面上杂乱无章的数 据，只有合法的接收者才能恢复数据的本来面目，而对于 非法窃取者来说，转换后的数据是读不懂的毫无意义的数 据。我们把没有加密的原始数据称为明文，将加密以后的 数据称为密文，把明文变换成密文的过程叫加密，而把密 文还原成明文的过程叫解密。
中国金融认证中心（CFCA）
RA系统：直接 面向用户，负 责用户身份申 请审核，并向 CA申请为用户 转发证书；一 般设置在商业 银行的总行、 证券公司、保 险公司总部
数字证书包含一下内容：
（l）申请者的信息 ①版本信息 用来与X.509的将来版本兼容； ②证书序列号 每一个由CA发行的证书必须有一个惟一的序列号； ③CA所使用的签名算法； ④发行证书 CA的名称； ⑤证书的有效期限； ⑥证书主题名称； ⑦被证明的公钥信息 包括公钥算法和公钥的位字符串表示； ⑧额外信息的特别扩展 （2）身份验证机构的信息
欢天喜地再牵手， 迎来和平弃干戈。 连接两岸丰功业， 战胜台独全民乐！
传统的藏头诗实为一种对称加密。
1.对称密钥密码体系
明文 密文 明文
发送
接收
加密方式的特点： （l）对称密钥密码体系的安全性 （2）对称加密方式的速度 （3）对称加密方式中密钥的分发与管理 （4）常见的对称加密算法
2.非对称密钥密码体系 非对称密钥密码体系又叫公钥密码体系，非对称加密使用两 个密钥：一个公共密钥PK和一个私有密钥SK，如图所示 （l）非对密钥密码体系的安全性 （2）非对称加密方式的速度 （3）非对称加密方式中密钥的分发与管理 （4）常见的非对称加密算法(RSA)
2．应用代理防火墙 应用代理防火墙能够将所有跨越防火墙的网络通信链 路分为两段，使得网络内部的客户不直接与外部的服 务器通信。防火墙内外计算机系统间应用层的连接由 两个代理服务器之间的连接来实现。 优点：外部计算机的网络链路只能到达代理服务器， 从而起到隔离防火墙内外计算机系统的作用 缺点：是执行速度慢，操作系统容易遭到攻击。
三、 防火墙的局限性 1. 防火墙防外不防内
防火墙一般只能对外屏蔽内部网络的拓扑结构，封锁外部网上的用户连 接内部网上的重要站点或某些端口，对内也可屏蔽外部的一些危险站点， 但是防火墙很难解决内部网络人员的安全问题，例如内部网络管理人员 蓄意破坏网络的物理设备，将内部网络的敏感数据拷贝到软盘等，防火 墙将无能为力。
2. 防火墙难于管理和配置，容易造成安全漏洞
由于防火墙的管理和配置相当复杂，对防火墙管理人员的要求比较高， 除非管理人员对系统的各个设备(如路由器、代理服务器、网关等)都有 相当深刻的了解，否则在管理上有所疏忽是在所难免的。
3. 防火墙不能防范病毒
3．状态检测防火墙 状态检测防火墙又叫动态包过滤防火墙。状态检测防火 墙在网络层由一个检查引擎截获数据包并抽取出与应用 层状态有关的信息，以此作为依据来决定对该数据包是 接受还是拒绝。检查引擎维护一个动态的状态信息表并 对后续的数据包进行检查，一旦发现任何连接的参数有 意外变化，就中止该连接。 状态检测防火墙克服了包过滤防火墙和应用代理防火墙 的局限性，能够根据协议、端口及IP数据包的源地址、目 的地址的具体情况来决定数据包是否可以通过。
例：
右面是Outlook Express 中收发电子邮件时对邮件实 行数字签名和加密传输时从 "Version Class 1 CA Individual Subscriber － personal Not Validated”（一 个国际中级证书颁发机构） 获取的用于发送安全电子邮 件时所用的数字证书
明文 密文 明文
其他人
公共密钥PK 私有密钥PK
本人
二、数字签名 数字签名（Digital Signature）是指对网上传输的电子报 文进行签名确认的一种方式，这种签名方式不同于传统 的手写签名。 数字签名必须满足以下3点： ①接收方能够核实发送方对报文的签名。 ②发送方不能抵赖对报文的签名。 ③接收方不能伪造对报文的签名。
ห้องสมุดไป่ตู้
第二节、防火墙技术
一、 防火墙概述 防火墙(Firewall)是设置在被保护的内部网络和外部网络之间的 软件和硬件设备的组合，对内部网络和外部网络之间的通信进 行控制，通过监测和限制跨越防火墙的数据流，尽可能地对外 部网络屏蔽内网络部的结构。信息和运行情况，用于防止发生 不可预测的、潜在破坏性的入侵或攻击，这是一种行之有效的 网络安全技术。如下图：
终端
笔记本电脑 终端
防火墙 工作站 打印机 终端 工作站 服务器
internet
二、防火墙的常用类型 1. 包过滤防火墙 数据包过滤是指在网络层对数据包进行分析、选择和过 滤。选择的依据是系统内设置的访问控制表（又叫规则 表），规则表指定允许哪些类型的数据包可以流入或流 出内部网络。通过检查数据流中每一个IP数据包的源地 址、目的地址、所用端口号、协议状态等因素或它们的 组合来确定是否允许该数据包通过。 优点：速度快、逻辑简单、成本低、易于安装和使用，网络 性能和透明度好 缺点：配置困难，容易出现漏洞，而且为特定服务开放的端 口存在着潜在的危险
假设A要发送一个电子报文给B，A、B双方只需经过下面3 个步骤即可： ①A用其私钥加密报文，这便是签字过程。 ②A将加密的报文送达B。 ③B用A的公钥解开A送来的报文。
例：如果需要发送添加数字 签名的安全电子邮件，首先 启 动 outlook express ， 选 择 “工具” “选项”命令中 的“安全”标签，显示如图 所示的对话框，选中“在对 所有待发邮件中添加数字签 名”，或在“新邮件”窗口 单击“工具” “数字签名” 就可以对指定新邮件添加数 字签名，如右图
数据加密
置换加密：按某一规则重新排列明文中的字符顺序，即改 变字符的位置，字符本身不变。（属于对称密码体系）
例： 同济大学计算机科学技术系 基础学科教研室
同济大学计算 机科学技术系 基础学科教研 室啊啊啊啊啊
同机基室济科础啊大学学啊学技科啊计术教啊算系研啊
对称密钥密码体系（加解密使用相同的密钥） 密码学 非对称密钥密码体系（加解密使用不同的密钥）
三、 数字证书
数字证书相当于网上的身份证，它以数字签名的方式通 过第三方权威认证中心(Certificate Authority，CA)有效地 进行网上身份认证，数字身份认证是基于国际公钥基础 结构（Public Key Infrastructure，PKI）标准的网上身份认 证系统，帮助网上各终端用户识别对方身份和表明自身 的身份，具有真实性和防抵赖的功能，与物理身份证不 同的是，数字证书还具有安全、保密、防篡改的特性， 可对网上传输的信息进行有效的保护和安全的传递。 数字证书一般包含用户的身份信息、公钥信息以及身份 验证机构(CA）的数字签名数据