23
• 其中Key为8个字节共64位，是DES算法的 工作密钥
• Data也为8个字节64位，是要被加密或被解 密的数据
• Mode为DES的工作方式，有两种：加密或 解密。
24
• DES算法具有极高安全性，到目前为止， 除了用穷举搜索法对DES算法进行攻击 外，还没有发现更有效的办法。如果一 台计算机的速度是每一秒种检测一百万 个密钥，则它搜索完全部密钥就需要将 近2285年的时间，可见，这是难以实现 的。
57
• 包过滤技术是一种完全基于网络层的安全 技术,只能根据数据包的来源、目标和端口 等网络信息进行判断,无法识别基于应用层 的恶意侵入 。
58
代理型
• 代理型防火墙又称应用层网关级防火墙， 也可以被称为代理服务器,它的安全性要高 于包过滤型产品,并已经开始向应用层发展。
21
• 使用对称密钥加密技术进行通信者都必须 完全信任且彼此了解，而每一位参与者都 保有一把密钥复本。使用对称加密方法简 化了加密的处理，每个通信方都不必彼此 研究和交换专用的加密算法，而是采用相 同的加密算法并只交换共享的专用密钥。
22
• 例如DES算法 DES算法的入口参数有三个：Key、Data、 Mode
54
防火墙
图7-6 防火墙的逻辑位置结构示意图
55
7.4.2 防火墙的类型
• 包过滤型 • 代理型 • 监测型。
56
包过滤型
• 包过滤型产品是防火墙的初级产品,其技术 依据是网络中的分包传输技术。
• 包过滤技术的优点是简单实用,实现成本较 低,在应用环境比较简单的情况下,能够以较 小的代价在一定程度上保证系统的安全。
32
公开密钥算法的特点
• 加密算法和解密算法都是公开的。 • 不能根据公钥计算出私钥。 • 公钥和私钥均可以作为加密密钥，用其中
一把密钥来加密，就只能用另一把密钥来 解密，具有对应关系。
33
• 加密密钥不能用来解密。 • 在计算机上可以容易地产生成对的公钥和
私钥。
34
公开密钥算法
• 公开密钥加密技术解决了密钥的发布和管 理问题，通信双方无须事先交换密钥就可 以建立安全通信。
25
• 随着科学技术的发展，当出现超高速计算 机后，我们可考虑把DES密钥的长度再增 长一些，以此来达到更高的保密程度。
26
对称密钥加密
• 优点：加/解密速度快，适合对大量数据进 行加密。
27
• 问题： 1. 对称加密技术存在着在通信方之间确保密
钥安全交换的问题。在公众网络上通信方 之间的密钥分配(密钥产生、传送和储存) 很麻烦。 2. 当某一通信方有"n"个通信关系，那么他就 要维护"n"个专用密钥(即每把密钥对应一 通信方)。
19
信息加密
• 把明文转变成密文的过程称为加密，所使用的计 算方法叫做加密算法；由密文还原为明文的过程 称为解密，所使用的计算方法叫做解密算法。
20
7.2.2 对称密钥加密技术
• 对称密钥加密又称常规密钥加密/传统密钥 加密/私钥加密/专用密钥加密，即信息的发 送方和接收方用同一个密钥去加密和解密 数据。
17
7.2 加密技术
• 加密的概念 • 对称密钥加密技术 • 非对称密钥加密技术 • 数字摘要技术 • 数字信封技术
18
7.2.1 加密的概念
• 所谓信息加密技术，就是采用数学方法对 原始信息（通常称为“明文”）进行再组 织，将明文转换成为无意义的文字（称为 “密文”），阻止非法用户了解原始数据， 从而确保数据的保密性。信息的接收者收 到密文之后，需要用相关的算法重新把密 文恢复成明文。
48
7.3.2 认证
• 认证用于验证用户向系统声明的身份的有 效性，确认访问者是否是用户本人。通常 有三种方法：
49
• 用户个人所掌握的秘密信息（如口令字、 电子签名密钥、个人标识号PIN等）；
• 用户个人所拥有的物品（如磁卡、IC卡 等）；
• 用户个人的生理特征（如声音、动态手写 输入的特征模式、指纹等）。
39
• 实际操作时，先提取发送信息的数字摘要， 并在传输信息时将之加入文件一同送给接 收方
• 接收方收到文件后，用相同的方法对接收 的信息进行变换运算得到另一个摘要
• 然后将自己运算得到的摘要与发送过来的 摘要进行比较，从而验证数据的完整性。
40
数字摘要技术
41
数字摘要技术
• 提取数据的特征的算法叫做单向散列函数 （HASH函数），单向散列函数还必须具有 以下几个性质：
5
解决网络安全的主要技术
• 身份认证技术 • 访问控制技术 • 密码技术 • 防火墙技术 • 病毒防治技术。
6
7.1.2 网络不安全的原因
• 计算机网络自身的缺陷 • 开放性 • 人为的威胁
7
计算机网络自身的缺陷
• 计算机硬件系统的安全隐患 • 计算机操作系统的安全隐患 • 数据库的安全隐患 • 应用软件的安全隐患 • 通信传输协议的安全隐患
50
7.3.3 授权
• 授权是基于系统的安全机制，以确定某人或某个 进程对于特定系统资源访问权限。
• 计算机系统管理员会根据用户的身份来设置用户 对资源的访问权限，当用户通过身份认证后，其 对系统资源的访问由系统访问监控器按授权数据 库中的设置来决定是否允许、其在系统中的操作 由审计系统来记录，同时入侵检测系统会检测是 否有入侵行为。
51
• 身份认证在安全系统中的地位极其重要， 是最基本的安全服务，其它的安全服务都 要依赖于它，一旦身份认证系统被攻破， 那么系统的所有安全措施形同虚设。
52
7.4 防火墙技术
• 防火墙的基本概念 • 防火墙的类型 • 防火墙的配置
53
7.4.1 防火墙的基本概念
• 在计算机系统中，防火墙是指隔离被保护 网络（通常指内部网）和外界（包括外部 网、互联网），防止内部网受到外界的侵 犯的软硬件系统，可被认为是一种访问控 制机制。
14
有效性
• 有效性又称可用性，是指授权用户在正常 访问信息和资源时不被拒绝，可以及时获 取服务，即保证为用户提供稳定的服务。
15
授权性
• 授权性又称访问控制，控制谁能够访问网 络上的信息并且能够进行何种操作，防止 非授权使用资源或控制资源，有助于信息 的机动和进行的 操作内容进行审计、跟踪和记录。有助于 信息的机密性、完整性，及时发现非法操 作。
43
7.2.5 数字信封技术
• 数字信封是为了解决传送、更换密钥问题 而产生的技术。如上所述对称加密技术速 度快，但存在如何传送密钥的问题，而非 对称加密技术不存在传送密钥的问题，但 它的加密速度慢。因此我们经常是将这两 种加密技术结合起来，从而产生了数字信 封技术。
44
数字信封技术
45
数字信封技术
47
7.3.1 用户标识
• 用户标识与后面的认证是一种用于防止非 授权用户进入系统的常规技术措施。用户 只有通过了身份认证，才能操作计算机系 统，访问网络资源。因此身份认证是安全 系统的第一道关卡。用户标识用于用户向 系统声明自己的身份，用户标识应具有唯 一性，其最常用形式的为用户ID。系统必 须根据安全策略，维护所有用户标识。
30
• 公开密钥加密技术解决了密钥的发布和管 理问题，通信双方无须事先交换密钥就可 以建立安全通信，广泛应用于身份认证、 数字签名等信息交换领域。
31
• 例如商户可以公开其公钥，而保留其私钥； 客户可以用商户的公钥对发送的信息进行 加密，安全地传送到商户，然后由商户用 自己的私钥进行解密，从而保证了客户的 信息机密性。因此，公开密钥体制的建设 是开展电子商务的前提。
• 其目的是确保经过网络传输的数据不会发 生增加、修改、丢失和泄漏等。网络安全 包含四个方面：
4
• 运行系统安全，即保证信息处理和传输系 统的安全。
• 网络上系统信息的安全，即系统信息不被 泄漏，不被非法利用。
• 网络上信息传播的安全，即信息传播后果 的安全。
• 网络上信息内容的安全，即我们讨论的狭 义的“信息安全”。
网络安全与管理
1
7.1 计算机网络安全概述
• 统计表明全球87%的电子邮件被病毒染率、 90%以上的网站受过攻击、有着超过六万 种不同类型的病毒，并且每天还在产生新 的品种。网络犯罪也遵循摩尔定律，每18 个月翻一番。面对这样的网络安全环境， 我们的计算机，计算机网络如何才能自保？ 如何才能降低被攻击的风险？
37
7.2.4 数字摘要技术
• 对信息进行加密可以保证信息的机密性， 同样利用加密技术可以保证信息的完整性， 即确认信息在传送或存储过程中未被篡改 过，这种技术称作数字摘要技术。
38
数字摘要技术
• 数字摘要又称报文摘要/消息摘要，它对要 发送的信息进行某种变换运算，提取信息 的特征，得到固定长度的密文，此即摘要， 亦称为数字指纹。
– 误操作 由于用户不会或不小心造成网络系统受损，信 息被破坏的操作。
• 恶意攻击
– 又分为内部人员和外部人员对网络的攻击。
10
7.1.3 网络安全需求
• 如何才是一个安全的网络？一个完善的安 全网络在保证其计算机网络硬件平台和系 统软件平台安全的基础上，应该还具备以 下安全属性 :
11
1. 机密性 2. 完整性 3. 有效性 4. 授权性 5. 审查性
• 数字信封技术结合了秘密密钥加密和公开 密钥加密技术的优点，可克服秘密密钥加 密中秘密密钥分发困难和公开密钥加密中 加密时间长的缺陷。
• 它在外层使用灵活的公开密钥加密技术， 在内层使用秘密密钥加密技术。
• 数字信封用加密技术来保证只有特定的收 信人才能阅读信的内容。
46
7.3 访问控制
• 访问控制是对进入计算机系统的控制，如 进入Windows操作系统需输入用户名和密 码。它的作用是对需要访问系统及其资源 的用户进行识别，检验其合法身份，并对 合法用户所能进行的操作进行管理。