计算机网络安全专题讲座

计算机网络安全专题讲座

1、解决网络安全问题的策略

要解决好网络安全问题，为计算机网络系统运行提供一个良好的环境，需要在三方面努力，即：网络安全硬件、网络安全软件与网络安全服务。

网络安全硬件包含：防火墙、虚拟专用网、独立专用网、入侵检测系统、认证令牌与卡、生物识别系统、加密机与芯片。

网络安全软件包含：安全内容管理、防火墙、虚拟专用网、入侵检测系统、安全3A （authorization authentication administration/accounting，即授权、认证与管理/收费）、加密。

其中网络安全内容管理包含防病毒、网络操纵与邮件扫描等。

网络安全服务包含：顾问咨询、设计实施、支持保护、教育培训、安全培训。

2、网络安全及其学科的定义

网络安全是一门设计计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者者恶意的因素而受到破坏、更换或者泄漏，系统可正常地运行。

本质上讲，网络安全就是网络信息安全；从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性与可操纵性的有关技术与理论都是网络安全研究的领域。

3、信息安全及定义

信息安全（information security）是指信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）的保持。

信息的保密性是指保障信息只为那些被授权使用的人使用；信息的完整性是指信息在传输、存储、处理与利用的过程中不被篡改、丢失、缺损等；信息的可用性是指被授使用的人在需要使用信息的时候即可使用信息。

4、网络防火墙

网络防火墙技术是一种用来加强网络之间访问操纵，防止外部网络用户以非法手段通过外部网络进入内部网络，访问或者破坏网络资源，保护内部网络资源的一种安全技术。

防火墙能够是硬件也能够是软件，还能够是软件硬件结合起来实现，它通过对两个网络之间传输的数据包按既定的安全策略来实施检查以决定网络之间的访问是否被同意，防火墙也负责实时监控网络运行状态。

防火墙是一种基本的网络安全防护工具，是网络安全的第一道防线，它可识别并阻挡许多黑客攻击行为，但是它也对下列入侵无能为力，如：通过防火墙以外的其它手段侵入网络的攻击；来自内部的蓄意或者过失性操作所带来的威胁；传输已感染病毒的软件或者文件所带来的威胁；数据驱动型攻击。

防火前通常被置于：

1）单位内部网络与互联网的接口处；

2）单位内部各VLAN之间；

3）单位总部与各分支机构之间。

5、入侵检测技术

入侵检测技术是一种利用系统审计记录及时发现并报告系统中的未授权访问与特殊事件存在的一种安全技术。入侵检测技术的工作效率受到审计记录与知识库的影响。

入侵检测产品要紧包含传感器（sensor）与操纵台（console）两部分。传感器采集、分析数据并生成安全事件，而操纵台则起中央管理作用，负责与管理员沟通，与时对已经检测到的威胁采取措施。

入侵检测产品可分为基于网络的、基于主机的混合型三类。

6、信息系统安全

信息系统安全技术要紧涉及到加密、解密与公钥基础设施。要保证一个信息系统的安全，包含如下四个方面的内容：

1）数据传输安全性

即使用数据加密来保证数据在公网上的传输不被第三者窃取，如结合对称密钥与公开密钥加密技术实现的数字信封技术。

2）数据完整性

即保证数据在传输过程不被篡改，散列函数与数字签名是常用的保证数据完整性的技术。

多重数字签名可保证多方通信时的数据完整性。

3）身份验证

即使用口令字技术、公开密钥技术或者数字签名技术与数字证书技术等来实现对通信双方进行身份真实性确认的一种安全技术。

4）不可抵赖性

即通过数字签名、数字证书等技术来确保信息发送或者接收时带有特有的、不可复制的信息，以保证通信双方在交易时不发生纠纷。

第二讲密码学概述与公开密钥体系基础

1、密码学

密码学（cryptology）是研究秘密书写的原理与破译密码的方法的一门科学，要紧包含密切有关的两个方面：意识密码编码学（cryptography），要紧研究如何设计出好的密码体制的方法，保护信息不被侦破；二是密码分析学（cryptanalysis），研究攻破一个密码系统的方法，回复被隐藏起来的信息。

2、密码系统

一个密码系统包含明文（cleartext或者plaintext）字母空间，密钥（key）与算法（algorithm），其中算法与密钥是基本单元。

算法是一些公式，法则，给定明文与密文之间的变换方法。密钥能够看作是算法的参数。

3、Polybius校验表加密

Polybius校验表由一个5*5的网格构成，网格中包含26个英文字母，其中I与J在同一格中。每一个字母被转换成两个数字，即第一个字母所在的行数，第二个是字母所在的列数。

如字母A就对应着11，字母B对应着12，以此类推。使用这种密码能够将明文“message”

置换为密文“32 15 43 43 11 22 15”。

4、密码体制分类

按对明文的加密方式的不一致，传统的密码体制能够分为两类：一类方式中，将明文字符串分成多个字符的组，逐一进行加密得到密码，被称作流密码或者序列密码。

5、密码攻击

根据攻击的方式不一致，密码攻击可分为主动攻击（active at tack）与被动攻击（passive at tack）两类。使用截获密文进行分析的攻击叫被动攻击；使用删除、修改、增添、重放、伪造等手段破坏系统正常通信并进行密码分析的攻击叫主动攻击。

6、凯撒密码

“凯撒密码”是古罗马凯撒大帝用来保护重要军情的加密系统。它是一种替代密码，通过将字母按顺序推后起k位起到加密作用。假定选择字母按顺序推后3位作为密码，那么指令：RETURN TO ROME加密后就成为：UHWXUA WR URPH。

只要通信双方通过某安全渠道明白了密钥k，则密码与解密过程就很容易进行。

但通常情况下明文与密文空间中元素个数n均很小，且0<=k

7、简单置换密码系统

8、DES

数据加密标准（data encryption standard，DES）出自IBM，并在1997年被美国政府正式采纳，在保护金融数据的安全中它得到广泛应用，通常自动取款机A TM都是用DES.

9、对称密码体制的总结：

1）同一个密钥，既用于加密也用于解密；

2）加密与解密速度快；

3）安全性高；

4）所得到的密文紧凑；

5）要在收发双方安全地传递密钥，在现实环境下很难做到；

6）通信参与者数目较大时，系统所需密钥数与参与者的数目的平方成正比，密钥管理难度很大，故对称密码体制很难用于参与者数目较多的情况；

7）对称加密技术不适合于数字签名与不可否认性操纵。

10、公钥密码体制

公开密钥体制中，每个用户U均拥有两个密钥，一个是加密密钥K，另一个是解密密钥Ke，另一个是解密密钥Kd，且关于任意可能的消息m，均有（即要求）：

PK1:D(Kd，E(Ke，m))=m

这样，假定A要发信息给B，则A只要从公告环境中均查到B的加密密钥Keb即可完成信息的加密：E(Keb，m)=c；而当B收到

11、数字签名

数字签名的基本要求是：

1）收方能根据信任的第三方来证明报文内容的真实性；

2）发方不能根据自己的利益要求，事后对报文真实性进行否认；

3）收方不能根据自己的利益要求对报文或者签名进行伪造。

12、数字签名的过程

要确认用户身份，发送方应该具备一对用于数字签名的密钥对KDSe与KDSd，且对任意消息m满足下式：