第9章 计算机网络安全 教师 阳飞 课件

第9章计算机网络安全

熟练掌握：计算机网络安全的基本概念和计算机网络所面临的安全威胁。掌握：常用数据加密技术、防火墙技术和常用网络防病毒技术。了解：计算机网络安全标准和等级。9.1计算机网络安全概述

随着计算机网络技术的迅猛发展，以Internet为代表的全球性信息化浪潮日益高涨，信息网络技术的应用正日益普及和广泛，应用层次正逐渐深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的有政府部门信息系统、金融业务系统、企业商务系统等。伴随网络技术的普及，信息安全问题成了人们日益关注的问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对信息安全也提出了更高的要求。9.1.1计算机网络安全概念

网络安全（NetworkSecurity）是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。9.1.2计算机网络面临的安全威胁

网络受到的威胁来自于网络的内部和外部两个方面，主要表现有：非法授权访问、假冒合法用户、病毒破坏、线路窃听、干扰系统正常运行、修改或删除数据等。这些威胁大致可分为无意威胁和故意威胁两大类。9.1.3网络安全标准和等级

常见的计算机信息系统安全等级的划分有两种：一种是依据美国国防部发表的评估计算机系统安全等级的桔皮书，将计算机安全等级划分为4类8级，即A2、A1、B3、B2、B1、C2、C1、D；另一种是依据我国颁布的《计算机信息系统安全保护等级划分准则》（GB17859—1999），将计算机安全等级划分为5级。9.2数据加密技术

数据加密技术是研究计算机信息加密、解密及其变换的科学，是数学和计算机的交叉学科，也是一门新兴的学科。在国外，它已成为计算机安全主要的研究方向，也是计算机安全课程中的主要内容。数据加密技术是对数据信息进行编码和解码的技术，数据信息没有被处理之前称为“明文”，“明文”使用某种方法隐藏它的真实内容以后称为“密文”。把“明文”变成“密文”的过程称为加密（encrypt）；反之，把“密文”变成“明文”的过程称为解密（decrypt），加密和解密过程可以用下图表示。9.2.1数据加密算法

数据加密的核心技术是设计一套合理可行的加密算法，加密算法也叫加密函数，是用于数据加密和解密的数学函数。通常情况下，加密算法有两个相关联的函数：一个用于加密，另一个用于解密。在密码函数中，将称为密钥（key）的密码变量作用于“明文”即可实现加密或解密操作。密钥是一种用于控制加密与解密操作的序列符号，它是成对使用的。用于进行加密的密钥称为加密密钥，用于进行解密的密钥称为解密密钥。如果加密和解密所使用的密钥是相同的，则这种加密算法称为对称加密算法，否则称为非对称加密算法。另外，把直接使用加密函数对明文进行加密而不使用密钥的加密算法称为不可逆加密算法。1．对称加密算法

对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发送方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。接收方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。

对称加密算法的过程如下图所示：2．非对称加密算法

在数学上，用于非对称加密算法的两个密钥是相互独立的，所以不可能或很难从一个密钥计算出另一个密钥。这种算法也称为公开密钥算法，因为可以让一个密钥公之于众，称为“公钥”，而另外一个处于秘密状态，称为“私钥”。在使用非对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。公钥就是公布出来，所有人都知道的密钥，它的作用是供公众使用。私钥则是只有拥有者才知道的密钥。例如，公众可以用公钥加密文件，则只有拥有对应私钥的人才能将之解密。

非对称加密算法的过程如下图所示：3．不可逆加密算法

不可逆加密算法的特征是，加密过程中不需要使用密钥，输入明文后，由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。9.2.2常用加密技术

1．非否认技术非否认（non-repudiation）技术的核心是非对称加密算法的公钥技术，通过产生一个与用户认证数据有关的数字签名来完成。当用户执行某一交易时，这种签名能够保证用户今后无法否认该交易发生的事实。由于非否认技术的操作过程简单，而且直接包含在用户的某类正常的电子交易中，因而成为当前用户进行电子商务、取得商务信任的重要保证。2．PGP技术

PGP（PrettyGoodPrivacy）是目前最流行的一种加密软件，它是一个基于RSA公钥加密体系的邮件加密软件。PGP可以生成一个有公钥和私钥组成的密钥对，用户可以将公钥用密码发送到网络服务器上，使想与其通信的人能够以公钥加密通信的内容，在用户接收到密文后，就可以用私钥将通信的内容解密。

使用PGP之前，首先需要生成一对密钥，这一对密钥其实是同时生成的。具体步骤如下：（1）打开安装好的PGP软件（这里9.9版本为例），界面如下图所示。

（2）执行File→NewPGPKey命令，打开密钥生成向导，如下图所示。

（3）单击“下一步”按钮，打开NameandEmailAssignment对话框，为创建的密钥指定一个名称和对应的邮箱地址，如下图所示。也可以用一个密钥对对应多个邮

箱，只需单击More按钮，在添加的OtherAddress文本框中输入其他的邮箱地址。

（4）单击Advanced按钮，打开AdvancedKeySettings对话框，对密钥对进行详细配置，如密钥类型（KeyType）、密钥长度（KeySize）、支持的密码（Cipher）和哈希（Hash）

算法类型，如右图所示。除保留默认的选择外，最好在哈希算法类型（Hashes）选项区中选择SHA-1和MD-5这两种算法，因为这两种算法目前在国内的电子签名应用中应用最广。

（5）密钥配置好后单击OK按钮，返回NameandEmailAssignment对话框，单击“下一步”按钮，打开CreatePassphrase对话框，为密钥对中的私钥配置保护密码，密码最少需要8位，建议包

括非字母字符，以增加密码的复杂性。程序默认不明文显示所输入的密码，仅以密码长度条显示。如果选择ShowKeystrokes复选框，则在输入密码的同时以明文显示，如右图所示。（6）单击“下一步”按钮，打开KeyGenerationProgress对话框，在该对话框中显示密钥生成的进程，完成后会显示Congratulations表示密钥对生成成功，如下图所示。

（7）单击“下一步”按钮，打开如下图A所示的CompletingthePGPGenerationAssistant对话框，直接单击Done按钮即可结束整个密钥对生成过程。此时会在PGP软件界面的AllKeys列表框中显示新建的密钥，如下图B所示。

图A图B3．数字签名技术

数字签名（digitalsignature）技术是非对称加密算法的典型应用。数字签名的应用过程是：数据源发送方使用自己的私钥，对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”。数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。9.2.3利用SSL实现安全数据传输

Web服务是Internet中最重要的服务之一，现在许多对数据安全要求非常高的行业，如金融、商业也都使用Web服务开展业务，所以Web服务中的数据安全性越来越被人们所重视。SSL（SecureSocketsLayer，安全套接层）协议就提供了满足这些要求的一个解决方案。

在传输层提供安全的数据传递通道。SSL的工作过程如下：（1）Web浏览器请求与Web服务器建立安全会话。（2）Web服务器将自己的公钥发给Web浏览器。（3）Web服务器与Web浏览器协商密钥位数（40位或128位）。（4）Web浏览器产生会话使用的“秘密密钥”，并用Web服务器的公钥加密“秘密密钥”传给Web服务器。（5）Web服务器用自己的私钥解密。（6）Web服务器和浏览器用会话密钥加密和解密，实现加密传输。SSL使用公钥加密技术和数字证书技术，实现客户机和服务器之间的身份认证和密钥协商，使用对称密码技术对SSL连接中传输的敏感数据进行加密，使用消息摘要算法实现客户机和服务器之间传输数据的完整性。9.3网络防火墙

防火墙（firewall），顾名思义就是隔断火患和财产之间的一堵墙，以此来达到降低财物损失的目的。而计算机网络中的防火墙，其功能就像现实中的防火墙一样，把绝大多数的外来侵害都挡在网络外面，保护计算机网络内部的信息安全。9.3.1防火墙的概念

防火墙是位于两个或多个网络间实施网络间访问控制的一组组件的集合，包括主机系统、路由器、网络安全策略和用于网络安全控制与管理的软硬件系统等。防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据网络安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。

防火墙是提供信息安全服务，实现网络和信息安全的基础设施，通常具有以下3个方面的基本特性：内部网络（Intranet）和外部网络（Internet）之间的所有网络数据流都必须经过防火墙。只有符合安全策略的数据流才能通过防火墙。防火墙自身应具有非常强的抗攻击免疫力。防火墙逻辑示意图如下：9.3.2防火墙的类型

1．从防火墙的组成结构来分

如果从防火墙的组成结构来分，防火墙可以分为软件防火墙和硬件防火墙。最初的防火墙，例如，下图所示的金