网络安全综述

网络安全综述一、密码理论加密与解密的密钥相同(对称加密)，即：P=D(K,E(K,P))

。也称单密钥算法，或传统加密算法。例如DES，IDEA等。对称加密算法P47对称加密算法的特点算法简单、速度快，被加密的数据块长度可以很大密密钥在加密方和解密方之间传递和分发必须通过安全通道进行网络用户需要保存的密钥太多DES概述分组加密算法：明文和密文为64位分组长度对称算法：加密和解密除密钥编排不同外，使用同一算法密钥长度：56位，每个第8位为奇偶校验位采用混乱和扩散的组合，每个组合采用替代和置换方法，共16轮运算只使用了标准的算术和逻辑运算，运算速度快，通用性强，易于实现DES加密算法是由IBM研究在1977年提出的。并被美国国家标准局宣布为数据加密标准DES，主要用于民用敏感信息的加密输入64比特明文数据初始置换IP在密钥控制下16轮迭代初始逆置换IP-1输出64比特密文数据交换左右32比特DES加密过程非对称加密体制

对称密钥加密方法存在的问题：

1、密钥的生成、管理、分发等都很复杂；

2、不能实现数字签名。

加密与解密的密钥不同，且由其中一个不容易推出另一个：P=D(KD,E(KE,P))。也称双密钥算法或公开密钥算法。如RSA算法非对称加密体制非对称加密体制加密密钥是公开的，称为公开密钥。解密密钥上保密的，称为私钥。加密算法和解密算法都是公开的，每个用户有一个对外公开的加密密钥和对外保密的解密密钥。私钥由公钥决定，但却不能由公钥计算出来。理论上解密密钥可由加密密钥推算出来，但这种算法设计中实际上是不可能的，或者即使能够推算出来，但要花费很长的时间而成为不可行的。所以公开加密密钥也不会危害私钥的安全。非对称加密体制公钥密码学的出现使大规模的安全通信得以实现–解决了密钥分发问题公钥密码学还可用于另外一些应用：数字签名、防抵赖等公开密钥加密技术的特点算法复杂、速度慢，被加密的数据块长度不宜太大公钥在加密方和解密方之间传递和分发不必通过安全通道进行RSA算法公钥加密体制中的典型代表RSA算法

由美国麻省理工大学的RonRivest,AdiShamir和LenAdleman于1977年研制并于1978年首次发表；是整个编码学历史上最大的变革。与以前的所有方法都截然不同。一方面公开蜜钥算法是基于数学函数而不是替代和置换，更重要的是，公开密钥是非对称的，它用到两个不同的密钥。一个用于加密，一个用于解密。RSA是一种分组密码RSA既可用于加密，又可用于数字签名，已得到广泛采用；RSA依赖以下的假定：基于分解大整数的困难性。RSA已被许多标准化组织(如ISO、ITU、IETF和SWIFT等)接纳27225如果A想给B发送一个报文，他就用B公开的密钥加密这个报文。B收到这个报文后就用他的保密密钥解密报文。其他所有收到这个报文的人都无法解密他，因为只有B才有B的私有密钥。RSA算法的重要步骤二、防火墙技术防火墙的概述

随着Internet在全世界的迅速发展和广泛应用，Internet中出现的信息泄密、数据篡改和服务拒绝等网络安全事件频繁发生，网络安全问题越来越严重，为解决这些问题，出现了很多网络安全技术和方法，防火墙是其中最为成功的一种。防火墙技术是建立在现代通信网络技术和信息安全技术的基础上的应用性安全技术，越来越多地应用在专用网络与公用网络的互联环境中，特别是接入Internet网络，在实际应用中发挥着极其重要的作用，所以掌握规划部署防火墙技术，对通信系统安全运行显得很有必要。因此，论文的目的是对防火墙安全部署进行详细的阐述，通过对各代防火墙的安全部署特点分析，论证防火墙部署的基本原则。防火墙的基本概念“防火墙”这个术语来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙，用来隔离不同的公司或房间，尽可能地起防火作用。

防火墙的英文名称为“FireWall”，它是目前一种最重要的网络防护设备。

防火墙是一种安全有效的防护技术，是访问控制机制，安全策略和入侵措施的集成。

在计算机网络中，防火墙是一个保护一个网络免受其他网络攻击的屏障，是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。图1.1防火墙结构防火墙的安全部署

安全部署防火墙的目的及意义目的防火墙是一种过滤器，按照防火墙事先设计的规则对内网和外网之间的通信数据包进行筛选和过滤，只允许授权的的数据通过不符合童心规则的数据包将被丢弃，以此来限制网络内部和外部的相互访问，达到保护内网的目的，简单的说就说防止黑客入侵，窃取资料。意义防火墙具有很好的保护作用。所有进出的信息都必须通过防火墙，防火墙能强化安全策略，能有效地记录Internet上的活动，限制暴露用户点，能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播，是一个安全策略的检查站，所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外，这些优点使得防火墙在网络安全领域中成为佼佼者，它对网络安全起了很重要的作用，让我们一起期待下一代更全面的防火墙的到来。

图包过滤防火墙部署图图应用代理防火墙部署图三、入侵检测技术研究操作系统的漏洞应用程序的bug网络协议设计上的缺陷安全策略执行的不当入侵的生存环境入侵检测发现计算机或者网络攻击行为利用一个嗅探器Sensor监控一个或者几个数据源DataSource，利用某种检测算法DetectionAlgorithm检测攻击行为，通常有一个管理系统ManagementSystem来监控、配置和分析入侵数据入侵检测技术的分类异常检测误用检测（基于攻击特征）主机检测网络检测异常检测异常检测的基本原理是分析正常的数据，获得正常数据的模型，通过判断数据是否偏离正常数据的模型来检测出异常数据优点能够检测新的攻击类型缺点攻击应该能够体现出明显的异常误警率较高误用检测根据分析得出的攻击特征进行检测例如一种针对Web服务器的CGI攻击会利用包含“GET/cgi-bin/phf”字符串的数据包，误用检测系统检查所有发往服务器的数据包，看是否有“phf”字符串，如果有，说明有攻击一般的入侵检测系统都采用简单的模式匹配算法误用检测（续）优点检测率高缺点不能检测新的攻击类型同样存在误警如何加入新的攻击特征是一个问题主机检测根据主机上应用程序的行为记录检测攻击认证与登陆文件访问注册表访问程序运行缺点大量的行为记录会带来很大的分析工作量网络检测在网络数据中寻找攻击特征易于布置，