《网络信息安全》PPT课件

• CA创建并签发证书
• 目录系统是PKI的重要依靠，目前支持轻量级目录服务
(LDAP)是最基本的要求。精选版
13
15.3.4 Hash函数与数字签名
1、 Hash函数
对于任意长度的信息m，经过Hash函数运算 后得出一固定长度的数，比如64比特，并满足：
(1)已知Hash函数的输出，要求它的输入是困难 的，即已知C=H(m)，求m是困难的。
身份假冒
非法访问
信息泄露
数据受损
事后否认
• 安全措施包括：
身份认证
内容过滤
访问控制
日志审计
数据加密
应急响应
数据验证
灾难恢复
数字签名
精选版
6
15.2 密码学
15.2.1 密码学基本原理 密码学是以研究数据保密为目的，对
存储或者传输的信息采取秘密的交换以 防止第三者对信息的窃取的技术。
精选版
7
图 15.1 密码学模型
第15章 网络信息安全
精选版
1
网络信息安全是计算机网络的机密性、 完整性和可用性的集合，是在分布网络环 境中，对信息载体（处理载体、存储载体、 传输载体）和信息的处理、传输、存储、 访问提供安全保护，以防止数据、信息内 容或能力被非授权使用、篡改和拒绝服务。 完整的信息安全保障体系应包括保护、检 测、响应、恢复等4个方面。
精选版
9
15.2.3 不对称密钥密码技术
• 是在密码体制中加密和解密采用不同的两个相 关的密钥技术，又称公钥密码技术。
• 最常用的不对称密钥算法是RSA算法。
• 公钥密码技术的优点是密钥发行与管理方面较 私钥密码方便，但处理速度较慢，通常将两者 结合使用，达到最佳性能。
精选版
10
15.3 鉴别
15.3.1鉴别的基本原理
精选版
16
图 15.3 链式结构Hash函数
精选版
17
2、数字签名
• 数字签名是通信双方在网上交换信息用公钥密 码防止伪造和欺骗的一种身份签证。
• 若A要向B送去信息m，A可用A的保密的解密 算法DA对m进行加密得DA(m)，再用B的公开算 法EB对DA(m)进行加密得
C＝EB(DA(m)) B收到密文C后先用他自己掌握的解密算DB对C
精选版
2
本章学习要点：
1.网络信息安全基本概念。
2.密码学基本原理以及两种密码技术。
3.鉴别的基本原理以及公钥基础设施PKI及数字 签名。
4.访问控制的基本原理。
5.网络安全层次模型及各层的安全技术。
6.防火墙技术基本概念、主要技术类型以及体系 结构。
7.VPN基本概念。
8.IPSec基本概念。
9.入侵检测概念。
(2)已知m计算H(m)是容易的。
(3)已知C1=H(m1)，找m2≠m1， H(m1)=H(m2) 是困难的。
(4)C=H(m),C与m的每一比特相关，并具有高度 扩散性。
Hash函数便可以利用它来作为数字签名。
精选版
14
图 15.2 PKI体系结构
精选版
15
利用分组密码构造Hash函数
明文m或密钥k任改变一比特都将引起 密文C近一半的比特值发生变化
15.3.3 公钥基础设施(PKI)
• 在分布式计算系统中提供的使用公钥密码系统和X.509 证书安全服务的基础设施。
• PKI产品和服务允许使用者在网络上建立一个安全领域， 在该领域中可以签发密钥和证书。
• PKI支持使用者在建立的安全领域中进行加密密钥和证 书的使用和管理，提供密钥管理、证书管理以及安全 政策管理等。
10. 计算机病毒概念。 精选版
3
Biblioteka Baidu
15.1 网络信息安全基本概念
15.1.1 网络信息安全的含义
• 网络信息安全是计算机网络的机密性、完整性 和可用性的集合
• 机密性指通过加密数据防止信息泄露
• 完整性指通过验证防止信息篡改
• 可用性指得到授权的实体在需要时可使用网络
资源
精选版
4
15.1.2 网络层面的安全需求
• 提供了网络通信方之间相互的身份认证手段， 而且并不依赖于主机操作系统和地址。
• 3个通信参与方，即需要验证身份的通信双方 再加上一个双方都信任的第3方，即密钥分发 中心。
• Kerberos保持一个它的客户方以及密钥的数据 库，这些密钥是KDC与客户方之间共享的，是 不能被第3方知道的。
精选版
12
• 维护信息载体的安全运行是网络层面的安全目标。
• 安全威胁包括：
物理侵犯
系统漏洞
网络入侵
恶意软件
存储损坏
• 安全措施包括：
门控系统
存储备份
防火墙
日志审计
防病毒
应急响应
入侵检测
灾难恢复
漏洞扫描
精选版
5
15.1.3 信息层面的安全需求
• 维护信息自身的安全使用是信息层面的安全目标。
• 对信息的安全威胁包括：
精选版
8
15.2.2 对称密钥密码技术
• 是在密码体制中加密和解密采用同一密钥的 技术，又称私钥密码技术。
• 从加密模式上可分为序列密码和分组密码两 大类。
• 最常见的对称密钥密码算法有DES和IDEA。 DES算法是IBM开发的，并于1977年被美国政 府采纳为非机密信息的加密标准。
• 对称密钥密码系统具有加解密速度快、安全 强度高等优点。
精选版
21
15.5.2 网络层安全 主机对主机的IP网络的安全措施
精选版
22
15.5.3 传输层安全 • 进程对进程的传输层安全机制，最常用
• 常用的有：
访问控制表 按照行来存储矩阵，在对象服 务器上存储着每个对象的授权访问者及其权限 的一张表
访问权力表 按照列来处理矩阵，每个访问
者存储有访问权力表，该表包含了他能够访问
的特定对象和操作权限精选版
19
15.5 网络安全层次模型
图 15.4 网络安全层次图
精选版
20
15.5.1 链路层安全 节点间专门的安全通信设施
进行解密得
DB(C)＝DB(EB(DA(m)))＝DA(m) 再用A的公开算法EA对DA(m)进行解密得
EA(DA(m))＝m
从而得到了明文m。 精选版
18
15.4 访问控制
• 访问控制是确定来访实体是否具有访问的权力 以及实施访问权限的管理的过程和技术。
• 访问控制一般都是基于安全策略和安全模型的
• 鉴别是指可靠地验证某个通信参与方的身份 是否与他所声称的身份一致的过程，一般通过 某种复杂的身份认证协议来实现。
• 3种身份认证技术： 口令技术
身份认证标记
密码身份认证协议
精选版
11
15.3.2 Kerberos鉴别
• Kerberos鉴别是一种使用对称密钥加密算法来 实现通过可信第3方密钥分发中心(KDC)的身份 认证系统。