第7章信息网络安全教学内容与要求重点与难点了解信息安全的特征理解加密体系的原理、应用方法理解PKI体系和加密算法间的关系了解防火墙的分类、组成、应用方法引言：信息安全应用背景网络安全威胁国家基础设施网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。7.1信息安全概述7.1.1信息安全与威胁网络安全涉及的两个方面:如何保证在网络上传输信息的私有性，防止信息被非法窃取、篡改和伪造;如何限制网络用户（或程序）的访问权限，防止非法用户（或程序）侵入1、信息安全内容（三个层次）信息安全内容2．网络面临的安全威胁7.1.2信息网络安全体系结构应用层对网络的被动攻击和主动攻击1.安全服务认证（Authentication）：证实通信过程涉及的另一方确实具有他们所声称的身份，确保通信是可信的。访问控制（AccessControl）：限制和控制通过通信链路对主机系统和应用访问的能力。数据保密（DataConfidentiality）:保护被传输的数据免遭被动攻击。数据完整性（DataIntegrity）:令接收方确信收到的消息与最初发出的消息是完全一样的。(主动攻击)抗抵赖（Non-repudiation）:防止发送方或接收方否认已发送或已接收了一个消息的事实。审计管理:对记录进行审核。可用性:系统或系统资源可被授权实体访问和使用的特性2.安全机制数据加密机制访问控制机制数据完整性机制数字签名机制实体认证机制路由控制机制业务填充机制公证机制3.安全管理7.1.3安全系统评估标准20世纪80年代中期，美国国防部发布了具有较大影响的《可信计算机系统评估准则》（TCSEC）（即橘皮书）。分为下列级别：D：安全保护欠缺级C1:自主安全保护级C2:受控存取保护级B1：标记安全保护级B2：结构化保护级B3：安全域级A1：验证设计级超A1级7.1.4信息安全基本特性国内网络安全状况7.2密码技术密码学是一门古老的科学，自人类社会出现战争便产生了密码，以后逐渐形成一门独立的学科。在计算机应用系统中，采用密码技术将信息隐蔽起来，隐蔽后的信息在开放介质中存储、传输，即使被窃取或截获，窃取者也不能了解信息的内容，从而保证信息的安全。密码学的基本原则：必须假设破译者知道加密与解密的方法；算法是稳定和公开的，密钥是保密和经常改变的。密码分析的三种主要变形：只有密文问题：只有密文而无相匹配的明文；已知明文问题：拥有一批相匹配的明文和密文对；选择明文问题：破译者能够加密自己选择的任何明文。一个加密算法被称为是计算安全的，如果由该算法产生的密文满足以下两个条件之一：破译密文的代价超过信息本身的价值；破译密文所需的时间超过信息的有效生命期；现代密码学中，密码的安全性是通过算法的复杂性和密钥的长度来保证的。密码是含有一个参数k的数学变换，即C=Ek（m）m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法参数k称为密钥密文C是明文m使用密钥k经过加密算法计算后的结果；加密算法可以公开，而密钥只能由通信双方来掌握。加密技术分类36377.2.2对称密码技术对称密码算法实现效率高、执行速度快，但密钥管理复杂。如果任何一对发送方和接收方都有他们各自商议的密钥，对于N个用户，整个系统共有N×(N-1)个密钥，每一个用户要记住或保留N-1把密钥，当N很大时，密钥很难记忆，密钥泄漏的可能性增大；密钥的保存和使用也极为不方便。40常见对称密码算法DES是一个分组加密算法，它以64位为分组对数据加密。在加密前，先对整个明文进行分组。每一个组长为64bit。然后对每一个64bit二进制数据进行加密处理，产生一组64bit密文数据。最后将各组密文串接起来，即得出整个的密文。使用的密钥为64bit（实际密钥长度为56bit，有8bit用于奇偶校验)。DES的保密性仅取决于对密钥的保密，而算法是公开的。尽管人们在破译DES方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。DES是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。目前较为严重的问题是DES的密钥的长度。现在已经设计出来搜索DES密钥的专用芯片。3重DES算法其他对称算法7.2.3公钥密码技术相对于对称加密技术，公钥算法运算速度较慢，但密钥的管理和使用方便，易于实现，更适合网络环境中密码技术应用需求。48算法思想：加密密钥与解密密钥不同，且从加密密钥推导不出解密密钥，因此加密密钥可以公开。公开密钥算法必须满足的条件：从计算上说，生成一对加密密钥和解密密钥是容易的；从计算上说，已知加密密钥，从明文计算出密文是容易的；从计算上说，已知解密