计算机网络原理与实践教学课件.pptVIP

*************************************第八章：网络安全加密技术通过特定算法将明文转换为密文，确保数据传输的机密性。加密技术分为对称加密（如DES、AES）和非对称加密（如RSA、ECC）两大类。前者加解密使用相同密钥，速度快但密钥分发困难；后者使用公私钥对，解决了密钥分发问题但计算复杂度高。数字签名使用发送者的私钥对消息摘要进行加密，形成数字签名。接收者使用发送者的公钥验证签名，确保消息来源真实且内容完整。数字签名提供身份认证、不可否认性和完整性保护，是电子商务和数字证书的重要基础。防火墙部署在网络边界的安全设备，根据预设策略控制进出网络的数据流量。防火墙可以防止未授权访问，减少网络攻击风险。现代防火墙已从简单的包过滤发展为具有深度包检测、入侵防御等多种功能的综合安全设备。对称加密DES（数据加密标准）美国国家标准研究所（NIST）于1977年发布的加密标准。使用56位密钥，64位数据块，基于Feistel网络结构设计。操作过程包括初始置换、16轮加密运算和最终置换。每轮包含扩展置换、密钥混合、S盒替代和P盒置换等步骤。由于密钥长度较短，现已被认为不够安全，已被3DES（三重DES）和AES取代。3DES使用三个DES密钥对数据进行三次加密，提高了安全性但降低了性能。AES（高级加密标准）美国国家标准研究所于2001年发布的新一代加密标准，取代DES。基于Rijndael算法，支持128/192/256位密钥和128位数据块。操作过程基于替代-置换网络，包括SubBytes（字节替换）、ShiftRows（行移位）、MixColumns（列混淆）和AddRoundKey（轮密钥加）四个步骤。AES安全性高、效率好，已成为当前最流行的对称加密算法，广泛应用于VPN、无线网络安全、磁盘加密等领域。在硬件实现上也较为高效。非对称加密RSA由Rivest、Shamir和Adleman三人于1977年发明，名称源自三位发明者姓氏首字母。安全性基于大整数因子分解的计算困难性。密钥生成涉及选择两个大素数，计算它们的乘积和欧拉函数值，然后选择合适的公钥和私钥。ECC椭圆曲线密码学，基于椭圆曲线上的离散对数问题。相比RSA，ECC可以使用更短的密钥长度达到同等安全级别，如256位ECC密钥提供的安全性相当于3072位RSA密钥。这使得ECC特别适合资源受限环境，如移动设备和物联网设备。非对称加密技术使用公钥和私钥对，公钥可公开分发，私钥需严格必威体育官网网址。信息使用接收者公钥加密，只有持有对应私钥的接收者才能解密。非对称加密解决了对称加密的密钥分发问题，但计算复杂度高，通常用于数字签名和密钥交换，而不是大量数据加密。实际应用中常结合对称和非对称加密，如先用非对称加密交换会话密钥，再用对称加密传输数据。数字签名签名生成发送方首先使用哈希函数（如SHA-256）计算消息的哈希值（消息摘要），然后使用自己的私钥对这个哈希值进行加密，生成数字签名。签名与原消息一起发送给接收方。签名验证接收方使用相同的哈希函数计算收到消息的哈希值，同时使用发送方的公钥解密数字签名得到发送方计算的哈希值。比较这两个哈希值，如果相同则验证通过，证明消息确实来自声称的发送方且未被篡改。数字签名具有三个关键特性：身份认证（证明消息确实来自特定发送者）、不可否认（发送者无法否认曾发送过该消息）和完整性（证明消息在传输过程中未被修改）。数字签名广泛应用于电子合同、软件分发、数字证书和安全通信等领域。常用的数字签名算法包括RSA-PSS、DSA和ECDSA（基于椭圆曲线的数字签名算法）。防火墙技术包过滤防火墙工作在网络层，检查IP包头信息根据源/目的IP地址、端口号、协议类型等制定过滤规则处理速度快，资源消耗少，但无法检查应用层内容易受IP欺骗和分片攻击，无状态过滤难以处理复杂协议代表产品：早期的路由器防火墙功能应用层防火墙工作在应用层，深入检查数据包内容能识别特定应用协议，过滤特定内容可执行用户认证，提供代理服务处理速度较慢，资源消耗大，但安全性高代表产品：各类代理服务器、内容过滤网关现代防火墙通常是上述技术的结合，称为新一代防火墙或统一威胁管理设备，集成了状态检测、深度包检测、入侵防御、病毒防护、VPN等多种功能。防火墙部署策略包括网络边界防护、内部分区隔离和多层防御等模式，需根据网络规模和安全需求选择合适的部署方式。第九章：无线网络54MbpsWi-Fi基于IEEE802.11系列标准的无线局域网技术，通过无线接入点提供设备与互联网的连接。工作在2.4GHz和5GHz频段，覆盖范围通常为几