目錄

• 1 網(wǎng)絡(luò)安全問(wèn)題概述
• • 1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅
  • 2 兩類(lèi)密碼體制
  • 2.1 對(duì)稱(chēng)密鑰密碼體制
  • 2.2 非對(duì)稱(chēng)公鑰密碼體制
• 3 數(shù)字簽名
• 4 因特網(wǎng)使用的安全協(xié)議
• • 4.1 網(wǎng)絡(luò)層安全協(xié)議
  • 4.2 運(yùn)輸層安全協(xié)議
• 5 防火墻(firewall)

1 網(wǎng)絡(luò)安全問(wèn)題概述

1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅

計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅：

截獲——從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容

中斷——有意中斷他人在網(wǎng)絡(luò)上的通信

篡改——故意篡改網(wǎng)絡(luò)上傳送的報(bào)文

偽造——偽造信息在網(wǎng)絡(luò)上傳送

截獲信息的攻擊稱(chēng)為被動(dòng)攻擊，而更改信息和拒絕用戶(hù)使用資源的攻擊稱(chēng)為主動(dòng)攻擊

計(jì)算機(jī)網(wǎng)絡(luò)通信安全的目標(biāo)：

防止析出報(bào)文內(nèi)容

防止通信量分析

檢測(cè)更改報(bào)文流

檢測(cè)拒絕報(bào)文服務(wù)

檢測(cè)偽造初始化連接

惡意程序(rogue program) ：

• 計(jì)算機(jī)病毒——會(huì)“傳染”其他程序的程序，“傳染”是通過(guò)修改其他程序來(lái)把自身或其變種復(fù)制進(jìn)去完成的
• 計(jì)算機(jī)蠕蟲(chóng)——通過(guò)網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序
• 特洛伊木馬——一種程序，它執(zhí)行的功能超出所聲稱(chēng)的功能
• 邏輯炸彈——一種當(dāng)運(yùn)行環(huán)境滿(mǎn)足某種特定條件時(shí)執(zhí)行其他特殊功能的程序

密碼加密：

2 兩類(lèi)密碼體制

2.1 對(duì)稱(chēng)密鑰密碼體制

所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制，這種加密系統(tǒng)又稱(chēng)為對(duì)稱(chēng)密鑰系統(tǒng)。

數(shù)據(jù)加密標(biāo)準(zhǔn) DES：

• 數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于常規(guī)密鑰密碼體制，是一種分組密碼
• 在加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長(zhǎng)為 64 位
• 然后對(duì)每一個(gè) 64 位 二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組 64 位密文數(shù)據(jù)
• 最后將各組密文串接起來(lái)，即得出整個(gè)的密文
• 使用的密鑰為 64 位（實(shí)際密鑰長(zhǎng)度為 56 位，有 8 位用于奇偶校驗(yàn))

DES 的保密性：

• DES 的保密性?xún)H取決于對(duì)密鑰的保密，而算法是公開(kāi)的。盡管人們?cè)谄谱g DES 方面取得了許多進(jìn)展，但至今仍未能找到比窮舉搜索密鑰更有效的方法
• DES 是世界上第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)，它曾對(duì)密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)
• 目前較為嚴(yán)重的問(wèn)題是 DES 的密鑰的長(zhǎng)度
• 現(xiàn)在已經(jīng)設(shè)計(jì)出來(lái)搜索 DES 密鑰的專(zhuān)用芯片

2.2 非對(duì)稱(chēng)公鑰密碼體制

• 公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制
• 公鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問(wèn)題，另一是由于對(duì)數(shù)字簽名的需求
• 現(xiàn)有最著名的公鑰密碼體制是RSA 體制，它基于數(shù)論中大數(shù)分解問(wèn)題的體制，由美國(guó)三位科學(xué)家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式發(fā)表的

加密密鑰與解密密鑰：

• 在公鑰密碼體制中，加密密鑰(即公鑰) PK 是公開(kāi)信息，而解密密鑰(即私鑰或秘鑰) SK 是需要保密的
• 加密算法 E 和解密算法 D 也都是公開(kāi)的
• 雖然秘鑰 SK 是由公鑰 PK 決定的，但卻不能根據(jù) PK 計(jì)算出 SK

公鑰密碼體制：

3 數(shù)字簽名

數(shù)字簽名必須保證以下三點(diǎn)：

報(bào)文鑒別——接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名

報(bào)文的完整性——發(fā)送者事后不能抵賴(lài)對(duì)報(bào)文的簽名

不可否認(rèn)——接收者不能偽造對(duì)報(bào)文的簽名

現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法。但采用公鑰算法更容易實(shí)現(xiàn)

數(shù)字簽名的實(shí)現(xiàn) ：

4 因特網(wǎng)使用的安全協(xié)議

4.1 網(wǎng)絡(luò)層安全協(xié)議

IPsec 與安全關(guān)聯(lián) SA：網(wǎng)絡(luò)層保密是指所有在 IP 數(shù)據(jù)報(bào)中的數(shù)據(jù)都是加密的

IPsec 中最主要的兩個(gè)部分：

• 鑒別首部 AH (Authentication Header)： AH鑒別源點(diǎn)和檢查數(shù)據(jù)完整性，但不能保密
• 封裝安全有效載荷 ESP (Encapsulation Security Payload)：ESP 比 AH 復(fù)雜得多，它鑒別源點(diǎn)、檢查數(shù)據(jù)完整性和提供保密

安全關(guān)聯(lián) SA (Security Association) ：

• 在使用 AH 或 ESP 之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián) SA
• IPsec 就把傳統(tǒng)的因特網(wǎng)無(wú)連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層

4.2 運(yùn)輸層安全協(xié)議

安全套接層 SSL：

• SSL 是安全套接層 (Secure Socket Layer)，可對(duì)萬(wàn)維網(wǎng)客戶(hù)與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別
• SSL 在雙方的聯(lián)絡(luò)階段協(xié)商將使用的加密算法和密鑰，以及客戶(hù)與服務(wù)器之間的鑒別
• 在聯(lián)絡(luò)階段完成之后，所有傳送的數(shù)據(jù)都使用在聯(lián)絡(luò)階段商定的會(huì)話(huà)密鑰
• SSL 不僅被所有常用的瀏覽器和萬(wàn)維網(wǎng)服務(wù)器所支持，而且也是運(yùn)輸層安全協(xié)議 TLS (Transport Layer Security)的基礎(chǔ)

SSL 的位置：

SSL 提供以下三個(gè)功能：

SSL 服務(wù)器鑒別 允許用戶(hù)證實(shí)服務(wù)器的身份。具有 SS L 功能的瀏覽器維持一個(gè)表，上面有一些可信賴(lài)的認(rèn)證中心 CA (Certificate Authority)和它們的公鑰

加密的 SSL 會(huì)話(huà) 客戶(hù)和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密

SSL 客戶(hù)鑒別 允許服務(wù)器證實(shí)客戶(hù)的身份

安全電子交易 SET (Secure Electronic Transaction)：

• 安全電子交易 SET 是專(zhuān)為在因特網(wǎng)上進(jìn)行安全支付卡交易的協(xié)議

5 防火墻(firewall)

• 防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，是一種特殊編程的路由器，用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要
• 防火墻內(nèi)的網(wǎng)絡(luò)稱(chēng)為“可信賴(lài)的網(wǎng)絡(luò)”(trusted network)，而將外部的因特網(wǎng)稱(chēng)為“不可信賴(lài)的網(wǎng)絡(luò)”(untrusted network)
• 防火墻可用來(lái)解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問(wèn)題

防火墻在互連網(wǎng)絡(luò)中的位置：

防火墻的功能：

• 防火墻的功能有兩個(gè)：阻止和允許
• “阻止”就是阻止某種類(lèi)型的通信量通過(guò)防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過(guò)來(lái)）
• “允許”的功能與“阻止”恰好相反
• 防火墻必須能夠識(shí)別通信量的各種類(lèi)型。不過(guò)在大多數(shù)情況下防火墻的主要功能是“阻止”

防火墻技術(shù)一般分為兩類(lèi) ：

• 網(wǎng)絡(luò)級(jí)防火墻——用來(lái)防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來(lái)非法的入侵。屬于這類(lèi)的有分組過(guò)濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶(hù)的登錄是否合法
• 應(yīng)用級(jí)防火墻——從應(yīng)用程序來(lái)進(jìn)行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來(lái)區(qū)分各種應(yīng)用。例如，可以只允許通過(guò)訪(fǎng)問(wèn)萬(wàn)維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過(guò)

總結(jié)

以上是生活随笔為你收集整理的计算机网络第七章：网络安全的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。