一、計算機網絡面臨的安全性威脅

1、典型的網絡安全事件

• 1988年11月2日，美國康奈爾大學的學生羅伯特·莫里斯在網絡上釋放了Internet第一個“蠕蟲”程序，幾個小時之內，數千臺電腦受傳染，損失接近1億美元。
• 2002年，黑客用Ddos攻擊13個根DNS中的8個，使整個Internet的通信受到破壞
• 2006年，“熊貓燒香”木馬致使我國數百萬臺計算機受感染。能終止反病毒軟件進程并且會刪除擴展名為gho的備份文件。
• 2010年，“維基解密”網站公開了多達9.2萬份駐阿美軍秘密文件。
• 2011年，CSDN網站被黑客攻擊，600余萬份注冊郵箱帳號和對應的明文密碼泄漏，堪稱中國互聯網史上最大的泄密事件。
• 2017年5月12日晚，WannaCry蠕蟲病毒在全球大肆爆發。該病毒帶有加密功能，它利用Windows在445端口的安全漏洞潛入電腦并對多種文件類型加密，攻擊者稱需支付比特幣解鎖。

• 2018年3月，Facebook爆出史上最大數據泄露事件。SCL和劍橋分析公司利用了Facebook上5000萬用戶的個人資料數據。【劍橋分析公司被指利用5000萬用戶個人資料，來創建檔案，在2016美國總統大選期間針對這些人進行定向宣傳。】
• Apple用戶只需透過 Group FaceTime 撥號給某人后，即使對方沒有接聽的話，系統都能夠藉著麥克風接收到對方的說話，甚至是會在不知情下開啟相機鏡頭。 這意味著Apple 用戶將可能會不知不覺地曝露私隱，這個漏洞的出現對用戶而言絕對是一個極為嚴重的錯誤。

2、安全的計算機網絡

• 數據保密性：用于加密數據以防被竊聽
• 端點鑒別：用于保證通信的真實性，證實接收的數據就來自所要求的源方。
• 數據完整性：用于保證所接受的消息為未經插入、篡改或重放
• 訪問控制：用于防止對網絡資源的非授權訪問
• 不可否認：防止通訊雙方中某一方抵賴所傳輸的消息

2.1 數據加密

• 利用技術手段將數據變成亂碼，到達目的地后再還原為原數據。
• 古典加密技術：Caesar密碼、單表置換密碼

二、兩類密碼體制

• 對稱密鑰密碼體制
  • 加密密鑰與解密密鑰是相同的密碼體制
  • 數據加密標準 DES（ Data Encryption Standard ）
• 公鑰密碼體制
  • 使用不同的加密密鑰與解密密鑰
  • RSA 體制

1、對稱密鑰密碼體制 - DES

• DES使用相同的加密密鑰與解密密鑰
• DES 的保密性僅取決于對密鑰的保密，而算法是公開的。

2、公鑰密碼體制 - RSA

公鑰密碼體制產生的原因：

對稱密鑰密碼體制中的密鑰分配問題

對數字簽名的需求

• RSA使用不同的加密密鑰與解密密鑰。
• 加密密鑰(即公鑰) PK 是公開信息，而解密密鑰(即私鑰或秘鑰) SK 是需要保密的

• RSA基于數論中大數分解難題：分解兩個大素數（100位~200位十進制數）之積是公認的數學難題。
• 雖然秘鑰 SK 是由公鑰 PK 決定的，但卻不能根據 PK 計算出 SK。

發送者 A 用 B 的公鑰 PKB 對明文 X 加密（E 運算）后，在接收者 B 用自己的私鑰 SKB 解密（D 運算），即可恢復出明文：

解密密鑰是接收者專用的秘鑰，對其他人都保密。
加密密鑰是公開的，但不能用它來解密，即

加密和解密的運算可以對調，即

3、對稱加密與公鑰加密的比較

三、數字簽名

• 數字簽名必須保證以下三點：
  (1) 報文鑒別——接收者能夠確信報文是發送者發送的，別人無法偽造對報文的簽名；
  (2) 報文的完整性——接收者能夠確信報文是完整的，沒有被纂改過；
  (3) 不可否認——發送者事后不能抵賴對報文的簽名。

公鑰密碼體制實現數據加密如下：

公鑰密碼體制實現數字簽名
如何證明 B 偽造了報文?

因為除 A 外沒有別人能具有 A 的私鑰，所以除 A 外沒有別人能產生這個密文。因此 B 相信報文 X 是 A 簽名發送的。若 A 要抵賴曾發送報文給 B，B 可將明文和對應的密文出示給第三者。第三者很容易用 A 的公鑰去證實 A 確實發送 X 給 B。反之，若 B 將 X 偽造成 X‘，則 B 不能在第三者前出示對應的密文。這樣就證明了 B 偽造了報文。

公鑰密碼體制實現具有保密性的數字簽名

四、鑒別

• 驗證通信的對方的確是自己要通信的對象而不是冒充者
• 報文鑒別
  • 接收者能夠確信報文是發送者發送的，別人無法偽造
  • 對每一個收到的報文都要鑒別報文的發送者
• 實體鑒別
  • 對通信的進程進行鑒別，通常在系統接入時驗證一次

1、報文鑒別

• 數字簽名

缺點：對很長的報文進行數字簽名開銷太大

• 報文摘要MD (Message Digest)

發送方：

A 將報文 X 經過報文摘要算法運算后得出很短的報文摘要 H

然后用自己的私鑰對 H 進行數字簽名，得到MAC

將MAC其追加在報文 X 后面發送給 B

接收方：

首先把MAC和報文 X 分離

用A的公鑰對MAC進行運算，得出報文摘要 H ，對報文X計算出H，比較兩個H

優點：短得多的定長報文摘要 H 進行數字簽名開銷小

2、實體鑒別

A 發送給 B 的報文的被加密，使用的是對稱密鑰 KAB。
B 收到此報文后，用共享對稱密鑰 KAB 進行解密，因而鑒別了實體 A 的身份。

• 使用不重數進行鑒別 【不重數就是一個不重復使用的大隨機數】

• 使用不重數進行鑒別（公鑰密碼體制）

• 中間人攻擊

五、密鑰分配

• 對稱密鑰的分配
  • 目前常用的密鑰分配方式是設立密鑰分配中心 KDC (Key Distribution Center)，通過 KDC 來分配密鑰。

    密鑰分配中心 KDC 的任務是給需要進行通信的兩個用戶臨時分配一個對稱密鑰，且僅在這次通信中使用。

• 公鑰的分配
  • 一個值得信賴的機構——即認證中心CA (Certification Authority)來管理

1、對稱密鑰的分配

• 密鑰分配協議：Kerberos
• Kerberos既是鑒別協議，也是密鑰分配中心KDC

2、公鑰的分配

公鑰的傳輸過程也存在風險，如果中間商篡改了公鑰，那么他就可以偽造數字簽名

通過認證中心CA (Certification Authority)來將公鑰與其對應的實體（人或機器）進行綁定。認證中心一般由政府出資建立。

六、運輸層安全協議

現在廣泛使用的有以下兩個協議：

• 安全套接字層 SSL (Secure Socket Layer)
• 運輸層安全 TLS (Transport Layer Security)

SSL/TLS 的位置

• 在發送方，SSL 接收應用層的數據（如 HTTP ），對數據進行加密，然后把加了密的數據送往 TCP 套接字。
• 在接收方，SSL 從 TCP 套接字讀取數據，解密后把數據交給應用層。

1、SSL安全會話建立過程如下

2、TLS 工作流程

此為服務端單向認證，還有客戶端/服務端雙向認證，流程類似，只不過客戶端也有自己的證書，并發送給服務器進行驗證

TLS：位于 HTTP 和 TCP 之間的協議，其內部有 TLS握手協議、TLS記錄協議
HTTPS 經由 HTTP 進行通信，但利用 TLS 來保證安全，即 HTTPS = HTTP + TLS【HTTPS 使用 TLS 保證安全，這里的“安全”分兩部分，一是傳輸內容加密、二是服務端的身份認證】

2.1 TLS 使用的密碼技術

偽隨機數生成器：秘鑰生成隨機性，更難被猜測

對稱密碼：對稱密碼使用的秘鑰就是由偽隨機數生成，相較于非對稱密碼，效率更高

消息認證碼：保證消息信息的完整性、以及驗證消息信息的來源

公鑰密碼：證書技術使用的就是公鑰密碼

數字簽名：驗證證書的簽名，確定由真實的某個 CA 頒發

證書：解決公鑰的真實歸屬問題，降低中間人攻擊概率

TLS 是一系列密碼工具的框架，作為框架，它也是非常的靈活，體現在每個工具套件它都可以替換，即：客戶端與服務端之間協商密碼套件，從而更難的被攻破，例如使用不同方式的對稱密碼，或者公鑰密碼、數字簽名生成方式、單向散列函數技術的替換等。

文章參考：https://blog.csdn.net/ustccw/article/details/76691248 以及 謝希仁著. 計算機網絡（第7版）

總結

以上是生活随笔為你收集整理的计算机网络体系结构 - 网络安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。