目錄

• 1 網(wǎng)絡(luò)安全問題概述
• • 1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅
  • 2 兩類密碼體制
  • 2.1 對(duì)稱密鑰密碼體制
  • 2.2 非對(duì)稱公鑰密碼體制
• 3 數(shù)字簽名
• 4 因特網(wǎng)使用的安全協(xié)議
• • 4.1 網(wǎng)絡(luò)層安全協(xié)議
  • 4.2 運(yùn)輸層安全協(xié)議
• 5 防火墻(firewall)

1 網(wǎng)絡(luò)安全問題概述

1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅

計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅：

截獲——從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容

中斷——有意中斷他人在網(wǎng)絡(luò)上的通信

篡改——故意篡改網(wǎng)絡(luò)上傳送的報(bào)文

偽造——偽造信息在網(wǎng)絡(luò)上傳送

截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動(dòng)攻擊

計(jì)算機(jī)網(wǎng)絡(luò)通信安全的目標(biāo)：

防止析出報(bào)文內(nèi)容

防止通信量分析

檢測更改報(bào)文流

檢測拒絕報(bào)文服務(wù)

檢測偽造初始化連接

惡意程序(rogue program) ：

• 計(jì)算機(jī)病毒——會(huì)“傳染”其他程序的程序，“傳染”是通過修改其他程序來把自身或其變種復(fù)制進(jìn)去完成的
• 計(jì)算機(jī)蠕蟲——通過網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序
• 特洛伊木馬——一種程序，它執(zhí)行的功能超出所聲稱的功能
• 邏輯炸彈——一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其他特殊功能的程序

密碼加密：

2 兩類密碼體制

2.1 對(duì)稱密鑰密碼體制

所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制，這種加密系統(tǒng)又稱為對(duì)稱密鑰系統(tǒng)。

數(shù)據(jù)加密標(biāo)準(zhǔn) DES：

• 數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于常規(guī)密鑰密碼體制，是一種分組密碼
• 在加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長為 64 位
• 然后對(duì)每一個(gè) 64 位 二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組 64 位密文數(shù)據(jù)
• 最后將各組密文串接起來，即得出整個(gè)的密文
• 使用的密鑰為 64 位（實(shí)際密鑰長度為 56 位，有 8 位用于奇偶校驗(yàn))

DES 的保密性：

• DES 的保密性僅取決于對(duì)密鑰的保密，而算法是公開的。盡管人們?cè)谄谱g DES 方面取得了許多進(jìn)展，但至今仍未能找到比窮舉搜索密鑰更有效的方法
• DES 是世界上第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)，它曾對(duì)密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)
• 目前較為嚴(yán)重的問題是 DES 的密鑰的長度
• 現(xiàn)在已經(jīng)設(shè)計(jì)出來搜索 DES 密鑰的專用芯片

2.2 非對(duì)稱公鑰密碼體制

• 公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制
• 公鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問題，另一是由于對(duì)數(shù)字簽名的需求
• 現(xiàn)有最著名的公鑰密碼體制是RSA 體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學(xué)家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式發(fā)表的

加密密鑰與解密密鑰：

• 在公鑰密碼體制中，加密密鑰(即公鑰) PK 是公開信息，而解密密鑰(即私鑰或秘鑰) SK 是需要保密的
• 加密算法 E 和解密算法 D 也都是公開的
• 雖然秘鑰 SK 是由公鑰 PK 決定的，但卻不能根據(jù) PK 計(jì)算出 SK

公鑰密碼體制：

3 數(shù)字簽名

數(shù)字簽名必須保證以下三點(diǎn)：

報(bào)文鑒別——接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名

報(bào)文的完整性——發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名

不可否認(rèn)——接收者不能偽造對(duì)報(bào)文的簽名

現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法。但采用公鑰算法更容易實(shí)現(xiàn)

數(shù)字簽名的實(shí)現(xiàn) ：

4 因特網(wǎng)使用的安全協(xié)議

4.1 網(wǎng)絡(luò)層安全協(xié)議

IPsec 與安全關(guān)聯(lián) SA：網(wǎng)絡(luò)層保密是指所有在 IP 數(shù)據(jù)報(bào)中的數(shù)據(jù)都是加密的

IPsec 中最主要的兩個(gè)部分：

• 鑒別首部 AH (Authentication Header)： AH鑒別源點(diǎn)和檢查數(shù)據(jù)完整性，但不能保密
• 封裝安全有效載荷 ESP (Encapsulation Security Payload)：ESP 比 AH 復(fù)雜得多，它鑒別源點(diǎn)、檢查數(shù)據(jù)完整性和提供保密

安全關(guān)聯(lián) SA (Security Association) ：

• 在使用 AH 或 ESP 之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián) SA
• IPsec 就把傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層

4.2 運(yùn)輸層安全協(xié)議

安全套接層 SSL：

• SSL 是安全套接層 (Secure Socket Layer)，可對(duì)萬維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別
• SSL 在雙方的聯(lián)絡(luò)階段協(xié)商將使用的加密算法和密鑰，以及客戶與服務(wù)器之間的鑒別
• 在聯(lián)絡(luò)階段完成之后，所有傳送的數(shù)據(jù)都使用在聯(lián)絡(luò)階段商定的會(huì)話密鑰
• SSL 不僅被所有常用的瀏覽器和萬維網(wǎng)服務(wù)器所支持，而且也是運(yùn)輸層安全協(xié)議 TLS (Transport Layer Security)的基礎(chǔ)

SSL 的位置：

SSL 提供以下三個(gè)功能：

SSL 服務(wù)器鑒別 允許用戶證實(shí)服務(wù)器的身份。具有 SS L 功能的瀏覽器維持一個(gè)表，上面有一些可信賴的認(rèn)證中心 CA (Certificate Authority)和它們的公鑰

加密的 SSL 會(huì)話 客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密

SSL 客戶鑒別 允許服務(wù)器證實(shí)客戶的身份

安全電子交易 SET (Secure Electronic Transaction)：

• 安全電子交易 SET 是專為在因特網(wǎng)上進(jìn)行安全支付卡交易的協(xié)議

5 防火墻(firewall)

• 防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，是一種特殊編程的路由器，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要
• 防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trusted network)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrusted network)
• 防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題

防火墻在互連網(wǎng)絡(luò)中的位置：

防火墻的功能：

• 防火墻的功能有兩個(gè)：阻止和允許
• “阻止”就是阻止某種類型的通信量通過防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來）
• “允許”的功能與“阻止”恰好相反
• 防火墻必須能夠識(shí)別通信量的各種類型。不過在大多數(shù)情況下防火墻的主要功能是“阻止”

防火墻技術(shù)一般分為兩類 ：

• 網(wǎng)絡(luò)級(jí)防火墻——用來防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。屬于這類的有分組過濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法
• 應(yīng)用級(jí)防火墻——從應(yīng)用程序來進(jìn)行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過

總結(jié)

以上是生活随笔為你收集整理的计算机网络第七章：网络安全的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。