本篇博客将讲解我在计算机网络课程上学到的相关概念以及总结理解,今天将介绍网络安全方面的知识,希望能帮助大家理解计算机网络中的一些概念,这些只是课程一些概念的梳理,对于各位本身就从事网络相关的大佬来说肯定有不严谨的,欢迎各位大佬来指正补充!
这篇博客是计算机网络系列的最后一篇啦,想了解更多可以看我的计算机网络专栏。
1. 网络安全问题概述,计算机网络上的与通信有关的四种威胁
网络安全问题概述
计算机网络上的通信面临两大类 威胁:被动攻击 和主动攻击。
被动攻击
按我的理解是攻击者窃取他人的通信内容(截获),这种攻击不会干扰本身的信息流 ,你可以理解为简单的偷看
,这种被动攻击又称为流量分析 (traffic analysis)
主动攻击
比起偷窥,主动攻击就恶劣的多了,其主要有以下几类:
- 篡改------故意篡改网络上传送的报文。这种攻击方式有时也称为更改报文流。
- 恶意程序------种类繁多,对网络安全威胁较大的主要包括:计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等。
- 拒绝服务------指攻击者向互联网上的某个服务器不停地发送大量分组,使该服务器无法提供正常服务,甚至完全瘫痪。
分布式拒绝服务(DDoS) 从互联网上的成百上千的网站集中攻击一个网站,有时也把这种攻击称为网络带宽攻击或连通性攻击。
被动攻击仅仅是偷窥狂,而主动攻击更像一个恐怖分子,不但抢你的,还要破坏你的。
如何应对
- 对付被动攻击可采用各种数据加密技术。
- 对付主动攻击就会更加麻烦一点,需将加密技术与适当的鉴别技术相结合。
安全的计算机网络
需要注意的是,网络的安全性是不可判定的, 一个安全的计算机网络应达到四个目标:
- 保密性(只有信息的发送方和接收方才能懂得所发送信息的内容。)
- 端点鉴别(鉴别信息的发送方和接收方的真实身份)
- 信息的完整性(信息的内容未被篡改过)
- 运行的安全性(系统能正常运行并提供服务)
2. 两类密码体制
对称密钥密码体制
常规密钥密码体制,即加密密钥与解密密钥是相同的密码体制。 数据加密标准 DES 属于对称密钥密码体制,是一种分组密码。 DES 的保密性仅取决于对密钥的保密,其算法是公开的。目前较为严重的问题是 DES 的密钥的长度。现在已经设计出搜索 DES 密钥的专用芯片。56位 DES 已不再认为是安全的了。
公钥密码体制
公钥密码体制(又称为公开密钥密码体制)使用不同的加密密钥与解密密钥
公钥密码体制产生的主要原因:
- 常规密钥密码体制的密钥分配问题。
- 对数字签名的需求。
在公钥密码体制中,加密密钥 PK(public key,即公钥)是向公众公开的,而解密密钥 SK(secret key,即私钥或秘钥)则是需要保密的,加密算法 E 和解密算法 D 也都是公开的
3. 数字签名和鉴别
数字签名
数字签名用于证明真实性,它必须保证以下三点
- 报文鉴别------接收者能够核实发送者对报文的签名(证明来源);
- 报文的完整性------发送者事后不能抵赖对报文的签名(防伪造);
- 不可否认------接收者不能伪造对报文的签名(防否认)。
采用公钥算法更容易实现数字签名:
鉴别
在信息的安全领域中对付主动攻击中的篡改和伪造则要用鉴别
报文鉴别
即鉴别所收到的报文的确是报文的发送者所发送的,而不是其他人伪造的或篡改的。这就包含了端点鉴别 和报文完整性的鉴别。
一般来说数字签名就能够实现对报文的鉴别。但是对较长的报文进行数字签名会使计算机增加非常大的负担,因为这需要较多的时间来进行运算。 而密码散列函数是一种相对简单的对报文进行鉴别的方法
实用的密码散列函数
- 报文摘要算法 MD5 公布于RFC 1321 (1991年),并获得了非常广泛的应用。(用足够复杂的方法将报文的数据位充分"弄乱",报文摘要代码中的每一位都与原来报文中的每一位有关。)
- SHA-1比 MD5 更安全,但计算起来却比 MD5 要慢些。
实体鉴别
仅仅鉴别发送报文的实体。实体可以是一个人,也可以是一个进程(客户或服务器)。这就是端点鉴别。
实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。
最简单的过程
可以使用共享的对称密钥实现实体鉴别。 A 发送给 B 的报文的被加密,使用的是对称密钥 K(AB) 。 B 收到此报文后,用共享对称密钥 K(AB) 进行解密,因而鉴别了实体 A 的身份。 因为该密钥只有 A 和 B 知道。