笔者最近在复习选修的一门信息网络安全的课程,该课程上课PPT乃是纯英文,实在难以开读,转头求索,又无处可得。于是考前深夜阅读计算机网络的网络安全一章,希翼能有所收获。
- 计算机网络上的通信面临两大类的威胁:一则为被动攻击(诸如截获),一则为主动攻击(诸如中断,纂改,伪造)。主动攻击的类型有更改报文流,拒绝服务,伪造初始化,恶意程序等。
- 计算机网络安全主要包括以下内容:机密性,端点鉴别,信息的完整性,运行的安全性和访问控制。
- 如果不论被截获到了多少密文,都无法唯一的确定出对应明文,那么就称该密码体质为理论 上安全的(实则几乎不可能)。如果在一段时间内,不能被可使用的计算机资源所破解,则称该密码体系在计算上是安全的。
- 两种密码体系:对称密钥密码体制,公钥密码体制。
- 对称密钥密码体制(传统加密体制):加密密钥和解密密钥相同的密码体制。(如数据加密标准DES,高级加密标准AES)。该类算法仅取决于密钥的保密,而对于算法是完全公开的。
- 公钥密码体制使用不同的加密和解密密钥。公钥(加密密钥)是公开的,私钥(解密密钥则需要保密。同样,二者的算法是完全公开的
- 最著名的公钥密码体制:RSA体制。基于数论中的大数分解问题。
- 任何加密算法的安全性取决于密钥的长度,以及攻破密文所需要的计算量
- 数字签名必须实现:1.报文鉴别:接受者必须能够判定此签名为发送者的签名。2.报文的完整性:接受者能够判定报文与发送时一致,未经中途篡改。3.不可否认:发送者事后不能否认自己对报文的签名。
- 为什么要鉴别:确定对方确为自己欲通信的对象,而非他人冒充
- 报文摘要:最开始是MD,后来用SHA-1,现在使用SHA-2和SHA-3
- 密钥管理:密钥的产生,分配,注入,验证,使用。密钥必须通过安全的路径分配,密钥分配中心KDC是一种方式
- 认证中心CA是签发数字证书的实体(第三方),CA将公钥和对应实体绑定并写入证书,并进行数字签名,任何人都可以获取可信的CA来验证数字证书的真伪
- PGP是一个完整的电子邮件安全软件包。包括加密,鉴别,电子签名,压缩等技术。其是之前介绍技术的综合。
- 防火墙是一个特殊编程的路由器,位于一个网点和其余网络之间部分,实施访问控制。防火墙内部为可信网络,外部为不可信的网络。
- 网络级防火墙:用来防止整个网络出现外来非法入侵
- 应用级防火墙:用来进行访问控制
- 入侵检测系统IDS是在入侵已经开始,但是还未造成危害或者未造成更大危害前及时检测到入侵,以便尽快阻止入侵,将危害降到最小
问题及答案:
计算机网络面临四种威胁:截获,中断,篡改,伪造
这四类威胁又可分为两大类:被动攻击和主动攻击。
主动攻击:攻击者对某个连接中通过的PDU进行各种处理,共有三类:更改报文流,拒绝报文服务,伪造连接初始化。
被动攻击:仅观察分析PDU而不干扰
附加一类主动攻击:恶意程序