計算機網絡入門之網絡安全

一、網絡安全問題概述

網絡安全威脅

網絡安全面臨兩大類威脅，被動攻擊和主動攻擊

被動攻擊

指攻擊者從網絡上竊聽他人的通信內容，通常把這類攻擊稱為截獲。

主動攻擊

1. 篡改 攻擊者故意篡改網絡上傳送的報文
2. 惡意程序
3. 拒絕服務 Dos 攻擊者向互聯(lián)網上的某個服務器不停地發(fā)送大量分組，使該服務器無法提供正常服務。

考研真題：DDOS 全稱是什么？原理是什么？

DDos ，即 Distributed Denial of Service ， 分布式拒絕服務。

安全的計算機網絡

1. 保密性 只有信息的發(fā)送方和接收方才能懂得所發(fā)送信息的內容，而信息的截獲者則看不懂所截獲的信息。
2. 端點鑒別 安全的計算機網絡必須能夠鑒別信息的發(fā)送方和接收方的真實身份。
3. 信息的完整性 確保信息沒有被人篡改過
4. 運行的安全性 計算機擁有避免網絡攻擊引起的擁塞和癱瘓的能力。

數據加密模型

加密

密鑰 K

解密

接收端利用解密算法 D 運算和 解密密鑰 K ，解出明文 X

學科關系

密碼編碼學 ：密碼體制的設計學

密碼分析學 ：在未知密鑰的情況下從密文推演出明文或密鑰的技術。

密碼學 ：密碼編碼學 + 密碼分析學

二、兩類密碼體制

對稱密鑰密碼體制

加密密鑰和解密密鑰是使用相同的密碼體制

數據加密標準 DES 屬于 對稱密鑰密碼體制。DES 的保密性取決于對密鑰的保密，而算法是公開的。

公鑰密碼體制

使用不同的加密密鑰與解密密鑰的密碼體制。

RSA 體制 屬于 公鑰密碼體制。

產生原因

1. 對稱密鑰密碼體制的密鑰分配體制
2. 對數字簽名的需求

基本特點

1. 在公鑰密碼體制中，加密密鑰 PK 是向公眾公開的，解密密鑰 SK 則是需要保密的。加密算法 E 和 解密算法 D 也都是公開的。
2. 發(fā)送者 A 用 B 的公鑰 PKB 通過 E 運算對明文 X 加密，得出密文 Y，發(fā)送給 B。
   B 用自己的私鑰 SKB 通過 D 的運算進行解謎，恢復出明文。
3. 從已知的 PKB 不可能推導出 SKB，即從公鑰到私鑰是 “計算上不可能的”。
4. 公鑰可以用來加密，但不能用來解密
5. 先后對明文 X 進行 D 運算和 E 運算 或 進行 E 運算和 D 運算，結果一樣

加密算法的去安全性取決于密鑰的長度，以及攻破密文所需要的計算量。而不是簡單地取決于加密體制。

公鑰加密算法相比對稱密碼體制開銷較大。

三、數字簽名

簽名的三大功能

1. 報文鑒別 接收者能夠確信該報文的確是發(fā)送者發(fā)送的。
2. 報文的完整性 接收者確信所收到的數據和發(fā)送者發(fā)送的完全一樣而沒有被篡改過。
3. 不可否認 發(fā)送者事后不能抵賴對報文的簽名。

這三項功能的關鍵都在于沒有其他人能夠持有 A 的私鑰 SKA

簽名由發(fā)送方的私鑰進行加密

四、鑒別

鑒別，驗證通信的對方的確是自己所要通信的對象，而不是其他的冒充者，并且所傳誦的報文是完整的，沒有被他人篡改過。

報文鑒別

報文鑒別，即鑒別所收到的報文的確是報文的發(fā)送者所發(fā)送的，而不是其他人偽造的或篡改的。包含了 端點鑒別和報文完整性鑒別 。

密碼散列函數

1. 函數輸入長度可以很長，但其輸出長度固定，且短。散列函數的輸出叫散列值。
2. 不同散列值肯定對應于不同的輸入，但不同的輸入卻可能得出相同的散列值。

報文摘要算法 MD5 和 SHA-1 是比較使用的密碼散列函數

報文鑒別碼 MAC

報文鑒別碼 MAC，對散列 H 使用密鑰加密后的結果

這個過程報文不加密，只加密散列 H，不會消耗很多的計算資源，可以很方便地保護報文的完整性

實體鑒別

實體鑒別和報文鑒別不同。報文鑒別是對每一個收到的報文都要鑒別報文的發(fā)送者，而實體鑒別是在系統(tǒng)接入的全部持續(xù)時間內對和自己通信的對方實體只需驗證一次。

重放攻擊

入侵者 C 截獲 A 發(fā)送給 B 的報文，C 也不需要破譯這個報文，直接把這個由 A 加秘密的報文發(fā)送給 B，使 B 誤認為 C 就是 A，B 就向偽裝成 A 的 C 發(fā)送許多本來應當發(fā)給 A 的報文。這就叫做重放攻擊。

不重數

不重復使用的大隨機數。

在實體鑒別過程中，不重數可以使用戶把重復的實體鑒別請求和新的鑒別請求區(qū)分開。

使用公鑰密碼體制實現實體鑒別

中間人攻擊

在使用公鑰密碼體制在實現實體鑒別時，仍有受到攻擊的可能。

由此可見，公鑰的分配以及認證公鑰的真實性也是一個非常重要的問題

五、密鑰分配

對稱密鑰分配

對稱密鑰密碼體制，目前常用的密鑰分發(fā)方式是建立密鑰分配中心 （KDC）

KDC 是一個公眾都信任的機構，其任務就是給需要進行秘密通信的用戶臨時分配一個會話密鑰。

Keberos 協(xié)議，是目前最出名的密鑰分發(fā)協(xié)議

公鑰分配

認證中心（CA） ，將公鑰與其對應的實體（人或機器）進行綁定，是一個值得信賴的機構。

需要發(fā)布公鑰的用戶可以讓 CA 為其公鑰簽發(fā)一個證書，證書中包含有公鑰及其擁有者的身份證標識信息（人名、公司名或 IP 地址等）。

CA 簽發(fā)證書的過程：

1. CA 必須合適用戶真實身份。
2. CA 為用戶產生公鑰 - 私鑰對，并生成證書。
3. CA 用自己的私鑰對證書進行數字簽名。
4. 該證書就可以通過網絡發(fā)送給任何希望與該證書擁有者通信的實體，也可將該證書存放在服務器由其他用戶自由下載。

因特網采用的是 RFC 給出的、在全球范圍內為所有因特網用戶提供證書簽發(fā)與認證服務的 公鑰基礎結構（PKI）。

CA 的五種功能

• 1.證書的頒發(fā)
• 2.證書的更新
• 3.證書的查詢
• 4.證書的作廢
• 5.證書的歸檔

六、防火墻與入侵檢測

防火墻

防火墻作為一種訪問控制技術，通過嚴格控制進出網絡邊界的分組，禁止任何不必要的通信，從而減少潛在入侵的發(fā)生，盡可能降低這類安全威脅所帶來的安全風險。

防火墻是一種特殊編程的路由器，安裝在一個網點和網絡的其余部分之間，目的是實施訪問控制策略。

（1）分組過濾路由器

分組過濾器是一種具有分組過濾功能的路由器，它根據過濾規(guī)則對進出內部網絡的分組執(zhí)行 轉發(fā)或丟棄 。

例如，可以將外部的特定分組過濾掉，也可以將內部往外發(fā)的特定分組阻攔住。

優(yōu)缺點：分組過濾路由器的優(yōu)點是簡單高效，且對于用戶是透明的，但不能對高層數據進行過濾。

（2）應用網關 / 代理服務器（proxy server）

應用網關，它在應用層通信中扮演報文中繼的角色。

在應用網關中，可以實現基于應用層數據的過濾和高層 用戶鑒別 。

功能：所有進出網絡的應用程序報文都必須通過應用網關。當某應用客戶進程向服務器發(fā)送一份請求報文時，先發(fā)送給應用網關，應用網關在應用層打開該報文，查看該請求是否合法。

缺點:

• 1.每種一應用都需要一個不同的網關
• 2.在應用層轉發(fā)和處理報文，處理負擔較重
• 3.對應用程序不透明，需要在應用程序客戶端配置應用網關程序。

入侵檢測系統(tǒng)

由于防火墻不可能阻止所有入侵行為，作為 系統(tǒng)防御的第二道防線 ，入侵檢測系統(tǒng) IDS 通過對進入網絡的分組進行深度分析與檢測疑似入侵行為的網絡活動，并進行報警以便進一步采取相應措施。

（1）基于特征的入侵檢測

針對已知攻擊

基于特征的 IDS 維護一個所有已知攻擊標志性特征的數據庫。當發(fā)現有與某種攻擊特征匹配的分組或分組序列時，則認為檢測到某種入侵行為。

（2） 基于異常的入侵檢測

針對未知攻擊

基于異常的 IDS 通過觀察正常運行的網絡流量，學習正常流量的統(tǒng)計特性和規(guī)律，當檢測到網絡中流量的某種統(tǒng)計規(guī)律不符合正常情況時，則認為可能發(fā)生了入侵行為。

-End-