计算机网络面对的两大安全威胁
? ? ? ? 被动攻击:截获、观察、分析某个协议数据PUD,又被称为流量分析
? ? ? ? 主动攻击:? ? ? 篡改:故意篡改网络上传送的报文
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 恶意程序:病毒、蠕虫、木马、逻辑炸弹、后门入侵盖、流氓软件
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 拒绝服务DoS:向指定服务器不听发送大量分组,造成该服务器无法正常工作
计算机网络安全要达到的目标:
? ? ? ? 保密性、端点鉴别、信息的完整性、运行的安全性(访问控制)
数据加密模型
? ? ? ? ?明文X,加密算法E,密文Y
????????????????
? ? ? ? 解密算法D,解密密钥K
????????????????
两类密码体制
? ? ? ? 对称密钥密码体制
? ? ? ? ? ? ? ? 加密密钥与解密密钥使用相同的密码体制
? ? ? ? ? ? ? ? DEX(数据加密标准),DES的保密性取决于密钥的保密,算法是公开的
? ? ? ? 公钥密码体制
? ? ? ? ? ? ? ? 使用不同的加密和解密密钥
? ? ? ? ? ? ? ? 产生的原因主要有:密钥分配问题、对数字签名的需求
? ? ? ? ? ? ? ? RSA加密,公钥密码体制中,加密密钥(公钥)PK是公开的,而解密密钥(私钥)则需要保密,加密算法E和解密算法D都是公开的
? ? ? ? ? ? ? ? 1.密钥对产生器产生一对接收者B的密钥,公钥PKb和私钥SKb,发送者A所用的加密密钥就是接收者B的公钥。B所用的解密密钥就是B的私钥
? ? ? ? ? ? ? ? 2.发送者A用B的公钥PKb通过E运算对明文X加密,得出密文B并传送
? ? ? ? ? ? ? ? ????????B用自己的私钥通过解密算法D进行解密,恢复密文
? ? ? ? ? ? ? ? 3.已知PKb并不能推导出SKb
? ? ? ? ? ? ? ? 4.公钥可以加密但是不能解密
? ? ? ? ? ? ? ? 5.D运算和E运算的先后对结果不影响
?数字签名
? ? ? ? 需要保证的功能
? ? ? ? ? ? ? ? 1.接收者能够核实发送者对报文的签名
? ? ? ? ? ? ? ? 2.接收者确信收到的数据和发送者发送的完全一致没有被篡改过(报文的完整性)
? ? ? ? ? ? ? ? 3.发送者事后不能抵赖报文签名(不可否认)
鉴别
? ? ? ? 报文鉴别
? ? ? ? ? ? ? ? 密码散列函数
? ? ? ? ? ? ? ? ? ? ? ? 散列函数的输入长度可以很长
? ? ? ? ? ? ? ? ? ? ? ? 不同的散列值肯定对应不同的输入
? ? ? ? ? ? ? ? ? ? ? ? ?密码散列函数是单向函数
????????????????
?????????MD5和SHA-1
? ? ? ? ????????MD5:? ? ? ? 1.把任意长的报文按计算其余数(64位),追加在报文后面
? ? ? ? ? ? ? ? ? ? ? ? ???????????2.在报文和余数之间填充1~512位,填充的首位是1,后面都是0
? ? ? ? ? ? ? ? ? ? ? ????????? ? ?3.把追加和填充后的报文分割成一个个512位的数据块,每个512位的报文数据再分成4盖128位的数据块依次送到不同的散列函数进行4论运算。每一轮按32位小数据块进行复杂运算,知道最后计算出MD5摘要代码(128位)
? ? ? ? ????????报文鉴别码:
? ? ? ? ?实体鉴别
密钥分配
? ? ? ? 密钥分配分为网外分配(物理介质)、网内分配(通过网络自动分发)
?防火墙
? ? ? ? ?防火墙内的网络称为“可信网络”,防火墙外的网络称为“不可信网络”
? ? ? ? 分组过滤器:具有分组过滤功能的路由器,作用是根据过滤规则对进出内部网络的分组执行转发或丢弃。(一般可以按照端口进行屏蔽,如某新闻网使用119号端口,屏蔽119号端口就会使得无法使用该网络)
? ? ? ? 应用网关(代理服务器):在应用层扮演中继角色,进出网络的数据都会经过应用网关,可以实现基于应用层数据的过滤和高层用户鉴别
? ? ? ? 入侵检测IDS:检查到可以分组时向管理员发出警告或执行阻断
? ? ? ? 一般分为:? ? ? ? 基于特征的入侵检测:对比已知攻击标志特征的数据库(对未知攻击无效)
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 基于异常的入侵检测:对比正常的网络流量,遇到不符的情况上报(易误报)