当前位置:   article > 正文

《计算机网络》(第8版)第7章 网络安全 复习笔记

《计算机网络》(第8版)第7章 网络安全 复习笔记

第 7 章 网络安全

一、网络安全问题概述

1 计算机网络面临的安全性威胁
计算机网络上的通信面临两大类威胁,即被动攻击和主动攻击。
(1)被动攻击
这是指攻击者从网络上窃听他人的通信内容,通常把这类攻击称为截获。 (2)主动攻击
常见的主动攻击方式:
①篡改;
②恶意程序:计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软 件等;
③拒绝服务。

2 计算机网络安全的内容
计算机网络安全设定以下四大目标:
(1)保密性;
(2)端点鉴别;
(3)信息的完整性;
(4)运行的安全性。

3 数据加密模型
一般的数据加密模型如图 7-1 所示。
在这里插入图片描述
图 7-1 一般的数据加密模型
用户A 向B 发送明文 X ,但通过加密算法 E 运算后,就得出密文 Y 。图中所示的加密 和解密用的密钥 K(key)是一串秘密的字符串(即比特串)。明文通过加密算法变成 密文的一般表示方法:Y =EK(X)。

二、两类密码体制

1 对称密钥密码体制
对称密钥密码体制,即加密密钥与解密密钥是相同的密码体制;例如数据加密标准
DES 属于对称密钥密码体制,且 DES 的保密性仅取决于对密钥的保密,而算法是公开 的。
2 公钥密码体制
公钥密码体制使用不同的加密密钥与解密密钥;其中加密密钥 PK 是向公众公开的,解 密密钥 SK(私钥)则是需要保密的;加密算法 E 和解密算法 D 也都是公开的。
【注意】任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量,而 不单取决于加密的体制。

三、数字签名

数字签名必须保证能够实现以下三点功能:
1 .报文鉴别:接收者能够核实发送者对报文的签名;
2 .保证报文的完整性:接收者确信所收到的数据和发送者发送的完全一样而没有被篡 改过;
3 .不可否认:发送者事后不能抵赖对报文的签名。

四、鉴别

鉴别可分为两种:一种是报文鉴别,另一种是实体鉴别。
1 报文鉴别
(1)密码散列函数 散列函数的两大特点:
①输入长度不固定,可以很长,但输出长度固定,并且很短,其中输出叫做散列值;
②不同的散列值对应不同的输入,但不同的输入却能得到相同的散列值。
(2)实用的密码散列函数 MD5 和 SHA-1
①MD5:可对任意长的报文进行运算,然后得出 128 位的 MD5 报文摘要代码;
②安全散列算法 SHA:和 MD5 相似,比 MD5 更安全,但码长为 160 位,计算起来比 MD5 更慢。

2 实体鉴别
实体鉴别和报文鉴别不同;报文鉴别是对每一个收到的报文都要鉴别报文的发送者,
而实体鉴别则是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。

五、密钥分配

密钥管理包括:密钥的产生、分配、注入、验证和使用,密钥分配应采用网内分配方 式,即对密钥自动分配。
1 对称密钥的分配
目前常用的密钥分配方式是设立密钥分配中心KDC;KDC 是大家都信任的机构,它 给需要进行秘密通信的用户临时分配一个会话密钥。
2 公钥的分配
认证中心 CA 将公钥与其对应的实体(人或机器)进行绑定,每个实体都有 CA 发来 的证书,里面有公钥及其拥有者的标识信息(人名或 IP 地址),此证书被 CA 进行了 数字签名。

六、互联网使用的安全协议

1 网络层安全协议
(1)IPsec 协议族
IPsec 协议族是能够在 IP 层提供互联网通信安全的协议族,IPsec 协议族中的协议可划 分为以下三个部分:
①IP 安全数据报格式的两个协议:鉴别首部 AH 协议和封装安全有效载荷 ESP 协议;
②有关加密算法的三个协议;
③互联网密钥交换 IKE 协议。
(2)IP 安全数据报的格式
如图7-2 所示为 IP 安全数据报的格式。
在这里插入图片描述
图 7-2 IP 安全数据报的格式

2 运输层安全协议
运输层广泛使用下面两个安全协议:
(1)安全套接层 SSL:作用在端系统应用层的 HTTP 和运输层之间,在 TCP 之上建 立起一个安全通道,为通过 TCP 传输的应用层数据提供安全保障;
(2)运输层安全 TLS:为所有基于 TCP 的网络应用提供安全数据传输服务。

3 应用层安全协议
应用层安全协议很多,例如 PGP 协议;
PGP 协议是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技 术;它提供电子邮件的安全性、发送方鉴别和报文完整性。

七、系统安全:防火墙与入侵检测

1 防火墙
防火墙是一种访问控制技术,它严格控制进出网络边界的分组,禁止任何不必要的通 信以减少入侵的发生;防火墙也是一种特殊编程的路由器,安装在一个网点和网络的 其余部分之间, 目的是实施访问控制策略。一般把防火墙里面的网络称为“可信的网 络” ,外面的网络称为“不可信的网络”。

2 入侵检测系统
入侵检测系统 IDS 是在入侵已经开始,但还没有造成危害或在造成更大危害前,及时 检测到入侵,以便尽快阻止入侵,把危害降低到最小;入侵检测方法一般可分为基于 特征的入侵检测和基于异常的入侵检测两种。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/929597
推荐阅读
相关标签
  

闽ICP备14008679号