計(jì)算機(jī)網(wǎng)絡(luò)入門(mén)之網(wǎng)絡(luò)安全

一、網(wǎng)絡(luò)安全問(wèn)題概述

網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)安全面臨兩大類威脅，被動(dòng)攻擊和主動(dòng)攻擊

被動(dòng)攻擊

指攻擊者從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容，通常把這類攻擊稱為截獲。

主動(dòng)攻擊

1. 篡改 攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文
2. 惡意程序
3. 拒絕服務(wù) Dos 攻擊者向互聯(lián)網(wǎng)上的某個(gè)服務(wù)器不停地發(fā)送大量分組，使該服務(wù)器無(wú)法提供正常服務(wù)。

考研真題：DDOS 全稱是什么？原理是什么？

DDos ，即 Distributed Denial of Service ， 分布式拒絕服務(wù)。

安全的計(jì)算機(jī)網(wǎng)絡(luò)

1. 保密性 只有信息的發(fā)送方和接收方才能懂得所發(fā)送信息的內(nèi)容，而信息的截獲者則看不懂所截獲的信息。
2. 端點(diǎn)鑒別 安全的計(jì)算機(jī)網(wǎng)絡(luò)必須能夠鑒別信息的發(fā)送方和接收方的真實(shí)身份。
3. 信息的完整性 確保信息沒(méi)有被人篡改過(guò)
4. 運(yùn)行的安全性 計(jì)算機(jī)擁有避免網(wǎng)絡(luò)攻擊引起的擁塞和癱瘓的能力。

數(shù)據(jù)加密模型

加密

密鑰 K

解密

接收端利用解密算法 D 運(yùn)算和 解密密鑰 K ，解出明文 X

學(xué)科關(guān)系

密碼編碼學(xué) ：密碼體制的設(shè)計(jì)學(xué)

密碼分析學(xué) ：在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。

密碼學(xué) ：密碼編碼學(xué) + 密碼分析學(xué)

二、兩類密碼體制

對(duì)稱密鑰密碼體制

加密密鑰和解密密鑰是使用相同的密碼體制

數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于 對(duì)稱密鑰密碼體制。DES 的保密性取決于對(duì)密鑰的保密，而算法是公開(kāi)的。

公鑰密碼體制

使用不同的加密密鑰與解密密鑰的密碼體制。

RSA 體制 屬于 公鑰密碼體制。

產(chǎn)生原因

1. 對(duì)稱密鑰密碼體制的密鑰分配體制
2. 對(duì)數(shù)字簽名的需求

基本特點(diǎn)

1. 在公鑰密碼體制中，加密密鑰 PK 是向公眾公開(kāi)的，解密密鑰 SK 則是需要保密的。加密算法 E 和 解密算法 D 也都是公開(kāi)的。
2. 發(fā)送者 A 用 B 的公鑰 PKB 通過(guò) E 運(yùn)算對(duì)明文 X 加密，得出密文 Y，發(fā)送給 B。
   B 用自己的私鑰 SKB 通過(guò) D 的運(yùn)算進(jìn)行解謎，恢復(fù)出明文。
3. 從已知的 PKB 不可能推導(dǎo)出 SKB，即從公鑰到私鑰是 “計(jì)算上不可能的”。
4. 公鑰可以用來(lái)加密，但不能用來(lái)解密
5. 先后對(duì)明文 X 進(jìn)行 D 運(yùn)算和 E 運(yùn)算 或 進(jìn)行 E 運(yùn)算和 D 運(yùn)算，結(jié)果一樣

加密算法的去安全性取決于密鑰的長(zhǎng)度，以及攻破密文所需要的計(jì)算量。而不是簡(jiǎn)單地取決于加密體制。

公鑰加密算法相比對(duì)稱密碼體制開(kāi)銷較大。

三、數(shù)字簽名

簽名的三大功能

1. 報(bào)文鑒別 接收者能夠確信該報(bào)文的確是發(fā)送者發(fā)送的。
2. 報(bào)文的完整性 接收者確信所收到的數(shù)據(jù)和發(fā)送者發(fā)送的完全一樣而沒(méi)有被篡改過(guò)。
3. 不可否認(rèn) 發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名。

這三項(xiàng)功能的關(guān)鍵都在于沒(méi)有其他人能夠持有 A 的私鑰 SKA

簽名由發(fā)送方的私鑰進(jìn)行加密

四、鑒別

鑒別，驗(yàn)證通信的對(duì)方的確是自己所要通信的對(duì)象，而不是其他的冒充者，并且所傳誦的報(bào)文是完整的，沒(méi)有被他人篡改過(guò)。

報(bào)文鑒別

報(bào)文鑒別，即鑒別所收到的報(bào)文的確是報(bào)文的發(fā)送者所發(fā)送的，而不是其他人偽造的或篡改的。包含了 端點(diǎn)鑒別和報(bào)文完整性鑒別 。

密碼散列函數(shù)

1. 函數(shù)輸入長(zhǎng)度可以很長(zhǎng)，但其輸出長(zhǎng)度固定，且短。散列函數(shù)的輸出叫散列值。
2. 不同散列值肯定對(duì)應(yīng)于不同的輸入，但不同的輸入?yún)s可能得出相同的散列值。

報(bào)文摘要算法 MD5 和 SHA-1 是比較使用的密碼散列函數(shù)

報(bào)文鑒別碼 MAC

報(bào)文鑒別碼 MAC，對(duì)散列 H 使用密鑰加密后的結(jié)果

這個(gè)過(guò)程報(bào)文不加密，只加密散列 H，不會(huì)消耗很多的計(jì)算資源，可以很方便地保護(hù)報(bào)文的完整性

實(shí)體鑒別

實(shí)體鑒別和報(bào)文鑒別不同。報(bào)文鑒別是對(duì)每一個(gè)收到的報(bào)文都要鑒別報(bào)文的發(fā)送者，而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí)間內(nèi)對(duì)和自己通信的對(duì)方實(shí)體只需驗(yàn)證一次。

重放攻擊

入侵者 C 截獲 A 發(fā)送給 B 的報(bào)文，C 也不需要破譯這個(gè)報(bào)文，直接把這個(gè)由 A 加秘密的報(bào)文發(fā)送給 B，使 B 誤認(rèn)為 C 就是 A，B 就向偽裝成 A 的 C 發(fā)送許多本來(lái)應(yīng)當(dāng)發(fā)給 A 的報(bào)文。這就叫做重放攻擊。

不重?cái)?shù)

不重復(fù)使用的大隨機(jī)數(shù)。

在實(shí)體鑒別過(guò)程中，不重?cái)?shù)可以使用戶把重復(fù)的實(shí)體鑒別請(qǐng)求和新的鑒別請(qǐng)求區(qū)分開(kāi)。

使用公鑰密碼體制實(shí)現(xiàn)實(shí)體鑒別

中間人攻擊

在使用公鑰密碼體制在實(shí)現(xiàn)實(shí)體鑒別時(shí)，仍有受到攻擊的可能。

由此可見(jiàn)，公鑰的分配以及認(rèn)證公鑰的真實(shí)性也是一個(gè)非常重要的問(wèn)題

五、密鑰分配

對(duì)稱密鑰分配

對(duì)稱密鑰密碼體制，目前常用的密鑰分發(fā)方式是建立密鑰分配中心 （KDC）

KDC 是一個(gè)公眾都信任的機(jī)構(gòu)，其任務(wù)就是給需要進(jìn)行秘密通信的用戶臨時(shí)分配一個(gè)會(huì)話密鑰。

Keberos 協(xié)議，是目前最出名的密鑰分發(fā)協(xié)議

公鑰分配

認(rèn)證中心（CA） ，將公鑰與其對(duì)應(yīng)的實(shí)體（人或機(jī)器）進(jìn)行綁定，是一個(gè)值得信賴的機(jī)構(gòu)。

需要發(fā)布公鑰的用戶可以讓 CA 為其公鑰簽發(fā)一個(gè)證書(shū)，證書(shū)中包含有公鑰及其擁有者的身份證標(biāo)識(shí)信息（人名、公司名或 IP 地址等）。

CA 簽發(fā)證書(shū)的過(guò)程：

1. CA 必須合適用戶真實(shí)身份。
2. CA 為用戶產(chǎn)生公鑰 - 私鑰對(duì)，并生成證書(shū)。
3. CA 用自己的私鑰對(duì)證書(shū)進(jìn)行數(shù)字簽名。
4. 該證書(shū)就可以通過(guò)網(wǎng)絡(luò)發(fā)送給任何希望與該證書(shū)擁有者通信的實(shí)體，也可將該證書(shū)存放在服務(wù)器由其他用戶自由下載。

因特網(wǎng)采用的是 RFC 給出的、在全球范圍內(nèi)為所有因特網(wǎng)用戶提供證書(shū)簽發(fā)與認(rèn)證服務(wù)的 公鑰基礎(chǔ)結(jié)構(gòu)（PKI）。

CA 的五種功能

• 1.證書(shū)的頒發(fā)
• 2.證書(shū)的更新
• 3.證書(shū)的查詢
• 4.證書(shū)的作廢
• 5.證書(shū)的歸檔

六、防火墻與入侵檢測(cè)

防火墻

防火墻作為一種訪問(wèn)控制技術(shù)，通過(guò)嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)邊界的分組，禁止任何不必要的通信，從而減少潛在入侵的發(fā)生，盡可能降低這類安全威脅所帶來(lái)的安全風(fēng)險(xiǎn)。

防火墻是一種特殊編程的路由器，安裝在一個(gè)網(wǎng)點(diǎn)和網(wǎng)絡(luò)的其余部分之間，目的是實(shí)施訪問(wèn)控制策略。

（1）分組過(guò)濾路由器

分組過(guò)濾器是一種具有分組過(guò)濾功能的路由器，它根據(jù)過(guò)濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的分組執(zhí)行 轉(zhuǎn)發(fā)或丟棄 。

例如，可以將外部的特定分組過(guò)濾掉，也可以將內(nèi)部往外發(fā)的特定分組阻攔住。

優(yōu)缺點(diǎn)：分組過(guò)濾路由器的優(yōu)點(diǎn)是簡(jiǎn)單高效，且對(duì)于用戶是透明的，但不能對(duì)高層數(shù)據(jù)進(jìn)行過(guò)濾。

（2）應(yīng)用網(wǎng)關(guān) / 代理服務(wù)器（proxy server）

應(yīng)用網(wǎng)關(guān)，它在應(yīng)用層通信中扮演報(bào)文中繼的角色。

在應(yīng)用網(wǎng)關(guān)中，可以實(shí)現(xiàn)基于應(yīng)用層數(shù)據(jù)的過(guò)濾和高層 用戶鑒別 。

功能：所有進(jìn)出網(wǎng)絡(luò)的應(yīng)用程序報(bào)文都必須通過(guò)應(yīng)用網(wǎng)關(guān)。當(dāng)某應(yīng)用客戶進(jìn)程向服務(wù)器發(fā)送一份請(qǐng)求報(bào)文時(shí)，先發(fā)送給應(yīng)用網(wǎng)關(guān)，應(yīng)用網(wǎng)關(guān)在應(yīng)用層打開(kāi)該報(bào)文，查看該請(qǐng)求是否合法。

缺點(diǎn):

• 1.每種一應(yīng)用都需要一個(gè)不同的網(wǎng)關(guān)
• 2.在應(yīng)用層轉(zhuǎn)發(fā)和處理報(bào)文，處理負(fù)擔(dān)較重
• 3.對(duì)應(yīng)用程序不透明，需要在應(yīng)用程序客戶端配置應(yīng)用網(wǎng)關(guān)程序。

入侵檢測(cè)系統(tǒng)

由于防火墻不可能阻止所有入侵行為，作為 系統(tǒng)防御的第二道防線 ，入侵檢測(cè)系統(tǒng) IDS 通過(guò)對(duì)進(jìn)入網(wǎng)絡(luò)的分組進(jìn)行深度分析與檢測(cè)疑似入侵行為的網(wǎng)絡(luò)活動(dòng)，并進(jìn)行報(bào)警以便進(jìn)一步采取相應(yīng)措施。

（1）基于特征的入侵檢測(cè)

針對(duì)已知攻擊

基于特征的 IDS 維護(hù)一個(gè)所有已知攻擊標(biāo)志性特征的數(shù)據(jù)庫(kù)。當(dāng)發(fā)現(xiàn)有與某種攻擊特征匹配的分組或分組序列時(shí)，則認(rèn)為檢測(cè)到某種入侵行為。

（2） 基于異常的入侵檢測(cè)

針對(duì)未知攻擊

基于異常的 IDS 通過(guò)觀察正常運(yùn)行的網(wǎng)絡(luò)流量，學(xué)習(xí)正常流量的統(tǒng)計(jì)特性和規(guī)律，當(dāng)檢測(cè)到網(wǎng)絡(luò)中流量的某種統(tǒng)計(jì)規(guī)律不符合正常情況時(shí)，則認(rèn)為可能發(fā)生了入侵行為。

-End-