谢希仁的第七版计算机网络--第七章总结概述

第七章 网络安全

7.1安全性威胁

计算机网络上的通信面临以下两大类威胁:被动攻击和主动攻击。

被动攻击:有时也把这种攻击称为网络带宽攻击或连通性攻击。-攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。

主动攻击主要有:
篡改——故意篡改网络上传送的报文。这种攻击方式有时也称为更改报文流。
恶意程序——种类繁多,对网络安全威胁较大的主要包括:计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等。
拒绝服务——指攻击者向互联网上的某个服务器不停地发送大量分组,使该服务器无法提供正常服务,甚至完全瘫痪。若从互联网上的成百上千的网站集中攻击一个网站,则称为分布式拒绝服务 DDoS (Distributed Denial of Service):有时也把这种攻击称为网络带宽攻击或连通性攻击。

谢希仁的第七版计算机网络--第七章总结概述_第1张图片

网络通信安全的目标:

1.对于主动攻击,可以采取适当措施加以检测。
2.对于被动攻击,通常却是检测不出来的。根据这些特点,可得出计算机网络通信安全的目标:
防止分析出报文内容和流量分析。
防止恶意程序。
检测更改报文流和拒绝服务。
3.对付被动攻击可采用各种数据加密技术。
4.对付主动攻击则需将加密技术与适当的鉴别技术相结合。

7.2安全计算机

一个安全的计算机网络应达到四个目标:保密性、端点鉴别、信息的完整性、运行的安全性

7.3密码体制

数据加密标准 DES 属于对称密钥密码体制,是一种分组密码。

谢希仁的第七版计算机网络--第七章总结概述_第2张图片

公钥密码体制:使用不同的加密密钥和解密密钥,加密密钥是香公众公开的,而解密密钥则是需要保密的,加密算法和解密算法也都是公开的。

谢希仁的第七版计算机网络--第七章总结概述_第3张图片

数字签名

用于证明真实性。
数字签名必须保证以下三点:
报文鉴别——接收者能够核实发送者对报文的签名(证明来源);
报文的完整性——发送者事后不能抵赖对报文的签名(防否认);
不可否认——接收者不能伪造对报文的签名(防伪造)。

7.4鉴别

报文鉴别:即鉴别所收到的报文的确是报文的发送者所发送的,而不是其他人伪造的或篡改的。这就包含了端点鉴别和报文完整性的鉴别。例如MD5算法。SHA算法。

实体鉴别:即仅仅鉴别发送报文的实体,实体可以是一个人也可以是一个进程,也就是端点鉴别。重放攻击和不重数。

7.5秘钥分配

密钥管理包括:产生/分配/注入/验证/使用。

对称秘钥分配

1.为防止重放攻击,KDC 还可在报文中加入时间戳。密钥分配中心 KDC
2.会话密钥 KAB 是一次性的,因此保密性较高。
3.KDC 分配给用户的密钥 KA 和 KB,应定期更换,以减少攻击者破译密钥的机会。

公钥分配

任何用户都可从可信的地方(如代表政府的报纸)获得认证中心 CA 的公钥,此公钥用来验证某个公钥是否为某个实体所拥有(通过向 CA 查询)。
有的大公司也提供认证中心服务。认证中心 CA (Certification Authority),来将公钥与其对应的实体(人或机器)进行绑定 (binding)。

7.4互联网安全协议

IPsec 协议簇由三部分组成:

1.IP 安全数据报格式的两个协议
鉴别首部 AH (Authentication Header) 协议
封装安全有效载荷 ESP (Encapsulation Security Payload) 协议
2.有关加密算法的三个协议(在此不讨论)
3.互联网密钥交换 IKE (Internet Key Exchange) 协议。

在发送 IP 安全数据报之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA (Security Association) 。

运输层安全协议

安全套接字层 SSL (Secure Socket Layer) 、运输层安全 TLS (Transport Layer Security)

SSL 提供的安全服务:

1.SSL 服务器鉴别,允许用户证实服务器的身份。支持 SSL 的客户端 通过验证来自服务器的证书,来鉴别服务器的真实身份并获得服务 器的公钥。
2.SSL 客户鉴别,SSL 的可选安全服务,允许服务器证实客户的身份。
3.加密的 SSL 会话,对客户和服务器间发送的所有报文进行加密,并 检测报文是否被篡改。

PGP (Pretty Good Privacy) 是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。

7.5防火墙与入侵检测

防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施访问控制策略。防火墙的两个功能:阻止和允许。

防火墙技术分为:

1.网络级防火墙:用来防止整个网络出现外来非法的入侵。

2.应用级防火墙:用来进行访问控制。

入侵检测系统 IDS (Intrusion Detection System) 能够在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。

基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。

基于异常的 IDS 通过观察正常运行的网络流量,学习正常流量的统计特性和规律。当检测到网络中流量某种统计规律不符合正常情况时,则认为可能发生了入侵行为。

你可能感兴趣的:(计算机网络,网络,以太网,网络通信)