计算机网络——网络安全

概述

DoS:攻击者向某个服务器发送大量分组,使服务器瘫痪

交换机中毒:发送大量伪造源MAC地址的帧给交换机,使交换机的交换表填满伪造的地址

数据加密模型:

计算机网络——网络安全_第1张图片

 

 

两类密码体制

对称密钥

相同的加密密钥和解密密钥

一对一双向保密通信

公钥

不同的加密密钥和解密密钥

多对一单向保密通信

认证中心CA:将公钥与对应的实体绑定

 

 

数字签名

签名:A用私钥得到密文

核实签名:B用公钥还原出明文

目的:确认明文是A发送的

计算机网络——网络安全_第2张图片

具有保密性的数字签名:

计算机网络——网络安全_第3张图片

 

 

鉴别

验证通信对方不是冒充者,且报文没有被篡改

报文鉴别

1.密码散列函数:MD5, SHA-1

计算机网络——网络安全_第4张图片

步骤:

A根据明文X计算散列H,对散列H用密钥K加密,得到报文鉴别码MAC

A将报文鉴别码MAC与明文X拼接

由于散列长度固定,因此可以将报文鉴别码和明文分开

B通过密钥K对报文鉴别码MAC进行解密得到散列H

B通过散列函数,计算明文X的散列,并与散列H比较

计算机网络——网络安全_第5张图片

 

实体鉴别

验证通信对方实体

简单方式:A发送带有自己身份A和口令报文,用对称密钥加密,B用对称密钥解密

计算机网络——网络安全_第6张图片

缺点:重放攻击

解决方式:使用不重复使用的随机数

A发送身份A和不重数RA

B发送用对称秘密钥对R的加密,以及不重数RB

A用对称密钥对RB加密发送给B

计算机网络——网络安全_第7张图片

缺陷:中间人攻击

IP欺骗:截获并将A的IP地址冒充为自己的IP地址

 

密钥分配

对称密钥的分配

计算机网络——网络安全_第8张图片

1.A向KDC发送明文,想和B通信

2.KDC用随机数产生会话密钥Kab(一次性),供AB这次会话使用

   向A发送回答报文,用A的密钥Ka加密,包含Kab和请A转给B的票据(A,B,Kab),票据用Kb加密

3.B收到票据后用Kb解密,直到A要与他通信,以及Kab

4.AB通过Kab通信

可以加入时间戳,防止重放攻击

 

公钥的分配

认证中心CA将公钥与实体进行绑定

每个实体都有CA证书,包括公钥和拥有者的标识信息

 

 

安全协议

网络层:Ipsec

运输层:SSL, TLS

 

 

你可能感兴趣的:(计算机网络)