网络安全问题概述
计算机网络面临的安全性威胁
主动攻击和被动攻击
在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。
主动攻击的几种常见方式:
- 篡改
- 恶意程序
- 计算机病毒
- 计算机蠕虫
- 特洛伊木马
- 逻辑炸弹
- 后门入侵
- 流氓软件
安全的计算机网络
应达到四个目标
- 保密性
- 端点鉴别
- 信息的完整性
- 运行的安全性
数据加密模型
两类密码体制
对称密钥密码体制
所谓对称密码体制,即加密密钥与解密密钥使用相同的密码体制
DES的保密性仅取决于密钥的保密,而算法是公开的。
公钥密码体制
使用不同的加密密钥与解密密钥
公钥密码体制的产生主要有两个方面的原因
一是由于对称密钥密码体制的密钥分配问题,二是由于对数字签名的需求。
数字签名
数字签名必须保证能够实现以下三点:
- 报文鉴别 其他人无法伪造
- 报文的完整性 没有被篡改过
- 不可否认 发送者时候不能抵赖对报文的签名
鉴别
鉴别是要验证通信的对方的确是自己所要通信的对象,而不是其他的冒充者,并且所传送的报文是完整的,没有被他人篡改过。
互联网使用的安全协议
网络层安全协议
IPsec协议族概述
IPsec协议簇中的协议可划分为以下三个部分:
- IP安全数据报格式的两个协议:鉴别首部AH协议和封装安全有效载荷ESP协议
- 有关加密算法的三个协议
- 互联网密钥交换IKE协议
使用ESP和AH协议的IP数据报称为IP安全数据报
IP数据报有以下两种不同的工作方式
- 运输方式
- 隧道方式
IP安全数据报的格式
运输层安全协议
广泛使用的两个协议:
- 安全套接字层SSL 为TCP传输提供安全保障
SSL安全会话建立过程
- 运输层安全TLS
应用层安全协议
应用层为电子邮件提供安全的协议PGP
系统安全:防火墙与入侵检测
防火墙
防火墙作为一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低这类安全威胁所带来地安全风险。
防火墙技术一般分为以下两类:
- 分组过滤路由器
- 应用网关也成为代理服务器
入侵检测系统
防火墙不能组织所有的入侵,有必要在采取措施在入侵已经开始地时候,即时检测入侵。
