1、计算机网络面临的安全性威胁
计算机网络上的通信面临的威胁可分为两大类,即被动攻击(如截获)和主动攻击。主动攻击的方式有篡改(更改报文流)、拒绝服务、伪造初始化、恶意程序(病毒、蠕虫、木马、逻辑炸弹、后门入侵、流氓软件)等。
2、计算机网络安全
计算机网络安全主要有以下一些内容:机密性、端点鉴别、信息的完整性,运行的安全性和访问控制。
3、数据加密模型
密码编码学是密码体制的设计学,而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学。
如果不论截取者获得了多少秘文,都无法唯一地确定出对应的明文,则这一密码体制称为无条件安全的(或理论上是不可破的)。在无任何限制的条件下,目前几乎所有实用的密码体制均是可破的。如果一个密码体制中的密码不能在一定时间内被可以使用的计算资源破译,则这一密码体制称为在计算机上是安全的。
4、两类密码体制
Ⅰ、对称密钥密码体制
对称密钥密码体制是加密密钥与解密密钥都使用相同密钥的密码体制(如数据加密标准DES和高级加密标准AES)。这种加密的机密性仅取决于对密钥的保密,而算法是公开的。
Ⅱ、公钥密码体制
公钥密码体制(又称为公开密钥密码体制)使用不同的加密密钥与解密密钥。加密密钥(即公钥)是向公众公开的,而解密密钥(即私钥或密钥)则是需要保密的。加密算法和解密算法也都是公开的。目前最著名的公钥密码体制是RSA体制,它是基于数论中的大数分解问题的体制。
任何加密方法的安全性取决于密钥的长度以及攻破密文所需的计算量,而不是简单的取决于加密的体制(公钥密码体制或传统加密体制)。
5、数字签名
数字签名必须保证能够实现以下三点功能。①报文鉴别,即接收者能够核实发送者对报文的签名。②报文的完整性,即接收者确信所收到的数据和发送者发送的完全一样而没有被篡改过。③不可否认,即发送者事后不能抵赖对报文的签名。
6、鉴别
鉴别是要验证通信的对方的确是自己所要通信的对象,而不是其他的冒充者。鉴别与授权是不同的概念。
报文摘要MD曾是一种鉴别豹纹的常用方法,后来有了更加安全的SHA-1,但目前最为安全的是SHA-2和SHA-3。
7、密钥分配
密钥管理包括密钥的产生、分配、注入、验证和使用。密钥分配(或密钥分发)是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。密钥分配中心KDC是一种常用的密钥分配方式。
认证中心CA是签发数字证书的实体,也是可信的第三方。CA把公钥与其对应的实体(人或机器)进行绑定和写入证书,并对证书进行数字签名。任何人都可从可信的地方获得认证中心CA的公钥来鉴别数字证书的真伪。为了方便的签发数字证书,根CA可以有下面的多级的中间CA,负责给用户签发数字证书。这样就构成了信任链和证书链。
8、网络层安全协议
在网络层可使用IPsec协议族,IPsec包括鉴别首部协议AH和封装安全有效载荷协议ESP。 AH协议提供源点鉴别和数据完整性,但不能保密。而ESP协议提供源点鉴别、数据完整性和保密。IPsec支持IPv4和IPv6。在IPv6中,AH和ESP都是扩展首部的一部分。IPsec数据报的工作方式有运输方式和隧道方式两种。
9、运输层安全协议
运输层等安全协议曾经有SSL(安全套接字层)和TLS(运输层安全)。但SSL已被淘汰。目前使用的最新版本是TLS 1.3。TLS不仅对服务器的安全性进行鉴别,而且对浏览器与服务器的所有会话记录进行加密,并保证了所传送的报文的完整性。
10、应用层安全协议
PGP是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并未使用新概念,只是把现有的一些加密算法(如RSA公钥加密算法或SHA报文摘要算法)综合使用。
11、防火墙与入侵检测
Ⅰ、防火墙
防火墙作为一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低这类安全威胁所带来的安全风险。
防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。防火墙里面的网络称为可信的网络,而把防火墙外面的网络称为不可信的网络。防火墙的功能有两个:一个是阻止(主要的),另一个是允许。
防火墙技术分为①网络级防火墙,用来防止整个网络出现外来非法的入侵(属于这类的有分组过滤和授权服务器)。②应用级防火墙,用来进行访问控制(用应用网关或代理服务器来区分各种应用)。
Ⅱ、入侵检测
由于防火墙不可能阻止所有入侵行为,作为系统防御的第二道防线,入侵检测系统IDS通过对进入网络的分组进行深度分析与检测发现疑似入侵行为的网络活动,并进行报警以便进一步采取相应措施。入侵检测系统IDS是在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。
注:本系列(计算机网络)重要知识点已总结完毕,第8章、第9章自主学习,以上知识点总结于书籍“计算机网络/谢希仁编著.—8版.—北京:电子工业出版社,2021.6”,仅供参考学习!