《盘算机网络》（第8版）第7章 网络安全 复习笔记

第 7 章 网络安全

一、网络安全问题概述

1 盘算机网络面对的安全性威胁
盘算机网络上的通信面对两大类威胁，即被动攻击和主动攻击。
（1）被动攻击
这是指攻击者从网络上窃听他人的通信内容，通常把这类攻击称为截获。 （2）主动攻击
常见的主动攻击方式：
①篡改；
②恶意步伐：盘算机病毒、盘算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软 件等；
③拒绝服务。
2 盘算机网络安全的内容
盘算机网络安全设定以下四大目标：
（1）保密性；
（2）端点鉴别；
（3）信息的完整性；
（4）运行的安全性。
3 数据加密模子
一般的数据加密模子如图 7-1 所示。

图 7-1 一般的数据加密模子
用户A 向B 发送明文 X ，但通过加密算法 E 运算后，就得出密文 Y 。图中所示的加密 息争密用的密钥 K（key）是一串秘密的字符串（即比特串）。明文通过加密算法变成 密文的一般表示方法：Y ＝EK（X）。
二、两类暗码体制

1 对称密钥暗码体制
对称密钥暗码体制，即加密密钥与解密密钥是相同的暗码体制；比方数据加密尺度
DES 属于对称密钥暗码体制，且 DES 的保密性仅取决于对密钥的保密，而算法是公开 的。
2 公钥暗码体制
公钥暗码体制使用不同的加密密钥与解密密钥；其中加密密钥 PK 是向公众公开的，解 密密钥 SK（私钥）则是必要保密的；加密算法 E 息争密算法 D 也都是公开的。
【留意】任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的盘算量，而 不但取决于加密的体制。
三、数字署名

数字署名必须保证能够实现以下三点功能：
1 ．报文鉴别：吸收者能够核实发送者对报文的署名；
2 ．保证报文的完整性：吸收者确信所收到的数据和发送者发送的完全一样而没有被篡 改过；
3 ．不可否认：发送者过后不能抵赖对报文的署名。
四、鉴别

鉴别可分为两种：一种是报文鉴别，另一种是实体鉴别。
1 报文鉴别
（1）暗码散列函数 散列函数的两大特点：
①输入长度不固定，可以很长，但输出长度固定，并且很短，其中输出叫做散列值；
②不同的散列值对应不同的输入，但不同的输入却能得到相同的散列值。
（2）实用的暗码散列函数 MD5 和 SHA-1
①MD5：可对任意长的报文进行运算，然后得出 128 位的 MD5 报文摘要代码；
②安全散列算法 SHA：和 MD5 相似，比 MD5 更安全，但码长为 160 位，盘算起来比 MD5 更慢。
2 实体鉴别
实体鉴别和报文鉴别不同；报文鉴别是对每一个收到的报文都要鉴别报文的发送者，
而实体鉴别则是在体系接入的全部连续时间内对和自己通信的对方实体只需验证一次。
五、密钥分配

密钥管理包括：密钥的产生、分配、注入、验证和使用，密钥分配应采取网内分配方 式，即对密钥自动分配。
1 对称密钥的分配
如今常用的密钥分配方式是设立密钥分配中心KDC；KDC 是各人都信托的机构，它 给必要进行秘密通信的用户临时分配一个会话密钥。
2 公钥的分配
认证中心 CA 将公钥与其对应的实体（人或机器）进行绑定，每个实体都有 CA 发来 的证书，内里有公钥及其拥有者的标识信息（人名或 IP 地址），此证书被 CA 进行了 数字署名。
六、互联网使用的安全协议

1 网络层安全协议
（1）IPsec 协议族
IPsec 协议族是能够在 IP 层提供互联网通信安全的协议族，IPsec 协议族中的协议可划 分为以下三个部分：
①IP 安全数据报格式的两个协议：鉴别首部 AH 协媾和封装安全有效载荷 ESP 协议；
②有关加密算法的三个协议；
③互联网密钥互换 IKE 协议。
（2）IP 安全数据报的格式
如图7-2 所示为 IP 安全数据报的格式。

图 7-2 IP 安全数据报的格式
2 运输层安全协议
运输层广泛使用下面两个安全协议：
（1）安全套接层 SSL：作用在端体系应用层的 HTTP 和运输层之间，在 TCP 之上建 立起一个安全通道，为通过 TCP 传输的应用层数据提供安全保障；
（2）运输层安全 TLS：为所有基于 TCP 的网络应用提供安全数据传输服务。
3 应用层安全协议
应用层安全协议很多，比方 PGP 协议；
PGP 协议是一个完整的电子邮件安全软件包，包括加密、鉴别、电子署名和压缩等技 术；它提供电子邮件的安全性、发送方鉴别和报文完整性。
七、体系安全：防火墙与入侵检测

1 防火墙
防火墙是一种访问控制技能，它严酷控制进出网络边界的分组，禁止任何不必要的通 信以减少入侵的发生；防火墙也是一种特别编程的路由器，安装在一个网点和网络的 其余部分之间， 目标是实施访问控制计谋。一般把防火墙内里的网络称为“可信的网 络” ，外面的网络称为“不可信的网络”。
2 入侵检测体系
入侵检测体系 IDS 是在入侵已经开始，但还没有造成危害或在造成更大危害前，实时 检测到入侵，以便尽快制止入侵，把危害低沉到最小；入侵检测方法一般可分为基于 特性的入侵检测和基于非常的入侵检测两种。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。