计算机网络(七)网络安全

计算机网络面对的两大安全威胁

        被动攻击：截获、观察、分析某个协议数据PUD，又被称为流量分析

        主动攻击：      篡改：故意篡改网络上传送的报文

                                恶意程序：病毒、蠕虫、木马、逻辑炸弹、后门入侵盖、流氓软件

                                拒绝服务DoS：向指定服务器不听发送大量分组，造成该服务器无法正常工作

计算机网络安全要达到的目标：

        保密性、端点鉴别、信息的完整性、运行的安全性（访问控制）

数据加密模型

         明文X，加密算法E，密文Y

        解密算法D，解密密钥K

两类密码体制

        对称密钥密码体制

                加密密钥与解密密钥使用相同的密码体制

                DEX（数据加密标准），DES的保密性取决于密钥的保密，算法是公开的

        公钥密码体制

                使用不同的加密和解密密钥

                产生的原因主要有：密钥分配问题、对数字签名的需求

                RSA加密，公钥密码体制中，加密密钥（公钥）PK是公开的，而解密密钥（私钥）则需要保密，加密算法E和解密算法D都是公开的

                1.密钥对产生器产生一对接收者B的密钥，公钥PKb和私钥SKb，发送者A所用的加密密钥就是接收者B的公钥。B所用的解密密钥就是B的私钥

                2.发送者A用B的公钥PKb通过E运算对明文X加密，得出密文B并传送

                        B用自己的私钥通过解密算法D进行解密，恢复密文

                3.已知PKb并不能推导出SKb

                4.公钥可以加密但是不能解密

                5.D运算和E运算的先后对结果不影响

 数字签名

        需要保证的功能

                1.接收者能够核实发送者对报文的签名

                2.接收者确信收到的数据和发送者发送的完全一致没有被篡改过（报文的完整性）

                3.发送者事后不能抵赖报文签名（不可否认）

鉴别

        报文鉴别

                密码散列函数

                        散列函数的输入长度可以很长

                        不同的散列值肯定对应不同的输入

                         密码散列函数是单向函数

         MD5和SHA-1

                MD5：        1.把任意长的报文按计算其余数(64位)，追加在报文后面

                                   2.在报文和余数之间填充1~512位，填充的首位是1，后面都是0

                                   3.把追加和填充后的报文分割成一个个512位的数据块，每个512位的报文数据再分成4盖128位的数据块依次送到不同的散列函数进行4论运算。每一轮按32位小数据块进行复杂运算，知道最后计算出MD5摘要代码（128位）

                报文鉴别码：

         实体鉴别

密钥分配

        密钥分配分为网外分配（物理介质）、网内分配（通过网络自动分发）

 防火墙

         防火墙内的网络称为“可信网络”，防火墙外的网络称为“不可信网络”

        分组过滤器：具有分组过滤功能的路由器，作用是根据过滤规则对进出内部网络的分组执行转发或丢弃。（一般可以按照端口进行屏蔽，如某新闻网使用119号端口，屏蔽119号端口就会使得无法使用该网络）

        应用网关（代理服务器）：在应用层扮演中继角色，进出网络的数据都会经过应用网关，可以实现基于应用层数据的过滤和高层用户鉴别

        入侵检测IDS：检查到可以分组时向管理员发出警告或执行阻断

        一般分为：        基于特征的入侵检测：对比已知攻击标志特征的数据库（对未知攻击无效）

                                  基于异常的入侵检测：对比正常的网络流量，遇到不符的情况上报（易误报）