www.100xuexi.com 第7章 网络安全
7.1 复习笔记
一、网络安全问题概述
1.计算机网络面临的安全性威胁
计算机网络上的通信面临两大类威胁,即被动攻击和主动攻击。 (1)被动攻击
这是指攻击者从网络上窃听他人的通信内容,通常把这类攻击称为截获。 (2)主动攻击 常见的主动攻击方式: ①篡改;
②恶意程序:计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等;
③拒绝服务。
2.计算机网络安全的内容
计算机网络安全设定以下四大目标: (1)保密性; (2)端点鉴别; (3)信息的完整性; (4)运行的安全性。
1 / 72
www.100xuexi.com
3.数据加密模型
一般的数据加密模型如图7-1所示。
图7-1 一般的数据加密模型
用户A向B发送明文X,但通过加密算法E运算后,就得出密文Y。图中所示的加密和解密用的密钥K(key)是一串秘密的字符串(即比特串)。明文通过加密算法变成密文的一般表示方法:Y=EK(X)。
二、两类密码体制 1.对称密钥密码体制
对称密钥密码体制,即加密密钥与解密密钥是相同的密码体制;例如数据加密标准DES属于对称密钥密码体制,且DES的保密性仅取决于对密钥的保密,而算法是公开的。
2.公钥密码体制
公钥密码体制使用不同的加密密钥与解密密钥;其中加密密钥PK是向公众公开的,解密密钥SK(私钥)则是需要保密的;加密算法E和解密算法D也都是公开的。
【注意】任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量,而不单取决于加密的体制。
2 / 72
www.100xuexi.com
三、数字签名
数字签名必须保证能够实现以下三点功能:
1.报文鉴别:接收者能够核实发送者对报文的签名;
2.保证报文的完整性:接收者确信所收到的数据和发送者发送的完全一样而没有被篡改过;
3.不可否认:发送者事后不能抵赖对报文的签名。
四、鉴别
鉴别可分为两种:一种是报文鉴别,另一种是实体鉴别。
1.报文鉴别 (1)密码散列函数 散列函数的两大特点:
①输入长度不固定,可以很长,但输出长度固定,并且很短,其中输出叫做散列值; ②不同的散列值对应不同的输入,但不同的输入却能得到相同的散列值。 (2)实用的密码散列函数MD5和SHA-1
①MD5:可对任意长的报文进行运算,然后得出128位的MD5报文摘要代码; ②安全散列算法SHA:和MD5相似,比MD5更安全,但码长为160位,计算起来比MD5更慢。
2.实体鉴别
3 / 72
www.100xuexi.com 实体鉴别和报文鉴别不同;报文鉴别是对每一个收到的报文都要鉴别报文的发送者,而实体鉴别则是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。
五、密钥分配
密钥管理包括:密钥的产生、分配、注入、验证和使用,密钥分配应采用网内分配方式,即对密钥自动分配。
1.对称密钥的分配
目前常用的密钥分配方式是设立密钥分配中心KDC;KDC是大家都信任的机构,它给需要进行秘密通信的用户临时分配一个会话密钥。
2.公钥的分配
认证中心CA将公钥与其对应的实体(人或机器)进行绑定,每个实体都有CA发来的证书,里面有公钥及其拥有者的标识信息(人名或IP地址),此证书被CA进行了数字签名。
六、互联网使用的安全协议 1.网络层安全协议 (1)IPsec协议族
IPsec协议族是能够在IP层提供互联网通信安全的协议族,IPsec协议族中的协议可划分为以下三个部分:
①IP安全数据报格式的两个协议:鉴别首部AH协议和封装安全有效载荷ESP协议; ②有关加密算法的三个协议;
4 / 72
www.100xuexi.com ③互联网密钥交换IKE协议。 (2)IP安全数据报的格式
如图7-2所示为IP安全数据报的格式。
图7-2 IP安全数据报的格式
2.运输层安全协议
运输层广泛使用下面两个安全协议:
(1)安全套接层SSL:作用在端系统应用层的HTTP和运输层之间,在TCP之上建立起一个安全通道,为通过TCP传输的应用层数据提供安全保障;
(2)运输层安全TLS:为所有基于TCP的网络应用提供安全数据传输服务。
3.应用层安全协议
应用层安全协议很多,例如PGP协议;
PGP协议是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术;它提供电子邮件的安全性、发送方鉴别和报文完整性。
5 / 72
谢希仁《计算机网络》复习笔记和课后习题及考研真题详解(7-9章)【圣才出品】
