計算機網路(七)網路安全-有解無憂

計算機網路面對的兩大安全威脅

被動攻擊：截獲、觀察、分析某個協議資料PUD，又被稱為流量分析

主動攻擊：篡改：故意篡改網路上傳送的報文

惡意程式：病毒、蠕蟲、木馬、邏輯炸彈、后門入侵蓋、流氓軟體

拒絕服務DoS：向指定服務器不聽發送大量分組，造成該服務器無法正常作業

計算機網路安全要達到的目標：

保密性、端點鑒別、資訊的完整性、運行的安全性（訪問控制）

資料加密模型

明文X，加密演算法E，密文Y

$Y = E_{K}(X)$

解密演算法D，解密密鑰K

$D_{K}(Y) = D_{K}(E_{K}(X)) = X$

兩類密碼體制

對稱密鑰密碼體制

加密密鑰與解密密鑰使用相同的密碼體制

DEX（資料加密標準），DES的保密性取決于密鑰的保密，演算法是公開的

公鑰密碼體制

使用不同的加密和解密密鑰

產生的原因主要有：密鑰分配問題、對數字簽名的需求

RSA加密，公鑰密碼體制中，加密密鑰（公鑰）PK是公開的，而解密密鑰（私鑰）則需要保密，加密演算法E和解密演算法D都是公開的

1.密鑰對產生器產生一對接收者B的密鑰，公鑰PKb和私鑰SKb，發送者A所用的加密密鑰就是接收者B的公鑰，B所用的解密密鑰就是B的私鑰

2.發送者A用B的公鑰PKb通過E運算對明文X加密，得出密文B并傳送

B用自己的私鑰通過解密演算法D進行解密，恢復密文

3.已知PKb并不能推匯出SKb

4.公鑰可以加密但是不能解密

5.D運算和E運算的先后對結果不影響

數字簽名

需要保證的功能

1.接收者能夠核實發送者對報文的簽名

2.接收者確信收到的資料和發送者發送的完全一致沒有被篡改過（報文的完整性）

3.發送者事后不能抵賴報文簽名（不可否認）

鑒別

報文鑒別

密碼散列函式

散列函式的輸入長度可以很長

不同的散列值肯定對應不同的輸入

密碼散列函式是單向函式

MD5和SHA-1

MD5： 1.把任意長的報文按 $2^{64}$ 計算其余數(64位)，追加在報文后面

2.在報文和余數之間填充1~512位，填充的首位是1，后面都是0

3.把追加和填充后的報文分割成一個個512位的資料塊，每個512位的報文資料再分成4蓋128位的資料塊依次送到不同的散列函式進行4論運算，每一輪按32位小資料塊進行復雜運算，知道最后計算出MD5摘要代碼（128位）

報文鑒別碼：

物體鑒別

密鑰分配

密鑰分配分為網外分配（物理介質）、網內分配（通過網路自動分發）

防火墻

防火墻內的網路稱為“可信網路”，防火墻外的網路稱為“不可信網路”

分組過濾器：具有分組過濾功能的路由器，作用是根據過濾規則對進出內部網路的分組執行轉發或丟棄，（一般可以按照埠進行屏蔽，如某新聞網使用119號埠，屏蔽119號埠就會使得無法使用該網路）

應用網關（代理服務器）：在應用層扮演中繼角色，進出網路的資料都會經過應用網關，可以實作基于應用層資料的過濾和高層用戶鑒別

入侵檢測IDS：檢查到可以分組時向管理員發出警告或執行阻斷

一般分為：基于特征的入侵檢測：對比已知攻擊標志特征的資料庫（對未知攻擊無效）

基于例外的入侵檢測：對比正常的網路流量，遇到不符的情況上報（易誤報）

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/356903.html

標籤：其他

上一篇：國密演算法（SM1,SM2,SM3,SM4）和國際演算法對比

下一篇：Linux密碼破解（使用hydra工具和使用john暴力破解）