第七章 網(wǎng)絡(luò)安全

7.1 網(wǎng)絡(luò)安全問題概述

• 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅和一些主要問題
• 對(duì)稱密匙密碼體制和公匙密碼體制
• 數(shù)字簽名與鑒別
• 網(wǎng)絡(luò)安全協(xié)議IPsec協(xié)議族和運(yùn)輸安全協(xié)議SSl/TSL的要點(diǎn)
• 系統(tǒng)安全:防火墻和入侵檢測(cè)

7.1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅

計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨的威脅可以分為兩大類：

• 被動(dòng)攻擊（如截獲）
• 主動(dòng)攻擊（如中斷、篡改、偽造）。

7.1.2 安全的計(jì)算機(jī)網(wǎng)絡(luò)

安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該達(dá)到：

• 保密性
• 端點(diǎn)鑒別
• 信息的完整性
• 運(yùn)行的安全性。

7.1.3 數(shù)據(jù)加密模型

密碼學(xué)包括：

• 密碼編碼學(xué)（設(shè)計(jì)密碼體制）
• 密碼分析學(xué)（破解密碼）

無條件安全的密碼幾乎不存在，大部分密碼都是計(jì)算上安全的，即在一定時(shí)間內(nèi)是不可破解的。

7.2 兩類密碼體制

7.2.1 對(duì)稱密鑰密碼體制

對(duì)稱密鑰密碼體制中加密密鑰與解密密鑰是相同的。
這種加密的保密性僅取決于對(duì)密鑰的保密，算法是公開的。

數(shù)據(jù)加密標(biāo)準(zhǔn) DES 是一種對(duì)稱密鑰密碼體制。
初版的 DES 已經(jīng)不安全，目前采用的是三重 DES（3DES）。三重 DES 廣泛用于網(wǎng)絡(luò)、金融、信用卡等系統(tǒng)。

7.2.2 公鑰密碼體制

公鑰密碼體制中加密密鑰是公開的（公鑰），解密密鑰是保密的（私鑰），加密和解密算法也是公開的。

私鑰是某個(gè)用戶私有的，對(duì)其他人都保密。

公鑰密碼體制相對(duì)于對(duì)稱密鑰體制的優(yōu)點(diǎn)：

• 不需要考慮密鑰分配問題：對(duì)稱密鑰需要安全地分配密鑰。
• 提供數(shù)字簽名功能。

RSA 體制（RSA 公鑰加密算法）是最著名的公鑰密碼體制，它采用了數(shù)論中的大數(shù)分解問題。

任何加密方法的安全性取決于密鑰的長度和攻破密文所需的計(jì)算量，而非體制。

7.3 數(shù)字簽名

數(shù)字簽名需要提供三點(diǎn)功能：

• 報(bào)文鑒別：接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名，從而驗(yàn)證發(fā)送者的身份。
• 報(bào)文的完整性：接收者確信收到的數(shù)據(jù)和發(fā)送者發(fā)送的數(shù)據(jù)完全一樣。
• 不可否認(rèn)：發(fā)送者事后不能否認(rèn)自己對(duì)報(bào)文的簽名。

基于公鑰密碼體制數(shù)字簽名功實(shí)現(xiàn)方法：
發(fā)送者使用自己的私鑰對(duì)一段報(bào)文進(jìn)行加密，接收者使用該發(fā)送者的公鑰來解密報(bào)文。

7.4 鑒別

鑒別是要驗(yàn)證通信對(duì)方是自己要通信的對(duì)象。

7.4.1 報(bào)文鑒別

報(bào)文鑒別用來鑒別報(bào)文的完整性，它采用了密碼散列函數(shù)。

散列函數(shù)的兩個(gè)特點(diǎn)：

• 輸入長度可以很長，輸出長度則較短并長度固定。散列函數(shù)的輸出叫做散列值。
• 不同的散列值肯定對(duì)應(yīng)不同的輸入，但不同的輸入可能得到相同的散列值。

密碼學(xué)中的散列函數(shù)最重要的特點(diǎn)是：
要找到兩個(gè)不同的報(bào)文具有相同的散列值，在計(jì)算上是不可行的。也就是根據(jù)散列值來求報(bào)文的逆向變換是不可能的。

報(bào)文摘要 MD5 是進(jìn)行報(bào)文鑒別的一種簡單方法，但目前廣泛使用的是安全散列算法 SHA-2/3。

散列函數(shù)的使用方法：
對(duì)報(bào)文計(jì)算出散列值，將散列值附加在報(bào)文后面，將附加了散列值的整個(gè)報(bào)文加密進(jìn)行發(fā)送。接收方解密后重新對(duì)報(bào)文計(jì)算散列值，如果與收到的散列值相同就沒問題。

7.4.2 實(shí)體鑒別

報(bào)文鑒別對(duì)每一個(gè)收到的報(bào)文都要鑒別發(fā)送者，實(shí)體鑒別只需要在整個(gè)連接的過程中鑒別一次。這種不同帶來了微妙的影響。

重放攻擊

場(chǎng)景：A 向 B 發(fā)送帶有自己身份和口令的報(bào)文，并使用對(duì)稱密鑰加密。B 收到報(bào)文后用對(duì)稱密鑰解密，鑒別 A 的身份。

但是 C 可能截獲 A 發(fā)出的報(bào)文并轉(zhuǎn)發(fā)給 B，這樣 B 就會(huì)誤認(rèn)為 C 是 A，之后向 C 發(fā)送了許多本該發(fā)給 A 的報(bào)文。

不重?cái)?shù)法
可以采用一個(gè)不重復(fù)使用的大隨機(jī)數(shù)來解決重放攻擊。A 向 B 發(fā)送不重?cái)?shù)（即不同會(huì)話使用不同的數(shù)），這樣 C 截獲后再向 B 發(fā)送，B 發(fā)現(xiàn)收到的是重復(fù)的，就不會(huì)被騙了。

7.5 密鑰分配

密鑰分配即密鑰分發(fā)，是密鑰管理中最大的問題，密鑰必須通過最安全的通路進(jìn)行分配。

7.5.1 對(duì)稱密鑰的分配

目前常用的密鑰分配方式是設(shè)立密鑰分配中心 KDC。

7.5.2 公鑰的分配

公鑰不可隨意分配。
比如 C 截獲 A 發(fā)給 B 的報(bào)文（報(bào)文用 A 的私鑰加密并附有 A 的公鑰）再轉(zhuǎn)發(fā)給 B，B 無法驗(yàn)證這個(gè)公鑰是 A 的還是 C 的。

所以要將公鑰與對(duì)應(yīng)的實(shí)體進(jìn)行綁定，由認(rèn)證中心 CA 來完成此操作。

每個(gè)實(shí)體都有 CA 發(fā)來的證書，里面有公鑰機(jī)器擁有者的標(biāo)識(shí)信息，此證書被 CA 進(jìn)行了數(shù)字簽名。

任何用戶都可以從可信的地方獲得認(rèn)證中心 CA 的公鑰。

7.6 互聯(lián)網(wǎng)使用的安全協(xié)議

網(wǎng)絡(luò)層、運(yùn)輸層、應(yīng)用層都有相應(yīng)的網(wǎng)絡(luò)安全協(xié)議。

7.6.1 網(wǎng)絡(luò)層安全協(xié)議

網(wǎng)絡(luò)層使用 IPsec 協(xié)議族。
VPN 就是用了網(wǎng)絡(luò)層安全協(xié)議。

IPsec 沒有規(guī)定用戶必須使用哪種加密和鑒別算法，但它提供了一套加密算法。

IP 安全數(shù)據(jù)報(bào)格式有兩個(gè)協(xié)議：

• 鑒別首部協(xié)議 AH
• 封裝安全有效載荷協(xié)議 ESP

AH 協(xié)議提供源點(diǎn)鑒別和數(shù)據(jù)完整性，但不能保密。
ESP 協(xié)議提供源點(diǎn)鑒別、數(shù)據(jù)完整性和保密。
ESP 比 AH 復(fù)雜很多。

使用 AH 或 ESP 協(xié)議的 IP 數(shù)據(jù)報(bào)叫做 IP 安全數(shù)據(jù)報(bào)（IPsec 數(shù)據(jù)報(bào)）。

在 IPv6 中，AH 和 ESP 都是擴(kuò)展首部的一部分。AH 協(xié)議都包含在 ESP 協(xié)議內(nèi)部。

IPsec 數(shù)據(jù)報(bào)的工作方式有兩種：

• 運(yùn)輸方式：在整個(gè)運(yùn)輸層報(bào)文段的前后分別添加若干控制信息，再加上 IP 首部，構(gòu)成 IPsec 數(shù)據(jù)報(bào)。
• 隧道方式（使用最多）：在原始的 IP 數(shù)據(jù)報(bào)的前后分別添加控制信息，再加上新的 IP 首部，構(gòu)成 IPsec 數(shù)據(jù)報(bào)。

無論哪種方式，IPsec 數(shù)據(jù)報(bào)的首部都是不加密的（這樣路由器才能識(shí)別首部中的信息），只有數(shù)據(jù)部分是經(jīng)過加密的。

IPsec 數(shù)據(jù)報(bào)的格式

7.6.2 運(yùn)輸層安全協(xié)議

運(yùn)輸層的安全協(xié)議有：

• 安全套接字層 SSL
• 運(yùn)輸層安全 TLS

TLS 是在 SSL3.0 的基礎(chǔ)上設(shè)計(jì)的。
SSL 最新版本是 SSL 3.0，常用的瀏覽器和 Web 服務(wù)器都支持 SSL，SSL 也是 TLS 的基礎(chǔ)。

SSL 作用于端系統(tǒng)應(yīng)用層的 HTTP 和運(yùn)輸層之間，在 TCP 之上建立起一個(gè)安全通道，為通過 TCP 傳輸?shù)膽?yīng)用層提供安全保障。

未使用 SSL 時(shí)，應(yīng)用層的數(shù)據(jù)通過 TCP 套接字與運(yùn)輸層交互，使用 SSL 后，中間又多了一個(gè) SSL 子層。

網(wǎng)址中 https 表示使用了 SSL 協(xié)議，TCP 的 https 端口號(hào)是 443，http 端口號(hào)是 80。

SSL 提供的安全服務(wù)可以歸納為三種：

• SSL 服務(wù)器鑒別，允許用戶證實(shí)服務(wù)器的身份。
• SSL 客戶鑒別，允許服務(wù)器證實(shí)客戶的身份。
• 加密的 SSL 會(huì)話，對(duì)客戶和服務(wù)器之間發(fā)送的所有報(bào)文加密，并檢測(cè)報(bào)文是否被篡改。

SSL 的工作過程

以瀏覽網(wǎng)站為例，用戶點(diǎn)擊鏈接建立 TCP 連接后，先進(jìn)行瀏覽器和服務(wù)器間的握手協(xié)議，簡要流程如下：

1. 協(xié)商加密算法。
2. 服務(wù)器鑒別。
3. 會(huì)話密鑰計(jì)算。
4. 安全數(shù)據(jù)傳輸。

7.6.3 應(yīng)用層安全協(xié)議

PGP 是一個(gè)完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名、壓縮等技術(shù)。
PGP 沒有使用新概念，只是綜合了現(xiàn)有的加密算法。

7.7 系統(tǒng)安全:防火墻與入侵檢測(cè)

防火墻和入侵檢測(cè)系統(tǒng) IDS 構(gòu)成了系統(tǒng)防御的兩層防線。

7.7.1 防火墻

防火墻是一種特殊編程的路由器，安裝在一個(gè)網(wǎng)點(diǎn)和網(wǎng)絡(luò)的其余部分之間，目的是實(shí)施訪問控制策略。

防火墻內(nèi)的網(wǎng)絡(luò)稱為可信的網(wǎng)絡(luò)。

防火墻技術(shù)包括以下兩類：

• 分組過濾路由器：它根據(jù)過濾規(guī)則（基于分組的網(wǎng)絡(luò)層或運(yùn)輸層的首部信息設(shè)定）對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的分組執(zhí)行轉(zhuǎn)發(fā)或丟棄。比如將所有目的端口號(hào)是 23 的進(jìn)入內(nèi)部網(wǎng)路的的分組都丟棄。
• 應(yīng)用網(wǎng)關(guān)：也叫代理服務(wù)器。一種網(wǎng)絡(luò)應(yīng)用需要一個(gè)應(yīng)用網(wǎng)關(guān)，萬維網(wǎng)緩存就是一種萬維網(wǎng)應(yīng)用的代理服務(wù)器。進(jìn)出網(wǎng)絡(luò)的應(yīng)用程序報(bào)文都要通過應(yīng)用網(wǎng)關(guān)，應(yīng)用網(wǎng)關(guān)在應(yīng)用層打開報(bào)文檢查是否合法。

7.7.2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng) IDS 是在入侵開始后及時(shí)檢測(cè)到入侵以便盡快阻止。

入侵檢測(cè)系統(tǒng)分為兩種：

• 基于特征的 IDS：根據(jù)已知攻擊的標(biāo)志性特征檢測(cè)入侵。
• 基于異常的 IDS：根據(jù)網(wǎng)絡(luò)流量的統(tǒng)計(jì)特性來檢測(cè)入侵。

7.8 一些未來的發(fā)展方向

未來的發(fā)展方向：文章來源地址http://www.zghlxwxcb.cn/news/detail-725574.html

• 橢圓曲線密碼（ECC）與 AES。這是下一代金融系統(tǒng)使用的加密系統(tǒng)。
• 移動(dòng)安全。移動(dòng)通信所需要的。
• 量子密碼。

到了這里，關(guān)于第七章 網(wǎng)絡(luò)安全 | 計(jì)算機(jī)網(wǎng)絡(luò)（謝希仁 第八版）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！