一、網(wǎng)絡(luò)安全問題概述

網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)安全面臨兩大類威脅，被動(dòng)攻擊和主動(dòng)攻擊

被動(dòng)攻擊

指攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容，通常把這類攻擊稱為截獲。

主動(dòng)攻擊

1. 篡改 攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文
2. 惡意程序
3. 拒絕服務(wù) Dos 攻擊者向互聯(lián)網(wǎng)上的某個(gè)服務(wù)器不停地發(fā)送大量分組，使該服務(wù)器無法提供正常服務(wù)。

考研真題：DDOS 全稱是什么？原理是什么？

DDos ，即 Distributed Denial of Service ， 分布式拒絕服務(wù)。

安全的計(jì)算機(jī)網(wǎng)絡(luò)

1. 保密性 只有信息的發(fā)送方和接收方才能懂得所發(fā)送信息的內(nèi)容，而信息的截獲者則看不懂所截獲的信息。
2. 端點(diǎn)鑒別 安全的計(jì)算機(jī)網(wǎng)絡(luò)必須能夠鑒別信息的發(fā)送方和接收方的真實(shí)身份。
3. 信息的完整性 確保信息沒有被人篡改過
4. 運(yùn)行的安全性 計(jì)算機(jī)擁有避免網(wǎng)絡(luò)攻擊引起的擁塞和癱瘓的能力。

數(shù)據(jù)加密模型

加密

密鑰 K

解密

接收端利用解密算法 D 運(yùn)算和 解密密鑰 K ，解出明文 X

學(xué)科關(guān)系

密碼編碼學(xué) ：密碼體制的設(shè)計(jì)學(xué)

密碼分析學(xué) ：在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。

密碼學(xué) ：密碼編碼學(xué) + 密碼分析學(xué)

二、兩類密碼體制

對稱密鑰密碼體制

加密密鑰和解密密鑰是使用相同的密碼體制

數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于 對稱密鑰密碼體制。DES 的保密性取決于對密鑰的保密，而算法是公開的。

公鑰密碼體制

使用不同的加密密鑰與解密密鑰的密碼體制。

RSA 體制 屬于 公鑰密碼體制。

產(chǎn)生原因

1. 對稱密鑰密碼體制的密鑰分配體制
2. 對數(shù)字簽名的需求

基本特點(diǎn)

1. 在公鑰密碼體制中，加密密鑰 PK 是向公眾公開的，解密密鑰 SK 則是需要保密的。加密算法 E 和 解密算法 D 也都是公開的。
2. 發(fā)送者 A 用 B 的公鑰 PKB 通過 E 運(yùn)算對明文 X 加密，得出密文 Y，發(fā)送給 B。
   B 用自己的私鑰 SKB 通過 D 的運(yùn)算進(jìn)行解謎，恢復(fù)出明文。
3. 從已知的 PKB 不可能推導(dǎo)出 SKB，即從公鑰到私鑰是 “計(jì)算上不可能的”。
4. 公鑰可以用來加密，但不能用來解密
5. 先后對明文 X 進(jìn)行 D 運(yùn)算和 E 運(yùn)算 或 進(jìn)行 E 運(yùn)算和 D 運(yùn)算，結(jié)果一樣

加密算法的去安全性取決于密鑰的長度，以及攻破密文所需要的計(jì)算量。而不是簡單地取決于加密體制。

公鑰加密算法相比對稱密碼體制開銷較大。

三、數(shù)字簽名

簽名的三大功能

1. 報(bào)文鑒別 接收者能夠確信該報(bào)文的確是發(fā)送者發(fā)送的。
2. 報(bào)文的完整性 接收者確信所收到的數(shù)據(jù)和發(fā)送者發(fā)送的完全一樣而沒有被篡改過。
3. 不可否認(rèn) 發(fā)送者事后不能抵賴對報(bào)文的簽名。

這三項(xiàng)功能的關(guān)鍵都在于沒有其他人能夠持有 A 的私鑰 SKA

簽名由發(fā)送方的私鑰進(jìn)行加密

四、鑒別

鑒別，驗(yàn)證通信的對方的確是自己所要通信的對象，而不是其他的冒充者，并且所傳誦的報(bào)文是完整的，沒有被他人篡改過。

報(bào)文鑒別

報(bào)文鑒別，即鑒別所收到的報(bào)文的確是報(bào)文的發(fā)送者所發(fā)送的，而不是其他人偽造的或篡改的。包含了 端點(diǎn)鑒別和報(bào)文完整性鑒別 。

密碼散列函數(shù)

1. 函數(shù)輸入長度可以很長，但其輸出長度固定，且短。散列函數(shù)的輸出叫散列值。
2. 不同散列值肯定對應(yīng)于不同的輸入，但不同的輸入?yún)s可能得出相同的散列值。

報(bào)文摘要算法 MD5 和 SHA-1 是比較使用的密碼散列函數(shù)

報(bào)文鑒別碼 MAC

報(bào)文鑒別碼 MAC，對散列 H 使用密鑰加密后的結(jié)果

這個(gè)過程報(bào)文不加密，只加密散列 H，不會(huì)消耗很多的計(jì)算資源，可以很方便地保護(hù)報(bào)文的完整性

實(shí)體鑒別

實(shí)體鑒別和報(bào)文鑒別不同。報(bào)文鑒別是對每一個(gè)收到的報(bào)文都要鑒別報(bào)文的發(fā)送者，而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí)間內(nèi)對和自己通信的對方實(shí)體只需驗(yàn)證一次。

重放攻擊

入侵者 C 截獲 A 發(fā)送給 B 的報(bào)文，C 也不需要破譯這個(gè)報(bào)文，直接把這個(gè)由 A 加秘密的報(bào)文發(fā)送給 B，使 B 誤認(rèn)為 C 就是 A，B 就向偽裝成 A 的 C 發(fā)送許多本來應(yīng)當(dāng)發(fā)給 A 的報(bào)文。這就叫做重放攻擊。

不重?cái)?shù)

不重復(fù)使用的大隨機(jī)數(shù)。

在實(shí)體鑒別過程中，不重?cái)?shù)可以使用戶把重復(fù)的實(shí)體鑒別請求和新的鑒別請求區(qū)分開。

使用公鑰密碼體制實(shí)現(xiàn)實(shí)體鑒別

中間人攻擊

在使用公鑰密碼體制在實(shí)現(xiàn)實(shí)體鑒別時(shí)，仍有受到攻擊的可能。

由此可見，公鑰的分配以及認(rèn)證公鑰的真實(shí)性也是一個(gè)非常重要的問題

五、密鑰分配

對稱密鑰分配

對稱密鑰密碼體制，目前常用的密鑰分發(fā)方式是建立密鑰分配中心 （KDC）

KDC 是一個(gè)公眾都信任的機(jī)構(gòu)，其任務(wù)就是給需要進(jìn)行秘密通信的用戶臨時(shí)分配一個(gè)會(huì)話密鑰。

Keberos 協(xié)議，是目前最出名的密鑰分發(fā)協(xié)議

公鑰分配

認(rèn)證中心（CA） ，將公鑰與其對應(yīng)的實(shí)體（人或機(jī)器）進(jìn)行綁定，是一個(gè)值得信賴的機(jī)構(gòu)。

需要發(fā)布公鑰的用戶可以讓 CA 為其公鑰簽發(fā)一個(gè)證書，證書中包含有公鑰及其擁有者的身份證標(biāo)識(shí)信息（人名、公司名或 IP 地址等）。

CA 簽發(fā)證書的過程：

1. CA 必須合適用戶真實(shí)身份。
2. CA 為用戶產(chǎn)生公鑰 - 私鑰對，并生成證書。
3. CA 用自己的私鑰對證書進(jìn)行數(shù)字簽名。
4. 該證書就可以通過網(wǎng)絡(luò)發(fā)送給任何希望與該證書擁有者通信的實(shí)體，也可將該證書存放在服務(wù)器由其他用戶自由下載。

因特網(wǎng)采用的是 RFC 給出的、在全球范圍內(nèi)為所有因特網(wǎng)用戶提供證書簽發(fā)與認(rèn)證服務(wù)的 公鑰基礎(chǔ)結(jié)構(gòu)（PKI）。

CA 的五種功能

• 1.證書的頒發(fā)
• 2.證書的更新
• 3.證書的查詢
• 4.證書的作廢
• 5.證書的歸檔

六、防火墻與入侵檢測

防火墻

防火墻作為一種訪問控制技術(shù)，通過嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)邊界的分組，禁止任何不必要的通信，從而減少潛在入侵的發(fā)生，盡可能降低這類安全威脅所帶來的安全風(fēng)險(xiǎn)。

防火墻是一種特殊編程的路由器，安裝在一個(gè)網(wǎng)點(diǎn)和網(wǎng)絡(luò)的其余部分之間，目的是實(shí)施訪問控制策略。

（1）分組過濾路由器

分組過濾器是一種具有分組過濾功能的路由器，它根據(jù)過濾規(guī)則對進(jìn)出內(nèi)部網(wǎng)絡(luò)的分組執(zhí)行 轉(zhuǎn)發(fā)或丟棄 。

例如，可以將外部的特定分組過濾掉，也可以將內(nèi)部往外發(fā)的特定分組阻攔住。

優(yōu)缺點(diǎn)：分組過濾路由器的優(yōu)點(diǎn)是簡單高效，且對于用戶是透明的，但不能對高層數(shù)據(jù)進(jìn)行過濾。

（2）應(yīng)用網(wǎng)關(guān) / 代理服務(wù)器（proxy server）

應(yīng)用網(wǎng)關(guān)，它在應(yīng)用層通信中扮演報(bào)文中繼的角色。

在應(yīng)用網(wǎng)關(guān)中，可以實(shí)現(xiàn)基于應(yīng)用層數(shù)據(jù)的過濾和高層 用戶鑒別 。

功能：所有進(jìn)出網(wǎng)絡(luò)的應(yīng)用程序報(bào)文都必須通過應(yīng)用網(wǎng)關(guān)。當(dāng)某應(yīng)用客戶進(jìn)程向服務(wù)器發(fā)送一份請求報(bào)文時(shí)，先發(fā)送給應(yīng)用網(wǎng)關(guān)，應(yīng)用網(wǎng)關(guān)在應(yīng)用層打開該報(bào)文，查看該請求是否合法。

缺點(diǎn):

• 1.每種一應(yīng)用都需要一個(gè)不同的網(wǎng)關(guān)
• 2.在應(yīng)用層轉(zhuǎn)發(fā)和處理報(bào)文，處理負(fù)擔(dān)較重
• 3.對應(yīng)用程序不透明，需要在應(yīng)用程序客戶端配置應(yīng)用網(wǎng)關(guān)程序。

入侵檢測系統(tǒng)

由于防火墻不可能阻止所有入侵行為，作為 系統(tǒng)防御的第二道防線 ，入侵檢測系統(tǒng) IDS 通過對進(jìn)入網(wǎng)絡(luò)的分組進(jìn)行深度分析與檢測疑似入侵行為的網(wǎng)絡(luò)活動(dòng)，并進(jìn)行報(bào)警以便進(jìn)一步采取相應(yīng)措施。

（1）基于特征的入侵檢測

針對已知攻擊

基于特征的 IDS 維護(hù)一個(gè)所有已知攻擊標(biāo)志性特征的數(shù)據(jù)庫。當(dāng)發(fā)現(xiàn)有與某種攻擊特征匹配的分組或分組序列時(shí)，則認(rèn)為檢測到某種入侵行為。

（2） 基于異常的入侵檢測

針對未知攻擊

基于異常的 IDS 通過觀察正常運(yùn)行的網(wǎng)絡(luò)流量，學(xué)習(xí)正常流量的統(tǒng)計(jì)特性和規(guī)律，當(dāng)檢測到網(wǎng)絡(luò)中流量的某種統(tǒng)計(jì)規(guī)律不符合正常情況時(shí)，則認(rèn)為可能發(fā)生了入侵行為。

-End-