第七章 網絡安全
7.1安全性威脅
計算機網絡上的通信面臨以下兩大類威脅:被動攻擊和主動攻擊。
被動攻擊:有時也把這種攻擊稱爲網絡帶寬攻擊或連通性攻擊。-攻擊者只是觀察和分析某一個協議數據單元PDU而不干擾信息流。
主動攻擊主要有:
篡改——故意篡改網絡上傳送的報文。這種攻擊方式有時也稱爲更改報文流。
惡意程序——種類繁多,對網絡安全威脅較大的主要包括:計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈、後門入侵、流氓軟件等。
拒絕服務——指攻擊者向互聯網上的某個服務器不停地發送大量分組,使該服務器無法提供正常服務,甚至完全癱瘓。若從互聯網上的成百上千的網站集中攻擊一個網站,則稱爲分佈式拒絕服務 DDoS (Distributed Denial of Service):有時也把這種攻擊稱爲網絡帶寬攻擊或連通性攻擊。
網絡通信安全的目標:
1.對於主動攻擊,可以採取適當措施加以檢測。
2.對於被動攻擊,通常卻是檢測不出來的。根據這些特點,可得出計算機網絡通信安全的目標:
防止分析出報文內容和流量分析。
防止惡意程序。
檢測更改報文流和拒絕服務。
3.對付被動攻擊可採用各種數據加密技術。
4.對付主動攻擊則需將加密技術與適當的鑑別技術相結合。
7.2安全計算機
一個安全的計算機網絡應達到四個目標:保密性、端點鑑別、信息的完整性、運行的安全性
7.3密碼體制
數據加密標準 DES 屬於對稱密鑰密碼體制,是一種分組密碼。
公鑰密碼體制:使用不同的加密密鑰和解密密鑰,加密密鑰是香公衆公開的,而解密密鑰則是需要保密的,加密算法和解密算法也都是公開的。
數字簽名
用於證明真實性。
數字簽名必須保證以下三點:
報文鑑別——接收者能夠覈實發送者對報文的簽名(證明來源);
報文的完整性——發送者事後不能抵賴對報文的簽名(防否認);
不可否認——接收者不能僞造對報文的簽名(防僞造)。
7.4鑑別
報文鑑別:即鑑別所收到的報文的確是報文的發送者所發送的,而不是其他人僞造的或篡改的。這就包含了端點鑑別和報文完整性的鑑別。例如MD5算法。SHA算法。
實體鑑別:即僅僅鑑別發送報文的實體,實體可以是一個人也可以是一個進程,也就是端點鑑別。重放攻擊和不重數。
7.5祕鑰分配
密鑰管理包括:產生/分配/注入/驗證/使用。
對稱祕鑰分配
1.爲防止重放攻擊,KDC 還可在報文中加入時間戳。密鑰分配中心 KDC
2.會話密鑰 KAB 是一次性的,因此保密性較高。
3.KDC 分配給用戶的密鑰 KA 和 KB,應定期更換,以減少攻擊者破譯密鑰的機會。
公鑰分配
任何用戶都可從可信的地方(如代表政府的報紙)獲得認證中心 CA 的公鑰,此公鑰用來驗證某個公鑰是否爲某個實體所擁有(通過向 CA 查詢)。
有的大公司也提供認證中心服務。認證中心 CA (Certification Authority),來將公鑰與其對應的實體(人或機器)進行綁定 (binding)。
7.4互聯網安全協議
IPsec 協議簇由三部分組成:
1.IP 安全數據報格式的兩個協議
鑑別首部 AH (Authentication Header) 協議
封裝安全有效載荷 ESP (Encapsulation Security Payload) 協議
2.有關加密算法的三個協議(在此不討論)
3.互聯網密鑰交換 IKE (Internet Key Exchange) 協議。
在發送 IP 安全數據報之前,在源實體和目的實體之間必須創建一條網絡層的邏輯連接。此邏輯連接叫做安全關聯 SA (Security Association) 。
運輸層安全協議
安全套接字層 SSL (Secure Socket Layer) 、運輸層安全 TLS (Transport Layer Security)
SSL 提供的安全服務:
1.SSL 服務器鑑別,允許用戶證實服務器的身份。支持 SSL 的客戶端 通過驗證來自服務器的證書,來鑑別服務器的真實身份並獲得服務 器的公鑰。
2.SSL 客戶鑑別,SSL 的可選安全服務,允許服務器證實客戶的身份。
3.加密的 SSL 會話,對客戶和服務器間發送的所有報文進行加密,並 檢測報文是否被篡改。
PGP (Pretty Good Privacy) 是一個完整的電子郵件安全軟件包,包括加密、鑑別、電子簽名和壓縮等技術。
7.5防火牆與入侵檢測
防火牆是由軟件、硬件構成的系統,是一種特殊編程的路由器,用來在兩個網絡之間實施訪問控制策略。防火牆的兩個功能:阻止和允許。
防火牆技術分爲:
1.網絡級防火牆:用來防止整個網絡出現外來非法的入侵。
2.應用級防火牆:用來進行訪問控制。
入侵檢測系統 IDS (Intrusion Detection System) 能夠在入侵已經開始,但還沒有造成危害或在造成更大危害前,及時檢測到入侵,以便儘快阻止入侵,把危害降低到最小。
基於特徵的 IDS 維護一個所有已知攻擊標誌性特徵的數據庫。
基於異常的 IDS 通過觀察正常運行的網絡流量,學習正常流量的統計特性和規律。當檢測到網絡中流量某種統計規律不符合正常情況時,則認爲可能發生了入侵行爲。