計算機網絡第七章：網絡安全

1 網絡安全問題概述

1.1 計算機網絡面臨的安全性威脅

計算機網絡上的通信面臨以下的四種威脅：

1. 截獲——從網絡上竊聽他人的通信內容
2. 中斷——有意中斷他人在網絡上的通信
3. 篡改——故意篡改網絡上傳送的報文
4. 僞造——僞造信息在網絡上傳送

截獲信息的攻擊稱爲被動攻擊，而更改信息和拒絕用戶使用資源的攻擊稱爲主動攻擊

計算機網絡通信安全的目標：

1. 防止析出報文內容
2. 防止通信量分析
3. 檢測更改報文流
4. 檢測拒絕報文服務
5. 檢測僞造初始化連接

惡意程序(rogue program) ：

• 計算機病毒——會“傳染”其他程序的程序，“傳染”是通過修改其他程序來把自身或其變種複製進去完成的
• 計算機蠕蟲——通過網絡的通信功能將自身從一個結點發送到另一個結點並啓動運行的程序
• 特洛伊木馬——一種程序，它執行的功能超出所聲稱的功能
• 邏輯炸彈——一種當運行環境滿足某種特定條件時執行其他特殊功能的程序

密碼加密：

2 兩類密碼體制

2.1 對稱密鑰密碼體制

所謂常規密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制，這種加密系統又稱爲對稱密鑰系統。

數據加密標準 DES：

• 數據加密標準 DES 屬於常規密鑰密碼體制，是一種分組密碼
• 在加密前，先對整個明文進行分組。每一個組長爲 64 位
• 然後對每一個 64 位 二進制數據進行加密處理，產生一組 64 位密文數據
• 最後將各組密文串接起來，即得出整個的密文
• 使用的密鑰爲 64 位（實際密鑰長度爲 56 位，有 8 位用於奇偶校驗)

DES 的保密性：

• DES 的保密性僅取決於對密鑰的保密，而算法是公開的。儘管人們在破譯 DES 方面取得了許多進展，但至今仍未能找到比窮舉搜索密鑰更有效的方法
• DES 是世界上第一個公認的實用密碼算法標準，它曾對密碼學的發展做出了重大貢獻
• 目前較爲嚴重的問題是 DES 的密鑰的長度
• 現在已經設計出來搜索 DES 密鑰的專用芯片

2.2 非對稱公鑰密碼體制

• 公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制
• 公鑰密碼體制的產生主要是因爲兩個方面的原因，一是由於常規密鑰密碼體制的密鑰分配問題，另一是由於對數字簽名的需求
• 現有最著名的公鑰密碼體制是RSA 體制，它基於數論中大數分解問題的體制，由美國三位科學家 Rivest, Shamir 和 Adleman 於 1976 年提出並在 1978 年正式發表的

加密密鑰與解密密鑰：

• 在公鑰密碼體制中，加密密鑰(即公鑰) PK 是公開信息，而解密密鑰(即私鑰或祕鑰) SK 是需要保密的
• 加密算法 E 和解密算法 D 也都是公開的
• 雖然祕鑰 SK 是由公鑰 PK 決定的，但卻不能根據 PK 計算出 SK

公鑰密碼體制：

3 數字簽名

數字簽名必須保證以下三點：

1. 報文鑑別——接收者能夠覈實發送者對報文的簽名
2. 報文的完整性——發送者事後不能抵賴對報文的簽名
3. 不可否認——接收者不能僞造對報文的簽名

現在已有多種實現各種數字簽名的方法。但採用公鑰算法更容易實現

數字簽名的實現 ：

4 因特網使用的安全協議

4.1 網絡層安全協議

IPsec 與安全關聯 SA：網絡層保密是指所有在 IP 數據報中的數據都是加密的

IPsec 中最主要的兩個部分：

• 鑑別首部 AH (Authentication Header)： AH鑑別源點和檢查數據完整性，但不能保密
• 封裝安全有效載荷 ESP (Encapsulation Security Payload)：ESP 比 AH 複雜得多，它鑑別源點、檢查數據完整性和提供保密

安全關聯 SA (Security Association) ：

• 在使用 AH 或 ESP 之前，先要從源主機到目的主機建立一條網絡層的邏輯連接。此邏輯連接叫做安全關聯 SA
• IPsec 就把傳統的因特網無連接的網絡層轉換爲具有邏輯連接的層

4.2 運輸層安全協議

安全套接層 SSL：

• SSL 是安全套接層 (Secure Socket Layer)，可對萬維網客戶與服務器之間傳送的數據進行加密和鑑別
• SSL 在雙方的聯絡階段協商將使用的加密算法和密鑰，以及客戶與服務器之間的鑑別
• 在聯絡階段完成之後，所有傳送的數據都使用在聯絡階段商定的會話密鑰
• SSL 不僅被所有常用的瀏覽器和萬維網服務器所支持，而且也是運輸層安全協議 TLS (Transport Layer Security)的基礎

SSL 的位置：

SSL 提供以下三個功能：

1. SSL 服務器鑑別 允許用戶證實服務器的身份。具有 SS L 功能的瀏覽器維持一個表，上面有一些可信賴的認證中心 CA (Certificate Authority)和它們的公鑰
2. 加密的 SSL 會話 客戶和服務器交互的所有數據都在發送方加密，在接收方解密
3. SSL 客戶鑑別 允許服務器證實客戶的身份

安全電子交易 SET (Secure Electronic Transaction)：

• 安全電子交易 SET 是專爲在因特網上進行安全支付卡交易的協議

5 防火牆(firewall)

• 防火牆是由軟件、硬件構成的系統，是一種特殊編程的路由器，用來在兩個網絡之間實施接入控制策略。接入控制策略是由使用防火牆的單位自行制訂的，爲的是可以最適合本單位的需要
• 防火牆內的網絡稱爲“可信賴的網絡”(trusted network)，而將外部的因特網稱爲“不可信賴的網絡”(untrusted network)
• 防火牆可用來解決內聯網和外聯網的安全問題

防火牆在互連網絡中的位置：

防火牆的功能：

• 防火牆的功能有兩個：阻止和允許
• “阻止”就是阻止某種類型的通信量通過防火牆（從外部網絡到內部網絡，或反過來）
• “允許”的功能與“阻止”恰好相反
• 防火牆必須能夠識別通信量的各種類型。不過在大多數情況下防火牆的主要功能是“阻止”

防火牆技術一般分爲兩類 ：

• 網絡級防火牆——用來防止整個網絡出現外來非法的入侵。屬於這類的有分組過濾和授權服務器。前者檢查所有流入本網絡的信息，然後拒絕不符合事先制訂好的一套準則的數據，而後者則是檢查用戶的登錄是否合法
• 應用級防火牆——從應用程序來進行接入控制。通常使用應用網關或代理服務器來區分各種應用。例如，可以只允許通過訪問萬維網的應用，而阻止 FTP 應用的通過