第七章，網絡安全

2)主動進攻

幾種常見的方式:

(1)篡改:

攻擊者篡改網絡上傳輸的消息，例如，完全中斷和偽造消息；

②惡意程序:包括的類型有:

③拒絕服務

攻擊者不斷向互聯網上的壹臺服務器發送大量數據包，導致服務器無法提供正常服務，甚至完全癱瘓。

④切換攻擊

攻擊者向以太網交換機發送大量帶有偽造源MAC地址的幀。交換機收到MAC地址後，學習並記錄下來，導致交換表很快被填滿，無法正常工作。

人們總是希望設計壹個安全的計算機網絡，但遺憾的是，網絡的安全性是不可判定的，針對特定的攻擊只能設計壹個安全的通信協議。

計算機網絡安全的四個目標

1)保密性:要求只有信息的發送方和接收方能夠理解發送信息的內容，而信息的攔截方不能理解攔截的內容。這樣，對付被動攻擊；

2)端點認證:要求計算機網絡能夠認證信息發送者和接收者的真實身份。應對主動進攻；

3)信息的完整性:要求信息的內容沒有被篡改；

4)運行的安全性:要求計算機系統在運行過程中的安全性。訪問控制是壹種應對方法。應對惡意程序和拒絕服務攻擊。

發送方將明文p發送給接收方，通過加密算法運算得到密文c。接收方通過解密算法解密得到明文p。

如果無論攔截者獲得多少密文，密文中都沒有足夠的信息來唯壹確定對應的明文，那麽這種密碼體制就叫做無條件安全或者理論上不可破解。

在沒有限制的情況下，目前幾乎所有的密碼體制都被破解了。

人們關心的是開發壹個在計算機上不可破解的密碼系統(理論上不是)。如果壹個密碼系統中的密碼在壹定時間內不能被可用的計算機資源破譯，那麽這個密碼系統被稱為是計算安全的。

2)發展歷史

對稱密碼體制，即加密密鑰和解密密鑰使用相同的密碼體制。

1)數據加密標準(DES)

屬於對稱密鑰密碼系統。1977，由IBM提出，被美國定位為聯邦信息標準，ISO使用DES作為數據加密標準。

2)高級加密標準(AES)

1976，由斯坦福大學提出，使用不同的加密密鑰和解密密鑰；

1)公鑰密碼出現的原因。

①對稱密鑰密碼系統的密鑰分發；

②對數字簽名的需求。

2)對稱加密的挑戰

在對稱密碼系統中，加密/解密雙方使用相同的密鑰。

那麽，如何讓雙方安全地擁有同壹個密鑰呢？

①預協議:給密鑰管理和更換帶來極大不便；

(2)快遞傳輸:不應用於高度自動化的大型計算機系統；

③高度安全的密鑰分發中心:網絡成本增加；

3)三種公鑰

① RSA系統:正式發表於1978，基於數論中的大數分解問題；

4)差異:

公鑰加密算法價格昂貴，不會取代傳統的加密算法。

5)加密屬性

任何加密算法的安全性都取決於密鑰的長度和破解密文所需的計算量。

信件或文件基於簽名或印章來證明其真實性。(偽造印章，妳會坐牢)

1)驗證:接收方可以驗證消息上發送方的簽名，即確定消息是否是發送方發送的；

2)無篡改:接收方確信接收到的數據與發送方發送的數據完全相同，沒有被篡改。叫做信息的完整性。

3)不可否認:在發送的這個時候不能否認消息的簽名，稱為不可否認。

1)A用自己的私鑰對消息進行D運算，得到密文；

2)接收方通過A的公鑰解密消息，並驗證消息是否由A發送..

1)驗證保證:只有A有私鑰，加密是唯壹的；

2)無篡改:篡改後沒有A的私鑰，無法加密；

3)不可否認，別人沒有A的私鑰；

問:是否有可能通過生成壹個可以用A的公鑰解密的私鑰來模擬A？

上述操作對數據進行了簽名，但沒有對數據進行加密。任何有公鑰的人都可以破解。

1)帶機密性的數字簽名:

①發送方用A的私鑰對數據進行簽名；

(2)發送方用B的公鑰加密數據；

③接收方用B的私鑰解密數據；

④接收方使用A的公鑰對數據進行認證。

認證就是驗證通信雙方確實是自己想要通信的對象，而不是其他的冒名頂替者。

而且傳輸的消息是完整的，沒有被別人篡改過。

0)動機

①數字簽名:是壹種消息認證技術；

(2)缺點:對長消息進行數字簽名會給計算機增加很大的負擔，因此需要更多的時間進行計算；

③要求:比較簡單的識別消息的方法；

④解決方案:密碼哈希函數；

1)加密哈希函數

功能:保護明文的完整性；

(1)哈希函數的特點:

②加密哈希函數的特點:

2)實用的密碼哈希函數:MD5和SHA-1。

① MD5

②沙

美國技術標準協會的NIST提出了SHA哈希算法。

3)消息認證碼

①哈希函數的缺點:可能被他人篡改，然後計算出對應的正確哈希值；

②消息認證碼:生成消息的hash後，加密hash生成消息認證碼；

1)差額

2)識別方法

A向遠端B發送帶有自己身份A和密碼的消息，用雙方約定的* * *對稱密鑰加密；

3)存在的問題

也許攻擊者在中間，偽裝成A，給B發送密碼，最後成功偽裝成A，得到A的重要數據；

4)總結

重要問題:公鑰的分發和公鑰的真實性。

密碼算法是公開的，網絡安全完全基於密鑰，所以密鑰管理非常重要。包括:

1)挑戰

①密鑰數量巨大:n個人相互通信，需要的密鑰數量為n(n-1)；

(2)安全通信:如何使通信雙方安全地獲得密鑰；

2)解決方案

密鑰分發中心:受公眾信任的機構，負責向需要秘密通信的用戶臨時分發壹個會話密鑰(壹次使用)；

3)處理過程

①用戶A向KDC蜜月配送中心發送明文，說明他想與用戶B溝通..

② KDC隨機生成壹個“壹次壹密”的會話密鑰KAB，然後用KA加密並發送給A密鑰KAB和賬單。

(3) B在收到A傳來的賬單，並根據自己的密鑰KB解密後，知道A想和他通信，知道會話密鑰KAB。

4)

該系統已廣泛應用於電子護照，是下壹代金融系統使用的加密系統。

移動通信帶來的廣泛應用對網絡提出了更高的要求。

量子計算機的到來將使目前使用的很多密碼技術失效，對後兩個字密碼的研究方興未艾。