计算机网络安全详解
上海* * *享受互联网。
互联网起源于1969年的ARPANet,最初用于军事目的,1993年开始用于商业应用,进入快速发展阶段。迄今为止,互联网已覆盖175个国家和地区的数千万台电脑,用户超过1亿。随着计算机网络的普及,计算机网络的应用正在向深度和广度发展。通过企业、政府、学校上网和购物,一个网络化社会的雏形已经出现在我们面前。网络在给人们带来巨大便利的同时,也带来了一些不容忽视的问题,网络信息的安全保密就是其中之一。上海* * *享受互联网。
上海* * *享受互联网。
一、网络信息安全的含义上海享有网络。
网络信息既包括存储在网络节点中的信息资源,即静态信息,也包括在网络节点之间传播的信息,即动态信息。这些静态信息和动态信息有些是开放的,比如广告、公共信息等。,还有一些是机密,比如私人通信、政府和军事部门、商业机密等。网络信息安全一般指网络信息的保密性、完整性、可用性和真实性。网络信息的保密性是指网络信息的内容不会被未经授权的第三方所知晓。网络信息的完整性是指信息在存储或传输过程中不会被修改或破坏,不会出现丢包或乱序的情况,即不能被未经授权的第三方修改。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。目前运行在互联网上的协议(如TCP/IP)可以在包级别保证信息的完整性,即包在传输过程中不丢失或重复接收,但无法阻止未经授权的第三方对包内部的修改。网络信息的可用性包括静态信息的可用性和可操作性以及动态信息内容的可见性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者身份的确认。上海* * *享受互联网。
不久前,美国计算机安全专家提出了一个新的安全框架,包括:机密性、完整性、可用性、真实性、实用性、占有性,即在原有的基础上,实用性、占有性,认为这可以解释各种网络安全问题:网络信息的实用性是指信息的加密密钥不能丢失(不能泄露),丢失密钥的信息将失去实用性,成为垃圾。占有网络信息是指窃取存储信息的节点、磁盘等信息载体,导致丧失对信息的占有权利。保护信息所有权的方法包括使用版权、专利和商业秘密,以及提供物理和逻辑访问限制;维护和检查被盗文件的审计记录,使用标签等。上海* * *享受互联网。
上海* * *享受互联网。
2.互联网安全攻击的类型上海享受互联网。
互联网上的攻击包括静态数据攻击和动态数据攻击。对静态数据的攻击主要有:上海* * *享受互联网。
密码猜测:穷尽搜索密码空间,逐一测试,得到密码,然后非法入侵系统。上海* * *享受互联网。
IP地址欺骗:攻击者在外部位置发送伪装成来自内部主机的数据包。这些数据包包含内部系统的源IP地址,冒充他人并窃取信息。上海* * *享受互联网。
指定路由:发送方为数据包指定到达目的站点的路由,该路由经过精心设计,可以绕过具有安全控制的路由。上海* * *享受互联网。
根据对动态信息攻击的不同形式,攻击可以分为主动攻击和被动攻击。上海* * *享受互联网。
被动攻击主要是指攻击者监听网络上传输的信息流,从而获取信息的内容(拦截),或者只是想获取信息流长度、传输频率等数据,这种攻击称为流量分析。被动攻击和窃听示意图如图1和图2:上海享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
除了被动攻击,攻击者还可以使用主动攻击。主动攻击是指攻击者通过有选择地修改、删除、延迟、乱序、复制和插入数据流或数据流的一部分来达到非法目的。主动攻击可以概括为中断、篡改和伪造(见图3)。中断是指阻断信息从发送方到接收方的流动,使接收方无法获取信息,是对信息可用性的攻击(如图4)。篡改是指攻击者修改和破坏从发送方到接收方的信息流,使接收方得到错误的信息,从而破坏信息的完整性(如图5)。伪造是对信息真实性的攻击。攻击者要么先记录下发送者和接收者之间的一段信息流,然后在适当的时候将信息回放给接收者或发送者,要么完全伪造一段信息流,作为可信的第三方发送给接收者。(如图6)在上海享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
上海* * *享受互联网。
三个。网络安全机制应具备的功能。
由于上述威胁的存在,有必要采取措施保护网络信息,以最大限度地减少攻击的威胁。一个网络安全系统应该具备以下功能:上海享受互联网。
1.身份识别:身份识别是一个安全系统应该具备的最基本的功能。这是验证通信双方身份的有效手段。当用户从他们的系统请求服务时,他们应该显示他们自己的身份,例如输入用户ID和密码。系统应具备检查用户身份证书的能力,对于用户的输入,能明确判断输入是否来自合法用户。上海* * *享受互联网。
2.访问控制:其基本任务是防止非法用户进入系统,防止合法用户非法使用系统资源。在一个开放的系统中,对于网上资源的使用要制定一些规则:一是定义哪些用户可以访问哪些资源,二是定义哪些用户可以访问的读、写、操作权限。上海* * *享受互联网。
3.数字签名(Digital signature):即通过某种机制,如RSA公钥加密算法,信息接收方可以做出“信息来自于某个数据源,并且只能来自于那个数据源”的判断。上海* * *享受互联网。
4.保护数据完整性:我们可以通过一定的机制发现信息是否被非法修改过,比如添加消息摘要,防止用户或主机被虚假信息欺骗。上海* * *享受互联网。
5.审计跟踪(Audit trail):通过记录日志和统计一些相关信息,系统可以在出现安全问题时追溯原因。上海* * *享受互联网。
密钥管理:信息加密是确保信息安全的重要方式。通过在相对安全的信道中以密文的形式传输信息,用户可以放心地使用网络。如果密钥泄露或者别有用心者通过积累大量密文来增加破译密文的机会,就会对通信安全造成威胁。因此,有效地控制密钥的产生、存储、传输和定期更换,引入密钥管理机制以增加网络的安全性和抗攻击性也是非常重要的。上海* * *享受互联网。
上海* * *享受互联网。
四个。网络信息安全常用技术上海* * *畅享网络
通常,保证网络信息安全的方法有两种:基于防火墙技术的被动防御和基于数据加密和用户授权确认机制的开放式网络安全技术。上海* * *享受互联网。
1.防火墙技术:“防火墙”的安全技术主要是保护企业内部网络或连接到互联网的单个节点。简单实用,透明性高,不需要修改原有网络应用系统就能满足一定的安全需求。防火墙一方面通过对内网流出的IP包进行检查、分析和过滤,尽可能地从外网中筛选出被保护网络或节点的信息和结构,另一方面在内部从外网中筛选出一些危险的地址来保护内网。上海* * *享受互联网。
2.数据加密和用户授权访问控制技术:与防火墙相比,数据加密和用户授权访问控制技术更加灵活,更适用于开放网络。用户授权访问控制主要用于保护静态信息,需要系统级支持,一般在操作系统中实现。数据加密主要用于保护动态信息。如前所述,对动态数据的攻击可以分为主动攻击和被动攻击。我们注意到主动攻击可以被有效地检测到,尽管它们是不可避免的。对于被动攻击,虽然检测不到,但是可以避免,而这一切的基础就是数据加密。数据加密本质上是一种转换算法,用于移动和替换基于符号的数据。这种转换由一串称为密钥的符号控制。在传统的加密算法中,加密密钥和解密密钥是相同的,或者可以从其中一个推断出另一个,这种算法称为对称密钥算法。这样的密钥必须保密,并且只能被授权用户知道,授权用户可以用这个密钥加密信息或解密信息。DES(数据加密标准)是最具代表性的对称加密算法。由IBM的W.tuchman和C.meyer从1971到1972开发成功,并于1977年5月被美国国家标准局作为数据加密标准发布。DES可以加密任意长度的数据,密钥长度为64位,实际可用的密钥长度为56位。加密时,先将数据分成64位数据块,采用ECB(电子码本)、CBC(Ciper块链接)、CFB(Ciper块反馈)等模式中的一种,每次将输入的64位明文转换成64位密文。最后,将所有输出数据块合并,实现数据加密。如果加密和解密过程有不相关的密钥组成一个加密和解密密钥对,这种加密算法称为非对称加密算法或公钥加密算法,对应的加密和解密密钥分别称为公钥和私钥。在公钥加密算法下,公钥是公开的,任何人都可以用公钥加密信息,然后将密文发送给私钥的所有者。私钥是保密的,用于解密由收到的公钥加密的信息。典型的公钥加密算法如RSA(罗纳德·里弗斯特,阿迪·萨莫尔,伦纳德·阿德曼)目前被广泛使用。该算法用于互联网上的数据安全传输,如网景导航器和微软Internet Explorer。RSA算法是基于大数因式分解的复杂性。简单来说,首先选择两个素数P和Q,一般要求两个数都大于100的幂,然后计算n=p*q,z=(p-1)*(q-1),选择一个和。RSA的保密性在于分解N的难度,如果N分解成功,就可以推断出(d,z),没有任何保密性可言。上海* * *享受互联网。
借助信息加密手段,我们可以对动态信息采取保护措施。为了防止信息内容的泄露,我们可以对传输的信息进行加密,以密文的形式在网络上传输。这样,即使攻击者截获了信息,也只是密文,无法知道信息的内容。为了检测到攻击者篡改了消息内容,可以采用认证的方法,即要么对整个消息进行加密,要么通过一些消息认证函数(MAC函数)生成一个消息认证码,然后对消息认证码进行加密,随消息一起发送。攻击者对信息的修改会导致信息与消息认证码不一致,从而达到检测消息完整性的目的。为了检测攻击者的伪造信息,可以在信息中加入加密的消息认证码和时间戳,这样如果攻击者发送自己生成的信息,就不会生成相应的消息认证码,如果攻击者重放之前的合法信息,接收者可以通过检查时间戳来识别。上海* * *享受互联网。
上海* * *享受互联网。
五个。网络信息安全展望上海享受网络。
随着网络的发展和技术的进步,网络安全面临的挑战也越来越多。一方面是网络上层出不穷的攻击:1996报告攻击400起,1997报告攻击1000起,1998报告攻击4000起,两年增长十倍。攻击的增加意味着对网络威胁的增加;随着硬件技术和并行技术的发展,计算机的计算能力迅速提高,原本认为安全的加密方法可能失效。比如1994年4月26日,人们用计算机破译了RSA发明者17年前提出的一个数学难题:一个129位数中包含的一个秘密字,问题提出时预测计算机需要850万年才能分解成功;针对安全通信措施的攻击也不断取得进展。比如1990年6月20日,美国科学家发现了一种155的大数因子分解方法,使得“美国加密系统受到威胁”。另一方面,随着网络应用范围的不断扩大,人们对网络的依赖性增加,对网络的破坏会造成比以往更大的损失和混乱。这些对网络信息安全保护提出了更高的要求,也使得网络信息安全学科的地位更加重要。网络信息安全必然会随着网络应用的发展而发展。上海* * *享受互联网。