当前课程知识点:计算机网络 > 第六章 应用层 > 6.6 计算机网络面临的安全性威胁 > 计算机网络面临的安全性威胁
这节课我们来学习
计算机网络面临的安全威胁
计算机网络上的通信
面临以下两大类威胁
一 被动攻击
主要是截获
二 主动攻击
主要有
篡改
恶意程序
拒绝服务
包括分布式拒绝服务
对网络的被动攻击
指攻击者从网络上窃听他人的通信内容
通常把这类攻击称为截获
在被动攻击中
攻击者只是观察和分析
某一个协议数据单元 PDU
以便了解所交换的数据的某种性质
但不干扰信息流
这种被动攻击又称为流量分析
对网络的主动攻击有
篡改
故意篡改网络上传送的报文
这种攻击方式有时也称为
更改报文流
伪造 恶意程序
种类繁多
对网络安全威胁较大的主要包括
计算机病毒
计算机蠕虫
特洛伊木马
逻辑炸弹
后门入侵
流氓软件等等
拒绝服务
指攻击者向互联网上的某个服务器
不停地发送大量分组
使该服务器无法提供正常服务
甚至完全瘫痪
计算机网络通信安全的目标是什么
根据主动攻击和被动攻击的特点
计算机网络通信安全的需求如下
防止析出报文内容和流量分析
防止伪造或恶意程序
检测更改报文流和拒绝服务
对于被动攻击
由于检测不出来的
对付被动攻击
可采用各种数据加密技术
对于主动攻击
可以采取适当措施加以检测
对付主动攻击则需要
将加密技术与适当的鉴别技术相结合
一个安全的计算机网络应达到四个目标
1 保密性
保密是网络安全通信的最基本的内容
也是对付被动攻击必须具备的功能
为了使网络具有保密性
需要使用各种密码技术
只有信息的发送方和接收方
才能懂得所发送信息的内容
2 端点鉴别
鉴别信息的发送方和接收方的真实身份
3 信息的完整性
信息的内容未被篡改过
在应对主动攻击中是必不可少的
信息的完整性
与端点鉴别往往是不可分割的
在谈到“鉴别”时
也同时包含了
端点鉴别和报文完整性
也就是报文鉴别
4 运行的安全性
系统能正常运行并提供服务
访问控制
对计算机系统的安全性是非常重要的
必须对访问网络的权限加以控制
并规定每个用户的访问权限
上述计算机网络安全的内容
都与密码技术紧密相关
比如在保密通信中
要用加密算法来对消息进行加密
以对抗可能的窃听
安全协议中的一个重要内容
就是要论证协议所采取的加密算法的强度
在访问控制系统的设计中
也要用到加密技术
一般的数据加密模型如图所示
用户A向B发送明文X
通过加密算法E运算后
就得出密文Y
图中加密和解密用的密钥K
是一串秘密的字符串
在传送过程中可能出现密文的截取者
接收端利用解密算法D运算
和解密密钥K解出明文X
解密算法是加密算法的逆运算
在进行解密运算时
如果不使用事先约定好的密钥
就无法解出明文
我们假定
加密密钥和解密密钥是一样的
但实际上它们可以不一样
即使不一样
这两个密钥也必然有某种相关性
密钥通常是由密钥中心提供
当密钥需要向远地传送时
一定要通过另一个安全信道
这里有几个重要概念
密码编码学
是密码体制的设计学
而密码分析学
则是在未知密钥的情况下
从密文推演出明文或密钥的技术
密码编码学与密码分析学合起来即为密码学
如果不论截取者获得了多少密文
但在密文中都没有足够的信息
来唯一地确定出对应的明文
则这一密码体制称为无条件安全的
或称为理论上是不可破解的
如果密码体制中的密码
不能被可使用的计算资源破译
则这一密码体制称为在计算上是安全的
对称密钥密码体制
也就是常规密钥密码体制
也就是说
加密密钥与解密密钥是相同的密码体制
这种加密系统又称为对称密钥系统
书信或文件是根据亲笔签字或印章
来证明其真实性
但在计算机网络中传送的文电又如何盖章呢
这就要使用数字签名
数字签名必须保证以下三点
(1) 报文鉴别
接收者能够核实发送者对报文的签名
(2) 报文的完整性
也就是说
发送者事后不能抵赖对报文的签名
(3) 不可否认
接收者不能伪造对报文的签名
现在已有多种实现各种数字签名的方法
但采用公钥算法更容易实现
在网络的应用中
鉴别是网络安全中一个很重要的问题
鉴别是要验证通信的对方
的确是自己所要通信的对象
而不是其他的冒充者
鉴别分为两种
一种是报文鉴别
即所收到的报文
的确是报文的发送方所发送的
而不是其他人伪造的或篡改的
另一种是实体鉴别
实体可以是一个人
也可以是一个进程
客户或服务器
鉴别
在信息的安全领域中
对付被动攻击的重要措施是加密
而对付主动攻击中的篡改或伪造
则要用鉴别
报文鉴别使得通信的接收方
能够验证所收到的报文
也就是发送者和报文内容
发送时间 序列等等的真伪
使用加密就可达到报文鉴别的目的
但在网络的应用中
许多报文并不需要加密
应该使接收方能用很简单的方法
鉴别报文的真伪
如采用报文摘要
-1.1 计算机网络的发展历程及其在信息时代中的作用
-1.2 互联网的组成
--互联网的组成
-1.3 电路交换和分组交换
-1.4 计算机网络的性能
--计算机网络的性能
-1.5 计算机网络体系结构和层次划分
-第一章
-2.1 数据通信系统模型
--数据通信系统模型
-2.2 导向型传输媒体
--导向型传输媒体
-2.3 光导纤维
--光导纤维
-2.4 非导向型传输媒体
--非导向型传输媒体
-2.5 信道的极限容量
--信道的极限容量
-2.6 信道复用技术
--信道复用技术
-2.7 ADSL
--ADSL
-第二章
-3.1 数据链路层的三个基本问题
-3.2 CSMA/CD协议
-3.3 虚拟局域网
--虚拟局域网
-3.4 扩展的以太网
--扩展的以太网
-3.5 高速以太网
--高速以太网
-第三章
-4.1 分类的IP地址-划分子网
-4.2 无分类编址-构造超网
-4.3 ICMP协议
--ICMP协议
-4.4 路由器结构
--路由器结构
-4.5 RIP协议
--RIP协议
-4.6 IP多播
--IP多播
-第四章
-5.1 用户数据报协议UDP
-5.2 TCP报文段首部格式
-5.3 可靠传输工作原理
--可靠传输工作原理
-5.4 字节为单位的滑动窗口实现
-第五章
-6.1 网络应用层
--网络应用层
-6.2 DNS
--DNS
-6.3 FTP
--FTP
-6.4 HTTP
--HTTP
-6.5 P2P
--P2P
-6.6 计算机网络面临的安全性威胁
-6.7 防火墙
--防火墙
--第六章
-7.1 交换机基本配置
--交换机基本配置
-7.2 路由器基本配置
--路由器基本配置
-7.3 交换机端口隔离
--交换机端口隔离
-7.4 跨交换机实现相同VLAN通信
-7.5 动态路由
--动态路由
-7.6 静态路由
--静态路由
