计算机科学与导论 第十六章 安全

文章预览：

• 16.1引言

• * 16.1.1 安全目标
  

  • 16.1.2 攻击
• 16.2机密性

• * 16.2.1 对称密钥密码术
  

  • 16.2.2 非对称密钥密码术

16.1引言

为了安全，信息需要避开未授权的使用(机密性),保护信息不受到未授权的篡改(完整性)，并且对于得到授权的实体来说是需要时可用的（可用性）。

16.1.1 安全目标

1.机密性

机密性也许是信息安全中最通常的方面。我们需要保护机器的机密信息，需要一个组织来看护这些信息，以防那些危机信息机密性的恶意行为。
2.完整性
信息需要不停地变化，在一个银行中，当一个客户取钱或存钱时，他的账户余额需要改变。完整性的意思是变化只应该由授权的实体通过授权机制来完成。
3.可用性
得到授权的实体来说是需要时可用的

16.1.2 攻击

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/9fad9b58987a4b26b877ce555489d2f5.jpeg#pic_center)
三个安全目标会受到安全攻击的威胁，这里我们分为三类。
1.威胁机密性的攻击
通常由俩种攻击威胁到信息的机密性:嗅探和流量分析 。
（1） 嗅探
嗅探是对数据的非授权访问或侦听。一个通过因特网传输的文件可能含有机密的信息。一个非授权的实体可能侦听到传输，并为了自己的利益使用其中的内容。
(2)流量分析
虽然通过加密技术使得数据对侦听者来说难以理解，但他们仍然可以通过在线流量监控收集其他类型的信息。例如能找到发送者或接收者的电子地址（如电子邮件），收集多对请求
和响应，帮助猜测交易的本质。
2.威胁完整性的攻击
数据的完整性会受到多种攻击的威胁:篡改，假冒，重放和抵赖 。
(1)篡改
倾听或访问信息后，攻击者篡改信息，使得信息有利于他们。例如，一个可能向银行发送一消息去完成一些交易。攻击者倾听到了信息，并未自己的利益篡改了交易的类型。
(2)假冒
当攻击者冒充其他人时，假冒或哄骗就发生了。例如，一个攻击者可能盗取银行卡和银行客户的PIN而假装是这个客户。
(3)重放
重放是另一种类型的攻击。攻击者得到用户发送的消息副本，过后设法重放它。例如一个客户向他的银行发送一条给攻击者付款的请求，攻击者侦听到这个消息，再次发送这条消息，想从银行得到另一次付款。
(4)抵赖
抵赖是一种不同于其他类型的攻击，因为它是由通信双方中的一个来进行:发送者或接收者。消息的发送者后来可能抵赖他发送消息；消息的接收者后来也可能抵赖他接受到消息。

3.威胁可用性的攻击
拒绝服务

拒绝服务(dos)攻击时非常常见的，它可能减慢或完全中断系统的服务。他们可能通过发送大量虚假请求是的系统非常忙碌而崩溃。

16.2机密性

机密性可以通过使用密码达到，密码术可以分成俩大类:对称密钥密码术和非对称密钥密码术。

16.2.1 对称密钥密码术

对称密钥密码术使用了同一个密钥进行加密和解密，并且这个密钥可以用来进行双向通信，这就是为什么它被称为是对称的。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/206e699b8b47497cb0c21e2e4ae08dd5.jpeg#pic_center)

Alice 通过一个不安全的通道向Bob发送一则消息，假设一个敌手Eve在通道上简单偷听，但她不能理解消息的内容。

为了从密文创建明文，Bob使用了一个解密算法和一个相同的密钥。我们把加密和解密算法称为密码。密钥是密码操作中的一组数字。
注意，对称密钥加密对加密和解密使用同一个密钥.此外加密算法和解密算法是互逆的，俩俩会抵消。需要强调的是，最好把加密和解密算法公开但是共享密钥保密

加法密钥是典型的对称加密，在加法密码中，明文和密文和密钥都是模26中的整数。
例 使用密钥为15的加法密码加密消息"hello"
明文h ->7 加密: (07+15)mod 26 密文:22->w
以下类似

解密的时候减15如果不够减先加一个26 但是也要对26取模
对称密钥加密例子 ：凯撒密码(密钥为3的加法密码)

16.2.2 非对称密钥密码术

对称密钥密码术基于共享保密；非对称密钥密码术基于个人保密。
安全性在加密以外还有其他方面需要非对称密钥密码术，这些方面包括身份验证和数字签名。
与对称密钥密码术基于符号的替换和排列不同，非对称密钥密码术基于数学函数在数字上的应用。
在对称密钥密码中，明文和密文被看做符号的组合，加密和解密是对这些符号的排列或替换。在非对称密钥密码术中，明文和密文都是数字，加密和解密的过程是对数字应用数学函数并创造其他数字的过程。
在非对称密钥密码术中使用俩个分开的密钥:私钥和公钥。如果把加密和解密想象成是带有钥匙的挂锁的锁上和打开，那么公钥上的挂锁只能被相应的私钥打开。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/4b14e446a82b407fb1969469290b0a1d.jpeg#pic_center)
1.主要思想
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/abc2f579d91f4bc7829c71049bc92c41.jpeg#pic_center)
首先，它强调了密码系统的非对称性。提供安全的重担落在接受者的肩上，这里是Bob。Bob需要创建俩个密钥：一个私钥和一个公钥。他有义务把公钥发给团体。这可以通过公钥分发通道来完成。虽然此通道不需要保证安全，但它必须提供身份验证和数据完整性。

其次 ，非对称密钥密码术意味着Bob和
Alice在双向通信中不能使用同一组密钥。在通信的每个个体应该创建自己的私钥和公钥。上图显示了Alice使用了Bob的公钥发送加密信息给Bob。如果Bob需要回应，那么Alice就需要建立自己的公钥和密钥。

再次，非对称密钥密码术意味着Bob只需要一个私钥就能从团体中的任何人那里接受信息。但Alice需要n个公钥与团体的n个人进行通信，一个人一个公钥。总之Alice需要一个公钥环。
非对称密钥密码术通常用来加密和解密小段信息。
对称密钥密码术仍然用于对较长消息的加密
身份验证，数字签名和秘密密钥交换仍然用到非对称密钥密码术

2.RSA密码系统
虽然RSA可以用于对实际消息进行加密和解密，但如果消息很长加密的速度会很慢。因此RSA加密适用于短消息。RSA特定用于数字签名以及其他不需要使用对称密钥来对较短信息进行加密的密码。RSA也适用于身份验证。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！