本文详细阐述了网络安全服务的关键保障功能,包括可用性、机密性、完整性、不可否认性和可控性。介绍了可信计算机系统评估准则TCSEC,以及信息传输安全、网络攻击类型、对称加密与非对称加密技术,如DES、AES、RSA和ECC等,展示了加密技术在保护信息安全中的重要角色。
1.网络安全服务基本功能
网络安全服务应该提供以下基本保障。
(1)可用性:可用性是指,尽管存在可能的突发事件(例如停电、自然灾害、事故或攻击等)情况下,网络仍然可处于正常运转状态,用户可使用各种网络服务。
(2)机密性:机密性是指,保证网络中的数据不被非法截获或被非授权访问,保护敏感数据和涉及个入隐私信息的安全。
(3)完整性:完整性是指,保证数据在网络中传输、存储的完整,数据没有被修改、插入或删除。
(4)不可否认性:不可否认性是指,确认通信参与者的身份真实性,防止对已发送或已接收的信息否认现象的出现。
(5)可控性:可控性是指,能够控制与限定网络用户对主机系统、网络服务与网络信息资源的访问和使用,防止非授权用户读取、写入、删除数据。
2.可信计算机系统评估准则(TESEC)
美国国防部公布了《可信计算机系统评估准则》TCSEC,将计算机系统的安全可信度从低到高分为D、C、B、A 四类共七个级别:D 级,C1 级,C2 级,B1 级,B2 级,B3 级,A1 级。
(最小保护)D 级:该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何入只要启动系统就可以访问系统的资源和数据,如DOS,Windows 的低版本和DBASE 均是这一类(指不符合安全要求的系统,不能在多用户环境中处理敏感信息)。
(自主保护类)C1 级:具有自主访问控制机制、用户登录时需要进行身份鉴别。
(自主保护类)C2 级:具有审计和验证机制((对TCB)可信计算机基进行建立和维护操作,防止外部入员修改)。如多用户的UNIX 和ORACLE 等系统大多具有C 类的安全设施。
(强制安全保护类)B1 级:引入强制访问控制机制,能够对主体和客体的安全标记进行管理。
B2 级:具有形式化的安全模型,着重强凋实际评价的手段,能够对隐通道进行限制。(主要是对存储隐通道)
B3 级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通道。对时间
隐通道的限制。
A1 级:要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。(其安全功能,依次后面包含前面的)
3.信息传输安全
信息传输安全是指保证信息在网络传输过程中不被泄露、篡改与伪造。
①截获信息。信息从源结点开始传输,中途被攻击者非法截获,目的结点没有接收到该信息,因而造成信息在传输途中丢失。
②窃听信息。信息从源结点传输到目的结点,但是中途被攻击者非法窃听。
③篡改信息。信息从源结点传输到目的结点的途中被攻击者非法截获,攻击者修改信息或插入欺骗性的信息,并将篡改后的信息发送给目的结点。
④伪造信息。在这种情况下,源结点并没有信息要传送到目的结点。攻击者冒充源结点用户,将伪造的信息发送给目的结点。
4.网络攻击的分类
网络攻击可以有两种分类方法:主动攻击与被动攻击、服务攻击与非服务攻击。
4.1 主动攻击与被动攻击
被动攻击主要以收集信息为目的,信息的合法用户难以察觉这种活动,例如嗔探、漏洞扫描、信息收集等。主动攻击不但进入对方系统搜集信息,同时要进行破坏活动,例如拒绝服务、信息算改、窃取信息、欺骗攻击等。无论是主动攻击还是被动攻击,后果的严重程度有所区别,但是都是属于非法入侵的行为。
4.2 服务攻击与非服务攻击
服务攻击是指攻击者对E-mail、FTP、Web 或DNS 服务器发起攻击,造成服务器工作不正常,甚至造成服务器瘫痪。非服务攻击不针对某项具体应用服务,而是针对网络设备或通信线路。攻击者可能使用各种方法对网络设备(例如路由器、交换机、网关、防火墙等)与通信线路发起攻击,使得网络设备出现严重阻塞甚至瘫痪,或者造成线路阻塞,最终使网络通信中断。
5.DDoS 攻击的特征
主要有以下几点:①被攻击主机上可能有大量等待应答的TCP 连接。②网络中充斥着大量的无用数据包,并且数据包的源地址是伪造的。③大量无用数据包造成网络拥塞,使得网络工作不正常,甚至瘫痪。④被攻击主机可能在攻击发起之后的短短几秒钟后就处于瘫痪状态。⑤攻击服务器与傀儡机都是在不知情的情况下参与攻击行动,而真正的攻击者早已消失。
6.对称加密与非对称加密
常用的加密技术可以分为两类:对称加密(Symmetric Cryptography)与非对称加密(Asymmetric Cryptography)。在传统的对称密码系统中,加密用的密钥与解密用的密钥相同,密钥在通信中需要严格保密。在非对称加密系统中,加密用的公钥与解密用的私钥不同,加密用的公钥可以向大家公开,而解密用的私钥需要保密。
7.典型的对称加密算法
7.1 数据加密标准
数据加密标准(Data Encryption Standard,DES)是最典型的对称加密算法,它是由IBM 公同提出、经ISO认定的国际标准。
7.2 DES
DES 是一种典型的分组密码,它将数据分解成固定大小的分组,以分组为单位进行加密或解密。DES 每次处理一个64 位的明文分组,并且每次生成一个64 位的密文分组。DES 算法采用64 位密钥长度,其中8 位用于奇偶校验,用户可使用其余的56 位。
7.3 三重DES
三重DES(triple DES,3DES)是针对DES 安全问题的改进方案。
7.4 高级加密标准
高级加密标准(Advanced Encryption Standard,AES)是后来出现的一种对称加密算法。AES 将数据分解成固定大小的分组,以分组为单位进行加密或解密。AES 的主要参数是:分组长度、密钥长度与计算轮数。分组长度与密钥长度可以是32 位的整数倍,范围是128〜256位。AES规定分组长度为 128位,密钥长度可以为128、192或256位,根据密钥长度分别称为:AES-128、AES-192或AES-256。
7.5 其他对称加密算法
主要包括IDEA、Blowfish、RC2、RC4、RC5、CAST 等。
8.公钥密码基本特征
公钥密码的基本特征是加密密钥与解密密钥不同,并且无法由加密密钥推导出解密密钥。公钥密码技术提供了两个密钥:公钥与私钥。其中,公钥是可以公开的密钥;私钥是需要严格保密的密钥。公钥密码技术使用的加密与解密算法公开。公钥密码的加密与解密算法是基于数学函数,而不是像对称密码那样地基于位模式的简单操作。公钥密码的出现对保密性、密钥分发与认证等都有深远的影响。
9.公钥密码的应用领域
| 公钥密码技术 | 主要应用领域 |
| RSA | 数据加密、数字签名与密钥交换 |
| EGG | 数据加密、数字签名与密钥交换 |
| DSS | 数字签名 |
| ElGamal | 数字签名 |
| Diffie-Heilman | 密钥交换 |
10.典型的非对称加密算法
10.1 RSA
1977年,Ron Rivest、Adi Shamir与Leonard Adleman 设计了一种加密算法,并用3 人的姓氏首字母命名该算法。RSA 的理论基础是寻找大素数相对容易,而分解两个大素数的积在计算上不可行。RSA 算法的安全性建立在大素数分解极其困难的基础上。
10.2 椭圆曲线密码(ECC)
1985 年,椭圆曲线密码由Neal Koblitz 和Victor Miller 分别提出;其安全性建立在求解椭圆曲线离散对数的困难性上。在同等密钥长度的情况下,ECC 算法的安全性要远高于RSA 算法等。
10.3 其他非对称加密算法
主要包括DSS、ElGamal 与Diffie-Hellman 等。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
