第十四讲:网络安全
网络安全概述
网络安全五大要素
保密:避免非授权泄露,保障数据来源可靠
完整:阻止对数据进行非授权篡改
可用:数据可访问,无延迟
可控:控制数据传播范围和方式
可审查:对出现的网络安全问题提供调查依据和手段
网络安全类型
系统安全、网络安全、信息传播安全、信息内容安全
密码技术
将数据变为乱码传送,到达目的地后再用相同或不同手段还原/解密
加密类型包括哈希、对称密钥加密、非对称密钥加密
对称加密
经典算法:DES、3DES、AES
优点是加解密速度快
问题是密钥管理量大、密钥传输信道安全性要求更高、存在数字签名问题(无法进行完整性检验)
DES
56位key+64位data,明文按64位分组,通过子密钥(由初始密钥做16次移位变换)进行16次乘积变换,通过最终排列得到64位密文,解密运算与加密运算的区别仅在于密钥使用顺序是反序
非对称加密
经典算法:RSA、ElGamal、ECC
解决密钥分配和数字签名两个问题
优点是加解密分离,私钥不能由公钥推导;多用户加密的消息只能由一个用户解读(保密通信);只能由一个用户加密而使多个用户可以解读(数字签名);不需事先分配密钥,密钥持有量大幅减少
缺点是加解密速度慢
RSA
基于大数质因子分解难问题
数字签名
接收方能够验证发送方身份、发送方不能否认、接收方不能伪造
单向校验和
适用于必须身份验证而不必须保密的场景,不需要对整个报文加密的身份验证模式
对消息计算校验和,然后用私钥加密,并和原消息一起传送,接收方对消息m计算校验和,用公钥解密那个校验码后,进行对比
报文鉴别和报文摘要
报文鉴别:使通信双方能够验证所收到报文的真伪,用密钥生成一个小的数据块附加在报文后面
报文摘要:报文鉴别码的一个变种,将可变长度的报文哈希到固定长度,称为报文摘要
网络攻击
主动攻击
导致数据流的篡改和虚假数据流的产生,分为篡改、伪造消息数据和终端、拒绝服务
篡改
合法消息的某些部分被改变、删除、延迟或改变顺序,用于产生一个未授权的效果
伪造
某个实体发出含有其他实体身份信息的数据信息,假扮成其他实体,以欺骗方式获取一些合法用户的权利和特权
拒绝服务
对整个网络实施破坏,以达到降低性能、中断服务的目的
被动攻击
在未经用户同意情况下获取信息,不对数据做任何修改,分为窃听、流量分析、破解弱加密数据流等
流量分析
截获用户与外界通信的流量数据并对其进行分析,尝试获取通信双方位置、通信次数、消息长度、相关敏感信息等
窃听
主机在混杂模式下可以收到局域网内传送的所有信息,以供进一步分析
口令入侵
使用合法用户的账号和口令入侵目的主机,前提是有合法账号
特洛伊木马
web欺骗
网络监听
安全漏洞
DOS攻击
移动互联网安全
没啥好写的
未来互联网安全
WEP的目标:接入控制、加密
IPV6的安全相关载荷
提供了两个安全载荷描述:AH和ESP
AH是身份验证头,提供身份验证,使接收方相信源地址通过了身份验证处理且消息在传输过程中未被篡改(完整性、认证)
ESP是加密安全载荷,除完整性、认证外还实现了加密
NDN(命名数据网络)和XIA(可演进、可信互联网)的安全问题
NDN
自验证命名规则,把密文摘要和内容发布者的key加入到内容命名中,保证数据的完整性和可溯源;减少中间跳数,降低安全风险
XIA
内嵌安全标识,保证通信的安全可靠性