網路資訊傳輸的安全機制
阿新 • • 發佈:2019-02-01
在不安全的通道上傳輸資訊,會有哪些安全威脅:
- 試圖顛覆已有過程來執行其他不應該執行的程式碼,比如蠕蟲,利用緩衝區溢位的漏洞改寫伺服器程式碼來執行注入的蠕蟲程式碼;
- 試圖獲得使用者許可權來執行惡意程式 ;
- 採用未經授權的方法使用相容的網路協議。
在不可控的網路中會出現各種可能的攻擊,有如下分類:
- 主動攻擊【較難被防禦】:篡改資訊(破壞完整性),拒絕服務(破壞可用性)
- 被動攻擊【較難被發現】:監視或竊聽(破壞機密性)
網際網路通訊協議(IP、TCP、電子郵件、DNS等)通過安全擴充套件或者附加協議的方式來增強其安全性的,首先理解安全的定義。
資訊保安需要滿足如下條件:
- 機密性
- 完整性
- 可用性
- 可認證性
- 不可抵賴性
- 可審計性
加密機制可以滿足在不安全通道傳輸資訊的安全性。下面舉例說明兩個重要的加密機制:
對稱金鑰
非對稱(公開)金鑰
那麼這兩種機制是如何滿足安全條件的呢:
- 機密性:如果不知道對稱金鑰或私鑰,無法獲得正確的明文
- 可認證性:
對稱金鑰系統中,只有擁有金鑰的一方生成的密文才能夠被解密為正確的明文, 該明文有特定的協商值,匹配成功說明對方擁有正確的金鑰;
非對稱金鑰系統中,傳送方首先用自己的私鑰對資訊進行加密【數字簽名】,然後再用接收方的公鑰進行加密,因此只能由該公鑰對應的接收方解密,然後再用傳送方的公鑰進行解密,因此可驗證該訊息為對應的傳送者傳送,達到了可認證性。 - 完整性:完整性的保障功能較弱,因此多數情況會和許多校驗及計算方法一起使用。
對稱密碼演算法通常分為兩類:
- 分組密碼:每次只對固定長度的位元塊進行加密,比如 DES;
- 流密碼:將提供的大量位元作為輸入並可連續執行,從而加密。
問題記錄:
- 為啥可以反向使用非對稱金鑰?
- 反向使用非對稱金鑰如何證明發送者的簽名是正確的?(所有人都可以用自己的私鑰簽名)