網路安全的幾個知識點

  隨著計算機的普及，它的安全問題也越來越受到所有人的重視。電腦保安既包括硬體、軟體和技術，又包括安全規劃、安全管理和安全監督。計算機系統的安全主要包括網路安全，作業系統安全和資料庫安全三個方面。最近學習了一些網路安全的知識，因為不是很明白，所以就做個筆記。

    一．基本概念

網路的安全是指通過採用各種技術和管理措施，使網路

系統正常執行，從而確保網路資料的可用性、完整性和保密性。

  1. 現在計算機網路上的通訊面臨以下幾種威脅：

（1）.截獲攻擊者從網路上“偷聽”他人的通訊內容（被動攻擊）

（2）.中斷攻擊者有意中斷他人在網路上的通訊  （主動攻擊）

（

（4）.偽造攻擊者偽造資訊在網路上傳送  （主動攻擊） 

  在被動攻擊中，攻擊者只是觀察和分析某一個協議資料單元而不干擾資訊流。攻擊者通過觀察協議資料單元的協議控制資訊部分，連線正在通訊的協議實體的地址和身份，並且研究資料單元的長度和傳輸的頻度，以便了解所交換的資料的某種性質。所以這種攻擊又稱為流量分析。

  主動攻擊是指攻擊者對某個連線中通過的資料單元進行各種處理。（比如更改，刪除，延遲，複製。。。）

  2. 網路的安全主要有以下基本要素

保密性： 資訊不洩露給非授權使用者、實體或過程，或供其利用的特性。

　　  完整性：資料未經授權不能進行改變的特性。即資訊在儲存或傳輸過程中保持不被修改、不被破壞和丟失的特性。

　　 可用性：可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的資訊。例如網路環境下拒絕服務、破壞網路和有關係統的正常執行等都屬於對可用性的攻擊；

　　 可控性：對資訊的傳播及內容具有控制能力。

       可審查性：出現的安全問題時提供依據與手段。

安全應用由一些安全服務來實現，而安全服務又是由各種安全機制或安全技術實現的。當然同一安全機制有時也可以用於實現不同的安全服務。

 1.安全服務主要有：

認證，包括實體認證與資料來源認證；

資料保密性，包括連線機密性，無連線機密性，選擇域機密性與業務流機密性；

資料完整性，包括又恢復連線完整性，無恢復連線完整性，選擇域連線完整性，無連線完整性與選擇域無連線完整性；

抗抵賴性，包括有源端證據的抗抵賴性與有交付證據的抗抵賴性；

訪問控制。

2.安全機制主要有：

加密機制，存在加密機制意味著存在金鑰管理機制

數字簽名機制；

訪問控制機制；

資料完整性機制；

認證機制；

通訊業務填充機制；

路由控制機制；

公證機制

   二. 兩類密碼體制

 通常我們所能想到的安全保密手段就是對資料進行加密。

加密演算法主要達到以下四點目的：

（1）提供高質量的資料保護，防止資料未經授權的洩露和為被察覺的修改；

（2）應具有相當高的複雜性，使得破譯的開銷超過可能獲得的利益，同時又要便於理解和掌握；

（3）密碼體制的安全性應該不依賴於演算法的保密，其安全性僅以加密金鑰的保密為基礎；

（4）實現經濟，執行有效，並且適應於多種完全不同的應用。

要注意的是，任何加密方法的安全性取決於金鑰的長度，以及攻破密文所需的計算量，而不是簡單的取決於加密體制。

1.對稱密碼體制

加密和解密採用相同的金鑰，而且加密速度快，通常用來加密大批量的資料。典型的加密演算法有FEAL(日本)，IDEA(瑞士)，DES(美國)。

DES加密演算法

DES主要採用替換和移位的方法加密。它用56為金鑰對64位二進位制資料塊進行加密，每次加密可對64位的輸入資料進行16輪編碼，經一系列替換和移位後，得到的是與原資料完全不同的資料。當是DES的保密性僅取決於對金鑰的保密，而演算法是公開的。因為它的金鑰的位數比較大，所以金鑰可能有2⁵⁶種可能，使得破譯的時間太長，代價太大！現在已經設計出來搜尋DES金鑰的專用晶片了，但這是將時間的代價轉移到高科技的機器，通常這樣的機器價格也是相當高的。

在DES的基礎上採用三重DES，意思就是使用兩個56位的金鑰K1和K2，傳送方K1加密，K2解密，K1再加密。接收方則使用K1解密，K2加密，K1再解密。其實就是將金鑰加長了，這就使得破譯更為艱難了。

  可以看到對稱金鑰體制還是存在很多不足之處，因為雙方必須要先知道金鑰。又加上數字簽名的強烈需要這就使得對稱金鑰已經不能完全適用了。於是就有了非對稱金鑰體制的產生。

2.非對稱密碼體制

加密和解密使用不同的金鑰，其中一個金鑰是公開的，另一個是保密的。非對稱加密演算法的保密性比較好，它消除了終端使用者交換金鑰的需要，但是其加密和解密要花費很長的時間，速度較慢，所以往往用在資料量較小的通訊業務中，不適合與對檔案加密。典型的公開金鑰加密方法有RSA 和ESIGN。

   非對稱加密有兩個模型

 A.加密模型

        B.認證模型

        三. 身份認證

數字簽名是個加密的過程，數字簽名驗證是個解密的過程。數字簽名用來保證資訊傳輸過程中資訊的完整和提供資訊傳送者的身份認證和不可抵賴性。數字簽名是存在於文件中的，不能被複制。

   數字簽名的演算法有很多，應用廣泛的主要有：Hash簽名， RSA簽名， DSS簽名。

     1.Hash簽名（數字摘要法，數字指紋法）

這種演算法比較快，可以降低伺服器資源的消耗。但其缺點是接收方必須持有使用者金鑰的副本以檢驗簽名，因為雙方都知道生成簽名的金鑰，這樣容易攻破偽造簽名的可能。這是最主要的數字簽名方法，它將數字簽名與要傳送的資訊緊密聯絡在一起，它更適合於電子商務活動。因為將一個商務合同的個體內容和簽名結合在一起比合同和簽名分開傳遞更加安全些。

     2.RSA簽名

採用的是公鑰演算法。既可以用於身份認證，也可以用來加密資料。可以說是最流行的一種加密標準。RSA簽名是通過一個Hash函式實現的。它代表了檔案的特徵，檔案如果發生改變數字簽名的值也就發生變化。因為不同的檔案得到的是不同的RSA簽名。

   那現在你是不是又有疑惑了呢？怎麼才能證明那個公鑰就是真正的對方的，他的身份又有誰能夠證明呢？所以就要提到第三方了。數字證書就是解決這個問題的有效方法。這是有一個認證中心簽發的。就像我們的身份證能夠證明你就是你自己，而你的身份證是有公安局簽發的。公安局就是這樣一個公證人，它具有權威性。數字證書通常是一個簽名文件，標記特定物件的公開金鑰。認證技術主要是解決網路通訊過程中通訊雙方的身份認可。

這還只是網路安全的幾個點，從網路安全的定義就可以想象到它所包含的內容遠不止這些。不過現在看的書太少了，都還不怎麼懂。