计算机网络(15)-网络安全
目录
一、网络安全
二、对称加密和非对称加密
1、对称加密
2、非对称加密
数字签名
数字证书颁发机构
三、安全套接字SSL协议
四、网络层安全——IPSec
1、安全关联SA(Security Association)
2、鉴别首部协议AH
3、封装安全有效载荷ESP
五、数据链路层安全
1、数据链路层身份验证PPP协议
2、ADSL-非对称数字用户线路
六、防火墙
计算机安全包括以下几个方面:数据存储安全、应用程序安全、操作系统安全、网络安全、物理安全、用户安全教育等。
一、网络安全
计算机网络上得通信面临以下四种威胁:
- 截获:从网络上窃听他人的通信内容
- 中断:有意中断他人在网络上的通信
- 篡改:故意篡改网络上传送的报文
- 伪造:伪造信息在网络上传送
截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击为主动攻击。
如下图时计算机被黑客攻击后流程图示:截获和篡改
黑客软件通过ARP欺骗,把网关错误的MAC地址(黑客计算机的MAC地址)发送给本网段内的计算机,本网段计算机在收到错误的网关MAC地址后,上网数据都会发送给黑客的计算机,从而黑客可以截获数据,也可以篡改返回内容。
中断式攻击图示:计算机发动一系列肉机对同一个服务器进行大量访问(分布式攻击),占用服务器带宽,导致网络拥塞。
使用msconfig命令,可以查看计算机目前启动的服务,从而可以发现异常程序(木马/病毒)
二、对称加密和非对称加密
1、对称加密
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。
对称加密算法的缺点是在数据传送前,发送方和接收方必须商定好秘钥,然后使双方都能保存好秘钥。其次如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的独一秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。
2、非对称加密
非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
非对称加密的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反,使用乙方的公钥对数据进行加密,同理,乙方使用自己的私钥来进行解密。
非对称密码体制的特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。优点是,安全性高。
在非对称加密算法使用中,对大的文件加密可以使用对称加密,速度快,然后再使用非对称加密算法对对称加密密钥进行加密。
数字签名
数字签名(又称公钥数字签名)是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术来实现的,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用
签名的使用:签名可以检查内容是否被更改
数字证书颁发机构
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。
因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
三、安全套接字SSL协议
安全套接层 (SSL) 是一种协议,支持服务通过网络进行通信而不损害安全性。它在客户端和服务器之间创建一个安全连接。然后通过该连接安全地发送任意数据量。
在发送方,SSL接收应用层的数据(如HTTP或IMAP报文),对数据进行加密,然后把加密的数据送往TCP套接字。
在接收方,SSL从TCP套接字读取数据,解密后把数据交给应用层。
经过SSL加密内容,在网络上传播内容不容易识别,即使被抓包,对方也识别不出包中的内容。
使用SSL加密的网站访问示例:
SSL提供的三个功能:
- SSL服务器鉴别,允许用户证实服务器的身份。具有SSL功能的浏览器维护一个表,上边有一些可信赖的认证中心CA和他们的公钥。
- 加密的SSL会话,客户和服务器交互的所有数据都在发送方加密,在接收方解密。
- SSL客户鉴别,允许服务器证实客户的身份。
四、网络层安全——IPSec
互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
1、安全关联SA(Security Association)
在使用AH或ESP之前,先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联SA。
IPsec就把传统的因特网无连接的网络层转换为具有逻辑连接的层。
SA(安全关联)是构成IPsec的基础,是两个通信实体间经协商(利用IKE协议)建立起来的一种协定,它决定了用来保护数据分组安全的安全协议(AH协议或ESP协议)、转码方式、密钥及密钥的有效存在时间等。
2、鉴别首部协议AH
鉴别首部AH(Authentication Header):AH鉴别源点和检查数据完整性,但不保密文件内容。
在使用鉴别首部协议AH时,把AH首部插在原数据报数据部分得前面,同时把IP首部中的协议字段设置为51。
在传输过程中,中间的路由器都不查看AH首部。当数据报到达终点时,目的主机才处理AH字段,以鉴别源点和检查数据报的完整性。
3、封装安全有效载荷ESP
封装安全有效载荷ESP(Encapsulation Security Payload):ESP比AH复杂得多,它鉴别源点、检查数据完整性和提供保密。
使用ESP时,IP数据报首部的协议字段置为50,当IP首部检查到协议字段是50时,就知道在IP首部后边紧接着的是ESP首部,同时在原IP数据报后边增加了两个字段,即ESP尾部和ESP数据。
五、数据链路层安全
数据链路层安全图示:
1、数据链路层身份验证PPP协议
点对点协议(Point to Point Protocol,PPP)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。 这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。
PPP协议工作流程
(1)当用户拨号接入 ISP 时,路由器的调制解调器对拨号做出确认,并建立一条物理连接(底层up)。
(2)PC 机向路由器发送一系列的 LCP 分组(封装成多个 PPP 帧)。
(3)这些分组及其响应选择一些 PPP 参数,和进行网络层配置(此前如有PAP或CHAP验证先要通过验证),NCP 给新接入的 PC机分配一个临时的 IP 地址,使 PC 机成为因特网上的一个主机。
(4)通信完毕时,NCP 释放网络层连接,收回原来分配出去的 IP 地址。接着,LCP 释放数据链路层连接。最后释放物理层的连接。
2、ADSL-非对称数字用户线路
非对称数字用户线路(ADSL,Asymmetric Digital Subscriber Line),所谓非对称主要体现在上行速率和下行速率的非对称性上。它利用数字编码技术从现有铜质电话线上获取最大数据传输容量,同时又不干扰在同一条线上进行的常规话音服务。其原因是它用电话话音传输以外的频率传输数据。用户可以在上网的同时打电话或发送传真,而这将不会影响通话质量或降低下载Internet内容的速度。
ADSL-非对称数字用户线路特点
(1)高速传输,提供上、下行不对称的传输带宽;
(2)上网、打电话互不干扰,数据信号和电话音频信号以频分复用原理调制于各自频段互不干扰,上网的同时可以拨打或接听电话,避免了拨号上网时不能使用电话的烦恼;
(3)独享带宽,安全可靠,各结点采用宽带交换机处理交换信息,信息传递快速安全。
六、防火墙
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制定的,为的是可以最适合本单位的需要。
防火墙内的网络称为可信赖网络、而将外部的因特网称为不可信赖的网络。防火墙用来解决内网和外网连接的安全问题。
1、网络级防火墙
用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制定好的一套准则的数据,而后者则是检查用户的登录是否合法。
2、应用级防火墙
从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止FTP应用的通过。