计算机网络面临的安全性威胁
一个安全的计算机网络应设法达到:
- 保密性
- 端点鉴别
- 信息的完整性
- 运行的安全性
数据加密模型
密码学分为密码编码学和密码分析学(未知情况下破解)。
两类密码体制:
- 对称密钥密码体制:加密密钥与解密密钥使用相同的密码体制
- 公钥密码体制:使用不同的加密密钥和解密密钥,公钥是公开的,而私钥是接收者保密的
任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量。
数字签名
- 不可伪造
- 完整性
- 不可抵赖
如果截获密文,并且知道发送者是谁,那么就可以查找接收者,并获取公钥。所以可以在进行一次加密。
鉴别
–验证通信的对方的确是自己所要通信的对象,而不是其他的冒充者,并且所传送的报文是完整的。
报文
- 密码散列函数:数字签名的缺点是如果报文过长,则会增加很大的负担,所以,采用密码散列函数。
- 实用的密码散列函数MD5和SHA-1
MD5算法的大致过程如下:
(1)先把任意长的报文按模264计算其余数(64位),追加在报文的后面。
(2) 在报文和余数之间填充1~512位,使得填充后的总长度是512的整数倍。填充的首位是1,后面都是0。
(3)把追加和填充后的报文分割为一个个512位的数据块,每个512位的报文数据再分成4个128位的数据块依次送到不同的散列函数进行4轮计算。每-一-轮又都按32位的小数据块进行复杂的运算。-直到最后计算出MD5报文摘要代码(128 位)。
实体鉴别
密钥分配
IP安全数据报格式
运输层安全协议
- 安全套接字层SSL(Secure Socket Layer)
- 运输层安全TLS(Transport Layer Security)
PGP
———是一个完整的电子邮件安全软件包, 包括加密、 鉴别、 电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是把现有的一些加密算法(如RSA公钥加密算法或MD5报文摘要算法)综合在一起而已。
发送方:
接收方:
防火墙
———特殊编程的路由器
防火墙技术一般分为两大类:
- 分组过滤路由器
- 应用网管(代理服务器)