网络安全性的几个知识点

     网络安全的几个知识点

  随着计算机的普及，它的安全问题也越来越受到所有人的重视。计算机安全既包括硬件、软件和技术，又包括安全规划、安全管理和安全监督。计算机系统的安全主要包括网络安全，操作系统安全和数据库安全三个方面。最近学习了一些网络安全的知识，因为不是很明白，所以就做个笔记。

    一．     基本概念

网络的安全是指通过采用各种技术和管理措施，使网络

系统正常运行，从而确保网络数据的可用性、完整性和保密性。

 

  1. 现在计算机网络上的通信面临以下几种威胁：

（1）.截获   攻击者从网络上“偷听”他人的通信内容（被动攻击）

（2）.中断   攻击者有意中断他人在网络上的通信  （主动攻击）

（3）.篡改   攻击者故意篡改网络上传送的报文   （主动攻击）

（4）.伪造   攻击者伪造信息在网络上传送  （主动攻击）     

  在被动攻击中，攻击者只是观察和分析某一个协议数据单元而不干扰信息流。攻击者通过观察协议数据单元的协议控制信息部分，连接正在通信的协议实体的地址和身份，并且研究数据单元的长度和传输的频度，以便了解所交换的数据的某种性质。所以这种攻击又称为流量分析。

  主动攻击是指攻击者对某个连接中通过的数据单元进行各种处理。（比如更改，删除，延迟，复制。。。）

 

  2. 网络的安全主要有以下基本要素

　　  保密性： 信息不泄露给非授权用户、实体或过程，或供其利用的特性。

　　  完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

　　 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；

　　 可控性：对信息的传播及内容具有控制能力。

       可审查性：出现的安全问题时提供依据与手段。

 

 安全应用由一些安全服务来实现，而安全服务又是由各种安全机制或安全技术实现的。当然同一安全机制有时也可以用于实现不同的安全服务。

 1.安全服务主要有：

认证，包括实体认证与数据源认证；

数据保密性，包括连接机密性，无连接机密性，选择域机密性与业务流机密性；

数据完整性，包括又恢复连接完整性，无恢复连接完整性，选择域连接完整性，无连接完整性与选择域无连接完整性；

抗抵赖性，包括有源端证据的抗抵赖性与有交付证据的抗抵赖性；

访问控制。

 

2.安全机制主要有：

加密机制，存在加密机制意味着存在密钥管理机制

数字签名机制；

访问控制机制；

数据完整性机制；

认证机制；

通信业务填充机制；

路由控制机制；

公证机制

 

   二. 两类密码体制

 通常我们所能想到的安全保密手段就是对数据进行加密。

  加密算法主要达到以下四点目的：

（1）提供高质量的数据保护，防止数据未经授权的泄露和为被察觉的修改；

（2）应具有相当高的复杂性，使得破译的开销超过可能获得的利益，同时又要便于理解和掌握；

（3）密码体制的安全性应该不依赖于算法的保密，其安全性仅以加密密钥的保密为基础；

（4）实现经济，运行有效，并且适应于多种完全不同的应用。

 要注意的是，任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量，而不是简单的取决于加密体制。

   1.对称密码体制

  加密和解密采用相同的密钥，而且加密速度快，通常用来加密大批量的数据。典型的加密算法有FEAL(日本)，IDEA(瑞士)，DES(美国)。

   DES加密算法

   DES主要采用替换和移位的方法加密。它用56为密钥对64位二进制数据块进行加密，每次加密可对64位的输入数据进行16轮编码，经一系列替换和移位后，得到的是与原数据完全不同的数据。当是DES的保密性仅取决于对密钥的保密，而算法是公开的。因为它的密钥的位数比较大，所以密钥可能有2⁵⁶   种可能，使得破译的时间太长，代价太大！现在已经设计出来搜索DES密钥的专用芯片了，但这是将时间的代价转移到高科技的机器，通常这样的机器价格也是相当高的。

   在DES的基础上采用三重DES，意思就是使用两个56位的密钥K1和K2，发送方K1加密，K2解密，K1再加密。接收方则使用K1解密，K2加密，K1再解密。其实就是将密钥加长了，这就使得破译更为艰难了。

  可以看到对称密钥体制还是存在很多不足之处，因为双方必须要先知道密钥。又加上数字签名的强烈需要这就使得对称密钥已经不能完全适用了。于是就有了非对称密钥体制的产生。

   2. 非对称密码体制

   加密和解密使用不同的密钥，其中一个密钥是公开的，另一个是保密的。非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但是其加密和解密要花费很长的时间，速度较慢，所以往往用在数据量较小的通信业务中，不适合与对文件加密。典型的公开密钥加密方法有RSA 和ESIGN。

   非对称加密有两个模型

        A.  加密模型

 

      
  

        B.  认证模型

     
 
 

 

 

        三. 身份认证

  数字签名是个加密的过程，数字签名验证是个解密的过程。数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。数字签名是存在于文档中的，不能被复制。

   数字签名的算法有很多，应用广泛的主要有：Hash签名， RSA签名， DSS签名。

     1.     Hash签名（数字摘要法，数字指纹法）

这种算法比较快，可以降低服务器资源的消耗。但其缺点是接收方必须持有用户密钥的副本以检验签名，因为双方都知道生成签名的密钥，这样容易攻破伪造签名的可能。这是最主要的数字签名方法，它将数字签名与要发送的信息紧密联系在一起，它更适合于电子商务活动。因为将一个商务合同的个体内容和签名结合在一起比合同和签名分开传递更加安全些。

     2.     RSA签名

    采用的是公钥算法。既可以用于身份认证，也可以用来加密数据。可以说是最流行的一种加密标准。RSA签名是通过一个Hash函数实现的。它代表了文件的特征，文件如果发生改变数字签名的值也就发生变化。因为不同的文件得到的是不同的RSA签名。      

   那现在你是不是又有疑惑了呢？怎么才能证明那个公钥就是真正的对方的，他的身份又有谁能够证明呢？所以就要提到第三方了。数字证书就是解决这个问题的有效方法。这是有一个认证中心签发的。就像我们的身份证能够证明你就是你自己，而你的身份证是有公安局签发的。公安局就是这样一个公证人，它具有权威性。数字证书通常是一个签名文档，标记特定对象的公开密钥。认证技术主要是解决网络通信过程中通信双方的身份认可。

              这还只是网络安全的几个点，从网络安全的定义就可以想象到它所包含的内容远不止这些。不过现在看的书太少了，都还不怎么懂。