計算機網(wǎng)絡安全概述

計算機網(wǎng)絡安全概述19908034馬志剛互聯(lián)網(wǎng)絡（Internet）起源于1969年的ARPANet，最初用于軍事目的，1993年開始用于商業(yè)應用，進入快速發(fā)展階段。到目前為止，互連網(wǎng)已經(jīng)覆蓋了175個國家和地區(qū)的數(shù)千萬臺計算機，用戶數(shù)量超過一億。隨著計算機網(wǎng)絡的普及，計算機網(wǎng)絡的應用向深度和廣度不斷發(fā)展。企業(yè)上網(wǎng)、政府上網(wǎng)、網(wǎng)上學校、網(wǎng)上購物......，一個網(wǎng)絡化社會的雛形已經(jīng)展現(xiàn)在我們面前。在網(wǎng)絡給人們帶來巨大的便利的同時，也帶來了一些不容忽視的問題，網(wǎng)絡信息的安全保密問題就是其中之一。一．網(wǎng)絡信息安全的涵義網(wǎng)絡信息既有存儲于網(wǎng)絡節(jié)點上信息資源，即靜態(tài)信息，又有傳播于網(wǎng)絡節(jié)點間的信息，即動態(tài)信息。而這些靜態(tài)信息和動態(tài)信息中有些是開放的，如廣告、公共信息等，有些是保密的，如:私人間的通信、政府及軍事部門、商業(yè)機密等。網(wǎng)絡信息安全一般是指網(wǎng)絡信息的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真實性（Authenticity）。網(wǎng)絡信息的機密性是指網(wǎng)絡信息的內(nèi)容不會被未授權(quán)的第三方所知。網(wǎng)絡信息的完整性是指信息在存儲或傳輸時不被修改、破壞，不出現(xiàn)信息包的丟失、亂序等，即不能為未授權(quán)的第三方修改。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。當前，運行于互聯(lián)網(wǎng)上的協(xié)議（如TCP/IP）等，能夠確保信息在數(shù)據(jù)包級別的完整性，即做到了傳輸過程中不丟信息包，不重復接收信息包，但卻無法制止未授權(quán)第三方對信息包內(nèi)部的修改。網(wǎng)絡信息的可用性包括對靜態(tài)信息的可得到和可操作性及對動態(tài)信息內(nèi)容的可見性。網(wǎng)絡信息的真實性是指信息的可信度，主要是指對信息所有者或發(fā)送者的身份的確認。前不久，美國計算機安全專家又提出了一種新的安全框架，包括：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實性（Authenticity）、實用性（Utility）、占有性（Possession），即在原來的基礎上增加了實用性、占有性，認為這樣才能解釋各種網(wǎng)絡安全問題：網(wǎng)絡信息的實用性是指信息加密密鑰不可丟失（不是泄密），丟失了密鑰的信息也就丟失了信息的實用性,成為垃圾。網(wǎng)絡信息的占有性是指存儲信息的節(jié)點、磁盤等信息載體被盜用，導致對信息的占用權(quán)的喪失。保護信息占有性的方法有使用版權(quán)、專利、商業(yè)秘密性，提供物理和邏輯的存取限制方法；維護和檢查有關盜竊文件的審記記錄、使用標簽等。二．攻擊互聯(lián)網(wǎng)絡安全性的類型對互聯(lián)網(wǎng)絡的攻擊包括對靜態(tài)數(shù)據(jù)的攻擊和對動態(tài)數(shù)據(jù)的攻擊。對靜態(tài)數(shù)據(jù)的攻擊主要有：口令猜測：通過窮舉方式搜索口令空間，逐一測試，得到口令，進而非法入侵系統(tǒng)。IP地址欺騙：攻擊者偽裝成源自一臺內(nèi)部主機的一個外部地點傳送信息包，這些信息包中包含有內(nèi)部系統(tǒng)的源IP地址，冒名他人，竊取信息。指定路由：發(fā)送方指定一信息包到達目的站點的路由，而這條路由是經(jīng)過精心設計的、繞過設有安全控制的路由。根據(jù)對動態(tài)信息的攻擊形式不同，可以將攻擊分為主動攻擊和被動攻擊兩種。被動攻擊主要是指攻擊者監(jiān)聽網(wǎng)絡上傳遞的信息流，從而獲取信息的內(nèi)容（interception），或僅僅希望得到信息流的長度、傳輸頻率等數(shù)據(jù)，稱為流量分析（trafficanalysis）。被動攻擊和竊聽示意圖如圖1、圖2所示：流量分析圖1被動攻擊竊聽被動攻擊流量分析圖1被動攻擊竊聽被動攻擊圖2竊聽示意圖圖2竊聽示意圖獲取信息內(nèi)容獲取信息內(nèi)容獎除了擾被動些攻擊沒的方厲式外德，攻綁擊者晨還可滑以采仍用主卸動攻勵擊的波方式癥。主盈動攻荷擊是臺指攻災擊者接通過優(yōu)有選誕擇的偉修改代、刪廣除、部延遲錘、亂根序、口復制昂、插渠入數(shù)遭據(jù)流島或數(shù)敞據(jù)流熄的一獎部分術以達汁到其擺非法蹄目的索。主辜動攻么擊可捐以歸馳納為鄉(xiāng)中斷用、篡嘩改、便偽造內(nèi)三種車（見挺圖3葉）。江中斷冬是指有阻斷互由發(fā)閑送方南到接尖收方分的信眉息流喪，使符接收沿方無串法得胖到該范信息解，這存是針套對信犧息可結(jié)用性侄的攻鄙擊兵（除如宇圖例4皆）惠。篡膜改是軌指攻壟擊者平修改網(wǎng)、破全壞由椅發(fā)送揚方到普接收煙方的案信息梨流，憐使接轉(zhuǎn)收方要得到毛錯誤泰的信繩息，耽從而鋼破壞錯信息泥的完漿整性斧（寧如斃圖男5慰）塊。偽僵造是排針對趟信息企的真盈實性店的攻丸擊，欣攻擊辛者或傘者是就首先耀記錄批一段阿發(fā)送提方與器接收籠方之遷間的倍信息裙流，咱然后將在適齡當時坦間向座接收礦方或勢發(fā)送回方重盒放（國pl抵ay顫ba落ck枕）這百段信視息，疾或者參是完振全偽潮造一阿段信姿息流甲，冒皺充接煌收方掃可信扭任的康第三棚方，寫向接威收方釀發(fā)送時。悼（統(tǒng)如句圖市6格）圖3主動攻擊破壞真實性破壞完整性破壞可用性偽造篡改中斷主動攻擊圖3主動攻擊破壞真實性破壞完整性破壞可用性偽造篡改中斷主動攻擊圖4中斷示意圖圖4中斷示意圖圖6偽造示意圖圖6偽造示意圖圖5篡改示意圖圖5篡改示意圖靜三尤。屑網(wǎng)絡爽安全份機制誓應具妖有的孫功能協(xié)由于攪上述填威脅殼的存離在，遣因此宴采取果措施智對網(wǎng)射絡信揮息加涂以保靜護，照以使棚受到嬌攻擊姜的威蜂脅減饒到最閥小是旋必須掩的。滔一個健網(wǎng)絡逐安全誠系統(tǒng)對應有巾如下繭的功眠能：歉1．殺身份粒識別離：身職份識奪別是著安全井系統(tǒng)擋應具撐備的遙最基頌本功謙能。料這是蘭驗證眉通信土雙方交身份湖的有鑄效手衫段，絨用戶狡向其穿系統(tǒng)選請求增服務陸時，堤要出銀示自帆己的霜身份秘證明拐，例晝?nèi)巛斆⑷氲蘒s季er惹I否D歐和句Pa暫ss沙wo獲rd飛。而裂系統(tǒng)汽應具亞備查惕驗用展戶的癥身份票證明闊的能屋力，狐對于刊用戶熄的輸民入，誠能夠籮明確嘩判別惠該輸稅入是夠否來首自合縫法用誠戶。柄2．泉存取嗽權(quán)限酬控制胸：其射基本廢任務燒是防籠止非路法用寶戶進苦入系逃統(tǒng)及禽防止吉合法烈用戶餃對系輕統(tǒng)資倒源的逝非法恐使用射。在礦開放喉系統(tǒng)魂中，作網(wǎng)上會資源旦的使菜用應啄制訂升一些鴿規(guī)定菊：一野是定雖義哪袖些用傍戶可揉以訪巴問哪急些資宏源，使二是腳定義古可以映訪問譯的用構(gòu)戶各脾自具燃備蝶的鋼讀、銅寫、扯操作勞等權(quán)竄限。擋3．行數(shù)字窩簽名罩：即霜通過臟一定語的機掩制如幣RS鞭A份公紗鑰帖加密奸算法燙等，襖使信把息接伸收方破能夠新做出笛“最該信匯息是腳來自弱某一擠數(shù)據(jù)舊源且浸只可滾能來役自該朝數(shù)據(jù)陵源缸”渾的判頁斷。投4．志保護雁數(shù)據(jù)獨完整衣性：名既通旗過一跑定的踢機制桶如加圓入消手息摘脫要等掩，以鼓發(fā)現(xiàn)敵信息回是否添被非矮法修始改，行避免孝用戶坡或主廊機被掌偽信權(quán)息欺毛騙。套5．牌審計三追蹤興：既彼通過夕記錄素日志蟻、對插一些矩有關幸信息煤統(tǒng)計叛等手景段，替使系繡統(tǒng)在虎出現(xiàn)漆安全籌問題紫時能樹夠追挖查原出因。張密鑰上管理儉：信鴿息加吊密是字保障漲信息頭安全徹的重刺要途廁徑，芒以密績文方葡式在甘相對洋安全椅的信杯道上合傳遞雨信息孔，可亂以讓乳用戶遲比較虜放心塌地使耀用網(wǎng)培絡，眼如果液密鑰笑泄露訂或居雁心不春良者披通過掌積累莫大量餅密文箏而增策加密屬文的載破譯露機會缺，都目會對擺通信評安全投造成岡威脅注。因儉此，秩對密梅鑰的血產(chǎn)生驅(qū)、存胳儲、遺傳遞目和定連期更篇換進下行有鬼效地陪控制徹而引橫入密刷鑰管燃理機憶制，魔對增匯加網(wǎng)撕絡的忘安全鞋性和樓抗攻盆擊性垂也是籌非常闖重要所的。輪四晨。窯網(wǎng)絡籍信息離安全貨常用睬技術姻通常偷保障焰網(wǎng)絡匹信息槍安全總的方摩法有污兩大醉類：質(zhì)以喝“頌防火啦墻鋤”友技術晃為代品表的島被動崇防衛(wèi)窄型和娘建立退在數(shù)鴿據(jù)加爪密、湊用戶雖授權(quán)瓶確認追機制獨上的漸開放報型網(wǎng)葡絡安鬼全保城障技扭術。望1．蘆防火遙墻技絨術沃：揭“搖防火啊墻哈”撕（煉Fi亮re悶wa杯ll礎）安惕全保貍障技還術主夢要是舌為了拾保護印與互玩聯(lián)網(wǎng)珠相連棋的企難業(yè)內(nèi)窗部網(wǎng)婚絡或言單獨縣節(jié)點完。它養(yǎng)具有妹簡單倚實用含的特獵點，妥并且索透明惕度高校,成可以閘在不夠修改屠原有秩網(wǎng)絡曉應用崗系統(tǒng)贏的情婦況下匆達到歐一定衰的安長全要你求。暗防火山墻一墨方面伍通過團檢查牛、分味析、攀過濾丈從內(nèi)壞部網(wǎng)虛流出尖的I糾P包洲，盡抱可能輩地對隙外部邀網(wǎng)絡盟屏蔽痕被保房護網(wǎng)押絡或汁節(jié)點角的信斜息、貌結(jié)構(gòu)甜，另陽一方宿面對序內(nèi)屏藥蔽外鐮部某被些危冠險地丟址，烈實現(xiàn)親對內(nèi)對部網(wǎng)泰絡的艦保護押。橋2．登數(shù)據(jù)尸加密家與用兄戶授近權(quán)訪傻問控爸制技追術柴：場與防伙火墻話相比殃，數(shù)兵據(jù)加殿密與刑用戶展授權(quán)周訪問纏控制柄技術弱比較廈靈活直，更駛加適涉用于恭開放艱網(wǎng)絡覽。用扶戶授具權(quán)訪笨問控掠制主待要用絲于對校靜態(tài)私信息我的保程護，冶需要字系統(tǒng)籌級別搏的支竿持，乖一般方在操坡作系網(wǎng)統(tǒng)中濃實現(xiàn)噴。數(shù)侍據(jù)加秀密主逢要用同于對刺動態(tài)堂信息紹的保免護。蔑前面糧已經(jīng)誘提到帥，對谷動態(tài)國數(shù)據(jù)他的攻重擊分赤為主淡動攻俱擊和最被動輛攻擊矩，我魄們注夫意到計，對景于主佩動攻坊擊，罷雖無頃法避誦免，共但卻胞可以族有效素的檢挖測；運而對粱于被嗚動攻族擊，所雖無囑法檢淘測，蓋但卻陳可以圍避免堆，而蘆實現(xiàn)敏這一醒切的鄭基礎照就是庫數(shù)據(jù)從加密洗。數(shù)漂據(jù)加匙密實裕質(zhì)上欠是對原以符城號為筒基礎蘇的數(shù)宴據(jù)進高行移魂位和勢置換槽的變格換算鵝法。皆這種傾變換臭是受滿稱為富密鑰束的符始號串狼控制概的。穴在傳魚統(tǒng)的傲加密水算法灣中，億加密并密鑰膨與解港密密基鑰是則相同私的，繡或者姿可以鄙由其席中一抗個推尋知另多一個侍，稱兆為對齒稱密石鑰算父法。密這樣銳的密泳鑰必孔須秘每密保蛾管，護只能仗為授黎權(quán)用疤戶所趕知，耍授權(quán)北用戶貝既可弦以用游該密巾鑰加豐密信娘息，扎也可膠以用耕該密言鑰解歷密信掩息。喬DE悠S（查Da庭ta套E念nc通ry搖pt解io左n伸St屢an講da魔rd膽）是銀對稱森加密循算法題中最退具代姻表性悲的,漏它是酒IB菠M僻公司院W.廳tu膜ch漫ma饞n扔和利C.吩me禿ye肺r旗在睬19棒71映年到動19豐72雷年研贈制成北功的炮，在薯19損77虛年5震月由捕美國昏國家奇標準判局頒裹部為潑數(shù)據(jù)漢加密飼標準狐。D偵ES幕可以量對任跳意長續(xù)度的公數(shù)據(jù)析加密憑，密份鑰長埋度6運4比被特，虎實際撫可用即密鑰濕長度骨56紅比特反，加父密時央首先杰將數(shù)治據(jù)分番為6鏈4比聾特的暖數(shù)據(jù)爐塊，臟采用澤EC闊B（斃El哨ec聲tr覆on握ic震C食od左eB馬oo托k）秩、C納BC霞（C養(yǎng)ip婚er含B身lo惜ck慕C廁ha堅in雪in壤g）笑、C釣FB餓（C情ip采er濕B扒lo柏ck辮F嘗ee綁db廊ac陜k）俯等模映式之月一，滲每次糞將輸拾入的混64化比特襲明文睜變換兇為6鹽4比宇特密洞文。察最終楚，將俱所有辭輸出朋數(shù)據(jù)苦塊合歷并，屢實現(xiàn)輕數(shù)據(jù)釋加密輛。如槍果加哀密、斑解密伙過程玩各有義不相瓦干的甩密鑰撞，構(gòu)喂成加約密、敵解密活密鑰芬對，頌則稱巨這種扎加密咸算法渣為非枯對稱巷加密售算法非，或焰稱為健公鑰忌加密賤算法破，相羨應的侄加密隸、解捧密密寬鑰分忘別稱丑為公厲鑰、期私鑰正。在傷公鑰津加密侵算法開下，靜公鑰鍵是公摟開的哪，任嗽何人稈可以凝用公延鑰加卷密信坐息，同再將哈密文戴發(fā)送夜給私配鑰擁舉有者勞；私星鑰是孩保密染的，矛用于塘解密授其接膨收的印公鑰枯加密桌過的鉆信息安。典限型的夠公鑰辯加密滴算法經(jīng)如R臺SA演（使Ro魂na葛ld牛L亞R趟iv蘇es寫t,悟Ad逮i望Sh潤am捧ir熟,L香eo遙na度rd撓A柄dl木em番an蟲），柜是目襲前使淚用比寫較廣寫泛的逢加密側(cè)算法鋪。在還互聯(lián)盤網(wǎng)上烏的數(shù)鄰據(jù)安劍全傳盤輸，購如節(jié)Ne贊ts捆ca錦pe逃N擴av細ig偉at丈or犁診和隊Mi汁cr棚os莊of乓t會In戒te蜂rn都et劣E禮xp匯lo疫re奴r秧都使植用了湯該算新法。寬RS京A算位法建除立在翻大數(shù)際因子倒分解秩的復設雜性巨上，云簡單墻來說裙，先餅選取撫兩個拿素數(shù)漁p、螺q，索一般陜要求值兩數(shù)嶄均大請于1博0的飲10典0次例冪，頓計算池n=軋p*濃q，因z=棗（p霸-瘋1鍛）*蜘（q鑄-們1使），喚選擇斯一個蜂與z睬互質(zhì)烤的數(shù)騙d，鬼找一品個數(shù)聾e滿啄足d忙*e回鮮≡炸1廉（m次od押z江），明將（央e，通n）護作為脅公鑰左，將慎（d屑，z績）作奮為密瓣鑰。璃RS莖A的腐保密夾性在亮于瞎n的獄分解腥難度避上，踢如果留n分挺解成月功，集則可挽推知吊（d城，z懲），閃也就奇無保餅密性灣可言每了。島有了尾信息輛加密封的手取段，皆我們臺就可境以對送動態(tài)堂信息談采取啄保護勻措施驚了。威為了劇防止糞信息難內(nèi)容揮泄露媽，我宏們可揭以將綱被傳仗送的豈信息責加密暴，使更信息貫以密到文的青形式晝在網(wǎng)南絡上辨?zhèn)鬏敄|。這維樣，溪攻擊分者即繁使截份獲了贏信息喬，也惜只是耳密文沒，而睜無法擴知道原信息線的內(nèi)陪容?；鞛榱讼禉z測拉出翠攻擊漆者篡非改幻了哨消息罰內(nèi)容揀，可胳以采穴用認甘證的飯方法善，即蝴或是波對整多個信礦息加腿密，壟或是逝由一醋些消擱息認當證函蘆數(shù)（扛MA例C函萄數(shù)）準生成戀消息格認證臥碼（盾Me艙ss當ag胖e碑Au竹th視en浮ti郵ca臭ti察on端C百od膚e）零，再侮對消糖息認臥證碼蛋加密莊，隨搜信息亦一同和發(fā)送該。攻溫擊者毯對信他息的堤修改敏將導編致信訓息與但消息珠認證殲碼的故不一早致，撥從而滴達到寇檢測遮消息疤完整請性的養(yǎng)目的撕。為例了檢錢測出霉攻擊頂者偽躲造信仙息，宮可以渠在信醬息中回加入蓮加密蝶的消博息認盼證碼按和時倘間戳失，這演樣，揀若是煮攻擊盞者發(fā)玩送自宮己生四成的啄信息隨，將配無法施生成兄對應澇的消撥息認齒證碼奪，若劃是攻觸擊者辛重放始以前產(chǎn)的合躍法信貝息，倦接收娘方可捆以通讓過檢拌驗時價間戳濱的方榨式加威以識憤別。銳五座。導對網(wǎng)來絡店信息稿安全揉的前鋼景的蝶展望饞隨著垂網(wǎng)絡般的發(fā)臂展，造技術慘的進突步，依網(wǎng)絡量安全爭面臨擦的挑負戰(zhàn)也瞇在增咳大。置一方友面，覆對網(wǎng)剃絡的永攻擊賓方式伸層出肉不窮則：1羊99鉤6年提以報綁道的艘攻擊簽方式驢有4籮00瓶種，總19暢97振年達采到1宰00仗0種敗，1繳99拐8年襲即達副到4熊00氧0種輪，兩賤年間毅增加刪了十伴倍，厭攻擊慘方式流的增尿加意妨味著廟對網(wǎng)惕絡威沒脅的甲增大默；隨庸著硬槐件技北術和種并行式技術轎的發(fā)施展，講計算帶機的年計算窮能力掃迅速冶提高款，原稼來認素為安說全的濱加密嘗方式捕有可渠能失啟效，痛如1箱9