传统电信网络和有线电视网络,计算机网络融合,即三网合一
计算机网络的定义:由通信信道连接的主机和网络设备的集合。
计算机网络组成:由若干节点和连接这些节点的链路组成
英特网是全球最大的,最开放的互联网,它采用了TCP/IP协议作为通信的规则,前身是美国的ARPANET.
为进行网络中的数据交换而建立的规则、标准即称为网络协议。
网络协议三要素:语法、语义、同步
对于非常复杂的计算机协议,通常采用分层结构。
在计算机网络中,将计算机网络的各层及其协议的集合,称为网络的体系结构。
著名的两个体系结构:OSI 和 TCP/IP
在体系结构的框架下,网络协议可定义为:为网络中互相通信的对等实体间进行数据交换而建立的规则、标准和约定;
实体:任何可以发送或接收信息的硬件和软件进程(就相当于一个特定的软件模块,位于不同子系统的同一层次内交互的实体,称为对等实体)
因特网容易被攻击的特性:
1)分组交换
2)认证与可追踪行
3)尽力而为的服务策略
4)匿名与隐私
5)对全球网络基础实施的依赖
6)无尺度网络
7)互联网的级联特性
8)中间盒子
计算机网络安全:计算机网络中硬件资源和信息资源的安全性
网络是否安全主要通过安全属性来评估;
早期一种主流观点认为,安全属性主要包括:机密性(confidentiality or security)、完整性(Intergrity)、可用性(Availability),CIA;
1)机密性
2)完整性:
系统完整性:系统不被非授权地使用
数据完整性:信息保持完整、真是或未受损状态
3)可用性:资源只能由合法的当事人使用
4)不可否认性:通信过程中,对于自己所发送或者接受的消息不能否认
不可否认性的保护措施:数字签名,可信第三方认证技术
5)可靠性:系统可以在一个相对长的时间内持续工作而不被中断
6)可信性:含义不同一(主流观点认为:可信性包含可靠性、可用性、安全性)
著名网络安全专家总结网络空间安全为:
在信息通信技术的**硬件、代码、数据、应用 ** 4个层面
围绕着信息的获取、传输、处理、利用 4个核心功能
确保网络空间的
机密性、可鉴别性(包括完整性、真实性、不可抵赖性)、可用性(可靠性、稳定性、可维护性、可生存性)、可控性 4个核心安全属性
网络攻击:
根据发起攻击的来源:外部攻击、内部攻击、行为滥用
从攻击对象和被攻击对象的影响:主动攻击、被动攻击
主动攻击:伪装、重放、修改报文、拒绝服务
被动攻击:监听传输的报文内容、通信流量分析
网络安全通信模型:
密码技术:密码技术通过对信息的变换或编码,将机密的敏感信息变换成攻击者难以读懂的乱码型信息。
**密码系统:**也称为密码体制,用数学符号描述为:S = {M, C, K, E, D}
M:明文空间,即需要隐藏的信息
C:密文空间,密文是被加密后的明文
K:密钥或密钥空间,密钥是指控制加密算法和解密算法得以实现的关键信息,可分为加密密钥和解密密钥,两者可相同也可不同;
密码算法:明文和密文之间的变换法则,E是加密算法,D是解密算法。解密算法是加密算法的逆运算,且其对应关系是唯一的。
密码学组成:
密码编码学:对信息进行编码实现信息隐藏的一门学科;
密码分析学(俗称密码破译):指的是分析人员在不知道解密细节的条件下对密文分析
密码系统的设计要求:
①系统即使达不到理论上不可破译,也应该是实际上不可破译的(也就是说,从截获的密文或某些已知的明文和密文对,要决定密钥或任意明文在计算上是不可行的);
②加密算法和解密算法适用于所有密钥空间的元素;
③系统便于实现和使用方便;
④系统的保密性不依赖于对加密体制或算法的保密,而依赖于密钥的保密(著名的Kerckhoff原则,现代密码学的一个基本原则)。
密码系统的保护策略:基于算法保密的安全策略,基于密钥的保护的安全策略
古典密码系统中广泛使用的两种运算:
将明文中字母由另一个或另一组字母替换。
只使用一个密文字母表,并且用密文字母表中的一个字母来代换明文字母表中的一个字母。具有代表性的密码是凯撒密码(Julius Caesar)。
例子:
明文:ATTACK AT DAWN
密文:XCCXQJ XC MXBF
根据密文字母表,一一映射为密文字母。
凯撒密码:
原理:明文中的字母在密文中用该字母循环右移k 位后所对应的字母替换,其中 k 就是密钥。
例如,令 k = 3
明文:ATTACK AT DAWN
密文:DWWDFN DW GDZQ
一个字母可以使用不同字母代替,其优点是容易将字母的自然频度隐蔽或均匀化。
维吉尼亚密码:一种典型的多表代替密码
将明文中的元素重新排列。
根据密钥数量和工作原理,现代密钥系统可以划分为:对称密钥系统、公开密钥系统
特点:加密密钥和解密密钥一样,如凯撒密码、维吉尼亚密码
对明文信息加密主要采用2种方式:序列密码和分组密码:
原理:
1)以明文的比特为加密单位,用某一个伪随机序列作为加密密钥,与明文进行异或运算,获得密文序列;
2)在接收端,用相同的随机序列与密文进行异或运算便可恢复明文序列。(异或运算:相同得0,相异得1)
序列密码算法的安全强度完全取决于伪随机序列的好坏
优点:
1)错误扩散小(一个码元出错不影响其它码元);
2)速度快、实时性好;
3)安全程度高。
**缺点:**密钥需要同步
原理:
1)在密钥的控制下一次变换一个明文分组;
2)将明文序列以固定长度进行分组,每一组明文用相同的密钥和加密函数进行运算。
最典型分组密码是DES数据加密标准,它是单钥密码体制的最成功的例子。
双钥密码体制(奠定了公钥密码系统的基础),每个用户都有一对密钥:
1)一个是公钥(PK),可以像电话号码一样进行注册公布;另一个是私钥(SK),由用户自己秘密保存;
2)两个密钥之间存在某种算法联系,但由一个密钥无法或很难推导出另一个密钥。
又称为公钥密码体制或非对称密码体制。
整个系统的安全性在于:从对方的公钥PK和密文中要推出明文或私钥SK在计算上是不可行的。
将加密和解密能力分开
1)多个用户加密的消息只能由一个用户解读:保密通信;
2)只由一个用户加密消息而使多个用户可以解读:数字签名认证。
RSA体制基于“大数分解和素数检测”这一著名数论难题:
1)将两个大素数相乘十分容易,但将该乘积分解为两个大素数因子却极端困难;
2)素数检测就是判定一个给定的正整数是否为素数。
知识基础:
1)欧拉函数φ(n)是小于等于n的正整数中与n互质的数的数目。
举例来看:
如果p是质数,φ§=p-1.
如果p,q都是质数,φ(pq)=(p-1)(q-1).
2)欧几里德算法又称辗转相除法,用于计算两个整数a, b的最大公约数。
其计算原理依赖于下面的定理:gcd (a, b**) =** gcd (b, a mod b)
RSA密钥产生过程如下
①生成两个大素数 p 和 q;
②计算这两个素数的乘积 n= p * q;
③计算小于n并且与n互质的整数的个数,即欧拉函数 φ(n) = (p - 1) *(q - 1);
④随机选择一个加密密钥e,使e满足1< e < φ(n),并且e和φ(n)互质;
⑤利用欧几里德扩展算法计算e的逆元d,以满足: e * d mod φ(n)= 1
⑥公钥PK={e, n};对应的私钥SK={d}
根据密钥产生过程,举例来看:
①选择素数**