计算机网络(13)
网络安全
网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的破坏、更改、泄露, 系统能连续、可靠、正常地运行,服务不中断。
网络安全简单的说是在网络环境下能够识别和消除不安全因素的能力。
网络安全的5大要素
- 保密性
- 保护数据避免非授权泄露,保障数据来源的可靠性
- 完整性
- 阻止对数据进行非授权篡改
- 可用性
- 数据可访问,无延迟
- 可控性
- 控制数据传播范围和方式
- 可审查性
- 对出现的网络安全问题提供调查的依据和手段
安全机制位于协议栈的哪一层(没有一个单独的位置,因为安全性与每一层都有关)
- -物理层:传输线封装在包含高压氩气的密封管,漏气报警
- -数据链路层:点到点线路加解密,不能经过中间路由器
- -网络层:防火墙、IP报文头的安全域
- -传输层:端到端连接的加解密
- -应用层:大多数安全机制都集中在此层
加密技术
利用技术手段把数据变为乱码(加密)传送,到达目的地后再用 相同或不同的手段还原(解密)
| 加密技术 | 概念 | features | problems |
|---|---|---|---|
| 哈希 | :无秘钥,单向 | ||
| 单**加密又称对称加密DES | 1个** | 优点:加解密速度快 | 1.**管理量大,2,**传输信道要求更高安全性,3,数字签名的问题 |
| 公开**加密(非对称加密算法)RSA | 2个**(key),公钥和私钥,公钥密码学的提出是为了解决两个问题: • **的分配与• 数字签名 | 1,加密和解密能力分开,私钥不能由公钥推导出来2,多个用户加密的消息只能由一个用户解读(用于公共网络中实现 保密通信)3,只能由一个用户加密消息而使多个用户可以解读(数字签名)4,无需事先分配**5,**持有量大大减少 | 加解密速度慢 |
单向校验和(CK):不需要对整个报文加密的身份验证模式
• 假定有一明文报文P,计算出CK§必须比较容易,但从CK§几乎
不可能找出P
• 有很多这种单向性质的数学函数
报文鉴别和报文摘要
报文鉴别是一个过程,它使得通信的接收方能够验证所收到的报 文的真伪。报文鉴别码是用一个**生成的一个小的数据块追加 在报文的后面。这种技术假定通信的双方共享一个**K。
报文摘要是报文鉴别码的一个变种,将可变长度的报文M作为单 向散列函数的输入,然后得出一个固定长度的标志H(M),这个 H(M)就称为报文摘要MD。
网络攻击
| 网络攻击 | 概念 | 类型 |
|---|---|---|
| 主动攻击 | 主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端,拒绝服务。 | 1,篡改消息是指一个合法消息的某些部分被改变、删除,消息被延迟或改变顺序,通常 用以产生一个未授权的效果。如修改传输消息中的数据,将“允许甲执行操作”改为 “允许乙执行操作”。2,伪造指的是某个实体(人或系统)发出含有其他实体身份信息的数据信息,假扮成其他实体,从而以欺骗方式获取一些合法用户的权利和特权。3,拒绝服务即常说的DoS(Deny of Service),会导致对通讯设备正常使用或管理被无 条件地中断。通常是对整个网络实施破坏,以达到降低性能、中断服务的目的。这种 攻击也可能有一个特定的目标,如到某一特定目的地(如安全审计服务)的所有数据包都被组织。 |
| 被动攻击 | 被动攻击中攻击者不对数据信息做任何修改,截取/窃听是指在未经用户同 意的情况下攻击者获得了信息。通常包括窃听、流量分析、**弱加密的数 据流等攻击方式。 | 1,流量分析攻击方式适用于一些特殊场合,例如敏感信息都是保密的,攻击者虽然从截 获的消息中无法的到消息的真实内容,但攻击者还能通过观察这些数据报的模式,分 析确定出通信双方的位置、通信的次数及消息的长度,获知相关的敏感信息,这种攻 击方式称为流量分析。2,窃听:目前应用最广泛的局域网上的数据传送是基于广播方式进行的,这就使一台主机有可 能受到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时,它就可以将网 络上传送的所有信息传送到上层,以供进一步分析。如果没有采取加密措施,通过协 议分析,可以完全掌握通信的全部内容。 |
| 口令入侵 | 所谓口令入侵是指使用某些 合法用户的帐号和口令登录 到目的主机,然后再实施攻 击活动。这种方法的前提是 必须先得到该主机上的某个 合法用户的帐号,然后再进 行合法用户口令的破译 | |
| 特洛伊木马 | 放置特洛伊木马程式能直接侵入用户的计算机并进行破坏,常被 伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程序的邮 件附件或从网上直接下载,一旦用户打开了这些邮件的附件或执 行了这些程序之后,就会在自己的计算机启动时悄悄执行的程序。 | 当你连接到因特网上时,这个程序就会通知攻击者,来报告你的 IP地址及预先设定的端口。攻击者在收到这些信息后,再利用这 个潜伏在其中的程式,就能任意地修改你的计算机的参数设定、 复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算 机的目的。 |
| Web欺骗 | Web欺骗是一种电子信息欺骗,攻击者在创造了整个Web世界的一 个令人信服但是完全错误的拷贝。错误的Web看起来十分逼真, 它拥有相同的网页和链接。然而,攻击者控制着错误的Web站点, 这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所 截获。 | |
| 网络监听 | 网络监听是主机的一种工作模式,在这种模式下,主机能接收到 本网段在同一条物理通道上传输的所有信息,而不管这些信息的 发送方和接收方是谁。 | 虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听 者往往能够获得其所在网段的所有用户帐号及口令。 |
| DOS攻击 | DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过向目标网络发送大 量数据包耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常 的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。 | DDoS:Distributed Denial of Service,即分布式拒绝服务攻击。借助于 客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目 标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 |
区块链与比特币
区块链的技术本质与核心价值:
技术本质:区块链(Block chain)是一种创新的分布式交易验证和数据共享技术,也被称为分布式账本技术。
核心价值:区块链通过构建P2P自组织网络、时间有序不可篡改的密 据共享技术,也被称为分布式账本技术。 码学共享账本、分布式共识机制,从而实现去中心化信任。