网络安全,谢希仁7-1网络安全问题概述.docx

目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc415594021 第 6章 网络安全 PAGEREF _Toc415594021 \h 1 HYPERLINK \l _Toc415594022 6.1 网络安全问题概述 PAGEREF _Toc415594022 \h 1 HYPERLINK \l _Toc415594023 6.1.1 计算机网络面临的安全性威胁 PAGEREF _Toc415594023 \h 1 HYPERLINK \l _Toc415594024 6.1.2 计算机网络安全的内容 PAGEREF _Toc415594024 \h 2 HYPERLINK \l _Toc415594025 6.1.3 一般的数据加密模型 PAGEREF _Toc415594025 \h 3 HYPERLINK \l _Toc415594026 6.2 两类密码体制 PAGEREF _Toc415594026 \h 3 HYPERLINK \l _Toc415594027 6.2.2 公钥密码体制 PAGEREF _Toc415594027 \h 4 HYPERLINK \l _Toc415594028 6.3 数字签名 PAGEREF _Toc415594028 \h 5 HYPERLINK \l _Toc415594029 6.4 鉴别 PAGEREF _Toc415594029 \h 6 HYPERLINK \l _Toc415594030 6.4.1 报文鉴别 PAGEREF _Toc415594030 \h 6 第 6章 网络安全 随着计算机网络的发展，网络中的安全问题也日趋严重。当网络的用户来自各个阶层与部门时，大量在网络中存储和传输的数据就需要保护。由于计算机网络安全是另一门专业学科，所以本章节只对计算机网络安全文艺的基本内容进行初步介绍。 6.1 网络安全问题概述 本节讨论计算机网络面临的安全性威胁、计算机网络安全的内容和一般的数据加密模型。 6.1.1 计算机网络面临的安全性威胁 计算机网络上的通信面临以下的四种威胁： (1) 截获（interception） 攻击者从网络上窃听他人的通信内容。 (2) 中断（interruption） 攻击者有意中断他人在网络上的通信。 (3) 篡改（modification） 攻击者故意篡改网络上传送的报文。 (4) 伪造（fabrication） 攻击者伪造信息在网络上传送。 以上四种威胁可分为两大类，即被动攻击和主动攻击（图6-1）。在上述情况中，截获信息的攻击被称为被动攻击，而中断、篡改和伪造信息的攻击称为主动攻击。 图6-1网络的被动攻击和主动攻击 在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU（这里使用PDU这一名词时考虑所涉及到的可能是不同的层次） 而不干扰信息流。即使这些数据对攻击者来说是不易理解的，他也可以通过观察PDU的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的某种性质。这种被动攻击又被称为流量分析（traffic analysis）。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。如有选择地更改、删除、延迟这些PDU，还可以在稍后的时间将以前录下的PDU插入这个连接（即重放攻击）。甚至还可以将合成的或伪造的PDU送入到一个连接中去。 所有主动攻击都是上述几种方法的某种组合。但从类型上看，主动攻击又可以进一步分为三种，即： （1）更改报文流 包括对通过连接的PDU的真实性、完整性和有序性的攻击。 （2）拒绝服务 指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常服务。在2000年2月7日至9日美国几个著名网站遭黑客袭击，使这些网站的服务器一直处于“忙”的状态，因而无法向发出请求的客户提供服务。这种攻击被称为攻击服务DoS（Denial of Service）。若从因特网上的成千上百的网站集中攻击一个网站，则成为分布式拒绝服务DDoS（Distributed Denial of Service）。有时也把这种攻击称为网络带宽攻击或连通性攻击。 （3）伪造连接初始化 攻击者重放以前已被记录的合法连接初始化序列，或者伪造身份而企图建立连接。 对于主动攻击，可以采取适当措施加以检测。但对于被动攻击，通常却是检测不出来的。根据这些特点，可得出计算机网络通信安全的五个目标如下： (1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连