计算机网络安全(姚永雷马力)的定义.docVIP

网络安全的定义：网络安全是指网络系统的软件、硬件以及系统中存储和传输的数据受到保护，不因偶然的或者恶意的原因遭到破坏、更改、泄露，网络系统连续可靠正常的运行，网络服务不中断。 计算机网络是地理上分散的多台自主计算机互联的集合。 怎样保证网络上信息的安全？首先需要自主计算机系统的安全；其次需要互联的安全，及连接自主计算机的通信设备、通信链路、网络软件和通信协议的安全；最后需要各种网络服务和应用的安全。 网络安全的具体含义随着利益双方的变化而变化：1）从一般用户的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时能够保持机密性、完整性和真实性，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯自身利益。2）从网络运行者和管理者的角度来说，他们希望对网络信息的访问受到保护和控制，避免出现非法使用、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。 网络安全的属性：1）机密性。保证信息和信息系统不被非授权的用户、实体或过程所获取与使用。2）完整性。信息在存取或传输时不被修改、破坏、或不发生信息包丢失、乱序等。3）可用性。信息与信息系统可被授权实体正常访问的特性，即授权实体当需要时能够存取所需信息。4）可控性。对信息的存取于传播具有完全的控制能力，可以控制信息的流向和行为方式。5）真实性。也就是可靠性，指信息的可用度，包括信息的完整性、准确性和发送人的身份证实等方面，也就是信息安全性的基本要素。 机密性，完整性和可用性通常被认为是网络安全的三个基本要素 各层次安全问题：物理层：在通信线路上采取电磁屏蔽、电磁干扰防止。数据链路层：采用通信保密机进行加密。网络层：使用防火墙技术处理经过网络的信息。传输层：可以采用端到端加密，即进程到进程的加密。应用层：主要是针对用户身份进行认证，并且可以建立安全的通信信道。 任何用来保证安全的方法都包含两个因素：1、发送方对信息进行安全相关的转换2、双方共享某些秘密信息，并希望这些信息不为攻击者所知。 应对非授权访问所需的安全机制分为两大类：第一类称为网闸功能 第二类称为内部监控 被动攻击采取的方法是对传输中的信息进行窃听和监测，主要目标是获得传输的信息。有两种主要的被动攻击方式：信息收集和流量分析 主动攻击包括对数据流进行篡改或伪造数据流，可分为四类：伪装、重放、修改消息和拒绝服务。 安全服务是安全属性的具体表述。定义了5大类：鉴别服务 访问控制服务 数据保密性服务 数据完整性服务 抗否认性服务 加密机制：1、对称密钥密码体制，加密和解密使用相同的秘密密钥 2、非对称密钥密码体制：加密使用公开密钥，解密使用私人密钥 原始的消息称为明文，而加密后的消息称为密文。将明文变换成密文，以使非授权用户不能获取原始消息的过程称为加密；从密文恢复明文的过程称为解密。 实际应用中的加密算法应该尽量满足以下标准：1、破译密码的代价超出密文信息的价值2、破译密码的时间超出密文信息的有效生命期 置换：对明文字符按某种规律进行位置的交换而形成密文的技术称为置换。代换：代换是古典密码中最基本的处理技巧，在现代密码学中也得到了广泛应用。代换法是将明文字母用其他字母、数字或符号替换的一种方法。 对密码分为两大类：流密码和分组密码 为什么要提出AES：原来分组的标准是DES，但随着技术的发展不断被攻破，DES的密钥太短，AES是现在分组采用的标准，在安全性要求很高的时候不用DES，多用AES 加密功能设置有：链路加密、结点加密、端到端加密。链路加密：对于两个网络结点间的通信链路，链路加密能为传输的数据提供安全保证。链路加密将加密功能设置在通信链路两端，所有消息在被传输之前进行加密，传输路径上的每一个结点接收到消息后首先进行加密，然后使用下一个链路的密钥对消息进行加密，再进行传输。依次进行，直至达目的地 结点加密：和链路相似。不同在于，结点加密不允许消息在网络结点以明文形式存在，它先把收到的消息进行解密，然后采用另一个不同的密钥进行加密 端到端加密：在两端系统中进行，由发送方主机加密数据，密文经由网络传送到接收方主机，接收方主机使用与源主机共享的密钥对密文进行解密 密匙的分配有几种方法：1）密匙由A选择，并亲自交给B。2）第三方C选择密匙后亲自交给A和B。3）如果A和B以前或最近使用过某密匙，其中一方可以用它加密一个新密匙后再发给另一方。4）A和B与第三方C均有秘密渠道，则C可以将一密匙分别秘密发送给A和B。 公钥密码的两种基本用途是用来进行加密和认证。 公钥密码体制主要有两类：一类是基于大整数因子分解问题的最典型的代表是RSA；另一类是基于离散对数问题的，例如椭圆曲线公钥密码体制。 密钥的管理的核心问题是：确保使用中的密钥能安全可靠。 公钥的几种分配方法：广播式公钥分发、目录式公钥分发、公钥授权、