计算机网络基础：网络安全

攻击

被动攻击

1. 指攻击者从网络上窃听他人的通信内容。通常把这类攻击称为截获。
2. 在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU，以便了解所交换的数据的某种性质。但不干扰信息流。
3. 这种被动攻击又称为流量分析 (traffic analysis)。

**应对：**数据加密

主动攻击

1. 篡改。故意篡改网络上传送的报文。这种攻击方式有时也称为更改报文流。
2. **恶意程序。**计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等。
3. **拒绝服务。**指攻击者向互联网上的某个服务器不停地发送大量分组，使该服务器无法提供正常服务，甚至完全瘫痪。

**应对：**加密 + 鉴别

分布式拒绝服务 DDoS

1. 若从互联网上的成百上千的网站集中攻击一个网站，则称为分布式拒绝服务 DDoS (Distributed Denial of Service)。
2. 有时也把这种攻击称为网络带宽攻击或连通性攻击。

加密

密钥

明文通过加密算法 $E$ 和加密密钥 $K_1$ 变成密文 $Y$：

$$Y = E_{K_1}(X)$$

解密算法 $D$ 运算和解密密钥 $K_2$ 解出明文 $X$。解密算法是加密算法的逆运算：

$$D_{K_2}(Y) = D_{K_2}(E_{K_1}(X)) = X$$

• 加密密钥可以与解密密钥相同，也可以不同。
• 密钥可以由密钥中心提供。
• 当密钥需要向远地传送时，一定要通过另一个安全信道。

**密码编码学：**密码体制的设计学

密码分析学：在未知密钥的情况下从密文推演出明文或密钥的技术

密码编码学 + 密码分析学 = 密码学

对称密钥密码体制

• 加密密钥与解密密钥是相同的密码体制

DES

将明文分组后分别加密：

1. 在加密前，先对整个明文进行分组。每一个组长为 64 位。
2. 对每一个 64 位数据进行加密处理，产生64 位密文数据。
3. 各组密文串接起来，得出整个的密文。
4. 使用的密钥为 64 位（实际密钥长度为 56 位，有 8 位用于奇偶校验)。

DES 的保密性仅取决于对密钥的保密，56位的 DES 已不再认为是安全的

3DES

$$Y = DES_{K_1}(DES^{-1}_{K_2}(DES_{K_1}(X)))$$

也就是先使用一个密钥进行加密，再用另一个密钥解密，再用原来的密钥再加密。称为三重 DES

公钥密码体制

使用不同的加密密钥与解密密钥

由已知加密密钥推导出解密密钥在计算上是不可行的

公钥：加密密钥，Public key，公开的

私钥：解密密钥，Secret key，需要保密

私钥由公钥决定，但是不能根据公钥计算出私钥

• 如果某一信息用公开密钥加密，则必须用私有密钥解密，这就是实现保密的方法
• 如果某一信息用私有密钥加密，那么，它必须用公开密钥解密。这就是实现数字签名的方法

数字签名

数字签名必须保证以下三点：
报文鉴别——接收者能够核实发送者对报文的签名（证明来源）；
报文的完整性——发送者事后不能抵赖对报文的签名（防否认）；
不可否认——接收者不能伪造对报文的签名（防伪造）。
现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。