一、計算機網絡面臨的安全性威脅計算機網絡上的通信面臨以下的四種威脅：

截獲——從網絡上竊聽他人的通信內容。

中斷——有意中斷他人在網絡上的通信。

篡改——故意篡改網絡上傳送的報文。

偽造——偽造信息在網絡上傳送。截獲信息的攻擊稱為被動攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。

image

二、被動攻擊和主動攻擊被動攻擊

攻擊者只是觀察和分析某一個協議數據單元 PDU 而不干擾信息流。

主動攻擊

指攻擊者對某個連接中通過的 PDU 進行各種處理，如：

• 更改報文流

• 拒絕報文服務

• 偽造連接初始化

三、計算機網絡通信安全的目標

(1) 防止析出報文內容；

(2) 防止通信量分析；

(3) 檢測更改報文流；

(4) 檢測拒絕報文服務；

(5) 檢測偽造初始化連接。

四、惡意程序(rogue program)

計算機病毒——會“傳染”其他程序的程序，“傳染”是通過修改其他程序來把自身或其變種復制進去完成的。

計算機蠕蟲——通過網絡的通信功能將自身從一個結點發送到另一個結點并啟動運行的程序。

特洛伊木馬——一種程序，它執行的功能超出所聲稱的功能。

邏輯炸彈——一種當運行環境滿足某種特定條件時執行其他特殊功能的程序。

五、計算機網絡安全的內容

保密性

安全協議的設計

訪問控制

六、公鑰密碼體制

公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。

1、公鑰和私鑰：

• 在公鑰密碼體制中，加密密鑰(即公鑰) PK（Public Key） 是公開信息，而解密密鑰(即私鑰或秘鑰) SK(Secret Key) 是需要保密的。

• 加密算法 E(Encrypt) 和解密算法 D 也都是公開的。

• 雖然秘鑰 SK 是由公鑰 PK 決定的，但卻不能根據 PK 計算出 SK。

2、公鑰算法的特點：

發送者 A 用 B 的公鑰 PKB 對明文 X 加密（E 運算）后，在接收者 B 用自己的私鑰 SKB 解密（D 運算），即可恢復出明文： 

image

解密密鑰是接收者專用秘鑰，對其他人都保密。

加密密鑰是公開的，但不能用它來解密，即：

image

加密和解密的運算可以對調，即：

image

tips:

• 在計算機上可容易地產生成對的 PK 和 SK。

• 從已知的 PK 實際上不可能推導出 SK，即從 PK 到 SK 是“計算上不可能的”。

• 加密和解密算法都是公開的。

七、 數字簽名1、數字簽名必須保證以下三點：

(1) 報文鑒別——接收者能夠核實發送者對報文的簽名；

(2) 報文的完整性——發送者事后不能抵賴對報文的簽名；

(3) 不可否認——接收者不能偽造對報文的簽名。

現在已有多種實現各種數字簽名的方法。但采用公鑰算法更容易實現。

2、數字簽名的實現 ：

image

因為除 A 外沒有別人能具有 A 的私鑰，所以除 A 外沒有別人能產生這個密文。因此 B 相信報文 X 是 A 簽名發送的。

若 A 要抵賴曾發送報文給 B，B 可將明文和對應的密文出示給第三者。第三者很容易用 A 的公鑰去證實 A 確實發送 X 給 B。

反之，若 B 將 X 偽造成 X‘，則 B 不能在第三者前出示對應的密文。這樣就證明了 B 偽造了報文。

image

八、鑒別

在信息的安全領域中，對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改和偽造則要用鑒別(authentication) 。

報文鑒別使得通信的接收方能夠驗證所收到的報文（發送者和報文內容、發送時間、序列等）的真偽。

使用加密就可達到報文鑒別的目的。但在網絡的應用中，許多報文并不需要加密。應當使接收者能用很簡單的方法鑒別報文的真偽。

鑒別的手段

1 報文鑒別（使用報文摘要 MD (Message Digest)算法與數字簽名相結合）

2 實體鑒別

九、運輸層安全協議1、安全套接層 SSL(Secure Socket Layer)

• SSL可對萬維網客戶與服務器之間傳送的數據進行加密和鑒別。

• SSL 在雙方的聯絡階段協商將使用的加密算法和密鑰，以及客戶與服務器之間的鑒別。

• 在聯絡階段完成之后，所有傳送的數據都使用在聯絡階段商定的會話密鑰。

• SSL 不僅被所有常用的瀏覽器和萬維網服務器所支持，而且也是運輸層安全協議 TLS (Transport Layer Security)的基礎。

1.1 SSL 的位置

image

1.2 SSL的三個功能：

(1) SSL 服務器鑒別 允許用戶證實服務器的身份。具有 SS L 功能的瀏覽器維持一個表，上面有一些可信賴的認證中心 CA (Certificate Authority)和它們的公鑰。

(2) 加密的 SSL 會話 客戶和服務器交互的所有數據都在發送方加密，在接收方解密。

(3) SSL 客戶鑒別 允許服務器證實客戶的身份。

2、安全電子交易SET(Secure Electronic Transaction)

SET 的主要特點是：

(1) SET 是專為與支付有關的報文進行加密的。

(2) SET 協議涉及到三方，即顧客、商家和商業銀行。所有在這三方之間交互的敏感信息都被加密。

(3) SET 要求這三方都有證書。在 SET 交易中，商家看不見顧客傳送給商業銀行的信用卡號碼。

十、防火墻(firewall)

** 防火墻**是由軟件、硬件構成的系統，是一種特殊編程的路由器，用來在兩個網絡之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。

防火墻內的網絡稱為“**可信賴的網絡**”(trusted network)，而將外部的因特網稱為“**不可信賴的網絡**”(untrusted network)。

** 防火墻可用來解決內聯網和外聯網的安全問題**。

image

防火墻在互連網絡中的位置

1、防火墻的功能

防火墻的功能有兩個：阻止和允許。

“阻止”就是阻止某種類型的通信量通過防火墻（從外部網絡到內部網絡，或反過來）。

“允許”的功能與“阻止”恰好相反。

防火墻必須能夠識別通信量的各種類型。不過在大多數情況下防火墻的主要功能是“阻止”。

2、防火墻技術的分類

(1) 網絡級防火墻——用來防止整個網絡出現外來非法的入侵。屬于這類的有分組過濾和授權服務器。前者檢查所有流入本網絡的信息，然后拒絕不符合事先制訂好的一套準則的數據，而后者則是檢查用戶的登錄是否合法。

(2) 應用級防火墻——從應用程序來進行接入控制。通常使用應用網關或代理服務器來區分各種應用。例如，可以只允許通過訪問萬維網的應用，而阻止 FTP 應用的通過。

image

image

各位寶寶們，如果對【19應屆生】有任何建議或者需要商務合作，可以在菜單“聯系我們”加我們工作人員的客服號反饋哦，一起加油吧~！

image