計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)(八)——網(wǎng)絡(luò)安全技術(shù)

摘要

計(jì)算機(jī)網(wǎng)絡(luò)安全概述
信息加密技術(shù)
Internet 中的安全協(xié)議
防火墻技術(shù)

一了袁、計(jì)算機(jī)網(wǎng)絡(luò)安全概述

什么是計(jì)算機(jī)網(wǎng)絡(luò)安全载绿？
計(jì)算機(jī)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)崭庸、通信技術(shù)、密碼技術(shù)函筋、應(yīng)用數(shù)學(xué)和信息論等多門類知識(shí)的綜合性學(xué)科跌帐。利用管理控制和技術(shù)措施谨敛，保證在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中脸狸，數(shù)據(jù)信息的機(jī)密性炊甲、完整性和可用性受到保護(hù)卿啡。
計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)是什么牵囤？
機(jī)密性、完整性梆奈、可用性乓梨、不可抵賴性扶镀、可控性臭觉。
網(wǎng)絡(luò)安全的主要技術(shù)有哪些蝠筑？

1）加密技術(shù)：是基于密碼學(xué)理論的一種技術(shù)，將明文利用密鑰臣镣，通過加密算法交換成密文退疫，從而在網(wǎng)絡(luò)中進(jìn)行保密傳輸褒繁。

2）鑒別技術(shù)：對(duì)于網(wǎng)絡(luò)中各種不安全因素燕差，如攻擊徒探、竊取和篡改等行為测暗，以及病毒碗啄、蠕蟲、木馬等惡意代碼厦酬，及時(shí)準(zhǔn)確地進(jìn)行判斷和識(shí)別。

3）防火墻技術(shù)：是一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法昌讲，主要用于限制被保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的信息交互。

4）訪問控制技術(shù)：計(jì)算機(jī)網(wǎng)絡(luò)管理者對(duì)網(wǎng)絡(luò)中的用戶和用戶組賦予不同的權(quán)限鸠按，來對(duì)網(wǎng)絡(luò)中的文件目尖、目錄和設(shè)備資源進(jìn)行不同的操作瑟曲。

5）防病毒技術(shù)：對(duì)計(jì)算機(jī)病毒洞拨、蠕蟲、木馬和邏輯炸彈等惡意程序進(jìn)行預(yù)防花吟、監(jiān)測(cè)和消除衅澈。

6）監(jiān)控審計(jì)技術(shù)：對(duì)用戶使用計(jì)算機(jī)網(wǎng)絡(luò)的各種活動(dòng)進(jìn)行檢測(cè)经备，記錄系統(tǒng)產(chǎn)生的各種事件侵蒙，可以為系統(tǒng)出現(xiàn)問題時(shí)提供重要依據(jù)蘑志。

7）備份技術(shù)：為了防止各種網(wǎng)絡(luò)安全威脅帶來的破壞，要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的信息和數(shù)據(jù)進(jìn)行有效的備份搞乏，以便發(fā)生故障時(shí)盡快地全面恢復(fù)。

常用的計(jì)算機(jī)網(wǎng)絡(luò)安全措施有哪些侍筛？

1）物理隔離：只在單機(jī)或小范圍局域網(wǎng)內(nèi)進(jìn)行數(shù)據(jù)通信匣椰。

2）邏輯隔離：采用軟件或硬件方式禽笑，在邏輯上對(duì)某些網(wǎng)絡(luò)業(yè)務(wù)或應(yīng)用進(jìn)行控制和阻隔，主要方法是使用防火墻凡桥。

3）加密通信：將明文轉(zhuǎn)換成密文傳輸望蜡。

4）采用專用網(wǎng)或虛擬專用網(wǎng)：專用網(wǎng)是指租用電信公司的通信線路專門為某個(gè)機(jī)構(gòu)或組織提供服務(wù)谢肾，優(yōu)點(diǎn)是安全程度高芦疏，缺點(diǎn)是費(fèi)用高酸茴；虛擬專用網(wǎng)（VPN）是利用公用的Internet 作為某個(gè)機(jī)構(gòu)或組織網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸通道，利用IP隧道技術(shù)和加密技術(shù)在邏輯上實(shí)現(xiàn)特定網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)配喳。

5）病毒防御：在網(wǎng)絡(luò)中的服務(wù)器和客戶端中安裝殺毒軟件被济，對(duì)網(wǎng)絡(luò)進(jìn)行病毒防御只磷。

6）身份認(rèn)證：對(duì)于不同身份，授予相應(yīng)的系統(tǒng)使用權(quán)限阿迈，并通過用戶賬戶的設(shè)置和管理惠毁，進(jìn)行用戶身份的認(rèn)證鞠绰。

7）網(wǎng)絡(luò)管理和審計(jì)：通過對(duì)網(wǎng)絡(luò)流量蜈膨、業(yè)務(wù)類型和訪問時(shí)間等信息的統(tǒng)計(jì)分析驴一，可以了解網(wǎng)絡(luò)運(yùn)行的負(fù)載肝断、用戶的需求和興趣胸懈，以及網(wǎng)絡(luò)的異常和危險(xiǎn)，從而及時(shí)采用相應(yīng)的措施首有。

二井联、信息加密技術(shù)

2.1 信息加密概述

信息加密是利用密碼學(xué)的原理和方法對(duì)數(shù)據(jù)傳輸提供保護(hù)的手段低矮。信息加密的一般模型如下圖所示。

信息加密的一般模型

其中明文是輸入的原始信息，密文是明文經(jīng)過加密變換后的結(jié)果跃洛，密鑰是參與密碼變換的參數(shù)葱蝗，加密算法是將明文變換為密文的變換函數(shù)两曼，變換過程稱為加密悼凑；解密算法是將密文恢復(fù)到明文的變換函數(shù)户辫，變換過程稱為解密墓塌。信息加密的要求滿足：

$P = D_k(E_k(P))$

即用加密算法得到的密文總是能用一定的解密算法恢復(fù)出原始的明文來桃纯。

2.2 密碼體制分類

密碼體制根據(jù)加密原理的不同可以分為 對(duì)稱密鑰密碼體制 和 非對(duì)稱密鑰密碼體制 兩種類型态坦。

1. 對(duì)稱密鑰密碼體制
又稱為單密鑰密碼體制伞梯，是指加密密鑰和解密密鑰相同的密碼體制。對(duì)稱密鑰密碼體制的保密性取決于對(duì)密鑰的保密喻旷，其加密和解密算法是公開的且预。在加密前锋谐，先產(chǎn)生一個(gè)密鑰，該密鑰或由信息發(fā)送方產(chǎn)生迂苛，然后通過保密的信道傳遞給接收方就漾；或者由可信的第三方生成从藤，然后通過保密的信道分別發(fā)送給發(fā)送方和接收方夷野。
經(jīng)典的加密算法是DES骑丸，其基本思想是：將明文分成若干個(gè)組通危，每個(gè)組是64位長(zhǎng)的二進(jìn)制數(shù)據(jù)菊碟，然后對(duì)每組64位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理逆害，產(chǎn)生一組64位的密文數(shù)據(jù)，各組密文數(shù)據(jù)構(gòu)成整個(gè)的密文纯陨。采用64位二進(jìn)制的密鑰留储，其中有效密鑰是56位机久，8位用于奇偶校驗(yàn)赔嚎。共有 $2^{56}$ 種可能的密鑰，隨著計(jì)算機(jī)性能的不斷提高损晤，DES 56 位密鑰已經(jīng)不滿足安全性要求尤勋，因此出現(xiàn)了使用 128 位密鑰的加密算法 IDEA瘦棋。

2. 非對(duì)稱密鑰密碼體制
又稱為雙密鑰密碼體制赌朋，其特點(diǎn)是加密密鑰和解密密鑰不同。每次生成密鑰時(shí)都生成一對(duì)不同的密鑰团甲，其中一個(gè)是加密密鑰伐庭，向公眾公開，稱為公鑰集乔；另一個(gè)是解密密鑰,對(duì)公眾保密扰路，稱為私鑰汗唱。
雙密鑰產(chǎn)生的原因是：一是為了解決對(duì)稱密鑰密碼體制中的密鑰管理和分配問題；二是為了滿足對(duì)數(shù)字簽名的需求际插。
基本過程：每個(gè)用戶在獲得自己的密鑰對(duì)后框弛，將加密密鑰公開給網(wǎng)絡(luò)中的其他用戶斗搞，當(dāng)其他用戶需要給某個(gè)用戶發(fā)送數(shù)據(jù)時(shí)榜旦，使用該用戶公開的加密密鑰進(jìn)行加密，該用戶收到密文后咐旧，用自己保存的解密密鑰進(jìn)行解密绩蜻，還原出明文铣墨。
優(yōu)點(diǎn)：公開加密密鑰，大大簡(jiǎn)化了密鑰的管理和傳輸办绝。
最著名的非對(duì)稱密鑰密碼體制是 RSA 密碼體制伊约。

2.3 密鑰的分配

2.3.1 對(duì)稱密鑰的分配
假設(shè)網(wǎng)絡(luò)有n個(gè)用戶，其中的任意兩個(gè)人要進(jìn)行加密通信孕蝉，且加密密鑰和解密密鑰相同屡律，則一共需要 n(n-1) 個(gè)密鑰。如果每?jī)蓚€(gè)用戶共享一個(gè)密鑰，則網(wǎng)絡(luò)通信需要的密鑰數(shù)為 n(n-1)/2 。為了管理大量的密鑰，并且能安全地傳遞給通信的雙方絮蒿，需要在網(wǎng)絡(luò)中設(shè)置一臺(tái)專門的密鑰分配服務(wù)器但壮，稱為 密鑰分配中心 KDC 溯祸。KDC 的任務(wù)是為每次需要進(jìn)行加密通信的用戶分配一個(gè)只使用一次的密鑰剃根。網(wǎng)絡(luò)中需要進(jìn)行加密通信的用戶都要在 KDC 服務(wù)器進(jìn)行登記苗傅，并且獲取一個(gè)用戶與 KDC 服務(wù)器進(jìn)行加密通信的密鑰，稱為 主密鑰 。
密鑰分配分為三個(gè)步驟，如下圖所示。

KDC密鑰分配過程

1）用戶A向 KDC服務(wù)器發(fā)送明文數(shù)據(jù)府蔗，表明想要同 B 進(jìn)行加密通信。明文中包含 A 和 B 在 KDC 中所登記的身份誓斥。

2）KDC 服務(wù)器接到 A 的請(qǐng)求后析珊，利用隨機(jī)數(shù)產(chǎn)生一個(gè)供 A 和 B 加密通信使用的密鑰 $K_{AB}$ ，將 $K_{AB}$ 和一個(gè)被稱為 “票據(jù)”（Ticket）的數(shù)據(jù)段打包茄袖，并且用 A 的主密鑰加密一起發(fā)給A藏澳。票據(jù)中包含 A 和 B 在 KDC 中登記的身份和 $K_{AB}$ 复罐，并使用 B 的主密鑰進(jìn)行加密乱投。

3）A 收到 KDC 發(fā)回的數(shù)據(jù)報(bào)文后剑刑，將票據(jù)轉(zhuǎn)發(fā)給 B 狸驳。當(dāng) B 收到 A 轉(zhuǎn)發(fā)來的票據(jù)后卤材，使用自己的主密鑰進(jìn)行解密卓练，得到了 A 和 B 在 KDC 中的登記身份冰评，就知道 A 要同它進(jìn)行通信函匕，同時(shí)也知道了 KDC 為 A 和 B 通信所分配的密鑰 $K_{AB}$ 。這樣躬翁，A 就可以利用 $K_{AB}$ 與 B 進(jìn)行加密通信了腋腮。

目前最出名的密鑰分配協(xié)議是 Kerberos V5，是美國(guó)麻省理工學(xué)院（MIT）開發(fā)的。Kerberos 既是鑒別協(xié)議卿嘲，同時(shí)也是 KDC姨蝴，現(xiàn)在是互聯(lián)網(wǎng)建議標(biāo)準(zhǔn)偶器。Kerberos 使用 AES進(jìn)行加密检眯。大致工作過程如下圖所示。

Kerberos的工作原理

Kerberos 使用兩個(gè)服務(wù)器：鑒別服務(wù)器 AS （Authentication Server）艇炎、票據(jù)授予服務(wù)器 TGS （Ticket-Granting Server）。Kerberos 只用于客戶與服務(wù)器之間的鑒別，而不用于人對(duì)人的鑒別宋列。上圖中 A 是請(qǐng)求服務(wù)的客戶黔衡，B 是被請(qǐng)求的服務(wù)器型檀。Kerberos 經(jīng)過六個(gè)步驟才向 A 和 B 分配會(huì)話使用的密鑰。步驟如下。

1）A 用明文向鑒別服務(wù)器 AS 表明自己的身份闹炉。AS 就是 KDC，它掌握各實(shí)體登記的身份和相應(yīng)的口令。AS 對(duì) A 的身份進(jìn)行驗(yàn)證峻贮。只有驗(yàn)證正確悠汽，才允許 A 和票據(jù)授權(quán)服務(wù)器 TGS 進(jìn)行聯(lián)系姻采。

2）鑒別服務(wù)器 AS 向 A 發(fā)送用 A 的對(duì)稱密鑰 $K_A$ 加密的報(bào)文雅采，這個(gè)報(bào)文包含 A 和 TGS 通信的會(huì)話密鑰 $K_S$ 以及 AS 要發(fā)送給TGS的票據(jù)（這個(gè)票據(jù)是用TGS的對(duì)稱密鑰 $K_{TG}$ 加密的）。A 并不保存密鑰 $K_A$ 慨亲，當(dāng)這個(gè)報(bào)文到達(dá) A 時(shí)，A 就輸入其口令宝鼓。若口令正確刑棵，則該口令和適當(dāng)?shù)乃惴ㄒ黄鹁湍苌擅荑€ $K_A$ 。這個(gè)口令隨即被銷毀愚铡。密鑰 $K_A$ 用來對(duì) AS 發(fā)送過來的報(bào)文進(jìn)行解密蛉签。這樣就取出會(huì)話密鑰 $K_S$ （這是 A 和 TGS 通信要使用的）以及要轉(zhuǎn)發(fā)給TGS的票據(jù)（這是用密鑰 $K_{TG}$ 加密的）。

3）A 向 TGS 發(fā)送三項(xiàng)內(nèi)容：

轉(zhuǎn)發(fā)鑒別服務(wù)器 AS 發(fā)來的票據(jù)沥寥。
服務(wù)器B的名字碍舍。表明A請(qǐng)求B的服務(wù)。
用 $K_S$ 加密的時(shí)間戳 T邑雅。它用來防止入侵者的重放攻擊片橡。

4）TGS 發(fā)送兩個(gè)票據(jù)，每一個(gè)都包含A和B通信的會(huì)話密鑰 $K_{AB}$ 淮野。給A的票據(jù)用 $K_S$ 加密捧书；給B的票據(jù)用B的密鑰 $K_B$ 加密〈蹬荩現(xiàn)在入侵者不能提取 $K_{AB}$ ，因?yàn)椴恢? $K_S$ 和 $K_B$ 经瓷。入侵者也不能重放步驟3爆哑，因?yàn)槿肭终卟荒馨褧r(shí)間戳更換為一個(gè)新的（因?yàn)椴恢? $K_S$ ）。如果入侵者在時(shí)間戳到期之前舆吮，非常迅速地發(fā)送步驟3的報(bào)文揭朝，那么對(duì)TGS發(fā)送過來的兩個(gè)票據(jù)仍然不能解密。

5）A 向B轉(zhuǎn)發(fā)TGS發(fā)來的票據(jù)色冀，同時(shí)發(fā)送用 $K_{AB}$ 加密的時(shí)間戳T潭袱。

6）B把時(shí)間戳T加 1 來證實(shí)收到了票據(jù)。B向A發(fā)送的報(bào)文用密鑰 $K_{AB}$ 加密呐伞。

之后敌卓，A和B就使用會(huì)話密鑰 $K_{AB}$ 進(jìn)行通信。

2.3.2 非對(duì)稱密鑰（公鑰）的分配

采用兩個(gè)密鑰伶氢，一個(gè)公鑰作為加密密鑰趟径，一個(gè)私鑰作為用戶專有的解密密鑰，通信雙方不需要在網(wǎng)絡(luò)中傳遞私鑰癣防。

如何保證公鑰的真實(shí)性蜗巧？
為了使網(wǎng)絡(luò)中的所有用戶都能夠知道其他用戶的真實(shí)公鑰，必須要在網(wǎng)絡(luò)中設(shè)置一個(gè)可信任的權(quán)威機(jī)構(gòu)蕾盯，稱為認(rèn)證中心CA幕屹。CA將用戶的公鑰與其真實(shí)身份的標(biāo)識(shí)信息（如IP地址）進(jìn)行綁定，每一個(gè)用戶與其公鑰的綁定稱為證書级遭。

CA認(rèn)證的工作原理是什么望拖？
假設(shè)用戶A想同用戶B進(jìn)行加密通信，A將自己的證書發(fā)給B挫鸽，證書中包括了A的身份和公鑰说敏；B需要確認(rèn)A證書的真實(shí)性，就向證書的頒發(fā)者CA發(fā)送報(bào)文進(jìn)行求證丢郊。CA根據(jù)B所發(fā)送證書中的公鑰確定其擁有者的真實(shí)身份盔沫，并形成新的證書，利用CA的私鑰對(duì)新證書加密后傳輸給B枫匾。由于CA的公鑰是向用戶公開的架诞，則B收到CA發(fā)送回來的新證書后，使用CA的公鑰進(jìn)行解密干茉，獲得證書中的用戶身份谴忧，從而對(duì)用戶A的身份進(jìn)行確認(rèn)。

2.4 數(shù)字簽名

用于計(jì)算機(jī)網(wǎng)絡(luò)中表示文件真實(shí)性的技術(shù)稱為數(shù)字簽名技術(shù)。它實(shí)現(xiàn)3個(gè)功能：

接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名俏蛮。即接收者能夠確信該報(bào)文的確是發(fā)送者發(fā)送的撑蚌。這稱為 報(bào)文鑒別 。
接收者確信收到的數(shù)據(jù)和發(fā)送者發(fā)送的完全一樣而沒有被篡改過搏屑。這稱為 報(bào)文的完整性 争涌。
發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名。這稱為 不可否認(rèn) 辣恋。

數(shù)字簽名過程如下圖所示亮垫。

數(shù)字簽名的實(shí)現(xiàn)

其過程為：A用其私鑰 $SK_A$ 對(duì)報(bào)文X進(jìn)行D運(yùn)算（此處運(yùn)算不是解密，而是得到某個(gè)不可讀的密文）伟骨。A把經(jīng)過D運(yùn)算得到的密文傳送給B芬膝。B為了 核實(shí)簽名 浸锨，用A的公鑰進(jìn)行E運(yùn)算，還原出明文X。

數(shù)字簽名具有上面3個(gè)功能的原因：
1）報(bào)文鑒別： 因?yàn)槌鼳外沒有別人持有A的私鑰 $SK_A$ 祷膳，所以除A外沒有別人能產(chǎn)生密文 $D_{SK_A}(X)$ 镊绪。這樣惰蜜，B就相信報(bào)文X是A簽名發(fā)送的蝴蜓。

2）報(bào)文的完整性： 其他人如果篡改過報(bào)文，但由于無法得到A的私鑰
$SK_A$ 來對(duì)X進(jìn)行加密单默，那么B對(duì)篡改過的報(bào)文進(jìn)行解密后碘举，將會(huì)得出不可讀的明文，就知道收到的報(bào)文被篡改過搁廓。

3）不可否認(rèn)： 若A要抵賴曾發(fā)送報(bào)文給B引颈，B可以把X及 $D_{SK_A}(X)$ 出示給進(jìn)行公證的第三者。第三者很容易用 $PK_A$ 去證實(shí)A確實(shí)發(fā)送X給B境蜕。

但上述過程僅對(duì)報(bào)文進(jìn)行了簽名蝙场，對(duì)報(bào)文X本身卻未保密。因?yàn)槿魏稳酥灰獡碛邪l(fā)送者的公鑰 $PK_A$ 都能夠得到明文X粱年。下圖可同時(shí)實(shí)現(xiàn)秘密通信和數(shù)字簽名李丰。圖中 $SK_A$ 和 $SK_B$ 分別為A和B的私鑰，而 $PK_A$ 和 $PK_B$ 分別為A和B的公鑰逼泣。

具有保密性的數(shù)字簽名

2.5 鑒別技術(shù)

鑒別是指在通信過程中，參加通信的實(shí)體要驗(yàn)證通信的對(duì)方是自己所要通信的對(duì)象舟舒，而不是其他冒充者拉庶。最常用的鑒別技術(shù)是報(bào)文鑒別。

報(bào)文鑒別是指接收者在收到數(shù)據(jù)報(bào)文后秃励，能夠確認(rèn)該報(bào)文是由發(fā)送者所發(fā)氏仗，而沒有經(jīng)過他人的篡改。進(jìn)行數(shù)字簽名是進(jìn)行報(bào)文鑒別的主要手段，但對(duì)于很長(zhǎng)的報(bào)文進(jìn)行數(shù)字簽名會(huì)大大加重計(jì)算機(jī)的負(fù)擔(dān)皆尔，因此呐舔，當(dāng)進(jìn)行不需要加密報(bào)文的傳送時(shí)，接收方應(yīng)該能夠用簡(jiǎn)單的方法進(jìn)行報(bào)文的鑒別慷蠕。
典型的報(bào)文鑒別方法是 報(bào)文摘要 （Message Digest珊拼，MD）。

報(bào)文摘要的基本思想
發(fā)送方A將要發(fā)送的較長(zhǎng)的報(bào)文經(jīng)過某種報(bào)文摘要運(yùn)算后變成很短的報(bào)文摘要流炕，然后用自己的私鑰對(duì)報(bào)文摘要進(jìn)行D運(yùn)算澎现，即進(jìn)行數(shù)字簽名。經(jīng)過數(shù)字簽名的報(bào)文摘要稱為 報(bào)文鑒別碼 （Message Authentication Code每辟，MAC）剑辫。A將報(bào)文鑒別碼MAC插入到原始報(bào)文之后一起發(fā)送給接收方B。B收到原始報(bào)文和報(bào)文鑒別碼MAC之后渠欺，首先將原始報(bào)文與報(bào)文鑒別碼MAC分離妹蔽，然后利用A的公鑰對(duì)報(bào)文鑒別碼進(jìn)行E運(yùn)算，還原出報(bào)文摘要挠将；再對(duì)原始報(bào)文進(jìn)行報(bào)文摘要運(yùn)算胳岂，將得到的結(jié)果與由MAC還原出的報(bào)文摘要進(jìn)行比對(duì)。如果兩者一致捐名，則說明收到的報(bào)文是A發(fā)送的旦万，否則，說明報(bào)文受到了其他用戶的篡改镶蹋。
報(bào)文摘要的優(yōu)點(diǎn)
1）對(duì)報(bào)文摘要進(jìn)行數(shù)字簽名比對(duì)整個(gè)報(bào)文進(jìn)行數(shù)字簽名簡(jiǎn)單得多成艘。
2）將原始報(bào)文和報(bào)文鑒別碼合在一起是不可偽造的。
報(bào)文摘要算法的原理
利用 單向哈希函數(shù) 將任意長(zhǎng)度的輸入報(bào)文經(jīng)過計(jì)算得出固定位數(shù)的輸出贺归。所謂單向淆两，是指該算法是不可逆的，即從輸出計(jì)算得到輸入是不可實(shí)現(xiàn)的拂酣，而且要找到任意兩個(gè)輸入報(bào)文秋冰，使得它們具有相同的報(bào)文摘要也是不可能的。最常用的報(bào)文摘要算法是 MD5 算法 婶熬。

要根據(jù)MD5計(jì)算出的報(bào)文摘要還原出原始報(bào)文剑勾，其計(jì)算量的級(jí)數(shù)為 $2^{128}$ ，在實(shí)際情況中是不可能實(shí)現(xiàn)的赵颅。雖然有不少研究者證明MD5算法有漏洞虽另，是可以被攻破的，但到目前為止仍然沒有人能找到破解MD5算法的方法饺谬。除了MD5算法外捂刺，還有SHA算法，原理與MD5相似，采用的是160位的報(bào)文摘要族展。

三森缠、Internet 中的安全協(xié)議

常用的Internet安全協(xié)議包括Internet安全協(xié)議（IPsec）、安全套接字層協(xié)議（Secure Socket Layer仪缸，SSL）和運(yùn)輸層安全協(xié)議（Transport Layer Security贵涵，TLS）等。

3.1 IPsec 協(xié)議

IPsec 工作在網(wǎng)絡(luò)層腹殿，它不是一個(gè)單獨(dú)的協(xié)議独悴，而是一個(gè)協(xié)議組，包含多個(gè)協(xié)議锣尉。主要功能是對(duì)IP數(shù)據(jù)報(bào)進(jìn)行加密刻炒，并且確保目的站點(diǎn)收到IP數(shù)據(jù)報(bào)時(shí)能夠確信是從該IP數(shù)據(jù)報(bào)的源IP地址主機(jī)發(fā)送過來的。

在IPsec體系中自沧，源主機(jī)和目的主機(jī)之間需要建立一條網(wǎng)絡(luò)層的邏輯連接坟奥，稱為安全關(guān)聯(lián)SA。SA是一個(gè)單工連接拇厢，每個(gè)SA都有一個(gè)與之關(guān)聯(lián)的安全標(biāo)識(shí)符爱谁，在進(jìn)行通信時(shí)，每個(gè)分組都攜帶相應(yīng)的安全標(biāo)識(shí)符孝偎，目的主機(jī)利用該安全標(biāo)識(shí)符來查詢數(shù)據(jù)報(bào)中的密鑰和其他信息访敌。

IPsec 體系有兩種安全控制協(xié)議：鑒別首部 （Authentication Header，AH）協(xié)議和 封裝安全有效載荷 （Encapsulation Security Payload衣盾，ESP）協(xié)議寺旺。AH 提供源站點(diǎn)的鑒別和數(shù)據(jù)完整性服務(wù)，但不能進(jìn)行數(shù)據(jù)加密势决；而ESP除了提供源站點(diǎn)鑒別和數(shù)據(jù)完整性服務(wù)外阻塑，還提供數(shù)據(jù)加密服務(wù)。

IPsec 體系中包含兩種工作模式：

傳輸模式：保護(hù)IP數(shù)據(jù)報(bào)的上層協(xié)議數(shù)據(jù)
隧道模式：對(duì)整個(gè)IP數(shù)據(jù)報(bào)進(jìn)行保護(hù)

1. 鑒別首部協(xié)議（AH）
AH協(xié)議利用報(bào)文摘要對(duì)IP數(shù)據(jù)報(bào)進(jìn)行驗(yàn)證果复，從而使得對(duì)IP數(shù)據(jù)報(bào)的篡改可以被檢測(cè)出來陈莽。AH首部的報(bào)文結(jié)構(gòu)如下圖所示。

AH首部報(bào)文格式

各字段含義：
1）下一個(gè)首部（8位）：標(biāo)志緊接著本首部的下一個(gè)首部類型（如TCP虽抄、UDP）走搁。

2）有效載荷長(zhǎng)度（8位）：表示鑒別數(shù)據(jù)字段的長(zhǎng)度。

3）保留（15位）：用于今后使用迈窟。

4）安全參數(shù)索引SPI（32位）：用于標(biāo)識(shí)某一個(gè)安全關(guān)聯(lián) SA朱盐。

5）序號(hào)（32位）：用于對(duì)一個(gè)SA上發(fā)送的所有分組進(jìn)行編號(hào)。

6）報(bào)文鑒別碼MAC（長(zhǎng)度可變）：必須時(shí)32bit的整數(shù)倍菠隆，包含了經(jīng)數(shù)字簽名的報(bào)文摘要，用來鑒別源主機(jī)和檢查IP數(shù)據(jù)報(bào)的完整性。

AH 有兩種工作模式：
傳輸模式： AH首部被插入到數(shù)據(jù)報(bào)中骇径，緊跟在IP首部之后躯肌，位于需要保護(hù)的上層協(xié)議之前，如TCP或UDP首部破衔，如下所示清女。

IP首部	AH首部	TCP首部	數(shù)據(jù)

隧道模式： 它將所保護(hù)的數(shù)據(jù)報(bào)完全封裝起來，在AH頭之前另外添加一個(gè)新的IP首部晰筛。原IP首部包含了通信的原始信息嫡丙，新添加的IP首部包含了通信兩端的地址，如下所示读第。

新的IP首部	AH首部	原IP首部	TCP首部	數(shù)據(jù)

2. 封裝安全有效載荷協(xié)議（ESP）

ESP 協(xié)議除了提供數(shù)據(jù)源驗(yàn)證和完整性驗(yàn)證外曙博，還提供數(shù)據(jù)報(bào)的加密服務(wù)。ESP 報(bào)文格式如下圖所示怜瞒。

ESP報(bào)文格式

其中SPI父泳、序列號(hào)、下一個(gè)首部吴汪、報(bào)文鑒別碼MAC與AH首部中相應(yīng)字段含義相同惠窄，載荷數(shù)據(jù)是ESP需要加密的數(shù)據(jù)，填充字段是一個(gè)8bit字段漾橙，以字節(jié)位單位指示了填充字段的長(zhǎng)度杆融。其中，SPI和序列號(hào)構(gòu)成ESP首部霜运，填充脾歇、填充長(zhǎng)度和下一個(gè)首部字段構(gòu)成ESP尾部。

ESP有兩種工作模式：
傳輸模式： 保護(hù)的是IP數(shù)據(jù)報(bào)的載荷觉渴，如TCP介劫、UDP和ICMP等數(shù)據(jù)段，其格式如下所示案淋。

原IP首部	ESP首部	TCP首部	數(shù)據(jù)	ESP尾部	ESP MAC

隧道模式： 保護(hù)的是整個(gè)IP數(shù)據(jù)報(bào)座韵，其格式如下所示。

新IP首部	ESP首部	原IP首部	TCP首部	數(shù)據(jù)	ESP尾部	ESP MAC

ESP 對(duì)IP數(shù)據(jù)報(bào)進(jìn)行加密和鑒別的過程：

1）將ESP尾部添加到IP數(shù)據(jù)報(bào)后面踢京，按照安全關(guān)聯(lián)SA指明的加密算法和密鑰對(duì)有效載荷數(shù)據(jù)和ESP尾部一起進(jìn)行加密誉碴。如果是傳輸模式，有效載荷包括TCP瓣距、UDP等數(shù)據(jù)報(bào)黔帕；如果是隧道模式，則有效載荷包括整個(gè)IP數(shù)據(jù)報(bào)蹈丸。

2）在已經(jīng)加密的報(bào)文部分前面添加ESP首部成黄。如果是傳輸模式呐芥，則ESP首部前的原IP首部仍然保留；如果是隧道模式奋岁，需要在ESP首部前面加入新的IP首部思瘟。

3）按照SA指明的鑒別算法和密鑰，對(duì)ESP首部闻伶、有效載荷和ESP尾部一起進(jìn)行報(bào)文摘要運(yùn)算滨攻，生成報(bào)文鑒別碼MAC，并將MAC添加到ESP尾部后面蓝翰。

3.2 安全套接字層協(xié)議（SSL）/ 傳輸層安全協(xié)議（TLS）

SSL/TLS 屬于傳輸層的安全協(xié)議光绕。SSL（Secure Socket Layer）最初是由Netscape 公司推出的安全傳輸協(xié)議，經(jīng)過了SSL 1.0 畜份、SSL 2.0 诞帐、SSL 3.0 ，后來由IETF正式接管漂坏，將SSL做了標(biāo)準(zhǔn)化并更名為TLS（Transport Layer Security）景埃，SSL/TLS 提供的安全服務(wù)主要包括：

認(rèn)證性：借助數(shù)字證書認(rèn)證服務(wù)器端和客戶端身份，防止身份偽造顶别。
機(jī)密性：借助加密防止第三方竊聽谷徙。
完整性：借助消息認(rèn)證碼（MAC）保障數(shù)據(jù)完整性，防止消息篡改驯绎。
重放保護(hù)：通過使用隱式序列號(hào)防止重放攻擊完慧。

SSL/TLS 基本過程：

1）首先瀏覽器向服務(wù)器發(fā)出請(qǐng)求，詢問對(duì)方支持的對(duì)稱加密算法和公鑰加密算法剩失；服務(wù)器回應(yīng)自己支持的算法屈尼。

2）瀏覽器選擇雙方都支持的加密算法，并請(qǐng)求服務(wù)器出示自己的證書拴孤；服務(wù)器回應(yīng)自己的證書脾歧。

3）瀏覽器隨機(jī)產(chǎn)生一個(gè)用于本次會(huì)話的對(duì)稱加密密鑰，并使用服務(wù)器證書中附帶的公鑰對(duì)該密鑰進(jìn)行加密后傳遞給服務(wù)器演熟；服務(wù)器為本次會(huì)話保存該對(duì)稱密鑰鞭执。由于第三方不知道服務(wù)器的私鑰，即使截獲了數(shù)據(jù)也無法解密芒粹。

4）瀏覽器使用對(duì)稱加密密鑰對(duì)要發(fā)送的HTTP請(qǐng)求信息加密后傳送給服務(wù)器兄纺，服務(wù)器使用該對(duì)稱密鑰進(jìn)行解密；服務(wù)器使用對(duì)稱密鑰對(duì)HTTP響應(yīng)消息加密后傳送給瀏覽器化漆，瀏覽器使用該對(duì)稱密鑰進(jìn)行解密估脆。

SSL 建立安全會(huì)話的過程如下圖所示。

SSL建立安全會(huì)話的簡(jiǎn)要過程

四座云、防火墻技術(shù)

防火墻技術(shù)的基本思想是將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行有目的隔離和控制疙赠，保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊付材。

根據(jù)工作原理的不同，防火墻技術(shù)可以分為包過濾技術(shù)棺聊、代理服務(wù)技術(shù)伞租、狀態(tài)監(jiān)測(cè)技術(shù)和NAT技術(shù)等。

1. 包過濾技術(shù)
基本思想是對(duì)IP數(shù)據(jù)報(bào)進(jìn)行檢測(cè)限佩，根據(jù)IP數(shù)據(jù)報(bào)的源地址、目的地址裸弦、源端口祟同、目的端口及協(xié)議狀態(tài)等信息進(jìn)行選擇，確定是否允許某個(gè)IP數(shù)據(jù)報(bào)通過防火墻理疙。對(duì)IP數(shù)據(jù)報(bào)進(jìn)行選擇的依據(jù)稱為過濾邏輯晕城，防火墻中所保存的過濾邏輯集合稱為訪問控制列表（Access Control List，ACL）窖贤。采用包過濾技術(shù)的防火墻砖顷，每次接收到一個(gè)來自外網(wǎng)的IP數(shù)據(jù)報(bào)后，首先訪問其ACL赃梧，讀取其中第一條過濾邏輯滤蝠，然后分析IP數(shù)據(jù)報(bào)中的各首部字段，包括IP授嘀、TCP和UDP等物咳，判斷是否允許該IP數(shù)據(jù)報(bào)通過，如果不允許則將IP數(shù)據(jù)報(bào)阻塞蹄皱；如果允許览闰，則讀取ACL中的下一條過濾邏輯繼續(xù)判斷，直到所有過濾都通過巷折，才將其送入內(nèi)網(wǎng)压鉴。

優(yōu)點(diǎn)：
邏輯簡(jiǎn)單、價(jià)格便宜锻拘、易于安裝和使用油吭。
缺點(diǎn)：
基于源IP地址和目的IP地址，因此IP地址容易被假冒逊拍；只能鑒別網(wǎng)絡(luò)層和傳輸層的有線信息（首部）上鞠，不能識(shí)別具體的應(yīng)用程序。

2. 代理服務(wù)技術(shù)

當(dāng)代理服務(wù)器得到一個(gè)客戶端的連接請(qǐng)求時(shí)芯丧，它將核實(shí)該客戶端請(qǐng)求芍阎，并用特定的代理程序來處理連接請(qǐng)求，并將處理后的連接請(qǐng)求發(fā)送給真實(shí)的服務(wù)器缨恒；當(dāng)真實(shí)的服務(wù)器發(fā)回響應(yīng)時(shí)谴咸，也是代理程序接收該響應(yīng)轮听，同樣經(jīng)過處理后傳遞給原客戶端。代理服務(wù)技術(shù)工作在應(yīng)用層岭佳，常見的采用代理服務(wù)技術(shù)的防火墻是 應(yīng)用層網(wǎng)關(guān)防火墻 血巍。

優(yōu)點(diǎn)：
安全性比較高，因?yàn)槊總€(gè)內(nèi)外網(wǎng)連接都要通過代理程序的檢測(cè)和判斷珊随，同時(shí)還可以對(duì)流量進(jìn)行記錄和控制述寡。
缺點(diǎn)：
因?yàn)橐獙?duì)應(yīng)用層數(shù)據(jù)進(jìn)行分析，故處理速度比較慢叶洞，而且對(duì)于用戶是不透明的鲫凶，需要用戶在客戶端進(jìn)行相應(yīng)的安裝和配置操作。

3. 狀態(tài)檢測(cè)技術(shù)

也稱為動(dòng)態(tài)包過濾技術(shù)衩辟，其基本思想是在連接內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)關(guān)處設(shè)置一個(gè)執(zhí)行網(wǎng)絡(luò)安全策略的專門軟件螟炫，稱為檢測(cè)引擎。檢測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下艺晴，采用抽取通過的數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次進(jìn)行檢測(cè)昼钻，并且將抽取的狀態(tài)信息動(dòng)態(tài)地保存起來作為執(zhí)行安全策略的參考。狀態(tài)檢測(cè)防火墻監(jiān)視和跟蹤每一個(gè)連接的狀態(tài)封寞，并根據(jù)連接的狀態(tài)信息決定是否允許數(shù)據(jù)報(bào)通過防火墻然评。

與包過濾技術(shù)的不同：包過濾只針對(duì)某個(gè)獨(dú)立的數(shù)據(jù)報(bào)進(jìn)行檢測(cè)，不關(guān)心前后的情況钥星，而狀態(tài)檢測(cè)技術(shù)將同屬于一個(gè)連接的數(shù)據(jù)報(bào)作為一個(gè)整體的數(shù)據(jù)流看待沾瓦，構(gòu)成連接狀態(tài)表。狀態(tài)檢測(cè)技術(shù)相比傳統(tǒng)的包過濾技術(shù)谦炒，具有更好的靈活性和安全性贯莺。

4. NAT 技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議NAT是將內(nèi)部私有IP地址轉(zhuǎn)換成合法的公用IP地址，從而使網(wǎng)絡(luò)內(nèi)部使用私有IP地址的用戶能夠訪問Internet宁改。NAT本意是用于解決IP地址稀缺問題缕探，但因?yàn)槠淇梢詫?nèi)部私有IP地址進(jìn)行轉(zhuǎn)換，防火墻可以利用NAT這個(gè)特性还蹲，使外部網(wǎng)絡(luò)無法直接對(duì)內(nèi)網(wǎng)的任何一臺(tái)計(jì)算機(jī)發(fā)起攻擊爹耗。目前大多數(shù)防火墻產(chǎn)品都具有NAT功能。

總結(jié)

介紹了網(wǎng)絡(luò)安全的基本概念谜喊，網(wǎng)絡(luò)安全有哪些主要技術(shù)及實(shí)現(xiàn)措施
信息加密技術(shù)的基本模型潭兽，對(duì)稱密鑰和非對(duì)稱密鑰的基本思想，以及密鑰分配的方式斗遏，數(shù)字簽名和鑒別技術(shù)的實(shí)現(xiàn)思路
Internet中常用的安全協(xié)議 IPsec山卦、SSL/TLS基本原理
防火墻的作用及主要技術(shù)分類

$luck$

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個(gè)濱河市诵次，隨后出現(xiàn)的幾起案子账蓉，更是在濱河造成了極大的恐慌枚碗，老刑警劉巖，帶你破解...
沈念sama閱讀 221,635評(píng)論 6贊 515
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件铸本，死亡現(xiàn)場(chǎng)離奇詭異肮雨，居然都是意外死亡，警方通過查閱死者的電腦和手機(jī)箱玷，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 94,543評(píng)論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門怨规，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人锡足，你說我怎么就攤上這事椅亚。” “怎么了舱污？”我有些...
開封第一講書人閱讀 168,083評(píng)論 0贊 360
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長(zhǎng)弥虐。經(jīng)常有香客問我扩灯，道長(zhǎng)，這世上最難降的妖魔是什么霜瘪？我笑而不...
開封第一講書人閱讀 59,640評(píng)論 1贊 296
?港島之戀（遺憾婚禮）
正文為了忘掉前任珠插，我火速辦了婚禮，結(jié)果婚禮上颖对，老公的妹妹穿的比我還像新娘捻撑。我一直安慰自己，他們只是感情好缤底，可當(dāng)我...
茶點(diǎn)故事閱讀 68,640評(píng)論 6贊 397
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布顾患。她就那樣靜靜地躺著，像睡著了一般个唧。火紅的嫁衣襯著肌膚如雪江解。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 52,262評(píng)論 1贊 308
城市分裂傳說
那天徙歼，我揣著相機(jī)與錄音犁河，去河邊找鬼。笑死魄梯，一個(gè)胖子當(dāng)著我的面吹牛桨螺，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播酿秸，決...
沈念sama閱讀 40,833評(píng)論 3贊 421
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼灭翔，長(zhǎng)吁一口氣：“原來是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來了允扇？” 一聲冷哼從身側(cè)響起缠局，我...
開封第一講書人閱讀 39,736評(píng)論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對(duì)情侶失蹤则奥，失蹤者是張志新（化名）和其女友劉穎，沒想到半個(gè)月后狭园，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體读处，經(jīng)...
沈念sama閱讀 46,280評(píng)論 1贊 319
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 38,369評(píng)論 3贊 340
?白月光啟示錄
正文我和宋清朗相戀三年唱矛，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了罚舱。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 40,503評(píng)論 1贊 352
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡绎谦，死狀恐怖管闷，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情窃肠，我是刑警寧澤包个，帶...
沈念sama閱讀 36,185評(píng)論 5贊 350
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站冤留，受9級(jí)特大地震影響碧囊，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜纤怒，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,870評(píng)論 3贊 333
男人毒藥：我在死后第九天來索命
文/蒙蒙一糯而、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧泊窘，春花似錦熄驼、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,340評(píng)論 0贊 24
一樁弒父案瓜贾，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至吴叶，卻和暖如春阐虚，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背蚌卤。一陣腳步聲響...
開封第一講書人閱讀 33,460評(píng)論 1贊 272
情欲美人皮
我被黑心中介騙來泰國(guó)打工实束，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人逊彭。一個(gè)月前我還...
沈念sama閱讀 48,909評(píng)論 3贊 376
代替公主和親
正文我出身青樓咸灿，卻偏偏與公主長(zhǎng)得像，于是被迫代替她去往敵國(guó)和親侮叮。傳聞我的和親對(duì)象是個(gè)殘疾皇子避矢，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,512評(píng)論 2贊 359