拖坑略严重…在此道歉
概述
这个坑大概讲这些内容,这是第一篇,主要讲网络安全框架,也就是五种安全服务。
| 章节 | 主要内容 | ||
|---|---|---|---|
| 概述 | 五种安全服务 | ||
| 对称密码 | 经典密码 | 分组密码 | 高级加密标准 |
| 非对称密码 | 公钥密钥学 | 密钥管理 | |
| 数据完整性 | 散列算法 | 数字签名 | |
| 数学基础 | 欧拉 | 费马 | 中国剩余定理 |
| 典型安全协议 | SSL | PGP |
也可能会穿插一下网络安全实验时候的一些感悟或者其他。
OSI安全框架:X.800
这个X.800安全框架就是一个抽象的结构,是一种系统的方法,作为国际的标准去【评估和选择】安全产品和政策。
这也是对程序员的一系列要求,要求负责安全的程序员根据这些定义的方法来要求产品,并且还要给出实现这些要求的具体措施。
针对三个方面
-
安全攻击: 任何危机系统信息安全的活动
-
安全机制: 用来保护系统免受侦听,阻止安全监听及恢复系统的机制
-
安全服务: 加强数据处理系统和信息传输的安全性的一种服务。目的是用一种或多种安全机制阻止安全攻击。
安全服务
RFC2828中定义的,是一种由系统提供的对系统资源进行特殊保护的处理或通信服务,安全服务通过安全机制来实现安全策略。
ITU-T(即X.800)定义了五种服务:【身份认证】、【访问控制】、【数据保密】、【数据完整性】、【不可否认】
- 【身份认证】:认证发送方和接收方的身份(对等实体身份认证)
- 【访问控制】:保护信息免于被未经授权的实体访问
- 【数据机密性】:保护数据免于非授权泄露,并防止流量分析
- 【数据完整性】:确保接收到的数据是由授权用户发出的或者是未被修改过的
- 【不可否认性】:防止通信方对通信行为的否认,包括源不可否认性和宿不可否认性
- Availiable Service: 系统或系统资源能够按照要求根据系统性能规范被授权访问和使用
安全机制
安全机制是用来检测、防止安全攻击,或从安全攻击中恢复的机制
单一的安全机制不能保证所需的所有安全服务
最重要的安全机制之一就是密码编码规则(重点)
一些安全机制:
-
加密:隐藏或覆盖信息以使其具有机密性。
-
完整性:消息后面附加于一个短的键值。接收方接收信息和键值,再从接收的信息中创建一个新的键值,并把新创建的键值和原来的进行比较,如果两个键值相同,则说明数据的完整性被保全。==举个栗子==比如我发个消息,除了消息本身以外还发了一个消息的总长度,然后发出去了。接收方先收到消息,然后计算一下消息的总长度,和他收到的总长度对比,如果一样,就说明信息完整性被破坏的可能性不高。
-
数字签名:信息发送方可以对信息进行电子签名,信息接收方可以对签名进行电子校验。
-
身份认证交换:两个实体交换信息以互相证明身份,比如一方可以证明只有另一方才知道的小秘密。
-
流量填充:指在数据流中嵌入一些虚假信息,阻止对手企图使用流量分析。
-
路由控制:指在发送方和接收方之间选择并【不断改变有效路由】,以避免对手在特定的路由上偷听。
-
公证:找一个可靠的第三方控制双方通信。
-
访问控制:用各种方法,证明某个用户具有访问该信息或该系统所拥有的资源的权力。
安全服务可以由一些安全机制去实现,例如:
| 安全服务 | 安全机制 |
|---|---|
| 信息机密性 | 加密和路由控制 |
| 信息完整性 | 加密、数字签名、信息完整性 |
| 身份认证 | 加密、数字签名 |
| 不可否认性 | 数字签名、信息完整性和公证 |
| 访问控制 | 访问控制机制 |
实例
以下案例中使用的安全机制:
1、一学校要求学生需进行身份认证并通过密码才能登陆学校的服务器
身份认证
2、学生远程登陆某系统,提交密码时附加该密码对应的信息摘要
完整性
3、学生把考试答案写在小纸片上,又把纸片卷起来塞入笔帽,把笔递给另一位学生
机密性
4、银行要求客户为一笔提款签名
不可否认
5、程序开发人员和测试人员,不能由同一个人员担当
访问控制
6、一名研究生为了保护其论文,使用了张贴于其网站上的水印
不可否认