计算机网络 CH7

第七章 网络安全

7.1 网络安全概述

alt text 也就是说,被动的是只听;主动的是会进行主动的干扰 大的结构树如下:alt text前三种主动攻击上面已经有了,下面介绍一下拒绝服务

alt text由于有大量恶意请求,导致服务器繁忙,无法处理正常请求;DDoS攻击是指,很多主机变成僵尸主机,向服务器发送大量请求,导致服务器无法处理正常请求;其为升级的DoS,恶意主机数量更多 分布更广

另一个交换机中毒的概念:攻击方让交换机误以为发往一系列这些mac的信息都应该通过这个1端口,最终达到数据全转发给攻击方的目的

对付主动和被动攻击的不同方法:alt text

7.2 密码学

7.2.1 密码学相关基本概念

alt text加密和解密的算法可以公开,但是用于解密的关键:密钥必须需要保存(这是由于,创建一个算法很难,但是不同参数的密钥很多)整个的一个过程如下所示:alt text 两个密钥相同,称为对称密钥;否则,就是公开密钥;一个制约关系alt text

7.2.2 对称密钥密码体制

最经典的一些案例: 1. DES:alt text但是,现在DES已经不再安全:alt text 2. 三重DES(3DES)alt text如图所示,利用三个密钥,先后加密——解密——加密 3. AES:升级的DES,密钥长度有128,192,256位,被破解难度大大增加

7.2.3 公开密钥密码体制

alt text在这个机制中,加密的密钥是公开的;这里需要注意的特征是第二点,加密和解密运算可以对调 目前,最有名的公钥密码算法就是RSA算法

目前,公钥体制的缺点是运行速度慢(比对称密钥慢了几个数量级) 以下是二者结合的一个精巧的例子:alt text也就是说,双方先确定对称密钥A,然后利用RSA,一方利用公钥将A加密后发送,接收者可以用私钥打开,得到A;然后传输大量数据的时候可以换回对称密码体制,保证效率

7.3 报文完整性与鉴别

7.3.1 报文摘要和报文鉴别码

一些前提:alt text alt text简而言之,就是因为对于整个报文进行加密成本太高,现在利用一些方法对于报文取出一个摘要,然后对于这个摘要进行加密和解密验证即可。一般地,加密后用于鉴别的会附加在报文后面用于报文鉴别的码串(即加密后的报文摘要),称为报文鉴别码(Message Authentication Code,MAC)

密码散列函数:实际上就是Hash函数,其具有如下的一些特点:alt text

也就是说,我们想找的密码散列函数,需要有以下的这些条件:alt text

一些常用的保温摘要算法:MD5(但是被证明并不安全,可以被篡改)alt text以及一系列SHA系列的的alt text

下面介绍一个散列报文鉴别码的概念:之前的方法是通过先提取摘要然后加密的方式进行的,现在是直接对于原始的报文和一个鉴别密钥,通过散列函数计算鉴别即可,如下所示:alt text 这种运算方式的效率更高。

7.3.2 数字签名

alt text类似于平时的签名,来证实报文的真实来源;要求可以证实、不能伪造、不能抵赖自己签过名

常用的实现方式是使用公钥加密算法实现签名:alt textalt text这里应该是利用了私钥和公钥计算的顺序可以交换;因此,先让持有私钥的进行计算(这里面更常用的就是先生成摘要,然后对摘要进行签名)

但是,这种情况有一个弊端:如果别人看到了签名后的信息,那么可以直接用A的公钥进行还原,直接拿到信息。为了杜绝这种现象,我们进行如下的处理:alt text相当于使用了A B的两对公私钥进行确保安全 总结一下,前面的是用来确保报文内容的真伪,而签名是用来确保发送方的正确。

7.4 实体鉴别

实体鉴别也是用来验证对方身份的一种技术; 有趣的重放攻击alt text 为了解决这个问题,有选择下面使用nonce的方法:alt text也就是说,想要交流的两端先各自确认一个不重复的大随机数(nonce),然后利用共同的对称密钥进行加密,相互确认之后开始通信;由于这个数不会被重复使用,因此不能窃取之后冒充。

类似地,可以利用公钥技术;其实和前面的签名一样alt text两对密钥,分别进行验证

但是,使用公钥的会遭遇中间人攻击:alt text也就是骗两边,让他们都以为在和对方通信,但实际上在和中间人通信

7.5 密钥分发

无论是对称体系的密钥还是公钥技术的私钥,分配密钥的时候肯定需要安全的途径 密钥分发有如下的两种方式:alt text显然现在大多在用后者

首先再来巩固一下会话密钥的概念:是指双方为了确保通话安全在每次通话最好都要修改的密钥;以及一个KDC的概念:alt text

整体的一个过程如图所示:alt text也就是说,一开始A和B就有在KDC注册的密钥;然后要建立连接的时候,A发送一个请求,得到一系列内容,KA解密之后得到AB的密钥以及一个票据;把票据转发给B之后,B解密后可以得到密钥,就可以建立安全会话。

对于公钥的分发:alt text

CA会呈现出一个分层的结构:alt text

7.6 访问控制

一般地用户访问的时候,首先要验证身份,然后也要控制其访问内容的权限;访问策略的基本要素如下:alt text

PPT中列举了三种不同的具体访问策略对应的原理(不是很重要)

下面我们只重点关注一下这部分内容:

7.7 (2) 网络体系结构各层采取的安全措施 —— 网络层

alt textIPsec:一种增加了安全性能的ip协议(?)相当于把原始的IP数据报利用sec先封装成了一个“胶囊”然后再进行传输,如图alt text

安全连接SA:要注意这个连接是单向的


计算机网络 CH7
https://zrwrz.github.io/2026/01/02/计算机网络-CH7/
作者
zrw
发布于
2026年1月2日
许可协议