健康有为网 - 中国健康资讯、健康人生、健康管理、健康推荐服务门户网站移动版

在最近一周内，我收到了安全圈子里面小伙伴的私信，说他们非常喜欢信息安全，但是看了我之前发布文章，觉得有点难度，还涉及到C#编程，不好理解，希望我能给些基础方面的文章，所以有了这篇技术稿。

以下是我整理了2天，总结出来的一些算是经验之谈，希望能帮到大家。

一、网络安全漫谈

1. 数据发送之前面临的威胁<恶意程序>

计算机病毒：具有“传染性”。

计算机蠕虫：计算机蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行。

特洛伊木马：没有复制能力，它的特点是伪装成一个实用工具、一个可爱的游戏、图片、软件，诱使用户将其安装在PC端或者服务器上，从而秘密获取信息。

逻辑炸弹：是一种程序，平时处于“休眠”状态，直到具体的程序逻辑被激发。

2. 计算机网络通信面临4种威胁<数据传输中>

截获——从网络上窃听他人的通信内容 <Wireshark抓包过程>。

中断——有意中断网络通信 <Arp 断网攻击现象>。

篡改——故意篡改网络上传送的报文 <HTTP 请求报文拦截与篡改>。

伪造——伪造信息在网络上的传送 <ARP欺骗原理>。

3. 威胁分类

被动攻击—截获。

主动攻击—中断、篡改、伪造。

 

被动攻击与主动攻击的区别：

主动攻击：对通信方式和通信数据产生影响的攻击为主动攻击，指攻击者对某个连接中通过的PDU进行各种处理：1>更改报文流；2>拒绝报文服务；3>伪造连接初始化。

被动攻击：攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。

4.计算机网络通信安全的目标

防止析出报文内容

防止通信量分析

检测更改报文流

检测拒绝报文服务

检测伪造初始化连接

5.防范措施

5.1 使用加密机制防止析出报文内容。

 

Y=Ek(X) // X:明文 Y:密文 k:加密密钥

5.2 保密性：密码编码学+密码分析学=密码学。

5.3 安全协议的设计。

5.4 接入控制：针对主动攻击的伪造。

无条件安全：无法由密文还原为明文；

计算安全：密码在有效的时间内无法计算出来。

6. 两位类密码体制<针对被动攻击中的截获>

6.1 对称密钥密码体制

加密密钥与解密密钥是相同的密码体制（类似加密的开锁钥匙与解密的开锁钥匙是同一把钥匙）。

1）DES (Data Encryption Standard)

 

解密的过程是上述加密的逆过程（同一密钥）。

过程详解：

在加密前，先对整个明文进行分组，每一个组长为64bit；

然后，对每一个64bit二进制数据进行加密处理，产生一组64bit密文数据；

最后，将各组密文串接起来，即得出整个报文。

备注：使用的密钥为64bit（实际密钥长度为56bit，有8bit用于奇偶校验）。

2）IDEA (International Data Encryption Algorithm)

IDEA使用128位密钥，目前基本不可能通过暴力破解攻破。

6.2 公钥密码体制（非对称密码体制）

1） 产生原因：

对称加密体制中加密和解密在信息交互时需要协商同一把相同的密钥，这一个过程是非常复杂的！而非对称加密体制是不需要这一过程的，简化对称体制的分配过程。

对称密钥密码体制无法数字签名，而非对称可以数字签名（数字签名:就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明），增强了信息的安全传输！

公钥密码体制是一种”由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制：

发送方和接受方要持有一对密钥<公钥PK+私钥SK；

加密算法和解密算法没有顺序区别，可以先加密后解密/先解密后加密。

2）公钥加密算法

1> 算法概述

加密算法：Dsk(Epk(X))=X。

“pk”是接受方的公钥；

加密和解密的运算可以对调。

解密算法：Epk(Dsk(X))=X。

用私钥加密的数据可以用公钥解密。

2> 加密密钥是公开的，但不能用来解密。

原因是公钥是公开的，那这个加密数据是没有任何意义的，所以公钥一般是用来加密的！），即：DPK(EPK(X))=X。

3> 在计算机上可容易地产生成对的PK和SK（不需要双方进行协商）。

4>从已知的PK实际上不可能推导出SK，即：PK到SK是”计算上不可能的”从概念可得此结论。

5> 加密和解密算法都是公开的。

6.3 加密过程

 

这一传送过程，发送方和接受方维持了3个密钥：

发送方A：备注：自己维护的pkA和skA,同时还要记得对方的pkB；

接收方B：自己维护的pkB和skB,同时如果需要与发送者A通信就需要对方的pkA。

6.4 数字签名

数字签名必须保证以下三点以防止伪装攻击（重放攻击）：

接受者能够核实发送者对报文的签名；

发送者事后不能抵赖对报文的签名；

接受者不能伪造对报文的签名。

6.5 数字签名的实现

 

发送者A使用自己的私钥进行加密，接受者B使用发送者A的公钥进行解密（这个数字签名数据没有任何保密意义的，因为上文提到过任何使用私钥sk加密的数据，任何知道公钥pk的人都可以解密这条数据）。数字签名的伪造将会在下文讲到。这一过程仅仅是实现数字签名，并且也满足数字签名的3个特征，这个我就不多说，自己可以验证一下。

6.6 具有保密性的数字签名

存在意义：存在数字签名的伪造，用pk解密的签名在网上广播出去，容易被截获，获取其他信息。