網路安全當中偽裝和假冒的定義

❶ 網路安全的概念

網路安全的概念

網路安全，通常指計算機網路的安全，實際上也可以指計算機通信網路的安全。計算機通信網路是將若乾颱具有獨立功能的計算機通過通信設備及傳輸媒體互連起來，在通信軟體的支持下，實現計算機間的信息傳輸與交換的系統。而計算機網路是指以共享資源為目的，利用通信手段把地域上相對分散的若干獨立的計算機系統、終端設備和數據設備連接起來，並在協議的控制下進行數據交換的系統。

計算機網路的根本目的在於資源共享，通信網路是實現網路資源共享的途徑，因此，計算機網路是安全的，相應的計算機通信網路也必須是安全的，應該能為網路用戶實現信息交換與資源共享。下文中，網路安全既指計算機網路安全，又指計算機通信網路安全。

安全的基本含義：客觀上不存在威脅，主觀上不存在恐懼。即客體不擔心其正常狀態受到影響。可以把網路安全定義為：一個網路系統不受任何威脅與侵害，能正常地實現資源共享功能。要使網路能正常地實現資源共享功能，首先要保證網路的硬體、軟體能正常運行，然後要保證數據信息交換的安全。從前面兩節可以看到，由於資源共享的濫用，導致了網路的安全問題。因此網路安全的技術途徑就是要實行有限制的共享。

(1)網路安全當中偽裝和假冒的定義擴展閱讀：

主要問題

1、Internet是一個開放的、無控制機構的網路，黑客（Hacker）經常會侵入網路中的計算機系統，或竊取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充分發揮直至癱瘓。

2、Internet的數據傳輸是基於TCP/IP通信協議進行的，這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。

3、Internet上的通信業務多數使用Unix操作系統來支持，Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。

4、在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協議中是憑著君子協定來維系的。

5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。

6、計算機病毒通過Internet的傳播給上網用戶帶來極大的危害，病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。

❷ 網路安全的含義及特徵

含義：網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

特徵：保密性、完整性、可用性、可控性和不可抵賴性。

保密性是指網路中的信息不被非授權實體（包括用戶和進程等）獲取與使用。這些信息不僅包括國家機密，也包括企業和社會團體的商業機密和工作機密，還包括個人信息。

人們在應用網路時很自然地要求網路能提供保密性服務，而被保密的信息既包括在網路中傳輸的信息，也包括存儲在計算機系統中的信息。

主動防禦走向市場：

主動防禦的理念已經發展了一些年，但是從理論走向應用一直存在著多種阻礙。主動防禦主要是通過分析並掃描指定程序或線程的行為，根據預先設定的規則，判定是否屬於危險程序或病毒，從而進行防禦或者清除操作。

不過，從主動防禦理念向產品發展的最重要因素就是智能化問題。由於計算機是在一系列的規則下產生的，如何發現、判斷、檢測威脅並主動防禦，成為主動防禦理念走向市場的最大阻礙。

由於主動防禦可以提升安全策略的執行效率，對企業推進網路安全建設起到了積極作用，所以盡管其產品還不完善，但是隨著未來幾年技術的進步，以程序自動監控、程序自動分析、程序自動診斷為主要功能的主動防禦型產品將與傳統網路安全設備相結合。

尤其是隨著技術的發展，高效准確地對病毒、蠕蟲、木馬等惡意攻擊行為的主動防禦產品將逐步發展成熟並推向市場，主動防禦技術走向市場將成為一種必然的趨勢。

❸ 計算機網路安全的詳細解釋

計算機網路安全概述上海共享網
上海共享網
互聯網路（Internet）起源於1969年的ARPANet，最初用於軍事目的，1993年開始用於商業應用，進入快速發展階段。到目前為止，互連網已經覆蓋了175個國家和地區的數千萬台計算機，用戶數量超過一億。隨著計算機網路的普及，計算機網路的應用向深度和廣度不斷發展。企業上網、政府上網、網上學校、網上購物......，一個網路化社會的雛形已經展現在我們面前。在網路給人們帶來巨大的便利的同時，也帶來了一些不容忽視的問題，網路信息的安全保密問題就是其中之一。上海共享網
上海共享網
一．網路信息安全的涵義上海共享網
網路信息既有存儲於網路節點上信息資源，即靜態信息，又有傳播於網路節點間的信息，即動態信息。而這些靜態信息和動態信息中有些是開放的，如廣告、公共信息等，有些是保密的，如:私人間的通信、政府及軍事部門、商業機密等。網路信息安全一般是指網路信息的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真實性（Authenticity）。網路信息的機密性是指網路信息的內容不會被未授權的第三方所知。網路信息的完整性是指信息在存儲或傳輸時不被修改、破壞，不出現信息包的丟失、亂序等，即不能為未授權的第三方修改。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。當前，運行於互聯網上的協議（如TCP/IP）等，能夠確保信息在數據包級別的完整性，即做到了傳輸過程中不丟信息包，不重復接收信息包，但卻無法制止未授權第三方對信息包內部的修改。網路信息的可用性包括對靜態信息的可得到和可操作性及對動態信息內容的可見性。網路信息的真實性是指信息的可信度，主要是指對信息所有者或發送者的身份的確認。上海共享網
前不久，美國計算機安全專家又提出了一種新的安全框架，包括：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實性（Authenticity）、實用性（Utility）、佔有性（Possession），即在原來的基礎上增加了實用性、佔有性，認為這樣才能解釋各種網路安全問題：網路信息的實用性是指信息加密密鑰不可丟失（不是泄密），丟失了密鑰的信息也就丟失了信息的實用性,成為垃圾。網路信息的佔有性是指存儲信息的節點、磁碟等信息載體被盜用，導致對信息的佔用權的喪失。保護信息佔有性的方法有使用版權、專利、商業秘密性，提供物理和邏輯的存取限制方法；維護和檢查有關盜竊文件的審記記錄、使用標簽等。上海共享網
上海共享網
二．攻擊互聯網路安全性的類型上海共享網
對互聯網路的攻擊包括對靜態數據的攻擊和對動態數據的攻擊。 對靜態數據的攻擊主要有：上海共享網
口令猜測：通過窮舉方式搜索口令空間，逐一測試，得到口令，進而非法入侵系統。上海共享網
IP地址欺騙：攻擊者偽裝成源自一台內部主機的一個外部地點傳送信息包，這些信息包中包含有內部系統的源IP地址，冒名他人，竊取信息。上海共享網
指定路由：發送方指定一信息包到達目的站點的路由，而這條路由是經過精心設計的、繞過設有安全控制的路由。上海共享網
根據對動態信息的攻擊形式不同，可以將攻擊分為主動攻擊和被動攻擊兩種。上海共享網
被動攻擊主要是指攻擊者監聽網路上傳遞的信息流，從而獲取信息的內容（interception），或僅僅希望得到信息流的長度、傳輸頻率等數據，稱為流量分析（traffic analysis）。被動攻擊和竊聽示意圖如圖1、圖2所示：上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
除了被動攻擊的方式外，攻擊者還可以採用主動攻擊的方式。主動攻擊是指攻擊者通過有選擇的修改、刪除、延遲、亂序、復制、插入數據流或數據流的一部分以達到其非法目的。主動攻擊可以歸納為中斷、篡改、偽造三種（見圖3）。中斷是指阻斷由發送方到接收方的信息流，使接收方無法得到該信息，這是針對信息可用性的攻擊（如圖4）。篡改是指攻擊者修改、破壞由發送方到接收方的信息流，使接收方得到錯誤的信息，從而破壞信息的完整性（如圖5）。偽造是針對信息的真實性的攻擊，攻擊者或者是首先記錄一段發送方與接收方之間的信息流，然後在適當時間向接收方或發送方重放（playback）這段信息，或者是完全偽造一段信息流，冒充接收方可信任的第三方，向接收方發送。（如圖6）上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
三。網路安全機制應具有的功能上海共享網
由於上述威脅的存在，因此採取措施對網路信息加以保護，以使受到攻擊的威脅減到最小是必須的。一個網路安全系統應有如下的功能：上海共享網
1．身份識別：身份識別是安全系統應具備的最基本功能。這是驗證通信雙方身份的有效手段，用戶向其系統請求服務時，要出示自己的身份證明，例如輸入User ID和Password。而系統應具備查驗用戶的身份證明的能力，對於用戶的輸入，能夠明確判別該輸入是否來自合法用戶。上海共享網
2．存取許可權控制：其基本任務是防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。在開放系統中，網上資源的使用應制訂一些規定：一是定義哪些用戶可以訪問哪些資源，二是定義可以訪問的用戶各自具備的讀、寫、操作等許可權。上海共享網
3．數字簽名：即通過一定的機制如RSA公鑰加密演算法等，使信息接收方能夠做出「該信息是來自某一數據源且只可能來自該數據源」的判斷。上海共享網
4．保護數據完整性：既通過一定的機制如加入消息摘要等，以發現信息是否被非法修改，避免用戶或主機被偽信息欺騙。上海共享網
5．審計追蹤：既通過記錄日誌、對一些有關信息統計等手段，使系統在出現安全問題時能夠追查原因。上海共享網
密鑰管理：信息加密是保障信息安全的重要途徑，以密文方式在相對安全的信道上傳遞信息，可以讓用戶比較放心地使用網路，如果密鑰泄露或居心不良者通過積累大量密文而增加密文的破譯機會，都會對通信安全造成威脅。因此，對密鑰的產生、存儲、傳遞和定期更換進行有效地控制而引入密鑰管理機制，對增加網路的安全性和抗攻擊性也是非常重要的。上海共享網
上海共享網
四。網路信息安全常用技術上海共享網
通常保障網路信息安全的方法有兩大類：以「防火牆」技術為代表的被動防衛型和建立在數據加密、用戶授權確認機制上的開放型網路安全保障技術。上海共享網
1．防火牆技術：「防火牆」（Firewall）安全保障技術主要是為了保護與互聯網相連的企業內部網路或單獨節點。它具有簡單實用的特點，並且透明度高,可以在不修改原有網路應用系統的情況下達到一定的安全要求。防火牆一方面通過檢查、分析、過濾從內部網流出的IP包，盡可能地對外部網路屏蔽被保護網路或節點的信息、結構，另一方面對內屏蔽外部某些危險地址，實現對內部網路的保護。上海共享網
2．數據加密與用戶授權訪問控制技術：與防火牆相比，數據加密與用戶授權訪問控制技術比較靈活，更加適用於開放網路。用戶授權訪問控制主要用於對靜態信息的保護，需要系統級別的支持，一般在操作系統中實現。數據加密主要用於對動態信息的保護。前面已經提到，對動態數據的攻擊分為主動攻擊和被動攻擊，我們注意到，對於主動攻擊，雖無法避免，但卻可以有效的檢測；而對於被動攻擊，雖無法檢測，但卻可以避免，而實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換演算法。這種變換是受稱為密鑰的符號串控制的。在傳統的加密演算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為對稱密鑰演算法。這樣的密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信息，也可以用該密鑰解密信息。DES （Data Encryption Standard）是對稱加密演算法中最具代表性的,它是IBM公司W.tuchman 和C.meyer 在1971年到1972年研製成功的，在1977年5月由美國國家標准局頒部為數據加密標准。DES可以對任意長度的數據加密，密鑰長度64比特，實際可用密鑰長度56比特，加密時首先將數據分為64比特的數據塊，採用ECB（Electronic CodeBook）、CBC（Ciper Block Chaining）、CFB（Ciper Block Feedback）等模式之一，每次將輸入的64比特明文變換為64比特密文。最終，將所有輸出數據塊合並，實現數據加密。如果加密、解密過程各有不相乾的密鑰，構成加密、解密密鑰對，則稱這種加密演算法為非對稱加密演算法，或稱為公鑰加密演算法，相應的加密、解密密鑰分別稱為公鑰、私鑰。在公鑰加密演算法下，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發送給私鑰擁有者；私鑰是保密的，用於解密其接收的公鑰加密過的信息。典型的公鑰加密演算法如RSA （Ronald L Rivest,Adi Shamir,Leonard Adleman），是目前使用比較廣泛的加密演算法。在互聯網上的數據安全傳輸，如Netscape Navigator 和 Microsoft Internet Explorer都使用了該演算法。RSA演算法建立在大數因子分解的復雜性上，簡單來說，先選取兩個素數p、q，一般要求兩數均大於10的100次冪，計算 n=p*q，z=（p - 1）*（q - 1），選擇一個與z互質的數d，找一個數e滿足d*e ≡1 （mod z），將（e，n）作為公鑰，將（d，z）作為密鑰。RSA的保密性在於n的分解難度上，如果n分解成功，則可推知（d，z），也就無保密性可言了。上海共享網
有了信息加密的手段，我們就可以對動態信息採取保護措施了。為了防止信息內容泄露，我們可以將被傳送的信息加密，使信息以密文的形式在網路上傳輸。這樣，攻擊者即使截獲了信息，也只是密文，而無法知道信息的內容。為了檢測出攻擊者篡改了消息內容，可以採用認證的方法，即或是對整個信息加密，或是由一些消息認證函數（MAC函數）生成消息認證碼（Message Authentication Code），再對消息認證碼加密，隨信息一同發送。攻擊者對信息的修改將導致信息與消息認證碼的不一致，從而達到檢測消息完整性的目的。為了檢測出攻擊者偽造信息，可以在信息中加入加密的消息認證碼和時間戳，這樣，若是攻擊者發送自己生成的信息，將無法生成對應的消息認證碼，若是攻擊者重放以前的合法信息，接收方可以通過檢驗時間戳的方式加以識別。上海共享網
上海共享網
五。對網路信息安全的前景的展望上海共享網
隨著網路的發展，技術的進步，網路安全面臨的挑戰也在增大。一方面，對網路的攻擊方式層出不窮：1996年以報道的攻擊方式有400種，1997年達到 1000種，1998年即達到4000種，兩年間增加了十倍，攻擊方式的增加意味著對網路威脅的增大；隨著硬體技術和並行技術的發展，計算機的計算能力迅速提高，原來認為安全的加密方式有可能失效，如1994年4月26日，人們用計算機破譯了RSA發明人17年前提出的數學難題：一個129位數數字中包含的一條密語，而在問題提出時預測該問題用計算機需要850萬年才能分解成功；針對安全通信措施的攻擊也不斷取得進展，如1990年6月20日美國科學家找到了155位大數因子的分解方法，使「美國的加密體制受到威脅」。另一方面，網路應用范圍的不斷擴大，使人們對網路依賴的程度增大，對網路的破壞造成的損失和混亂會比以往任何時候都大。這些網路信息安全保護提出了更高的要求，也使網路信息安全學科的地位越顯得重要，網路信息安全必然隨著網路應用的發展而不斷發展。上海共享網

❹ 網路安全基礎

網路安全通信所需要的基本屬性：

1. 機密性

2. 消息完整性

3. 可訪問與可用性

4. 身份認證

1. 竊聽

2. 插入

3. 假冒

4. 劫持

5. 拒絕服務DoS和分布式拒絕服務DDoS

6. 映射

7. 嗅探

8. IP欺騙

數據加密

      明文：未被加密的消息

      密文：被加密的消息

      加密：偽裝消息以隱藏消息的過程，即 明文 密文 的過程.

      解密： 密文 明文 的過程

1. 替代密碼 ：用密文字母替代明文字母。

    移位密碼加密函數：

    

     ：加密過程

    ：明文信息

     ：密鑰，表示移幾位

     ：如果是26個字母，那q就是26

    解密函數：

    

     ：解密過程

     ：密文

      ：密鑰

2.  換位密碼 ：根據一定規則重新排列明文。

    【 例題 】如果對明文「bob.i love you. Alice"，利用k=3的凱撒密碼加密，得到的密文是什麼？利用密鑰 "nice" 進行列置換加密後得到的密文是什麼？

    【 答案 】 凱撒密碼 加密後得到的密文是：

        "ere l oryh brx Dolfh"

         列置換密碼 加密後得到的密文是：

        iex bvu bly ooo"

    【 解析 】 凱撒密碼 ：

        以明文字母b為例，M=2（b的位置為2），k=3，q=26，則：

        密文 ，對應字母e，故b經過加密轉為了e

        將明文全部替換後得到的密文 "ere l oryh brx Dolfh"

          列置換密碼:

        密鑰 "nice" 字母表先後順序為 "4，3，1，2" ，因此，按這個順序讀出表中字母，構成密文："iex bvu bly ooo"，（密鑰有幾位就有幾列，如果明文不夠就補x，然後按列讀取）

1. 對稱密鑰 密碼：加密秘鑰和解密秘鑰相同（ ），例如用一個鎖將箱子鎖起來，這個鎖有2把相同的鑰匙，鎖好之後把另一把鑰匙派人送給他。

2. 對稱密鑰密碼 分類 ：

     分組密碼：DES、AES、IDEA等。（分組處理）

        1） （數據加密標准）：56位密鑰，64位分組。（56位二進制數，每位的取值是0或1，則所有的取值就是 個）

        2） ：使用 兩個秘鑰 （共 112位 ），執行三次DES演算法。(用1個密鑰執行一次加密，再用另一個密鑰執行一次解密，共執行三次)

        3） （高級加密演算法）：分組128位,密鑰 128/192/256 位。

        4）IDEA：分組64位，密鑰 128 位。

     流密碼（挨個處理）

1. 非對稱密鑰 密碼：加密密鑰和解密密鑰不同， ，其中一個用於加密，另一個用於解密。（ 私鑰 ：持有人所有  公鑰 ：公開的）

2. 加密密鑰可以公開，也稱公開密鑰加密。

3. 典型的公鑰演算法：

      Diffie-Hellman演算法

      RSA演算法

密碼散列函數

1. 特性：

      定長輸出；

      單向性（無法根據散列值逆推報文）

      抗碰撞性（無法找到具有相同散列值的兩個報文）

2. 典型的散列函數

      MD5：128位散列值

      SHA-1：160位散列值

報文認證是使消息的接收者能夠檢驗收到的消息是否是真實的認證方法。來源真實，未被篡改。

1. 報文摘要（數字指紋）

2. 報文認證方法

      簡單報文驗證：僅使用報文摘要，無法驗證來源真實性

      報文認證碼：使用共享認證密匙，但無法防止接收方篡改

身份認證、數據完整性、不可否認性

1. 簡單數字簽名：直接對報文簽名

2. 簽名報文摘要

1. 口令：會被竊聽

2. 加密口令：可能遭受回放/重放攻擊

    加密的口令可能會被截獲，雖然不知道口令是什麼，但他將加密口令提交給伺服器，說這是我加密的口令，這叫重放.

3. 加密一次性隨機數：可能遭受中間人攻擊

Alice發給Bob說她是Alice，但Bob說你要向我證明，Bob生成一個隨機數發給Alice，讓Alice用自己的私鑰進行加密，加密後再把數據發給Bob，然後Bob再向Alice要公鑰進行解密解出來的隨機數如果和Bob發給Alice的隨機數一樣的話，那就說明她是Alice。

這種方法會被中間人攻擊，Alice發送的私鑰加密被Trudy更換為自己用私鑰加密的數據然後發給Bob，公鑰也被Trudy換了，最後Bob用公鑰加密數據發給Alice，Trudy截獲了，用自己的私鑰進行解密，獲得了數據。

密鑰分發存在漏洞：主要在密鑰的分發和對公鑰的認證環節，這需要密匙分發中心與證書認證機構解決

雙方通信時需要協商一個密鑰，然後進行加密，每次通信都要協商一個密鑰，防止密鑰被人截獲後重復使用，所以密鑰每次都要更換，這就涉及到密鑰分發問題。

基於 KDC 的秘鑰生成和分發

認證中心CA：將公鑰與特定的實體綁定

1. 證實一個實體的真實身份；

2. 為實體頒發 數字證書 （實體身份和 公鑰 綁定）。

防火牆 ：能夠隔離組織內部網路與公共互聯網，允許某些分組通過，而阻止其它分組進入或離開內部網路的軟體、硬體或者軟硬體結合的一種設施。

前提 ：從外部到內部和從內部到外部的所有流量都經過防火牆

1. 無狀態分組過濾器

    基於特定規則對分組是通過還是丟棄進行決策，如使用 實現防火牆規則。

2. 有狀態分組過濾器

    跟蹤每個TCP連接建立、拆除，根據狀態確定是否允許分組通過。

3. 應用網關

    鑒別 用戶身份 或針對 授權用戶 開放 特定服務 。

入侵檢測系統（IDS）：當觀察到潛在的惡意流量時，能夠產生警告的設備或系統。

1. 電子郵件安全需求

    1）機密性

    2）完整性

    3）身份認證性

    4）抗抵賴性

2. 安全電子郵件標准：

1. SSL是介於 和 之間的安全協議.

2. SSL協議棧

    (傳統的TCP協議是沒有安全協議的，傳輸都是明文，所以在TCP上面設置SSL協議保證安全性)

3. SSL握手過程

    協商密碼組，生成秘鑰，伺服器/客戶認證與鑒別。

1. VPN

    建立在 上的安全通道，實現遠程用戶、分支機構、業務夥伴等與機構總部網路的安全連接，從而構建針對特定組織機構的專用網路。

     關鍵技術 ： ，如IPSec。

2. 典型的 網路層安全協議 ——

    提供機密性、身份鑒別、數據完整性和防重放攻擊服務。

    體系結構： 認證頭AH協議 、 封裝安全載荷ESP協議 。

    運行模式： 傳輸模式 （AH傳輸模式、ESP傳輸模式）、 隧道模式 （AH隧道模式、ESP隧道模式）

本文主要介紹了網路安全基本概念、數據加密演算法、消息完整性與數字簽名、身份認證、密鑰分發中心與證書認證機構、防火牆與入侵檢測以及網路安全協議等內容。

回顧：

1. 網路安全基本屬性

2. 典型數據加密演算法；

3. 消息完整性、數字前面以及身份認證原理。