第10章 網路安全(1)_對稱加密和非對稱加密
1 網路安全概述
1.1 計算機網路面臨的安全威協
(1)截獲:攻擊者從網路上竊聽他人的通訊內容,通常把這類攻擊稱為“截獲”。在被動攻擊中,攻擊者只是觀察和分析某一個協議資料單元(PDU)而不干擾資訊流。
(2)篡改:攻擊者篡改網路上傳遞的報文。這裡包括徹底中斷傳遞的報文,甚至把完全偽造的報文傳送給接收方,這種攻擊也有時也稱為“更改報文流”。如DNS劫持(域名劫持),安裝黑客軟體Cain可以進行驗證。
(3)惡意程式:是一種特殊的主動攻擊形式。如計算機病毒、蠕蟲、木馬程式、邏輯炸彈等。病毒是一種應用程式,不會儲存在交換機、路由器這些網路裝置中,因此這些裝置不會中毒,但他們會通過網路傳播到其他計算機中,當計算機中了病毒也會反過來影響網路裝置的正常工作
(4)拒絕服務攻擊:攻擊者向因特網上的伺服器不停傳送大量分組,使因特網或伺服器無法提供正常服務,這種攻擊被稱為拒絕服務(Denial of Service, DoS)。如果攻擊者操縱因特網上的成百上千的網站集中攻擊一個網站,則稱為分散式拒絕服務(Distributed Denial of Service, DDoS)。有一種DDoS攻擊叫做CC(Challenge Collapsar, 挑戰黑洞軟體)
1.2 一般的資料加密模型
(1)A和B事先預先協商好一個金鑰K,然後A明文前通過加密演算法E後得出密文Y。一般的加密表示方法為Y=Ek(X)
(2)B收到密文Y後,根據金鑰K解密明文X。傳送前將資料加密,在接收端B解密得到明文。解密運算表示為Dk(Y) = Dk(Ek(X)) = X
(2)如果加密金鑰和解密金鑰是同一個金鑰,這種加密技術稱為“對稱加密”。如果兩個金鑰不同,這種加密技術稱為“非對稱加密”
2. 對稱加密和非對稱加密
2.1 對稱密碼體制
(1)加密金鑰和解密金鑰是相同的密碼體制。常用的演算法有DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK和AES等。
(2)對稱加解密演算法的優缺點
①優點:演算法公開、計算量小、加密速度快、加密效率高
②缺點:資料傳送前,傳送方和接收方必須商定好金鑰,然後雙方都要保管好金鑰。如果一方的金鑰被洩露,那麼加密資訊就不安全了。此外,如果每對使用者每次使用對稱加密演算法時都需要使用其他人不知道的唯一金鑰,就會使收、發雙方所擁有的鑰匙數量巨大,金鑰管理成為雙方的負擔。
2.2 非對稱密碼體制
(1)公鑰密碼體制。常見的演算法有RSA、Elgamal、揹包演算法、Rabin、D-H、ECC(橢圓線加密演算法)
①傳送資料前,B產生一個金鑰(B的公鑰PK和私鑰SK),然後B將公鑰PK通過網路傳給A(即公鑰是公開的,可能被C截獲)
②A使用B的公鑰(PK)加密明文,得到密文Y,傳送給B。
③C捕獲密文Y,使用前面截獲的公鑰PK不用解密出明文(公鑰加密時需用私鑰解密),即便知道解密演算法也無濟於事。
④B收到密文Y後,使用B的私鑰SK解密得到明文X。
(2)非對稱加密的優缺點
①優點:與對稱加密相比,其安全性更好。他使用一對密碼,公開金鑰用來加密,私鑰用來解密。不需要像對稱加密那樣在通訊之前要先同步金鑰。
②缺點:加密和解密花費時間長、速度慢,只適合對少量資料進行加密
(3)對稱加密與非對稱的結合
①對稱演算法計算機小、加密速度快、加密效率高。但金鑰在網路中傳輸存在被截獲的風險。而非對稱加密公鑰不擔心被截獲,但加解密時間長,速度較慢,只適合少量資料的加密。
②兩者的結合:用對稱演算法加密大檔案,其金鑰(CK)再經過非對稱演算法進行加密。如下圖A產生一個對稱金鑰“123abc”,使用對稱金鑰加密500M檔案,雖然檔案較大,但對稱加密效率高,很快完成。加密後,再使用B的公鑰加密對稱金鑰“123abc”,然後將加密後的500M檔案和加密後的對稱金鑰一起發給B,B收到後使用私鑰解密得到對稱金鑰“123abc”,然後再使用“123abc”解密這500M的檔案,效率高。