作者:陈铁明
出版社:人民邮电出版社有限公司
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络空间安全通识教程试读:
前言
网络空间已成为国家继陆、海、空、天四大疆域之后的第五疆域,网络空间安全已成为关系到国家政治、国防、社会安定等的关键因素。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作和生活的重大战略问题,没有网络安全就没有国家安全。《中华人民共和国网络安全法》的施行说明国家将从法律上着手保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化的健康发展。
2015年,“网络空间安全”一级学科的设立标志着网络空间安全进入了崭新的教科时代,体现了网络空间安全在国家教育体系中的地位。2016年,中央网信办与发改委、教育部等六部门联合印发《关于加强网络安全学科建设和人才培养的意见》,进一步说明国家对网络安全实战型人才的培养要求迫切。第四届乌镇世界互联网大会上发布的报告指出,到2020年,中国网络安全人才缺口将达150万。2017年,国家互联网信息办公室发布《国家网络空间安全战略》,对实现建设网络强国的战略目标产生了深远影响,而有效地开展规模化的网络空间安全人才培养也已成为当务之急。
自2016年开始,中央网信办已做出重要决策,将每年9月的第三周设立为国家网络安全宣传周,以此来推动全社会共同维护网络安全的实际行动,旨在增强网络安全意识、普及网络安全知识、提高网络安全技能。最近,教育部也修订颁发了《普通高中信息技术课程标准》,其中明确提到了了解信息系统与社会的安全风险、从数据管理与分析模块中认识和了解数据备份和数据安全、从网络技术应用模块中了解网络主要结构与协议等要求,大幅度提升了青少年对网络空间安全等知识面的要求,因此亟需配套的教程来支撑信息技术教学大纲。事实上,在目前的市场上,要么是缺乏技术细节的科普教程,要么是专业性较强的理论教程或技术性较强的实践教程。本书是对网络空间安全技术体系全面介绍的引导教程,既可满足中职高中的基础知识教学需求,也可为后续深入相应的专业技能或从事相关的研究,提供有效的导入式通识学习路径。
2017年9月,浙江省率先启动了网络空间安全终身教育工程,尤其是兼顾将青少年网络安全教育提升到战略高度。在此背景下,我们精心编写了此教程,既涵盖了新版信息技术相关课程的基础知识,又概述了网络空间安全的入门知识,有助于青少年建立对网络空间安全知识框架的基本认知,也可为大专院校学生的网络安全通识学习提供参考。
本教程在编写过程中,得到了浙江省网络空间安全创新研究中心、浙江工业大学网络空间安全协会、网络安全通在线学习平台等研究人员的大力支持,郑毓波、陈嘉烙、徐康、张灵洁、金成强、张嘉琦等参与了内容整理与实验准备工作,在此一并表示感谢!
本教程内容涵盖网络空间安全基本概念及相关技术、人才、法律等现状,网络协议基础,密码学基础及应用,网络安全防范技术基础,操作系统安全,数据与内容安全,互联网安全,物联网安全,新技术安全等,以入门引导为目的,全面系统地介绍了网络空间安全涉及的知识面,还介绍了人工智能、大数据等最新的技术面临的安全问题,可作为大专院校网络空间安全通识课程教材,也可作为中职或高中开设网络安全创新大学先修课程的参考教程。第1章 网络空间安全1.1 网络空间安全概念1.1.1 起源与历史
在接触网络空间安全之前,我们不得不提到一个重要的名词——赛博空间(Cyberspace)。赛博空间指的是计算机以及计算机网络里的虚拟现实,是由科幻小说作家威廉·吉布森在他的长篇小说《神经漫游者》中首次提出的。
随着信息技术应用的发展以及计算机等技术的普及,赛博空间也从最早描述的虚拟空间逐渐延伸到人类可感知的现实生活中,例如最新提出的空天信一体化系统等,已将卫星通信系统、计算机系统、互联网等融为一体构成网络空间。赛博空间是人类科技发展创造的新型空间,但是随着赛博空间的逐步扩展,其对个人隐私、信息安全、应用安全乃至国防安全等都将产生强大的冲击,引发新的安全问题。1.1.2 定义与概念
网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或恶意的原因遭到破坏、泄露,确保系统能连续可靠正常的运行,网络服务不中断。
传统的信息安全问题主要解决CIA,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。随着网络技术的发展渗透,网络安全不仅仅指网络通信层面的安全保障,广义上的网络安全已和信息安全的研究范畴没有太明确的区分,也可以说网络安全就是网络上的信息安全。
网络空间安全
针对网络空间,就有了网络空间安全。网络空间安全的概念较网络安全更为广义,不仅涵盖了传统的网络安全技术,还包括所有信息空间网络互联网环境的物理安全、系统安全、数据安全、应用安全等各类问题及其安全管理体制、法律法规等的总和。
各国对网络空间安全的定义
2008年,美国国家安全总统令54号、国土安全总统令23号将网络空间界定为:互相依赖的信息技术基础设施,包括互联网、电信网、计算机系统以及关键行业中的嵌入式处理器和控制器。“网络空间”这个词还常用于指信息和人们互动的虚拟环境。《加拿大网络安全战略》(2010)将网络空间定义为:网络空间是由互联的信息技术网络和其上的信息构成的电子世界。它是一个全球公域,将超过17亿人连接在一起交换想法、提供服务和增进友谊。《德国网络安全战略》(2011)将网络空间定义为:网络空间是全球范围内在数据层连接的所有IT系统组成的虚拟空间。网络空间的基础是互联网这一普遍的和公开的可接入和传输的网络,该网络可由任意数量的数据网络进行补充和进一步扩大。孤立的虚拟空间中的IT系统不属于网络空间的组成部分。《法国信息系统防卫和安全战略》(2011)将网络空间定义为:由世界互联的自动数字数据处理设备构成的通信空间。《新西兰网络安全战略》(2011)将网络空间定义为:由相互依赖的信息技术基础设施、电信网和计算机处理系统组成的进行在线通信的全球网络。《英国网络安全战略》(2011)将网络空间定义为:网络空间是指由数字网络组成的交互式领域,用于存储、修改和交流信息。它包括互联网,还包括其他支撑我们商业、基础设施和服务的信息系统。
国际标准化组织在《信息技术——安全技术——网络安全指南》(ISO/IEC 27032:2012)中将网络空间定义为:通过连接到互联网上的技术设备和网络,由互联网上人们的互动、软件和服务所形成的不具有任何物理形态的合成环境。
网络空间的构成
1.网络设备
网络空间是由计算机、智能终端、路由器、交换机、缆线等硬件设备联网构成的电子空间,这些硬件设备是构成网络空间的物理层。一些联网的移动终端如手机、移动电脑也是构成网络空间的一部分。以上的所有设备都统称为网络设备。
2.软件和协议
软件和协议用于帮助设备之间处理和传输信息,没有软件和协议的帮助,任何设备都不可能成为网络空间的一部分。
软件是一系列按照特定顺序组织的计算机数据和指令的集合。软件主要是给计算机系统或用户提供一系列的功能或特定的功能。
协议则是为了在计算机网络中进行数据交换而建立的规则、标准或约定的集合。协议主要规定了数据如何发送、设备之间如何建立连接,简单来说就是按照怎样的顺序做怎样的事。
3.信息
从广义上来说,信息可以泛指人类社会传播的一切内容。对于计算机网络来讲,信息主要是指电子线路中传输的信号。网络最重要的意义在于处理、存储和传输信息,因此网络设备上生成、存储和传输的信息是网络空间的必备要素。网络上的信息主要表现为电子数据形态。
4.网络主体
网络空间的主体非常广泛,包括网络建设者、运营者、服务提供者、监督管理者、用户等。其中最主要的是网络服务提供者和用户。
5.网络行为
网络空间是虚拟的电子空间,人们通过实施各种网络行为与其他网络主体发生社会关系,形成人与人、人与计算机的互动。网络行为主要包括网络信息行为和网络技术行为。网络信息行为以信息为对象,例如,访问浏览网页信息、下载和上传信息、播放网络音/视频、接收或发送电子邮件、入侵或破坏信息系统、窃取或篡改信息等。网络技术行为主要有网络技术开发、网络维护、程序的升级等。正是因为有人的活动,才使网络社会得以形成。
网络空间的特点
1.虚拟性
网络空间是一个电子空间,没有三维属性;网络空间的任何东西都是由计算机代码构成的。因此从三维物理空间的角度讲,网络空间是虚拟的空间。
2.现实性
当今的互联网是一种面向公众的全球性设施。网络空间中的信息也是实实在在的信息,只是改变了传统的存储介质。通过网络,任何人或组织之间都可以互相分享信息和互动,网络空间与现实空间已经实现了融合,成为一个融合空间,即新形态的现实空间。
3.社会性
每个上网者及网站和网页都是互联网的节点,节点连接节点,交织成网,形成网络节点联系的体系,构成互联网上的社会交往体系,即网络社会。1.1.3 网络空间安全名词解释
互联网
互联网又称为因特网,始于1969年美国的阿帕网。将计算机网络互相连接在一起的方法称为“网络互联”,在这个基础上发展的覆盖全世界的全球性互联网络称为互联网。互联网并非万维网,万维网是一个基于超文本相互链接而成的全球性系统,且是互联网所能提供的服务之一。
信息安全
信息安全是指信息的机密性、完整性和可用性的保持。根据美国《可信计算机系统评价准则》TCSEC的定义,信息安全具有以下特征。
机密性:确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。
完整性:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。
可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
物联网
物联网(Internet of Things,IoT)是互联网、传统电信网等的信息承载体,可以让所有能行使独立功能的普通物体实现互联互通的网络。物联网一般为无线网,由于每个人周围的设备可以达到1000~5000个,因此物联网可能要包含500M~1000M个物体。在物联网上,每个人都可以使用电子标签将真实的物体在网上连接,然后查出它们的具体位置。通过物联网,可以用中心计算机对机器、设备、人员进行集中管理、控制,也可以对家庭设备、汽车进行遥控,还可以搜索位置、防止物品被盗等,类似自动化操控系统。同时,通过收集这些小数据,最后可以聚集成大数据,用于包含重新设计道路以减少车祸、都市更新、灾害预测与犯罪防治、流行病控制等有关社会的重大改变。
物联网将现实世界数位化,其应用范围十分广泛。物联网拉近分散的信息,整合物与物的数字信息。物联网的应用领域主要包括运输和物流领域、健康医疗领域、智能环境(家庭、办公、工厂)领域、个人和社会领域等,具有十分广阔的市场和应用前景。
大数据
大数据又称为巨量资料,指的是传统数据处理应用软件不足以处理其规模的复杂数据集。在总数据量相同的情况下,与个别分析独立的小型数据集相比,将各个小型数据集合并后进行分析可得出许多额外的信息和数据关系,可用来察觉商业趋势、判定研究质量、避免疾病扩散、打击犯罪或测定即时交通路况等。
云计算
云计算是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机各种终端和其他设备。云计算是继1980年大型计算机到客户端−服务器的大转变之后的又一种巨变。用户不再需要了解“云”中基础设施的细节,不必具有相应的专业知识,也不需要直接进行控制。云计算描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。1.2 网络空间安全威胁与现状1.2.1 网络空间安全的威胁
随着社会对网络和信息系统依赖性的增加,网络空间面临的威胁也与日俱增。网络和信息安全牵涉国家安全和社会稳定。
从国际上看,国家或地区在政治、经济等各领域的冲突都会反映到网络空间。网络空间这个虚拟世界有其无可比拟的特点,可以对国家安全构成威胁。第一,网络空间没有明确、固定的边界,资源分配不均衡,导致网络空间的争夺异常复杂;第二,网络空间没有集中的控制权,网络武器极易扩散;第三,网络空间具有极强的隐蔽性,发动者可以藏身于一个无人知晓的地方发动门槛极低的网络攻击,并且不留下任何痕迹;第四,网络空间包含事关国计民生和国家安全的国防信息基础设施。
就社会生活而言,网络空间的安全威胁涉及网络漏洞、个人信息安全、网络冲突与攻击、网络犯罪等。网络漏洞是指计算机系统软硬件、网络协议、系统安全方面存在的缺陷,而这些缺隐可以被无授权的攻击者利用,对数据进行窃取、操控,进而破坏网络系统。服务商、员工人为泄露用户信息,黑客通过黑客技术盗取信息数据,将会导致个人信息安全受到严重威胁。除了国家之间的网络冲突与攻击之外,企业间或利益集团间也存在着网络冲突与攻击。网络信息窃取、虚假广告等网络犯罪频率也呈现出快速上升的趋势,同时其智能性、隐蔽性和复杂性使取证更加困难。
网络空间的安全威胁按照行为主体的不同,可划分为黑客攻击、有组织网络犯罪、网络恐怖主义以及国家支持的网络战这4种类型。
网络空间安全已经成为国家安全战略的重要组成部分。以互联网为基础的信息系统几乎构成了整个国家和社会的中枢神经系统,其安全可靠运行是整个社会正常运转的重要保证。如果这个系统的安全出了问题(如受到入侵或瘫痪)必将影响整个社会的正常运转。1.2.2 网络空间安全的现状
随着综合国力的不断提升和互联网技术的普及,我国已成为名副其实的网络大国。截至2017年12月,我国的网民人数达到7.5亿人,上市互联网企业总市值突破9万亿元,这促使我国开始关注自身在网络空间的利益,并在国际社会提出网络主权的主张,同时也在国内进行了相关立法。2010年,《中国互联网状况》白皮书指出,互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。《中华人民共和国国家安全法》和《中华人民共和国网络安全法》都使用了“网络空间主权”一词,来表达以国家力量保障网络空间安全的法律意志。
2016年12月27日经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》,阐明中国关于网络空间发展和安全的重大立场,指导中国网络安全工作,维护国家在网络空间的主权、安全、发展利益。
此外,英国、德国、法国、日本、澳大利亚、韩国等多个国家也制定了其各自的网络空间安全战略。在国际层面,2011年,中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦向联合国大会第66届会议联合提交了信息安全国际行为准则,指出重申与互联网有关的公共政策问题的决策权是各国的主权,对于与互联网有关的国际公共政策问题,各国拥有权利并负有责任。2013年,联合国信息安全政府专家组(UNGGE)达成的最后报告,确认国际法,特别是《联合国宪章》适用网络空间,并表示国家主权和源自主权的国际规范和原则适用于国家进行的信息通信技术活动,以及国家在其领土内对信息通信技术基础设施的管辖权。UNGGE在2015年报告中继续强调国际法、《联合国宪章》和主权原则的重要性,它们是加强各国使用信通技术安全性的基础,并指出:“各国在使用信通技术时,除其他国际法原则外,还必须遵守国家主权、主权平等、以和平手段解决争端和不干涉其他国家内政的原则。国际法规定的现有义务适用于国家使用通信技术。”1.3 网络空间安全人才培养
目前,网络空间安全人才的培养得到了许多国家的高度重视,美国、俄罗斯、日本等多个国家出台了国家网络安全战略,制定了专门的网络安全人才培养计划。例如,美国启动“国家网络空间安全教育计划”,期望通过国家的整体布局和行动,在信息安全常识普及、正规学历教育、职业化培训和认证这3个方面建立系统化、规范化的人才培养制度,全面提高美国的信息安全能力。为加强我国高素质网络空间安全人才的培养,2015年6月,“网络空间安全”正式被国务院学位委员会和教育部批准为国家一级学科。2016年6月,经中央网络安全和信息化领导小组同意,中央网信办、发改委、教育部、科技部、工信部和人社部六部门联合印发了《关于加强网络安全学科建设和人才培养的意见》,该意见要求:在已设立网络空间安全一级学科的基础上,加强学科专业建设。发挥学科引领和带动作用,加大经费投入,开展高水平科学研究,加强实验室等建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。有条件的高等院校可通过整合、新建等方式建立网络安全学院。通过国家政策引导,发挥各方面积极性,利用好国内外资源,聘请优秀教师,吸收优秀学生,下大功夫、大本钱创建世界一流网络安全学院。近两年,各相关高校响应国家培养网络安全人才的号召,陆续设立了“网络空间安全学院”。
在《中华人民共和国网络安全法》颁布后的仅一个多月,2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布的《国家网络空间安全战略》提出,实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境。
2017年8月23日,国家网络安全学院等六大项目的集中开工,标志着国家网络安全人才与创新基地建设进入实质性阶段。1.4 网络空间法律法规
在我国网络空间安全保障体系构成要素中,网络空间安全法规与政策为其他要素和网络空间安全保障体系提供必要的法律保障和支撑,是我国网络空间安全保障体系的顶层设计,对切实加强网络空间安全保障工作、全面提升网络空间安全保障能力具有重要意义。
网络空间安全事关国家安全和经济建设、组织建设与发展,我国从法律层面明确了网络空间安全相关工作的主管监管机构及其具体职权。
法律层面,在保护国家秘密方面有《中华人民共和国保守国家秘密法》等相关法律;在维护国家安全方面有《中华人民共和国国家安全法》等相关法律;在维护公共安全方面有《中华人民共和国警察法》和《中华人民共和国治安管理处罚法》等相关法律;在规范电子签名方面有《中华人民共和国电子签名法》。
行政法规层面,有《中华人民共和国计算机信息系统安全保护条例》对计算机系统及其安全保护进行定义;《商用密码管理条例》中,商用密码是指对不涉及国家密码内容的信息进行加密保护或安全认证所使用的密码技术和密码产品,未经许可任何单位或个人不得销售商用密码产品。
随着互联网的高速发展,2000年,国务院令第292号公布《互联网信息服务管理办法》。2001年,国务院令第339号公布《计算机软件保护条例》,并在2011年进行了第一次修订,2013年进行了第二次修订。
2010年6月8日发布的《中国互联网状况》白皮书中进一步提出:“互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。”“同时依法保障公民在互联网上的言论自由,保障公众的知情权、参与权、表达权和监督权。”“中国恪守世界贸易组织成员应履行的普遍性义务和具体承诺义务,依法保护外资企业在华合法权益,并积极为在华外资企业依法开展与互联网相关的经营业务提供良好的服务。”这些政策的宣示,初步展现出我国对于网络空间国际治理的基本主张。
2015年7月,《中华人民共和国网络安全法(草案)》第一次向社会公开征求意见。2016年11月7日,全国人大常委会表决通过《中华人民共和国网络安全法》。2017年6月1日,《中华人民共和国网络安全法》施行。它明确了国家加强保护个人信息、打击网络诈骗的决心。
对当前我国网络安全方面存在的热点难点问题,《中华人民共和国网络安全法》都有明确规定。针对个人信息泄露问题,《中华人民共和国网络安全法》规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并且取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息。同时,它还规定了相应的法律责任。
针对网络诈骗多发态势,《中华人民共和国网络安全法》规定:任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗、传授犯罪方法、制作或销售违禁物品、管制物品等违法犯罪活动的网站、通迅群组,不得利用网络发布涉及实施诈骗、制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。同时,它还规定了相应的法律责任。
此外,该法在关键信息基础设施的运行安全、监测预警与应急处置等方面都做出了明确规定。
所以在法律日益完善的当今社会,拥有良好的法律意识也是至关重要的。在学好网络安全技术的同时,也要做一位遵纪守法的好公民,为未来国家的网络空间安全事业贡献力量。第2章 网络协议基础2.1 网络设备
交换机
交换机被广泛应用于二层网络交换。交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。在以后的通信中,发往该MAC地址的数据分组将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。
以太网交换机从工作原理上来说相当于透明网桥,它会接收、校验以太帧,并基于帧首部的目的物理地址(MAC地址)决定滤除还是转发帧。在交换机内部,保存有主机MAC地址与交换机端口n对应关系的MAC地址表。
路由器
路由器是一种电信网络设备,提供路由与转送两种重要机制。其中,决定数据分组从源端到目的端所经过的路径,这个过程称为路由;将路由器输入端的数据分组移送至适当的路由器输出端(在路由器内部进行),这个过程称为转送。
服务器
服务器主要是指一个管理资源并为用户提供服务的计算机软件,通常分为文件服务器、数据库服务器和应用程序服务器。当然运行以上软件的计算机也被称为服务器。一般服务器通过网络对外或对内提供服务。
网卡
又称网络接口控制器、网络适配器或局域网接收器,是一块被设计用来允许计算机在计算机网络上进行通信的计算机硬件。由于其拥有MAC地址,因此属于OSI模型的第一层。它使用户可以通过电缆或无线相互连接。每一个网卡都有一个被称为MAC地址的独一无二的48位串行号,它被写在卡上的一块ROM中。在网络上的每一个计算机都必须拥有一个独一无二的MAC地址。没有任何两块被生产出来的网卡拥有同样的地址。这是因为电气电子工程师协会(IEEE)负责为网络接口控制器销售商分配唯一的MAC地址。
集线器
集线器是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的设备。集线器运作在OSI模型中的物理层。它可以视为多端口的中继器,若它侦测到碰撞,则会提交阻塞信号。
集线器通常会附上BNC and/or AUI转接头来连接传统10BASE2或10BASE5网络。
由于集线器会把收到的任何数字信号,经过再生或放大,再从集线器的所有端口提交,这不但会造成信号之间碰撞的机会变大,而且信号也可能被窃听,并且这代表所有连到集线器的设备都属于同一个碰撞网域以及广播网域,因此大部分集线器已被交换机取代。
网络电缆
网络电缆一般由金属或玻璃制成,用来传递网络信息。常用的网络电缆有3种:双绞线、同轴电缆和光纤电缆(光纤)。
双绞线分为两类:屏蔽双绞线(STP)与非屏蔽双绞线(UTP)。常见的是非屏蔽双绞线(UTP),它由4对细铜线组成,每对铜线都绞合在一起,每根铜线都外裹带颜色的塑料绝缘层,然后整体包有一层塑料外套。
光纤电缆的数据发送速度最高,且不受电磁干扰,但安装困难、价钱昂贵;相反,双绞线电缆的数据发送速度最低,但安装容易、价格便宜。2.2 TCP/IP协议族2.2.1 概述
互联网协议族(Internet Protocol Suite,IPS)是一个网络通信模型以及一整个网络传输协议家族,为互联网的基础通信架构。它常被称为TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/互联网络协议)协议族,这是因为该协议家族的两个核心协议——TCP(传输控制协议)和IP(互联网络协议)为该家族中最早通过的标准。网络通信协议普遍采用分层的结构,当多个层次的协议共同工作时,其结构类似计算机科学中的堆栈,因此又被称为TCP/IP协议栈。这些协议最早来源于美国国防部的ARPA网项目,因此也被称作DoD模型。这个协议族由互联网工程任务组负责维护。
TCP/IP提供点对点的链接机制,将数据应该如何封装、定址、传输、路由以及在目的地如何接收都加以标准化。它将软件通信过程抽象化为4个抽象层,采取协议堆栈的方式,分别实现不同的通信协议。协议族下的各种协议依其功能不同,被分别归属到这4个层次结构之中,常被视为简化的七层OSI(Open System Interconnection)模型。2.2.2 OSI参考模型
OSI参考模型(OSI/RM)的全称是开放系统互连参考模型(Open System Interconnection Reference Model,OSI/RM),如图2-1所示。它是由国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的。其目的是为异构计算机互连提供共同的基础和标准框架,并为保持相关标准的一致性和兼容性提供共同的参考。这里所说的开放系统,实际上指的是遵循OSI参考模型和相关协议,能够实现互连的具有各种应用目的的计算机系统。它是网络技术的基础,也是分析、评判各种网络技术的依据。图2-1 OSI参考模型
七层模型的组成
OSI参考模型由上至下分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。各层主要功能如下。
应用层:访问网络服务的接口。例如,为操作系统或网络应用程序提供访问网络服务的接口。常见的应用层协议有Telnet、FTP、HTTP、SNMP、DNS等。
表示层:提供数据格式转换服务。例如,加密与解密、图片解码和编码、数据的压缩和解压缩。常见应用有URL加密、口令加密、图片编解码。
会话层:建立端连接并提供访问验证和会话管理。
传输层:提供应用进程之间的逻辑通信。常见应用有TCP、UDP、进程、端口。
网络层:为数据在节点之间传输创建逻辑链路,并分组转发数据。例如,对子网间的数据分组进行路由选择。常见应用有路由器、多层交换机、防火墙、IP、IPX等。
数据链路层:在通信的实体间建立逻辑链路通信。例如,将数据分帧,并处理流控制、物理地址寻址等。常见应用设备有网卡、网桥、二层交换机等。
物理层:为数据端设备提供原始比特流传输的通路。例如,网络通信的传输介质。常见应用设备有网线、中继器、光纤等。
OSI协议的运行原理
在OSI七层模型中,节点之间进行数据通信时是在发送端,从高层到低层进行数据封装操作,每一层都在上层的数据上加入本层的数据头,然后传递给下层处理。因此,这个过程是数据逐层向下封装的过程,俗称“打包”过程。
在接收端则对数据进行相反操作,接收到的数据单元在每一层被去掉头部,根据需要传送给上一层处理,直到应用层解析后被用户看到内容,俗称“拆包”过程。2.2.3 TCP/IP模型
TCP/IP是Internet的基本协议,由OSI七层模型中的网络层IP和传输层TCP组成。TCP/IP定义了电子设备如何连入互联网以及数据如何在它们之间传输的标准。
TCP/IP也是分层协议,它由下至上分别是物理层、数据链路层、网络层、传输层和应用层。
在网络层中,IP是TCP/IP的核心,也是网络层中的重要协议。以IPv4协议为例,IPv4的分组封装结构如表2-1所示,高一层的传输层的TCP和UDP服务在接收数据分组时,一般假设分组中的源地址是有效的。所以IP地址形成了许多服务的认证基础,这些服务相信数据分组是从一个有效的主机发送过来的。在IP确认信息中包含选项IP Source Routing,可以用来指定一条源地址和目的地址之间的直接路径。对于一些应用到TCP和UDP的服务来说,它使用的该选项的IP分组是从路径上的最后一个系统终端传递过来的,而不是来自它的真实地址。这就使许多依靠IP源地址做确认的服务被攻击,比如常见的IP地址欺骗攻击。表2-1 IPv4的分组封装结构
传输层主要使用TCP(传输控制协议)和UDP(用户数据分组协议)这两个协议,其中,TCP提供可靠的面向连接的服务,而UDP提供不可靠的无连接服务。
TCP使用三次握手机制来建立一条连接:握手的第一个分组为SYN包;第二个分组为SYN/ACK包,表明它应答第一个SYN包,同时继续握手的过程;第三个分组仅仅是一个应答,表示为ACK包。该过程如图2-2所示。图2-2 TCP建立连接过程
假设A为连接方,B为响应方,其间可能的威胁如下所示。
① 攻击者监听B发出的SYN/ACK分组。
② 攻击者向B发送RST包,接着发送SYN包,假冒A发起新的连接。
③ B响应新连接,并发送连接响应分组SYN/ACK。
④ 攻击者再假冒A向B发送ACK包。
这样,攻击者就达到了破坏连接的目的。如果此时攻击者再插入有害数据分组,则后果更严重。
TCP断开机制也是同样的道理,如图2-3所示。
同样,对于这个过程,攻击者可以在最后一次断开时不进行确认,导致被攻击者主机保持“半断开”状态,消耗其资源,影响其正常服务,严重的会导致服务停止,很多网站服务器和文件服务器经常遭到此类攻击。
UDP分组由于没有可靠性保证、顺序保证和流量控制字段等,因此可靠性较差。当然,因为UDP的控制选项较少,使其具有数据传输过程中时延小、数据传输效率高的优点,所以适用于可靠性要求不高的应用程序,或可以保障可靠性的应用程序,如DNS、TFTP、SNMP等。图2-3 TCP断开连接的过程
基于UDP的通信很难在传输层建立起安全机制。同网络层安全机制相比,传输层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全服务。
应用层有很多日常传输数据时使用的协议,例如,HTTP、HTTPS、FTP、SMTP、Telnet、DNS、POP3等,这些协议在实际应用时要用到应用程序代理。
从用户角度来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。
由于外部系统和内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理服务对于应用层以下的数据透明。应用层代理服务器用于支持代理的应用层协议,例如,HTTP、HTTPS、FTP、SMTP、Telnet等。2.3 互联网协议2.3.1 HTTP
HTTP(Hypertext Transfer Protocol)全称是超文本传输协议,是Web的核心传输机制,也是服务端与客户端之间交换URL引用文档的首选方式。尽管名字里包含了超文本这几个字,但HTTP和真正的超文本内容(HTML语言)其实彼此独立。当然,在某些时候,它们会以一种令人意想不到的方式交织在一起。设置HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。
HTTP是由蒂姆·伯纳斯·李于1989年在欧洲核子研究组织(CERN)发起的。HTTP的标准制定由万维网协会(World Wide Web Consortium,W3C)和互联网工程任务组(Internet Engineering Task Force,IETF)进行协调,他们最终发布了一系列的RFC,其中最著名的是1999年6月公布的RFC 2616,其定义了HTTP中现今广泛使用的一个版本——HTTP/1.1。
HTTP/1.1中共定义了8种方法来以不同方式操作指定的资源。
GET
GET方法对信息的获取至关重要。实际上,所有常规浏览会话在“客户端—服务器”交互时都在使用GET方法向指定资源发送“显示”请求。
POST
POST方法与GET方法一样,都是向服务器发送指定资源的请求。POST请求通常都会带有表单数据,这段数据的长度要明确地设置在Content-Length请求头里。
HEAD
HEAD是一种很少用的方法。本质上HEAD接近GET方法,只不过服务器不传回资源的文本部分。
OPTIONS
OPTIONS是一种元数据请求。服务器会根据客户端请求的URL地址,在一个响应头里返回其所能支持的全部方法列表。
PUT
PUT请求用来向服务器特定的目标URL上传文件。但是因为浏览器并不支持PUT方法,常规文件的上传功能一般是用POST方法提交给服务器端脚本来实现的。
DELETE
请求服务器删除Request-URL所标识的资源。
TRACE
TRACE是一种“ping”形式的请求。回显服务器收到的请求,主要用于测试或诊断。
CONNECT
HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。通常用于SSL加密服务器的链接(经由非加密的HTTP代理服务器)。2.3.2 DNS
域名系统(Domain Name System,DNS)是一个可以将域名和IP地址相互映射的分布式数据库。由于它是互联网的核心服务之一,且在其中扮演着极为重要的角色,其安全与否对整个互联网的安全性有着重要的影响。在DNS协议设计之初,设计者并未过多地考虑安全问题,因此导致DNS本身留有很多安全隐患。
DNS通过允许一个名称服务器把它的一部分名称服务“委托”给子服务器,实现了一种层次结构的名称空间。此外,DNS还提供了一些额外的信息,例如,系统别名、联系信息以及哪一个主机正在充当系统组或域的邮件枢纽。
任何一个使用IP的计算机网络可以使用DNS来实现它自己的私有名称系统。尽管如此,当提到在公共的Internet DNS上实现的域名时,术语“域名”是最常使用的。这基于全球范围的504个“根域名服务器”(分成13组,编号分别为A~M)。从这504个根服务器开始,余下的Internet DNS命名空间被委托给其他的DNS服务器,这些服务器提供DNS名称空间中的特定部分。2.3.3 VPN
虚拟专用网(Virtual Private Network,VPN)是指在公共网络提供的信息传输平台基础上,通过建立虚拟隧道,使信息在隧道中安全可靠地传输的一种网络传输模式。VPN技术让跨国、跨地区企业可以通过Internet建立一个安全、高效的企业内部网,位于不同区域的用户像使用企业内部网络一样使用VPN中的资源。
可以用以下日常生活中的例子来比喻虚拟专用网。甲公司某部门的A想寄信给乙公司某部门的B。A已知B的地址及部门,但公司与公司之间的信不能注明部门名称。于是,A请自己的秘书把指定给B所属部门的信(A可以选择是否以密码与B通信)放在寄给乙公司地址的大信封中。乙公司的秘书收到从甲公司寄给乙公司的信件后,便会把放在该大信封内的指定部门信件以公司内部信件的方式寄给B。同样地,B会以同样的方式回信给A。
在以上例子中,A与B是身处不同公司(内部网络)的计算机(或相关机器),通过一般邮寄方式(公用网络)寄信给对方,再由对方的秘书(例如,支持虚拟专用网的路由器或防火墙)以公司内部信件(内部网络)的方式寄至对方本人。2.3.4 SSH
安全外壳(Secure Shell,SSH)协议是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。虽然任何网络服务都可以通过SSH实现安全传输,但SSH最常见的用途还是远程登录系统,人们通常利用SSH来传输命令行界面和远程执行命令。使用频率最高的场合是UNIX系统,Windows 10开始也实现了内置SSH协议支持。
在设计上,SSH是Telnet和非安全Shell的替代品。Telnet和Berkeley rlogin、rsh、rexec等协议采用明文传输,使用不可靠的密码且容易遭到监听、嗅探和中间人攻击。SSH旨在保证非安全网络环境(例如互联网)中信息加密的完整可靠。
SSH以非对称加密实现身份验证。身份验证有多种途径,一种方法是使用自动生成的公钥—私钥对来简单地加密网络连接,随后使用密码认证进行登录;另一种方法是人工生成一对公钥和私钥,通过生成的密钥进行认证,这样就可以在不输入密码的情况下登录。任何人都可以自行生成密钥,公钥放在待访问的电脑中,而对应的私钥则由用户自行保管。认证过程基于生成出来的私钥,但整个认证过程中私钥本身不会传输到网络中。
SSH协议有两个主要版本,分别是SSH-1和SSH-2。无论哪个版本,核实未知密钥来源都是很重要的,因为SSH只验证用户是否拥有与公钥相匹配的私钥,只要接受公钥且密钥匹配,服务器就会授予许可。这样,一旦接受了恶意攻击者的公钥,那么系统也会把攻击者视为合法用户。2.4 网络安全协议2.4.1 SSL
安全套接层(Security Socket Layer,SSL)协议是用来保护网络传输信息的,它工作在传输层之上、应用层之下的Socket层,其底层是基于传输层可靠的流传输协议(如TCP)。
SLL协议是由Netscape公司于1994年11月提出并率先实现的,之后经过多次修改,最终被IETF所采纳,并指定为传输层安全(Transport Layer Security,TLS)标准。该标准刚开始制定时是面向Web应用的安全解决方案,随着SSL部署的建议性和较高的安全性逐渐为人所知,现在它已经成为Web上部署的最为广泛的信息安全协议之一。近年来,SSL的应用领域不断扩展,许多在网络上传输的敏感信息(如电子商务、金融业务中的信用卡号或PIN码等机密信息)都纷纷采用SSL来进行安全保护。
SSL采用TCP作为传输协议,保证数据的可靠传送和接收。SSL工作在Socket层上,因此独立于更高层应用,可为更高层协议(如Telnet、FTP和HTTP)提供安全服务。
SSL协议分为记录层协议和握手协议。记录层协议为高层协议服务,规定了所有发送和接收数据的打包,它提供通信和身份认证功能,是一个面向连接的可靠传输协议,例如,为TCP/IP提供安全保护。握手协议的分组与之后的数据传输都需要经过记录层协议打包处理。
SSL的工作分为两个阶段:握手阶段和数据传输阶段。若通信器件检测到不安全因素,比如握手时发现另一端无法支持选择的协议或加密算法,或者发现数据被篡改,通信一方会发送警告消息,使受不安全因素影响比较大的两端之间的通信终止,因此它们必须重新协商建立连接。
所以,SSL通过加密传输来确保数据的机密性,通过信息验证码(Message Authentication Code, MAC)机制来保护信息的完整性,通过数字证书来对发送者和接收者的身份进行认证。2.4.2 IPSec
IPSec(Internet Protocal Security)是为IPv4和IPv6协议提供基于加密安全的协议,它使用AH(认证头)和ESP(封装安全载荷)协议来实现其安全,使用ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商。
IPSec安全协议工作在网络层,运行在它上面的所有网络通道都是加密的。IPSec安全服务包括访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性。它使用身份认证机制进行访问控制,即两个IPSec实体试图进行通信前,必须通过IKE协商SA(安全联盟),协商过程中要进行身份认证。身份认证采用公钥签名机制,使用数字签名标准(DSS)算法或RSA算法,而公钥通常是从证书中获得的。
IPSec使用消息鉴别机制来实现数据源验证服务,即发送方在发送之前,要用消息鉴别算法HMAC计算MAC,HMAC将消息的一部分和密钥作为输入,以MAC作为输出;目的地址收到IP分组后,使用相同的验证算法和密钥计算验证数据,如果计算出的MAC与数据分组中的MAC完全相同,则认为数据分组通过了验证。无连接数据完整性服务是对单个数据分组是否被篡改进行检查的,而对数据分组的到达顺序不做要求,IPSec使用数据源验证机制实现无连接完整性服务。IPSec根据IPSec头中的序号字段,使用滑动窗口原理实现抗重放服务。通信流机密性服务是指防止泄露通信的外部属性(源地址、目的地址、消息长度和通信频率等),从而使攻击者对网络流量进行分析,推断其中的传输频率、通信者身份、数据分组大小、数据流标识符等信息。IPSec使用ESP隧道模式对IP分组进行封装,可达到一定程度的机密性,即有限的通信流机密性。第3章 密码学与应用3.1 密码学概述3.1.1 概念
密码学是研究信息隐藏传递的学科,包括密码编码学和密码分析学。密码编码学通过制定密码算法和协议对信息进行加密混淆处理,保证信息在传输过程中不被破坏和窃取,甚至使其具有无法抵赖的特性。密码分析学主要研究加密信息的破译和伪造,并对加密算法和协议进行分析和攻击。
密码学又可分为古典密码学和现代密码学。古典密码学由于其产生和使用的背景,主要关注信息的保密书写和传递以及与其相对应的破译方法。现代密码学不仅关注信息保密问题,还同时涉及信息完整性验证(消息验证码)、信息发布的不可抵赖性(数字签名)以及在分布式计算中产生的来源于内部和外部攻击的所有信息安全问题,其应用包括数据加密、密码分析、数字签名、身份识别、零知识证明、秘密分享等方面。
密码学的基本设计思想是确保信息安全。信息安全(Information Security)是指保持信息的保密性、完整性、可用性,另外,也可包括真实性、可核查性、不可否认性和可靠性等。其中,保密性(Confidentiality)指使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性;完整性(Integrity)指保护资产准确性和完整的特性;可用性(Availability)指已授权实体一旦有需要就可访问、使用数据和资源的特性。这3个特性也被称为CIA。3.1.2 密码体制
密码体制是满足以下条件的五元组(P, C, K, E, D)
① P表示所有可能的明文的有限集。
② C表示所有可能的密文的有限集。
③ K表示所有可能的密钥的有限集,即密钥空间。
④ 对任意k∈K{\displaystylek∈K}k∈K,均存在一个确定的加密法则e∈E和对应的解密法则d∈D,并且每一组e:P→C和d:C→kkkkP,都对任意明文x∈P有d(e(x))=x。kk
条件④保证了使用加密方式可以对明文进行加密,也可用相应的解密方式对密文进行解密得到明文。
如果密钥空间和明文空间一样大,那么这个加密方式就是一个置换,且加密方式必须保证是一个单射函数,即不同明文加密后不可对应相同密文。
密码体制的参考模型如图3-1所示。图3-1 密码体制
对称密码体制(私钥密码体制)
在对称密码体制中,加密和解密使用相同的或相对容易推导的密钥。其安全不仅依赖于算法的安全性,也依赖于密钥的私密性。对称密码体制常分为分组密码算法和流密码算法,其区别在于每次加密处理一组元素还是连续处理输出单个元素。分组密码是将明文分成多个等长的块,然后使用加密算法和对称密钥对每组数据分别加解密,常见的DES、Triple DES、IDEA、AES、RC5、Twofish、CAST-256、MARS等都是分组密码。流密码是利用少量的密钥通过一定的密码算法产生大量的伪随机位流,用以对明文位流的加解密。常见的流密码有RC4等。
对称密码体制参考模型如图3-2所示。
对称密码由于具有计算速度快、保密强度高、占用空间小等特点通常用于信息量较大的加密情况,但由于其密钥的分发和管理非常不便,因此它被用于用户群规模较小的情况。图3-2 对称密码体制
对称密码体制无法实现信息的不可抵赖性,即数字签名,若攻击者伪造一个信息并诬赖为对方发送,对方将无法对此做出解释。同时,对称密码体制的私钥交换也是一个难题,即如何在安全信道建立之前实现安全的私钥交换。
非对称密码体制(公钥密码体制)
非对称密码体制是针对对称密码体制的缺陷而被提出的,与对称密码体制本质上不同的是,非对称密码体制不是基于替代和置换操作,而是建立在数学函数的基础上。在公钥密码体制中,加密和解密是相对独立的,加密和解密分别使用两个不同的密钥,加密密钥(公开密钥)向公众公开,解密密钥(秘密密钥)只有解密方拥有,由加密密钥无法推导出解密密钥。在非对称密码体制中,每一个通信方只需要公开自己的加密密钥,并且保管好自己的解密密钥,当需要通信时,使用对方的加密密钥进行加密,接收方使用解密密钥进行解密,这样的流程极大地简化了密钥分发和管理的工作。
非对称密码体制参考模型如图3-3所示。图3-3 非对称密码体制
目前,非对称密码体制用于公私钥制定的数学问题有Merkle-Hellman背包问题、整数因子分解问题、有限域中离散对数问题、椭圆曲线上的离散对数问题等。
非对称密码体制由于通信双方不需要建立交换密钥的安全信道,密钥空间小,降低了密钥分发和管理的难度。但由于其计算复杂、消耗资源量大,且会导致密文变长,不适合通信负荷较重的情况,因此常用来加密关键性数据、传输私钥等。
非对称密码体制由于自己的公钥对外公开,因此会导致接收方无法分辨加密信息的来源,即仍然无法做到数字签名,或用私钥加密的消息可以被任何人解密,即做到了认证却无法实现保密。
混合加密体制
由于对称加密体制和非对称加密体制单独使用的局限性,因此通常混合使用这两种加密方式,即混合加密体制。若A与B之间要进行可信通信,则它们采用混合加密体制的工作流程如下。
① A产生大随机数作为会话密钥,即对称密码密钥。
② A用会话密钥加密消息内容,发送给B。
③ A用接收方的公钥加密会话密钥,发送给B。
④ B用私钥解密,得到会话密钥。
⑤ B用会话密钥解密,得到消息内容。
以上流程中,A以可信的方式将消息内容传递给了B,确保了内容的保密性。
采用对称密码加密消息内容,避免计算量过大、密文太长的情况。
采用非对称密码加密会话密钥(对称密码密钥),认证了接收方的身份。3.1.3 历史
公元前2000年
密码学最早的记录是在埃及哈努姆霍太普二世主墓室中,记录者用一种不寻常的象形文字符号来记录的。然而这种类型的古代铭文并不是真的为了保密,而只是一种密文的典型表现方式:故意改变书写方式。这也是在那个时代,为了增加宗教仪式的神秘感,而采用密文的书写方式。
随着时间的推移,信息的安全传输变得越来越重要,开始涉及军事通信。为了让信使即使被抓住也不至于透露信息,出现了隐写术。在古希腊,人们在木板上写下信息,然后用蜡涂抹,使之看起来像一个未使用的平板。根据公元前5世纪的希罗多德(Herodotus)记载,人们有时候会将消息刺在剃过发的奴隶头皮上,待头发重新长上后就无法看清,以此隐藏信息。还有一些关于信使的传说,说他们将包裹有密信的蜡球吞进肚中进行传信。
斯巴达人和罗马人
公元前1000年左右,斯巴达人建立了第一个军事密码系统。他们发明了一种叫做“天书”(Skytale)的装置,它由一长条莎草纸、皮革或羊皮纸带缠绕一根木头组成。密文从左到右写在羊皮纸上,然后解开纸带。除非重新缠绕,否则根本看不出那些散乱字母的意义。公元前100年,罗马人率先使用了替换密码,也就是著名的凯撒密码,相传该密码以当时执政官尤利乌斯·凯撒命名。
频率分析的突破
从公元500年到1400年,西方文明在密码学方面停滞不前。该时期使用的加密系统非常简单,且大都为置换密码和隐写术的衍生品。然而,阿拉伯人在9世纪首先发现了密码分析学的重要性,在此之前并没有密码分析这一概念。
密码分析是在没有密钥的情况下,基于找出加密方法的弱点并加以攻击,进行解密消息的学科。阿拉伯人在数学、统计学和语言学等多个学科达到了较高水平,这是他们开创密码分析学的先决条件。神学家在研究中仔细地记录了各个单词出现的频率,发现有些字母出现的频率远高于其他字母,而有些则相反,这一平凡的观察产生了密码分析学上第一个重大突破——频率分析。
试读结束[说明:试读内容隐藏了图片]