RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

網(wǎng)絡(luò)安全性威脅的種類和防范方法

程序員cxuan ? 來源:程序員cxuan ? 2023-11-29 10:31 ? 次閱讀

計算機(jī)網(wǎng)絡(luò)在給我們帶來便利的同時,也存在很多安全隱患,比如信息偽造,病毒入侵,端點監(jiān)聽,SQL 注入等,給我們?nèi)粘I钤斐珊車?yán)重的影響。

網(wǎng)絡(luò)安全性威脅的種類

網(wǎng)絡(luò)通信中可能會受到各種各樣的潛在的安全性威脅,這些威脅總的來講可以大致分為下面幾類:

截獲(interception):攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。

中斷(interruption):攻擊者會強(qiáng)制中斷其他人在網(wǎng)絡(luò)上的通信。

篡改(modification):攻擊者會修改他人在網(wǎng)絡(luò)上發(fā)出的報文。

偽造(fabrication):攻擊者會在網(wǎng)絡(luò)上發(fā)出偽造信息產(chǎn)生誤導(dǎo)。

在上面四種網(wǎng)絡(luò)安全類型中,截獲是屬于被動攻擊的,因為截獲主要為了竊聽信息,它并沒有攻擊行為;而中斷、篡改和偽造都是主動攻擊,他們會產(chǎn)生攻擊行為。

這里先來認(rèn)識一個新的概念叫 PDU ,PDU 的官方解釋是協(xié)議數(shù)據(jù)單元,但是它其實指的就是計算機(jī)網(wǎng)絡(luò)這幾層模型里面所描述的數(shù)據(jù)單元,比如應(yīng)用層交換的就是應(yīng)用數(shù)據(jù),TCP 層的 PDU 交換的就是段。

在被動攻擊中,攻擊者只是觀察和分析 PDU ,并沒有對通信內(nèi)容造成干擾。通過觀察和分析 PDU,進(jìn)而了解通信雙方的通信類型,通信雙方的地址和身份,這種被動攻擊又叫做流量分析(traffic analysis)。

主動攻擊是指攻擊者對通信內(nèi)容中的 PDU 進(jìn)行各種處理。比如有選擇的更改、替換 PDU 中的記錄,甚至還可以偽造 PDU ,記錄之前截獲的 PDU ,在其他連接中釋放此 PDU ,造成通信干擾和破壞。

主動攻擊還可以細(xì)分為下面三種類型:

更改報文信息:這個就是我上面說到的替換修改甚至偽造報文信息,對 PDU 的真實性和完整性進(jìn)行攻擊。

拒絕服務(wù):攻擊者會在網(wǎng)絡(luò)上發(fā)送大量的分組,使得目標(biāo)服務(wù)無法處理大量的分組信息,使得目標(biāo)服務(wù)器無法提供正常有效的服務(wù),這種攻擊又叫做 拒絕服務(wù) Dos(Denial of Service),還有一種由成千上萬個分布式節(jié)點一起對目標(biāo)服務(wù)器發(fā)起攻擊的方式,叫做 分布式拒絕服務(wù) DDos(Distributed Denial of Service)。

連接偽造:攻擊者試圖使用之前記錄下來的信息和身份進(jìn)行偽造發(fā)起連接請求。

那么我們該如何知道計算機(jī)被攻擊了呢?

對于被動攻擊,通常是無法檢測出來的,對于主動攻擊,我們通常會以下面這幾個大前提進(jìn)行防范:

防止析出報文內(nèi)容

防止流量分析

檢測更改報文內(nèi)容

檢測 DDos

檢測偽造初始化連接

對于被動攻擊,可以采用各種數(shù)據(jù)的加密技術(shù);對于主動攻擊,可以采用防范措施與加密技術(shù)結(jié)合防范。

還有一種威脅比較大的是惡意程序,會對互聯(lián)網(wǎng)造成比較大的影響,據(jù)史料記載,互聯(lián)網(wǎng)編年體到現(xiàn)在出現(xiàn)比較大規(guī)模影響的病毒有:計算機(jī)病毒、計算機(jī)蠕蟲、特洛伊木馬、邏輯炸彈、勒索軟件等。

數(shù)據(jù)加密的模型

由于通信存在不安全性,所以出現(xiàn)了加密技術(shù),使用加密技術(shù)對報文進(jìn)行加密后,再傳到目標(biāo)服務(wù)器后再進(jìn)行解密,一般的加密和解密模型如下圖所示:

5bb9e68a-8e4b-11ee-939d-92fbcf53809c.png

上圖所示的加密密鑰和解密密鑰所使用的密鑰 K 通常是一串字符串,一般來說會有下面這種公式

Y = Ek(X)

通過加密算法使用加密密鑰對明文 X 進(jìn)行加密。

解密算法是加密算法的逆運算,再進(jìn)行解密時如果不使用事先約定好的密鑰 K 就無法完成解密工作。

Dk(Y) = Dk(Ek(x)) = X

這里我們假設(shè)了加密密鑰和解密密鑰是相同的,但真實情況未必一定是相同的,只不過加密密鑰和解密密鑰存在著某種關(guān)聯(lián)性,這個密鑰通常由密鑰中心提供。當(dāng)密鑰進(jìn)行傳輸時,一定要經(jīng)過安全信道,否則會有安全風(fēng)險。

這里延伸出來了兩個新的概念,密碼編碼學(xué)(cryptography) 和 密碼分析學(xué)(cryptanalysis)。密碼編碼學(xué)著重對密碼進(jìn)行設(shè)計的學(xué)科,密碼分析學(xué)著重對報文進(jìn)行分析,提煉出加密所使用明文或者密鑰的學(xué)科。這兩個學(xué)科合起來就是密碼學(xué)。其實密碼學(xué)歸根結(jié)底就是做好加密和解密的這個過程。

對稱加密和非對稱加密

從很早以前人類就有了對通話內(nèi)容進(jìn)行加密的思想,進(jìn)入 20 世紀(jì)以來,隨著電子信息、線性代數(shù)以及計算復(fù)雜性理論等學(xué)科的研究深入,密碼學(xué)進(jìn)入了一個新的發(fā)展階段,一共出現(xiàn)了兩種密碼機(jī)制:對稱加密和非對稱加密。

對稱加密

所謂的對稱加密,起歸根結(jié)底在于加密和解密的密鑰是相同的。

數(shù)據(jù)加密標(biāo)準(zhǔn) DES(Data Encryption Standard) 就是一種對稱加密的標(biāo)準(zhǔn),DES 可以說是用途最廣泛的對稱加密算法。

DES 是一種分組密碼,在加密前首先先對整個報文進(jìn)行分組,每一組都是 64 位的二進(jìn)制數(shù)據(jù)。然后對每一個 64 位的二進(jìn)制數(shù)據(jù)進(jìn)行加密,產(chǎn)生一組 64 位的密文數(shù)據(jù),最后將各組密文串起來,就是整個加密密文。使用的密鑰是 64 位(實際使用 56 位,最后 8 位于奇偶校驗)。

5bd91ed8-8e4b-11ee-939d-92fbcf53809c.png

在 DES 分組加密機(jī)制中,進(jìn)行保密的只是加密密鑰,而加密算法是公開的。

不過 DES 的這種加密機(jī)制是存在弊端的:由于 DES 會把報文拆開成為一組一組的 64 位數(shù)據(jù),64 位二進(jìn)制數(shù)據(jù)有 56 位可用,所以數(shù)據(jù)總量是 2 ^ 56 次方,它的密碼生命周期非常段,這個數(shù)據(jù)總量在現(xiàn)在的計算機(jī)世界非常容易被破解!在 1999 年當(dāng)時價值 100 萬和 1000 萬美元的超級計算機(jī)暴力破解 DES 的密碼分別用了 3.5 小時和 21 分鐘。

在 DES 之后出現(xiàn)了 IDEA(International Data Encryption Algorithm) 算法,IDEA 使用的是 128 位密鑰進(jìn)行加密,這個長度很難被破解了。

非對稱加密

非對稱加密其實還有一個叫法是公鑰密碼加密,非對稱加密使用的是不同的加密密鑰和解密密鑰。

非對稱加密出現(xiàn)的原因大概是基于兩個方面:一是由于對稱加密的密鑰分配問題,二是由于對數(shù)字簽名的要求。在對稱加密中,加密解密雙方用的是同一種密鑰,這是如何做到的呢?一種是事先約定,另外一種是使用互聯(lián)網(wǎng)信使來傳送。在大規(guī)?;ヂ?lián)網(wǎng)中,用信使來傳輸密鑰顯然是不太合適的,但是如果采用事先約定的方式,那么對于后續(xù)的更新和迭代來說又比較困難。還有一種方式是使用安全系數(shù)比較高的密鑰分配中心(Key Distribution Center),也會使網(wǎng)絡(luò)的成本增加。

同時,一些需要對信息內(nèi)容進(jìn)行保密的機(jī)構(gòu)越來越需要數(shù)字簽名,根據(jù)數(shù)字簽名,對方才知道某項內(nèi)容是由特定的人或者公司產(chǎn)生的。根據(jù)這兩項原因?qū)е铝朔菍ΨQ加密的出現(xiàn)。

非對稱加密主要的算法有三種:RSA、DSA、ECDSA,目前使用最廣泛、最普遍的非對稱加密算法就是 RSA。RSA 采用的是數(shù)論中的大數(shù)分解方式。

非對稱加密的特點是這樣的:

某些能夠生產(chǎn)公鑰和私鑰的密鑰生成器會生產(chǎn)出一對公鑰和私鑰給接受者 B :即加密密鑰 PKB 和 解密密鑰 SKB。發(fā)送者所使用的加密密鑰也是 PKB,這個密鑰是公開的,而接受者的解密密鑰 SKB 是非公開的,接受者 B 特有的。

發(fā)送者利用接受者的密鑰 PKB 通過加密算法 E 對密鑰進(jìn)行加密,得出了密文 Y 再發(fā)送給接受者 B:

Y = E(PKB(X))

接受者 B 用自己的私鑰通過解密算法 D 對密文 Y 進(jìn)行解密,得出密文 X :

D(SKB(Y))= D(SKB)( E(PKB(X))) = X

下圖是這個加密解密過程:

5bf3b130-8e4b-11ee-939d-92fbcf53809c.png

這里需要注意一點的是,任何加密方法的安全性都取決于密鑰的長度,以及攻破密文所需要的計算量,而不是簡單的取決于加密本身。

數(shù)字簽名

我們在日常寫信、上交某些材料的時候都需要親筆簽名或者使用手印、印章的方式來驗證真實性,那么在互聯(lián)網(wǎng)中如何驗證其真實性呢?在網(wǎng)絡(luò)通信中,使用數(shù)字簽名的方式來驗證,數(shù)字簽名必須實現(xiàn)下面三點功能:

接受者能夠核實發(fā)送者對報文的簽名,確定報文是由發(fā)送者發(fā)出的,別人無法進(jìn)行偽造,這叫做報文鑒別。

接受者確信所收到數(shù)據(jù)和發(fā)送者發(fā)送的數(shù)據(jù)是一致的,沒有被篡改過,這叫做報文完整性。

發(fā)送者事后不能抵賴自己發(fā)送的報文,這叫做不可否認(rèn)。

下面來討論一下數(shù)字簽名的鑒別過程:

首先,發(fā)送者 A 用自己的私鑰 SKA 對報文 A 經(jīng)過算法 D 后得出密文 D(SKA(X)),算法 D 不是解密運算,它只是一個能得到不可讀的密文的算法。A 把經(jīng)過算法 D 運算后得出來的密文傳給 B,B 對其進(jìn)行驗簽。B 會用 A 的公鑰進(jìn)行 E 運算,還原出報文 X 。

這里需要注意一點:任何人用 A 的公鑰 PKA 進(jìn)行 E 運算后都會得出 A 發(fā)送的明文 X ,所以下圖中的 D 和 E 算法并不是加密解密算法。

5c090bd4-8e4b-11ee-939d-92fbcf53809c.png

除了 A 之外沒有人持有 A 的私鑰 SKA ,所以除 A 外沒有人能產(chǎn)生密文 D(SKA(X))。這樣,B 就相信報文 X 是簽名 A 發(fā)送的,這就叫做報文鑒別。如果其他人篡改過報文,但是卻無法使用私鑰 A 的簽名 SKA,那么 B 使用公鑰解密后就知道報文被篡改過,這樣就保證了報文的完整性。如果 A 想要抵賴自己層發(fā)給過報文 B ,那么 B 就可以把 X 以及密文 D(SKA(X))拿給公證的第三者,很容易證明。這就是不可否認(rèn)。

但是上述過程僅僅對報文進(jìn)行了簽名,卻并沒有對報文本身進(jìn)行任何加密操作,如果傳輸?shù)倪^程中被攻擊者截獲到了 D(SKA(X))并且知道發(fā)送者身份的人,就可以通過查閱相關(guān)手冊知道 A 的公鑰,從而得知 A 的明文,這顯然是不安全的,如何解決呢?

需要使用上面的非對稱加密算法再對明文 X 進(jìn)行加密一波,示意圖如下。

5c18c6c8-8e4b-11ee-939d-92fbcf53809c.png

示意圖畫出來,估計大家也好理解,無非就是增加了一步用 B 的公鑰加密,在用 B 的私鑰解密的過程。

鑒別

在網(wǎng)絡(luò)應(yīng)用中,通常為了保證網(wǎng)絡(luò)安全性,我們需要對通信的對象進(jìn)行鑒別,鑒別是網(wǎng)絡(luò)安全中一個很重要的方式。上面探討了兩種加密手段和加密模型,加密能夠?qū)崿F(xiàn)報文的安全傳輸,從而保證報文的安全性;而鑒別和加密并不相同,鑒別是要驗證通信的對方是否是自己所要通信的對象,從而避免冒充者冒充。

鑒別的方式主要有兩種:一種是對報文進(jìn)行鑒別,即所收到的報文的確是報文的發(fā)送者所發(fā)送的,而不是其他人篡改和偽造的,這種方式我們通常稱作報文鑒別;另外一種方式是對通信的端點進(jìn)行鑒別,這個端點可以是一個人,也可以是一個進(jìn)程(包括客戶和服務(wù)器),這種方式我們通常稱為實體鑒別。

下面我們就針對報文鑒別和實體鑒別進(jìn)行探討:

報文鑒別

在網(wǎng)絡(luò)上傳輸?shù)膱笪挠行┦遣⒉恍枰用艿?,比如某些不涉密的報文,但是卻需要數(shù)字簽名,以此來讓接收者能夠鑒別報文的真?zhèn)巍τ谀承╅L報文來說,對其進(jìn)行數(shù)字簽名比較耗費時間,這樣會增大 CPU 的負(fù)擔(dān),所以當(dāng)報文不需要加密解密的情況下,需要一種簡便的方式鑒別報文的真?zhèn)巍?/p>

我們通常使用報文摘要 MD(Message Digest)算法來進(jìn)行報文鑒別,如下圖所示:

5c2add04-8e4b-11ee-939d-92fbcf53809c.png

上圖中 A 發(fā)送的報文 X 通過報名摘要算法得出摘要 H,然后用自己的私鑰對 H 進(jìn)行 D 運算,也就是進(jìn)行數(shù)字簽名。得出來已簽名的報文摘要 D(H) 后,將其追加在報文 X 后面,通過互聯(lián)網(wǎng)傳輸?shù)侥繕?biāo)主機(jī) B。B 收到報文后,首先把已簽名的 D(H) 和報文 X 分離,然后再需要做兩件事:一是用 A 的公鑰對 D(H) 報文摘要進(jìn)行 E 運算,得出一個報文摘要 H ,二是對報文 X 使用報文摘要算法得出報文摘要 H ,再與一中的 H 進(jìn)行比較,以此進(jìn)行報文鑒別。報文摘要的優(yōu)點是:相較于長報文來說,對短一些的定長報文進(jìn)行數(shù)字簽名要比整個長報文進(jìn)行數(shù)字簽名要簡單很多,所耗費的資源也比較少,但是對報文 X 來說效果差不多。報文 X 和報文摘要 D(H) 合在一起是不可偽造并且可檢驗的。

報文摘要算法其實就是一種散列函數(shù),這種散列函數(shù)其實是 hash 算法的一種,但它不同于 hash 算法,報文摘要算法是密碼編碼的校驗和,校驗和我們知道,就是用來檢驗消息是否存在丟失情況的一種標(biāo)志。用來防止偶然出現(xiàn)的差錯,但是報文摘要算法是防止報文被人惡意修改的。

報文摘要算法是一種單向(one-way)函數(shù),單向的意思是不可逆。校驗和算法也是一種單向的,這種單向說的是給出一個報文,我們很容易能夠計算出它的校驗和,因為校驗和的長度固定并且比較短,但我們不能通過校驗和逆推出原始報文。報文摘要算法也是一樣的,我們可以計算出一個長報文 X 的摘要 H ,但是不能從摘要 H 逆推出報文 X 。并且,不同報文的報文摘要也是不同的,這就是說若是想找到兩個相同的報文摘要也是不可能的。

報文摘要算法中用途最廣泛的算法就屬 MD5 加密算法,MD5 算法的過程是將任意的數(shù)據(jù)映射成為一個 128 位長的函數(shù),這個函數(shù)也是摘要信息,并且這個壓縮過程不可逆,壓縮完成后的消息摘要無法再還原成原始報文信息。MD5 算法最終會壓縮成為一個 128 位長的數(shù)據(jù),由 0 和 1 組成,這種組成理論上有 2 ^ 128 種可能,這個數(shù)據(jù)量非常龐大,約等于 3.14 乘 10 ^ 38 次方,雖然這個數(shù)據(jù)非常龐大,但自然界理論上的數(shù)據(jù)是無限的,仍然存在碰撞的可能,只不過這個概率非常小,MD 5 可用于數(shù)字簽名、信息完整性校驗。

對于信息安全要求比較高的數(shù)據(jù),一般會改用其他算法,比如 SHA-2,MD5 算法無法檢測碰撞,因此不適用于安全驗證。

SHA-2 是一種密碼散列標(biāo)準(zhǔn),它的前身是 SHA-1 ,同屬于 SHA 算法,除此之外還有 SHA-3,MD 5 和 SHA - 1 算法存在安全性問題,而 SHA-2 和 SHA 3 是比較安全的。

實體鑒別

實體鑒別是在整個過程中對與自己通信的實體進(jìn)行鑒別,整個過程中只需要鑒別對端主機(jī)一次,而報文鑒別是對每一個收到的報文都進(jìn)行鑒別,這是這兩個鑒別方式的不同。

下面是一個實體鑒別的過程:

5c3af93c-8e4b-11ee-939d-92fbcf53809c.png

上圖 A 向 B 發(fā)送有自己身份信息的報文,并且使用了雙方共同協(xié)商好的對稱密鑰 KAB 進(jìn)行加密,B 收到報文后再用對稱密鑰 KAB 進(jìn)行解密。

大家認(rèn)為這種傳輸方式安全嗎?有沒有什么問題?

實際上這種鑒別方式有著比較明顯的漏洞,比如這時候有個入侵者 C 監(jiān)聽了 A 和 B 傳輸?shù)倪@條鏈路,等 A 把報文發(fā)給 B 的過程中,入侵者 C 就會截獲 A 發(fā)送給 B 的報文,入侵者并不用關(guān)心這個報文的內(nèi)容如何,也不用解密報文的內(nèi)容,它只需要偽裝成報文的發(fā)送者把消息發(fā)給 B,就會讓 B 誤以為是 A 發(fā)送的報文,進(jìn)而與偽造者 C 進(jìn)行通信,這樣就會把很多應(yīng)該發(fā)送給 A 的報文發(fā)送給偽造者 C ,這種方式就叫做重放攻擊(reply attack)。偽造者 C 還可以偽裝 A 的 IP(IP 欺騙),這樣更能夠讓 B 上當(dāng)。

5c46cd2a-8e4b-11ee-939d-92fbcf53809c.png

解決這種問題可以使用一種不重數(shù)機(jī)制,不重數(shù)顧名思義就是一個不重復(fù)使用的大隨機(jī)數(shù),每次發(fā)送報文都會生成一次隨機(jī)數(shù),每個隨機(jī)數(shù)只使用一次。

5c613b38-8e4b-11ee-939d-92fbcf53809c.png

如上圖所示,A 首先用明文發(fā)送一個自己身份 A 和一個不重數(shù) RA 給接收者 B,B 收到之后會用自己的公鑰 KAB 對不重數(shù) RA 進(jìn)行加密,并生成一個不重數(shù) RB 一起發(fā)送給 A,A 收到消息后再用共享密鑰對 RB 加密之后再發(fā)送給 B 。

這個過程可能大家看的云里霧里的,那么就讓我給大家舉一個淺顯易懂的例子:

發(fā)送者 A 給接收者 B 發(fā)送了一個不重數(shù)為 10001 的數(shù)據(jù);

接收者 B 向發(fā)送者 A 回送數(shù)據(jù)時,會用自己的私鑰對這個 10001 的不重數(shù)進(jìn)行加密,并給 A 發(fā)送自己的不重數(shù) 10086;

發(fā)送者收到上述數(shù)據(jù)后,再使用接收者的公鑰將密文進(jìn)行解碼,發(fā)現(xiàn)解碼后的不重數(shù)是 10001,然后再使用自己的私鑰對 10086 進(jìn)行加密,跟隨數(shù)據(jù)一起發(fā)送給 B。

上面舉例的私鑰和公鑰就是一對公鑰密碼體制,他們可以對不重數(shù)進(jìn)行簽名,用來驗證對方的身份。上述中的接收者 B 用私鑰簽名后不重數(shù)發(fā)給 A ,A 就能夠用公鑰對不重數(shù)進(jìn)行解密,進(jìn)而驗證 B 的身份。同樣的 B 也可以采用同樣的方式驗證 A 的身份。

但是這種加密方式也存在風(fēng)險:

比如這時有個攻擊者 C 截獲了 A 對 B 的消息說,我是 A ,于是 B 生成一個不重數(shù)發(fā)送給本應(yīng)該是 A 接收,但是卻被 C 截獲的消息,于是 C 用自己的私鑰對不重數(shù)進(jìn)行加密,然后發(fā)送給 B ,B 向 A 發(fā)送報文,要求 A 把公鑰發(fā)送過來,但是這條消息也被 C 截獲了,于是 C 把自己的公鑰冒充是 A 的公鑰發(fā)給了 B ,然后 B 用收到的公鑰對不重數(shù)進(jìn)行解密,此結(jié)果當(dāng)然是正確的,因為 C 完全冒充了 A ,于是 B 給 A 發(fā)送的很多敏感消息也都被 C 截獲了。

不過這種冒充方式不太高明,B 很容易就能夠與 A 進(jìn)行溝通來揭穿 C 的騙局。

是不是覺得有些簡單?不過下面的中間人攻擊(man-in-the-middle attack) 就不好揭穿了,因為這更具有隱秘性。

5c753570-8e4b-11ee-939d-92fbcf53809c.png

這里的 C 其實更像是扮演了潛伏者和攻擊者的角色,讓 A 和 B 以為在溝通的時候比較安全,其實這都在 C 的掌控之中:

這里的 A 想和 B 進(jìn)行通信,會向 B 發(fā)送自己的身份驗證信息,比如這個信息就叫"我是 A",然后呢這個鏈路其實已經(jīng)被中間人 C 所監(jiān)聽了,而 A 發(fā)送的消息也已經(jīng)被 C 所截獲,不過這里的 C 并沒有偽造信息而是直接把消息轉(zhuǎn)發(fā)給 B 。

B 收到消息后會生成不重數(shù) RB,這個不重數(shù) RB 會通過鏈路傳給 A ,但是在這個鏈路上會被 C 所截獲。

C 截獲了不重數(shù) RB 后,會用自己的私鑰對 RB 加密然后發(fā)給 B,讓 B 誤以為是 A 發(fā)過來的。

在這之后 A 把用私鑰加密后的 RB 通過鏈路想要發(fā)給 B,但其實在鏈路上就已經(jīng)被 C 所截獲,C 截獲后會把 SKA 加密后的 RB 丟棄。

B 收到加密后的不重數(shù)后,會向 A 索取公鑰,這個報文也被 C 截獲后轉(zhuǎn)發(fā)給 A 。

C 截獲到 B 發(fā)給 A 的公鑰后,會把自己的公鑰 PKC 冒充是 A 的公鑰發(fā)送給 B,而 C 也截獲到 A 發(fā)送給 B 的公鑰 PKA。

B 用收到的公鑰 PKC(這里其實本來是 A 的公鑰)對數(shù)據(jù) DATA 進(jìn)行加密,并發(fā)送給 A,在經(jīng)過鏈路后被 C 截獲,C 會用自己的私鑰 SKC 解密,保存一份,然后再用 A 的公鑰 PKA 對數(shù)據(jù) DATA 加密后發(fā)送給 A 。

A 收到數(shù)據(jù)后,會用自己的私鑰 SKA 解密,以為和 B 進(jìn)行了保密通信,但其實 B 發(fā)給 A 的加密數(shù)據(jù)已經(jīng)被中間人 C 截獲并解密了一份,但 A 和 B 都不知道。

中間人攻擊會在通信的兩個端點之間進(jìn)行冒充,攔截數(shù)據(jù),中間人 C 既可以攔截解密 B 的數(shù)據(jù),又可以冒充 A 的數(shù)據(jù),由此可見,公鑰的分配和認(rèn)證以及真實性也是一個比較重要的問題。

審核編輯:湯梓紅
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 計算機(jī)
    +關(guān)注

    關(guān)注

    19

    文章

    7488

    瀏覽量

    87848
  • 網(wǎng)絡(luò)安全
    +關(guān)注

    關(guān)注

    10

    文章

    3155

    瀏覽量

    59699
  • 網(wǎng)絡(luò)通信
    +關(guān)注

    關(guān)注

    4

    文章

    797

    瀏覽量

    29795
  • 計算機(jī)網(wǎng)絡(luò)

    關(guān)注

    3

    文章

    337

    瀏覽量

    22155
  • PDU
    PDU
    +關(guān)注

    關(guān)注

    0

    文章

    94

    瀏覽量

    16977

原文標(biāo)題:你真的懂網(wǎng)絡(luò)安全嗎?

文章出處:【微信號:cxuangoodjob,微信公眾號:程序員cxuan】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    專家呼吁:網(wǎng)絡(luò)安全建設(shè)亟需開放與合作

    際組織合作方面的一大進(jìn)步,同時也為提高國內(nèi)站點防范能力跨出了一大步。有業(yè)內(nèi)專家認(rèn)為,在防范和應(yīng)對來自國際上的威脅時,與國際組織的合作更是明智的選擇。 “網(wǎng)絡(luò)安全的責(zé)任需要大家來承擔(dān)?;?/div>
    發(fā)表于 09-29 00:04

    【assingle原創(chuàng)】試論網(wǎng)絡(luò)入侵、攻擊與防范技術(shù)

    軟件和其它不軌行為的攻擊,威脅網(wǎng)絡(luò)信息的安全,所以信息的安全和保密就成為一個至關(guān)重要的問題被信息社會的各個領(lǐng)域所重視。要保證網(wǎng)絡(luò)信息的
    發(fā)表于 02-26 16:56

    網(wǎng)絡(luò)安全隱患的分析

    主要因素?! ?yīng)用網(wǎng)絡(luò)安全風(fēng)險 應(yīng)用網(wǎng)絡(luò)系統(tǒng)安全具有明顯的個體性和動態(tài),針對不同的應(yīng)用環(huán)境和不斷變化發(fā)展應(yīng)用需求,應(yīng)用網(wǎng)絡(luò)安全的內(nèi)涵在不
    發(fā)表于 10-25 10:21

    藍(lán)牙m(xù)esh系列的網(wǎng)絡(luò)安全性

    藍(lán)牙m(xù)esh網(wǎng)絡(luò)安全性概覽為何安全性如此關(guān)鍵?安全性可謂是物聯(lián)網(wǎng)(IoT)最受關(guān)注的問題之一。從農(nóng)業(yè)到醫(yī)院、從智能家居到商業(yè)智能建筑、從發(fā)電站到交通管理系統(tǒng),物聯(lián)網(wǎng)系統(tǒng)和技術(shù)將觸及我們生活的方方面面
    發(fā)表于 07-22 06:27

    2020 年網(wǎng)絡(luò)安全的四大變化

    、Cybereason、Zscaler 等,都可以擠進(jìn)這個市場。在這種情況下,所有能力都將集中在網(wǎng)絡(luò)安全技術(shù)中心,畢安科技認(rèn)為,在2020年,企業(yè)面臨的最大威脅不是某個特定類型或種類的惡意軟件或攻擊,而是更高階的攻擊活動
    發(fā)表于 02-07 14:33

    提高無線網(wǎng)絡(luò)安全性方法

    防護(hù)網(wǎng)絡(luò)安全  a.設(shè)置較高安全性的無線加密  沒有加密的無線網(wǎng)絡(luò)就像是沒有上鎖的大門一樣,盜竊者可以很輕易地進(jìn)入。請設(shè)置較為復(fù)雜的無線密碼,提高無線安全性。建議將無線密碼設(shè)置為字母、
    發(fā)表于 12-11 14:00

    人工智能和機(jī)器學(xué)習(xí)提高網(wǎng)絡(luò)安全性方法

    人工智能和機(jī)器學(xué)習(xí)可以幫助組織提高網(wǎng)絡(luò)安全性的一些方法
    發(fā)表于 01-25 06:25

    實現(xiàn)網(wǎng)絡(luò)安全工業(yè)4.0的三個步驟

    工業(yè)4.0愿望和網(wǎng)絡(luò)安全含義實現(xiàn)網(wǎng)絡(luò)安全工業(yè)4.0的三個步驟通過硬件安全性實現(xiàn)互聯(lián)工廠
    發(fā)表于 02-19 06:50

    什么是藍(lán)牙m(xù)esh網(wǎng)絡(luò)安全性

    藍(lán)牙m(xù)esh網(wǎng)絡(luò)安全性的基本概念
    發(fā)表于 02-25 08:22

    如何采用Zynq SoC實現(xiàn)Power-Fingerprinting網(wǎng)絡(luò)安全性?

    如何采用Zynq SoC實現(xiàn)Power-Fingerprinting網(wǎng)絡(luò)安全性?
    發(fā)表于 05-21 07:04

    計算機(jī)網(wǎng)絡(luò)安全問題與防范方式

    主要從計算機(jī)網(wǎng)絡(luò)安全概念、計算機(jī)網(wǎng)絡(luò)安全防范必要、計算機(jī)網(wǎng)絡(luò)安全中常見的安全問題及計算機(jī)網(wǎng)絡(luò)安全防范
    發(fā)表于 04-20 11:00 ?40次下載

    5G時代網(wǎng)絡(luò)安全形勢,破解網(wǎng)絡(luò)安全威脅

    當(dāng)前,全球正進(jìn)入以信息產(chǎn)業(yè)為主導(dǎo)的經(jīng)濟(jì)發(fā)展新時期,隨著數(shù)字化、網(wǎng)絡(luò)化、智能化深入各個行業(yè)領(lǐng)域,網(wǎng)絡(luò)安全威脅和挑戰(zhàn)愈加嚴(yán)峻,網(wǎng)絡(luò)安全產(chǎn)業(yè)競爭也日趨激烈。在8月21日召開的北京
    的頭像 發(fā)表于 08-26 14:02 ?5204次閱讀

    物聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅怎樣防范

    物聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅不斷增加,并變得越來越復(fù)雜,因此企業(yè)保護(hù)自己的業(yè)務(wù)非常重要。
    發(fā)表于 12-13 16:35 ?2308次閱讀

    網(wǎng)絡(luò)安全基礎(chǔ)之網(wǎng)絡(luò)協(xié)議與安全威脅的關(guān)系

    網(wǎng)絡(luò)安全基礎(chǔ)之網(wǎng)絡(luò)協(xié)議與安全威脅的關(guān)系
    發(fā)表于 10-20 10:26 ?1次下載

    必須了解的五種網(wǎng)絡(luò)安全威脅

    數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊呈上升趨勢,任何企業(yè)都無法幸免。這就是為什么了解最常見的網(wǎng)絡(luò)安全威脅,以及如何防范這些威脅至關(guān)重要。以下是您應(yīng)該了解的五種
    的頭像 發(fā)表于 05-18 10:23 ?2103次閱讀
    RM新时代网站-首页