网络安全意识月——学习时间!

网络安全是一个复杂的话题。解决网络安全问题的工程师不仅必须是安全专家;他们还必须是所掌握技术的专家。此外，他们必须了解他们支持和使用的技术可能容易受到攻击的方式。

另一个复杂的层面是技术一直在发展。与此同时，我们的对手也在不断改进他们的攻击方法和技术。我们要怎么控制这一切呢?我们必须掌握安全基础知识。我们需要能够从基本原则开始，并在此基础上扩展我们的安全工具、技术和方法:让事情变得不太复杂，以确保安全可靠的用户体验。

为了庆祝网络安全意识月在这篇文章中，我想用一系列的博客文章来阐述关于安全的一些基本知识，并从一个全新的角度来解释为什么这些概念仍然是网络安全的重要关注领域。

三个目标

在最基本的层面上，有线和无线网络安全的三个主要目标是确保安全保密,完整性而且可用性的服务。NIST在其特别出版物中很好地记录了这些概念，“信息安全概论”。

• 保密确保只有授权的用户和系统才能访问给定的资源(例如，网络接口、数据文件、处理器)。这是一个非常容易理解的概念:最著名的保密方法是加密。
• 完整性这个功能稍微晦涩一些，可以防止对数据和系统进行未经授权的更改。它还包括不可抵赖性的思想，这意味着给定消息(或包)的来源是已知的，并且不能被该来源否认。
• 可用性是安全三位一体的无名小卒。它经常被遗忘，直到服务可用性失败被认为是“一个真正的问题”。这是不幸的，因为确保可用性的工程非常成熟。

在本系列的第1部分中，我将重点讨论机密性。我将在随后的两篇博客中讨论完整性和可用性。

正如我提到的，保密是大多数人都知道的一种安全功能。加密是确保机密性最常用的方法。我不会深入讲解加密的基础知识。然而，值得讨论的是原则。加密是利用空间、能量和时间运用数学来确保只有拥有正确秘密(通常是密钥)的各方才能读取某些数据。理想情况下，所使用的数学方法应该需要更大的空间、功率或时间，以便未经授权的一方没有正确的秘密来读取数据。为什么这很重要?因为只有在使用的数学是合理的情况下，加密才能提供机密性，而对手读取数据所需的相应空间、功率和时间是不切实际的。这通常是一个很好的假设，但历史表明，随着时间的推移，给定的加密解决方案最终将变得不安全。因此，应用其他方法来提供保密性也是一个好主意。

有哪些方法呢?最终，其他解决方案阻止了对受保护数据的访问。其概念是，如果您阻止(物理上或逻辑上)对受保护数据的访问，那么未经授权的方就无法解密数据。该领域的解决方案主要分为两种策略:访问控制而且分离．

访问控制验证访问数据或使用资源(如网络)的请求是否来自授权的来源(使用网络地址和其他凭据进行标识)。例如，ACL (access control list)用于在网络中限制资源访问到特定的IP或MAC地址。另一个例子是，可以使用加密质询和响应(通常由公钥加密启用)来确保请求实体拥有访问数据或资源的“正确凭据”。我们每天都在使用的一种方法是密码。每次我们“登录”到某个东西，比如一个银行账户，我们提供了我们的用户名(身份)和我们的(希望是)秘密密码。

分离是保密的另一种方法。分离的一个极端例子是建立一个完全独立的网络体系结构来传输和存储机密信息。政府经常使用这种策略，但即使是大型企业也将其用于“专用线路网络”。不那么极端的方法是使用某种形式的标识或标记来封装数据包或帧，以便只有经过授权的端点才能接收流量。这是通过使用虚拟局域网(vlan)在以太网中实现的。每个帧都由端点或它所连接的交换机用VLAN标签标记，并且只有在同一VLAN中的端点才能接收来自该源端点的流量。更高的网络层解决方案包括IP虚拟专用网(vpn)或多协议标签交换(MPLS)。

对保密的威胁

对保密的威胁是什么?我已经暗示过加密并不完美。给定的加密方法所基于的数学有时是有缺陷的。这种类型的缺陷可以在最初的数学发展几十年后被发现。这就是为什么传统上使用由适当的政府组织(如NIST或ENISA)批准的密码套件非常重要。这些组织与研究人员合作，开发、选择、测试和验证给定的加密算法，证明它们是可靠的。

然而，即使算法是合理的，它在代码或硬件中的实现方式也可能存在系统性错误。例如，大多数加密方法都需要使用随机数生成器来执行某些函数。如果给定的加密代码库使用的随机数生成器在某种程度上是有偏差的(不是真正的随机)，那么实现对加密数据的未经授权访问所需的空间、功率和时间可能比预期的要少得多。

目前的密码学方法面临的一个迫在眉睫的威胁是量子计算。与传统计算机相比，量子计算机使新的算法能够减少解决某些特定问题所需的功率、空间和时间。对于密码学，两种这样的算法是Grover 's和Shor 's。

格罗弗的算法。Grover的量子算法解决了进行非结构化搜索所需的时间长度(计算次数)。这意味着要读取一段给定的加密数据，可能需要一半的猜测次数来猜测秘密(密钥)。考虑到目前常用的加密算法，这些算法可以为20年来的传统密码分析提供机密性，Grover的算法只是一个中等威胁，直到您考虑到这些加密算法的某些实现中的系统弱点可能导致不理想的安全性。

肖的算法．肖尔的量子算法是一个更严重的威胁，特别是对非对称密码学。当前的非对称密码学依赖于假设很难将整数分解为质数(如Rivest-Shamir-Adleman算法所使用的)或在数学函数或领域中猜测给定数字(如椭圆曲线密码学所使用的)的数学。肖尔的量子算法使得分解工作非常快;事实上，如果有一台足够大的量子计算机能够执行算法，几乎可以立即分解这些数学。

理解保密和隐私之间的关系很重要。它们不一样。机密性保护通信内容或数据不受未经授权的访问，但隐私不仅限于保护机密性的技术控制，还包括如何使用个人数据的商业实践。此外，在实践中，对于某些数据，安全基础设施可能要求在网络上运行时对其进行加密，但在服务器上静止时可能不需要加密。此外，在安全环境中，保密性几乎是一个直接的技术主题，而隐私是关于与个人数据使用相关的权利、义务和期望。

我为什么要把它提上来?因为违反保密也可能是对隐私的侵犯。因为在许多情况下，仅应用保密工具并不能满足隐私要求。安全工程师——对抗工程师——需要记住这些事情，并记住今天侵犯隐私会导致罚款和公司品牌损害的实际成本。

哇!这一切都比我预想的要复杂一些——让我们结束这篇博客吧。有线和无线网络已经实现了许多保密解决方案。WiFi, LTE，还有DOCSIS技术它们都使用加密来确保它们用来传输数据包的共享媒介的机密性。密码算法DOCSIS技术通常使用AES128，它经受住了时间的考验。我们可以预测未来的进展。一个是NIST倡议选择一种新的轻量级密码——比AES使用更少的处理资源。亚博全球最大投注平台这是一件大事。为了稍微降低安全性(使用一种有点模糊的称为“安全位”的度量标准来衡量)，NIST正在考虑的一些候选方案可能会使用与AES128相比一半的功率或空间。这可能会转化为使用新密码的端点的更低成本和更高可靠性。

电缆行业(包括CableLabs)继续跟踪的另一个领域是抗量子密码学。亚博yabo888vip网页版这里有两种方法。一种是使用量子技术(生成密钥或传输数据)，这种技术可能天生就不受基于量子计算机的密码分析的影响。另一种方法是使用在传统计算方法上实现的抗量子算法(例如，使用肖尔和格罗弗算法抵抗密码分析的新数学)。这两种方法都显示出巨大的前景。

这里有一个关于机密的快速审查。接下来呢?的完整性。

想了解更多关于网络安全的知识?注册参加我们即将举行的网络研讨会:链中的链接:CableLabs关于区块链正在发生的事情的入门。亚博yabo888vip网页版屏蔽你的日历。把自己拴在电脑上。您不会想错过这个关于区块链和分布式账本技术状态的网络研讨会，因为它与有线和电信行业有关。