网络攻击技术和PKI技术概述

网络主动攻击和被动攻击

　　网络攻击又可分为主动攻击和被动攻击。

　　◆ 被动攻击

　　被动攻击就是网络窃听，截取数据包并进行分析，从中窃取重要的敏感信息。被动攻击很难被发现，因此预防很重要，防止被动攻击的主要手段是数据加密传输。为了保护网络资源免受威胁和攻击，在密码学及安全协议的基础上发展了网络安全体系中的五类安全服务，它们是：身份认证、访问控制、数据保密、数据完整性和不可否认。对这五类安全服务，国际标准化组织ISO已经有了明确的定义。

　　◆ 主动攻击包括窃取、篡改、假冒和破坏。

　　主动攻击包括窃取、篡改、假冒和破坏。字典式口令猜测，IP地址欺骗和服务拒绝攻击等等都属于主动攻击。一个好的身份认证系统(包括数据加密、数据完整性校验、数字签名和访问控制等安全机制)可以用于防范主动攻击，但要想杜绝主动攻击很困难，因此对付主动攻击的另一措施是及时发现并及时恢复所造成的破坏，现在有很多实用的攻击检测工具。

　　PKI技术

　　PKI（Public Key Infrastructure），即公开密钥体系。它是利用公钥理论和技术建立的提供信息安全服务的基础设施，是国际公认的互联网电子商务的安全认证机制。它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。

　　公钥是目前应用最广泛的一种加密体制，在此体系中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。

　　PKI是一种遵循标准并利用公钥技术，为电子商务应用的开展提供一套安全基础平台的技术与规范，它能够透明地提供基于公开密钥的加密和数字签名等安全服务。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境中能够确认彼此的身份和所交换的信息。

　　为实现以上目的，典型实用的PKI系统应由以下部分组成：PKI客户端、注册机构(RA)、认证机构(CA)和证书库。

　　◆ PKI客户端

　　PKI客户端的主要功能是使各种网络应用能够以透明、安全、一致、可信的方式与PKI交互，从而使用户能够方便地使用加密、数字签名等安全服务。

　　◆ 注册机构(RA)

　　RA则是用户与认证中心的接口，其主要功能是核实证书申请者的身份，它所获证书的申请者身份的准确性是CA颁发证书的基础。

　　◆ 认证机构(CA)

　　作为PKI核心的认证中心是证书颁发机构，由CA签发的证书是网上用户的电子身份标识。

　　◆ 证书库

　　证书库用来存放经CA签发的证书和证书注销列表(CRL)，为用户和网络应用提供证书及验证证书状态。