目录
- 网络安全概述
- 数据加密
- 消息完整与数字签名
- 身份认证
- 密匙分发中心与证书认证
- 防火墙与入侵检测系统
- 网络安全协议
网络安全概述
网络安全通信所需要的基本属性
- 机密性
- 消息完整性
- 可访问与可用性
- 身份认证
网络安全的威胁
- 窃听
- 插入
- 假冒
- 劫持
- 拒绝服务DoS和分布式拒绝服务DDoS
- 映射
- 嗅探
- IP欺骗
数据加密
明文:未被加密的消息
密文:被加密的消息
加密:伪装消息以隐藏消息的过程
解密:密文转变为明文的过程
传统加密方式
-
替代密码:用密文字母替代明文字母
1.1 加密函数
1.2 解密函数
- 换位密码:根据一定规则重新排列明文
对称秘钥加密
加密秘钥和解密秘钥相同
- 分组密码(DES、AES、IDEA)
1.DES:56位秘钥,64位分组
2.三重DES:使用两个秘钥112位,执行三次DES算法
3.AES:秘钥128/192/256位,分组128位
4.IDEA:秘钥128位,分组64位 - 流密码
非对称秘钥加密
加密秘钥和解密秘钥不同,秘钥成对使用,一个用于加密,一个用于解密
加密秘钥可以公开,也称公开秘钥加密(如:Diffie-Hellman算法、RSA算法)
消息完整与数字签名
密码散列函数
特点定长输出、单向性、抗碰撞性,如:MD5(128位散列值)、SHA-1(160位散列值)
报文认证
报文认证是使消息的接受者能够检验收到的消息是否是真实的认证方法,来源真实,未被篡改
- 报文摘要(数字指纹)
- 报文认证方法
- 简单报文验证:仅使用报文摘要,无法验证来源真实性
- 报文认证码:使用共享认证密匙,但无法防止接受方篡改
数字签名
身份认证、数据完整性、不可否认性
- 简单数字签名:直接对报文签名
-
签名报文摘要
身份认证
- 口令:会被窃听
- 加密口令:可能遭受回放/重放攻击
- 加密一次性随机数:可能遭受中间人攻击
密匙分发中心与证书认证
基于KDC的秘钥生成和分发
证书认证机构
认证中心CA:将公钥与特定的实体绑定
- 证实一个实体的真实身份
-
为实体办法数字证书(实体身份和公钥绑定)
防火墙与入侵检测系统
防火墙:能够隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其它分组进入或离开内部网络的软件、硬件或者软硬件结合的一种设施
前提:从内部到外部或者从外部到内部的所有流量都经过防火墙
防火墙分类
- 无状态分组过滤器:基于特定规则对分组是通过还是丢弃进行决策,如使用访问控制列表(ACL)实现防火墙规则
- 有状态分组过滤器:跟踪每个TCP连接建立、拆除、根据状态确定是否允许分组通过
- 应用网关:鉴别用户身份或针对授权用户开放特定服务
入侵检测系统(IDS)
当观察到潜在的恶意流量时,能够产生警告的设备或系统
网络安全协议
安全电子邮件
- 电子邮件安全需求
- 吉木姓
- 完整性
- 身份认证性
- 抗抵赖性
- 安全电子邮件标准:PGP
安全套接字层SSL
- SSL是结余应用层和传输层之间的安全协议
-
SSL协议栈
- SSL握手过程:协商密码组,生成秘钥,服务器/客户认证与鉴别
虚拟专用网(VPN)
建立在公共网络上的安全通道,实现远程用户、分支机构、业务伙伴等于机构总部网络的安全连接,从而构建针对特定组织机构的专用网络
关键技术:隧道技术,如IPSec
IP安全协议(IPSec)
IPSec 是网络层安全协议,建立在IP层之上,提供机密性、身份鉴别、数据完整性和防重放攻击服务
体系结构:
- 认证头AH协议
- 封装安全载荷ESP协议
运行模式:
- 传输模式(AH传输模式、ESP传输模式)
- 隧道模式(AH隧道模式、ESP隧道模式)
本篇到此完结,计算机网络知识 系列文章已全部发布!
计算机网络原理梳理丨计算机网络的概念
计算机网络原理梳理丨应用层
计算机网络原理梳理丨传输层
计算机网络原理梳理丨网络层
计算机网络原理梳理丨链路层
计算机网络原理梳理丨物理层
计算机网络原理梳理丨无线与移动网络
计算机网络原理梳理丨网络安全
计算机网络原理梳理丨HTTP 请求全解
网友评论