目錄

1. 網(wǎng)絡(luò)安全概述
2. 數(shù)據(jù)加密
3. 消息完整與數(shù)字簽名
4. 身份認(rèn)證
5. 密匙分發(fā)中心與證書認(rèn)證
6. 防火墻與入侵檢測系統(tǒng)
7. 網(wǎng)絡(luò)安全協(xié)議

網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全通信所需要的基本屬性

• 機(jī)密性
• 消息完整性
• 可訪問與可用性
• 身份認(rèn)證

網(wǎng)絡(luò)安全的威脅

• 竊聽
• 插入
• 假冒
• 劫持
• 拒絕服務(wù)DoS和分布式拒絕服務(wù)DDoS
• 映射
• 嗅探
• IP欺騙

數(shù)據(jù)加密

明文：未被加密的消息
密文：被加密的消息
加密：偽裝消息以隱藏消息的過程
解密：密文轉(zhuǎn)變?yōu)槊魑牡倪^程

傳統(tǒng)加密方式

1. 替代密碼：用密文字母替代明文字母
   

   1.1 加密函數(shù)
   
   1.2 解密函數(shù)
2. 換位密碼：根據(jù)一定規(guī)則重新排列明文

對稱秘鑰加密

加密秘鑰和解密秘鑰相同

• 分組密碼（DES认然、AES思瘟、IDEA）
  1.DES：56位秘鑰看幼，64位分組
  2.三重DES：使用兩個秘鑰112位副签，執(zhí)行三次DES算法
  3.AES：秘鑰128/192/256位妇斤，分組128位
  4.IDEA：秘鑰128位稀轨，分組64位
• 流密碼

非對稱秘鑰加密

加密秘鑰和解密秘鑰不同，秘鑰成對使用竿痰，一個用于加密损晤，一個用于解密

加密秘鑰可以公開软棺，也稱公開秘鑰加密（如：Diffie-Hellman算法、RSA算法）

消息完整與數(shù)字簽名

密碼散列函數(shù)

特點(diǎn)定長輸出尤勋、單向性码党、抗碰撞性，如：MD5（128位散列值）斥黑、SHA-1（160位散列值）

報文認(rèn)證

報文認(rèn)證是使消息的接受者能夠檢驗收到的消息是否是真實的認(rèn)證方法，來源真實眉厨，未被篡改

1. 報文摘要（數(shù)字指紋）
2. 報文認(rèn)證方法

• 簡單報文驗證：僅使用報文摘要锌奴，無法驗證來源真實性
• 報文認(rèn)證碼：使用共享認(rèn)證密匙，但無法防止接受方篡改

數(shù)字簽名

身份認(rèn)證憾股、數(shù)據(jù)完整性鹿蜀、不可否認(rèn)性

• 簡單數(shù)字簽名：直接對報文簽名

• 簽名報文摘要

  
  

身份認(rèn)證

• 口令：會被竊聽
• 加密口令：可能遭受回放/重放攻擊
• 加密一次性隨機(jī)數(shù)：可能遭受中間人攻擊

密匙分發(fā)中心與證書認(rèn)證

基于KDC的秘鑰生成和分發(fā)

證書認(rèn)證機(jī)構(gòu)

認(rèn)證中心CA：將公鑰與特定的實體綁定

1. 證實一個實體的真實身份

2. 為實體辦法數(shù)字證書（實體身份和公鑰綁定）

   
   

防火墻與入侵檢測系統(tǒng)

防火墻：能夠隔離組織內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)，允許某些分組通過服球，而阻止其它分組進(jìn)入或離開內(nèi)部網(wǎng)絡(luò)的軟件茴恰、硬件或者軟硬件結(jié)合的一種設(shè)施

前提：從內(nèi)部到外部或者從外部到內(nèi)部的所有流量都經(jīng)過防火墻

防火墻分類

1. 無狀態(tài)分組過濾器：基于特定規(guī)則對分組是通過還是丟棄進(jìn)行決策，如使用訪問控制列表（ACL）實現(xiàn)防火墻規(guī)則
2. 有狀態(tài)分組過濾器：跟蹤每個TCP連接建立斩熊、拆除往枣、根據(jù)狀態(tài)確定是否允許分組通過
3. 應(yīng)用網(wǎng)關(guān)：鑒別用戶身份或針對授權(quán)用戶開放特定服務(wù)

入侵檢測系統(tǒng)（IDS）

當(dāng)觀察到潛在的惡意流量時，能夠產(chǎn)生警告的設(shè)備或系統(tǒng)

網(wǎng)絡(luò)安全協(xié)議

安全電子郵件

1. 電子郵件安全需求

• 吉木姓
• 完整性
• 身份認(rèn)證性
• 抗抵賴性

2. 安全電子郵件標(biāo)準(zhǔn)：PGP

安全套接字層SSL

1. SSL是結(jié)余應(yīng)用層和傳輸層之間的安全協(xié)議

2. SSL協(xié)議棧
3. SSL握手過程：協(xié)商密碼組粉渠，生成秘鑰分冈，服務(wù)器/客戶認(rèn)證與鑒別

虛擬專用網(wǎng)（VPN）

建立在公共網(wǎng)絡(luò)上的安全通道，實現(xiàn)遠(yuǎn)程用戶霸株、分支機(jī)構(gòu)雕沉、業(yè)務(wù)伙伴等于機(jī)構(gòu)總部網(wǎng)絡(luò)的安全連接，從而構(gòu)建針對特定組織機(jī)構(gòu)的專用網(wǎng)絡(luò)

關(guān)鍵技術(shù)：隧道技術(shù)去件，如IPSec

IP安全協(xié)議（IPSec）

IPSec 是網(wǎng)絡(luò)層安全協(xié)議坡椒，建立在IP層之上，提供機(jī)密性尤溜、身份鑒別倔叼、數(shù)據(jù)完整性和防重放攻擊服務(wù)

體系結(jié)構(gòu)：

1. 認(rèn)證頭AH協(xié)議
2. 封裝安全載荷ESP協(xié)議

運(yùn)行模式：

1. 傳輸模式（AH傳輸模式、ESP傳輸模式）
2. 隧道模式（AH隧道模式宫莱、ESP隧道模式）

本篇到此完結(jié)缀雳，計算機(jī)網(wǎng)絡(luò)知識 系列文章已全部發(fā)布！

計算機(jī)網(wǎng)絡(luò)原理梳理丨計算機(jī)網(wǎng)絡(luò)的概念
計算機(jī)網(wǎng)絡(luò)原理梳理丨應(yīng)用層
計算機(jī)網(wǎng)絡(luò)原理梳理丨傳輸層
計算機(jī)網(wǎng)絡(luò)原理梳理丨網(wǎng)絡(luò)層
計算機(jī)網(wǎng)絡(luò)原理梳理丨鏈路層
計算機(jī)網(wǎng)絡(luò)原理梳理丨物理層
計算機(jī)網(wǎng)絡(luò)原理梳理丨無線與移動網(wǎng)絡(luò)
計算機(jī)網(wǎng)絡(luò)原理梳理丨網(wǎng)絡(luò)安全
計算機(jī)網(wǎng)絡(luò)原理梳理丨HTTP 請求全解