网络安全基础——计算机网络原理（本科）

第一节：网络安全概述

一、基本概念
基本属性：
1、机密性
2、信息完整性
3、可访问与可用性
4、身份认证
网络安全基础
1、窃听
2、插入
3、假冒
4、劫持
5、拒绝服务DOS和分布式拒绝服务DDOS
6、映射
7、嗅探
8、IP欺骗

第二节：数据加密

一、传统加密方式
1、替代密码：用密文字母代替明文字母
2、换位密码：根据一定规则重新排列明文
二、对称密钥加密——加密密钥和解密密钥相同（密钥保密）
分组密码：DES，AES，IDEA等
DES：56位密钥，64位分组
三重DES：使用两个密钥（112位），执行三次DES算法
AES：分组128位，密钥128/192/256位
IDEA：分组64位，密钥128位
流密码——挨个处理
三、非对称/公开密钥加密——加密密钥和解密密钥不同
加密密钥可以公开，称为公钥。解密密钥不公开，称为私钥
Diffie-Hellman算法
RSA算法

第三节：信息完整性与数字签名

一、信息完整性检测方法
散列函数：
1、特性：定长输出、单向计算、抗碰撞——无法找到相同散列值的两个报文
2、典型散列函数：MD5——128位散列值 SHA-1：160位散列值
二、报文认证
使消息接收者能够检验消息的真实性。来源真实、未被篡改。
1、报文摘要（数字指纹）
2、报文认证方法
简单报文验证：报文摘要，无法验证来源真实性
报文认证，使用共享认证密钥，无法防止篡改
三、数字签名
特点：身份认证、数据完整性、不可否认性
1、简单数字签名：直接对报文签名
2、签名报文摘要

第四节：身份认证

口令：会被窃听
加密口令：可能遭到回放攻击
加密一次性随机数：可能遭到中间人攻击
第五节：密钥分发中心与证书认证机构
一、密钥分发中心
基于KDC的密钥生成和分发
二、证书认证机构
认证中心CA：将公钥与特定实体绑定
1、证实一个实体的真实身份
2、位实体颁发数字证书

第六节：防火墙与入侵检测系统

一、防火墙基本概念
隔离外部网络和内部网络，允许某些分组通过，阻止其他分组进入或者离开
二、防火墙分类
1、无状态分组过滤器
通过特定规制，使用访问控制列表（ACL）实现
2、有状态分组过滤器
跟踪每个TCP连接状态，确定是否允许分组通过
3、应用网关
鉴别用户身份或针对授权用户开放特定服务
三、入侵检测系统IDS
观察到潜在恶意流量时，能产生警告的设备或系统

第七节：网络安全协议

一、安全电子邮件
电子邮件安全需求：机密性、完整性、身份认证、抗抵赖性
安全电子邮件标准PGP
二、安全套接字层SSl
1、SSL是介于应用层和传输层之间的安全协议
2、SSL协议栈

3、SSL握手过程——协商密码组，生成密码，服务器/客户认证与鉴别
三、虚拟专用网VPN和IP安全协议IPSec
1、VPN建立公共网络上的安全通道，采用隧道技术（IPSec）
2、典型网络层安全协议——IPSec
提供机密性、身份鉴别、数据完整性验证和防回放攻击服务
体系结构：认证AH协议、封装安全载荷ESP协议
运行模式：传输模式(AH、ESP)、隧道模式(AH、ESP)