一、网络七层模型
https://baike.baidu.com/item/%E4%B8%83%E5%B1%82%E6%A8%A1%E5%9E%8B/1441391
应用层
网络服务与最终用户的一个接口。
协议有:HTTP FTP TFTP SMTP SNMP DNS TELNET HTTPS POP3 DHCP
表示层
数据的表示、安全、压缩。(在五层模型里面已经合并到了应用层)
格式有,JPEG、ASCll、DECOIC、加密格式等
会话层
建立、管理、终止会话。(在五层模型里面已经合并到了应用层)
对应主机进程,指本地主机与远程主机正在进行的会话
传输层
定义传输数据的协议端口号,以及流控和差错校验。
协议有:TCP UDP,数据包一旦离开网卡即进入网络传输层
网络层
进行逻辑地址寻址,实现不同网络之间的路径选择。
协议有:ICMP IGMP IP(IPV4 IPV6) ARP RARP
数据链路层
建立逻辑连接、进行硬件地址寻址、差错校验 [2] 等功能。(由底层网络定义协议)
将比特组合成字节进而组合成帧,用MAC地址访问介质,错误发现但不能纠正。
物理层
建立、维护、断开物理连接。(由底层网络定义协议)
二、网络安全和解决方案
2.1 安全的目标
保密性:confidentiality
完整性:integrity
可用性:availability
2.2 ×××类型
威胁保密性的×××:窃听、通信量分析;
威胁完整性的×××:更改、伪装、重放、否认
威胁可用性的×××:拒绝服务(DoS)
2.3 解决方案
1)技术:加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制等
加密和解密:
传统加密方法:替代加密方法、置换加密方法
现代加密方法:现代块加密方法
2)服务:用于抵御×××的服务,也即是为了上述安全目标而特地设计的安全服务
认证机制
访问控制机制
数据保密性:连接保密性、无连接保密性、选择域保密性、流量保密性
数据完整性
不可否认性
三、密钥算法和协议
3.1 对称加密
特性:
1、加密、解密使用同一个密钥;
2、将原始数据分割成为固定大小的块,逐个进行加密;
缺陷:
1、密钥过多;
2、密钥分发困难;
算法:DES、3DES、AES
3.2 公钥加密
公钥:从私钥中提取产生;可公开给所有人;pubkey
私钥:通过工具创建,使用者自己留存,必须保证其私密性;secret key;
特点:
1)密钥分为公钥与私钥
2)用公钥加密的数据,只能使用与之配对儿的私钥解密;反之亦然;
用途:
数字签名:主要在于让接收方确认发送方的身份;
密钥交换:发送方用对方公钥加密一个对称密钥,并发送给对方;
数据加密
算法:RSA, DSA, ELGamal
3.3 单向加密
即提出数据指纹;只能加密,不能解密;
特性:
1)定长输出、
2)雪崩效应;
功能:完整性;
算法:md5(128位),sha1(160位)
3.4 密钥交换
DH(Deffie-Hellman)
A:p(大质数), g(取模)
B:p, g
A(发送): x --> p^x%g ==> B
A(接收): (p^y%g)^x=p^yx%g
B(发送): y --> p^y%g ==> A
B(接收): (p^x%g)^y=p^xy%g
在网络上传递是时P,B,X,Y;但只有A/B能解密。此时可以完成密钥交换功能。
3.5 举例说明
一次通信,三种加密算法(A和B进行通信,A发信息给B)
A:加密
1)对数据单向加密0,提取特征码;
2)用A的私钥1加密特征码附加在数据前面;
3)再用一个对称密钥2把整个文件(数据+2过程的结果)加密;
4)用B的公钥3加密,加密3过程的对称密钥,附加在(结果的前面)
B:解密
1)用B的私钥3解密这个密钥。(A发的消息,只能B能解开)
2)用这个秘钥2,解密这个数据(明文+加密特征码)
3)用A的公钥1解密加密的特征码
4)用同样的单向加密算法0,提取特征码。对比两个特征码。