计算机网络自顶向下方法--第八章 网络安全

. 什么是网络安全

安全通信的特性

• 机密性 仅有发送方和接收方能够理解传输报文的内容。由于窃听者可以截获报文，必须要求报文在一定程度上进行加密。
• 报文完整性 确保通信的内容在传输的过程中未被改变或者恶意篡改或者意外改动,需要提供报文完整性检测。
• 端点鉴别 发送方和接收方都应该能证实通信过程中所涉及的另一方，以确信通信的另一方具有其所声称的身份。
• 运行安全性

2. 密码学的原则

2.1 对称秘钥密码体制

凯撒密码
单码代替密码
多玛代替密码
流密码
块密码 DES 3DES AES
密码块链接 CBC

2.2 公开秘钥加密

Diffie-Hellman 秘钥交换
公钥
私钥
RSA算法
Diffie-Hellman 算法

3. 报文完整性和数字签名

报文完整性也称报文鉴别。

报文完整性的两个重要点：1）该报文的确源自发送方； 2）该报文在传输过程中没有被篡改

数字签名：用密钥中的私钥对报文进行加密，即可完成数字签名功能

4.端点鉴别

端点鉴别就是一个实体经过计算机网络向另一个实体证明其身份的过程。如密码登陆。
密码口令用于防止IP哄骗，但口令也可能被拦截，即使加密的口令也受制于回放攻击。
于是有了不重数这个解决方案：
不重数：是在一个协议的生存期中只使用一次的数，注意不是周期，即一旦某个协议使用了一个不重数，就永远也不会再使用那个数字了。

1 客户端发请求给服务端。

2 服务端选择一个不重数发给服务端。

3 客户端用对称加密将不重数加密，发送给服务端。

4 服务端解密验证不重数，确认客户端身份，并且是活跃的。

5.SSL

SSL(Secure Socket Layer) 相当于是一个提供了安全服务的加强版 TCP，它的第三版本也被称为 TLS(Transport Layer Security) 。SSL 差不多是取代 TCP 原有位置的，但是实际上它是一个应用层协议。SSL 的具体原理也很复杂，我这里只列出一些要点

1. 在 SSL 通信的双方（比如 Bob 和 Alice）共使用了 4 个密钥：一个密钥是 Bob 向 Alice 发送数据的会话密钥；一个密钥是 Bob 向 Alice 发送报文完整性检测 MAC 密钥；一个密钥是 Alice 向 Bob 发送数据的会话密钥；一个密钥是 Alice 向 Bob 发送报文完整性检测 MAC 密钥
2. SSL 将报文数据分成被称为 记录 的基本单元，对记录做加密和报文完整性验证。SSL 对记录数据+MAC密钥+记录序号做散列，这样能防止中间人恶意替换记录的顺序

6.防火墙

防火墙是一种软件加上硬件一起实施网络连接管理的工具，可以认为这是一个位于网络边缘的路由器，具有下面的性质

• 所有从内部网络流向外部和从外部流向内部的流量都必须经过防火墙
• 防火墙仅会让允许授权的流量通过
• 防火墙必须足够安全，不能被攻破

防火墙的过滤方式可以分为 3 类：传统分组过滤器（traditional packet filter）、状态过滤器（stateful filter）、应用程序网关（application gateway）