计算机网络原理系列学习笔记（七）——网络安全

前言

网课学习的视频来源：b站《自考04741 计算机网络原理》

本章知识结构

1. 网络安全概述
2. 数据加密
3. 消息完整性与数字签名
4. 身份认证
5. 密钥分发中心与证书认证
6. 防火墙与入侵检测系统
7. 网络安全协议

网络安全概述

一、基本概念

网络安全通信所需要的基本属性:

1. 机密性;
2. 消息完整性;
3. 可访问与可用性;
4. 身份认证。

二、网络安全威胁

• 窃听
• 插入
• 假冒
• 劫持
• 拒绝服务(DoS）和分布式拒绝服务（DDoS）
• 映射
• 嗅探
• IP欺骗

（补充一下：关于DDoS技术以及相关网络攻击，在b站有一个个人认为做的比较好的视频：《DDoS技术鉴赏》

数据加密

一、基本名词

• 明文:未加密的消息。
• 密文:被加密的消息。
• 加密:伪装消息以隐藏消息的过程,即明文转变为密文的过程。
• 解密:密文转变为明文的过程。

二、传统加密方式
1、替代密码：用密文字母替代名文字母
移位密码加密函数：

解密函数：
2、换位密码：根据一定的规则重新排列明文

【综合题】如果对明文"bob. i love you. Alice"利用k= 3的恺撒密码加密,得到的密文是什么?利用密钥"nice"进行列置换加密后得到的密文是什么?
【答案】凯撒密码加密后得到的密文是:‘ere | oryh brx Dolfh’；列置换密码加密后得到的密文是:“iex bvu bly 000”

【解析】凯撒密码:以明文字母b为例，M=2 , k=3 , q=26 ,则密文C=(M+ k)mod q=(2+3)mod 26=5 , 对应字母e
将明文全部替换后得到密文"ere | oryh brx Dolfh’

列置换密码:密钥"nice’字母表先后顺序为"4,3,1,2" ，因此,按这个列顺序读出表中字母,构成密文:“iex bvu bly 000”

三、对称密钥加密

现代密码分类:

• 对称密钥密码:加密密钥和解密密钥相同(密钥保密
• 非对称密钥密码: 加密密钥和解密密钥不同。（S_k”私钥“和P_k"公钥"）

对称密钥密码分类:

• 分组密码: DES , AES、IDEA等。
  1. DES : 56位密钥, 64位分组。
  2. 三重DES :使用两个密钥(共112位) ,执行三次DES算法。
  3. AES :分组128位,密钥128/192/256位。
  4. IDEA :分组64位,密钥128位。
• 流密码

密钥成对使用，其中一个用于加密，另一 个用于解密且加密密钥可以公开,也称公开密钥加密。

典型的公钥算法:
Diffie- Hellman算法
RSA算法

（注意点：下图图中公钥K_B右上角有个+,私钥右上角有个“-”，以区分两者）

消息完整性与数字签名

一、消息完整性检测方法
密码散列函数
1.特性

1. 定长输出;
2. 单向性(无法根据散列值逆推报文) ;
3. 抗碰撞性(无法找到具有相同散列值的两个报文)

2.典型散列函数

• MD5 : 128位散列值
• SHA-1 : 160位散列值

二、报文认证
报文认证是使消息的接收者能够检验收到的消息是否是真实的认证方法。来源真实、未被篡改。

• 1.报文摘要(数字指纹)：散列函数求出来的一个散列值

• 2.报文认证方法

   a、简单报文验证:仅使用报文摘要无法验证来源真实性。
  
   b、报文认证码:使用共享认证密钥，但无法防止接收方篡改。
  

三、数字签名

身份认证、数据完整性、不可否认性

1.简单数字签名:直接对报文签名

2.签名报文摘要

发送过程：

接收过程：

身份认证

口令:会被窃听
加密口令;可能遭受回放(重放)攻击
加密一次性随机数:可能遭受中间人攻击

密钥分发中心与证书认证机构

一、密钥分发中心

基于KDC的密钥生成和分发

通信发起方生成密钥，KDC进行分发：

KDC生成并分发密钥：

二、证书认证机构

认证中心CA :将公钥与特定的实体绑定

1. 证实一个实体的真实身份;
2. 为实体颁发数字证书(实体身份和公钥绑定)。

防火墙与入侵检测系统

一、防火墙基本概念

防火墙：能够隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合的一种设施。

前提：从外部到内部和从内部到外部的所有流量都经过防火墙。

二、防火墙分类

1. 无状态分组过滤器

   基于特定的规则对分组是通过还是丢弃进行决策。使用访问控制列表( ACL )实现防火墙规则。
   

2. 有状态分组过滤器

   跟踪每个TCP连接建立、拆除,根据状态确定是否允许分组通过。
   

3. 应用网关

   鉴别用户身份或针对授权用户开放特定服务。
   

三、入侵检测系统
入侵检测系统( IDS )是当观察到潜在的恶意流量时,能够产生警告的设备或系统。

网络安全协议

一、安全电子邮件
1.电子邮件安全需求

• 机密性
• 完整性
• 身份认证性
• 抗抵赖性

2.安全电子邮件标准

• PGP

二、安全套接字SSL

1. SSL是介于应用层和传输层之间的安全协议。
2. SSL协议栈
   
3. SSL握手过程
   协商密码组，生成密钥,服务器/客户认证与鉴别

三、虚拟专用网VPN和IP安全协议IPSec

1. VPN
   建立在公共网络上的安全通道,实现远程用户、分支机构、业务伙伴等与机构总部网络的安全连接，从而构建针对特定组织机构的专用网络。关键技术:隧道技术,如IPSec。

2. 典型的网络层安全协议-IPSec
   提供机密性、身份鉴别、数据完整性验证和防重放攻击服务。
   体系结构：认证头AH协议、封装安全载荷ESP协议。
   运行模式：传输模式( AH传输模式、ESP传输模式)、隧道模式( AH隧道模式、ESP隧道模式)。