计算机网络安全
目录
一.网络安全序章
1.什么是网络安全?
2.网络安全属性
3.主动攻击和被动攻击的区别
4.ISO定义的五大类安全服务
二.密码学
三.消息认证和数字签名
1.消息认证
2.散列函数
3.数字签名
四.身份认证
1.什么是身份认证
2.什么是AAA技术?
五.公钥基础设施(PKI)
1.什么是数字证书?数字证书的基础功能是什么?
2.PKI是什么?
3.PKI有哪些组成部分?各自的功能是什么?
六.网络安全协议
1.IPSec提供哪些安全服务
2.AH协议提供哪些安全服务
3.ESP协议提供哪些安全服务
4.SSL协议由哪些协议组成,各有什么功能?
5.SSL握手协议握手流程
七.防火墙技术
1.什么是防火墙
2.防火墙的功能是什么
3.包过滤原理
一.网络安全序章
1.什么是网络安全?
网络中的硬件、软件和系统数据不被破坏、更改、泄露,系统能连续可靠的正常允许,网络服务不中断。
2.网络安全属性
完整性:保证信息传输过程中不被修改、破坏
保密性:保证信息传输过程中不被泄露
可用性:保证信息系统无单点故障,能隔离故障组件
可控性:保证对信息传输有完全控制的能力
真实性:保证信息发送方是真是可信的
不可否认性:保证可以查到信息的真实发送者
3.主动攻击和被动攻击的区别
被动攻击:对信息进行窃听和检测,但不进行然后修改,攻击方式:信息收集和流量分析
主动攻击:会改变信息或影响系统正常运作,攻击方式有:重放,伪造,篡改,拒绝服务(DOS)
4.ISO定义的五大类安全服务
数据完整服务,数据保密性服务,访问控制服务,鉴别服务,抗抵赖性服务
二.密码学
看我另外一篇博客
计算机网络安全——密码学_转行卖煎饼的博客-CSDN博客
三.消息认证和数字签名
1.消息认证
1.1 为什么需要消息认证?
保证消息的完整性,防止被篡改
1.2消息认证采用的技术有哪些?
主要的消息认证技术有三种:
加密函数:以整个消息的密文作为鉴别符。对称加密保证保密性和真实性,公钥加密只保证真实性,他们都不保证完整性。
消息认证码:用函数+密钥产生的定长值作为鉴别符,并与消息一起发送给对方
散列函数:用散列函数给任意长的消息映射为定长的hash值,以该hash值作为鉴别符号。可以保证消息完整性
1.3散列函数和消息认证码的区别
消息认证码需要用函数+密钥产生的定长值作为鉴别符,并与消息一起发送给对方,
散列函数则不用,它以产生的hash值作为鉴别符号,可以保证消息完整性
2.散列函数
2.1散列函数需要满足哪些特性?
(1)产生固定长度值:Hash函数对任意长度的数据快都会产生固定长度的散列值
(2)容易计算:Hash函数对输入的消息计算散列值很容易
(3)可逆性低:散列函数不能反向计算出输入的消息
(4)碰撞性低:对两个消息进行加密,计算出的两个散列值不能相同
2.2常用散列函数
MD5、SHA-1、SHA-512
3.数字签名
3.1数字签名和消息认证的区别
消息认证用于保护通信双方的消息不被第三方篡改,可以保整消息的完整性、真实性,但无法防止通信双方互相欺骗否认
数字签名可以提供完整性,不可否认性,真实性
3.2散列函数和数字签名应用上的区别
Hash函数是数字签名的一个环节,可以用来验证消息的完整性和缩短签名时间
而数字签名可以找到制造者,可以防止消息伪造
3.3常用数字签名技术
RSA,ELGaml,DSA
四.身份认证
1.什么是身份认证
验证真实身份和所声称身份的过程,认证方式有口令、动态密码、IC卡三种
2.什么是AAA技术?
AAA技术包括:授权,认证,计费
五.公钥基础设施(PKI)
1.什么是数字证书?数字证书的基础功能是什么?
数字证书是由CA签发的、标志身份信息的一系列数据,采用公钥密码体制。
数字证书的基础功能是让证书的拥有者向系统中的其它实体证明自己的身份
2.PKI是什么?
PKI是一套利用公钥密码技术为安全通信提供服务的基础平台的技术和规范
3.PKI有哪些组成部分?各自的功能是什么?
PKI由上层到下层由PKI应用接口、信息中心(包含CA认证中心,RA注册机构,证书签发系统)组成、PKI策略和PKI软硬件系统
PKI应用接口:顾名思义是直接为网络服务提供应用
CA认证中心:CA认证中心的基本注册是数字证书的颁发、废除、更新、验证、密钥管理
RA注册机构:主要完成收集用户信息,确认用户身份的功能
证书签发系统:负责证书发放
PKI策略和PKI软硬件系统:PKI安全策略的详细文档和软硬件支持
六.网络安全协议
1.IPSec提供哪些安全服务
- 保证数据完整性
- 保证数据真实性
- 保证数据保密性
- 防止重放攻击
2.AH协议提供哪些安全服务
提供无连接的完整性、数据来源验证和抗重放攻击服务
3.ESP协议提供哪些安全服务
ESP协议除了可以提供无连接的完整性、数据来源验证和抗重放攻击服务之外,还提供消息加密服务
4.SSL协议由哪些协议组成,各有什么功能?
SSL(安全套检查协议)位于传输层和应用层之间,为应用层提供安全性,分为高低两层协议。
高层协议有
- SSL握手协议:SSL协议核心,用于在数据传输开始前通信双方进行身份认证、协商加密算法、交换密钥等
- SSL密码修改协议:通知双方使用刚刚协商的加密规范和密钥进行加密,每隔一段时间就会修改加密规范
- SSL告警协议:如果在通信过程中某一方发生异常,异常级别为1SSL会发出警告,异常几倍为2SSL会终止连接
低层协议有
- SSL记录协议,为上层协议提供保密性和完整性,还对HTTP协议进行了特别设计,使HTTP协议成为HTTPS协议,能在网络中安全传输
5.SSL握手协议握手流程
1.tcp三次握手后,客户端向服务端发送client hello,client hello包括客户端所支持的加密套件、SSL版本和第一随机数
2.服务端向客户端响应server hello,响应报文中会告诉客户端服务端选择的加密套件、SSL版本,和第二随机数。
3.服务端向客户端响应一个x.509证书来表明自己的身份
4.服务端向客户端响应server key exchange,发送自己公钥,此时服务端也可以要求客户端向自己发送证书
5.服务端向客户端发送server hello down,表示响应完毕,此时所有消息还未进行加密
6.客户端向服务端发送client key exchange,生成预主密钥,客户端用服务端公钥对预主密钥进行加密后发送给服务端
7.客户端和服务端协商完毕,分别使用第一随机数、第二随机数、预主密钥计算出会话密钥,SSL的握手已经成功,可以开始利用会话密钥进行对称加密传输
七.防火墙技术
1.什么是防火墙
一种放置于本地网络与外部网络之间的防御系统,外部网络和本地网络之间交互的所有数据都需要经过防火墙处理后才能决定是否放行,实现对本地网络的保护功能。
2.防火墙的功能是什么
- 保护本地网络不受外部网络攻击
- 强化网络安全策略
- 监控审计
- 防止内部信息外泄
3.包过滤原理
包过滤防火墙读取流过它的每一个数据包报头信息,然后用预先设定好的过滤规则与之逐条匹配,匹配成功的被转发,匹配失败的则抛弃,包过滤技术检查数据包报头的主要信息有:源ip地址和目的ip地址,tcp/udp源端口号和tcp/udp目的端口号,tcp标志位、协议等