计算机网络——网络安全基础笔记

目录

1 网络安全概述

1.1 网络安全通信所需要的基本属性

1.2 网络安全威胁

2 数据加密

2.1 基本概念

2.2 传统加密方式

2.3 对称密钥加密

2.4 非对称/公开密钥加密

3 消息完整性与数字签名

3.1 消息完整性检测方法

3.2 报文认证

3.3 数字签名

4 身份认证

5 密钥分发中心与证书认证

5.1 密钥分发中心

5.2 证书认证机构

6 防火墙与入侵检测系统

6.1 防火墙基本概念

6.2 防火墙分类

6.3 入侵检测系统(IDS)

7 网络安全协议

7.1 电子邮件安全需求

7.2 安全电子邮件标准

7.3 安全套接字层SSL

7.4 虚拟专用网VPN和IP安全协议IPSec


1 网络安全概述

1.1 网络安全通信所需要的基本属性

机密性,消息完整性,可访问与可用性,身份认证

1.2 网络安全威胁

窃听,插入,假冒,劫持,拒绝服务DoS和分布式拒绝服务DDoS,映射,嗅探,IP欺骗

2 数据加密

2.1 基本概念

明文:未加密的信息

密文:被加密的消息

加密:伪装消息以隐藏消息的过程

解密:密文转明文的过程

密钥:转换过程中的参数

2.2 传统加密方式

替代密码:密文替换明文

换位密码:根据一定规则重新排列明文

2.3 对称密钥加密

现代密码分类:

对称密钥密码:加密密钥和解密密钥相同(密钥保密)

非对称密钥密码:加密密钥和解密密钥不同。

对称密钥密码分类:

分组密码:DES(56位密钥,64位分组),AES,IDEA等

DES:56位密钥,64位分组

三重DES:使用两个密钥(共112位),执行三次DES算法。

AES:分组128位,密钥128/192/256位。

IDEA:分组64位,密钥128位。

2.4 非对称/公开密钥加密

密钥成对使用,其中一个用于加密,另一个用于解密,且加密密钥可以公开,也称为公开密钥加密。

典型的公钥算法:Diffie—Hellman算法 RSA算法

3 消息完整性与数字签名

3.1 消息完整性检测方法

密码散列函数特性:定长输出,单向性,抗碰撞性

典型散列函数:MD5:128位散列值        SHA-1:160位散列值

3.2 报文认证

报文认证是使消息的接收者能够检验收到的消息是否是真实的认证方法。来源真实,未被篡改。

报文摘要(数字指纹)

简单报文验证:仅使用报文摘要,只能检测是否被篡改,无法验证来源的真实性。

报文认证码:使用共享认证密钥,但无法防止接收方的篡改

3.3 数字签名

身份认证,数据完整性,不可否认性

简单数字签名:直接对报名签名(不方便)

签名报文摘要(私钥签名摘要加密,公钥解密)

4 身份认证

口令:会被窃听

加密口令:可能遭受重放攻击

加密一次性随机数:可能遭受中间人攻击(中间人截取消息发送消息)

5 密钥分发中心与证书认证

5.1 密钥分发中心

基于KDC的密钥生成和分发

通信方发起生成密钥,KDC进行分发

KDC生成并分发密钥

5.2 证书认证机构

认证中心CA:将公钥与特定的实体绑定

作用1:证明一个实体的真实身份

作用2:为实体颁发数字证书(实体身份和公钥绑定)

6 防火墙与入侵检测系统

6.1 防火墙基本概念

防火墙:能够隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其他分组进入或离开内部网络的一种设施。

前提:内部到外部或相反的所有流量都经过防火墙。

6.2 防火墙分类

无状态分组过滤器:

基于特定规则对分组通过还是丢弃进行决策。使用访问控制列表(ACL)实现防火墙规则

有状态分组过滤器:

跟踪每个TCP连接建立,拆除,根据状态确定是否允许分组通过

应用网关:

鉴别用户身份或者针对用户开放特定服务

6.3 入侵检测系统(IDS)

入侵检测系统是当观察到潜在的恶意流量时,能够产生警告的设备或系统

7 网络安全协议

7.1 电子邮件安全需求

机密性,完整性,身份认证性,抗抵赖性

7.2 安全电子邮件标准

PGP

7.3 安全套接字层SSL

SSL是介于应用层和传输层之间的安全协议

SSL协议栈:

握手协议 更改密码协议 SSL警告协议

握手协议:协商密码组,生成密钥,服务器/客户认证与鉴别

7.4 虚拟专用网VPN和IP安全协议IPSec

VPN:建立在公共网络上的安全通道,实现安全连接,从而构建针对特定组织机构和专用网络

关键技术:隧道技术,如IPSec

典型的网络层安全协议——IPSec

提供的机密性,身份鉴别,数据完整性和防重放攻击服务

体系结构:认证头AH协议,封装安全载荷ESP协议

你可能感兴趣的:(计算机网络原理,安全,网络,web安全)