《计算机网络：自顶向下方法》Chapter8：计算机网络中的安全

摘要：本章首先介绍了网络安全的基础技术密码学相关的知识，然后沿着协议栈从上至下的介绍了各层能提供的网络安全服务，以及防火墙。
关键词：密码学；PGP；SSL；IPsec；防火墙
目录：
1.密码学基础
1.1 报文完整性
1.2 端点鉴别
2. 应用层安全：PGP
3. 传输层安全：SSL
4. 网络层安全：IPsec
5. 防火墙

1.密码学基础

对数据进行加密有两种加密系统，对称密钥加密和公开密钥加密。你可能会好奇密钥是什么，顾名思义就是解开密文的钥匙，你拿他到它，就可以解开加密的密文。那么具体来讲它是什么呢？就是数据。只是这个数据可能有不同的意义，它可能是加密函数的参数，可能是一个序列，可以解密时候需要的几个数，不同的加密算法不一样。所以不用纠结它具体是什么，只要知道，它可以解密你的密文。

对称密钥加密：也就是通信双方使用相同的密钥，也就是两人用的解密的钥匙是一样的。
公开密钥加密：通信双方的密钥不同，其一个是公开的，一个是私密的。公开的意味着任何人都可以获得公钥的一个副本。

对称密钥加密速度快，而非对称的速度慢。如果你们之间用对称密钥加密，双方的钥匙必须保管好，但凡有一方钥匙泄露出去了，双方的对话就全部被解密了。使用非对称加密时候，持有私钥的一方是不能发送密文的，因为任何人都可以用公钥解密，因此这种情况只能一方加密，另一方解密，不是双向的。

做到网络安全的四个要素就是：报文要有机密性；报文要有完整性；端点必须真实；运行必须安全。报文机密性通过密码学的加密算法即可，比如公钥加密算法中的RSA加密算法。下面主要介绍报文的完整性和端点的真是性。在最后一节讨论通过防火墙保证运行的安全性。

1.1报文完整性

报文完整性就是要保证，报文在是没有被中间人篡改。就是我每次发送数据都在数据报中添加一个双方都知道的比特串，然后呢将整个报文做一个映射，得到新的报文，对这个新的报文进行加密，接收方在解密之后，做逆映射得到的那个字符串如果和自己持有的字符串是一样的，那么说明没有被篡改。这个映射叫做密码散列函数，那个比特串叫做报文鉴别码。

为什么要做个映射之后再加密，而不是直接加密呢？主要在于映射之后可以将一个长文本变为一个短文本，减低加密的计算成本。

1.2 端点鉴别

端点鉴别就是要证明你是你。他需要两个技术手段来完成。一个是数字签名，另一个是不重数。

为了证明你是你，你使用你的私钥加密你的名字。然后其他人用你提供的公钥解密。如果解密得到的名字确实是你名字，说明你就是你。否则，你就是冒充的。你的名字就是证书。你提供的公钥由公钥认证中心认证，也就是证明你的公钥是你的。这个过程就是数字签名。

光有数字签名就可以进行端点鉴别了吗？不可以。别人复制你的报文，下次发送一个一模一样的给接收者，接收者以为又是你发了之前的请求。这种叫做重放攻击。怎么解决呢，就是给每个报文加一个不重数，这个数只会出现一次，如果别人重放你的报文，接收端会发现里面的不重数已经出现过了，从而判断对方不可信。

接下来，我们将看到，不同的协议层，他们之间是如何进行网络安全传输的。

2. 应用层安全：PGP

应用层安全以一个安全电子邮件的加密方案PGP为例。该方案使用对称密码密钥、公开密钥密码、散列函数和数字签名来提供安全性、发送方鉴别和报文完整性。

3. 传输层安全：SSL

SSL 是安全套接字层，实际上SSL在应用上应该归于应用层。https就是http在ssl的基础上实现的。ssl先通过公开密钥加密的方式来进行端点鉴别和报文完整性鉴别，并传送对称密钥，此后在真正传输数据的时候就用对称密钥加密数据。具体的细节已经在第二章中介绍过了。

4. 网络层安全：IPsec

网络层安全就是对网络层及其以上层协议的所有数据都加密。当你发送一个普通的ip数据报文时，路由器将整个数据包装起来了，加上新的IP首部，发到互联网中，然后接收端去掉ip首部，之后得到真正的由Ipsec首部和加密的密文。就如通大隧道一样。这样就在普通的互联网中虚拟出了一条专用网：VPN。由于去掉IP首部之后就是加密的数据，因此这个网络层的安全需要支持IPsec的路由器，同时客户需要一个应用程序来进行IPsec帧的加密和解密。

你应该想，有了传输层和应用层安全不就可以了。为什么还需要网络层安全，而且很多机构和公司都由内网，外网要访问内网就必须向机构或者公司申请一个VNP。

5. 防火墙

防火墙就是在流量流入路由器或者电脑的过滤器。不仅你的电脑有防火墙，路由器也有。他规定了什么类型的流量可以流入。防火墙是由一系列的规则定义的，这些规则之间取并集，比如开放了80端口，但是不准http协议的报文流入，即使开放了80端口也没有用。

防火墙是手动配置的，关闭一些危险的端口，可以使你的计算机免受一些恶意的攻击。