第8章 网络安全

网络安全问题分为：
1. 保密（secrecy),也称为机密（confidentiality),它的任务是确保信息不会被未经授权的用户访问。
2. 认证，是指当你在展示敏感信息或者进入商务交易之前你必须要确定自己在跟谁通话；
3. 不可否认性，涉及签名
4. 完整性控制，用来确定你收到的信息是真实的而不是被恶意攻击者在传输途中篡改过的伪造信息；

8.1 密码学

密码学（cryptography)
密码（cipher),是指逐个字符或者逐个位的进行变换，其不涉及信息的语言结构；
编码（code),是用一个词或符号来代替另一个词

8.1.1 密码学概论

Kerckhoff原则：所有的算法必须是公开的而秘钥是保密的；
加密方法被分为：
1. 置换密码（substitution cipher)，每个字母或者没一组字母被另一个字母或另一组字母取代，从而将原来的字母掩盖起来。
2. 代替密码（transposition cipher),重新对字母进行排序，但不是伪装明文；

8.1.4 一次性秘钥

一次性秘钥（one-time pad),选择随机位作为秘钥，其无法被攻击，因为所有字母出现概率相同。

8.1.5 两个基本的密码学原则

1. 冗余度：所有的密码信息必须包含一定的冗余信息； 在解密一个消息以后，接受者必须能够通过简单的检查手段和通过一个简单 的计算来判断该消息是否有效，这种冗余是必要的，其可以有效的组织主动入侵者发送来及信息，然而，冗余信息也是的被动入侵者更加容易破解系统。
2. 新鲜度，必须采取措施确保美团接收到的消息可被验证是新鲜的，即对抗重放攻击，时间戳；