计算机网络教程第五版|微课版 - 第七章网络安全 - 重要概念【补充】

第七章、网络安全【补充】

本章的重要概念

计算机网络中需要提供的基本安全服务有机密性、报文完整性、不可否认性、实体鉴别、访问控制和可用性等。
密码学是计算机网络安全的基础，是实现机密性、报文完整性、实体鉴别及不可否认性的技术基础。
加密就是将发送的数据变换成对任何不知道如何做逆变换的人都不可理解的形式，从而保证了数据的机密性。被加密的数据被称为密文，而加密前的数据被称为明文。解密就是通过某种逆变换将密文重新换回原来的明文。现代密码系统要加密和解密过程以密钥为参数，并且加密和解密过程可以公开，而只有密钥需要保密。即只有知道密钥的人才能解密密文，而任何人，即时知道加密或解密算法也无法解密密文。
密钥管理包括：密钥的产生、分配、注入、验证和使用。密钥分配（或密钥分发）是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。目前常见的密钥分配方式是设立密钥分配中心 KDC。KDC 是大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分配一个仅使用一次的会话密钥。
访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制，访问控制包括主体、客体、访问及访问策略等基本要素。
访问控制策略典型地可以分为三类：自主访问控制、强制访问控制和基于角色的访问控制。
IEEE 802.1li 是无线局域网的安全标准，为无线用户提供实体鉴别、访问控制、数据保密与完整性等安全功能，其商业名称为 WPA2 (WiFi Protected Access 2）。
IPsec 是为互联网网络层提供安全服务的一组协议。IPsec 可以以两种不同的方式运行：（1）传输方式，IPsec 只保护 IP 报文的有效载荷，而不保护 IP 报文的首部，通常用于主机到主机的数据保护；（2）隧道方式，IPsec 保护包括 IP 首部在内的整个 IP 数据报，通常用于两个路由器之间，或一个主机与一个路由器之间的数据保护。
SSL 最新版本为 SSL 3.0，它是保护万维网 HTTP 通信量公认的事实上的标准。微软的浏览器 IE 目前也使用 SSL。后来 IETF 在 SSL 的基础上设计了运输层安全协议 TLS。但当需要使用加密的浏览器时，就需要使用安全的浏览器。这时就要使用运输层安全协议 SSL/TLS 和应用层的 HTTPS。
PGP 是安全电子邮件软件（不是互联网的正式标准）。PGP 通过报文摘要和数字签名技术为电子邮件提供完整性和不可否认，使用对称密钥和公钥的组合加密来提供机密性。
防火墙技术一般分为分组过滤路由器和应用级网关两类：分组过滤路由器是一种具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃（即过滤）；应用级网关在应用层通信中扮演报文中继的角色，可以实现基于应用层数据的过滤和高级用户鉴别。
入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。
拒绝服务（Dos）攻击是攻击者最常使用的一种行之有效且难以防范的攻击手段，是针对系统可用性进行攻击，主要通过消耗网络带宽或系统资源（如处理器、磁盘、内存等）导致网络或系统不堪负荷，以至于瘫痪而停止提供正常的网络服务或使服务质量显著降低，或通过更改系统配置使系统无法正常工作（如更改路由器的路由表）来达到攻击的目的。
分布式拒绝服务（DDos）攻击中，处于不同位置的多个攻击者同时向一个或多个目标发起拒绝服务攻击，或者一个或多个攻击者控制了位于不同位置的多台主机，并利用这些主机对目标同时实施拒绝服务攻击。DDos 攻击是 Dos 攻击最主要的一种形式。

转载自《计算机网络教程第五版|微课版》著者：谢钧、谢希仁