【计算机网络】网络安全知识要点

计算机网络安全知识要点。

一、 密码体制

1、 对称密码体制：加密和解密的密码相同，由此产生了DES，如果密钥丢失或失窃，则很容易将数据泄露出去。所以对称密码体制的作用仅仅是防止数据被其他人获得。
2、 公钥密码体制：加密密钥和解密密钥不同，根据数论中的大数理论得到的。大数理论，我给忘记了，我不了解现在网上通行的公钥算法的大质数有多大。
这两种密码体制是现行的保证网络安全的基础。数据的安全程度在于密钥长度，破解的计算量。

二、 数字签名

功能是验证所接收的数据来自于真正的通信端，而非其他的计算机，一是保证报文的确是通信对方产生的，二是保证报文的完整性，三是保证通信对方必须诚实可靠。

数字签名的主要流程就是公钥密码传输方法。当公钥密码传输方法反过来的时候，就成了公钥加密，两者结合起来，就成了带加密的数字签名。其核心在于对私钥的保护，私钥不在网上传输。

https的加密就是公钥加密，主要用于保护浏览器的数据不被侵犯。在客户端发起请求之后，双方确定自己能够支持的加密算法，服务器将公钥发给浏览器，浏览器将数据加密之后发送给服务器。

三、 报文鉴别

报文发送方为了确保自己的信息不被修改，在公钥密码体制基础上，给自己每一条报文都采用报文摘要算法进行处理。这里的鉴别和数字签名里的鉴别是一致的，只不过是摘要算法的差别，哈希散列函数MD5，SHA系列。

四、 用户鉴别

用户鉴别只需要一次，最简单的对称密钥的用户身份鉴别。这时公钥体制的作用就小了，公钥的本质是确定持有私钥的一方的身份是真实的，数据是真实的，用户鉴别的目的是要确认两方都是真实的，这时对称密钥比较重要。
针对重放攻击，采用不重复的大随机数来应对，也就是在通信前首先用不重数确定双方的身份。

中间人攻击的关键点在于中间人并没有去破解私钥，而是用自己的公钥代替别人的公钥，最关键的就是公钥的分配，到底谁才能持有公钥。

五、 密钥分配

KDC负责管理对称密钥，保证通信双方在每次通信前都能得到不同的对称密钥，确保通信的安全性。KDC使用了两个服务器，一个是AS鉴别服务器，另一个用来产生让通信双方传送的票据。

CA用来管理公钥的分配，这可以避免中间人攻击。

六、 安全协议

Ip层的安全协议 ipsec。
运输层的安全协议SSL和TLS，保证在运输层和应用层之间的套接字的安全性。SSL用来保证确认通信双方没有被冒充，且提供会话的安全性。
PGW是电子邮件的安全协议。
之所以各个层都有自己的安全协议，主要是每一层都不确定自己上一层是否存在，因此层自身就要做出安全防范，且各个层是划分明确的标准，标准的开发相互独立。

七、 防火墙

防火墙按照网络层或者传输层的首部信息进行排查，比如端口号，ip地址，协议类型等等，排除掉某些端口的数据。
应用网关就是将所有经过的数据都排查一遍，检查各类应用层的信息是否正确，如果符合要求则允许通过。