计算机网络原理（第八章）网络安全基础

网络安全概述

（一）基本概念

	网络安全是指网络系统的硬件、软件及其系统中的数据收到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露、系统连续可靠正常地运行，网络服务不中断
	基本属性：机密性、消息完整性、可访问与可用性、身份认证

（二）网络安全威胁

	从报文传输方面，主要包括窃听、插入、假冒、劫持等安全威胁
	常见的网络攻击包括：拒绝服务Dos以及分布式拒绝服务DDoS等

数据加密

	作用：解决数据的机密性、完整性、不可否认性以及身份识别等问题均需要以密码为基础

（一）传统加密方式

	1.替代加密：加密函数Ek（M）=（M+k）modq
						解密函数Ek（M） = （M - k）modq
	2.换位加密：

（二）对称密钥加密

	DES加密算法、三重DES、AES、IDEA加密算法

（三）非对称/公开密钥加密

	RSA算法、Diffic-Hellman算法

消息完整性与数字签名

（一）消息完整性检测方法

	特性：一般的散列函数具有算法公开、能够快速计算、对任意长度报文进行多对一映射均能产生定长输出、对于任意报文均无法预知其散列值、不同报文不能产生相同的散列值
	散列函数：MD5、SHA-1

（二）报文认证

	作用：证明报文确实来自声称的发送方；验证报文在传输过程中农没有被篡改；预防报文的时间，顺序被篡改；预防报文持有期被篡改；预防抵赖
	简单认证：缺点：没有达到对消息来源认证的目的
	报文认证码MAC：也没有达到对消息认证的目的

（三）数字签名

	满足的要求：接收方能够确认或证实发送方的签名，但不能伪造；发送方发出签名的消息给接收方后，就不能再否认他所签发的消息；接收方对已收到的签名消息不能否认，即有收报认证；第三者可以缺收发双方之间的消息传送，但不能伪造这一过程

身份认证

	是一个实体经过计算机网络向另一个实体证明其身份的过程

密钥分发中心与证书认证机构

（一）密钥分发中心

（二）证书认证机构

	作用：解决中间中间人攻击的问题，通常由CA认证中心完成的

防火墙与入侵检测系统

（一）防火墙基本概念

		隔离组织内部网络与公共互联网，允许某些分组通过，从而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合的一种设施

（二）防火墙分类

	无状态过滤器、有状态分组过滤器、应用网关

（三）入侵检测系统IDS

	作用：当观察到潜在的恶意流量时，能够产生警告的设备或系统，IDS不仅仅只能对TCP/IP首部进行操作，而且会进行深度抱检测，并检测多数据之间的相关性

网络安全协议

（一）安全电子邮件

	需求：机密性、完整性、身份认证性、抗抵赖性
	标准：PGP标准

（二）安全套接字层SSL

	是一种传输层的安全协议，HTTP协议使用SSL进行安全通信时，称为安全HTTP，简称HTTPS
	主要组成：发送方和接收方利用各自的证书、密钥证书、鉴别彼此、并交换共享密钥；密钥派生或密钥到处，发送方和接收方利用共享密钥派生出一组密钥；数据传输，将数据分割成一系列记录，然后加密；连接关闭，通过发哦是哪个特殊消息，安全关闭连接，不能留有漏洞被攻击方利用
	SSL协议栈，是介于TCP和HTTP等应用层协议之间的一个可选层
	握手过程：
	1.客户发送其支持的算法列表，以及客户一次随机数，服务器从算法列表中选择算法，并发给客户自己的选择、公钥证书和服务端一次随机数nonce
	2.客户验证证书，提取服务器公钥，生成预主密钥，并利用服务器的公钥加密预主密钥，发送给服务器，实现密钥的分发
	3.客户与服务器基于预主密钥和一次随机数，分别独立计算加密密钥和MAC密钥
	4.客户发送一个针对所有握手消息的MAC，并将此MAC发送给服务器
	5.服务器发送一个针对所有握手消息的MAC，并将此MAC发送给客户

（三）虚拟专用网VPN和IP安全

	VPN（虚拟专用网络）作用：实现远程用户、分支机构、业务伙伴等与机构总部网络的安全连接，从而构建针对特定组织机构的转换用网络
	涉猎技术隧道技术、数据加密、身份认证、密钥管理、访问控制和网络管理等

协议IPSec

	IPSec是网络层使用最广泛的安全协议

安全关联SA

	作为IPSec的通信实体，可以是主机或路由器，在发送数据之前，需要在发送实体和接收实体之间进行安全关联（SA）