网络安全概论

笔者最近在复习选修的一门信息网络安全的课程，该课程上课PPT乃是纯英文，实在难以开读，转头求索，又无处可得。于是考前深夜阅读计算机网络的网络安全一章，希翼能有所收获。

• 计算机网络上的通信面临两大类的威胁：一则为被动攻击（诸如截获），一则为主动攻击(诸如中断，纂改，伪造）。主动攻击的类型有更改报文流，拒绝服务，伪造初始化，恶意程序等。
• 计算机网络安全主要包括以下内容：机密性，端点鉴别，信息的完整性，运行的安全性和访问控制。
• 如果不论被截获到了多少密文，都无法唯一的确定出对应明文，那么就称该密码体质为理论上安全的（实则几乎不可能）。如果在一段时间内，不能被可使用的计算机资源所破解，则称该密码体系在计算上是安全的。
• 两种密码体系：对称密钥密码体制，公钥密码体制。
•  对称密钥密码体制（传统加密体制）：加密密钥和解密密钥相同的密码体制。（如数据加密标准DES，高级加密标准AES）。该类算法仅取决于密钥的保密，而对于算法是完全公开的。
• 公钥密码体制使用不同的加密和解密密钥。公钥（加密密钥）是公开的，私钥（解密密钥则需要保密。同样，二者的算法是完全公开的
• 最著名的公钥密码体制：RSA体制。基于数论中的大数分解问题。
• 任何加密算法的安全性取决于密钥的长度，以及攻破密文所需要的计算量
• 数字签名必须实现：1.报文鉴别：接受者必须能够判定此签名为发送者的签名。2.报文的完整性：接受者能够判定报文与发送时一致，未经中途篡改。3.不可否认：发送者事后不能否认自己对报文的签名。
• 为什么要鉴别：确定对方确为自己欲通信的对象，而非他人冒充
• 报文摘要：最开始是MD，后来用SHA-1，现在使用SHA-2和SHA-3
• 密钥管理：密钥的产生，分配，注入，验证，使用。密钥必须通过安全的路径分配，密钥分配中心KDC是一种方式
• 认证中心CA是签发数字证书的实体（第三方），CA将公钥和对应实体绑定并写入证书，并进行数字签名，任何人都可以获取可信的CA来验证数字证书的真伪
• PGP是一个完整的电子邮件安全软件包。包括加密，鉴别，电子签名，压缩等技术。其是之前介绍技术的综合。
• 防火墙是一个特殊编程的路由器，位于一个网点和其余网络之间部分，实施访问控制。防火墙内部为可信网络，外部为不可信的网络。
• 网络级防火墙：用来防止整个网络出现外来非法入侵
• 应用级防火墙：用来进行访问控制
• 入侵检测系统IDS是在入侵已经开始，但是还未造成危害或者未造成更大危害前及时检测到入侵，以便尽快阻止入侵，将危害降到最小

问题及答案：

计算机网络面临四种威胁：截获，中断，篡改，伪造

这四类威胁又可分为两大类：被动攻击和主动攻击。

主动攻击：攻击者对某个连接中通过的PDU进行各种处理，共有三类：更改报文流，拒绝报文服务，伪造连接初始化。
被动攻击：仅观察分析PDU而不干扰
附加一类主动攻击：恶意程序