《计算机网络——自顶向下方法》学习笔记——计算机网络安全

计算机网络安全

什么是网络安全

安全通信具有下列所需要的特性。

• 机密性。
  仅有发送方和希望的接收方能够理解传输报文的内容。
  要求报文在一定程度上进行加密，使截取的报文无法被截获者所理解。
• 报文完整性。
  确保其通信的内容在传输过程中未被改变——或者恶意篡改或者意外改动。
• 端点鉴别。
  发送方和接收方都应该能证实通信过程所涉及的另一方，以确信通信的另一个确实具有其所声称的身份。
• 运行安全性。
  几乎所有的机构（公司、大学等）都有了与公共因特网相连接的网络。这些网络都因此潜在地能够被危及安全。
  防火墙位于机构网络和公共网络之间，控制接入和来自网络的分组。
  入侵检测系统执行“深度分组检查”任务，向网络管理员发出有关可疑活动的警告。

入侵者能够潜在地执行下列行为：

• 窃听——监听并记录信道上传输的控制报文和数据报文。
• 修改，插入或删除报文或报文内容。

密码学的原则

密码技术使得发送方可以伪装数据，使入侵者不能从截取到的数据中获得任何信息。
当然，接收方必须能够从伪装的数据中恢复出初始数据。

报文的最初形式被称为明文。
使用加密算法加密明文报文，生成的加密报文被称为密文，该密文对任何入侵 看起来是不可懂的。

上图中，Alice提供了一个密钥（key）$K_A$，它是一串数字或字符，作为加密算法的输入。
加密算法以密钥和明文报文 m 为输入，生成的密文作为输出。
用符号$K_A(m)$表示（使用密钥$K_A$加密的）明文报文 m 的密文形式。
使用密钥$K_A$的诗句加密算法显然与上下文有关。

Bob将为解密算法提供密钥$K_B$，将密文和Bob的密钥作为输入，输出初始明文。
如果Bob接收到一个加密的报文$K_A(m)$，可通过计算 $K_B(K_A(m))=m$进行解密。

在对称密钥系统中，Alice和Bob的密钥是相同的并且是秘密的。
在公开密钥系统（也称为公钥系统）中，使用一对密钥：一个密钥为Bob和Alice俩人所知（实际上为全世界所知），，另一个密钥只有Bob和Alice知道（而不是双方都知道）。

对称密钥密码体制

凯撒密码，一种加密数据的方法。

凯撒密码用于英语文本时，将明文报文中的每个字母表中该字母后第 k 个字母进行替换（允许回绕，即把字母 “a ”排在字母 “z”之后）。

凯撒密码的一种改进方法是但码代替密码，也是使用字母表中的一个字母替换该字母表中的另一个字母。
然而，并非按照规则的模式进行替换，只要每个字母都有一个唯一的替换字母，任一字母都可用另一字母替换，反之亦然。

破解加密方案，可以根据入侵者所拥有的信息分为三种不同的情况。

• 唯密文攻击。
• 已知明文攻击。
• 选择明文攻击。
  入侵者能够选择某一明文报文并得到该明文报文对应的密文形式。

多码代替密码，这种技术是对单码代替密码的改进。
基本思想：使用多个单码代替密码，一个单码代替密码用于加密某明文报文中一个特定位置的字母。

1. 块密码
对称加密技术有两种宽泛的类型：流密码和块密码。

块密码，用在多种因特网协议的加密中，包括PGP（用于安全电子邮件）、SSL（用于使TCP连接更安全）和 IPsec（用于使网络层传输更安全）。

在块密码中，要加密的报文处理为k比特的块。
为了加密一个块，该密码采用了一对一映射，将 k 比特块的