网络安全基础

第一节 网络安全概述

一、根本概念

网络安全通讯所需要的根本属性：

• 机密性
  
• 消息完整性
  
• 可访问与可用性
  
• 身份认证
  

二、网络安全威胁

• 窃听
  
• 插入
  
• 假冒
  
• 劫持
  
• 拒绝服务DoS和分布式拒绝服务DDoS
  
• 映射
  
• 嗅探
  
• IP欺骗
   
  

---

第二节 数据加密

数据加密

• 明文：未被加密的消息
  
• 密文：被加密的消息
  
• 加密：伪装消息以隐藏消息的过程，即明文\rightarrow→ 密文的过程.
  
• 解密：密文\rightarrow→明文的过程
  

一、传统加密方式

• 替代暗码：用密文字母替代明文字母。
  移位暗码加密函数：
  \color{red}{E_k(M)=(M+k)modq}Ek​(M)=(M+k)modq
  EE：加密过程
  MM：明文信息
  kk ：密钥，表现移几位
  qq：假如是26个字母，那q就是26
  解密函数：
  \color{red}{D_k(C)=(K-k)modq}Dk​(C)=(K−k)modq
  DD：解密过程
  CC：密文
  kk：密钥
  
• 换位暗码：根据一定规则重新排列明文。
  【例题】假如对明文“bob.i love you. Alice"，利用k=3的凯撒暗码加密，得到的密文是什么？利用密钥 “nice” 进行列置换加密后得到的密文是什么？
  【答案】
  凯撒暗码加密后得到的密文是：
  “ere l oryh brx Dolfh”
  列置换暗码加密后得到的密文是：
  “iex bvu bly ooo”
  【解析】凯撒暗码：
  以明文字母b为例，M=2（b的位置为2），k=3，q=26，则：
  密文C=(M+k)modq=(2+3)mod26=5C=(M+k)modq=(2+3)mod26=5，对应字母e，故b经过加密转为了e
  
  
  
  将明文全部替换后得到的密文 “ere l oryh brx Dolfh”
  列置换暗码:
  密钥 “nice” 字母表先后顺序为 “4，3，1，2” ，因此，按这个顺序读出表中字母，构成密文：“iex bvu bly ooo”，（密钥有几位就有几列，假如明文不敷就补x，然后按列读取）
  
  
  

二、对称密钥加密

• 对称密钥暗码：加密秘钥和解密秘钥雷同（\color{blue}{密钥保密}密钥保密），比方用一个锁将箱子锁起来，这个锁有2把雷同的钥匙，锁好之后把另一把钥匙派人送给他。
  
• 对称密钥暗码分类：
  
  
  
  • 分组暗码：DES、AES、IDEA等。（分组处理惩罚）
    1）\color{blue}{DES}DES（数据加密标准）：56位密钥，64位分组。（56位二进制数，每位的取值是0或1，则所有的取值就是2^{56}个）
    2）\color{blue}{三重DES}三重DES：利用两个秘钥（共112位），执行三次DES算法。(用1个密钥执行一次加密，再用另一个密钥执行一次解密，共执行三次)
    3）\color{blue}{AES}AES（高级加密算法）：分组128位,密钥128/192/256位。
    4）IDEA：分组64位，密钥128位。
    
  • 流暗码（挨个处理惩罚）
    
  
  

三、非对称/公开密钥加密

• 非对称密钥暗码：加密密钥和解密密钥不同，\color{blue}{密钥成对利用}密钥成对利用，此中一个用于加密，另一个用于解密。（私钥：持有人所有 公钥：公开的）
  
• 加密密钥可以公开，也称公开密钥加密。
  
• 典范的公钥算法：
  
  
  
  • Diffie-Hellman算法
    
  • RSA算法
    
    
     
    
  
  

---

第三节 消息完整与数字签名

一、消息完整性检测方法

暗码散列函数

• 特性：
  
  
  
  • 定长输出；
    
  • 单向性（无法根据散列值逆推报文）
    
  • 抗碰撞性（无法找到具有雷同散列值的两个报文）
    
  
  
• 典范的散列函数
  
  
  
  • MD5：128位散列值
    
  • SHA-1：160位散列值
    
  
  

二、报文认证

报文认证是使消息的接收者可以或许检验收到的消息是否是真实的认证方法。来源真实，未被篡改。

• 报文摘要（数字指纹）
  
• 报文认证方法
  
  
  
  • 简朴报文验证：仅利用报文摘要，无法验证来源真实性
    
  • 报文认证码：利用共享认证密匙，但无法防止接收方篡改
    
  
  

三、数字签名

身份认证、数据完整性、不可否认性

• 简朴数字签名：直接对报文签名
  
• 签名报文摘要
  
   
  

---

第四节 身份认证

• 口令：会被窃听
  
• 加密口令：大概遭受回放/重放攻击
  加密的口令大概会被截获，固然不知道口令是什么，但他将加密口令提交给服务器，说这是我加密的口令，这叫重放.
  
• 加密一次性随机数：大概遭受中心人攻击
  

    Alice发给Bob说她是Alice，但Bob说你要向我证实，Bob天生一个随机数发给Alice，让Alice用自己的私钥进行加密，加密后再把数据发给Bob，然后Bob再向Alice要公钥进行解密解出来的随机数假如和Bob发给Alice的随机数一样的话，那就分析她是Alice。
    这种方法会被中心人攻击，Alice发送的私钥加密被Trudy更换为自己用私钥加密的数据然后发给Bob，公钥也被Trudy换了，最后Bob用公钥加密数据发给Alice，Trudy截获了，用自己的私钥进行解密，获得了数据。
 

---

第五节 密匙分发中心与证书认证

密钥分发存在漏洞：主要在密钥的分发和对公钥的认证环节，这需要密匙分发中心与证书认证机构解决
一、密钥分发中心

两边通讯时需要协商一个密钥，然后进行加密，每次通讯都要协商一个密钥，防止密钥被人截获后重复利用，所以密钥每次都要更换，这就涉及到密钥分发问题。
基于KDC的秘钥天生和分发

• 通讯发起方天生密钥，KDC进行分发
  
  
  
  
• KDC天生并分发密钥
  
  
  
  

二、证书认证机构

认证中心CA：将公钥与特定的实体绑定

• 证实一个实体的真实身份；
  
• 为实体颁发数字证书（实体身份和公钥绑定）。
  
   
  

---

第六节 防火墙与入侵检测体系

一、防火墙根本概念

防火墙：可以或许隔离构造内部网络与公共互联网，允许某些分组通过，而阻止其它分组进入或离开内部网络的软件、硬件或者软硬件结合的一种设施。
前提：从外部到内部和从内部到外部的所有流量都经过防火墙

二、防火墙分类

• 无状态分组过滤器
  基于特定规则对分组是通过还是抛弃进行决议，如利用\color{blue}{访问控制列表（ACL）}访问控制列表（ACL）实现防火墙规则。
  
• 有状态分组过滤器
  跟踪每个TCP毗连建立、拆除，根据状态确定是否允许分组通过。
  
• 应用网关
  辨别用户身份或针对授权用户开放特定服务。
  

三、入侵检测体系IDS

入侵检测体系（IDS）：当观察到潜在的恶意流量时，可以或许产生警告的设备或体系。

 

---

第七节 网络安全协议

一、安全电子邮件

• 电子邮件安全需求
  1）机密性
  2）完整性
  3）身份认证性
  4）抗诡辩性
  
• 安全电子邮件标准：\color{blue}{PGP}PGP
  

二、安全套接字层SSL

• SSL是介于\color{blue}{应用层}应用层和\color{blue}{传输层}传输层之间的安全协议.
  
• SSL协议栈
  (传统的TCP协议是没有安全协议的，传输都是明文，所以在TCP上面设置SSL协议保证安全性)
  
  
  
  
• SSL握手过程
  协商暗码组，天生秘钥，服务器/客户认证与辨别。
  

三、虚拟专用网VPN和IP安全协议IPSec

• VPN
  建立在\color{blue}{公共网络}公共网络上的安全通道，实现远程用户、分支机构、业务伙伴等与机构总部网络的安全毗连，从而构建针对特定构造机构的专用网络。
  关键技能：\color{blue}{隧道技能}隧道技能，如IPSec。
  
• 典范的网络层安全协议——\color{blue}{IPSec}IPSec
  提供机密性、身份辨别、数据完整性和防重放攻击服务。
  体系布局：认证头AH协议、封装安全载荷ESP协议。
  运行模式：传输模式（AH传输模式、ESP传输模式）、隧道模式（AH隧道模式、ESP隧道模式）
  

---

小结：

本文主要介绍了网络安全根本概念、数据加密算法、消息完整性与数字签名、身份认证、密钥分发中心与证书认证机构、防火墙与入侵检测以及网络安全协议等内容。
\color{blue}{重难点}重难点回首：

• 网络安全根本属性
  
• 典范数据加密算法；
  
• 消息完整性、数字前面以及身份认证原理。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。