六、网络安全
什么是网络安全
机密性:只有发送方和预定的接受方能否理解传输的报文内容
- 发送方加密报文
- 接收方解密报文
认证:发送方和接收方需要确认对方的身份
报文完整性:发送方、接收方需要确认报文在传输过程中或者事后没有被改变
访问控制和服务的可用性:服务可以接入以及对用户而言是可用的
网络中的坏蛋
加密原理
对称密钥密码学:发送方和接收方的密码相同
公开密钥密码学:发送方使用接收方的公钥进行加密,接收方使用自己的私钥进行解密
对称密钥加密
替换密码:将一个事情换成另外一个事情
- 单码替换密码:将一个字母换程另外一个字母
对称密钥密码:Bob和Alice共享一个对称式的密钥(K a - b)
DES(Data Encryption Standard)
DES operation
初始替换
16轮一样的函数应用 ,每一轮使用的不同的48bit密钥
最终替换
AES:Advanced Encryption Standard
块密码
密码块链
公开密钥加密
公开密钥加密算法
RSA:选择密钥
加密,解密
数学原理
另一个重要特性
解密几种类型
认证
ap1.0
ap2.0
ap3.0
ap3.1
ap4.0
目标:避免重放攻击
Nonce:一生只用一次的整数(R)
ap4.0需要一个共享的对称式密钥,密钥的安全传输也是需要代价的
ap5.0
安全漏洞
报文完整性
数字签名
报文摘要
散列函数H计算出来的H(m)就叫报文摘要
Internet校验和:弱的散列函数
散列函数算法
数字签名 = 对报文摘要进行数字签署
密钥分发和证书
可信赖中介
Key Distribution Center(KDC)
Certification Authorities
证书包括
信任树
各个层次的安全性
安全电子邮件
Pretty Good Privacy(PGP)
Secure Sockets Layer(SSL)
三阶段
IPsec:网络层次的安全性
Authentication Header(AH)协议
ESP协议
升级了AH协议
IEEE 802.11 WEP(Wired Equivalent Privacy) encryption
链路层安全协议,在无线主机和AP之间的
防火墙
将组织内部网络和互联网络隔离开来,按照规则允许某些分组通过(进出),或者阻塞掉某些分组
为什么需要
阻止拒绝服务器攻击例子:DOS(Denial Of Serveice)攻击和DDOS(Distributed + DOS,分布式DOS)攻击
分组过滤
无状态
例子
Access Control Lists
有状态
应用程序网关(gateway)
防火墙和应用程序网关的局限性
IDS:入侵检测系统
Internet安全威胁
映射
映射:对策
分组嗅探
分组嗅探:对策
IP Spoofing欺骗
IP Spoofing:对策
入口过滤
Denial Of Service(DOS)
Denial Of Service:对策
Distributed Denial Of Service
分布式DOS攻击,比DOS更难防范