计算机网络原理【八】之 网络安全基础
感谢内容提供者:金牛区吴迪软件开发工作室
接上一篇:计算机网络原理【七】之 无线与移动网络
文章目录
- 一、网络安全概述
- 1.基本概念
- 2.典型的网络安全威胁
- 二、数据加密
- 1.通信加密模型
- 2.传统加密方式
- a.替代密码:凯撒密码
- b.换位密码:列置换密码
- 3.对称密钥加密
- a.分组密码(块密码)
- 1)DES加密算法(Data Encryption Standard, 数据加密标准)
- 2)AES加密算法(Advanced Encryption Standard,高级加密标准)
- 3)IDEA加密算法(International Data Encryption Algorithm,国际数据加密算法)
- b.流密码(序列密码)
- 4.非对称/公开密钥加密
- a.基本介绍
- b.非对称密钥加密(公开密钥加密)加密过程
- 三、消息完整性与数字签名
- 1.消息完整性(报文认证)的目标
- 2.消息完整性检测方法
- a.散列函数
- b.散列函数的特性
- c.消息完整性检测方法:用散列函数,对报文m进行散列化
- 3.报文认证
- a.报文认证的概念:
- b.报文认证术语
- c.报文认证的方式一:简单报文验证
- d.报文认证的方式二:报文认证码MAC(Message Authentication Code)
- 4.数字签名
- a.数字签名概念
- b.数字签名应满足
- c.数字签名的方式一:简单数字签名
- d.数字签名的方式二:签名报文摘要
- 四、身份认证(身份鉴别)
- 1.基于共享对称密钥的身份认证
- 2.基于公开秘钥的身份认证
- 五、密钥分发中心与证书认证机构
- 1.密钥分发中心
- 2.证书认证机构
- 六、防火墙与入侵检测系统
- 1.防火墙基本概念
- 2.防火墙分类
- 3.入侵监测系统(IDS,Intrusion Detection System)
- 七、网络安全协议
- 1.安全电子邮件(应用层解决安全性的实例协议)
- a.电子邮件对网络安全的需求
- b.安全电子邮件标准:PGP标准(Pretty Good Privacy)
- 2.安全套接字层SSL(传输层解决安全性的实例协议)
- a. SSL可以提供的服务
- b.SSL协议栈(协议的总和)
- ①SSL握手协议
- ②SSL更改密码协议
- ③SSL警告协议:
- ④SSL记录协议
- 3.虚拟专用网VPN和IP安全协议IPSec(网络层解决安全性的实例协议)
- a.虚拟专用网VPN(Virtual Private Network)
- b.VPN涉及的关键技术
- c.隧道
- d.IPSec体系简介
- e.IPSec传输模式
- f.传输模式和协议组合
一、网络安全概述
1.基本概念
网络安全通信的基本属性:
- 机密性:只有发送方和接收方能理解报文内容。
- 消息完整性:消息未被篡改,发生篡改一定会被检测到。
- 可访问与可用性:对授权用户提供有效服务。
- 身份认证:双方确认彼此的真实身份。
2.典型的网络安全威胁
- 报文传输:传输过程面临窃听、插入、假冒、劫持等安全威胁。
- 拒绝服务DoS(Denial of Service)、分布式拒绝服务DDoS。
- 映射:先探路,再攻击。
- 分组“嗅探”:Wireshark是一个典型的分组嗅探软件。
- IP欺骗
拓展:
二、数据加密
1.通信加密模型
2.传统加密方式
a.替代密码:凯撒密码
b.换位密码:列置换密码
根据一定规则重新排列明文,以便打破明文的结构特性。只改变明文结构,不改变内容。
例:假设采用密钥K=nice的列置换密码,对明文“bob i love you”进行加密,加密
得到的密文是什么?
密文:bvu iex ooo bly
4 | 3 | 1 | 2 |
---|---|---|---|
b | o | b | i |
l | o | v | e |
y | o | u | x |
最后的x是题目要求的占位符
3.对称密钥加密
对称密钥加密:加密密钥和解密密钥是相同的。
a.分组密码(块密码)
1)DES加密算法(Data Encryption Standard, 数据加密标准)
加密:明文分为64位分组,使用56位的秘钥,进行16轮加密。
三重DES:使用俩个秘钥,执行三次DES算法,秘钥长度达到112位。
2)AES加密算法(Advanced Encryption Standard,高级加密标准)
AES秘钥长度:128/192/256位
AES加密算法的特点:
1.分组长度和秘钥长度均可变
2.循环次数允许在一定范围内根据安全要求进行修正
3.安全、效率、易用、灵活
4.抗线性攻击和抗差分攻击的能力大大增强
5.如果1秒暴力破解DES,则需要149万亿年破解AES
3)IDEA加密算法(International Data Encryption Algorithm,国际数据加密算法)
密钥长度:128位
b.流密码(序列密码)
用很多个密钥给明文加密
4.非对称/公开密钥加密
a.基本介绍
非对称 密钥加密(公开密钥加密):加密密钥和解密密钥是不同的。
通信双方都有俩个密钥:
1.公钥:任何人都可以得到
2.私钥:只有自己知道
b.非对称密钥加密(公开密钥加密)加密过程
典型的公开秘钥加密算法:Diffie-Hellman算法和RSA算法。
Diffie-Hellman算法:基于数学中素数原根理论。
RSA算法:基于数论设计,安全性建立在大数分解的难度上。- 应用比较广泛,安全性高。
三、消息完整性与数字签名
1.消息完整性(报文认证)的目标
- 证明报文确实来自声称的发送方;
- 验证报文在传输过程中没有被篡改;
- 预防报文的时间、顺序被篡改;
- 预防报文持有期被篡改;
- 预防抵赖;
2.消息完整性检测方法
a.散列函数
典型的散列函数:
- MD5(Message-Digest Algorithm 5):128位散列值。
- SHA-1:160位散列值。
SHA-1是典型的用于创建数字签名的单向散列算法。
b.散列函数的特性
- 散列函数算法公开
- 快速计算
- 对任意长度报文进行散列产生定长输出
- 对于任意报文无法预知其散列值
- 不同报文不产生相同的散列值
- 单向性
c.消息完整性检测方法:用散列函数,对报文m进行散列化
3.报文认证
a.报文认证的概念:
报文认证:消息的接收者能够检验收到的消息是否是真实的方法。
报文认证要完成消息源的认证和消息的认证。
b.报文认证术语
c.报文认证的方式一:简单报文验证
缺点:无法达到对 消息源 认证
d.报文认证的方式二:报文认证码MAC(Message Authentication Code)
缺点:无法保证消息在接收方没有被篡改。
4.数字签名
基于如下问题引出数字签名:
1.发送方不承认自己发送过某一报文
2.接收方自己伪造一份报文,并声称来自发送方
3.某个用户冒充另一个用户接收和发送报文
4.接收方对收到的信息进行篡改
a.数字签名概念
b.数字签名应满足
- 接收方能够确认发送方的签名,但不能伪造。
- 发送方发出签名的消息给接收方后,就不能再否认他所签发的消息。
- 接收方对已收到的签名消息不能否认,有收报认证。
- 第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
c.数字签名的方式一:简单数字签名
d.数字签名的方式二:签名报文摘要
四、身份认证(身份鉴别)
身份认证指一个实体经过计算机网络向另一个实体证明其身份的过程。
1.基于共享对称密钥的身份认证
为什么要使用一次性随机数R?
因为要避免重放攻击
2.基于公开秘钥的身份认证
五、密钥分发中心与证书认证机构
1.密钥分发中心
2.证书认证机构
认证中心(CA,Certification Authority)的作用:
- CA可以证实一个实体的真实身份。
- 一旦CA验证了某个实体的身份,CA会生成一个把其身份和实体的公钥绑定起来的证书,其中包含该实体的公钥及其全局唯一的身份识别信息等,并由CA对证书进行数字签名。
六、防火墙与入侵检测系统
1.防火墙基本概念
防火墙:隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合的一种设施。
2.防火墙分类
- 无状态分组过滤器: 典型部署在内部网络和网络边缘路由器上的防火墙。
路由器逐个检查数据报,根据访问控制表(Access Control Lists,ACL)实现防火墙规则。 - 有状态分组过滤器:跟踪每个TCP连接建立、拆除,根据状态确定是否允许分组通过。
- 应用网关:应用网关实现授权用户通过网关访问外部网络的服务。
3.入侵监测系统(IDS,Intrusion Detection System)
入侵检测系统是当观察到潜在的恶意流量时,能够产生警告的设备或系统。
七、网络安全协议
1.安全电子邮件(应用层解决安全性的实例协议)
a.电子邮件对网络安全的需求
- 机密性
- 完整性
- 身份认证性
- 抗抵赖性
b.安全电子邮件标准:PGP标准(Pretty Good Privacy)
PGP提供的服务:
1.邮件加密;报文完整性;数字签名;
2.加密算法:
①公钥加密算法(如RSA)
②对称加密算法(如3DES)
③散列算法(如SHA-1)
2.安全套接字层SSL(传输层解决安全性的实例协议)
Web浏览器会遇到各种各样的安全威胁:恶意程序等
方案一:在电子商务背景下,提出HTTP安全电子商务交易协议
方案二:在传输层之上构建一个安全层:安全套接字层(SSL,Secure Socket Layer)
a. SSL可以提供的服务
机密性、完整性、身份认证等安全服务。
b.SSL协议栈(协议的总和)
SSL是介于TCP和HTTP等应用层协议之间的一个可选层,大多数应用层协议直接建立在SSL协议之上,SSL是俩层协议。
①SSL握手协议
主要作用:
协商密码组和建立密码组;
服务器认证与鉴别和客户认证与鉴别;
②SSL更改密码协议
通信双方修改密码组
③SSL警告协议:
握手或者数据加密出错,为对等实体传递SSL警告或者终止当前连接。
包含俩个字段:警告级别和警告代码
④SSL记录协议
描述了信息交换过程中的消息格式,前面3个协议需要记录协议进行封装与传输。
3.虚拟专用网VPN和IP安全协议IPSec(网络层解决安全性的实例协议)
a.虚拟专用网VPN(Virtual Private Network)
- 建立在公共网络上的安全通道,是用户通过公共网络建立的临时的、安全的连接。实现远程用户、分支机构、业务伙伴等与机构总部网络的安全连接,从而构建针对特定组织机构的专用网络。
- 虚拟专用网最重要的特点:虚拟。
b.VPN涉及的关键技术
- 隧道技术【核心】
- 数据加密
- 身份认证
- 密钥管理
- 访问控制
- 网络管理
c.隧道
隧道:通过Internet提供的点对点的数据传输的安全通道。通过数据加密保证安全。数据进入隧道时,由VPN封装成IP数据报,通过隧道在Internet上传输;离开隧道后,进行解装,数据便不再受VPN保护。
d.IPSec体系简介
- IPSec是网络层使用最广泛的安全协议,是一个安全体系。
- 主要包括:
- 封装安全载荷协议(ESP):提供源认证和鉴别、数据完整性检验和机密性检验。
- 认证头(AH)协议:提供源认证和鉴别、数据完整性检验。
- 安全关联(SA):发送方实体和接收方实体关联起来。
- 密钥交换与管理(IKE):协商建立安全关联和交换密钥的方式。
e.IPSec传输模式
- 传输模式:IPSec数据报的发送和接收都由端系统完成。
- 隧道模式:将IPSec的功能部署在网络边缘的路由器上,路由器之间建立安全隧道,数据报在其中封装传输。
f.传输模式和协议组合
- 传输模式AH
- 隧道模式AH
- 传输模式ESP
- 隧道模式ESP:最广泛和最重要的IPSec形式。
~ You’re terrific! The End ~
计算机网络原理【八】之 网络安全基础相关推荐
- 【前端基础】1.计算机网络原理
重点掌握TCP/IP体系结构,理解自顶而下的计算机网络的分层设计思路 视频链接 一,计算机网络概述 1.1 计算机网络基本概念 1.定义:计算机网络是互联的,自治的计算机的集合. 2.协议(规定或约定 ...
- 《计算机网络原理》问答
网络概述 问:协议三要素是什么 语法:实体间交换信息的格式 语义:实体间交换信息需要哪些控制信息 时序:交换信息的顺序,以及彼此要适配的发送接收速度 问:报文交换和分组交换及电路交换有什么区别?各有什 ...
- 基于探究式教学法的计算机网络原理课程的教学改革与实践,基于探究式教学法的“计算机网络原理”课程的教学改革与实践分析...
基于探究式教学法的 "计算机网络原理"课程的教学改革与实践分析 张敏莉 摘要":计算机网络原理"课程教学的目标是让学生学习和掌握计算机网络的基本概念.原理.方法 ...
- 「IT基础」计算机网络原理课程及其作用
计算机网络原理课程及其作用 作者前言 由于网络的迅速发展,网络安全问题变成了大众重视的一部分,网络安全门槛较高这就导致现在渗透测试行业人员缺口较大.需求较高.如果想入门这一行业不具备基本的技术水平是不 ...
- 计算机网络原理系列学习笔记(七)——网络安全
前言 网课学习的视频来源:b站<自考04741 计算机网络原理> 本章知识结构 网络安全概述 数据加密 消息完整性与数字签名 身份认证 密钥分发中心与证书认证 防火墙与入侵检测系统 网络安 ...
- 2017中石计算机网络基础试题答案,石大远程2017春计算机网络原理(含模拟实验)作业三...
中石油北京2017春 <计算机网络原理(含模拟实验)>第三次在线作业 . l0 i9 t$ `! G$ e' z1 以下属于网络层协议的是$ X! X. |: C4 K$ _" ...
- 自考那些事儿(八):计算机网络原理(原理篇)之网络各层
[前言] 试虽然考完了,但是对这门学科的学习却没有结束,考完后再来看感觉却更好. 在上篇博文-<自考那些事儿:计算机网络原理(总述篇)>对整本书进行宏观的讲解,本篇博文则详细讲解其中的最为 ...
- 计算机网络8832,2021年4月份自学考试计算机网络原理04741答案.doc
注:此试卷只有部分答案,为本人所做,假如错误,敬请原谅. 绝密★考试结束前 全国 4月高等教育自学考试 计算机网络原理试题 课程代码:04741 请考生按要求用笔将全部试题答案涂.写在答题纸上. 选择 ...
- springboot《计算机网络原理》课程试题库管理系统开发 毕业设计-附源码271129
Springboot<计算机网络原理>课程试题库管理系统 摘 要 信息化社会内需要与之针对性的信息获取途径,但是途径的扩展基本上为人们所努力的方向,由于站在的角度存在偏差,人们经常能够获得 ...
最新文章
- 写给大忙人看的死锁详解
- CDays–2 完成核心功能 CMD模块 Python基础教程 cmd cli
- MyBatis 实际使用案例-typeHandlers【重点】
- 查看openssh版本_OpenSSH命令注入漏洞复现(CVE202015778)
- 27 Server Sockets
- Sharepoint 自定义搜索
- 每天一个linux命令(10):more命令
- 老外挑战360加固--实战分析(很详细)
- Python GUI | 利用Tkinter制作签名设计软件!
- 我选择了IT,我会用最大的热诚进军IT大技术!
- 二维特征分类的基础_用特征提取技术降低数据集维度,你学会了吗?
- WIFI关键器件选型
- oracle通过imp导出数据库时提示:这些对象由***导出,而不是当前用户解决方法
- 风再起时?风继续吹........
- Android 模拟器一键获取root权限 一键安装Google play 服务
- 17个设计灵感创意网站
- 关于Android滑动scroll,弹性滑动以及VelocityTracker
- 电脑怎么把flac转换为mp3?
- python指定时间倒计时软件_python倒计时
- C语言课程设计:图书信息管理系统