第一节:网络安全概述
一、基本概念
基本属性:
1、机密性
2、信息完整性
3、可访问与可用性
4、身份认证
网络安全基础
1、窃听
2、插入
3、假冒
4、劫持
5、拒绝服务DOS和分布式拒绝服务DDOS
6、映射
7、嗅探
8、IP欺骗
第二节:数据加密
一、传统加密方式
1、替代密码:用密文字母代替明文字母
2、换位密码:根据一定规则重新排列明文
二、对称密钥加密——加密密钥和解密密钥相同(密钥保密)
分组密码:DES,AES,IDEA等
DES:56位密钥,64位分组
三重DES:使用两个密钥(112位),执行三次DES算法
AES:分组128位,密钥128/192/256位
IDEA:分组64位,密钥128位
流密码——挨个处理
三、非对称/公开密钥加密——加密密钥和解密密钥不同
加密密钥可以公开,称为公钥。解密密钥不公开,称为私钥
Diffie-Hellman算法
RSA算法
第三节:信息完整性与数字签名
一、信息完整性检测方法
散列函数:
1、特性:定长输出、单向计算、抗碰撞——无法找到相同散列值的两个报文
2、典型散列函数:MD5——128位散列值 SHA-1:160位散列值
二、报文认证
使消息接收者能够检验消息的真实性。来源真实、未被篡改。
1、报文摘要(数字指纹)
2、报文认证方法
简单报文验证:报文摘要,无法验证来源真实性
报文认证,使用共享认证密钥,无法防止篡改
三、数字签名
特点:身份认证、数据完整性、不可否认性
1、简单数字签名:直接对报文签名
2、签名报文摘要
第四节:身份认证
口令:会被窃听
加密口令:可能遭到回放攻击
加密一次性随机数:可能遭到中间人攻击
第五节:密钥分发中心与证书认证机构
一、密钥分发中心
基于KDC的密钥生成和分发
二、证书认证机构
认证中心CA:将公钥与特定实体绑定
1、证实一个实体的真实身份
2、位实体颁发数字证书
第六节:防火墙与入侵检测系统
一、防火墙基本概念
隔离外部网络和内部网络,允许某些分组通过,阻止其他分组进入或者离开
二、防火墙分类
1、无状态分组过滤器
通过特定规制,使用访问控制列表(ACL)实现
2、有状态分组过滤器
跟踪每个TCP连接状态,确定是否允许分组通过
3、应用网关
鉴别用户身份或针对授权用户开放特定服务
三、入侵检测系统IDS
观察到潜在恶意流量时,能产生警告的设备或系统
第七节:网络安全协议
一、安全电子邮件
电子邮件安全需求:机密性、完整性、身份认证、抗抵赖性
安全电子邮件标准PGP
二、安全套接字层SSl
1、SSL是介于应用层和传输层之间的安全协议
2、SSL协议栈
3、SSL握手过程——协商密码组,生成密码,服务器/客户认证与鉴别
三、虚拟专用网VPN和IP安全协议IPSec
1、VPN建立公共网络上的安全通道,采用隧道技术(IPSec)
2、典型网络层安全协议——IPSec
提供机密性、身份鉴别、数据完整性验证和防回放攻击服务
体系结构:认证AH协议、封装安全载荷ESP协议
运行模式:传输模式(AH、ESP)、隧道模式(AH、ESP)
