计算机网络——网络安全基础

一、网络安全概述

数据加密
- 明文：未加密的消息
- 密文：被加密的消息
- 伪装消息以隐藏消息的过程，即明文转变为密文的过程
- 解密：密文转变为明文的过程
传统加密方式
- 替代密码：用密文字母代替明文字母。移位密码加密函数：
  E_k(M)=(M+k)mod q
- 解密函数：
  D_k(C)=(K+k)mod q
- 换位密码：根据一定的规则重新排列明文
- q：字母表长度， k：移动位数，M：明文所处位置。
现代密码分类
- 对称密钥加密：加密密钥和解密密钥相同（密钥保密）
- 非对称密钥加密：加密密钥和解密密钥不同（公钥和私钥）
对称密钥密码分类：
- 分组密码：DES、AES、IDEA等
  - DES：56位密钥，54位分组
  - 三重DES：使用两个密钥（共112位），执行三次DES算法
  - AES：分组128位，密匙128/192/256位
  - IDEA：分组64位，密钥128位
- 流密码
非对称/公开密钥加密
- 密钥成对使用，其中一个用于加密，另一个用于解密，且加密密钥可以公开，也称公开密钥加密。
- 典型的公钥算法：Diffe-Hellman算法、RSA算法

消息完整性检测方法
- 密码散列函数
  - 特性：定向输出、单向性（无法根据散列值逆推报文）、抗碰撞性（无法找到具有相同散列值的两个报文）
  - 典型散列函数：MD5:128位散列值，SHA-1:160位散列值
报文认证
- 报文认证是使消息的接收者能够检验收到的消息是否是真是的认证方法。来源真是、未被篡改。
- 报文摘要（数字指纹）
- 报文认证方法：
  - 简报报文验证：仅使用报文摘要，无法验证来源真实性
  - 报文认证码：使用共享认证密匙，但无法防止接收方篡改
数字签名
- 身份认证、数据完整性、不可否认性
- 简单数字签名：直接对报文签名
- 签名报文摘要

防火墙的基本概念
- 防火墙：能够隔离组织内部网络与公共互联网，允许某些分组通过，而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合的一种措施。
- 前提：从外部到内部和从内部到外部的所有流量都经过防火墙
防火墙分类
- 无状态分组过滤器：基于特定的规则对分组是通过还是丢弃进行决策。使用访问控制列表（ACL）实现防火墙规则。
- 有状态分组过滤器：跟踪每个TCP建立连接、拆除，根据状态确定是否允许分组通过。
- 应用网关：鉴别用户身份或针对授权用户开放特定服务。
入侵检测系统IDS
- 入侵检测系统（IDS）是当观察到潜在的恶意流量时，能够产生警告的设备或系统。