网络安全基础

第一节网络安全概述

一、基本概念

网络安全通信所需要的基本属性：

1. 机密性

2. 消息完整性

3. 可访问与可用性

4. 身份认证

二、网络安全威胁

1. 窃听

2. 插入

3. 假冒

4. 劫持

5. 拒绝服务DoS和分布式拒绝服务DDoS

6. 映射

7. 嗅探

8. IP欺骗

第二节数据加密

数据加密

$\bullet$ 明文：未被加密的消息

$\bullet$ 密文：被加密的消息

$\bullet$ 加密：伪装消息以隐藏消息的过程，即明文 $\rightarrow$ 密文的过程.

$\bullet$ 解密：密文 $\rightarrow$ 明文的过程

一、传统加密方式

1. 替代密码：用密文字母替代明文字母。

移位密码加密函数：

$\color{red}{E_k(M)=(M+k)modq}$

$E$ ：加密过程

$M$ ：明文信息

$k$ ：密钥，表示移几位

$q$ ：如果是26个字母，那q就是26

解密函数：

$\color{red}{D_k(C)=(K-k)modq}$

$D$ ：解密过程

$C$ ：密文

$k$ ：密钥

2. 换位密码：根据一定规则重新排列明文。

【例题】如果对明文“bob.i love you. Alice"，利用k=3的凯撒密码加密，得到的密文是什么？利用密钥 "nice" 进行列置换加密后得到的密文是什么？

【答案】凯撒密码加密后得到的密文是：

"ere l oryh brx Dolfh"

列置换密码加密后得到的密文是：

iex bvu bly ooo"

【解析】凯撒密码：

以明文字母b为例，M=2（b的位置为2），k=3，q=26，则：

密文 $C=(M+k)modq=(2+3)mod26=5$ ，对应字母e，故b经过加密转为了e

将明文全部替换后得到的密文 "ere l oryh brx Dolfh"

列置换密码:

密钥 "nice" 字母表先后顺序为 "4，3，1，2" ，因此，按这个顺序读出表中字母，构成密文："iex bvu bly ooo"，（密钥有几位就有几列，如果明文不够就补x，然后按列读取）

二、对称密钥加密

1. 对称密钥密码：加密秘钥和解密秘钥相同（ $\color{blue}{密钥保密}$ ），例如用一个锁将箱子锁起来，这个锁有2把相同的钥匙，锁好之后把另一把钥匙派人送给他。

2. 对称密钥密码分类：

$\bullet$ 分组密码：DES、AES、IDEA等。（分组处理）

1） $\color{blue}{DES}$ （数据加密标准）：56位密钥，64位分组。（56位二进制数，每位的取值是0或1，则所有的取值就是 $2^{56}$ 个）

2） $\color{blue}{三重DES}$ ：使用两个秘钥（共112位），执行三次DES算法。(用1个密钥执行一次加密，再用另一个密钥执行一次解密，共执行三次)

3） $\color{blue}{AES}$ （高级加密算法）：分组128位,密钥128/192/256位。

4）IDEA：分组64位，密钥128位。

$\bullet$ 流密码（挨个处理）

三、非对称/公开密钥加密

1. 非对称密钥密码：加密密钥和解密密钥不同， $\color{blue}{密钥成对使用}$ ，其中一个用于加密，另一个用于解密。（私钥：持有人所有公钥：公开的）

2. 加密密钥可以公开，也称公开密钥加密。

3. 典型的公钥算法：

$\bullet$ Diffie-Hellman算法

$\bullet$ RSA算法

第三节消息完整与数字签名

一、消息完整性检测方法

密码散列函数

1. 特性：

$\bullet$ 定长输出；

$\bullet$ 单向性（无法根据散列值逆推报文）

$\bullet$ 抗碰撞性（无法找到具有相同散列值的两个报文）

2. 典型的散列函数

$\bullet$ MD5：128位散列值

$\bullet$ SHA-1：160位散列值

二、报文认证

报文认证是使消息的接收者能够检验收到的消息是否是真实的认证方法。来源真实，未被篡改。

1. 报文摘要（数字指纹）

2. 报文认证方法

$\bullet$ 简单报文验证：仅使用报文摘要，无法验证来源真实性

$\bullet$ 报文认证码：使用共享认证密匙，但无法防止接收方篡改

三、数字签名

身份认证、数据完整性、不可否认性

1. 简单数字签名：直接对报文签名

2. 签名报文摘要

第四节身份认证

1. 口令：会被窃听

2. 加密口令：可能遭受回放/重放攻击

加密的口令可能会被截获，虽然不知道口令是什么，但他将加密口令提交给服务器，说这是我加密的口令，这叫重放.

3. 加密一次性随机数：可能遭受中间人攻击

Alice发给Bob说她是Alice，但Bob说你要向我证明，Bob生成一个随机数发给Alice，让Alice用自己的私钥进行加密，加密后再把数据发给Bob，然后Bob再向Alice要公钥进行解密解出来的随机数如果和Bob发给Alice的随机数一样的话，那就说明她是Alice。

这种方法会被中间人攻击，Alice发送的私钥加密被Trudy更换为自己用私钥加密的数据然后发给Bob，公钥也被Trudy换了，最后Bob用公钥加密数据发给Alice，Trudy截获了，用自己的私钥进行解密，获得了数据。

第五节密匙分发中心与证书认证

密钥分发存在漏洞：主要在密钥的分发和对公钥的认证环节，这需要密匙分发中心与证书认证机构解决

一、密钥分发中心

双方通信时需要协商一个密钥，然后进行加密，每次通信都要协商一个密钥，防止密钥被人截获后重复使用，所以密钥每次都要更换，这就涉及到密钥分发问题。

基于KDC的秘钥生成和分发

通信发起方生成密钥，KDC进行分发

KDC生成并分发密钥

二、证书认证机构

认证中心CA：将公钥与特定的实体绑定

1. 证实一个实体的真实身份；

2. 为实体颁发数字证书（实体身份和公钥绑定）。

第六节防火墙与入侵检测系统

一、防火墙基本概念

防火墙：能够隔离组织内部网络与公共互联网，允许某些分组通过，而阻止其它分组进入或离开内部网络的软件、硬件或者软硬件结合的一种设施。

前提：从外部到内部和从内部到外部的所有流量都经过防火墙

二、防火墙分类

1. 无状态分组过滤器

基于特定规则对分组是通过还是丢弃进行决策，如使用 $\color{blue}{访问控制列表（ACL）}$ 实现防火墙规则。

2. 有状态分组过滤器

跟踪每个TCP连接建立、拆除，根据状态确定是否允许分组通过。

3. 应用网关

鉴别用户身份或针对授权用户开放特定服务。

三、入侵检测系统IDS

入侵检测系统（IDS）：当观察到潜在的恶意流量时，能够产生警告的设备或系统。

第七节网络安全协议

一、安全电子邮件

1. 电子邮件安全需求

1）机密性

2）完整性

3）身份认证性

4）抗抵赖性

2. 安全电子邮件标准： $\color{blue}{PGP}$

二、安全套接字层SSL

1. SSL是介于 $\color{blue}{应用层}$ 和 $\color{blue}{传输层}$ 之间的安全协议.

2. SSL协议栈

(传统的TCP协议是没有安全协议的，传输都是明文，所以在TCP上面设置SSL协议保证安全性)

3. SSL握手过程

协商密码组，生成秘钥，服务器/客户认证与鉴别。

三、虚拟专用网VPN和IP安全协议IPSec

1. VPN

建立在 $\color{blue}{公共网络}$ 上的安全通道，实现远程用户、分支机构、业务伙伴等与机构总部网络的安全连接，从而构建针对特定组织机构的专用网络。

关键技术： $\color{blue}{隧道技术}$ ，如IPSec。

2. 典型的网络层安全协议—— $\color{blue}{IPSec}$

提供机密性、身份鉴别、数据完整性和防重放攻击服务。

体系结构：认证头AH协议、封装安全载荷ESP协议。

运行模式：传输模式（AH传输模式、ESP传输模式）、隧道模式（AH隧道模式、ESP隧道模式）

小结：

本文主要介绍了网络安全基本概念、数据加密算法、消息完整性与数字签名、身份认证、密钥分发中心与证书认证机构、防火墙与入侵检测以及网络安全协议等内容。

$\color{blue}{重难点}$ 回顾：

1. 网络安全基本属性

2. 典型数据加密算法；

3. 消息完整性、数字前面以及身份认证原理。

禁止转载，如需转载请通过简信或评论联系作者。

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 204,530评论 6赞 478
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 86,403评论 2赞 381
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 151,120评论 0赞 337
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,770评论 1赞 277
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,758评论 5赞 367
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,649评论 1赞 281
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,021评论 3赞 398
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,675评论 0赞 258
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 40,931评论 1赞 299
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,659评论 2赞 321
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,751评论 1赞 330
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,410评论 4赞 321
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,004评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,969评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,203评论 1赞 260
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,042评论 2赞 350
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,493评论 2赞 343