第一節:網絡安全概述
一、基本概念
基本屬性:
1、機密性
2、信息完整性
3、可訪問與可用性
4、身份認證
網絡安全基礎
1、竊聽
2、插入
3、假冒
4、劫持
5、拒絕服務DOS和分佈式拒絕服務DDOS
6、映射
7、嗅探
8、IP欺騙
第二節:數據加密
一、傳統加密方式
1、替代密碼:用密文字母代替明文字母
2、換位密碼:根據一定規則重新排列明文
二、對稱密鑰加密——加密密鑰和解密密鑰相同(密鑰保密)
分組密碼:DES,AES,IDEA等
DES:56位密鑰,64位分組
三重DES:使用兩個密鑰(112位),執行三次DES算法
AES:分組128位,密鑰128/192/256位
IDEA:分組64位,密鑰128位
流密碼——挨個處理
三、非對稱/公開密鑰加密——加密密鑰和解密密鑰不同
加密密鑰可以公開,稱爲公鑰。解密密鑰不公開,稱爲私鑰
Diffie-Hellman算法
RSA算法
第三節:信息完整性與數字簽名
一、信息完整性檢測方法
散列函數:
1、特性:定長輸出、單向計算、抗碰撞——無法找到相同散列值的兩個報文
2、典型散列函數:MD5——128位散列值 SHA-1:160位散列值
二、報文認證
使消息接收者能夠檢驗消息的真實性。來源真實、未被篡改。
1、報文摘要(數字指紋)
2、報文認證方法
簡單報文驗證:報文摘要,無法驗證來源真實性
報文認證,使用共享認證密鑰,無法防止篡改
三、數字簽名
特點:身份認證、數據完整性、不可否認性
1、簡單數字簽名:直接對報文簽名
2、簽名報文摘要
第四節:身份認證
口令:會被竊聽
加密口令:可能遭到回放攻擊
加密一次性隨機數:可能遭到中間人攻擊
第五節:密鑰分發中心與證書認證機構
一、密鑰分發中心
基於KDC的密鑰生成和分發
二、證書認證機構
認證中心CA:將公鑰與特定實體綁定
1、證實一個實體的真實身份
2、位實體頒發數字證書
第六節:防火牆與入侵檢測系統
一、防火牆基本概念
隔離外部網絡和內部網絡,允許某些分組通過,阻止其他分組進入或者離開
二、防火牆分類
1、無狀態分組過濾器
通過特定規制,使用訪問控制列表(ACL)實現
2、有狀態分組過濾器
跟蹤每個TCP連接狀態,確定是否允許分組通過
3、應用網關
鑑別用戶身份或針對授權用戶開放特定服務
三、入侵檢測系統IDS
觀察到潛在惡意流量時,能產生警告的設備或系統
第七節:網絡安全協議
一、安全電子郵件
電子郵件安全需求:機密性、完整性、身份認證、抗抵賴性
安全電子郵件標準PGP
二、安全套接字層SSl
1、SSL是介於應用層和傳輸層之間的安全協議
2、SSL協議棧
3、SSL握手過程——協商密碼組,生成密碼,服務器/客戶認證與鑑別
三、虛擬專用網VPN和IP安全協議IPSec
1、VPN建立公共網絡上的安全通道,採用隧道技術(IPSec)
2、典型網絡層安全協議——IPSec
提供機密性、身份鑑別、數據完整性驗證和防回放攻擊服務
體系結構:認證AH協議、封裝安全載荷ESP協議
運行模式:傳輸模式(AH、ESP)、隧道模式(AH、ESP)