目录

一、基础知识

二、两类密钥体制

三、数字签名实现功能

四、鉴别

五、密钥分配

六、互联网使用的安全协议

6.1网络层安全协议

6.2传输层安全协议

七、系统安全

7.1防火墙

7.2入侵检测系统

---

一、基础知识

• 计算机网络的通信方面面临两大类威胁：被动攻击和主动攻击。
• 被动攻击：攻击者从网络上窃听他人的通信内容，通常把这类攻击称为截获。
• 主动攻击主要有以下几种形式：篡改、恶意程序、拒绝服务Dos。
• 安全的计算机网络设法达到四个目标：保密性、端点鉴别、信息的完整性和运行的安全性。

二、两类密钥体制

1. 对称密钥体制：加密密钥和解密密钥是相同的密钥体制，这种加密的保密性取决于对密钥的保密，算法是公开的。
2. 公钥密钥体制：使用不同的加密密钥和解密密钥，加密密钥PK是向公众公开的，而解密密钥SK（即私钥或密钥）则是需要保密的，加密算法和解密算法也是公开的。

        任何加密方法的安全性取决于密钥的长度，以及攻破秘密文件所需的计量数，而不是单纯的取决于加密的体制。

三、数字签名实现功能

1. 报文鉴别：接受者能够对发送者报文的签名进行确认，其他人无法伪造此签名。
2. 报文的完整性：接收者确信所收的数据和发送者发送的完全一样。
3. 不可否认：发送者事后不能抵赖对报文的签名。

四、鉴别

1. 报文鉴别：鉴别收到的报文的确是报文的发送者发送的，而不是其他人伪造的或篡改的。这就包含了端点鉴别和报文完整性的鉴别。
2. 实体鉴别：仅仅鉴别发送报文的实体。实体可以是一个人也可以是一个进程，只需验证一次。

五、密钥分配

1. 网外分配方式：派非常可靠的信使携带密钥分配给互相通信的各用户。
2. 网内分配方式：密钥自动分配。

六、互联网使用的安全协议

6.1网络层安全协议

IPsec并不是一个单一的协议，而是能够在IP层提供互联网通信安全的协议族。

IPsec协议族中的协议

• IP安全数据报格式的两种协议：鉴别首部AH协议，AH鉴别源点和检查数据完整性，但不能保密，封装安全有效载荷ESP协议，ESP比AH复杂的多，它鉴别源点，检查数据的完整性和提供保密。
• 互联网密钥交换IKE协议。
• IP安全数据报（IPsec数据报)：使用ESP或AH协议的IP数据报
• IP安全数据报两种工作方式：运输方式和隧道方式

安全关联SA： 在使用AH和ESP之前，先要从源主机到目的主机建立一条网络层的逻辑连接，是从源点到终点的单向连接，IPsec就把传统的因特网无连接的网络层转换为具有逻辑连接的层。

• 安全关联是源点到终点的单向连接，如果进行双向安全通信，两个方向都要建立安全管理。
• SA状态信息包含一个 32 位的连接标识符，称为安全参数索引 SPI (Security Parameter Index)

6.2传输层安全协议

• 安全套接字层SSL：作用在端系统的应用层的HTTP和运输层之间，在TCP之上建立一个安全通道，为通过TCP传输的应用层数据提供安全保障。
• 传输层安全TLS：为所有基于TCP的网络应用提供安全数据传输服务。

SSL提供的安全服务可归纳为以下三种：

1. SSL服务器鉴别：允许用户证实服务器身份。客户端可通过验证来自服务器的证书，来鉴别它的真实身份并获得它的公钥。
2. SSL客户鉴别:可选安全服务，允许服务器证实客户身份。
3. 加密的SSL会话：对客户和服务器间的所有报文进行加密，并检测报文是否被篡改。

七、系统安全

7.1防火墙

• 防火墙(firewall)作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止不必要的通信来减少潜在入侵，尽可能降低这类威胁的安全风险。
• 防火墙是一种特殊编程的路由器，安装在一个网点和网络的其余部分之间，目的是实施访问控制策略。

防火墙技术一般分为以下两类：

1. 分组过滤路由器：具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃（即过滤）。
2. 应用网关（也称为代理服务器）：它在应用层通信中扮演报文中继的角色。

7.2入侵检测系统

IDS对进入网络的分组执行深度分组检查，观察到可疑分组时，向网络管理员发出告警或执行阻断操作。

IDS能检查多种网络攻击，包括：网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。

入侵检测方法一般可以分为：基于特征的入侵检测和基于异常的入侵检测。