文章目錄

• 一、四種網(wǎng)絡(luò)攻擊 ★
• 二、網(wǎng)絡(luò)安區(qū)指標 ★
• 三、數(shù)據(jù)加密模型 ★
• 四、對稱密鑰密碼體質(zhì) ★
• 五、公鑰密碼體質(zhì) ★
• 六、數(shù)字簽名 ★
• 七、報文鑒別 ★
• 八、實體鑒別 ★
• 九、IP 安全 ( 網(wǎng)絡(luò)層安全 ) ★
• 十、傳輸層安全 ( SSL , TSL , HTTPS ) ★
• 十一、防火墻 ★

一、四種網(wǎng)絡(luò)攻擊 ★

---

1 . 四種網(wǎng)絡(luò)攻擊 :

① 截獲 : 竊聽 其它的 通信內(nèi)容 , 不影響網(wǎng)絡(luò)通信 ;

② 中斷 : 中斷 他人 的網(wǎng)絡(luò)通信 ;

③ 篡改 : 篡改 網(wǎng)絡(luò)上傳輸?shù)?報文 , 分組 信息 ;

④ 偽造 : 偽造 虛假 報文 信息 , 在網(wǎng)絡(luò)中傳遞 ;

2 . 攻擊類型 :

① 被動攻擊 : 截獲 ;

• 目的 : 竊聽他人通信內(nèi)容 ;
• 操作 : 攻擊者 只 觀察 , 分析 某一協(xié)議對應(yīng)的協(xié)議數(shù)據(jù)單元 PDU , 竊取其中的數(shù)據(jù)信息 , 但不干擾信息傳輸 ;
• 別名 : 又稱為 流量分析 ;

② 主動攻擊 : 中斷 , 篡改 , 偽造

• 篡改 : 修改網(wǎng)絡(luò)上的報文信息 , 又稱為 更改 報文流 ;
• 惡意程序 : 病毒 , 蠕蟲 , 木馬 , 邏輯炸彈 等 ;
• 拒絕服務(wù)攻擊 : 攻擊者 向 某服務(wù)器 不停地發(fā)送大量分組 , 使服務(wù)器無法正常運行 ;

3 . 檢測攻擊 :

• 主動攻擊檢測 : 采取適當?shù)拇胧?, 檢測主動攻擊 ;
• 被動攻擊檢測 : 無法檢測 ;

4 . 惡意程序 :

① 病毒 : 可以傳染其它程序 , 通過將自身 ( 病毒 ) 復(fù)制到其它程序中 , 破壞目標程序 ;

② 蠕蟲 : 通過網(wǎng)絡(luò)將自身發(fā)送給其它計算機 , 并在其它計算機中運行 ; 蠕蟲主要以消耗系統(tǒng)資源為主 , 啟動后開始占用 CPU , 內(nèi)存 , 直至完全占滿 , 導(dǎo)致設(shè)備宕機 ;

③ 木馬 : 主要是與外部溝通 ; 盜號木馬 , 遠程控制木馬 , 功能強大 ;

④ 邏輯炸彈 : 當運行環(huán)境滿足某種特定條件 , 啟動執(zhí)行的程序 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 計算機網(wǎng)絡(luò)安全威脅 ( 四種網(wǎng)絡(luò)攻擊類型 | 主動攻擊與被動攻擊 | 分布式拒絕服務(wù)攻擊 DDos | 惡意程序 | 計算機網(wǎng)絡(luò)安全目標)

二、網(wǎng)絡(luò)安區(qū)指標 ★

---

安全的計算機網(wǎng)絡(luò)指標 :

• 保密性
• 端點鑒別
• 信息完整性
• 運行安全性

1 . 保密性 :

① 數(shù)據(jù)加密 : 數(shù)據(jù)信息是加密的 , 只有 發(fā)送方 和 接收方 才能解碼出其中的數(shù)據(jù) ;

② 對應(yīng)攻擊 : 加密 是 針對被動攻擊的 , 是網(wǎng)絡(luò)安全最基本的功能 ;

③ 密碼技術(shù) : 使用各種密碼技術(shù) , 保證數(shù)據(jù)安全性 ;

2 . 端點鑒別 : 使用 數(shù)字簽名技術(shù) 鑒別 數(shù)據(jù)通信中的 發(fā)送方 和 接收方 的真實身份 , 防止數(shù)據(jù)被 中斷 , 偽造 ;

3 . 信息完整性 :

① 篡改 : 數(shù)據(jù)內(nèi)容沒有被 篡改 ;

② 應(yīng)對攻擊 : 應(yīng)對 主動攻擊方式 ;

③ 鑒別 : 鑒別包含 端點鑒別 和 報文完整性檢查 , 二者是密切相關(guān)的 ;

4 . 運行安全性 :

① 正常運行 : 網(wǎng)絡(luò)系統(tǒng)可以 正常運行 , 并提供通信服務(wù) ;

② 訪問控制 : 對系統(tǒng)安全性很重要 , 主要是 控制每個用戶訪問網(wǎng)絡(luò)的權(quán)限 ,

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 安全的計算機網(wǎng)絡(luò)指標 ( 保密性 | 端點鑒別 | 信息完整性 | 運行安全性 )

三、數(shù)據(jù)加密模型 ★

---

數(shù)據(jù)加密模型 :

① 發(fā)送明文 : 用戶 A 向 用戶 B 發(fā)送 明文 X ;

② 加密 : 通過 加密算法 對 明文 X 進行 E 運算加密算法 , 進行加密 , 得到 密文 Y , 這個 密文 Y 是加密的數(shù)據(jù) ;

③ 防止截獲 : 密文 Y 即使被截獲 , 也無法獲取到真實信息 , 即 明文 X ;

④ 解密 : 密文 Y 在接收端 , 經(jīng)過 D 運算 解密算法 , 進行解密 , 得到 明文 X ;

密鑰 :

① 密鑰本質(zhì) : 加密 和 解密 使用的 密鑰 , 是 一串 保密的 字符串 ;

② 加密 : 明文 通過 加密算法 和 加密密鑰 , 可以計算出 對應(yīng) 密文 ;

③ 解密 : 密文 通過 解密算法 和 解密密鑰 , 可以計算出 對應(yīng) 明文 ;

④ 密鑰提供者 : 加密密鑰 和 解密密鑰 是 密鑰中心 提供的 ;

⑤ 密鑰特點 : 加密密鑰 與 解密密鑰 , 可以是相同的 , 也可以是不同的 ;

⑥ 密鑰傳輸 : 傳輸 密鑰 時 , 必須通過 安全信道 傳輸 ;

密碼安全 :

① 無條件安全 : 無論有多少密文 , 都 無法獲取足夠多的信息破解出明文 , 則稱該密碼體質(zhì) 是 無條件安全的 , 理論上不可破的 ;

② 計算安全 : 密碼 不能被 可以實現(xiàn)的計算資源破譯 , 則稱該密碼體質(zhì)是 計算上安全的 ; 如 破解需要計算 100 年 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 數(shù)據(jù)加密模型 ( 加密模型 | 密鑰 | 密碼學(xué) | 密碼安全 )

四、對稱密鑰密碼體質(zhì) ★

---

1 . 對稱密鑰密碼體質(zhì) : 又稱為 常規(guī)密鑰密碼體質(zhì) , 加密密鑰 與 解密密鑰 是相同的 ;

2 . 數(shù)據(jù)加密標準 DES :

① 性質(zhì) : 數(shù)據(jù)加密標準 DES 是 對稱密鑰密碼體質(zhì) , 是 分組密碼 ;

② 密鑰 : 64 位 , 其中 實際密鑰 56 位 , 奇偶校驗位 8 位 ;

3 . DES 加密過程 :

① 分組 : 加密前 先將明文 按照 每組 64 位 進行分組 ;

② 分組加密 : 然后 對 每個分組 進行 加密處理 , 產(chǎn)生 64 位密文數(shù)據(jù) 分組 ;

③ 拼接密文 : 將所有的 密文分組 串聯(lián)起來 , 就是整個密文分組 ;

每個 64 位 數(shù)據(jù)分組加密過程 :

① 初始變換 : 首先先進行 初始變換 ;

② 迭代計算 : 然后經(jīng)過 16 輪次的迭代計算 , 每次迭代計算引入一個密鑰 ;

③ 32 位變換 : 之后進行 32 位變換 ;

④ 初始變換逆運算 : 最后進行 初始變換 的逆運算 , 得到 64 位 密文 ;

4 . DES 保密性 :

① 密鑰保密 : DES 算法是公開的 , 其密鑰越保密 , 保密程度越高 ;

② 問題 : DES 密鑰長度太短 ; 目前已經(jīng)有 DES 密鑰搜索芯片 , 可以輕松破解 56 位密鑰 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 對稱密鑰密碼體質(zhì) ( 數(shù)據(jù)加密標準 DES | DES 加密過程 | DES 保密性 | 三重 DES 加密 )

五、公鑰密碼體質(zhì) ★

---

1 . 公鑰密碼體質(zhì) ( 公開密鑰密碼體質(zhì) ) :

① 本質(zhì) :加密密鑰 與 解密密鑰 是不同的密鑰 ;

② 前提 : 已知 加密密鑰 , 無法計算出 解密密鑰 ;

③ 公鑰密碼體質(zhì) 產(chǎn)生原因 :

• 常規(guī)密鑰密碼體質(zhì) 密鑰分配 有問題 ;
• 數(shù)字簽名 需求 ;

2 . 公鑰密碼體質(zhì) 中的 加密密鑰 與 解密密鑰 :

① 加密密鑰 : 公鑰 , 是對外公開的 ;

② 解密密鑰 : 私鑰 , 是保密的 ;

③ 算法 : 加密算法 和 解密算法 都是 公開 的 ;

④ 密鑰計算 : 公鑰 決定 私鑰 , 但是 根據(jù) 公鑰 無法計算出 私鑰 ;

3 . 公鑰密碼體質(zhì) 與 對稱密碼體質(zhì)對比 :

① 安全性 : 密碼的安全性取決于 密鑰長度 , 以及 破解密文的計算量 ; 二者安全性相同 ;

② 開銷 : 公鑰加密 其開銷 大于 對稱加密 , 傳統(tǒng)的對稱加密算法 還是需要繼續(xù)使用 ;

③ 密鑰分配協(xié)議 : 公鑰密碼體質(zhì) 需要 密鑰分配協(xié)議 , 其密鑰分配過程 , 不比傳統(tǒng)加密算法簡單 ;

④ 通道性質(zhì) : 一對一 / 多對一 , 雙向 / 單向 ;

• 對稱密鑰體質(zhì) : 只能實現(xiàn) 信道上 一對一的雙向保密通信 , 發(fā)送方和接收方 使用相同的密鑰加密 和 解密 ;
• 公鑰密碼體質(zhì) : 可以實現(xiàn) 信道上 多對一的單向保密通道 ;

4 . 公鑰密碼體質(zhì)算法特點 :

① 密鑰對產(chǎn)生器 : 針對某個接收者 , 該 密鑰對產(chǎn)生器 會 產(chǎn)生一對密鑰 , 分別是 加密密鑰 ( 公鑰 ) 和 解密密鑰 ( 私鑰 ) ;

② 加密密鑰 : 公鑰 , 對外公開 , 用于 加密 ; 其不能用于解密 ;

③ 解密密鑰 : 私鑰 , 對外保密 , 用于解密 ;

④ 使用過程 : 發(fā)送者 使用 公鑰 將 明文 加密成 密文 , 接收者 使用 私鑰 將 密文 解密成 明文 ;

⑤ 加密 與 解密 互逆 :

• 原文已知 , 先用公鑰加密 , 然后用私鑰解密 , 可以得到原文 ;
• 原文已知 , 先用私鑰解密 , 然后用公鑰加密 , 可以得到原文 ;

5 . 公鑰密碼體質(zhì) 與 數(shù)字簽名 :

• 公鑰密碼體質(zhì) : 使用 公開密鑰加密 , 私有密鑰 解密 , 是公鑰密碼體質(zhì) ;
• 數(shù)字簽名 : 使用 私有密鑰加密 , 公開密鑰 解密 , 是數(shù)字簽名方法 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 公鑰密碼體質(zhì) ( 公鑰 - 加密密鑰 | 私鑰 - 解密密鑰 | 與對稱密鑰體質(zhì)對比 | 特點 | 數(shù)字簽名引入 )

六、數(shù)字簽名 ★

---

1 . 數(shù)字簽名 : 證明 數(shù)據(jù) 或 身份的 真實性 ; 需要有以下功能 :

① 報文鑒別 : 用于 證明來源 , 接收者 可以 通過簽名 確定 是哪個發(fā)送者 進行的簽名 ;

② 防止抵賴 : 防止 發(fā)送者 否認簽名 , 發(fā)送者 一旦簽名 , 標記就打上了 , 無法抵賴 ;

③ 防止偽造 : 防止 接收者 偽造 發(fā)送者 的簽名 ;

2 . 數(shù)字簽名實現(xiàn)方式 : 數(shù)字簽名算法很多 , 公鑰算法 是最簡單的算法 , 即 發(fā)送者 使用 私鑰加密數(shù)據(jù) , 接收者 使用 對應(yīng)的公鑰 解密數(shù)據(jù) ;

( 接收者 持有著大量公鑰 )

3 . 數(shù)字簽名 功能 : 以 發(fā)送者 使用 私鑰 加密密文 , 接收者 使用 公鑰 解密密文 為例 ;

① 報文鑒別 : 發(fā)送者 持有 私鑰 , 使用該私鑰 加密密文 , 除了該 發(fā)送者之外 , 其它人無法產(chǎn)生該密文 , 接收者 使用 公鑰解密出正確的信息 , 因此 接收者 相信 該密文 是發(fā)送者 使用私鑰加密 并 發(fā)出的 ;

② 防止抵賴 : 如果發(fā)送者 抵賴 , 接收者可以將 密文 , 公鑰 , 明文 , 提供給第三方進行驗證 , 將密文通過公鑰解密成明文 , 就能證明該密文是指定的發(fā)送者發(fā)送的 ;

③ 防止偽造 : 接收者 偽造了 密文 , 如果 接收者 將 偽造的 密文 , 公鑰 , 明文 , 提供給第三方 , 使用 公鑰 , 無法將密文解密成明文 , 證明該簽名是偽造的 ;

4 . 數(shù)字簽名弊端 :

① 數(shù)據(jù)竊取 : $A$ 的公鑰可能有很多人持有 , 如果一個持有 $A$ 公鑰的一方截獲了上述簽名數(shù)據(jù) , 就會被竊取數(shù)據(jù) ;

② 解決方案 簽名 + 公鑰加密 : 在 $A$ 數(shù)字簽名基礎(chǔ)上 , 再進行公鑰加密 , 就將數(shù)據(jù)保密了 , 只有對應(yīng)私鑰才能對其進行解密 ;

保密數(shù)字簽名實現(xiàn)方式 :

① 加密 : 發(fā)送者 $A$ 使用 $A$ 的私鑰 $S{K}_A$ ( Secret Key A ) 加密數(shù)據(jù) , 然后在 使用 接收者 $B$ 的公鑰 $P{K}_B$ ( Public Key B ) 加密數(shù)據(jù) ;

② 解密 : 接收者 $B$ 使用 $B$ 的私鑰 $S{K}_B$ ( Secret Key B ) 解密數(shù)據(jù) , 然后再 使用 發(fā)送者 $A$ 的公鑰 $P{K}_A$ 解密數(shù)據(jù) , 最終得到明文 ;

保密數(shù)字簽名實現(xiàn)方式優(yōu)勢 : 接收者 $B$ 既可以識別 發(fā)送者 $A$ 的身份 , 又能保證數(shù)據(jù)不會被截獲 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 數(shù)字簽名 ( 數(shù)字簽名簡介 | 數(shù)字簽名實現(xiàn) | 數(shù)字簽名功能 | 保密數(shù)字簽名 )

七、報文鑒別 ★

---

1 . 計算機網(wǎng)絡(luò)安全措施 :

① 針對被動攻擊 ( 截獲 ) : 加密 ;

② 針對主動攻擊 ( 篡改 , 偽造 ) : 需要使用 鑒別 ;

報文鑒別 : 接收方 可以 驗證其接收到的 報文的真?zhèn)?/font> ; 包括 發(fā)送者身份 , 內(nèi)容 , 發(fā)送時間 , 報文序列等 ;

報文鑒別方法 : 加密 可以 實現(xiàn) 報文鑒別 , 但是網(wǎng)絡(luò)中對于保密性不高的數(shù)據(jù)來說 , 可以不進行加密 , 接收者 需要使用 簡單方法確認報文的真?zhèn)?;

鑒別與授權(quán) 區(qū)別 : 這是兩個不同的概念 ; 授權(quán)是指 所執(zhí)行的操作是否被系統(tǒng)允許 ; 如 訪問權(quán)限 , 讀寫權(quán)限 等 ;

2 . 鑒別分類 :

① 報文鑒別 : 端點鑒別 + 報文完整性鑒別 ; 確認 報文 是由 發(fā)送者 發(fā)出 , 不是偽造的 ;

② 實體鑒別 : 端點鑒別 ; 確認 報文 發(fā)送者 實體 ( 應(yīng)用進程 / 主機設(shè)備 / 人員 ) ;

3 . 報文鑒別 : 報文 接收者 需要鑒別報文真?zhèn)?, 需要使用 數(shù)字簽名 ;

① 弊端 : 增加計算負擔(dān) , 對數(shù)據(jù)很長的報文 進行 數(shù)字簽名 , 需要 很大的計算量 ;

② 需求 : 在不需要對數(shù)據(jù)進行加密時 , 使用 簡單方法 進行報文的真?zhèn)舞b別 ;

不需加密時 , 使用密碼散列函數(shù)進行 真?zhèn)舞b別 ;

4 . 密碼散列函數(shù) : 是非常簡單的 報文 鑒別方法 , 計算量小 ;

① 散列值 : 散列函數(shù) 輸入 很長的 值 , 輸出 較短的 固定的值 ; 輸出值 稱為 散列值 / 散列 ;

② 對應(yīng)關(guān)系 : 輸入 和 輸出 是 多對一 的 , 不同的輸入 可能對應(yīng) 相同的輸出 ;

密碼散列函數(shù) :

① 概念 : 密碼學(xué) 中使用的 散列函數(shù) , 稱為 密碼散列函數(shù) ;

② 單向性 ( 輸入值 -> 散列值 ) : 給定 一個散列值 , 無法通過計算得出 輸入值 ; 只能從 輸入值 計算出 散列值 , 不能根據(jù) 散列值 計算 輸入值 ;

③ 不可偽造 : 即使 固定長度的 散列值 被截獲 , 截獲者無法偽造出一個 對應(yīng)的輸入值 ( 明文 / 發(fā)送數(shù)據(jù) ) ;

密碼散列函數(shù) 示例 :

• 報文摘要算法 MD5
• 安全散列算法 SHA-1
• 性能比較 : SHA-1 的計算量 高于 MD5 , SHA-1 安全性高與 MD5 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 報文鑒別 ( 密碼散列函數(shù) | 報文摘要算法 MD5 | 安全散列算法 SHA-1 | MAC 報文鑒別碼 )

八、實體鑒別 ★

---

1 . 鑒別分類 :

① 報文鑒別 : 端點鑒別 + 報文完整性鑒別 ; 確認 報文 是由 發(fā)送者 發(fā)出 , 不是偽造的 ; 其中報文鑒別 要對每一個接收到的報文 , 都要鑒別 報文完整性 和 發(fā)送者 ; 鑒別多次 ;

② 實體鑒別 : 端點鑒別 ; 確認 報文 發(fā)送者 實體 ( 應(yīng)用進程 / 主機設(shè)備 / 人員 ) ; 實體鑒別 只是在 系統(tǒng)接入的時候 , 對通信實體 只鑒別一次 ;

2 . 簡單實體鑒別過程 :

① 原理 : 基于 共享的 對稱密鑰 ;

② 加密 : 發(fā)送者 使用密鑰將報文 加密 , 然后發(fā)送給 接收者 ;

③ 解密 : 接收者 收到密文后 , 使用 相同的密鑰 解密 , 鑒別了 發(fā)送者的身份 ;

④ 相同密鑰 : 發(fā)送者 和 接收者 持有 相同的密鑰 ;

漏洞 ( 重放攻擊 ) : 黑客 截獲 密文后 , 直接 將 密文 轉(zhuǎn)發(fā)給接收者 , 此時接收者就會將 黑客 當做 發(fā)送者 ; 這種攻擊稱為 重放攻擊 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 實體鑒別 ( 實體鑒別過程 | 不重數(shù)機制 | 公鑰體質(zhì)加密不重數(shù) | 中間人攻擊 )

九、IP 安全 ( 網(wǎng)絡(luò)層安全 ) ★

---

1 . 網(wǎng)絡(luò)層 幾乎不具備安全性 :

• 沒有 數(shù)據(jù)源鑒別機制 ;
• 沒有 數(shù)據(jù)完整性保護機制 ;
• 沒有 數(shù)據(jù)保密性機制 ;
• 設(shè)計 / 實現(xiàn) 中 , 存在各種 安全漏洞 , 容易受到 IP 欺騙 , 會話劫持 , 流量嗅探 等攻擊 ;

2 . IPsec 協(xié)議族 :

① 全稱 : IP 安全 , sec 是 Security 的縮寫 ; 是 IETF 制定的開放安全標準 ;

② 內(nèi)容 : 定義了 在網(wǎng)絡(luò)層如何實現(xiàn)網(wǎng)絡(luò)安全 , 提供了 數(shù)據(jù)完整性 , 保密性 , 認證 , 應(yīng)用透明的安全性 ;

③ 性質(zhì) : IPsec 是一個協(xié)議族 ;

④ 框架 : IPsec 只提供了框架 , 通信雙方的 加密算法可以自定義 , 如使用什么樣的參數(shù) , 密鑰 等 ;

⑤ 互操作性 : IPsec 中提供了一套 所有 IPsec 都必須實現(xiàn)的加密算法 ;

3 . IPsec 協(xié)議族組成 :

① IP 安全數(shù)據(jù)報格式 協(xié)議 :

• 鑒別首部協(xié)議 ( AH , Authentication Header ) : 支持 源點鑒別 , 數(shù)據(jù)完整性 , 不支持 數(shù)據(jù)保密 ;
• 封裝有效載荷協(xié)議 ( ESP , Encapsulation Security Payload ) : 支持 源點鑒別 , 數(shù)據(jù)完整性 , 數(shù)據(jù)保密 ;

② 加密算法協(xié)議

③ 互聯(lián)網(wǎng)密鑰交換協(xié)議 ( IKE , Internet Key Exchange )

IP 安全數(shù)據(jù)報 : 使用 ESP 或 AH 協(xié)議的 IP 數(shù)據(jù)報 稱為 IP 安全數(shù)據(jù)報 , 又稱為 IPsec 數(shù)據(jù)報 ;

支持的 IP 協(xié)議版本 : IPsec 支持 IPv4 和 IPv6 兩個版本的 IP 協(xié)議 ;

包含關(guān)系 : ESP 協(xié)議包含 AH 協(xié)議功能 ;

更多 IPsec 協(xié)議內(nèi)容參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 網(wǎng)絡(luò)層安全協(xié)議 ( IPsec 協(xié)議 | IPsec 協(xié)議族組成 | IP 安全數(shù)據(jù)報工作方式 | 安全關(guān)聯(lián) SA | SA 狀態(tài)信息 | IP 安全數(shù)據(jù)報格式 )

十、傳輸層安全 ( SSL , TSL , HTTPS ) ★

---

1 . 運輸層安全協(xié)議 :

① 安全套接字層 ( SSL , Secure Socket Layer ) :

• 作用位置 : 端系統(tǒng) 應(yīng)用層 HTTP 與 運輸層 之間 ;

• TCP 安全 : 在 TCP 基礎(chǔ)上建立安全通道 , 為 TCP 傳輸提供安全服務(wù) ;

• WEB 安全標準 : SSL 3.0

② 運輸層安全 ( TSL , Transport Layer Security ) :

• 基礎(chǔ) : 基于 SSL 3.0 ;

• 作用 : 為 基于 TCP 協(xié)議的應(yīng)用提供安全服務(wù) ;

2 . 運輸層使用 SSL 前后對比 :

① SSL 使用情況 : SSL 增強了 TCP 服務(wù) , SSL 是運輸層協(xié)議 , 但其需要使用安全運輸程序 , 其實際被分在應(yīng)用層 ;

② 普通 TCP 通信 : 應(yīng)用程序 ( 應(yīng)用層 ) -> TCP 套接字 -> TCP 協(xié)議 ( 運輸層 )

③ SSL TCP 通信 : 應(yīng)用程序 ( 應(yīng)用層 ) -> SSL 套接字 -> SSL 子層 ( 應(yīng)用層 ) -> TCP 套接字 -> TCP 協(xié)議 ( 運輸層 ) ;

3 . SSL 服務(wù) :

① SSL 服務(wù)器鑒別 : 用于 鑒別 服務(wù)器身份 ; 客戶端 ( 支持 SSL ) 驗證 服務(wù)器 證書 , 鑒別服務(wù)器 , 并獲取服務(wù)器的公鑰 ;

② SSL 客戶端鑒別 : 服務(wù)器 驗證 客戶端 身份 ; ( 可選 )

③ 加密 SSL 會話 : 端與端之間的 報文都進行加密 , 檢測是否被篡改 ;

4 . SSL 安全會話建立過程 : TCP 連接之后 , 開始建立 SSL 安全會話 ;

① 協(xié)商加密算法 : 瀏覽器 發(fā)送 SSL 版本號 , 可選的加密算法 ; 服務(wù)器 回送 自己支持的加密算法 ;

② 傳輸公鑰 : 服務(wù)器 向 瀏覽器 發(fā)送包含 服務(wù)器公鑰的 CA 數(shù)字證書 , 瀏覽器使用該 CA 發(fā)布機構(gòu)驗證該公鑰 ;

③ 會話密鑰計算 : 瀏覽器 產(chǎn)生 隨機秘密數(shù) , 使用 服務(wù)器公鑰 加密后 , 發(fā)送給 服務(wù)器 ; 服務(wù)器 收到后 , 產(chǎn)生共享的 對稱會話密鑰 , 發(fā)送給 瀏覽器 ;

之后進行 SSL 安全會話 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 運輸層安全協(xié)議 ( 安全套接字層 SSL | 運輸層安全 TSL | SSL 服務(wù) | SSL 安全會話建立流程 )

十一、防火墻 ★

---

1 . 防火墻簡介 :

① 組成 : 防火墻是由 軟件 , 硬件 構(gòu)成的系統(tǒng) ;

② 作用 : 用于在兩個網(wǎng)絡(luò)之間實施 訪問控制策略 ;

③ 配置 : 訪問控制策略由 網(wǎng)絡(luò)管理員 配置 ;

④ 可信網(wǎng)絡(luò) : 防火墻內(nèi)是 可信網(wǎng)絡(luò) , 防火墻外是 不可信網(wǎng)絡(luò) ;

2 . 防火墻 功能 :

① 阻止 : 阻止 某些類型的流量 通過 ( 雙向 ) 防火墻 ; ( 主要功能 )

② 允許 : 允許 某些類型的流量 通過 ( 雙向 ) 防火墻 ;

實現(xiàn)上述 阻止 允許 流量通過 , 防火墻需要能 識別通信流量 ;

3 . 防火墻分類 :

• 分組過濾路由器
• 應(yīng)用網(wǎng)關(guān)

4 . 分組過濾路由器 :

① 功能 : 分組過濾通信流量 , 通過 過濾規(guī)則 , 將網(wǎng)絡(luò)流量分組 轉(zhuǎn)發(fā) / 丟棄 ; 其中丟棄就是將該分組過濾掉了 ;

② 過濾規(guī)則 : 網(wǎng)絡(luò)層 / 運輸層 首部信息 , 作為過濾規(guī)則 ; 如 源地址 / 目的地址 , 源端口號 / 目的端口號 , 協(xié)議類型等 ;

③ 分組過濾狀態(tài) :

• 無狀態(tài) : 每個分組都 獨立處理 ;
• 有狀態(tài) : 跟蹤連接的通信狀態(tài) , 根據(jù)狀態(tài)決定過濾規(guī)則 ;

④ 特點 : 簡單 , 效率高 , 對用戶透明 , 無法過濾高層數(shù)據(jù) ;

5 . 應(yīng)用網(wǎng)關(guān) :

① 別名 : 又稱為 代理服務(wù)器 ;

② 數(shù)量 : 每個網(wǎng)絡(luò)應(yīng)用 , 都需要 配置一個應(yīng)用網(wǎng)關(guān) ;

③ 功能 : 所有的該應(yīng)用的報文數(shù)據(jù)都必須 通過應(yīng)用網(wǎng)關(guān)傳輸 , 可以實現(xiàn) 高層 ( 應(yīng)用層 ) 數(shù)據(jù)的 過濾 和 高層 ( 應(yīng)用層 ) 用戶鑒別 ;

④ 缺點 :

• 配置繁瑣 : 每個應(yīng)用都需要配置應(yīng)用網(wǎng)關(guān) ;
• 消耗資源 : 應(yīng)用層 轉(zhuǎn)發(fā)處理報文 , 資源消耗比較大 ;
• 透明性差 : 需要在每個客戶端程序中配置 應(yīng)用網(wǎng)關(guān)地址 ;

參考 : 【計算機網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 防火墻 ( 簡介 | 防火墻功能 | 防火墻分類 | 分組過濾路由器 | 應(yīng)用網(wǎng)關(guān) )

總結(jié)

以上是生活随笔為你收集整理的【计算机网络】网络安全 : 总结 ( 网络攻击类型 | 网络安全指标 | 数据加密模型 | 对称密钥密码体质 | 公钥密码体质 | 数字签名 | 报文鉴别 | 实体鉴别 | 各层安全 ) ★的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。