网络安全基本特征:相对性、时效性、相关性、不确定性、复杂性以及重要性。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
密码学包括密码编码学和密码分析学
密码编码学是指将密码变化的客观规律应用于编制密码来保守通信密码。
密码分析学指研究密码变化客观规律中的固有缺陷,并应用于破译密码以获取通信情报。
根据密码体制的特点以及出现的先后分类:传统密码算法、对称秘钥算法、公开密钥算法
分为替换密码和换位密码
DES,AES,IDEA
公钥加密,私钥解密
如果对报文m利用私钥加密,则可以利用其公钥进行解密。也就是说下面公式成立
K B − ( K B + ( m ) ) = m = K B + ( K B − ( m ) ) K_{B}^{-}(K_{B}^{+}(m))=m=K_{B}^{+}(K_{B}^{-}(m)) KB−(KB+(m))=m=KB+(KB−(m))
问:如果对明文“bob.i love you.Alice”,利用k=3的凯撒密码加密,得到的密文是什么?
解:对于k=3的凯撒密码,字母对应关系为
明文 | a | b | c | … | u | v | w | x | y | z |
---|---|---|---|---|---|---|---|---|---|---|
密文 | d | e | f | … | x | y | z | a | b | c |
加密后得到的密文为“ere.l oryh brx.Dolfh”
问:采用秘钥k=nice的列置换密码,对明文“bob i love you”进行加密,加密的密文是什么?
解:秘钥长度4位,排列为
n | i | c | e |
---|---|---|---|
4 | 3 | 1 | 2 |
b | o | b | i |
l | o | v | e |
y | o | u | x |
其中“x”为填充字母
输出顺序
nice
4312
密文为:bvu iex ooo bly
报文/消息完整性,也称为报文/消息认证(或报文鉴别)
为了实现消息完整性检测,需要用到密码散列函数H(m),表示对报文m进行散列化。
报文认证是使消息的接收者能够检验收到的消息是否真实的认证方法。
报文认证的目的:
对报文m应用散列函数H,得到一个固定长度的散列码,称为报文摘要,记为H(m)。
报文摘要可以作为报文m的数字指纹。
主要利用报文认证码MAC和数字签名来验证消息完整性。
两者都需要使用散列函数,并且都能够验证报文的源以及报文自身的完整性,但MAC不依赖加密,而数字签名依赖公钥基础设施。
比较有效的数字签名是对报文摘要进行数字签名。
身份认证又称身份鉴别,是一个实体经过计算机网络向另一个实体证明其身份的过程。
身份认证可以通过彼此共享的对称秘钥进行认证,也可以利用公钥进行身份认证。
可以预防重放攻击。
秘钥分发中心和证书认证机构可以解决对称秘钥的分发和公钥证书的认证。对于身份认证,可以避免中间人攻击。
秘钥分发中心解决对称秘钥的安全可靠分发
将公钥与特定实体绑定通常是由认证中心完成的。
防火墙是能够隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合起来的一种措施。
三类:无状态分组过滤器、有状态分组过滤器、应用网关
入侵检测系统IDS是当观察到潜在的恶意流量时,能够产生警告的设备或系统。
基本前提是需要保证从外部到内部和从内部到外部的所有流量都经过防火墙,并且仅被授权的流量允许通过,防火墙能够限制对授权流量的访问。
应用层安全电子邮件PGP
传输层安全套接字SSL
最典型的网络层安全协议就是使用最广泛和最具有代表性的IP安全协议,IPSec
Pretty Good Privac,
PGP能够提供邮件加密、报文完整性等安全服务,满足电子邮件对网络安全的需求。
SSL可以提供机密性、完整性、身份认证等安全服务。
AH协议和ESP协议是IPSec的核心
AH:认证头协议,Authentication Header
ESP:封装安全载荷协议Encapsulation Security Protocol
传输模式、隧道模式
两种不同协议和两种模式结合起来共有4种组合:
PGP标准对邮件内容进行数字签名,保证信件内容不被篡改。同时会使用公钥和对称秘钥加密,保证邮件内容机密且不可否认。