七月箴言
万物之中,希望最美;最美之物,永不凋零。—— 斯蒂芬·金
第八章
本章计算机网络中的安全
一、什么是网络安全
- 机密性:为了保证发送的内容不被别人了解.
- 完整性:为了保证内容不被篡改
- 端点鉴别:为了保证不会收到冒名顶替者的报文
- 运行安全性:为了识别一个组织或机构所收发的报文内容的合法性
二、密码学的原则
在对称加密中,加密密钥和解密密钥是相同的;而在公开密钥系统中,加密和解密的密钥是不同的,且加密密钥是公开的。
- 凯撒密码。每个字母用字母表后的k个字母替换。
- 基于凯撒密码改进的单码代替密码。使用字母表中的一个字母代替另一个字母。
- 多码代替密码。交替使用不同规则的单码代替密码。
凯撒密码有一个重要缺陷,即相同的明文字母对应同一个密文字母,因此可以用统计分析的方式去破解密码。
根据攻击者所拥有的信息,可以把攻击方法分为下面 3 种
- 唯密文攻击:攻击者只知道密文,这时可以使用对字母频率的统计分析来攻击凯撒密码
- 已知明文攻击:攻击者知道明文中一定会出现一些单词,根据这些单词的密文来攻击凯撒密码
- 选择明文攻击:攻击者能够得到一些明文对应的密文,从而展开攻击。这与已知明文攻击有些类似
4. 块密码。要加密的额报文被处理为k比特的块,根据k比特和密钥映射到加密的k比特块。
5. 密码块链接(Cipher Block Chaining, CBC)仅第一个报文发送一个随机值,随后使用计算的编码块代替后继随机数,避免相同的代码块产生相同的密文,从而防止猜测明文。
三、报文完整性和数字签名
3.1:报文完整性是指,接收方为了鉴别收到的报文,需要证实:
- 该报文确实源自希望的发送方。
- 该报文在到达的途中没有被篡改。
3.2:数字签名是一种在数字领域实现的密码技术。
- 使用数字签名的发送方的步骤:发送方让他的初始长报文通过一个散列函数。然后他用自己的私钥对得到的散列进行数字签名。明文形式的初始报文连同已经数字签名的报文摘要一道被发送给接收方。
- 接收方的步骤:接收方先把发送方的公钥应用于报文获得一个散列结果。然后再把该散列函数应用于明文报文以得到第二个散列结果。若果这两个散列匹配,则接收方可以确信报文的完整性及其发送方。
四、断点鉴别
发送方和接收方都应该能证实通信过程中所涉及的另一方,以确信通信的另一方确实具有他们所声称的身份。“也就是确保我是我”
五、安全电子邮件
六、使用TCP连接安全:SSL
TCP连接的加强版,SSL通过采用机密性、数据完整性、服务器鉴别和客户鉴别来强化TCP。
七、网络层的安全性:IPsec和虚拟专用网
八、使用无限LAN安全
九、运行安全性:防火墙和入侵检测系统
防火墙:硬件和软件的结合体。
防火墙的目标:
- 从外部到内部和从内部到外部的所有流量都通过防火墙。
- 仅被授权的流量允许通过。
- 防火墙自身免于渗透。
防火墙的类型:
- 传统分组过滤器。
- 状态过滤器。
- 应用程序网关。
备注:这本书完成度不是很好,继续努力!