第8章网络安全

8.1 网络安全基础

8.1.1 网络安全威胁类型

窃听
假冒
重访
流量分析
数据完整性破坏
拒绝服务
资源的非授权使用
陷门和特洛伊木马
病毒
诽谤

8.1.2 网络安全漏洞

物理安全性
软件安全漏洞
不兼容使用安全漏洞
选择合适的安全哲理

8.1.3 网络攻击

被动攻击：攻击者通过监视所有信息流以获得某些秘密。这种攻击可以是基千网络（跟踪通信链路）或基千系统（用秘密抓取数据的特洛伊木马代替系统部件）的。被动攻击是最难被检测到的，故对付这种攻击的重点是预防，主要手段有数据加密等。
主动攻击：攻击者试图突破网络的安全防线。这种攻击涉及数据流的修改或创建错误流，主要攻击形式有假冒、重放、欺骗、消息篡改和拒绝服务等。这种攻击无法预防但却易于检测，故对付的重点是测而不是防，主要手段有防火墙、入侵检测技术等。
物理临近攻击
内部人员攻击
分发攻击

8.1.4 安全措施目标

访问控制
认证
完整性
审计
保密

8.1.5 基本安全技术

数据加密
数字签名
身份认证
防火墙
内容检查

8.2 现代加密技术

对称加密

非对称加密

8.2.1 对称加密算法

DES
64位进行分组，对分组加密，密钥是56位
3DES
112位密钥
IDEA国际密钥加密算法
128位密钥
高级加密标准（AES）
支持128、192和256位密钥，可以通过硬件实现
流加密算法和RC4
加密速度快，是DES的10倍

8.2.2 公钥加密算法

两个密钥，公钥公开、私钥保存

公钥加密，死要解密，实现保密通信

私钥加密，公钥解密，实现数字签名

典型公钥加密算法RSA

8.3 数字签名

数字签名是用于确认发送者身份和消息完整性的一个加密消息摘要

接受者能够核实发送者

发送者事后不能抵赖对报文的签名

接受者不能伪造对报文的签名

私钥加密公钥验证

基于密钥的数字签名

基于公钥的数字签名

8.4 报文摘要哈希

任意长度的数据通过转换变成一段定长的数据

不可逆

无碰撞

雪崩效应

使用场景

发布文件的完整性验证

服务器中保存用户的密码

数字签名

8.5 数字证书和CA

Alice用bob的公钥对明文用加密-bob用私钥进行解密。

怎么确定bob的公钥是正确的？

数字证书-类似于身份证的作用

CA（电子商务认证授权机构）

数字证书格式
姓名，地址，组织	所有者公钥
证书有效期、	认证机构私钥数据签名

公钥证书示例

公钥证书的种类与用途

-CA

-Personal

-Code Signing

-Server

证书回收列表（CRL）

证书链

如果用户数量很多，通常由多个CA，每个CA为一部分用户发行和签署证书
如果有两个CA，X1和X2，假设用户A从CA机构X1获得了证书，用户B从X2获得证书，如果两个证书发放机构X1和X2彼此间安全交换了公钥，彼此信任，那么他们的证书可以形成证书链。
A通过一个证书链来获取B的公钥，证书链表示为：×1 《x2》 x2 《B》
B也能通过相反的证书链来获取A的公开密钥：x2 《x1》 X1 《A》