计算机网络（六）——网络安全

一、简介

在经历了这么多略显枯燥的基础知识学习之后，理所应当要做的就是去实践。关于实践这些事情，也是需要很多方面的准备与思考。而对于网络安全的一些概述或者说是整体思考就十分必要了。

二、目录

第七章 网络安全

网络安全问题概述

两类密码体制

鉴别

密钥分配

互联网使用的安全协议

系统安全：防火墙爱与入侵检测

一些未来的发展方向

三、内容

随着计算机网络的发展，网络中的安全问题也日趋严重。

网络安全问题概述

计算机网络问题的安全性威胁

计算机网络通信的两大类威胁，即主动攻击和被动攻击。

被动攻击是指攻击者从网络上窃听他人的通信内容。通常把这类攻击称为截获。在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU。这种攻击也被称为流量分析。

主动攻击有以下几种最常见的方式。

篡改；恶意程序；计算机病毒；计算机蠕虫；特洛伊木马；逻辑炸弹；后门入侵；流氓软件；拒绝服务DOS。

分布式拒绝服务攻击，又称为网络带宽攻击或者连通性攻击。

交换机中毒。

安全的计算机网络

机密性；端点鉴别；信息的完整性；运行的安全性

数据加密模型

俩密码编码学是密码体制的设计学。

两类密码体制

对称密钥密码体制

所谓对称密钥密码体制，即加密密钥与解密密钥都使用相同密钥的密码体制。

公钥密码体制

共哟啊密码体制使用不同的加密密钥与解密密钥。

鉴别

报文鉴别的内容有二，一是实体鉴别，二是端点鉴别。

用数字签名进行鉴别。

密码三列函数

散列函数在计算机科学中的应用很广泛，密码学对于散列函数有非常高的要求。

用报文鉴别码实现报文鉴别。

实体鉴别

密钥分配

密钥分配是密钥管理中最大的问题。

互联网使用的安全协议

网络层安全协议

IPsec协议族概述

IPsec并不是单一的协议，而是能够在IP层提供互联网通信安全的协议族。IP协议族中的协议可分为以下三个部分：

IP安全数据报文格式的两个协议：鉴别首部AH协议和封装安全有效载荷ESP协议；

有关加密算法的三个协议；

互联网密钥交换IKE协议。

第一种工作方式是运输方式；第二种工作方式是隧道方式。

安全关联

在发送IIP安全数据报之前，在源实体和目的实体之间必须创建一条网络层的逻辑连接，即安全关联SA。这样，传统的网络层就变为了具有逻辑连接的一个层。安全关联从源点到终点是单向连接。

IP安全数据报格式

IPsec的其他构件

安全关联数据库SAD

运输层安全协议

协议TLS的要点

应用层安全协议

系统安全：防火墙与入侵检测

防火墙

防火墙作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生。入侵检测系统通过对进入网络的分组进行深度分析与检测发现疑似入侵行为的网络活动，并进行报警以便于进一步采取相应措施。

防火墙是一种特殊编程的路由器，安装在一个网点和网络的其余部分之间。目的是控制实施访问的策略。则会个访问策略可以是由使用防火墙的单位自行制定的。这种安全策略应当最适合本单位的需要。

一般把防火墙内部的网络称为”可信的网络“，而把防火墙外部的网络称为”不可信的网络“。

防火墙一般分为以下两类：

分组过滤路由器是一种具有分组过滤功能的路由器。

应用网关也称为代理服务器。

入侵检测系统

防火墙试图在入侵行为发生之前阻止所有可疑的通信，但事实上不可能阻止所有的入侵行为，有必要采取措施在入侵已经开始，但还没有造成危害或在造成更大危害之前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小，入侵检测系统IDS正是这样一种技术。

一些未来的发展方向

椭圆曲线密码ECC

移动安全

量子密码

商密九号算法SM9