一、网络安全核心威胁
-
攻击类型分类
类型 特点 典型场景 被动攻击 窃听通信内容(如流量分析) 网络监听、数据泄露 主动攻击 篡改数据或破坏系统 恶意程序、拒绝服务攻击 -
恶意程序类型
- 计算机病毒:依附于宿主程序传播(如宏病毒)
- 蠕虫:独立传播并消耗网络资源(如冲击波蠕虫)
- 木马:伪装合法程序窃取信息(如远程控制木马)
- 逻辑炸弹:触发条件破坏数据(如定时删除文件)
二、密码学基础
-
对称密钥密码体制
- 特点:加密解密密钥相同
- 经典算法:DES(56位密钥,已淘汰)、AES(128/256位)
- 应用场景:大数据量加密(如文件传输)
-
非对称密钥密码体制
- 特点:公钥加密,私钥解密
- 经典算法:RSA(基于大数分解难题)
- 应用场景:密钥交换、数字签名
-
混合加密体系
- 非对称加密传递对称密钥,后续通信用对称加密
- 优势:结合两者优点(效率+安全性)
三、核心安全技术
-
数字签名
- 作用:验证数据完整性和来源真实性
- 实现流程 :
- 发送方用私钥对报文摘要加密
- 接收方用公钥解密并验证摘要一致性
-
报文完整性鉴别
- 方法 :
- MD5:生成128位摘要(已存在碰撞漏洞)
- SHA-256:生成256位摘要(更安全)
- 应用:防止数据篡改(如软件下载校验)
- 方法 :
-
实体鉴别
- 技术 :
- 口令认证(如密码登录)
- 生物特征认证(如指纹、人脸识别)
- 挑战:防止重放攻击(如使用一次性口令)
- 技术 :
四、密钥管理
-
对称密钥分发
- 方案 :
- 物理传递(如U盘携带密钥)
- 可信第三方分发(如KDC密钥分发中心)
- 方案 :
-
公钥认证
- 证书体系 :
- 数字证书包含公钥、所有者信息、CA签名
- 信任链:根CA→中间CA→用户证书
- 证书体系 :
五、网络安全协议
-
IPSec协议
- 功能:网络层加密与认证
- 模式 :
- 传输模式:保护IP载荷(如TCP/UDP数据)
- 隧道模式:保护整个IP报文(如VPN)
-
SSL/TLS协议
- 作用:传输层安全(如HTTPS)
- 握手流程 :
- 客户端请求安全连接
- 服务器发送证书和公钥
- 客户端验证证书并生成会话密钥
- 双方用会话密钥加密通信
-
SSH协议
- 替代方案:取代Telnet(明文传输)
- 特点:加密命令行操作(如远程服务器管理)
六、防火墙与入侵检测
-
防火墙技术
-
分类 :
类型 工作层次 功能 包过滤防火墙 网络层 基于IP/端口过滤 应用层网关 应用层 深度检测(如HTTP内容过滤) -
部署位置:网络边界、内部子网隔离
-
-
**入侵检测系统(IDS)**
- 类型 :
- 基于签名:匹配已知攻击特征(如SQL注入模式)
- 基于行为:检测异常流量(如突然大量请求)
- 部署方式:旁路监听(不影响网络流量)
- 类型 :
七、典型攻击防御
-
**拒绝服务攻击(DoS)**
- 原理:耗尽目标资源(如CPU、带宽)
- 防御 :
- 流量清洗(识别并丢弃恶意流量)
- 限制连接速率(如SYN洪水攻击防御)
-
**中间人攻击(MITM)**
- 场景:攻击者伪造通信双方身份
- 防御:数字证书认证、双向加密
-
社会工程学攻击
- 案例:钓鱼邮件伪装成合法机构
- 防御:用户教育、多因素认证
八、安全通信实践
-
电子邮件安全
- 协议 :
- PGP:端到端加密(如Gmail加密邮件)
- S/MIME:基于证书的邮件加密
- 协议 :
-
无线网络安全
- 协议:WPA3(取代WEP/WPA2)
- 技术 :
- 预共享密钥(PSK)
- 企业级802.1X认证(如Radius服务器)
-
区块链与安全
- 应用 :
- 比特币交易验证(工作量证明)
- 智能合约防篡改
- 应用 :
九、安全体系设计原则
- 纵深防御:多层防护(如防火墙+IDS+加密)
- 最小权限原则:用户仅拥有必要权限
- 默认安全:系统默认开启安全配置
- 持续更新:及时修补漏洞(如补丁管理)
本文总结覆盖了计算机网络第七版,作者谢希仁,教材中所有核心知识点,重点标注了:
- 协议交互流程(如SSL握手过程)
- 关键算法(如RSA工作原理)
- 典型攻击防御方案
建议配合教材中的加密流程图(如混合加密体系)进行对照学习。如需某个知识点的扩展说明可具体指出。