網絡安全通訊（加密算法）

1、網絡七層模型

https://baike.baidu.com/item/%E4%B8%83%E5%B1%82%E6%A8%A1%E5%9E%8B/1441391

應用層
網絡服務與最終用戶的一個接口。
協議有：HTTP FTP TFTP SMTP SNMP DNS TELNET HTTPS POP3 DHCP
表示層
數據的表示、安全、壓縮。（在五層模型裏面已經合併到了應用層）
格式有，JPEG、ASCll、DECOIC、加密格式等
會話層
創建、管理、終止會話。（在五層模型裏面已經合併到了應用層）
對應主機進程，指本地主機與遠程主機正在進行的會話
傳輸層
定義傳輸數據的協議端口號，以及流控和差錯校驗。
協議有：TCP UDP，數據包一旦離開網卡即進入網絡傳輸層
網絡層
進行邏輯地址尋址，實現不一樣網絡之間的路徑選擇。
協議有：ICMP IGMP IP（IPV4 IPV6） ARP RARP
數據鏈路層
創建邏輯鏈接、進行硬件地址尋址、差錯校驗 [2] 等功能。（由底層網絡定義協議）
將比特組合成字節進而組合成幀，用MAC地址訪問介質，錯誤發現但不能糾正。
物理層
創建、維護、斷開物理鏈接。（由底層網絡定義協議）

2、網絡安全和解決方案

2.1 安全的目標

保密性：confidentiality
完整性：integrity
可用性：availability

2.2 ×××類型

威脅保密性的×××：竊聽、通訊量分析；
威脅完整性的×××：更改、假裝、重放、否定
威脅可用性的×××：拒絕服務（DoS）

2.3 解決方案

1）技術：加密、數字簽名、訪問控制、數據完整性、認證交換、流量填充、路由控制等
加密和解密：
傳統加密方法：替代加密方法、置換加密方法
現代加密方法：現代塊加密方法

2）服務：用於抵禦×××的服務，也便是爲了上述安全目標而特意設計的安全服務
認證機制
訪問控制機制
數據保密性：鏈接保密性、無鏈接保密性、選擇域保密性、流量保密性
數據完整性
不能否認性

3、密鑰算法和協議

3.1 對稱加密

特性：
    一、加密、解密使用同一個密鑰；
    二、將原始數據分割成爲固定大小的塊，逐個進行加密；
缺陷：
    一、密鑰過多；
    二、密鑰分發困難；
算法：DES、3DES、AES

3.2 公鑰加密

公鑰：從私鑰中提取產生；可公開給全部人；pubkey
私鑰：經過工具建立，使用者本身留存，必須保證其私密性；secret key；
特色：
    1）密鑰分爲公鑰與私鑰
    2）用公鑰加密的數據，只能使用與之配對兒的私鑰解密；反之亦然；
用途：
    數字簽名：主要在於讓接收方確認發送方的身份；
    密鑰交換：發送方用對方公鑰加密一個對稱密鑰，併發送給對方；
    數據加密
算法：RSA， DSA， ELGamal

3.3 單向加密

即提出數據指紋；只能加密，不能解密；
特性：
    1）定長輸出、
    2）雪崩效應；
功能：完整性；
算法：md5（128位），sha1（160位）

3.4 密鑰交換

DH（Deffie-Hellman）
                A：p（大質數）, g（取模）
                B：p, g
A(發送): x  --> p^x%g ==> B
A(接收): (p^y%g)^x=p^yx%g

B(發送): y --> p^y%g ==> A
B(接收): (p^x%g)^y=p^xy%g
在網絡上傳遞是時P,B,X,Y；但只有A/B能解密。此時能夠完成密鑰交換功能。

3.5 舉例說明

一次通訊，三種加密算法（A和B進行通訊，A發信息給B）

A:加密
        1）對數據單向加密0，提取特徵碼；
        2）用A的私鑰1加密特徵碼附加在數據前面；
        3）再用一個對稱密鑰2把整個文件（數據+2過程的結果）加密；
        4）用B的公鑰3加密，加密3過程的對稱密鑰，附加在（結果的前面）

    B：解密
        1）用B的私鑰3解密這個密鑰。（A發的消息，只能B能解開）
        2）用這個祕鑰2，解密這個數據（明文+加密特徵碼）
        3）用A的公鑰1解密加密的特徵碼
        4）用一樣的單向加密算法0，提取特徵碼。對比兩個特徵碼。