计算机网络安全基础知识总结计算机网络安全概述( 三 ) _基础知识

2、公钥的分配
认证中心 CA(Certification Authority)将公钥与其对应的实体进行绑定，一般由政府出资建立。每个实体都有 CA 发来的证书，里面有公钥及其拥有者的标识信息。
互联网使用的安全协议
1、网络层安全协议
IPsec 并不是一个单一的协议，而是能够在 IP 层提供互联网通信安全的协议族。
IPsec 协议族中的协议可划分为以下三个部分：

鉴别首部 AH(Authentication Header)协议：AH 鉴别源点和检查数据完整性，但不能保密和封装安全有效
载荷 ESP(Encapsulation Security Payload)：ESP 比 AH 复杂的多，它鉴别源点、检查数据完整性和提供保密。
有关加密算法的三个协议；互联网密钥交换 IKE(Internet Key Exchange)协议。

在使用 AH 和 ESP 之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA 。
IPsec 就把传统的因特网无连接的网络层转换为具有逻辑连接的层。
SA(安全关联)是构成 IPsec 的基础，是两个通信实体经协商（利用 IKE 协议）建立起来的一种协定，它决定了用来保护数据分组安全的安全协议（AH 协议或者 ESP 协议）、转码方式、密钥及密钥的有效存在时间等。
IP 安全数据报的格式如下图所示

2、运输层安全协议
运输层广泛使用的两个协议：

安全套接字层 SSL(Secure Socket Layer)：作用在端系统的应用层的 HTTP 和运输层之间，在 TCP 之上建立一个安全通道，为通过 TCP 传输的应用层数据提供安全保障；
运输层安全 TLS(Transport Layer Security)：为所有基于 TCP 的网络应用提供安全数据传输服务。

如上图所示：
在未使用 SSL 时，应用层的应用程序的数据通过 TCP 套接字与运输层进行交互。
使用 SSL 后，因为 SSL 增加了 TCP 的服务（更加安全了），因此 SSL 应该是运输层协议。然而实际上，需要使用安全运输的应用程序（如 HTTP）却把 SSL 驻留在应用层。如上图所示，应用层扩大了。在应用层序下面多了一个 SSL 子层，而在应用程序和 SSL 子层之间，还有一个 SSL 套接字，其作用和 TCP 套接字相似，是应用程序和 SSL 子层的应用编程接口 API 。
当使用信用卡进行网上支付时，应用程序 HTTP 就调用 SSL 对整个网页进行加密，http 会变为 https，s 代表 security 。TCP 的 HTTPS 的端口是 443，而不是平时用的 80 。
在发送发，SSL 从 SSL 套接字接收应用层的数据，对数据进行加密，然后把加密的数据送往 TCP 套接字；在接收方，SSL 从 TCP 套接字读取数据，解密后，通过 SSL 套接字把数据交给应用层。
SSL 提供的安全服务可归纳为以下三种：

SSL 服务器鉴别，允许用户证实服务器身份。支持 SSL 的客户端通过验证来自服务器的证书，来鉴别服务器的真实身份并获得服务器的公钥；
SSL 客户鉴别，SSL 的可选安全服务，允许服务器证实客户的身份；
加密的 SSL 会话，对客户和服务器间发送的所有报文进行加密，并检测报文是否被篡改。

3、应用层安全协议
使用 PGP(Pretty Good Privacy)协议给电子邮件提供安全服务。
系统安全：防火墙与入侵检测
1、防火墙
防火墙(firewall)作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低这类安全威胁所带来的安全风险。由于防火墙不可能阻止所有入侵行为，作为系统防御的第二道防线，入侵检测系统 IDS(Intrusion Detection System)通过对进入网络的分组进行深度分析与检测发现疑似入侵行为的网络活动，并进行报警以便进一步采取相应措施。