网络安全（计算机网络）

Definition

网络安全，在计算机网络的背景下，是指使用密码技术和安全协议来保护网络通信，以确保数据保持机密、未被篡改和经过认证，并且服务保持可用，即使存在能够访问网络的对手。

Scope

本主题涵盖网络通信中的安全，是对更广泛的信息安全子领域的补充而非重复。它涉及安全通信的目标（机密性、消息完整性、端点认证和可用性）、网络中使用的密码学构建模块（对称加密和公钥加密、消息认证码、数字签名和证书），以及这些模块如何组合成协议，例如用于传输层的TLS、用于网络层的IPsec，以及围绕防火墙和拒绝服务攻击的威胁和防御。它侧重于保护通信安全，而非通用系统或软件安全。

Core questions

• 安全通信的目标是什么：机密性、完整性、认证和可用性？
• 对称加密和公钥密码学如何支持这些目标？
• 消息认证码和数字签名如何提供完整性和认证？
• 证书和公钥基础设施如何建立身份信任？
• 这些基本要素如何组合成TLS和IPsec等协议，以及仍然存在哪些威胁？

Key concepts

• 机密性、完整性、认证、可用性
• 对称密钥加密
• 公钥密码学
• 消息认证码
• 数字签名
• 证书和公钥基础设施
• 传输层安全（TLS）
• IPsec
• 防火墙
• 拒绝服务攻击

Key theories

公钥密码学和密钥交换

公钥方法允许从未见面的双方在开放信道上建立共享密钥并验证身份，为密钥交换和数字签名奠定基础；Diffie和Hellman的工作引入了这一思想，并使在不信任网络上的安全通信变得实用。

使用TLS保护通信安全

传输层安全将密钥交换、通过证书进行的认证、加密和完整性保护结合到一个握手加记录协议中，从而保护大多数端点之间的网络和应用程序流量。

完整性和认证原语

消息认证码和数字签名允许接收方验证消息未被篡改且来自声称的发送方，解决了仅靠机密性无法解决的篡改和冒充问题。

Clinical relevance

网络安全使得日常在线活动值得信赖：TLS保护网页浏览、银行和消息传递免受窃听和篡改，证书基础设施允许用户认证他们连接的网站，IPsec保护虚拟专用网络的安全。针对拒绝服务攻击的防御和防火墙的部署塑造了服务的弹性，使安全通信成为商业、隐私和关键基础设施的基础。

History

公钥密码学（Diffie和Hellman，1976年）的出现使得在开放网络上进行安全通信成为可能。随后出现了安全协议：SSL及其继任者TLS用于保护网络和应用程序流量，IPsec用于网络层安全和VPN，以及一个由证书颁发机构组成的公钥基础设施来认证身份。TLS已经发展了多个版本，其中TLS 1.3（RFC 8446，2018年）简化并加强了该协议。

Key figures

• Whitfield Diffie
• Martin Hellman
• Eric Rescorla

Related topics

• application layer protocols
• domain name system
• content distribution and cdns

Seminal works

• diffie1976
• rfc8446
• kurose2021

Frequently asked questions

这与更广泛的信息安全领域有何不同？

本主题专门关注保护网络通信安全——即保护传输中数据的密码协议和机制，如TLS和IPsec。更广泛的信息安全和网络安全领域还涵盖软件安全、访问控制、操作系统安全以及超出网络通信本身安全范围的组织实践。

浏览器中的挂锁图标是什么意思？

它表示与网站的连接已通过TLS加密：流量经过加密以确保机密性，并受到完整性保护以防篡改，并且网站提供了浏览器用于验证其身份的证书。它本身不能保证网站是可信的，只能保证与网站的连接是安全的。

Methods for this concept

• TLS Protocol Analysis
• Diffie-Hellman Key Exchange
• Digital Signature Scheme
• RSA Cryptosystem Analysis
• Symmetric Key Cryptanalysis
• RSA Cryptosystem
• Deep Packet Inspection
• HMAC

Related concepts

• 网络安全
• 系统与网络安全
• TLS和安全通道
• 密钥交换与建立
• 密码协议
• 公钥基础设施