网络安全基础——加密与认证

前言

网络安全是软考中级网络工程师考试的重要组成部分。随着网络安全威胁的日益严重，掌握加密、认证、访问控制等安全机制，对于构建安全网络系统和应对考试都至关重要。

网络安全威胁类型

常见威胁分类

威胁类型	描述	防护措施
窃听（Sniffing）	捕获传输中的数据	加密传输
篡改（Tampering）	非法修改传输中的数据	完整性校验、数字签名
伪造（Spoofing）	冒充合法用户/设备	身份认证、反欺诈
拒绝服务（DoS）	耗尽资源使服务不可用	流量清洗、入侵检测
权限提升	获得未授权的高权限	访问控制、最小权限原则

加密技术

对称加密（Symmetric Encryption）

发送方和接收方使用相同的密钥进行加密和解密。

算法示例：DES、3DES、AES、RC4

优点：加密解密速度快缺点：密钥分发问题

流程：

1
2
明文 + 密钥 → 加密算法 → 密文
密文 + 密钥 → 解密算法 → 明文

非对成加密（Asymmetric Encryption）

使用公钥加密、私钥解密，也称为公钥密码体制。

算法示例：RSA、ECC、ElGamal

优点：解决密钥分发问题缺点：计算复杂、速度慢

流程：

1
2
发送方：明文 + 接收方公钥 → 加密算法 → 密文
接收方：密文 + 接收方私钥 → 解密算法 → 明文

哈希函数（Hash Function）

将任意长度的输入映射为固定长度的输出，用于完整性和身份验证。

特性：

单向性：无法从哈希值反推原文
抗碰撞性：难以找到两个不同输入产生相同输出
雪崩效应：输入微小变化导致输出巨大变化

常将算法：MD5（128位）、SHA-1（160位）、SHA-256（256位）

应用场景：

数字签名
完整性校验
口令存储（存储哈希值而非明文）

身份认证机制

认证类型对比

认证类型	因素	示例	安全性
你知道什么（What you know）	密码、PIN等	低
你拥有什么（What you have）	USB Key、智能卡	中	双因素认证
你是什么（What you are）	指纹、人脸、虹膜	高	生物特征

AAA认证架构

AAA是认证、授权、计费的统一框架：

Authentication（认证）：确认用户身份
Authorization（授权）：确认用户权限
Accounting（计费）：记录用户操作行为

流程：

1
2
3
4
5
6
7
用户 → 认证请求 → NAS（网络接入服务器）
                ↓
           RADIUS/TACACS+ 服务器
                ↓
           验证通过/拒绝 → NAS
                ↓
           允许/拒绝访问 → 用户

RADIUS协议

特点：

标准：RFC 2865/2866
传输：UDP 1812（认证）、1813（计费）
加密：仅加密密码字段，属性明文传输
架构：客户端-服务器模式

RADIUS属性：

属性类型	属性ID	用途
UserName	1	用户名
User-Password	2	用户密码
Framed-IP-Address	8	分配的IP地址
NAS-IP-Address	4	网络接入服务器IP

TACACS+协议

特点：

Cisco私有：但成为事实标准
传输：TCP 49（可靠传输）
全加密：整个报文加密
分离控制：认证、授权、计费独立处理

PKI公钥基础设施

PKI组成

CA（Certificate Authority）：证书授权中心，签发数字证书
RA（Registration Authority）：注册中心，审核证书申请
证书库：存储已撤销证书的CRL
终端实体：持有证书的最终用户

X.509证书结构

数字证书包含：

版本号：V3最常见
序列号：CA唯一分配
签名算法：如RSA with SHA-256
颁发者：CA的DN（Distinguished Name）
有效期：起止时间
主体：证书持有者的DN
公钥信息：算法及公钥值
签名：CA的数字签名

SSL/TLS握手过程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
客户端              服务端
  |                   |
  |---- Client Hello -->|
  |<-- Server Hello ------|
  |<-- Certificate ------|
  |---- Client Key Exchange -->|
  |---- Change Cipher Spec -->|
  |<-- Server Hello Done -----|
  |---- Change Cipher Spec -->|
  |---- Finished -------->|
  |<-- Finished ----------|
  |                   |
(建立加密通道)

访问控制列表（ACL）

ACL类型

标准ACL：1-99，检查源地址
扩展ACL：100-199，检查源/目的地址、协议、端口
命名ACL：使用名称标识更易管理

通配符

符号	含义	示例
host x.x.x.x	指定单个主机	host 192.168.1.10
any	任意地址	ip any any
eq	等于	eq 80
gt	大于	gt 1024
lt	小于	lt 1024
range	范围	range 100 200

练习题

题目1：以下关于对称加密和非对称加密的描述，错误的是（）

A. 对称加密速度快于非对称加密 B. 非对称加密解决了密钥分发问题 C. RSA属于对称加密算法 D. AES属于对称加密算法

答案：C（RSA是非对称加密）

题目2：MD5哈希函数的输出长度是（）

A. 128位 B. 160位 C. 256位 D. 512位

答案：A（MD5输出128位，SHA-1是160位，SHA-256是256位）

题目3：RADIUS协议使用的传输层协议和端口是（）

A. TCP 1812 B. UDP 1812 C. TCP 1813 D. UDP 1813

答案：B（RADIUS使用UDP 1812端口）

附录

参考文献

《网络安全基础与应用》- William Stallings
《密码学导论》- 潘承喜
软考中级网络工程师网络安全部分

文章封面

安全防护