加密的深度网络安全视角

抱歉，我需要您提供要翻译的具体文本内容（除代码块、URL 和源链接之外的部分），才能为您进行翻译。请把需要翻译的文章或段落粘贴在这里，我会按照要求保持格式并翻译成简体中文。

加密：双向保护

Encryption 将可读数据转换为不可读的密文。使用正确的密钥可以将其逆转。

对称加密

使用单一密钥对数据进行加密和解密。

常见用途

• Wi‑Fi
• VPN
• 磁盘加密
• TLS 会话

算法

• AES – 现代、快速且安全的对称加密标准。
• DES – 旧的密码算法；密钥长度太短，已不安全。
• 3DES – 改进版 DES，但仍已过时；速度慢且强度不如 AES。

非对称加密

使用公钥加密，私钥解密。

常见用途

• HTTPS
• 数字签名
• 身份验证
• 安全电子邮件

算法

• RSA – 众所周知且可靠，但比新系统慢且较旧。
• ECC（椭圆曲线密码学） – 现代非对称系统，使用更小的密钥，提供相同强度，速度更快且更轻量。

密码模式（块加密工作原理）

• CBC（Cipher Block Chaining） – 每个块与前一个密文块组合。易受填充‑oracle 攻击；已被视为过时。
• GCM（Galois/Counter Mode） – 使用内置完整性检查的计数器模式加密，提供机密性、完整性和真实性。是现代 TLS 的标准。

TLS 握手

TLS 握手在任何数据交换之前安全地协商加密。

• 同意加密算法
• 交换公钥
• 验证证书
• 创建临时对称会话密钥（用于所有后续数据）

密码套件

密码套件是一种预定义的“配方”，指定在 TLS 会话中使用的算法（密钥交换、加密、散列等）。

典型的现代套件：

• ECDHE 用于密钥交换
• AES‑GCM 用于加密
• SHA‑256 用于完整性

TLS、证书、密钥、信任

TLS（传输层安全）

在客户端和服务器之间提供加密连接，结合 AES、RSA/ECC、证书和密钥交换。

SSL

TLS 的旧版本；现在被认为不安全。

密钥交换方式

• DH（Diffie–Hellman） – 在不安全的网络上创建共享密钥，且不直接传输该密钥。
• ECDH（椭圆曲线 Diffie–Hellman） – 同样的概念，但使用更小的密钥并提供更高的每比特安全性。

PKI（公钥基础设施）

组成部分

• 证书
• 证书颁发机构（CAs）
• 信任链（根 → 中间 → 服务器）
• OCSP（在线证书状态协议）
• CRL（证书吊销列表）

关键概念

• 根信任 – 设备内置受信任 CA 的列表；任何由受信任 CA 颁发的证书都会被接受。
• EV 证书 – 扩展验证；身份检查更严格，但加密安全性相同。
• 证书固定（Pinning） – 应用只信任特定的证书或密钥，防止伪造证书。

密钥生命周期

• 生成
• 安全存储
• 轮换
• 过期
• 安全销毁

代码签名

软件使用私钥进行签名；系统在执行前验证签名，帮助防止恶意软件冒充。

身份验证和身份安全

• Kerberos – Windows 网络的身份验证协议。
• WPA3 – 现代安全的 Wi‑Fi 协议。
• Password‑Based (PB) – 密码基础系统的通用术语。
• SAML – 较旧的企业身份协议。
• OAuth 2 – 现代应用的授权框架。
• OIDC (OpenID Connect) – 基于 OAuth 2 的身份层。
• Identity Provider (IdP) – 确认用户身份的服务。
• SSO (Single Sign‑On) – 一次登录即可访问多个应用。
• JWT (JSON Web Token) – Web 系统使用的令牌格式。
• Access Tokens – 用于 API 访问的短期令牌。
• Federation – 跨系统共享身份信息。

威胁建模与风险术语

• STRIDE – 威胁类别：欺骗、篡改、否认、信息泄露、拒绝服务、特权提升。
• DREAD – 较早的威胁评分模型。
• Attack Trees – 攻击树 – 用于可视化攻击者达到目标路径的模型。
• Kill Chain – 杀链 – 攻击的各个阶段。
• MITRE ATT&CK – MITRE ATT&CK – 攻击者技术的数据库。
• Attack Surface – 攻击面 – 攻击者可能尝试进入的所有点。

漏洞与风险指标

• CVE – 已知漏洞的公开标识符。
• CVSS – 用于指示漏洞严重程度的评分系统。
• NVD – 国家漏洞数据库；官方的漏洞记录库。
• Threat Agents – 可能发动攻击的实体。
• Risk Scoring – 对情形危险程度的评估。

基础设施与访问控制

• IAM (Identity and Access Management) – 用于管理用户身份和权限的框架。
• ACLs (Access Control Lists) – 定义谁可以访问哪些资源的列表。
• DMZ (Demilitarized Zone) – 将公共互联网与内部网络分隔开的网络段。

Disaster Recovery Terms

• RTO (Recovery Time Objective) – 最大可接受的停机时间。
• RPO (Recovery Point Objective) – 最大可接受的数据丢失。
• DR Site – 灾难恢复的备份地点。
• Backup Testing – 验证备份是否正常工作。

Encryption may seem overwhelming at first, but understanding how algorithms, keys, and trust layers interconnect makes the system comprehensible and provides a solid foundation for deeper cybersecurity concepts.
加密起初可能让人感到压力山大，但了解算法、密钥和信任层如何相互关联，使系统变得易于理解，并为更深入的网络安全概念奠定坚实的基础。