概述
DoS:攻击者向某个服务器发送大量分组,使服务器瘫痪
交换机中毒:发送大量伪造源MAC地址的帧给交换机,使交换机的交换表填满伪造的地址
数据加密模型:
两类密码体制
对称密钥
相同的加密密钥和解密密钥
一对一双向保密通信
公钥
不同的加密密钥和解密密钥
多对一单向保密通信
认证中心CA:将公钥与对应的实体绑定
数字签名
签名:A用私钥得到密文
核实签名:B用公钥还原出明文
目的:确认明文是A发送的
具有保密性的数字签名:
鉴别
验证通信对方不是冒充者,且报文没有被篡改
报文鉴别
1.密码散列函数:MD5, SHA-1
步骤:
A根据明文X计算散列H,对散列H用密钥K加密,得到报文鉴别码MAC
A将报文鉴别码MAC与明文X拼接
由于散列长度固定,因此可以将报文鉴别码和明文分开
B通过密钥K对报文鉴别码MAC进行解密得到散列H
B通过散列函数,计算明文X的散列,并与散列H比较
实体鉴别
验证通信对方实体
简单方式:A发送带有自己身份A和口令报文,用对称密钥加密,B用对称密钥解密
缺点:重放攻击
解决方式:使用不重复使用的随机数
A发送身份A和不重数RA
B发送用对称秘密钥对R的加密,以及不重数RB
A用对称密钥对RB加密发送给B
缺陷:中间人攻击
IP欺骗:截获并将A的IP地址冒充为自己的IP地址
密钥分配
对称密钥的分配
1.A向KDC发送明文,想和B通信
2.KDC用随机数产生会话密钥Kab(一次性),供AB这次会话使用
向A发送回答报文,用A的密钥Ka加密,包含Kab和请A转给B的票据(A,B,Kab),票据用Kb加密
3.B收到票据后用Kb解密,直到A要与他通信,以及Kab
4.AB通过Kab通信
可以加入时间戳,防止重放攻击
公钥的分配
认证中心CA将公钥与实体进行绑定
每个实体都有CA证书,包括公钥和拥有者的标识信息
安全协议
网络层:Ipsec
运输层:SSL, TLS