网络安全概述
(一)基本概念
网络安全是指网络系统的硬件、软件及其系统中的数据收到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露、系统连续可靠正常地运行,网络服务不中断
基本属性:机密性、消息完整性、可访问与可用性、身份认证
(二)网络安全威胁
从报文传输方面,主要包括窃听、插入、假冒、劫持等安全威胁
常见的网络攻击包括:拒绝服务Dos以及分布式拒绝服务DDoS等
数据加密
作用:解决数据的机密性、完整性、不可否认性以及身份识别等问题均需要以密码为基础
(一)传统加密方式
1.替代加密:加密函数Ek(M)=(M+k)modq
解密函数Ek(M) = (M - k)modq
2.换位加密:
(二)对称密钥加密
DES加密算法、三重DES、AES、IDEA加密算法
(三)非对称/公开密钥加密
RSA算法、Diffic-Hellman算法
消息完整性与数字签名
(一)消息完整性检测方法
特性:一般的散列函数具有算法公开、能够快速计算、对任意长度报文进行多对一映射均能产生定长输出、对于任意报文均无法预知其散列值、不同报文不能产生相同的散列值
散列函数:MD5、SHA-1
(二)报文认证
作用:证明报文确实来自声称的发送方;验证报文在传输过程中农没有被篡改;预防报文的时间,顺序被篡改;预防报文持有期被篡改;预防抵赖
简单认证:缺点:没有达到对消息来源认证的目的
报文认证码MAC:也没有达到对消息认证的目的
(三)数字签名
满足的要求:接收方能够确认或证实发送方的签名,但不能伪造;发送方发出签名的消息给接收方后,就不能再否认他所签发的消息;接收方对已收到的签名消息不能否认,即有收报认证;第三者可以缺收发双方之间的消息传送,但不能伪造这一过程
身份认证
是一个实体经过计算机网络向另一个实体证明其身份的过程
密钥分发中心与证书认证机构
(一)密钥分发中心
(二)证书认证机构
作用:解决中间中间人攻击的问题,通常由CA认证中心完成的
防火墙与入侵检测系统
(一)防火墙基本概念
隔离组织内部网络与公共互联网,允许某些分组通过,从而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合的一种设施
(二)防火墙分类
无状态过滤器、有状态分组过滤器、应用网关
(三)入侵检测系统IDS
作用:当观察到潜在的恶意流量时,能够产生警告的设备或系统,IDS不仅仅只能对TCP/IP首部进行操作,而且会进行深度抱检测,并检测多数据之间的相关性
网络安全协议
(一)安全电子邮件
需求:机密性、完整性、身份认证性、抗抵赖性
标准:PGP标准
(二)安全套接字层SSL
是一种传输层的安全协议,HTTP协议使用SSL进行安全通信时,称为安全HTTP,简称HTTPS
主要组成:发送方和接收方利用各自的证书、密钥证书、鉴别彼此、并交换共享密钥;密钥派生或密钥到处,发送方和接收方利用共享密钥派生出一组密钥;数据传输,将数据分割成一系列记录,然后加密;连接关闭,通过发哦是哪个特殊消息,安全关闭连接,不能留有漏洞被攻击方利用
SSL协议栈,是介于TCP和HTTP等应用层协议之间的一个可选层
握手过程:
1.客户发送其支持的算法列表,以及客户一次随机数,服务器从算法列表中选择算法,并发给客户自己的选择、公钥证书和服务端一次随机数nonce
2.客户验证证书,提取服务器公钥,生成预主密钥,并利用服务器的公钥加密预主密钥,发送给服务器,实现密钥的分发
3.客户与服务器基于预主密钥和一次随机数,分别独立计算加密密钥和MAC密钥
4.客户发送一个针对所有握手消息的MAC,并将此MAC发送给服务器
5.服务器发送一个针对所有握手消息的MAC,并将此MAC发送给客户
(三)虚拟专用网VPN和IP安全
VPN(虚拟专用网络)作用:实现远程用户、分支机构、业务伙伴等与机构总部网络的安全连接,从而构建针对特定组织机构的转换用网络
涉猎技术隧道技术、数据加密、身份认证、密钥管理、访问控制和网络管理等
协议IPSec
IPSec是网络层使用最广泛的安全协议
安全关联SA
作为IPSec的通信实体,可以是主机或路由器,在发送数据之前,需要在发送实体和接收实体之间进行安全关联(SA)