计算机网络之危机四伏
1.1 网络安全
1.1.1 网络安全基本概念
- 1、网络安全
- 2、网络安全基本属性
- 3、网络安全的基本特征
- 4、网络安全
1.1.2 网络安全拟人模型
- 1、拟人场景
1.1.3 网络安全威胁
- 1、Internet安全威胁
- “探路”
- 2、分组“嗅探”(sniffing)
- 不根据地址匹配,接收/记录所有经过的分组/帧;
- 3、IP欺骗(Spoofing)
- 源IP地址写成B的,而不用自己的IP地址,隐藏痕迹;
- 路由器检查,src是否属于C的子网地址范围内,不转发源IP地址无效的IP分组;
- 但是目前Internet网络并没有强制执行这一检查;
- 4、拒绝服务DOS(Denial of service)
- 恶意泛洪,消耗资源,无法给正常用户提供资源;
- DDoS攻击过程
- 直接式攻击
- 反射式DDoS攻击—利用ip欺骗
- DOS:对策
- SYN cookie
- 服务器第一次握手,不预先分配资源,一直到第三次握手才分配资源;
- SYN cookie就是为了给服务器在不预先分配资源的情况下,第三次握手时清楚这是哪一个连接;使用哈希产生随机序列号;
1.2 密码学基础
1.2.1 密码学(cryptography)术语
-
1、对称密钥加密(加密和解密是同一个密钥)
-
2、公开密钥加密(两个密钥)
- 3、破解加密方法
- 选择明文攻击:例如对于字母替换,就选择包含26字母的明文,获得其密文就解密了;
1.2.2 传统加密方法
- 1、替代密码(substitution cipher)
- 2、换位(transpositions)密码
1.2.3 现代加密技术
-
1、流密码
-
2、分组密码(应用更广泛)
- 3、Feistel分组密码结构
1.2.4 数据加密标准:DES
1.2.4.1 DES算法结构
- 1、DES算法结构(Data Encryption Standard)
- 2、初始置换IP(Initial Permutation)
- 58就是对应1,以此类推
- 3、一轮DES加密过程
- 密钥是56bit,子密钥是48bit,要经过压缩变换得到;
-
4、DES:f函数结构
-
5、f函数的基本操作
-
6、逆初始置换(Inverse Initial Permutaion)
-
7、每轮子密钥的生成
1.2.4.2 DES的安全性
- 1、DES的改进
- 相同的明文分组,不会出现相同的密文;防止破译规律;
- 2、高级加密标准AES
- AES取代了DES;
- 3、Rijndael加密算法简介
1.2.5 公钥密码学
- 1、公钥加密算法
- 2、前提条件:模运算
- 3、RSA:预备知识
- 4、RSA:生成公钥/私钥对
- 5、RSA:加密、解密
- 6、RSA举例
1.2.6 RSA的理论依据
- 1、公式推导
- 2、RSA:另一个重要性质
- 公钥与私钥是相对的;
- 3、RSA的安全性
- 4、RSA的实际应用(问题)
- 幂计算量太大,通过公钥加密建立安全连接,然后利用第二个对称密钥,加密传输数据;
1.3 身份认证
- 协议ap1.0
- 协议ap2.0:IP源地址-----IP欺骗
- 协议ap3.0:秘密口令-----嗅探分组
- 协议ap3.1:秘密口令加密----直接回放复制攻击
- 协议4.0:一次性随机数,避免回放攻击
- 缺点:需要双方提前达成一个共享密钥;
- 协议5.0:利用公钥
- ap5.0的安全漏洞:中间人攻击
- 中间人攻击难以检测;
1.4 报文完整性
-
1、密码散列函数
-
2、Iternet校验和–不能作为散列函数
-
3、散列函数算法
- 4、报文摘要(Message digests)
- 5、报文认证
- 只能说明报文没有更改过,但是存在缺陷,不能区分身份认证;
- 改进:报文认证码MAC
1.5 数字签名
- 简单的MAC存在的问题;
- 1、数字签名
- 用自己的私有的密钥来形成密文,作为数字签名;
- 2、签名报文摘要
- 不对原来所有报文数据进行签名,而是对摘要签名;
1.6 密钥分发中心(KDC)
- 回顾身份认证协议:ap 4.0
- 1、对称密钥问题?
- 2、密钥分发中心(KDC)
1.7 认证中心(CA)
- 回顾身份认证协议:ap5.0
- 1、比萨恶作剧
- 2、公钥问题
- 使用的假的公钥;
- 3、认证中心
- 将实体与公钥一一对应;
- 4、公钥证书主要内容
1.8 安全电子邮件
1.8.1 安全电子邮件基本原理
- 1、电子邮件安全威胁
- 2、电子邮件安全需求
- 3、安全电子邮件基本原理
- 公开密钥(建立安全连接)+对称密钥(信息主题)
- 公开密钥计算量太大,不适合用来加密邮件本身;
- 用公钥加密传送对称密钥;
- 汇总(数字签名)认证与加密传送;
1.8.2 安全电子邮件标准
- 1、PEM标准(基石,但没有广泛配置)
-
2、PGP标准(广泛之一)
-
3、PGP标准
- 4、PGP功能框架
- 首先SHA-1是散列函数,RSA是公钥加密;利用KA-私钥对散列结果加密;邮件m本身一起压缩,选一个对称密钥Ks加密,再使用接收方的公钥对对称密钥Ks进行加密,
- 5、PGP报文格式
- 利用发送方私钥进行签名加密;
- 利用接收方公钥进行对称密钥(会话密钥)的加密;
- 1.报文主体是对称密钥加密;
- 6、PGP密钥
- 7、S/MIME标准