文章目录
前言:
感觉计网的HTTP、三次握手的地方经常涉及到这一块知识,所以还是简单总结一下吧!
图源学校课件,引用的有些图片我也不知道出处是哪= =…侵删
主要是概念、对比等内容,不深入(权当索引,或者说抛砖引玉)
一. 对称加密
1)知识点
- 定义:发送方、接收方共享同一密钥。
(公钥加密开发之前,是唯一被使用的加密类型,如今依旧是最被广泛使用的两种加密类型之一。) - 基本术语:
- 明文:原始信息
- 密文:编码后信息
- 密钥:发送方、接收方使用的秘密信息
- 加密算法:把明文转换成秘文的算法
- 解密算法:把秘文转换成明文的算法
- 对称加密模型:
- 安全要求:
- 强安全的加密算法
- 只有发送方、接收方知道密钥
- 加密算法是公开的
- 存在一个安全的通道去分发私钥(用于保证2,否则被窃听的话2就无了)
- 对称密码存在的限制:
- 共享密钥,在参与人数足够多时,密钥分发、管理是一个难题。
- 通讯双方地位平等,无法保证确实由某一方发送,缺少抗抵赖功能
2)具体算法
1. DES
- 涉及到矩阵置换、逆置换、拓展运算、压缩运算等,此处不赘述
- 轮函数应该是大头
2. 3DES
- DES 的基础上得来
- 下图 D 代表加密,E 代表解密
- 可以转换成 DES(两个密钥的 3DES)
- 正常 3DES (三个密钥)
3. AES
- 涉及到轮密钥加等操作(不赘述)
二. 非对称加密(公钥密码)
1)知识点
- 思想:
- 基于数学函数,而非简单的比特模式
- 使用两个密钥:公钥、私钥
- 由于通讯双方使用密钥不同,因此具有非对称结构
- 计算开锁大,作为对称加密方法的补充,而非替换方案
- 为什么提出公钥密码?解决两个问题:
- 密钥分发:在没有一个可信的密钥分发中心的情况下,如何去保证安全通信
- 数字签名:如何验证消息来自声明的发送方(也就是防止第三者伪装)
- 特点:
- 公钥:任何人都知道,用于加密信息、验证签名
- 私钥:仅接受方知道,用于解密信息、创造签名
- 由公钥,生成私钥是不可行的
- 由于密钥非对称,因此加密信息,或验证签名的人无法解密信息,或创造签名。
- 公钥密码模型:
- 对称、非对称加密的对比:
2)具体算法
RSA
- 基于大整数运算的分组密码
- 加密 C = M e C = M^e C=Me mod n
- 解密 M = C d M = C^d M=Cd mod n
- 公钥 PU = {e, n};私钥 PR = {d, n}
- 安全保证:大数因式分解非常困难
- 使用流程可以见我的这篇博客最后部分
三. 数字签名
1)知识点
-
提供的功能:
- 验证作者、签名日期时间(不可否认性)
- 验证信息内容(完整性)
- 通过第三方认证解决纠纷(公开验证性)
-
因此,数字签名包含具有附加功能的身份验证函数
-
数字签名方案:私钥签名,公钥验证
-
效果:
- 任一接收方,都可以用发送方的公钥进行验证文件。从而实现数字签名的效果
- 只有发送方有私钥,因此其他人无法伪造签名
- 接收方验证签名后,发送方不能否认这个文件是他签名的(只有他有私钥嘛!)
-
缺点:
- 对整个文件进行加密操作,运行速度受文件大小影响,运行效率低
- 加密后的签名文件和原文件一样大小,不利于网络传输,接收方在验证时花费时间多。
-
改进的数字签名方案:
- 发送方:先用散列函数,对文件生成摘要值;再对摘要值签名。发签名值 + 文件
- 接收方:先用散列函数,对文件生成摘要值S’;再对发送方发的签名值,用公钥进行解密生成摘要值S,通过比较 S、S’ 来验证签名
- 散列函数:适用任意长度数据块,生成固定长度输出。举例 SHA、MD5
四. DDoS 攻击
- 定义:Distributed Denial of Service 分布式拒绝服务(攻击)。通过大量合法的请求占用大量网络资源,达到瘫痪网络的目的。
- 阻塞带宽、服务器超载、阻断用户访问、干扰正常业务
- 攻击对象:任何网络可达的服务和设备
1)直接 DDos 攻击
- 漏洞 - 木马 - 后门 - 攻击
- 只进行第一次握手,而不回应第三次握手
- 占用连接队列,达到受害者无暇理睬正常连接请求的目的。造成拒绝服务。
- 发起大量 HTTP Get 请求,主要请求涉及数据库访问的动态页面
- 使得数据库负载以及数据库连接池负载极高,无法响应正常请求
2)反射 DDos
- 利用正常主机的回应报文,来攻击受害者。
3)预防设施
- 攻击预防和先占
- 对资源消耗的强制执行政策和提供可利用的后备资源
- 修改互联网系统和协议
- 攻击检测和过滤:监测搜寻可疑的行为模式,过滤可能是攻击组成部分的封包。
- 攻击源回溯和鉴定:尝试鉴定攻击源,防止未来进一步的攻击。
817
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
