文章目录
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/4a3d666c4d2521ea905986a1233680f0.png)
一、网络安全概述
1.基本概念
网络安全通信的基本属性:
- 机密性:只有发送方和接收方能理解报文内容。
- 消息完整性:消息未被篡改,发生篡改一定会被检测到。
- 可访问与可用性:对授权用户提供有效服务。
- 身份认证:双方确认彼此的真实身份。
2.典型的网络安全威胁
- 报文传输:传输过程面临窃听、插入、假冒、劫持等安全威胁。
- 拒绝服务DoS(Denial of Service)、分布式拒绝服务DDoS。
- 映射:先探路,再攻击。
- 分组“嗅探”:Wireshark是一个典型的分组嗅探软件。
- IP欺骗
拓展:
二、数据加密
1.通信加密模型
2.传统加密方式
a.替代密码:凯撒密码
b.换位密码:列置换密码
根据一定规则重新排列明文,以便打破明文的结构特性。只改变明文结构,不改变内容。
密文:bvu iex ooo bly
4 | 3 | 1 | 2 |
---|---|---|---|
b | o | b | i |
l | o | v | e |
y | o | u | x |
最后的x是题目要求的占位符
3.对称密钥加密
对称密钥加密:加密密钥和解密密钥是相同的。
a.分组密码(块密码)
1)DES加密算法(Data Encryption Standard, 数据加密标准)
加密:明文分为64位分组,使用56位的秘钥,进行16轮加密。
三重DES:使用俩个秘钥,执行三次DES算法,秘钥长度达到112位。
2)AES加密算法(Advanced Encryption Standard,高级加密标准)
AES秘钥长度:128/192/256位
AES加密算法的特点:
1.分组长度和秘钥长度均可变
2.循环次数允许在一定范围内根据安全要求进行修正
3.安全、效率、易用、灵活
4.抗线性攻击和抗差分攻击的能力大大增强
5.如果1秒暴力破解DES,则需要149万亿年破解AES
3)IDEA加密算法(International Data Encryption Algorithm,国际数据加密算法)
密钥长度:128位
b.流密码(序列密码)
用很多个密钥给明文加密
4.非对称/公开密钥加密
a.基本介绍
非对称 密钥加密(公开密钥加密):加密密钥和解密密钥是不同的。
通信双方都有俩个密钥:
1.公钥:任何人都可以得到
2.私钥:只有自己知道
b.非对称密钥加密(公开密钥加密)加密过程
典型的公开秘钥加密算法:Diffie-Hellman算法和RSA算法。
Diffie-Hellman算法:基于数学中素数原根理论。
RSA算法:
基于数论设计,安全性建立在大数分解的难度上。- 应用比较广泛,安全性高。
三、消息完整性与数字签名
1.消息完整性(报文认证)的目标
- 证明报文确实来自声称的发送方;
- 验证报文在传输过程中没有被篡改;
- 预防报文的时间、顺序被篡改;
- 预防报文持有期被篡改;
- 预防抵赖;
2.消息完整性检测方法
a.散列函数
典型的散列函数:
- MD5(Message-Digest Algorithm 5):128位散列值。
- SHA-1:160位散列值。
SHA-1是典型的用于创建数字签名的单向散列算法。
b.散列函数的特性
- 散列函数算法公开
- 快速计算
- 对任意长度报文进行散列产生定长输出
- 对于任意报文无法预知其散列值
- 不同报文不产生相同的散列值
- 单向性
c.消息完整性检测方法:用散列函数,对报文m进行散列化
3.报文认证
a.报文认证的概念:
报文认证:消息的接收者能够检验收到的消息是否是真实的方法。
报文认证要完成消息源的认证和消息的认证。
b.报文认证术语
c.报文认证的方式一:简单报文验证
缺点:无法达到对 消息源 认证
d.报文认证的方式二:报文认证码MAC(Message Authentication Code)
缺点:
发送方不承认自己发送过某一报文
接收方自己伪造一份报文,并声称来自发送方
某个用户冒充另一个用户接收和发送报文
接收方对收到的信息进行篡改
4.数字签名
a.数字签名概念
b.数字签名应满足
- 接收方能够确认发送方的签名,但不能伪造。
- 发送方发出签名的消息给接收方后,就不能再否认他所签发的消息。
- 接收方对已收到的签名消息不能否认,有收报认证。
- 第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
c.数字签名的方式一:简单数字签名
d.数字签名的方式二:签名报文摘要
四、身份认证(身份鉴别)
身份认证指一个实体经过计算机网络向另一个实体证明其身份的过程。
1.基于共享对称秘钥的身份认证
为什么要使用一次性随机数R?
因为要避免重放攻击
2.基于公开秘钥的身份认证
五、密钥分发中心与证书认证机构
1.密钥分发中心
2.证书认证机构
认证中心(CA,Certification Authority)的作用:
- CA可以证实一个实体的真实身份。
- 一旦CA验证了某个实体的身份,CA会生成一个把其身份和实体的公钥绑定起来的证书,其中包含该实体的公钥及其全局唯一的身份识别信息等,并由CA对证书进行数字签名。
六、防火墙与入侵检测系统
1.防火墙基本概念
防火墙:隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合的一种设施。
2.防火墙分类
- 无状态分组过滤器: 典型部署在内部网络和网络边缘路由器上的防火墙。
路由器逐个检查数据报,根据访问控制表(Access Control Lists,ACL)实现防火墙规则。 - 有状态分组过滤器:跟踪每个TCP连接建立、拆除,根据状态确定是否允许分组通过。
- 应用网关:应用网关实现授权用户通过网关访问外部网络的服务。
3.入侵监测系统(IDS,Intrusion Detection System)
入侵检测系统是当观察到潜在的恶意流量时,能够产生警告的设备或系统。
七、网络安全协议
1.安全电子邮件(应用层解决安全性的实例协议)
a.电子邮件对网络安全的需求
- 机密性
- 完整性
- 身份认证性
- 抗抵赖性
b.安全电子邮件标准:PGP标准(Pretty Good Privacy)
PGP提供的服务:
1.邮件加密;报文完整性;数字签名;
2.加密算法:
①公钥加密算法(如RSA)
②对称加密算法(如3DES)
③散列算法(如SHA-1)
2.安全套接字层SSL(传输层解决安全性的实例协议)
Web浏览器会遇到各种各样的安全威胁:恶意程序等
方案一:在电子商务背景下,提出HTTP安全电子商务交易协议
方案二:在传输层之上构建一个安全层:安全套接字层(SSL,Secure Socket Layer)
a. SSL可以提供的服务
机密性、完整性、身份认证等安全服务。
b.SSL协议栈(协议的总和)
SSL是介于TCP和HTTP等应用层协议之间的一个可选层,大多数应用层协议直接建立在SSL协议之上,SSL是俩层协议。
①SSL握手协议
主要作用:
协商密码组和建立密码组;
服务器认证与鉴别和客户认证与鉴别;
②SSL更改密码协议
通信双方修改密码组
③SSL警告协议:
握手或者数据加密出错,为对等实体传递SSL警告或者终止当前连接。
包含俩个字段:警告级别和警告代码
④SSL记录协议
描述了信息交换过程中的消息格式,前面3个协议需要记录协议进行封装与传输。
3.虚拟专用网VPN和IP安全协议IPSec(网络层解决安全性的实例协议)
a.虚拟专用网VPN(Virtual Private Network)
- 建立在公共网络上的安全通道,是用户通过公共网络建立的临时的、安全的连接。实现远程用户、分支机构、业务伙伴等与机构总部网络的安全连接,从而构建针对特定组织机构的专用网络。
- 虚拟专用网最重要的特点:虚拟。
b.VPN涉及的关键技术
- 隧道技术【核心】
- 数据加密
- 身份认证
- 密钥管理
- 访问控制
- 网络管理
c.隧道
隧道:通过Internet提供的点对点的数据传输的安全通道。通过数据加密保证安全。数据进入隧道时,由VPN封装成IP数据报,通过隧道在Internet上传输;离开隧道后,进行解装,数据便不再受VPN保护。
d.IPSec体系简介
- IPSec是网络层使用最广泛的安全协议,是一个安全体系。
- 主要包括:
- 封装安全载荷协议(ESP):提供源认证和鉴别、数据完整性检验和机密性检验。
- 认证头(AH)协议:提供源认证和鉴别、数据完整性检验。
- 安全关联(SA):发送方实体和接收方实体关联起来。
- 密钥交换与管理(IKE):协商建立安全关联和交换密钥的方式。
e.IPSec传输模式
- 传输模式:IPSec数据报的发送和接收都由端系统完成。
- 隧道模式:将IPSec的功能部署在网络边缘的路由器上,路由器之间建立安全隧道,数据报在其中封装传输。
f.传输模式和协议组合
- 传输模式AH
- 隧道模式AH
- 传输模式ESP
- 隧道模式ESP:最广泛和最重要的IPSec形式。