1:被动攻击:截获数据报,进行内容和流量分析。
对称密钥密码体制DES:
1: des的保密性取决于对密钥的保密。加密解密算法公开。
2:
加密解密密钥一致
公钥密码体制:
1:使用
不同
的加密密钥和解密密钥。
2:加密密钥公开。加密解密算法公开。解密密钥(私钥)保密。
3:任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量。
数字签名:
要求:
1:无法
伪造
签名。即报文鉴别。
2:接受这要能确定接受的报文没有被
篡改。即
报文的完整性。
3:发送者无法否认对报文的签名。即
不可否认。
签名:如A------〉B
(1)用A的私钥对报文签名。(2)B用A的公钥做运算得出明文。
(3)
可再结合公钥密码对报文加密发送。
满足3个要求,因为除了A没人可以持有A的私钥。
鉴别:
报文鉴别:
1:生成报文摘要。2:对报文摘要签名,生成报文鉴别码MAC。
3: 接受端可解密MAC后将接收的报文摘要和自己计算的报文摘要进行
比对。
4:报文摘要算法是
单向
的。
实体鉴别:
1:在系统接入的全部持续时间内只对通信实体的身份
验证一次。
2 : 重放攻击,采用不重数解决。 3:中间人攻击。
3:CA(认证中心):将
公钥
和其对应的实体进行
绑定。
网络层安全协议:
IPsec协议:
1:要建立源点到终点的
安全关联,是一条网络层的
逻辑连接(规定一些加密处理等的规则,存储在SAD中)
,可以提供安全服务。
2:
两种方式:将运输层的数据报加上IPsec的相关信息再封装为IP数据报。需要两个端点运行IPsec协议。
将IP数据报加上IPsec的相关信息封装为Ipsec数据报。需要途径的路由器都运行IPsec协议。
3:SAD(安全关联数据库)需要使用IKE(因特网秘钥交换)协议来
自动生成。
运输层安全协议:
ssl,tls处在应用层和传输层
之间
。
1:SSl(Secure Soket Layer)安全套接字层:在端系统应用层的http和运输层之间,在TCP之上建立一个
安全通道。
为通过tcp传输的应用层数据提供安全保证。
2:TLS(transpoert layer security)在SSL的基础上设计。
为所有基于tcp的网络应用提供安全数据传输服务。
3:客户端和服务器的握手过程:
(1)协商加密算法。浏览器A向服务器发送ssl版本号和支持的加密算法。服务器选定自己支持的,并通知A
(2)服务器鉴别:服务器B向A发送包含其公钥的数字证书。A用Ac颁发的公钥对该证书验证。
(3)会话密钥计算。浏览器A产生一个随机数,用B的公钥加密传送给B。根据算法产生一个共享的对称会话密钥
(4)安全数据传输。
当使用IPsec或SSl时,我们假设双方相互之
间建立起一个会话并双向的交换数据。
应用层安全协议:
邮件的安全问题。
1:需要宝使用的加密算法名称等的信息
包含
在邮件中发送给对方。
2:目前的电子邮件安全协议要求使用对称密钥算法进行加密和解密,并且这个密钥要随报文一起发送。
PGP加密过程:
(1)对邮件X进行报文摘要得到摘要H,用A的私钥对H签名,得到报文鉴别码MAC。将mac拼接到邮件明文x后面。
(2)对x+mac用A自己生成的一次性密钥加密。
(3)用B的公钥对A生成的一次性密钥加密。
(4)把加密后的x+mac和A生成的一次性密钥发送给B。B反向解析即可。
防火墙:一种
访问控制
技术。
1:防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间。目的是实施访问控制策略。
2:分组过滤路由器,根据过滤规则(基于分组的网络层或运输层首部的信息)对进出内部网络的分组执行转发或者丢弃。
3:应用网关。在
应用层
实现数据的过滤和高层用户的鉴别。所有进出网络的应用程序报文都必须通过应用网关。每种应用都需要一个不同的应用网关。
入侵检测系统(IDS):
1:IDS对进入网络的分组执行深度分组检查。观察到可疑分组时发出警告或者阻止操作。
2: 基于特征的IDS,维护一个
已知攻击
标志特征的数据库。分析时进行比照。
3: 基于异常的IDS。
监测系统状态
。如果发生不符合正常情况的状况,则认为可能发生了入侵。