【网络安全-技术与实践】第三版速通-CSDN博客

本文链接：https://blog.csdn.net/weixin_62036500/article/details/146389787

一、概述

信息安全的四个目标：保密性、完整性、可用性、合法使用

保密性：确保信息只能被授权的人或实体访问查看
完整性：确保信息在传输或存储过程中不被篡改或损坏
可用性：确保信息在需要时能够访问使用

四种基本安全威胁：信息泄露、完整性破坏、拒绝服务、非法使用

访问控制策略包括：强制性访问控制MAC（主客体都存在访问等级）、自主性访问控制DAC（访问控制列表）

强制性访问控制模型：BLP模型——不上读+不下写、Biba模型——向下写+向上读

安全服务（安全要求例如认证）通过安全机制（具体技术）来实现安全策略

PDR模型：保护—检测—响应

防护时间Pt—攻击者发起攻击时保护系统不被攻破的时间；检测时间Dt—从发起攻击到检测到攻击的时间；响应时间Rt—从发现攻击到做出有效响应时间

当Pt>Dt+Rt时认为系统是安全的

PPDR模型：保护—检测—响应—策略（Et暴露时间—系统被对手攻击后的时间）

策略=总体安全策略+具体安全策略

及时的检测和响应/恢复就是安全（Pt>Dt+Rt或Et=(Dt+Rt)-Pt）

PPDRR模型：策略—防护—检测—响应—恢复；动态自适应的安全模型

ATT&CK：MITRE ATT&CK®
网络杀伤链：Cyber Kill Chain® | Lockheed Martin
入侵分析钻石模型：Papers/papers/2019/入侵分析钻石模型.pdf at master · QAX-A-Team/Papers (github.com)

九、数字证书与公钥基础设施

公钥基础设施PKI组成：

证书机构CA：发放管理数字证书
注册机构RA：对证书进行资格审查
证书发布库：集中存放证书的发放撤销列表CRL
密钥的备份与恢复
证书撤销：周期性发布名单/在线状态查询
PKI应用接口

数字证书生成步骤：

密钥生成：用户A生成公私钥，将公钥、身份信息等发给RA
注册：用户提交信息，标准格式=证书签名请求CSR
验证：RA对用户信息和私钥进行验证；

验证方法：用户A使用私钥对签名，再由RA拿着公钥验证；RA生成随机数并用公钥加密，交给A解密；RA将证书用公钥加密，只有A用私钥才能解密
证书生成：证书机构将证书发给RA并在CA中维护证书目录

数字证书签名与验证：

CA签名证书：CA用自己的私钥对用户信息等hash后进行数字签名，用户A可以用公钥进行验证
数字证书认证：用户使用CA的公钥进行同样的摘要算法后与数字签名相同即可

用户对数字证书检查顺序依次是：有效期、签名检查、证书状态检查

证书撤销状态检查：

脱机撤销状态检查：定期发布证书撤销列表CRL，仅包含撤销的，不包含过期的。分为基础CRL+差异CRL
联机撤销状态检查：联机证书状态协议OCSP、简单证书检验协议SCVP

OCSP只对请求证书检查，而不对上级证书进行额外检查；SCVP是对OCSP的升级

PMI授权管理设施（PKI管认证，PMI管授权）

AA属性权威，用于生成签发AC；AC即属性证书；ARA即注册机构；LDAP用于存放发放和撤销的属性证书列表（ACRL）
PMI的信任源——SOA；SOA可以向下发给次级AA
实现机制：基于Kerberos、策略服务器、属性证书的机制

十、网络加密与密钥管理

网络加密方式：

链路加密：密码机A——节点——密码机B
节点加密：将上面的密码转换过程放在一个节点内
端到端加密：链路上不存在解密过程
混合加密

通信网密钥种类：基本密钥、会话密钥、密钥加密密钥、主机主密钥

密钥的分配：利用安全信道、双钥体制、量子技术实现密钥传递；基本工具（认证和协议）

密钥分配中心KDC/密钥转递中心KTC

密钥证实（确定密钥送给指定人）

单钥证书、公钥证书、公钥认证树、隐式证实公钥

十一、无线网络安全

无线蜂窝网络GSM（流量？）

组成部分：
- 基站控制器BSC管理多个——基站收发信台BTS下面可以有——多个带SIM（微处理器智能卡）卡的移动设备
- 移动交换中心MSC管理多个BSC，同时与认证中心AuC、归属位置登记数据库HLR、访问位置登记数据库VLR连接
- 运营中心OMC负责整个GSM网络的管理和性能维护
GSM的3钟加密算法：A3、A8、A5/1；
SIM卡存储的信息：移动用户身份标识IMSI、用户PIN码、PIN解锁码PUK、用户认证密钥

IMSI一张卡唯一，因此认证时，采用临时用户身份标识TMSI代替

无线数据网络（WiFi？）

802.11b定义加密协议WEP（有线等效保密协议）；使用RC4流加密算法；
802.1x定义三部分，认证请求端——认证者（认证点）——认证服务器AS；只有经AS认证后才能访问网络
802.11i使用了802.1x的认证部分；加密部分在WEP基础上改进为临时密钥完整性协议TKIP

TKIP仍以RC4为核心；TKIP升级版消息认证码协议CCMP以AES为核心
802.16（WiMAX）：包含五个安全子层：
- 安全关联SA：保护客户端与基站之间的传输连接
- X.509证书：证明通信双方的身份
- PKM授权协议、机密性和密钥管理、数据加密层（DES—CBC）
WAPI无线局域网认证与保密基础架构
- 两部分：WAI用户身份认证、WPI传输数据加密
- 系统组成：接入点AP、终端STA、认证服务单元ASU
- WAP设备与WAP网关之间以WML格式和WTLS协议传输，类比于WAP网关和Web服务器的HTML和TLS

Adhoc自组织网络（蓝牙？）

特点：自组织性、无中心性、动态拓扑、资源受限、多跳路由
拓扑结构：平面结构、分级结构、分层结构
保密认证方案：单双钥体制方案

十二、防火墙技术

DMZ非军事区、堡垒主机、NAT等概念；防火墙层级越高，工作时间越长，看到消息越多，安全等级越高

防火墙结构：

静态包过滤：网络层；基于TCP/IP头中几个字段设置过滤规则
动态包过滤：网络层；对外出的包进行记录，以后若有相同链接直接通过
电路级网关：会话层；中继在两个连接之间来回复制
应用层网关：应用层；只对特定服务的数据流进行过滤；针对应用，对整个包检查
状态检查网关：应用层；=动态包过滤+电路级网关+应用层网关
切换代理：会话层——先验证链接再进行动态包过滤——网络层
空气隙：应用层；类似电路级网关，但中间设备高速磁盘在同一时刻仅与一台设备连接

分布式防火墙=网络防火墙（防外）+主机防火墙（防内）+管理中心

十三、入侵检测技术

面临的威胁：外部渗透、内部渗透、不法行为

通用IDS架构（CIDF）：数据收集器、检测器、知识库、控制器、（响应器单元）

IDS任务：信息收集、信息分析、安全响应

异常检测原理（基于行为）：收集建立正常行为描述——是否偏离正常模式
误用检测原理（基于知识）：对已知攻击提取特征值——系统匹配

IDS分类：基于网络NIDS、基于主机HIDS、分布式DIDS（混合前两种）

DIDS=数据采集构件+通信运输构件+入侵检测构件+应急处理构件+用户管理构件

十四、VPN技术

关键技术：隧道技术、加解密技术、密钥管理技术、身份认证技术、访问控制

VPN技术的访问方式：远程访问VPN（CS模式）、网关-网关VPN（两端均为网络）

封装化：发端VPN在IP数据包前加新报头头封装后，收端VPN去头再给主机。隧道协议也称为封装协议，对数据链路层数据包进行封装的为第2层隧道协议，有PPTP、L2F、L2TP，主要构建远程访问VPN；同理第3层隧道协议IPsec、GRE、MPLS主要用于LAN-to-LAN型VPN。

IPsec

包含三部分：AH（只涉及认证）、ESP（主要涉及加密）、IKE（Internet密钥交换协议）

AH头：认证对象有IP净荷和头。有三个域
- 安全参数索引SPI：32b用于标识认证所用算法
- 完整性校验值ICV：32b·n（用于认证数据）
- 序列号：32b用于抵御重放攻击
ESP：支持对称加密算法。包括头和尾
- ESP头=SPI-32b + 序列号32b
- ESP尾=ICV
IKE：用于建立安全关联SA（即双方协商好使用的安全策略，密钥、算法等）
- SA的标识=安全性参数索引SPI + IP目的地址 + 安全协议标识（AH/ESP）