第二章-数据传输安全

已于 2024-01-11 09:48:30 修改
阅读量1.1k 收藏 15
点赞数 21
分类专栏: 产品安全基础 文章标签: 安全 网络
于 2024-01-11 09:47:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_h666/article/details/135519119
版权

2.1 VPN概述

1. VPN 概述

VPN虚拟专用网:在ISP运营商公用网络中搭建专用的安全数据通道

VPN:隧道 – 封装技术

常见VPN:IPSec VPN、MPLS VPN、GRE VPN、SangFor VPN、PPTP VPN、L2TP VPN / L2F VPN

2. VPN分类

1)按应用场景分(业务类型)

Client-LAN VPN(access VPN)客户端到网络:PPTP VPN、L2TP VPN / L2F VPN、SSL VPN、IPSec VPN

LAN-LAN VPN网络到网络:IPSec VPN / SangFor VPN、GRE VPN、MPLS VPN

2)按层次划分

应用层:SSL VPN

传输层:SangFor VPN

网络层:GRE VPN、IPSec VPN

2.5层VPN:MPLS VPN

数据链路层:PPTP VPN、L2TP VPN/L2F VPN

3. VPN常用技术

隧道技术、加密技术、身份认证技术、数据认证技术、密钥管理技术

1. 隧道技术

隧道:是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。

1)隧道技术

是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道,使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。

2)多隧道技术比较

image-20240104151712372

2. 加密技术

1)加密技术概念

目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

通常使用加密机制来保护信息的保密性,防止信息泄密。信息的加密机制通常是建立在密码学的基础上。

从明文到密文的过程一般是通过加密算法加密进行的。

从变密文到明文,称为脱密(解密)变换。

2)加密算法分类

  • 对称加密算法:加密和解密使用的秘钥相同

    • IDEA算法:国际加密算法–密钥长度128位
    • RC系列算法:RC2/4/5/6:RC2为序列加密,其余三种为分组加密
    • AES算法:高级加密标准–密钥长度128位、192位、256位加密64位明文
    • DES算法:数据加密标准–使用56bit密钥加密64位明文变成64位密文
    • 3DES算法:进行3次加密、解密,56位密钥加密64位明文,再用另外56位密钥解密密文,再用第三个56位密钥加密

    DES加密快,3DES安全,AES既快又安全

  • 非对称加密算法(公钥加密算法):一对公钥和私钥,使用任意一个秘钥加密,另一个秘钥解密,公钥可以分发给一部分人,私钥永远掌握在自己手里

    • RSA
    • DH:Diffie-Hellman 密钥交换算法
    • ECC:椭圆曲线算法

  • 散列算法:哈希算法hash–不可逆,雪崩效应 – 完整性校验

    • MD5–将原文变为56bit的密文
    • SHA-1–128位
    • SHA-2–128,256,384等

3)对称加密算法和非对称加密对比

对称加密:对称加密速度快、密钥分发不安全、密钥多难以管理

非对称加密:加密速度慢、密钥分发安全

image-20240104155929559

3. 身份认证技术

1)身份认证概述

身份认证:通过标识和鉴别用户的身份,防止攻击者假冒合法用户来获取访问权限。

身份认证技术:是在网络中确认操作者身份的过程而产生的有效解决方法。

2)数字信封

数字信封:使用对方的公钥加密对称密钥;将密文和加密后的对称密钥发给对方

image-20240104164500798

3)数字签名

image-20240104164534898

识别(对比)步骤:

a. 甲使用乙的公钥加密明文变为密文

b. 甲使用HASH算法得出key1

c. 甲使用自己的私钥加密key1为数字签名

d. 甲将密文及数字签名发送给乙

e. 乙收到后使用自己的私钥解密密文变为明文

f.乙将明文做HASH计算得出key2

g.乙使用甲的公钥解密数字签名得出key1

h.对比key1和key2,一致标明数据完整,不一致标明数据被修改

4)数字证书

数字证书:包含公钥和使用者的身份信息、颁发者CA、有效期、数字证书等

CA证书认证机构:负责颁发证书

PKI公钥基础设施体系:证书管理平台 – 只要应用电子商务

PKI:终端实体、CA证书认证机构、RA证书注册机构、证书 / CRL存储库

image-20240104172827617

数字证书分类:

  • 根证书:CA机构自己给自己颁发的证书

  • 设备证书:CA机构颁发给服务器的证书

  • 用户证书:CA机构颁发给个人的证书

5)数据传输安全步骤

image-20240104172622197

传输步骤说明

发送端:

  1. 发送端将原始信息通过HASH算法得到摘要(指纹/Key值),摘要(指纹/Key值)通过发送端私钥加密得到数字签名

  2. 原始数据、数字签名和发送端证书(发送端公钥)采用对称密钥加密得到加密信息

  3. 对称密钥在通过接收端的公钥进行加密得到密钥信封

传输:

  1. 将密钥信封和加密信息通过公网发送到接收端

接收端:

  1. 接收端用自己的私钥解密出对称密钥
  2. 用解密出来的对称密钥解密加密信息得到原始信息、数字签名和发送端的证书(发送端公钥)
  3. 数字签名用发送端证书(发送端公钥)解密得到摘要(指纹/key1)
  4. 用得到的原始信息用HASH算法得到另一个摘要(指纹/key2)
  5. 比较key1和key2值是否相同。相同则数据完整;不同则数据不完整,重新请求数据

2.2 IPSec VPN解决方案

1. IPSec协议簇安全框架 – IPSec VPN概述

1)IPSec VPN 简介

IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。

IPSec协议的设计目标:保证IP层之上的数据安全

IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

2)IPSec提供的安全服务 – IPSec VPN功能

IPSec VPN功能:保密性、完整性、数据源验证、不可否认性、防重放(重传攻击保护)

3)IPSec架构

ESP协议、AH协议、IKE密钥交换

image-20240105092611712

4)IPSec协议族

image-20240105093004847

2. IPSec 工作模式

1)传输模式

传输模式数据包格式

image-20240105100553455

应用场景:适用于主机到主机之间端到端通信的数据保护

2)隧道模式

隧道模式数据包格式

image-20240105100613775

应用场景:经常用于私网与私网之间通过公网进行通信,建立安全VPN通道。

3. IPSec 通信协议

1)AH协议

AH认证头协议 – 协议号51

AH功能:完整性、数据源验证(共享密钥)、抗重放攻击

AH报文结构

image-20240105102209051

  • 下一个头部:AH报头里封装的协议,TCP:6,UDP:17,ICMP:1
  • 负载长度:AH报头的长度
  • 保留:0
  • 安全参数索引SPI:标识SA安全联盟
  • 序列号:一串数值,要求不同,用来防重放
  • 认证数据:存放完整性校验的Key值

传输模式下的AH封装 – 认证内容整个IP报文

image-20240105102711364

隧道模式下的AH封装

image-20240105102729549

2)ESP协议

ESP封装安全载荷协议–协议号50

ESP功能:完整性、数据源验证、防重放、保密性、有限的数据流保护

ESP报文结构

image-20240105102906903

  • 下一个头部:ESP报头里封装的协议,TCP:6,UDP:17,ICMP:1
  • 负载长度:ESP报头的长度
  • 保留:0
  • 安全参数索引SPI:标识SA安全联盟
  • 序列号:一串数值,要求不同,用来防重放
  • 填充:加密算法都是分组加密,所以不够一组时,需要填充
  • 认证数据:存放完整性校验的Key值

传输模式下的ESP封装

  • 验证内容:从ESP头到ESP尾
  • 加密内容:从ESP头之后到ESP尾

image-20240105103337505

隧道模式下ESP封装

  • 验证内容:从ESP头到ESP尾
  • 加密内容:从ESP头之后到ESP尾

image-20240105103818529

3)AH和ESP区别

image-20240105104527942

4. IPSec VPN 建立阶段

资料地址-IPSec原理

1)IKE 协商阶段

安全联盟SA

  • 定义:SA(Security Association)是通信对等体间对某些要素的约定(加密算法、认证算法、工作模式等协商) ,通信的双方符合SA约定的内容,就可以建立SA。
  • SA由三元组来唯一标识,包括:SPI安全参数索引(32bit数值)、目的IP地址、安全协议号

IKE因特网密钥交换管理协议:自动建立SA安全联盟和交换管理密钥

IKE协议包含的协议:

  • ISAKMP协议(因特网安全联盟密钥管理系统)–应用层协议,封装在UDP,源目端口号500

  • OAKLEY(密钥交换协议) – 基于到达两个对等体间的加密密钥交换机制

  • SKEME(密钥交换协议)– 实现公钥加密认证的机制

第一阶段:IKE协商(IKE SA)协商加密算法,验证算法等,用于保护IPSec SA协商

第一阶段 – IKE SA建立 – 存活时间3600秒,1小时

① 主模式–6次信息交互

image-20240105114615203

  • 第1,2次:发送IKE安全提议(安全参数:加密算法、验证算法、工作模式、安全协议、DH组、认证机制–预共享等)
  • 第3,4次:发送密钥计算素材、材料(g,p,A,B随机数)
  • 第5,6次:身份验证信息(加密)

② 野蛮模式–3次信息交互

  • 第1次:发送IKE安全提议,DH计算密钥素材,身份信息
  • 第2次:发送IKE安全提议,DH计算密钥素材,身份信息,HASH值(将消息1加消息2做HASH计算)
  • 第3次:确认结束(对比HASH值,一致确认)

③ 主模式和野蛮模式对比

image-20240105115154093

第二阶段:IPSec协商(IPSec SA)协商加密算法,验证算法等,用于保护用户数据

第二阶段 – IPSec SA – 快速模式

  • 第1次:发送IPSec安全提议(加密算法、验证算法、传输模式、生存时间、安全协议),DH计算密钥素材,身份信息
  • 第2次:发送IPSec安全提议,DH计算密钥素材,身份信息,HASH值(将消息1加消息2做HASH计算)
  • 第3次:确认结束(对比HASH值,一致确认)

2)数据传输阶段

DPD对等体失效检测:检测IKE SA对端是否正常

DPD检测机制:空闲计时器机制,如果VPN正常发送及接收IPSec VPN的加密报文,会重置、刷新计时器

如果长时间未收到VPN的报文,超时后,再次发送VPN报文时,先发送DPD报文检测对方是否存活

对方回复,表示存活发送报文

对方未回复,连续检测5次,仍未回复,即可删掉该IKE SA

Galactus_hao
关注
  • 21
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java数字信封
03-28
java 数字信封 相关技术文档,描述了数字信封的过程和原理
第1章-电子商务安全概述.docx
12-18
第一章电子商务安全概述 在信息化高速发展的今天,电子商务已经成为全球经济的重要组成部分。它涵盖了众多功能,从企业内部业务流程的优化到对外的营销与服务提供,都离不开互联网的支持。本章将探讨电子商务安全的...
网络安全技术】——VPN技术及应用(学习笔记)
HinsCoder的博客
04-08 3726
近年来,随着全球信息化建设的快速发展,对网络基础设施的功能和可延伸性提出了新的要求。例如,一些跨地区组织的各分支机构之间需要进行远距离的互联;一些单位的员工需要远程接入内部网络进行移动办公。为了解决各分支机构局域网之间的互联问题,早期只能通过直接铺设网络线路或租用运营商的专线,不但成本高,而且实现困难。对于移动办公用户来说,早期一般采用拨号方式接入到内部网络,在需要支付较高的通信费用的同时,还要考虑到通信的安全问题。VPN技术可以在公共网络(如Internet)中为用户建立专用的通道,为局域网之间的远程互联
IPSec VPN 原理与配置
m0_73258133的博客
04-20 2123
VPN就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直 接相连,但通常情况下它们会相隔较远的距离。对于定义的“受保护”一词,可以从以下几个方面理解。实际工作环境中的VPN解决方案不一定包含上述所有功能,这要由具体的环境需求和实现方式 决定。而且很多企业可能采用不止一种的VPN解决方案。
虚私网的分类(基于osi七层模型)
全栈空间
01-05 6811
1 引言 随着网络技术和网络应用的迅猛发展,用户对专用网络的需求越来越大,远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。为了在在Internet上为企业开通一条专用通道,以代替原来昂贵的专线租赁或帧中继方式,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。并且提供安全的端到端的数据通信,虚拟私有网络(虚私网,VirtualPrivate Network)就是这样的背景下诞生了。虚私网通过隧道(Tunneling)技术,将公众网可靠的性能、丰
传输安全-LDAP协议安全加固
wendr的博客
07-03 2219
信息安全相关 - 建设篇 第一章 传输安全-LDAP协议安全加固
网络安全合规-数据安全风险评估
elevn的博客
05-07 2686
数据安全风险评估是指借鉴信息安全风险评估的基本原理和步骤,基于组织的数据战略,从数据全生命周期安全出发,通过对组织目标环境中数据资产的重要程度、数据载体的安全状况、敏感数据的访问状况、数据安全相关管理制度和基础设施的安全性等多方面的信息进行收集、统计和分析,从不同维度评估风险状况,并最终计算得出综合评估结果的过程。处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。数据安全评估主要包括。
计算机网络-笔记-第三章-数据链路层
Pan_peter的博客
08-27 2268
1. CSMA/CD协议的要点插入——转义字符插入——比特0多个主机连接到一根总线上这章——建议看下方方老师的14章视频计算机网络-方老师-3.3 使用广播信道的数据链路层-2_哔哩哔哩_bilibili 如果我接受的帧小于64B(512bit),那么就是有问题滴!!!【】碰撞后,等待随机时间后,再次发送!如果连续16次都发不出来,那么就…目前,仍然发送一个帧是64B先听后发,边听边发,冲突停止,延迟重发IP地址不会变!!!(MAC地址会逐个改变!!!)交换机的性能远超与集线器,并且价格也不贵(集线器逐渐被
2022第二章-电子商务框架体系精选ppt.ppt
11-14
同时,宏观政策法规和技术支持(如安全和传输标准)也是框架中的重要因素。 Kalakota-Whinston提出的电子商务框架进一步细化了这些层面。他们将电子商务分为四个层次:1) 网络基础层,包括各种网络基础设施;2) ...
第二章-操作系统硬件环境优秀文档.ppt
11-30
其中,缓冲技术用于优化数据传输,中断机制用于处理突发事件,I/O机制则协调处理器与外部设备的数据交换,而时钟则为系统提供了时间基准。 中央处理器(CPU)是计算机的心脏,由运算器、控制器、寄存器和高速缓存...
第-章-数据通信与计算机网络2优秀文档.ppt
12-01
第二阶段,计算机网络的发展开始走向标准化,OSI和TCP/IP等协议的出现使得计算机网络的发展更加快速和高效。第三阶段,计算机网络的发展开始走向高速化和综合化,Internet的出现使得计算机网络的发展更加快速和全球...
第3章-计算机网络.docx
12-16
* 数据链路层:提供相邻结点之间可靠的数据传输功能。 * 网络层:在通信子网中进行路由选择和通信控制。 * 传输层:提供两个端系统之间的可靠通信。 * 会话层:建立和控制两个应用实体之间的会话过程。 * 表示层:...
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 809
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 509
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 564
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 1059
区分不同的签名。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 653
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 832
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
网络安全第二章:OSI七层网络模型及TCP/IP协议详解,124页精要
网络安全第二章是一个124页的文档,主要介绍了OSI七层网络模型、TCP/IP协议簇、IP协议、TCP协议、UDP协议和ICMP协议、常用的网络服务以及网络服务端口和命令的使用。该文档首先介绍了OSI参考模型,该模型是由国际...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Galactus_hao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值