网络安全
计算机网络面临的四大威胁:截获(被动攻击)、中断(主动攻击)、篡改(主动攻击)、伪造(主动攻击)
被动攻击是只是观察分析某个PDU(协议数据单元),而不干扰,又叫流量分析
主动攻击是对PDU做处理,又分为三种 {
更改报文流
拒绝服务:向服务器发送大量分组,使服务器没办法正常工作,占用服务器资源,又叫拒绝服务DoS,如果多个网站集中攻击一个网站,叫做分布式拒绝服务DDoS
伪造连接初始化:重放以前记录的合法的连接初始化序列,或者伪造来企图链接
计算机网络安全:保密性:保密通信、登陆口令设计、安全通信协议设计、数字签名设计等
访问控制:又叫存取控制或者是接入控制,对接入的网络权限个用户接入权限加以控制
密码体制
对称密钥密码体制(加密密钥和解密密钥是相同的密钥体制)
要使加解密双方采用相同的密钥要事先约定密钥,或者是信使传递,或使用密钥分配中心KDC
1.DES(数据加密标准),是一种分组密码
在加密前是对明文进行分组,每组是64位长的的二进制数,分别对每个组进行加密,得到64位密文,然后再将密文串接起来得到整个密文,使用的密钥是64位,实际上是56位,有8位的奇偶校验
安全性取决于密钥,算法是公开的,一共有2的56次方中密钥
IDEA(国际数据加密算法)采用的是128位密钥
AES(高级加密标准)速度快,安全级别高
使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据
RC5(分组加密算法)参数可变,三个可变的参数是:分组大小、密钥大小和加密轮数,通过异或、加、循环操作加密
公钥密码体制(加密密钥和解密密钥不是相同的密钥体制)
1.RSA,基于大数分解,比DES慢
加密体制中加密密钥PK就是公钥是公开的,解密密钥SK就是私钥是保密的,加解密算法是公开的,只需要对私钥保密,已知PK不能推出SK
加密算法的安全性取决于密钥的长度以及破解密文所需要的计算量
DSA(数字签名算法),是一种标准的DSS(数字签名标准)
ECC(椭圆曲线密码编码学)
数字签名
对纯数字的电子信息进行签名,表示信息是特定某个人产生的
数字签名:报文鉴别、报文完整没有被修改、不能抵赖对报文签名
签名过程:A用私钥对明文进行D运算(进行签名,不是解密运算,D 运算本身是得到某种不可读的密文)然后传递,在用A的私钥进行核实签名,最终B得到明文。因为A有别人没有的私钥,所以B得到的明文就A签名后的,如果别人对明文进行修改,但是没有A的私钥,就不能进行签名,B得到的就是不可读明文,这样就确定被修改过,这样只是进行签名,还是很容易获得内容的,最好是签名和加密都有
鉴别
鉴别验证要通信的对象正确不是冒充者
1.报文鉴别:鉴别报文真伪
报文摘要MD:A将报文X经过报文摘要算法得到摘要H,并且对H进行签名,连通X一块传给B,B先核实签名得到摘要H,在最传过来的X进行摘要算法看是否和核实签名得到的一样,一致的话就是正确的、
报文摘要算法是散列算法,又叫密码编码的检验和,是一种单向函数,也就是说加密是不可逆的,加密完是不用解密的,反正也得不到
MD5就是报文摘要算法,码长是128位,用512位数据块运算得到
SHA(安全散列算法)也是不可逆的,码长是160位,用512位数据块复杂运算得到
2.实体鉴别
报文鉴别是对每一个收到的报文都要进行一遍鉴别
实体鉴别是在持续时间内对和自己通信的对象值鉴别一次,鉴别是这个对象就好,对于内容就不鉴定了
如果C截获A发给B的报文,在发给B,这样B就以为C就是A,那么B就会把原本发给A的发给C,这就是重放攻击,或者第C截获A说的IP 地址冒充A的IP地址进行IP欺骗
对于重放攻击可以使用不重数(不重复使用的大随机数),一次一数,AB之间不同会话必须使用不同的不重数
密钥分配
安全协议
1.网络层安全协议
因特网网络层安全系列是RFC,最重要的是描述IP安全体系结构的是RFC2401和提供IPsec(IP安全协议)协议族的RFC2411
IPsec中最重要的是鉴别首部协议AH和封装安全有效载荷ESP协议,AH提供源点鉴别和数据的完整性,但是不能保密,ESP提供源点鉴别和数据的完整性,能保密
IPsec支持IPV4和IPV6
IPsec把传统因特网无连接的网络层转化为具有逻辑连接的层
网络层保密指的是所有在IP数据报中的数据都是加密的
2.运输层安全协议
运输层使用的第SSL(安全套接层协议),是保护万维网的HTTP通信的标准
除此之外还有就是TLS(运输层安全协议)
SSL是对client和server之间的传送数据进行加密和鉴别,是在握手阶段进行的
SSL功能 { 1.SSL服务器鉴别
2.加密的SSL会话
3.SSL客户鉴别
}
3.应用层安全协议
PGP协议:电子邮件软件安全包,包括加密、鉴别、电子签名、压缩
PEM协议:因特网的邮件加密建议标准
链路加密
每条通信链路上加密是独立的 ,通常采用不同的加密密钥,某条线路破坏不导致其他线路的信心析出,PDU的协议控制信息和数据都被加密,掩盖了源点和终点的地址,防止各种形式的流量分析,也不会减少有效带宽,只要求相邻节点是相同的密钥就行,链路加密对用户来说是透明的,
端对端加密
在源点和终点对PDU进行加密解密,在传输层及以上层实现,如果在传输层实现,安全措施对用户是透明的,但容易遭到攻击,在应用层实现,用户可以自定义选择,适用于互联网环境和广播网
端对端加密,PDU控制信息部分不能被加密,容易受到流量分析的攻击
一般而言采用的是用链路加密对PDU的目的地址加密,端对端加密是对数据进行保护
防火墙
防火墙是特殊编程的路由器,实施访问控制策略
网络级防火墙:防止整个网站出现外来入侵,例如分组过滤和授权服务器
应用级防火墙:从应用程序来控制访问,例如应用网关和代理服务器
常见的安全问题:
1.ARP(地址解析协议,将网络层地址解析为数据链路层物理地址)欺骗:由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通
2.交换机攻击:VALN跳跃攻击,依靠动态中继协议DTP,从一个VALN跳转到另一个VLAN
生成树攻击,生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。
3.ARP攻击
4.VTP攻击