【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA

计算机网络之危机四伏

1.1 网络安全

1.1.1 网络安全基本概念

  • 1、网络安全

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第1张图片

  • 2、网络安全基本属性

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第2张图片

  • 3、网络安全的基本特征

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第3张图片

  • 4、网络安全

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第4张图片

1.1.2 网络安全拟人模型

  • 1、拟人场景

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第5张图片

1.1.3 网络安全威胁

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第6张图片

  • 1、Internet安全威胁
  • “探路”

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第7张图片

  • 2、分组“嗅探”(sniffing)
  • 不根据地址匹配,接收/记录所有经过的分组/帧;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第8张图片

  • 3、IP欺骗(Spoofing)
  • 源IP地址写成B的,而不用自己的IP地址,隐藏痕迹;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第9张图片

  • 路由器检查,src是否属于C的子网地址范围内,不转发源IP地址无效的IP分组;
  • 但是目前Internet网络并没有强制执行这一检查;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第10张图片

  • 4、拒绝服务DOS(Denial of service)
  • 恶意泛洪,消耗资源,无法给正常用户提供资源;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第11张图片

  • DDoS攻击过程
  • 直接式攻击

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第12张图片

  • 反射式DDoS攻击—利用ip欺骗

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第13张图片

  • DOS:对策

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第14张图片

  • SYN cookie
  • 服务器第一次握手,不预先分配资源,一直到第三次握手才分配资源;
  • SYN cookie就是为了给服务器在不预先分配资源的情况下,第三次握手时清楚这是哪一个连接;使用哈希产生随机序列号;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第15张图片

1.2 密码学基础

1.2.1 密码学(cryptography)术语

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第16张图片

  • 1、对称密钥加密(加密和解密是同一个密钥)
    【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第17张图片

  • 2、公开密钥加密(两个密钥)

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第18张图片

  • 3、破解加密方法

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第19张图片

  • 选择明文攻击:例如对于字母替换,就选择包含26字母的明文,获得其密文就解密了;

1.2.2 传统加密方法

  • 1、替代密码(substitution cipher)

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第20张图片

  • 2、换位(transpositions)密码

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第21张图片
【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第22张图片

1.2.3 现代加密技术

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第23张图片

  • 1、流密码
    【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第24张图片

  • 2、分组密码(应用更广泛)

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第25张图片

  • 3、Feistel分组密码结构

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第26张图片
【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第27张图片

1.2.4 数据加密标准:DES

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第28张图片

1.2.4.1 DES算法结构

  • 1、DES算法结构(Data Encryption Standard)

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第29张图片

  • 2、初始置换IP(Initial Permutation)

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第30张图片

  • 58就是对应1,以此类推
  • 3、一轮DES加密过程
    【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第31张图片
  • 密钥是56bit,子密钥是48bit,要经过压缩变换得到;
  • 4、DES:f函数结构
    在这里插入图片描述

  • 5、f函数的基本操作

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第32张图片

  • 6、逆初始置换(Inverse Initial Permutaion)
    【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第33张图片

  • 7、每轮子密钥的生成

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第34张图片

1.2.4.2 DES的安全性

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第35张图片

  • 1、DES的改进
  • 相同的明文分组,不会出现相同的密文;防止破译规律;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第36张图片

  • 2、高级加密标准AES
  • AES取代了DES;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第37张图片

  • 3、Rijndael加密算法简介

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第38张图片

1.2.5 公钥密码学

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第39张图片

  • 1、公钥加密算法

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第40张图片

  • 2、前提条件:模运算

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第41张图片

  • 3、RSA:预备知识

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第42张图片

  • 4、RSA:生成公钥/私钥对

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第43张图片

  • 5、RSA:加密、解密

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第44张图片

  • 6、RSA举例

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第45张图片

1.2.6 RSA的理论依据

  • 1、公式推导

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第46张图片

  • 2、RSA:另一个重要性质
  • 公钥与私钥是相对的;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第47张图片

  • 3、RSA的安全性

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第48张图片

  • 4、RSA的实际应用(问题)
  • 幂计算量太大,通过公钥加密建立安全连接,然后利用第二个对称密钥,加密传输数据;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第49张图片

1.3 身份认证

  • 协议ap1.0

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第50张图片

  • 协议ap2.0:IP源地址-----IP欺骗

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第51张图片

  • 协议ap3.0:秘密口令-----嗅探分组

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第52张图片

  • 协议ap3.1:秘密口令加密----直接回放复制攻击

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第53张图片

  • 协议4.0:一次性随机数,避免回放攻击
  • 缺点:需要双方提前达成一个共享密钥;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第54张图片

  • 协议5.0:利用公钥

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第55张图片

  • ap5.0的安全漏洞:中间人攻击

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第56张图片
【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第57张图片

  • 中间人攻击难以检测;

1.4 报文完整性

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第58张图片

  • 1、密码散列函数
    【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第59张图片

  • 2、Iternet校验和–不能作为散列函数
    【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第60张图片

  • 3、散列函数算法

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第61张图片

  • 4、报文摘要(Message digests)

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第62张图片

  • 5、报文认证

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第63张图片

  • 只能说明报文没有更改过,但是存在缺陷,不能区分身份认证;
  • 改进:报文认证码MAC

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第64张图片

1.5 数字签名

  • 简单的MAC存在的问题;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第65张图片

  • 1、数字签名
  • 用自己的私有的密钥来形成密文,作为数字签名;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第66张图片
【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第67张图片

  • 2、签名报文摘要
  • 不对原来所有报文数据进行签名,而是对摘要签名;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第68张图片

1.6 密钥分发中心(KDC)

  • 回顾身份认证协议:ap 4.0

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第69张图片

  • 1、对称密钥问题?

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第70张图片

  • 2、密钥分发中心(KDC)

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第71张图片
【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第72张图片

1.7 认证中心(CA)

  • 回顾身份认证协议:ap5.0

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第73张图片

  • 1、比萨恶作剧

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第74张图片

  • 2、公钥问题
  • 使用的假的公钥;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第75张图片

  • 3、认证中心
  • 将实体与公钥一一对应;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第76张图片
【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第77张图片

  • 4、公钥证书主要内容

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第78张图片

1.8 安全电子邮件

1.8.1 安全电子邮件基本原理

  • 1、电子邮件安全威胁

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第79张图片

  • 2、电子邮件安全需求

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第80张图片

  • 3、安全电子邮件基本原理
  • 公开密钥(建立安全连接)+对称密钥(信息主题)
  • 公开密钥计算量太大,不适合用来加密邮件本身;
  • 用公钥加密传送对称密钥;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第81张图片
【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第82张图片

  • 汇总(数字签名)认证与加密传送;

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第83张图片

1.8.2 安全电子邮件标准

  • 1、PEM标准(基石,但没有广泛配置)

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第84张图片

  • 2、PGP标准(广泛之一)
    【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第85张图片

  • 3、PGP标准

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第86张图片

  • 4、PGP功能框架

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第87张图片

  • 首先SHA-1是散列函数,RSA是公钥加密;利用KA-私钥对散列结果加密;邮件m本身一起压缩,选一个对称密钥Ks加密,再使用接收方的公钥对对称密钥Ks进行加密,
  • 5、PGP报文格式

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第88张图片

  • 利用发送方私钥进行签名加密;
  • 利用接收方公钥进行对称密钥(会话密钥)的加密;
  • 1.报文主体是对称密钥加密;
  • 6、PGP密钥

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第89张图片

  • 7、S/MIME标准

【计算机网络-哈工大】---学习笔记(下)---(一)网络安全、密码学基础、对称、公钥、身份认证、数字签名、KDC\CA_第90张图片

你可能感兴趣的:(计算机网络,web安全,学习,ssl)