网络安全基础知识
网络安全分类:
窃听:例如搭线窃听、安装通信监视器来读取网上信息。
假冒:一个实体假扮成另一个实体进行网络活动时就是假冒。
重放:重复一份报文或报文的一部分,以便产生一个被授权效果。
流量分析:对网上信息流观察和分析,推断出网上传输的有用信息。
数据完整性破坏:有意或无意的修改或破坏信息系统,或者在非授权和不能检测的方式下对数据进行修改。
拒绝服务:当一个授权实体不能获得应有的对网络资源的访问。
资源的非授权使用:即与所定义的安全策略不一致的使用。
陷门和特洛伊木马:通过替换系统合法程序,或者在合法程序中插入恶意代码。
病毒:在计算机程序中插入波坏计算机功能或者数据的代码,影响计算机正常使用。
诽谤:利用计算机系统的广泛互联性和匿名性散布错误消息。
网络攻击
被动攻击:典型的就是监听,这种方式最难被监测,重点是要预防,解决手段是加密。
主动攻击:典型的就是假冒、重放、欺骗、消息篡改和拒绝服务,重点是要检测,解决手段是防火墙、IDS/IPS等技术。
现代加密技术
共享密钥加密算法/对称加密算法:加密和解密的密钥是一样的
分类(DES/3DES/IDEA/AES/RC4):
1、数据加密标准(DES):一种分组密码,在加密前,先对整个明文进行分组。每一个组分为64位,之后进行16轮迭代,产生一组64位密文数据,使用的密钥是56位。
2、3DES:使用两个密钥,执行3次DES算法,密钥长度112位。
3、国际数据加密算法(IDEA):使用128位密钥,把明文分为64位的块,进行8轮迭代。IDEA可以使用硬件或软件实现,比DES快。
4、高级加密标准(AES):支持128、192、256位三种密钥长度,可通过硬件实现。
5、流加密算法和RC4:加密速度快,可达DES的10倍。
公钥加密算法/非对称加密算法:加密和解密的密钥是不一样的
每个实体都有2个密钥:公钥(公开)私钥(自己保存)
公钥加密,私钥解密,这种方式可实现保密通信;私钥加密,公钥解密,这种方式可实现数字签名。
分类(RSA)
数字签名
数字签名是用于确认发送者身份和消息完整性的一个加密消息摘要,具有如下特点:
1、接收者能够核实发送者身份;
2、发送者事后对报文的签名不能抵赖;
3、接受者不能伪造对报文的签名。
上图是发送方给接收方发送报文时签名和加密过程,解析如下:
步骤一:发送方在对数据报文进行签名时,使用自己的(发送方)私钥来签名,接收方收到数据报文后,使用发送方的公钥来进行解密验证(如果解密失败,则证明此数据报文不是发送方的)
步骤二:发送方在对数据报文进行加密时,使用接收方的公钥来进行加密,接收方收到数据报文后,使用自己的(接收方)的私钥来进行解密(如果解密失败,则证明此数据报文被篡改过)
报文摘要(MD5和SHA)
报文摘要也叫哈希算法或散列函数算法,常见的2种技术是MD5和SHA,它是将一段数据(任意长度)经过一道计算,转换为一段定长的数据。特点如下:
1、不可逆性(单向):几乎无法通过哈希结果推导出原文。
2、无碰撞性:不可能有2个不同的数据得出同一个哈希值。
3、雪崩效应:数据有轻微变化,哈希值产生巨大变化。
MD5:对任意长度报文进行运算,先把报文按照512位进行分组,经过计算后得出128位报文摘要。
SHA:对任意长度报文进行运算,先把报文按照512位进行分组,经过计算后得出160位报文摘要。这种算法比MD5更安全,但是计算速度要比MD5慢。
数字证书与CA
数字证书(Public-Key Certificate,PKC)是由认证机构(Certification Authority、Certifying Authority, CA)颁发的证书。内容包含认证机构(CA)的私钥签名和被认证机构的公钥。
认证机构(Certifying Authority, CA):可以为个人或者单位颁发数字证书。
通常依照证书持有者的类型可将证书分为三类:个人证书、单位证书和系统证书。
个人证书:CA中心给个人颁发的证书,仅代表个人身份,证书包含个人信息和个人公钥。
单位证书:CA中心给组织机构颁发的证书,代表机构的身份,包含机构单位的信息和单位公钥。
系统证书:CA中心给应用系统或者设备颁发的证书,代表系统的身份,包含系统的信息和系统的公钥。
按证书用途分类
按照证书的用途分为签名证书和加密证书,数字证书认证系统既可支持双证书(签名证书和加密证书)的签发与管理,也可支持单证书(签名证书或加密证书)的签发与管理。其中,签名证书用于认证、完整性保护、抗抵赖等场合;加密证书用于密钥交换和数据保密等场合。
签名证书:签名证书只能用于签名和验证签名,为了密钥的安全,密钥对一般在客户端产生和保存。
加密证书:加密证书只能用于加密,其中密钥对由CA产生,通过保护算法和协议发送给用户保存,同时CA中心也保存该密钥对,以备管理和恢复。
上图中数据传输中存在的问题,Alice如何确定自己用的公钥一定是Bob的公钥,由此引出“数字证书”
虚拟专网VPN
虚拟专网VPN(virtual private network):是一种建立在公网上的专用通信网络。
二层VPN:L2TP和PPTP,这两种协议都是基于PPP协议的;三层VPN:IPSec和GRE;四层VPN:SSL。
二层隧道协议有L2TP和PPTP,都是把数据封装在PPP帧中在网络中传输,PPP协议可以在点对点链路上传输多种上层协议的数据包,并且有检验位。PPP包含链路控制协议LCP和网络控制协议NCP。具体帧结构如下:
PPP协议的认证功能:PAP和CHAP
PAP:两次握手验证协议,口令以明文传输,被验证方首先发起请求;
CHAP:三次握手验证协议,认证过程中不传送认证口令,传输MMAC散列值,被验证方首先发起请求。
示例如下图:
IPSec基础知识
IPSec(IP security)是IETF定义的一组协议,用于增强IP网络的安全性。
IPSec协议集提供如下安全服务:
1、数据完整性(data integrity)
2、认证(autentication)
3、保密性(confidentiality)
4、应用透明安全性(application-transparent security)
IPSec功能:认证头(AH);封装安全负荷(ESP);Internet密钥交换协议(IKE)。
认证头(AH):提供数据完整性和数据源认证,但是不提供数据保密服务,报文摘要技术有MD5和SHA。
封装安全负荷(ESP):提供数据加密功能,加密算法有DES、3DES、AES、IDEA、RC4等对称加密算法。
Internet密钥交换协议(IKE):用于生成和分发在ESP和AH中使用的密钥。
IPSec两种封装模式如下图:传输模式和隧道模式
应用层安全协议
应用层安全协议有SSL和HTTPS
安全套接层(secure socket layer:SSL)是传输层安全协议,面向用于实现web安全通信。是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。使用TCP443端口。
防火墙
防火墙可以实现内部网络和外部网络之间的区域隔离和访问控制。
防火墙技术与分类:包过滤(ACL)、状态化防火墙、应用层网关、应用层检测。
IDS和IPS
IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
IPS(Intrusion Prevention System)入侵防御系统,是一种安全机制,通过分析网络流量,检测入侵(包括攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。
常见病毒类型:
本章节完