6.2.1网络安全威胁

一、网络攻击

1、网络安全威胁分类：窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权访问、 陷门和特洛伊木马、病毒、诽谤...

2、网络攻击：主动攻击、被动攻击、物理临近攻击、内部人员攻击、分发攻击...

1. ）主动攻击： 特点：破坏信息的完整性、系统的可用性，对信息进行修改、插入、删除等。防御手段：防火墙、入侵检测技术等。
2. ）被动攻击： 特点：窃取传输的信息、不破坏消息完整性 防御手段：数据加密等

3、数据加密方式： 链路加密方式、节点到节点加密、端到端加密方式。

二、对称密钥密码体制（非公开密码体制）：

1、对称加密算法：DES、IDEA、TDEA、AES、RC2、RC4、RC5

1. ）数据加密标准（DES）：属于分组密码体制，每64位为一组（明文）、采用1个密钥进行加密，加密后为64位密文，实际有效密钥为56位。
2. ）三重DES:在DES上改进得来，采用2个不同的密钥进行3次DES加密，密钥长度112位。
3. ）国际数据加密数据算法（IDEA）：采用128位密钥加密。

三、非对称密钥体制（公开密钥密码体制）：

特点：收发双方使用各自的公钥对数据进行加密，用密钥对数据进行解密。

1. ）RSA算法： 特点：不加密明文（数据），加密传输的密钥；涉及大数计算，效率比较低。
2. ）EiGamal算法： 特点容易被破解

6.2.3认证技术与数字签名

认证分为：实体认证和消息认证两种

一、3种认证技术

1. ）基于共享密钥的认证
2. ）Needam-Schroeder认证
3. ）基于公钥的认证 特点：使用对方的公钥进行加密、用各自的私钥解密

二、数字签名

数字签名是用于确认发送者身份、消息完整性的一个加密的消息摘要。

三、报文摘要

• 目的：保证数据完整性，防止报文被篡改
• 报文摘要的主要方法：MD5、SHA、HMAC三种。

1）MD5算法

特点：

1. ）输入报文长度：任意
2. ）输出报文摘录长度：128位

2）安全散列算法（Secure Hash Algorithm, SHA）

SHA算法是基于MD5算法改进得来，其特点是：

1. ）输入报文长度：512位报文分组
2. ）输出报文摘录长度：160位

3）散列式报文认证码（HMAC）

特点：

1. ）使用对称密钥体制
2. ）提供数据源认证
3. ）数据完整性保护

6.2.4虚拟专用网

一、实现VPN的关键技术

• VPN技术：隧道技术、加/解密技术、密钥管理技术、身份认证技术
• VPN的解决方案：Access VPN、Intranet VPN、Extrant VPN

二、第二层隧道协议

1. ）PPP协议：定义了PAP和CHAP两种验证方式。
2. ）PPTP协议（点对点隧道协议）：工作过程：将各种网络协议（如：IP、IPX等）封装到PPP协议中， 再把PPP封装后的数据包封装到PPTP协议中去，在数据链路层传输出去。
3. ）L2TP协议（第二层隧道协议）：协议中定义了LAC和L2TP结构，在这两种结构中存在 隧道（Tunnel） 连接和 回话（Session）连接两种方式。

PPTP定义了由PAC和PNS组成的客户端/服务器结构。

PPP（Point to Point Procotol） PPTP（Point to Point tuneling Procotol） L2TP（Layer 2 Tuneling procotol）

三、IPSec

IPSec是一个工作于网络层的协议体系，包括网络认证协议（AH）、封装安全载荷协议（ESP）、密钥管理协议（IKE）和一些用于网络认证加密的算法等，用于保证网络数据安全；IPSec向上提供访问控制、数据源认证、数据加密等网络安全服务。

IPSec提供两种模式：传输模式和隧道模式

1、网络认证协议（Authentication Header ,AH） # 传输模式

• 工作原理：在每个数据包上添加一个身份验证报头（报头含一个Hash散列）。
• 特征：提供数据完整性，数据源认证，但不提供保密服务；可做数字签名，无需证书

支持认证的算法有：HMAC-MD5和HMAC-SHA1

2、封装安全载荷协议（Encapsulating Security payload，ESP） #传输模式和隧道模式

• 工作原理：对数据包的有效载荷部分进行ESP加密（不含IP报头），具体查P201。
• 特征：提供数据包完整性检查、数据加密认证、加密

3、密钥管理协议（Internet Key Exchange， IKE）

IKE主要完成任务：

1. ）安全关联、集中化管理
2. ）密钥的生成和管理

四、安全套接层（Secure Socket Layer ，SSL）

SSL是一个介于HTTP协议与TCP之间的一个可选层。其协议分为：

1. ）握手协议（Handshake Protocol， HP） # 用于与服务器协商密钥
2. ）记录协议（Record Procotol， RP） # 用于定义传输的格式

五、传输层安全性（Transport Layer Security，TLS）

TLS是SSL的标准化化、升级版。同样运行于TCP/IP之上高层协议（如：HTTP）之下，TLS为客户机与服务器之间提供了安全连接。 （例如：传统HTTP 与 当前 HTTPS）

6.2.5应用层安全协议

一、安全超文本传输协议（Secure Hypertext Transfer Protocol，S-HTTP）

特点：支持端到端安全传输

二、邮件加密软件（Pretty Good Privacy，PGP）

特点：

1. ）PGP使用RSA和传统加密的杂合算法
2. ）使用接收方的公钥加密，接收方接收到后用自己的私钥解密
3. ）邮件文件长度为128位

三、S/MIME

S/MIME（Security/Multipurpose Internet Mail Extensions）:提供报文完整性验证、数字签名和数据加密， 其加密密钥长度为动态可变的。

四、安全的电子交易（Secure Electronic Transaction，SET）

电子认证使用技术：

1. ）RSA算法
2. ）DES算法

6.2.6 防火墙

一、基本类型：

1. ) 包过滤型防火墙
2. ) 应用网关防火墙
3. ) 代理服务器防火墙 工作于OSI应用层，使用代理技术阻断内/外网的通信
4. ) 状态检测防火墙
5. ) 自适应代理防火墙

二、防火墙接口：

1. ) 内部区域（inside）：受防火墙保护区域
2. ) 外部区域（outside）：不受信任区域，限制外网访问内部网络，可通过配置防火墙实现有限 制的访问。
3. ) 非军事区域（DMZ）：在该区域中一般放置Web服务器和Eail服务器，该区域内网、外网均 可以访问共享信息，但不允许外网内部网络。