6.2.1网络安全威胁

一、网络攻击

1、网络安全威胁分类:窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权访问、 陷门和特洛伊木马、病毒、诽谤...

2、网络攻击:主动攻击、被动攻击、物理临近攻击、内部人员攻击、分发攻击...

  1. )主动攻击: 特点:破坏信息的完整性、系统的可用性,对信息进行修改、插入、删除等。防御手段:防火墙、入侵检测技术等。
  2. )被动攻击: 特点:窃取传输的信息、不破坏消息完整性 防御手段:数据加密等

3、数据加密方式: 链路加密方式、节点到节点加密、端到端加密方式。

二、对称密钥密码体制(非公开密码体制):

1、对称加密算法:DES、IDEA、TDEA、AES、RC2、RC4、RC5

  1. )数据加密标准(DES):属于分组密码体制,每64位为一组(明文)、采用1个密钥进行加密,加密后为64位密文,实际有效密钥为56位。
  2. )三重DES:在DES上改进得来,采用2个不同的密钥进行3次DES加密,密钥长度112位。
  3. )国际数据加密数据算法(IDEA):采用128位密钥加密。

三、非对称密钥体制(公开密钥密码体制):

特点:收发双方使用各自的公钥对数据进行加密,用密钥对数据进行解密。

  1. )RSA算法: 特点:不加密明文(数据),加密传输的密钥;涉及大数计算,效率比较低。
  2. )EiGamal算法: 特点容易被破解

6.2.3认证技术与数字签名

认证分为:实体认证和消息认证两种

一、3种认证技术

  1. )基于共享密钥的认证
  2. )Needam-Schroeder认证
  3. )基于公钥的认证 特点:使用对方的公钥进行加密、用各自的私钥解密

二、数字签名

数字签名是用于确认发送者身份、消息完整性的一个加密的消息摘要。

三、报文摘要

  • 目的:保证数据完整性,防止报文被篡改
  • 报文摘要的主要方法:MD5、SHA、HMAC三种。

1)MD5算法

特点:

  1. )输入报文长度:任意
  2. )输出报文摘录长度:128位

2)安全散列算法(Secure Hash Algorithm, SHA)

SHA算法是基于MD5算法改进得来,其特点是:

  1. )输入报文长度:512位报文分组
  2. )输出报文摘录长度:160位

3)散列式报文认证码(HMAC)

特点:

  1. )使用对称密钥体制
  2. )提供数据源认证
  3. )数据完整性保护

6.2.4虚拟专用网

一、实现VPN的关键技术

  • VPN技术:隧道技术、加/解密技术、密钥管理技术、身份认证技术
  • VPN的解决方案:Access VPN、Intranet VPN、Extrant VPN

二、第二层隧道协议

  1. )PPP协议:定义了PAP和CHAP两种验证方式。
  2. )PPTP协议(点对点隧道协议):工作过程:将各种网络协议(如:IP、IPX等)封装到PPP协议中, 再把PPP封装后的数据包封装到PPTP协议中去,在数据链路层传输出去。
  3. )L2TP协议(第二层隧道协议):协议中定义了LAC和L2TP结构,在这两种结构中存在 隧道(Tunnel) 连接和 回话(Session)连接两种方式。

PPTP定义了由PAC和PNS组成的客户端/服务器结构。

PPP(Point to Point Procotol) PPTP(Point to Point tuneling Procotol) L2TP(Layer 2 Tuneling procotol)

三、IPSec

IPSec是一个工作于网络层的协议体系,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥管理协议(IKE)和一些用于网络认证加密的算法等,用于保证网络数据安全;IPSec向上提供访问控制、数据源认证、数据加密等网络安全服务。

IPSec提供两种模式:传输模式和隧道模式

1、网络认证协议(Authentication Header ,AH) # 传输模式

  • 工作原理:在每个数据包上添加一个身份验证报头(报头含一个Hash散列)。
  • 特征:提供数据完整性,数据源认证,但不提供保密服务;可做数字签名,无需证书

支持认证的算法有:HMAC-MD5和HMAC-SHA1

2、封装安全载荷协议(Encapsulating Security payload,ESP) #传输模式和隧道模式

  • 工作原理:对数据包的有效载荷部分进行ESP加密(不含IP报头),具体查P201。
  • 特征:提供数据包完整性检查、数据加密认证、加密

3、密钥管理协议(Internet Key Exchange, IKE)

IKE主要完成任务:

  1. )安全关联、集中化管理
  2. )密钥的生成和管理

四、安全套接层(Secure Socket Layer ,SSL)

SSL是一个介于HTTP协议与TCP之间的一个可选层。其协议分为:

  1. )握手协议(Handshake Protocol, HP) # 用于与服务器协商密钥
  2. )记录协议(Record Procotol, RP) # 用于定义传输的格式

五、传输层安全性(Transport Layer Security,TLS)

TLS是SSL的标准化化、升级版。同样运行于TCP/IP之上高层协议(如:HTTP)之下,TLS为客户机与服务器之间提供了安全连接。 (例如:传统HTTP 与 当前 HTTPS)

6.2.5应用层安全协议

一、安全超文本传输协议(Secure Hypertext Transfer Protocol,S-HTTP)

特点:支持端到端安全传输

二、邮件加密软件(Pretty Good Privacy,PGP)

特点:

  1. )PGP使用RSA和传统加密的杂合算法
  2. )使用接收方的公钥加密,接收方接收到后用自己的私钥解密
  3. )邮件文件长度为128位

三、S/MIME

S/MIME(Security/Multipurpose Internet Mail Extensions):提供报文完整性验证、数字签名和数据加密, 其加密密钥长度为动态可变的。

四、安全的电子交易(Secure Electronic Transaction,SET)

电子认证使用技术:

  1. )RSA算法
  2. )DES算法

6.2.6 防火墙

一、基本类型:

  1. ) 包过滤型防火墙
  2. ) 应用网关防火墙
  3. ) 代理服务器防火墙 工作于OSI应用层,使用代理技术阻断内/外网的通信
  4. ) 状态检测防火墙
  5. ) 自适应代理防火墙

二、防火墙接口:

  1. ) 内部区域(inside):受防火墙保护区域
  2. ) 外部区域(outside):不受信任区域,限制外网访问内部网络,可通过配置防火墙实现有限 制的访问。
  3. ) 非军事区域(DMZ):在该区域中一般放置Web服务器和Eail服务器,该区域内网、外网均 可以访问共享信息,但不允许外网内部网络。
最后修改:2022 年 06 月 08 日
如果觉得我的文章对你有用,请随意赞赏