6.2.1网络安全威胁
一、网络攻击
1、网络安全威胁分类:窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权访问、 陷门和特洛伊木马、病毒、诽谤...
2、网络攻击:主动攻击、被动攻击、物理临近攻击、内部人员攻击、分发攻击...
- )主动攻击: 特点:破坏信息的完整性、系统的可用性,对信息进行修改、插入、删除等。防御手段:防火墙、入侵检测技术等。
- )被动攻击: 特点:窃取传输的信息、不破坏消息完整性 防御手段:数据加密等
3、数据加密方式: 链路加密方式、节点到节点加密、端到端加密方式。
二、对称密钥密码体制(非公开密码体制):
1、对称加密算法:DES、IDEA、TDEA、AES、RC2、RC4、RC5
- )数据加密标准(DES):属于分组密码体制,每64位为一组(明文)、采用1个密钥进行加密,加密后为64位密文,实际有效密钥为56位。
- )三重DES:在DES上改进得来,采用2个不同的密钥进行3次DES加密,密钥长度112位。
- )国际数据加密数据算法(IDEA):采用128位密钥加密。
三、非对称密钥体制(公开密钥密码体制):
特点:收发双方使用各自的公钥对数据进行加密,用密钥对数据进行解密。
- )RSA算法: 特点:不加密明文(数据),加密传输的密钥;涉及大数计算,效率比较低。
- )EiGamal算法: 特点容易被破解
6.2.3认证技术与数字签名
认证分为:实体认证和消息认证两种
一、3种认证技术
- )基于共享密钥的认证
- )Needam-Schroeder认证
- )基于公钥的认证 特点:使用对方的公钥进行加密、用各自的私钥解密
二、数字签名
数字签名是用于确认发送者身份、消息完整性的一个加密的消息摘要。
三、报文摘要
- 目的:保证数据完整性,防止报文被篡改
- 报文摘要的主要方法:MD5、SHA、HMAC三种。
1)MD5算法
特点:
- )输入报文长度:任意
- )输出报文摘录长度:128位
2)安全散列算法(Secure Hash Algorithm, SHA)
SHA算法是基于MD5算法改进得来,其特点是:
- )输入报文长度:512位报文分组
- )输出报文摘录长度:160位
3)散列式报文认证码(HMAC)
特点:
- )使用对称密钥体制
- )提供数据源认证
- )数据完整性保护
6.2.4虚拟专用网
一、实现VPN的关键技术
- VPN技术:隧道技术、加/解密技术、密钥管理技术、身份认证技术
- VPN的解决方案:Access VPN、Intranet VPN、Extrant VPN
二、第二层隧道协议
- )PPP协议:定义了PAP和CHAP两种验证方式。
- )PPTP协议(点对点隧道协议):工作过程:将各种网络协议(如:IP、IPX等)封装到PPP协议中, 再把PPP封装后的数据包封装到PPTP协议中去,在数据链路层传输出去。
- )L2TP协议(第二层隧道协议):协议中定义了LAC和L2TP结构,在这两种结构中存在 隧道(Tunnel) 连接和 回话(Session)连接两种方式。
PPTP定义了由PAC和PNS组成的客户端/服务器结构。
PPP(Point to Point Procotol) PPTP(Point to Point tuneling Procotol) L2TP(Layer 2 Tuneling procotol)
三、IPSec
IPSec是一个工作于网络层的协议体系,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥管理协议(IKE)和一些用于网络认证加密的算法等,用于保证网络数据安全;IPSec向上提供访问控制、数据源认证、数据加密等网络安全服务。
IPSec提供两种模式:传输模式和隧道模式
1、网络认证协议(Authentication Header ,AH) # 传输模式
- 工作原理:在每个数据包上添加一个身份验证报头(报头含一个Hash散列)。
- 特征:提供数据完整性,数据源认证,但不提供保密服务;可做数字签名,无需证书
支持认证的算法有:HMAC-MD5和HMAC-SHA1
2、封装安全载荷协议(Encapsulating Security payload,ESP) #传输模式和隧道模式
- 工作原理:对数据包的有效载荷部分进行ESP加密(不含IP报头),具体查P201。
- 特征:提供数据包完整性检查、数据加密认证、加密
3、密钥管理协议(Internet Key Exchange, IKE)
IKE主要完成任务:
- )安全关联、集中化管理
- )密钥的生成和管理
四、安全套接层(Secure Socket Layer ,SSL)
SSL是一个介于HTTP协议与TCP之间的一个可选层。其协议分为:
- )握手协议(Handshake Protocol, HP) # 用于与服务器协商密钥
- )记录协议(Record Procotol, RP) # 用于定义传输的格式
五、传输层安全性(Transport Layer Security,TLS)
TLS是SSL的标准化化、升级版。同样运行于TCP/IP之上高层协议(如:HTTP)之下,TLS为客户机与服务器之间提供了安全连接。 (例如:传统HTTP 与 当前 HTTPS)
6.2.5应用层安全协议
一、安全超文本传输协议(Secure Hypertext Transfer Protocol,S-HTTP)
特点:支持端到端安全传输
二、邮件加密软件(Pretty Good Privacy,PGP)
特点:
- )PGP使用RSA和传统加密的杂合算法
- )使用接收方的公钥加密,接收方接收到后用自己的私钥解密
- )邮件文件长度为128位
三、S/MIME
S/MIME(Security/Multipurpose Internet Mail Extensions):提供报文完整性验证、数字签名和数据加密, 其加密密钥长度为动态可变的。
四、安全的电子交易(Secure Electronic Transaction,SET)
电子认证使用技术:
- )RSA算法
- )DES算法
6.2.6 防火墙
一、基本类型:
- ) 包过滤型防火墙
- ) 应用网关防火墙
- ) 代理服务器防火墙 工作于OSI应用层,使用代理技术阻断内/外网的通信
- ) 状态检测防火墙
- ) 自适应代理防火墙
二、防火墙接口:
- ) 内部区域(inside):受防火墙保护区域
- ) 外部区域(outside):不受信任区域,限制外网访问内部网络,可通过配置防火墙实现有限 制的访问。
- ) 非军事区域(DMZ):在该区域中一般放置Web服务器和Eail服务器,该区域内网、外网均 可以访问共享信息,但不允许外网内部网络。