网络安全知识总结Word文档格式.docx

网络安全知识总结Word文档格式.docx

《网络安全知识总结Word文档格式.docx》由会员分享，可在线阅读，更多相关《网络安全知识总结Word文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

加密的相关术语

明文也叫明码（plaintext）

密文（ciphertext）

算法（algorithm）

密钥（key）

加密（encryption）

解密（decryption）

基本的加密操作

明文--->

加密算法--->

密文--->

解密算法--->

明文

基本的加密思想

置换：

按照规则改变内容的排列顺序

移位：

打乱字母的排列顺序

移位和置换都是可逆的操作，容易恢复信息

移位、置换应用于现代密码算法中

置换是用一个特定的值替换另一个特定值的过程

置换需要通信双方事先知道置换的方法

XAPCCOM

YCQEDQN

上例中，奇数位的ASCII码值加1，偶数位的ASCII码值加2。

把某个字母以其前或其后几位的某个特定的字母替代

移位具有规律，容易被攻破

EXAMPLE

ELPMAXE

在计算机中，怎样才能自动实现大量复杂数据的加密和解密？

--这依赖于好的、可被计算机识别的、被验证为有效的加密算法。

加密算法分类

--对称密钥加密算法（私有密钥算法）加密密钥==解密密钥

--非对称密钥加密算法（公钥算法）

著名的对称加密算法

--对称加密的密钥长度从难从40bits到168bits

--著名加密算法：

--DES/3DES数据加密标准

--IDEA国际数据加密算法

--RC系列（RC2、RC4、RC5）

--CAST

--Blowfish/Twofish

--AES高级数据加密标准等等

DES数据加密标准

--DES是一种块或分组加密算法

--20世纪70年代，由IBM公司发展

--1976年11月纳为美国国家标准

--DES密钥是固定的56bit,不安全

--DES以块模式对64bit的密文块进行操作

算法：

1输入64比特明文数据

2初始置换IP

3在密钥控制下16轮迭代

4交换左右32比特

5初始逆置换IP-1

6输出64比特密文数据

3DES算法：

加密：

m-->

des-->

des-1-->

c（加--解--加）

k1k2k1

解密：

c-->

m（解--加--解）

IDEA国际数据加密算法

--分组长度为64位，密钥长度为128位

--设计原则：

来自不同代数群的混合运算

--异或

--模216加

--模216+1乘

--软件实现的IDEA比DES快两倍

RC系列

-RC2

--RonaldRivest设计

--密钥长度可变

--RC2的运算速度比DES快

--软件实现的RC2比DES快三倍

-RC4

--Rivest设计

--流模式加密算法，面向bit操作

--算法基于随机置换

--RC4应用范围广

-RC5

--分组长、密钥长和迭代轮数都可变

--面向字结构，便于软件和硬件快速实现

--数据相倚旋转技术

Blowfish

--BruceSchneier设计

--易于软件快速实现，所需存储空间不到5KB

--安全性可以通过改变密钥长度进行调整

--适用于密钥不经常改变的加密

--不适用于需要经常变换密钥的情况

AES高级加密算法

公钥加密技术==非对称加密技术

--公钥加密比私钥加密出现晚

--私钥加密使用同一个密钥来加密和解密信息

--公钥加密使用两个密钥，一个密钥用于加密信息，另一个密钥用于解密信息

公钥加密publickey!

=privatekey

--私钥需要安全保存

--公钥公开

--加密速度慢

--可以与对称加密相结合

Diffie-Hellman密钥交换

--用于解决密钥发布问题

RSA

--密钥长度在512-2048bit之间

--安全性基于数学运算的复杂性

--RSA比用软件实现的DES慢100倍

--RSA比硬件实现的DES慢腾腾1000倍

-RSA的主要功能

--加密

--数字签名

PGP邮件系统加密

--网上的信息大多数以明文形式传输

--使用的邮件系统存在安全问题

-改进邮件系统,增进系统安全

-信息加密

-数字签名

PGP安全电子邮件程序

PrettyGoodPrivacy

PGP密钥管理--密钥生成与公钥导入

--密钥对（keypair）,公钥（publickey）,公钥文件（asc）,导入（import）

利用PGP发送加密邮件

--文件加密,邮件正文加密,直接利用OUTLOOK,解密的简单实现.

解密

--文件解密,邮件正文解密

任务驱动--实现问题解决（能力扩展）

MD5SHA

保密性、完整性、不可抵赖性

数字信封----指将对称加密算法与非对称加密算法结合使用的方法。

它看重了对称加密的效率，看重了非对称加密的安全性。

先对明文使用对称加密将其变成密文，然后再使用非对称加密算法将对称密钥进行加密

数字签名----验证发送方的身份。

先形成数字摘要，然后利用非对称加密算法和发送方私钥对摘要进行加密。

接收方用发送方公钥进行验证。

也叫做数字指纹。

完整性验证----HASH函数、WinMD5工具

身份验证

[明文+（明文-->

Hash-->

数字摘要-->

使用发送者的私钥进行加密-->

形成数字签名）+发送者的公钥（发送者的数字证书）]-->

使用对称加密系统随机生成的对称密钥进行加密-->

形成密文

用接收者的公开密钥对对称密钥进行加密-->

数字信封

将二者发送到接收方

第三章

－CA数字证书服务

－CA服务器配置

－证书申请及应用

－SSL协议

－SSL实现Web加密通信

－SSL-VPN

CA电子商务网络

持卡人商户银行CA认证中心支付网关

CA－认证中心

CA为电子政务、电子商务等网络环境中各个实体颁发数字证书，以证明身份的真实性，并负责在交易中检验和管理证书;

CA对数字证书的签名使得第三者不能伪造和篡改证书;

它是电子商务和网上银行交易的权威性、可信赖性及公证性的第三方机构。

PKI－－公钥基础设施，是用于发放公开密钥的一种渠道

CA

RA－－注册

Directory－大量的查询操作－少量的插入、删除和修改

PKI签发证书，证书回收列表

证书服务－－分层次的证书颁发体系

CA的功能

1.证书的申请。

在线早请或离线申请

2.证书的审批。

在线审核或离线审核

3.证书的发放。

在线发放或离线发放

4.证书的归档。

5.证书的撤销。

6.证书的更新。

人工密钥更新或自动密钥更新

7.证书废止列表CRL的管理。

8.CA本身的管理和CA自身密钥的管理。

个人证书、单位证书、服务器证书、代码签名证书、VPN证书、无线应用证书

公钥证书的主要内容身份证主要内容

－－持有者标识－－姓名

－－序列号－－身份证号码

－－公钥（n,e）－－照片

－－有效期－－有效期

－－签发者标识－－签发单位

－－CA的数字签名－－签发单位盖章、防伪标志

使用证书提供的服务

－－Web认证和专有信道

－－签名和加密的信息传递

－－签名的事务和表单签发

－－网络操作系统、主机和大型认证

－－远程访问

－－虚拟专用网

－－文件加密

SSL协议概述

－－数据保密：

连接是保密安全的。

在初始化的握手协议协商加密密钥之后传输的消息均为加密的消息。

加密的算法为私钥加密算法如DES、RC4、IDEA等。

－－身份认证：

通信双方的身份是可以通过公钥加密算法如RSA、DSS等签名来验证，杜绝假冒。

－－数据据完整性：

HASH函数例如SHA、MD5等被用来产生消息摘要MAC。

所传输的消息均包含数字签名，以保证消息的完整性。

这保证连接是可靠的。

SSL子协议：

SSL记录协议、SSL握手协议、SSL更改密码规格协议、SSL警报协议

它位于应用层与传输层之间。

SSL记录协议的内容：

应用数据、分段、压缩、添加MAC、加密、附加SSL记录报头

基于SSL的一个完整的Web访问过程

客户端C.客户机浏览器的数字证书和公钥服务器

－－－－－－－－－－－－>

S.服务器的数字证书和公钥

<

－－－－－－－－－－－－

C.用服务器的公钥加密信息

S.用服务器的私钥解密信息

S.用客户机浏览器的公钥加密会话密钥

C.用客户机浏览器的私钥解密信息

（S，C）.用会话密钥加密传输的数据

－－－－－－－－－－－－－>

SSL-VPN特性

一、安全的协议（443号端口）

1.SSLVPN采用了SSL协议，介于HTTP层及TCP层。

2.通过SSLVPN是接入企业内部的应用，而不是企业的整个网络。

没有控制的联入整个企业的网络是非常危险的。

3.采用SSL安全协议在网络中加密传输，对于Gateway上的防火墙来讲，只需要打开有限的安全端口即可，不需要将所有对应应用的端口开放给公网用户，这样大大降低了整个网络被公网来的攻击的可能性。

4.数据加密的安全性有加密算法来保证，这个各家公司的算法可能都不一样，有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。

黑客想要窃听网络中的数据，就要能够解开这些加密算法后的数据包。

5.Session保护功能：

在会话停止一段时间以后自动结束会话，如果需要继续访问则要重新登陆，通过对Session的保护来起到数据被窃听后伪装访问的攻击。

Sinfor深信服

二、产品起到的安全功能

1.首先由于SSLVPN一般在Gateway上或者在防火墙后面，把企业内部需要被授权外部访问的内部应用注册到SSLVPN上，这样对于Gateway来讲，只需要开通443端口到SSLVPN即可，而不需要开通所有内部的应用的端口，如果有黑客发起攻击也只能到SSLVPN这里，攻击不到内部的实际应用。

2.不改变防病毒策略：

如果您采用了IPSECVPN的产品，当客户端有一台电脑通过VPN联入网络后，该网络的防病毒的策略将被彻底破坏，因为联入内部网络的电脑并不受原来公司的防病毒策略的保护，而SSLVPN就没有这个问题。

3.不改变防火墙策略：

基本原理同防病毒。

还是从IPSEC的角度来讲，如果当客户端有一台电脑通过VPN联入网络后，如果该电脑被黑客攻击安装了木马，这个电脑将成为攻击内部网络的跳板，而SSLVPN就没有这个问题。

第四章IPSEC

－－IPSEC体系结构

－－IPSEC安全协议

－－IPSEC加密算法

－－IPSEC密钥管理

－－基于windows实现传输模式VPN

－－基于windows实现隧道模式VPN

网络层安全性

优点：

－密钥协商的开销被大大的消减了

－需要改动的应用程序很少

－很容易构建VPN

缺点：

－很难解决“抗抵赖”之类的问题

IPSEC的目标

－－为IPv4和IPv6提供具有较强的互操作能力

－－高质量和基于密码的安全

－－在IP层实现多种安全服务，包括：

－－访问控制、无连接完整性、数据源验证、抗重播、机密性和有限的业务流机密性。

IPSec安全体系结构：

ESP协议（加密算法）AH协议（鉴别算法）

|

V

密钥管理

不同的用户可以应用不同的策略

IPSec安全体系的内容

－协议部分，分为

－－AH：

AuthenticationHeader验证头部

为IP包提供数据完整性校验和身份认证功能;

验证算法由SA指定

认证的范围：

整个包

－－ESP:

EncapsulatingSecurityPayload封装安全载荷

提供机密性、数据源验证、抗重播以及数据完整性等安全服务

加密算法和身份验证方法均由SA指定。

用于两种模式：

传输模式和隧道模式。

－密钥管理（KeyManagement）

－－SA（SecurityAssociation）安全联盟

－－ISAKMP定义了密钥管理框架

IKE是目前正式确定用于IPSec的密钥交换协议

IPSec的模式

原始IP包：

IP头TCP头数据

传输模式：

IP头IPSecTCP头数据

隧道模式：

外部IP头IPSec头IP头TCP头数据

AH头格式

NextHeaderPayloadLengthReserved

SecurityParametersIndex（SPI）

SequenceNumber

AuthenticationData（variable）

ESP头格式

SecurityParametersIndex（SPI）

sequenceNumber

PayloadData（variable）

Padding（0-255bytes）PadLengthNextHeader

AuthenticationData（variable）

安全关联SA

－－SA是单向的;

－－SA是“协议相关”的;

－－每个SA通过三个参数标志<

spi,dst（src）,protocol>

－安全参数索引SPI（SecurityParametersIndex）

－对方IP地址

－安全协议标识：

AHorESP

－－SA与IPSec系统中实现的两个数据库有关

－安全策略数据库（SPD）

－安全关联数据库（SAD）

第一阶段：

建立起ISAKMPSA－－IKESA

－双方（例如ISAKMPServers）商定如何保护以后的通讯，通信双方建立一个已通过身份鉴别和安全保护的通道;

－此SA将用于保护后面的protocolSA的协商过程。

第二阶段：

建立起针对其他安全协议的SA－－IPSecSA

－这个阶段可以建立多个SA;

－此SA将被相应的安全协议用于保护数据或者消息的交换

IPSec-vpn要求

－数据私秘性

－数据完整性

－数据来源鉴别

－防重放

IPSec-vpn协议和算法

－IP安全协议：

AH，ESP

－数据加密标准：

DES,3DES

－公共密钥密码协议：

Diffie-Hellman

－散列算法：

MD5，SHA-1

－公钥加密算法：

－Internet密钥交换：

IKEisakmp

－证书授权中心：

掌握在路由器上实现IPSec-vpn

Router（config）#cryptoisakmpenable（enablesike）

Router（config）#cryptoisakmppolicypriority

Router（config-isakmp）#encryption{des|3des}

Router（config-isakmp）#hash{sha|md5}//指定消息摘要算法

Router（config-isakmp）#authentication{rsa-sig|rsa-encr|pre-share}

Router（config-isakmp）#group{1|2}//指定DH分组编号

Router（config-isakmp）#lifetimeseconds//指定SA生存期

Router（config）#cryptoisakmpidentity{address|hostname}

Router（config）#iphosthostnameaddress1[address2....address8]

Router（config）#cryptoisakmpkeykeystringaddresspeer-address

Router（config）#cryptoisakmpkeykeystringhostnamepeer-hostname

Router（config）#showcryptoisakmppolicy

Instance:

cyptoisakmppolicy15

encryption3des

hashmd5

authenticationrsa-sig

group2

lifetime5000

cryptoisakmppolicy20

authenticationpre-share

lifetime10000

cryptoisakmpkey1234567890address192.168.222.33

cryptoipsectransform-settransform-set-nametransform1.....

Router（cfg-crypto-tran）#mode[tunnel|transport]

MODE:

cryptoipsectransform-setmyset1ah-sha-hmacesp-3desesp-md5-hmac

cryptoipsectransform-setmyset2esp-3des

cryptoipsectransform-setmyset3ah-sha-hmac

cryptoipsectransform-setmyset4esp-md5-hmac

cryptoipsecsecurity-associationlifetimeseconds/kilobytesseconds/lilobytes

cryptomapmap-nameseq-numipsec-isakmp

matchaddressaccess-list-id

setpeer{hostname|ip-address}

settransform-set....

setpfs[group1|group2]

cryptomapmap-name

access-list101permitip10.0.0.00.0.0.25510.2.2.00.0.0.255

cryptoipsectransform-setmyset1esp-desesp-sha

cryptoipsectransform-setmyset2esp-3desesp-md5-hmac

cryptomaptoRemoteSite10ipsec-isakmp

matchaddress101

settransform-setmyset2

setpeer10.2.2.5

interfaceserial0

ipaddress10.0.0.2

cryptomaptoRemoteSite

showcryptoipsectansform-set

showcryptomap

showcryptoipsecsaaddress