网络安全知识总结.docx
《网络安全知识总结.docx》由会员分享,可在线阅读,更多相关《网络安全知识总结.docx(17页珍藏版)》请在冰豆网上搜索。
网络安全知识总结
网络安全概述
网络安全的应用领域
1电子商务
2电子现金
3数字货币
4网络银行
5电子政务
6国家机密、军事机密
网络安全的主要威胁及技术隐患
1自然灾害、意外事故
2硬件故障、软件漏洞
3人为失误
4计算机犯罪、黑客攻击
5内部泄露、外部泄密
6信息丢失、电子谍报、信息战
7网络协议中的缺陷
黑客采用的攻击方法
1非授权使用
2破坏完整性
3信息泄露或丢失
4传播计算机病毒
5破坏通信协议(dos,ddos)
网络安全的基本需求
保密性、可用性、完整性、可控性
系统的开放灵活性与系统安全性的平衡
常用的网络安全措施
数据加密、身份认证、数字签名、防火墙、入侵检测、安全监控、网络扫描、网络防毒、网络隔离
H3C绿盟启明星辰天融信
UTM多重安全网关
增强安全意识教育、建立健全安全规章制度
网络安全教育、提高防范意识、抵制利用计算机进行各类犯罪活动的诱惑、尽快培养出一批信息化安全的专门人才、提高全民的信息化安全意识
第一章加密技术
加密技术概要
1信息是当今社会的一种重要资源(数据和信息的对比、信息应用的例子)
2用户需要信息是保密的、完整的和真实的
3现代信息系统必须具备有信息安全技术措施
4信息加密是信息安全的主要措施之一
加密的基本概念
通过使用加密,可以提供的安全服务
--保密性
--完整性
--不可否认性
加密的相关术语
明文也叫明码(plaintext)
密文(ciphertext)
算法(algorithm)
密钥(key)
加密(encryption)
解密(decryption)
基本的加密操作
明文--->加密算法--->密文--->解密算法--->明文
基本的加密思想
置换:
按照规则改变内容的排列顺序
移位:
打乱字母的排列顺序
移位和置换都是可逆的操作,容易恢复信息
移位、置换应用于现代密码算法中
置换是用一个特定的值替换另一个特定值的过程
置换需要通信双方事先知道置换的方法
XAPCCOM
YCQEDQN
上例中,奇数位的ASCII码值加1,偶数位的ASCII码值加2。
移位:
把某个字母以其前或其后几位的某个特定的字母替代
移位具有规律,容易被攻破
EXAMPLE
ELPMAXE
在计算机中,怎样才能自动实现大量复杂数据的加密和解密?
--这依赖于好的、可被计算机识别的、被验证为有效的加密算法。
加密算法分类
--对称密钥加密算法(私有密钥算法)加密密钥==解密密钥
--非对称密钥加密算法(公钥算法)
著名的对称加密算法
--对称加密的密钥长度从难从40bits到168bits
--著名加密算法:
--DES/3DES数据加密标准
--IDEA国际数据加密算法
--RC系列(RC2、RC4、RC5)
--CAST
--Blowfish/Twofish
--AES高级数据加密标准等等
DES数据加密标准
--DES是一种块或分组加密算法
--20世纪70年代,由IBM公司发展
--1976年11月纳为美国国家标准
--DES密钥是固定的56bit,不安全
--DES以块模式对64bit的密文块进行操作
算法:
1输入64比特明文数据
2初始置换IP
3在密钥控制下16轮迭代
4交换左右32比特
5初始逆置换IP-1
6输出64比特密文数据
3DES算法:
加密:
m-->des-->des-1-->des-->c(加--解--加)
k1k2k1
解密:
c-->des-1-->des-->des-1-->m(解--加--解)
k1k2k1
IDEA国际数据加密算法
--分组长度为64位,密钥长度为128位
--设计原则:
来自不同代数群的混合运算
--异或
--模216加
--模216+1乘
--软件实现的IDEA比DES快两倍
RC系列
-RC2
--RonaldRivest设计
--密钥长度可变
--RC2的运算速度比DES快
--软件实现的RC2比DES快三倍
-RC4
--Rivest设计
--密钥长度可变
--流模式加密算法,面向bit操作
--算法基于随机置换
--RC4应用范围广
-RC5
--Rivest设计
--分组长、密钥长和迭代轮数都可变
--面向字结构,便于软件和硬件快速实现
--数据相倚旋转技术
Blowfish
--BruceSchneier设计
--密钥长度可变
--易于软件快速实现,所需存储空间不到5KB
--安全性可以通过改变密钥长度进行调整
--适用于密钥不经常改变的加密
--不适用于需要经常变换密钥的情况
AES高级加密算法
公钥加密技术==非对称加密技术
--公钥加密比私钥加密出现晚
--私钥加密使用同一个密钥来加密和解密信息
--公钥加密使用两个密钥,一个密钥用于加密信息,另一个密钥用于解密信息
公钥加密publickey!
=privatekey
--私钥需要安全保存
--公钥公开
--加密速度慢
--可以与对称加密相结合
Diffie-Hellman密钥交换
--用于解决密钥发布问题
RSA
--密钥长度在512-2048bit之间
--安全性基于数学运算的复杂性
--RSA比用软件实现的DES慢100倍
--RSA比硬件实现的DES慢腾腾1000倍
-RSA的主要功能
--加密
--数字签名
PGP邮件系统加密
--网上的信息大多数以明文形式传输
--使用的邮件系统存在安全问题
-改进邮件系统,增进系统安全
-信息加密
-数字签名
PGP安全电子邮件程序
PrettyGoodPrivacy
PGP密钥管理--密钥生成与公钥导入
--密钥对(keypair),公钥(publickey),公钥文件(asc),导入(import)
利用PGP发送加密邮件
--文件加密,邮件正文加密,直接利用OUTLOOK,解密的简单实现.
解密
--文件解密,邮件正文解密
任务驱动--实现问题解决(能力扩展)
MD5SHA
保密性、完整性、不可抵赖性
数字信封----指将对称加密算法与非对称加密算法结合使用的方法。
它看重了对称加密的效率,看重了非对称加密的安全性。
先对明文使用对称加密将其变成密文,然后再使用非对称加密算法将对称密钥进行加密
数字签名----验证发送方的身份。
先形成数字摘要,然后利用非对称加密算法和发送方私钥对摘要进行加密。
接收方用发送方公钥进行验证。
也叫做数字指纹。
完整性验证----HASH函数、WinMD5工具
身份验证
[明文+(明文-->Hash-->数字摘要-->使用发送者的私钥进行加密-->形成数字签名)+发送者的公钥(发送者的数字证书)]-->使用对称加密系统随机生成的对称密钥进行加密-->形成密文
用接收者的公开密钥对对称密钥进行加密-->数字信封
将二者发送到接收方
第三章
-CA数字证书服务
-CA服务器配置
-证书申请及应用
-SSL协议
-SSL实现Web加密通信
-SSL-VPN
CA电子商务网络
持卡人商户银行CA认证中心支付网关
CA-认证中心
CA为电子政务、电子商务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书;
CA对数字证书的签名使得第三者不能伪造和篡改证书;
它是电子商务和网上银行交易的权威性、可信赖性及公证性的第三方机构。
PKI--公钥基础设施,是用于发放公开密钥的一种渠道
CA
RA--注册
Directory-大量的查询操作-少量的插入、删除和修改
PKI签发证书,证书回收列表
证书服务--分层次的证书颁发体系
CA的功能
1.证书的申请。
在线早请或离线申请
2.证书的审批。
在线审核或离线审核
3.证书的发放。
在线发放或离线发放
4.证书的归档。
5.证书的撤销。
6.证书的更新。
人工密钥更新或自动密钥更新
7.证书废止列表CRL的管理。
8.CA本身的管理和CA自身密钥的管理。
个人证书、单位证书、服务器证书、代码签名证书、VPN证书、无线应用证书
公钥证书的主要内容身份证主要内容
--持有者标识--姓名
--序列号--身份证号码
--公钥(n,e)--照片
--有效期--有效期
--签发者标识--签发单位
--CA的数字签名--签发单位盖章、防伪标志
使用证书提供的服务
--Web认证和专有信道
--签名和加密的信息传递
--签名的事务和表单签发
--网络操作系统、主机和大型认证
--远程访问
--虚拟专用网
--文件加密
SSL协议概述
--数据保密:
连接是保密安全的。
在初始化的握手协议协商加密密钥之后传输的消息均为加密的消息。
加密的算法为私钥加密算法如DES、RC4、IDEA等。
--身份认证:
通信双方的身份是可以通过公钥加密算法如RSA、DSS等签名来验证,杜绝假冒。
--数据据完整性:
HASH函数例如SHA、MD5等被用来产生消息摘要MAC。
所传输的消息均包含数字签名,以保证消息的完整性。
这保证连接是可靠的。
SSL子协议:
SSL记录协议、SSL握手协议、SSL更改密码规格协议、SSL警报协议
它位于应用层与传输层之间。
SSL记录协议的内容:
应用数据、分段、压缩、添加MAC、加密、附加SSL记录报头
基于SSL的一个完整的Web访问过程
客户端C.客户机浏览器的数字证书和公钥服务器
------------>
S.服务器的数字证书和公钥
<------------
C.用服务器的公钥加密信息
------------>
S.用服务器的私钥解密信息
S.用客户机浏览器的公钥加密会话密钥
<------------
C.用客户机浏览器的私钥解密信息
(S,C).用会话密钥加密传输的数据
<------------->
SSL-VPN特性
一、安全的协议(443号端口)
1.SSLVPN采用了SSL协议,介于HTTP层及TCP层。
2.通过SSLVPN是接入企业内部的应用,而不是企业的整个网络。
没有控制的联入整个企业的网络是非常危险的。
3.采用SSL安全协议在网络中加密传输,对于Gateway上的防火墙来讲,只需要打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网来的攻击的可能性。
4.数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。
黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
5.Session保护功能:
在会话停止一段时间以后自动结束会话,如果需要继续访问则要重新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击。
Sinfor深信服
二、产品起到的安全功能
1.首先由于SSLVPN一般在Gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSLVPN上,这样对于Gateway来讲,只需要开通443端口到SSLVPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSLVPN这里,攻击不到内部的实际应用。
2.不改变防病毒策略:
如果您采用了IPSECVPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,因为联入内部网络的电脑并不受原来公司的防病毒策略的保护,而SSLVPN就没有这个问题。
3.不改变防火墙策略:
基本原理同防病毒。
还是从IPSEC的角度来讲,如果当客户端有一台电脑通过VPN联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而SSLVPN就没有这个问题。
第四章IPSEC
--IPSEC体系结构
--IPSEC安全协议
--IPSEC加密算法
--IPSEC密钥管理
--基于windows实现传输模式VPN
--基于windows实现隧道模式VPN
网络层安全性
优点:
-密钥协商的开销被大大的消减了
-需要改动的应用程序很少
-很容易构建VPN
缺点:
-很难解决“抗抵赖”之类的问题
IPSEC的目标
--为IPv4和IPv6提供具有较强的互操作能力
--高质量和基于密码的安全
--在IP层实现多种安全服务,包括:
--访问控制、无连接完整性、数据源验证、抗重播、机密性和有限的业务流机密性。
IPSec安全体系结构:
ESP协议(加密算法)AH协议(鉴别算法)
|
|
V
密钥管理
不同的用户可以应用不同的策略
IPSec安全体系的内容
-协议部分,分为
--AH:
AuthenticationHeader验证头部
为IP包提供数据完整性校验和身份认证功能;
验证算法由SA指定
认证的范围:
整个包
--ESP:
EncapsulatingSecurityPayload封装安全载荷
提供机密性、数据源验证、抗重播以及数据完整性等安全服务
加密算法和身份验证方法均由SA指定。
用于两种模式:
传输模式和隧道模式。
-密钥管理(KeyManagement)
--SA(SecurityAssociation)安全联盟
--ISAKMP定义了密钥管理框架
IKE是目前正式确定用于IPSec的密钥交换协议
IPSec的模式
原始IP包:
IP头TCP头数据
传输模式:
IP头IPSecTCP头数据
隧道模式:
外部IP头IPSec头IP头TCP头数据
AH头格式
NextHeaderPayloadLengthReserved
SecurityParametersIndex(SPI)
SequenceNumber
AuthenticationData(variable)
ESP头格式
SecurityParametersIndex(SPI)
sequenceNumber
PayloadData(variable)
Padding(0-255bytes)PadLengthNextHeader
AuthenticationData(variable)
安全关联SA
--SA是单向的;
--SA是“协议相关”的;
--每个SA通过三个参数标志
-安全参数索引SPI(SecurityParametersIndex)
-对方IP地址
-安全协议标识:
AHorESP
--SA与IPSec系统中实现的两个数据库有关
-安全策略数据库(SPD)
-安全关联数据库(SAD)
第一阶段:
建立起ISAKMPSA--IKESA
-双方(例如ISAKMPServers)商定如何保护以后的通讯,通信双方建立一个已通过身份鉴别和安全保护的通道;
-此SA将用于保护后面的protocolSA的协商过程。
第二阶段:
建立起针对其他安全协议的SA--IPSecSA
-这个阶段可以建立多个SA;
-此SA将被相应的安全协议用于保护数据或者消息的交换
IPSec-vpn要求
-数据私秘性
-数据完整性
-数据来源鉴别
-防重放
IPSec-vpn协议和算法
-IP安全协议:
AH,ESP
-数据加密标准:
DES,3DES
-公共密钥密码协议:
Diffie-Hellman
-散列算法:
MD5,SHA-1
-公钥加密算法:
RSA
-Internet密钥交换:
IKEisakmp
-证书授权中心:
CA
掌握在路由器上实现IPSec-vpn
Router(config)#cryptoisakmpenable(enablesike)
Router(config)#cryptoisakmppolicypriority
Router(config-isakmp)#encryption{des|3des}
Router(config-isakmp)#hash{sha|md5}//指定消息摘要算法
Router(config-isakmp)#authentication{rsa-sig|rsa-encr|pre-share}
Router(config-isakmp)#group{1|2}//指定DH分组编号
Router(config-isakmp)#lifetimeseconds//指定SA生存期
Router(config)#cryptoisakmpidentity{address|hostname}
Router(config)#iphosthostnameaddress1[address2....address8]
Router(config)#cryptoisakmpkeykeystringaddresspeer-address
Router(config)#cryptoisakmpkeykeystringhostnamepeer-hostname
Router(config)#showcryptoisakmppolicy
Instance:
cyptoisakmppolicy15
encryption3des
hashmd5
authenticationrsa-sig
group2
lifetime5000
cryptoisakmppolicy20
authenticationpre-share
lifetime10000
cryptoisakmpkey1234567890address192.168.222.33
cryptoipsectransform-settransform-set-nametransform1.....
Router(cfg-crypto-tran)#mode[tunnel|transport]
MODE:
cryptoipsectransform-setmyset1ah-sha-hmacesp-3desesp-md5-hmac
cryptoipsectransform-setmyset2esp-3des
cryptoipsectransform-setmyset3ah-sha-hmac
cryptoipsectransform-setmyset4esp-md5-hmac
cryptoipsecsecurity-associationlifetimeseconds/kilobytesseconds/lilobytes
cryptomapmap-nameseq-numipsec-isakmp
matchaddressaccess-list-id
setpeer{hostname|ip-address}
settransform-set....
setpfs[group1|group2]
cryptomapmap-name
access-list101permitip10.0.0.00.0.0.25510.2.2.00.0.0.255
cryptoipsectransform-setmyset1esp-desesp-sha
cryptoipsectransform-setmyset2esp-3desesp-md5-hmac
cryptomaptoRemoteSite10ipsec-isakmp
matchaddress101
settransform-setmyset2
setpeer10.2.2.5
interfaceserial0
ipaddress10.0.0.2
cryptomaptoRemoteSite
showcryptoipsectansform-set
showcryptomap
showcryptoipsecsaaddress