网络安全知识总结.docx

1、网络安全知识总结网络安全概述网络安全的应用领域1电子商务2电子现金3数字货币4网络银行5电子政务6国家机密、军事机密网络安全的主要威胁及技术隐患1自然灾害、意外事故2硬件故障、软件漏洞3人为失误4计算机犯罪、黑客攻击5内部泄露、外部泄密6信息丢失、电子谍报、信息战7网络协议中的缺陷黑客采用的攻击方法1非授权使用2破坏完整性3信息泄露或丢失4传播计算机病毒5破坏通信协议(dos,ddos)网络安全的基本需求保密性、可用性、完整性、可控性系统的开放灵活性与系统安全性的平衡常用的网络安全措施数据加密、身份认证、数字签名、防火墙、入侵检测、安全监控、网络扫描、网络防毒、网络隔离H3C 绿盟 启明星辰

2、天融信UTM 多重安全网关增强安全意识教育、建立健全安全规章制度网络安全教育、提高防范意识、抵制利用计算机进行各类犯罪活动的诱惑、尽快培养出一批信息化安全的专门人才、提高全民的信息化安全意识第一章 加密技术加密技术概要1信息是当今社会的一种重要资源(数据和信息的对比、信息应用的例子)2用户需要信息是保密的、完整的和真实的3现代信息系统必须具备有信息安全技术措施4信息加密是信息安全的主要措施之一加密的基本概念通过使用加密，可以提供的安全服务-保密性-完整性-不可否认性加密的相关术语明文也叫明码（plaintext）密文（ciphertext）算法（algorithm）密钥（key）加密（encr

3、yption）解密（decryption）基本的加密操作明文-加密算法-密文-解密算法-明文基本的加密思想置换：按照规则改变内容的排列顺序移位：打乱字母的排列顺序移位和置换都是可逆的操作，容易恢复信息移位、置换应用于现代密码算法中置换是用一个特定的值替换另一个特定值的过程置换需要通信双方事先知道置换的方法X A P C C O MY C Q E D Q N上例中，奇数位的ASCII码值加1，偶数位的ASCII码值加2。移位：把某个字母以其前或其后几位的某个特定的字母替代移位具有规律，容易被攻破E X A M P L EE L P M A X E在计算机中，怎样才能自动实现大量复杂数据的加密和解

4、密？-这依赖于好的、可被计算机识别的、被验证为有效的加密算法。加密算法分类-对称密钥加密算法(私有密钥算法) 加密密钥=解密密钥-非对称密钥加密算法(公钥算法)著名的对称加密算法-对称加密的密钥长度从难从40bits到168bits-著名加密算法： -DES/3DES数据加密标准 -IDEA国际数据加密算法 -RC系列（RC2、RC4、RC5） -CAST -Blowfish /Twofish -AES 高级数据加密标准等等DES数据加密标准-DES是一种块或分组加密算法-20世纪70年代，由IBM公司发展-1976年11月纳为美国国家标准-DES密钥是固定的56bit,不安全-DES以块模式

5、对64bit的密文块进行操作算法：1输入64比特明文数据2初始置换IP3在密钥控制下16轮迭代4交换左右32比特5初始逆置换IP-16输出64比特密文数据3DES算法：加密：m-des-des-1-des-c (加-解-加) k1 k2 k1解密：c-des-1-des-des-1-m (解-加-解) k1 k2 k1IDEA 国际数据加密算法-分组长度为64位，密钥长度为128位-设计原则：来自不同代数群的混合运算 -异或 -模216加 -模216+1乘-软件实现的IDEA比DES快两倍RC系列-RC2-Ronald Rivest设计-密钥长度可变-RC2的运算速度比DES快-软件实现的RC

6、2比DES快三倍-RC4-Rivest设计-密钥长度可变-流模式加密算法，面向bit操作-算法基于随机置换-RC4应用范围广-RC5-Rivest设计-分组长、密钥长和迭代轮数都可变-面向字结构，便于软件和硬件快速实现-数据相倚旋转技术Blowfish-Bruce Schneier设计-密钥长度可变-易于软件快速实现，所需存储空间不到5KB-安全性可以通过改变密钥长度进行调整-适用于密钥不经常改变的加密-不适用于需要经常变换密钥的情况AES 高级加密算法公钥加密技术=非对称加密技术-公钥加密比私钥加密出现晚-私钥加密使用同一个密钥来加密和解密信息-公钥加密使用两个密钥，一个密钥用于加密信息，另

7、一个密钥用于解密信息公钥加密 public key != private key-私钥需要安全保存-公钥公开-加密速度慢-可以与对称加密相结合Diffie-Hellman密钥交换-用于解决密钥发布问题RSA-密钥长度在512-2048bit之间-安全性基于数学运算的复杂性-RSA比用软件实现的DES慢100倍-RSA比硬件实现的DES慢腾腾1000倍-RSA的主要功能-加密-数字签名PGP邮件系统加密-网上的信息大多数以明文形式传输-使用的邮件系统存在安全问题 -改进邮件系统,增进系统安全 -信息加密 -数字签名PGP安全电子邮件程序Pretty Good PrivacyPGP密钥管理-密钥生

8、成与公钥导入-密钥对(key pair),公钥(public key),公钥文件(asc),导入(import)利用PGP发送加密邮件-文件加密,邮件正文加密,直接利用OUTLOOK,解密的简单实现.解密-文件解密,邮件正文解密任务驱动-实现问题解决(能力扩展)MD5 SHA保密性、完整性、不可抵赖性数字信封-指将对称加密算法与非对称加密算法结合使用的方法。它看重了对称加密的效率，看重了非对称加密的安全性。先对明文使用对称加密将其变成密文，然后再使用非对称加密算法将对称密钥进行加密数字签名-验证发送方的身份。先形成数字摘要，然后利用非对称加密算法和发送方私钥对摘要进行加密。接收方用发送方公钥进

9、行验证。也叫做数字指纹。完整性验证-HASH函数、WinMD5工具身份验证明文+(明文-Hash-数字摘要-使用发送者的私钥进行加密-形成数字签名)+发送者的公钥(发送者的数字证书)-使用对称加密系统随机生成的对称密钥进行加密-形成密文用接收者的公开密钥对对称密钥进行加密-数字信封将二者发送到接收方第三章CA数字证书服务CA服务器配置证书申请及应用SSL协议SSL实现Web加密通信SSL-VPNCA电子商务网络持卡人 商户 银行 CA认证中心 支付网关CA认证中心CA为电子政务、电子商务等网络环境中各个实体颁发数字证书，以证明身份的真实性，并负责在交易中检验和管理证书;CA对数字证书的签名使得

10、第三者不能伪造和篡改证书;它是电子商务和网上银行交易的权威性、可信赖性及公证性的第三方机构。PKI公钥基础设施，是用于发放公开密钥的一种渠道CARA注册Directory大量的查询操作少量的插入、删除和修改PKI签发证书，证书回收列表证书服务分层次的证书颁发体系CA的功能1.证书的申请。在线早请或离线申请2.证书的审批。在线审核或离线审核3.证书的发放。在线发放或离线发放4.证书的归档。5.证书的撤销。6.证书的更新。人工密钥更新或自动密钥更新7.证书废止列表CRL的管理。8.CA本身的管理和CA自身密钥的管理。个人证书、单位证书、服务器证书、代码签名证书、VPN证书、无线应用证书公钥证书的主

11、要内容 身份证主要内容持有者标识 姓名序列号 身份证号码公钥（n,e） 照片有效期 有效期签发者标识 签发单位CA的数字签名 签发单位盖章、防伪标志使用证书提供的服务Web认证和专有信道签名和加密的信息传递签名的事务和表单签发网络操作系统、主机和大型认证远程访问虚拟专用网文件加密 SSL协议概述数据保密：连接是保密安全的。在初始化的握手协议协商加密密钥之后传输的消息均为加密的消息。加密的算法为私钥加密算法如DES、RC4、IDEA等。身份认证：通信双方的身份是可以通过公钥加密算法如RSA、DSS等签名来验证，杜绝假冒。数据据完整性：HASH函数例如SHA、MD5等被用来产生消息摘要MAC。所传

12、输的消息均包含数字签名，以保证消息的完整性。这保证连接是可靠的。SSL子协议：SSL记录协议、SSL握手协议、SSL更改密码规格协议、SSL警报协议它位于应用层与传输层之间。SSL记录协议的内容：应用数据、分段、压缩、添加MAC、加密、附加SSL记录报头基于SSL的一个完整的Web访问过程客户端 C.客户机浏览器的数字证书和公钥 服务器 S.服务器的数字证书和公钥 S.用服务器的私钥解密信息 S.用客户机浏览器的公钥加密会话密钥 C.用客户机浏览器的私钥解密信息 （S，C）.用会话密钥加密传输的数据 SSL-VPN特性一、安全的协议（443号端口）1.SSL VPN采用了SSL协议，介于HTT

13、P层及TCP层。2.通过SSL VPN是接入企业内部的应用，而不是企业的整个网络。没有控制的联入整个企业的网络是非常危险的。3.采用SSL安全协议在网络中加密传输，对于Gateway上的防火墙来讲，只需要打开有限的安全端口即可，不需要将所有对应应用的端口开放给公网用户，这样大大降低了整个网络被公网来的攻击的可能性。4.数据加密的安全性有加密算法来保证，这个各家公司的算法可能都不一样，有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。黑客想要窃听网络中的数据，就要能够解开这些加密算法后的数据包。5.Session保护功能：在会话停止一段时间以后自动结束会话，如果需要继续访问则要重新

14、登陆，通过对Session的保护来起到数据被窃听后伪装访问的攻击。Sinfor 深信服二、产品起到的安全功能1.首先由于SSL VPN一般在Gateway上或者在防火墙后面，把企业内部需要被授权外部访问的内部应用注册到SSL VPN上，这样对于Gateway来讲，只需要开通443端口到SSL VPN即可，而不需要开通所有内部的应用的端口，如果有黑客发起攻击也只能到SSL VPN这里，攻击不到内部的实际应用。2.不改变防病毒策略：如果您采用了IPSEC VPN的产品，当客户端有一台电脑通过VPN联入网络后，该网络的防病毒的策略将被彻底破坏，因为联入内部网络的电脑并不受原来公司的防病毒策略的保护，

15、而SSL VPN就没有这个问题。3.不改变防火墙策略：基本原理同防病毒。还是从IPSEC的角度来讲，如果当客户端有一台电脑通过VPN联入网络后，如果该电脑被黑客攻击安装了木马，这个电脑将成为攻击内部网络的跳板，而SSL VPN就没有这个问题。第四章 IPSECIPSEC体系结构IPSEC安全协议IPSEC加密算法IPSEC密钥管理基于windows实现传输模式VPN基于windows实现隧道模式VPN网络层安全性优点：密钥协商的开销被大大的消减了需要改动的应用程序很少很容易构建VPN缺点：很难解决“抗抵赖”之类的问题IPSEC的目标为IPv4和IPv6提供具有较强的互操作能力高质量和基于密码的

16、安全在IP层实现多种安全服务，包括： 访问控制、无连接完整性、数据源验证、抗重播、机密性和有 限的业务流机密性。IPSec安全体系结构：ESP协议（加密算法） AH协议（鉴别算法） | | V 密钥管理不同的用户可以应用不同的策略IPSec安全体系的内容协议部分，分为 AH：Authentication Header 验证头部 为IP包提供数据完整性校验和身份认证功能; 验证算法由SA指定 认证的范围：整个包 ESP: Encapsulating Security Payload 封装安全载荷 提供机密性、数据源验证、抗重播以及数据完整性等安全服务 加密算法和身份验证方法均由SA指定。用于两种

17、模式：传输模式和隧道模式。密钥管理（Key Management） SA（Security Association）安全联盟 ISAKMP定义了密钥管理框架IKE是目前正式确定用于IPSec的密钥交换协议IPSec的模式原始IP包：IP头 TCP头 数据传输模式：IP头 IPSec TCP头 数据隧道模式：外部IP头 IPSec头 IP头 TCP头 数据AH头格式Next Header Payload Length Reserved Security Parameters Index(SPI) Sequence Number Authentication Data(variable)ESP头格

18、式Security Parameters Index(SPI)sequence NumberPayload Data(variable)Padding(0-255 bytes) Pad Length Next HeaderAuthentication Data(variable)安全关联SASA是单向的;SA是“协议相关”的;每个SA通过三个参数标志 安全参数索引SPI（Security Parameters Index） 对方IP地址 安全协议标识：AH or ESPSA与IPSec系统中实现的两个数据库有关 安全策略数据库（SPD） 安全关联数据库（SAD）第一阶段：建立起ISAKMP S

19、A IKE SA双方（例如ISAKMP Servers）商定如何保护以后的通讯，通信双方建立一个已通过身份鉴别和安全保护的通道;此SA将用于保护后面的protocol SA的协商过程。第二阶段：建立起针对其他安全协议的SAIPSec SA这个阶段可以建立多个SA;此SA将被相应的安全协议用于保护数据或者消息的交换IPSec-vpn要求数据私秘性数据完整性数据来源鉴别防重放IPSec-vpn协议和算法IP安全协议：AH，ESP数据加密标准：DES,3DES公共密钥密码协议：Diffie-Hellman散列算法：MD5，SHA-1公钥加密算法：RSAInternet密钥交换：IKE isakmp证

20、书授权中心：CA掌握在路由器上实现IPSec-vpnRouter(config)#crypto isakmp enable (enables ike)Router(config)#crypto isakmp policy priorityRouter(config-isakmp)#encryption des | 3desRouter(config-isakmp)#hash sha | md5 /指定消息摘要算法Router(config-isakmp)#authentication rsa-sig |rsa-encr |pre-shareRouter(config-isakmp)#group

21、 1 | 2 /指定DH分组编号Router(config-isakmp)#lifetime seconds /指定SA生存期Router(config)#crypto isakmp identity address | hostnameRouter(config)#ip host hostname address1 address2.address8Router(config)#crypto isakmp key keystring address peer-addressRouter(config)#crypto isakmp key keystring hostname peer-hos

22、tnameRouter(config)#show crypto isakmp policyInstance:cypto isakmp policy 15encryption 3deshash md5authentication rsa-siggroup 2lifetime 5000crypto isakmp policy 20authentication pre-sharelifetime 10000crypto isakmp key 1234567890 address 192.168.222.33crypto ipsec transform-set transform-set-name t

23、ransform1 .Router(cfg-crypto-tran)#mode tunnel | transportMODE:crypto ipsec transform-set myset1 ah-sha-hmac esp-3des esp-md5-hmaccrypto ipsec transform-set myset2 esp-3descrypto ipsec transform-set myset3 ah-sha-hmaccrypto ipsec transform-set myset4 esp-md5-hmaccrypto ipsec security-association lif

24、etime seconds/kilobytes seconds/lilobytescrypto map map-name seq-num ipsec-isakmpmatch address access-list-idset peer hostname | ip-addressset transform-set .set pfs group1|group2crypto map map-nameaccess-list 101 permit ip 10.0.0.0 0.0.0.255 10.2.2.0 0.0.0.255crypto ipsec transform-set myset1 esp-des esp-shacrypto ipsec transform-set myset2 esp-3des esp-md5-hmaccrypto map toRemoteSite 10 ipsec-isakmpmatch address 101set transform-set myset2set peer 10.2.2.5interface serial0ip address 10.0.0.2crypto map toRemoteSiteshow crypto ipsec tansform-setshow crypto mapshow crypto ipsec sa address