# 网络安全基础

# 网络安全威胁和漏洞类型

  • 窃听                    病毒(强盗行为)
  • 假冒(假的)      木马(间谍行为)
  • 重放 (真的)     诽谤
  • 流量分析             非授权访问
  • 破坏完整              拒绝服务

  • 漏洞:物理、软件、不兼容等

# 网络安全信息数据的五大特征

  • 完整性 :信息数据完整不破坏
  • 保密性 :信息数据需授权不泄露
  • 可用性 :信息数据攻击后迅速恢复可用
  • 不可否任性 :信息数据参与者不可否认不可抵赖,身份真实有效
  • 可控性 :信息数据可以管控传播范围

# 网络安全基本技术

  • 数据加密 :数据按照规则打乱,重新组合
  • 数字签名 :证明发送者签发,具有不可抵赖、完整性
  • 身份认证 :用户合法性,身份真实没假冒
  • 防火墙 :控制内外数据进出,阻挡木马病毒
  • 入侵检测 :采用经常检测特征保护网络
  • 网络隔离 :内外网隔离分开使用

# 加密算法与信息摘要

# 密码体制分类

一个密码系统的组成包括以下五个部分:

  1. 明文空间 M (Message) ,它是全体明文的集合。
  2. 密文空间 C (Ciphertext),它是全体密文的集合。
  3. 密钥空间 K (Key) ,它是全体密钥的集合。其中每一个密钥 K 均由加密密钥和解密密钥组成,即:
    1. 加密算法 E (Encryption),它是一族由 M 到 C 的加密变换,对于每一个具体的,则 E 就确定出一个具体的加密函数,把 M 加密成密文 C。
    2. 解密算法 D (Decryption),它是一族由 C 到 M 的解密变换,对于每一个确定的,则 D 就确定出一个具体的解密函数。
  • 加密过程

    • 将明文变换为密文所使用的的变换函数,其变换过程即为加密

    c=E(k1,m)c=E(k_1,m)

    (其中明文为 m,加密算法 E,加密密钥k1k_1,密文为 c)

  • 解密过程

    • 将密文恢复为明文的变换函数,其变换过程称为解密

    m=D(k2,c)m=D(k_2,c)

    (其中密文 c,解密算法 D,解密密钥k2k_2, 明文 m)

根据密钥类型不同将密码体制分为两类:

  1. 对称密钥
    • 加密、解密用的是同一个密钥,一旦密钥持有方任何一方泄露密钥 —— 加密的内容将不再安全。
  2. 不对称密钥
    • 公钥加密加密、解密用的是不同的密钥,一个密钥 “公开”,即公钥,另一个自己秘密持有,即私钥,加密方用公钥加密,只有用私钥才能解密 —— 史称公钥加密体系:PKI。

# 公钥加密体制

  • 非对称密码体制也叫公钥加密技术,该技术就是针对私钥密码体制的缺陷被提出来的。在公钥加密系统中,加密和解密是相对独立的,加密和解密会使用两把不同的密钥,加密密钥 (公开密钥) 向公众公开,谁都可以使用,解密密钥 (秘密密钥) 只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,顾其可称为公钥密码体制。

# 私钥加密体制

  • 对称密码体制是一种传统密码体制,也称为私钥密码体制。在对称加密系统中,加密和解密采用相同的密钥。因为加解密密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。

# 现代信息加密技术

  • 分为 对称和非对称

    • 对称
      • DES
      • 3DES
      • IDEA
      • AES
      • RC4
    • 非对称
      • RSA (基于大素数分解 3 人)
      • ECC (椭圆曲线密码编码学)
      • Elgamal (基于离散对数 1 人)
  • DES 数据加密标准

  • 3DES 三重 DES 加密

  • IDEA 国际数据加密算法

  • AES 高级加密标准

  • RC4 流加密算法第四版

# 现代信息加密技术堆成密钥总结

jmjs

# 公钥加密 RSA

  • 加密体系

    • 公钥加密
    • 私钥解密
  • 签名体系

    • 私钥加密
    • 公钥解密
  • 算法步骤

  1. 选两个大素数 p 和 q (大于 1 的自然数,除了 1 和它本身没有能被其他自然数整除的数)
  2. n=pqn=p*q,z=(p1)(q1)z=(p-1)(q-1)
  3. 满足公式 ed=1(modz)e*d=1(mod z),e 公钥,d 私钥
    1. mod 为模运算(即取余数)

# 数字签名技术

# 概念

  • 数字签名用于确认发送者身份和消息的完整性
  • 满足三个条件:
    • 接受者能够核实发送者
    • 发送者事后不能抵赖
    • 接收者不能伪造签名

# 密钥管理技术

# 密钥管理体系

  • KMI :密钥管理基础结构,第三方 KDC,秘密物理通道,适用于封闭的内网使用
  • PKI :公钥基础结构,不依赖秘密物理通道,适用于开放的外网
  • SPK :适用于规模化专用网
  • 记忆口诀男人在外面 PK (I)(拼搏,指外网使用), 女人在家里 KM (I)(看门,指内网使用)

# 虚拟专用网 VPN

# VPN 技术

  • 建立在公网上
  • 虚拟性,没有专用物理连接
  • 利用隧道协议进行加密发送私人消息
  • 专用性,非 VPN 用户无法访问
  • 可在不安全的网络下发送安全可靠的信息

# VPN 四大关键技术

  • 隧道技术
  • 加解密技术
  • 密钥管理技术
  • 身份认证技术

# VPN 三种应用解决方案

  • 内联网 VPN
    • 企业内部用于连通综合和分布各个 LAN 局域网
  • 外联网 VPN
    • 企业外部用于实现企业与客户、银行、供应商互通
  • 远程接入
    • 解决远程用户出差访问企业内部网络

# VPN 在七层协议中使用的技术

vpnjs

# PPP、PPTP、P2TP 技术对比

vpnhz

# PPTP 与 L2TP 的比较

  1. PPTP 要求 IP 网络下使用,L2TP 适用于各种网络
  2. PPTP 只能建立一条隧道,L2TP 可以建立多条
  3. PPTP 包头占用 6 字节,L2TP 占用 4 字节
  4. PPTP 不支持隧道验证,L2TP 支持隧道验证

# IPSec

  • IP 安全性,在 IP 层通过加密与数据源验证,来保证数据报传输安全
  1. 认证头 AH,用于数据完整和数据源认证,防止重放
  2. 封装安全负荷 ESP,提供数据保密、数据完整、辅助防重放
  3. 密钥交换协议 IKE,生成分发密钥
  • IPSec 两种模式
    • 传输模式
    • 隧道模式

# SSL 安全套接层

  • 和 TLS(传输层安全标准)是双胞胎
  • 在传输层上 4.5 层套接安全协议
  • SSL/TLS 称为 HTTPS
  • 工作在传输层
  • 对传输层、应用层都可控制

# SSL 与 IPSec 的区别

  1. IPSec 在网络层建立隧道,适用于固定的 VPN 。SSL 是通过应用层的 Web 连接建立的,适用于移动用户远程访问公司的 VPN
  2. IPSec 工作在网络层,灵活性小。SSL 工作在传输层,灵活性大

# 练习例题

  1. 高级加密标准 AES 支持的三种密钥长度不包括

    • 56
    • 128
    • 192
    • 256
  2. 在报文摘要算法 MD5 中,首先要进行明文分组与填充,其中分组时明文报文摘要按照 位进行分组。

    • 128
    • 256
    • 512
    • 1024
  3. 按 RSA 算法,若选两个奇数 P=5,Q=3,公钥 E=7,则私钥为

    • 6
    • 7
    • 8
    • 9
    • n=pq=15, z=(p-1)(q-1)=8, 根据 ed=1(mod z)
    • 即 ed/z 余数为 1,则(7*d)/8…1,即 9 符合
  4. 甲和乙要进行通信,甲对发送的信息附加了数字签名,乙收到该消息后利用 验证该消息的真实性

    • 甲的公钥
    • 甲的私钥
    • 乙的公钥
    • 乙的私钥
    • 数字签名:公钥解密,私钥加密
  5. 某企业打算采用 IPSec 协议构建 VPN,由于企业申请的全球 IP 地址不够,企业内部网绝对使用本地 IP 地址,这是在内外网间的路由器上应采用

    • NAT 技术
    • 加密技术
    • 消息鉴别技术
    • 数字签名技术
  6. (续第五题),IPSec 协议应采用

    • 传输模式
    • 隧道模式
    • 传输和隧道混合模式
    • 传输和隧道嵌套模式