网络安全基础
网络安全威胁和漏洞类型
- 窃听 病毒(强盗行为)
- 假冒(假的) 木马(间谍行为)
- 重放 (真的) 诽谤
- 流量分析 非授权访问
- 破坏完整 拒绝服务
- 漏洞:==物理、软件、不兼容等==
网络安全信息数据的五大特征
- 完整性 :信息数据完整不破坏
- 保密性 :信息数据需授权不泄露
- 可用性 :信息数据攻击后迅速恢复可用
- 不可否任性 :信息数据参与者不可否认不可抵赖,身份真实有效
- 可控性 :信息数据可以管控传播范围
网络安全基本技术
- 数据加密 :数据按照规则打乱,重新组合
- 数字签名 :证明发送者签发,具有不可抵赖、完整性
- 身份认证 :用户合法性,身份真实没假冒
- 防火墙 :控制内外数据进出,阻挡木马病毒
- 入侵检测 :采用经常检测特征保护网络
- 网络隔离 :内外网隔离分开使用
加密算法与信息摘要
密码体制分类
一个密码系统的组成包括以下五个部分:
- 明文空间M (Message) ,它是全体明文的集合。
- 密文空间C (Ciphertext),它是全体密文的集合。
- 密钥空间K (Key) ,它是全体密钥的集合。其中每一个密钥K均由加密密钥和解密密钥组成,即:
- 加密算法E (Encryption),它是一族由M到C的加密变换,对于每一个具体的,则E就确定出一个具体的加密函数,把M加密成密文C。
- 解密算法D (Decryption),它是一族由C到M的解密变换,对于每一个确定的,则D就确定出一个具体的解密函数。
加密过程
- 将明文变换为密文所使用的的变换函数,其变换过程即为加密(其中明文为m,加密算法E,加密密钥$k_1$,密文为c)
解密过程
- 将密文恢复为明文的变换函数,其变换过程称为解密(其中密文c,解密算法D,解密密钥$k_2$,明文m)
根据密钥类型不同将密码体制分为两类:
- 对称密钥 :
- ==加密、解密用的是同一个密钥==,一旦密钥持有方任何一方泄露密钥——加密的内容将不再安全。
- 不对称密钥
- 即==公钥加密==,==加密、解密用的是不同的密钥==,一个密钥“公开”,即公钥,另一个自己秘密持有,即私钥,加密方用公钥加密,只有用私钥才能解密——史称公钥加密体系:PKI。
公钥加密体制
- ==非对称密码体制==也叫==公钥加密技术==,该技术就是针对私钥密码体制的缺陷被提出来的。在公钥加密系统中,加密和解密是相对独立的,加密和解密会使用两把不同的密钥,加密密钥(公开密钥)向公众公开,谁都可以使用,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,顾其可称为公钥密码体制。
私钥加密体制
- ==对称密码体制==是一种传统密码体制,也称为==私钥密码体制==。在对称加密系统中,加密和解密采用相同的密钥。因为加解密密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。
现代信息加密技术
分为 ==对称和非对称==
- 对称
- DES
- 3DES
- IDEA
- AES
- RC4
- 非对称
- RSA(基于大素数分解3人)
- ECC(椭圆曲线密码编码学)
- Elgamal(基于离散对数1人)
- 对称
DES数据加密标准
- 3DES三重DES加密
- IDEA国际数据加密算法
- AES高级加密标准
- RC4流加密算法第四版
现代信息加密技术堆成密钥总结
公钥加密RSA
- 加密体系 :
- ==公钥加密==
- ==私钥解密==
签名体系 :
- ==私钥加密==
- ==公钥解密==
算法步骤 :
- 选两个大素数p和q (大于1的自然数,除了1和它本身没有能被其他自然数整除的数)
- 令 $n=p*q$,$z=(p-1)(q-1)$
- 满足公式 $e*d=1(mod z)$,e公钥,d私钥
- mod为模运算(即取余数)
数字签名技术
概念
- 数字签名用于确认发送者身份和消息的完整性
- 满足三个条件:
- 接受者能够核实发送者
- 发送者事后不能抵赖
- 接收者不能伪造签名
密钥管理技术
密钥管理体系
- KMI :密钥管理基础结构,第三方KDC,秘密物理通道,适用于封闭的内网使用
- PKI :公钥基础结构,不依赖秘密物理通道,适用于开放的外网
- SPK :适用于规模化专用网
- 记忆口诀: ==男人在外面PK(I)(拼搏,指外网使用),女人在家里KM(I)(看门,指内网使用)==
虚拟专用网VPN
VPN技术
- 建立在公网上
- 虚拟性,没有专用物理连接
- 利用隧道协议进行加密发送私人消息
- 专用性,非VPN用户无法访问
- 可在不安全的网络下发送安全可靠的信息
VPN四大关键技术
- 隧道技术
- 加解密技术
- 密钥管理技术
- 身份认证技术
VPN三种应用解决方案
- 内联网VPN
- 企业内部用于连通综合和分布各个LAN局域网
- 外联网VPN
- 企业外部用于实现企业与客户、银行、供应商互通
- 远程接入
- 解决远程用户出差访问企业内部网络
VPN在七层协议中使用的技术
PPP、PPTP、P2TP技术对比
PPTP与L2TP的比较
- PPTP要求IP网络下使用,L2TP适用于各种网络
- PPTP只能建立一条隧道,L2TP可以建立多条
- PPTP包头占用6字节,L2TP占用4字节
- PPTP不支持隧道验证,L2TP支持隧道验证
IPSec
- IP安全性,在IP层通过加密与数据源验证,来保证数据报传输安全
- 认证头AH,用于数据完整和数据源认证,防止重放
- 封装安全负荷ESP,提供数据保密、数据完整、辅助防重放
- 密钥交换协议IKE,生成分发密钥
- IPSec两种模式:
- ==传输模式==
- ==隧道模式==
SSL安全套接层
- 和TLS(传输层安全标准)是双胞胎
- 在传输层上4.5层套接安全协议
- SSL/TLS称为 HTTPS
- 工作在传输层
- 对传输层、应用层都可控制
SSL与IPSec的区别
- IPSec在网络层建立隧道,适用于固定的VPN 。SSL是通过应用层的Web连接建立的,适用于移动用户远程访问公司的VPN
- IPSec==工作在网络层,灵活性小==。SSL==工作在传输层,灵活性大==
练习例题
高级加密标准AES支持的三种密钥长度不包括 []{.gap} {.quiz}
- 56 {.correct}
- 128 {.options}
- 192 {.options}
- 256 {.options}
{.options}
在报文摘要算法MD5中,首先要进行明文分组与填充,其中分组时明文报文摘要按照 []{.gap} 位进行分组。 {.quiz}
- 128 {.options}
- 256 {.options}
- 512 {.correct}
- 1024 {.options}
{.options}
按RSA算法,若选两个奇数P=5,Q=3,公钥E=7,则私钥为 []{.gap} {.quiz}
- 6 {.options}
- 7 {.options}
- 8 {.options}
- 9 {.correct}
{.options}- n=pq=15, z=(p-1)(q-1)=8, 根据ed=1(mod z)
- 即ed/z余数为1,则(7*d)/8…1,即9符合
甲和乙要进行通信,甲对发送的信息附加了数字签名,乙收到该消息后利用 []{.gap} 验证该消息的真实性 {.quiz}
- 甲的公钥 {.correct}
- 甲的私钥 {.options}
- 乙的公钥 {.options}
- 乙的私钥 {.options}
{.options}- 数字签名:公钥解密,私钥加密
某企业打算采用IPSec协议构建VPN,由于企业申请的全球IP地址不够,企业内部网绝对使用本地IP地址,这是在内外网间的路由器上应采用 []{.gap} {.quiz}
- NAT技术 {.correct}
- 加密技术 {.options}
- 消息鉴别技术 {.options}
- 数字签名技术 {.options}
{.options}
(续第五题),IPSec协议应采用 []{.gap} {.quiz}
- 传输模式 {.options}
- 隧道模式 {.correct}
- 传输和隧道混合模式 {.options}
- 传输和隧道嵌套模式 {.options}
{.options}