網絡安全基礎
- 第一節 網絡安全概述
-
- 一、基本概念
- 二、網絡安全威脅
- 第二節 資料加密
-
- 一、傳統加密方式
- 二、對稱密鑰加密
- 三、非對稱/公開密鑰加密
- 第三節 消息完整與數字簽名
-
- 一、消息完整性檢測方法
- 二、封包認證
- 三、數字簽名
- 第四節 身份認證
- 第五節 密匙分發中心與證書認證
-
- 一、密鑰分發中心
- 二、證書認證機構
- 第六節 防火牆與入侵檢測系統
-
- 一、防火牆基本概念
- 二、防火牆分類
- 三、入侵檢測系統IDS
- 第七節 網絡安全協定
-
- 一、安全電子郵件
- 二、安全套接字層SSL
- 三、虛拟專用網VPN和IP安全協定IPSec
- 小結:
第一節 網絡安全概述
一、基本概念
網絡安全通信所需要的基本屬性:
- 機密性
- 消息完整性
- 可通路與可用性
- 身份認證
二、網絡安全威脅
- 竊聽
- 插入
- 假冒
- 劫持
- 拒絕服務DoS和分布式拒絕服務DDoS
- 映射
- 嗅探
- IP欺騙
第二節 資料加密
資料加密
- 明文:未被加密的消息
- 密文:被加密的消息
- 加密:僞裝消息以隐藏消息的過程,即明文 → \rightarrow → 密文的過程.
- 解密:密文 → \rightarrow →明文的過程
一、傳統加密方式
-
替代密碼:用密文字母替代明文字母。
移位密碼加密函數:
E k ( M ) = ( M + k ) m o d q \color{red}{E_k(M)=(M+k)modq} Ek(M)=(M+k)modq
E E E:加密過程
M M M:明文資訊
k k k :密鑰,表示移幾位
q q q:如果是26個字母,那q就是26
解密函數:
D k ( C ) = ( K − k ) m o d q \color{red}{D_k(C)=(K-k)modq} Dk(C)=(K−k)modq
D D D:解密過程
C C C:密文
k k k:密鑰
-
換位密碼:根據一定規則重新排列明文。
【例題】如果對明文“bob.i love you. Alice",利用k=3的凱撒密碼加密,得到的密文是什麼?利用密鑰 “nice” 進行列置換加密後得到的密文是什麼?
【答案】
凱撒密碼加密後得到的密文是:
“ere l oryh brx Dolfh”
列置換密碼加密後得到的密文是:
“iex bvu bly ooo”
【解析】凱撒密碼:
以明文字母b為例,M=2(b的位置為2),k=3,q=26,則:
密文 C = ( M + k ) m o d q = ( 2 + 3 ) m o d 26 = 5 C=(M+k)modq=(2+3)mod26=5 C=(M+k)modq=(2+3)mod26=5,對應字母e,故b經過加密轉為了e
将明文全部替換後得到的密文 “ere l oryh brx Dolfh”
列置換密碼:
密鑰 “nice” 字母表先後順序為 “4,3,1,2” ,是以,按這個順序讀出表中字母,構成密文:“iex bvu bly ooo”,(密鑰有幾位就有幾列,如果明文不夠就補x,然後按列讀取)
二、對稱密鑰加密
- 對稱密鑰密碼:加密秘鑰和解密秘鑰相同( 密 鑰 保 密 \color{blue}{密鑰保密} 密鑰保密),例如用一個鎖将箱子鎖起來,這個鎖有2把相同的鑰匙,鎖好之後把另一把鑰匙派人送給他。
- 對稱密鑰密碼分類:
-
分組密碼:DES、AES、IDEA等。(分組處理)
1) D E S \color{blue}{DES} DES(資料加密标準):56位密鑰,64位分組。(56位二進制數,每位的取值是0或1,則所有的取值就是2^{56}個)
2) 三 重 D E S \color{blue}{三重DES} 三重DES:使用兩個秘鑰(共112位),執行三次DES算法。(用1個密鑰執行一次加密,再用另一個密鑰執行一次解密,共執行三次)
3) A E S \color{blue}{AES} AES(進階加密算法):分組128位,密鑰128/192/256位。
4)IDEA:分組64位,密鑰128位。
- 流密碼(挨個處理)
-
三、非對稱/公開密鑰加密
- 非對稱密鑰密碼:加密密鑰和解密密鑰不同, 密 鑰 成 對 使 用 \color{blue}{密鑰成對使用} 密鑰成對使用,其中一個用于加密,另一個用于解密。(私鑰:持有人所有 公鑰:公開的)
- 加密密鑰可以公開,也稱公開密鑰加密。
- 典型的公鑰算法:
- Diffie-Hellman算法
- RSA算法
第三節 消息完整與數字簽名
一、消息完整性檢測方法
密碼散列函數
- 特性:
- 定長輸出;
- 單向性(無法根據散列值逆推封包)
- 抗碰撞性(無法找到具有相同散列值的兩個封包)
- 典型的散列函數
- MD5:128位散列值
- SHA-1:160位散列值
二、封包認證
封包認證是使消息的接收者能夠檢驗收到的消息是否是真實的認證方法。來源真實,未被篡改。
- 封包摘要(數字指紋)
- 封包認證方法
- 簡單封包驗證:僅使用封包摘要,無法驗證來源真實性
- 封包認證碼:使用共享認證密匙,但無法防止接收方篡改
三、數字簽名
身份認證、資料完整性、不可否認性
- 簡單數字簽名:直接對封包簽名
- 簽名封包摘要
第四節 身份認證
- 密碼:會被竊聽
-
加密密碼:可能遭受回放/重播攻擊
加密的密碼可能會被截獲,雖然不知道密碼是什麼,但他将加密密碼送出給伺服器,說這是我加密的密碼,這叫重放.
- 加密一次性随機數:可能遭受中間人攻擊
Alice發給Bob說她是Alice,但Bob說你要向我證明,Bob生成一個随機數發給Alice,讓Alice用自己的私鑰進行加密,加密後再把資料發給Bob,然後Bob再向Alice要公鑰進行解密解出來的随機數如果和Bob發給Alice的随機數一樣的話,那就說明她是Alice。
這種方法會被中間人攻擊,Alice發送的私鑰加密被Trudy更換為自己用私鑰加密的資料然後發給Bob,公鑰也被Trudy換了,最後Bob用公鑰加密資料發給Alice,Trudy截獲了,用自己的私鑰進行解密,獲得了資料。
第五節 密匙分發中心與證書認證
密鑰分發存在漏洞:主要在密鑰的分發和對公鑰的認證環節,這需要密匙分發中心與證書認證機構解決
一、密鑰分發中心
雙方通信時需要協商一個密鑰,然後進行加密,每次通信都要協商一個密鑰,防止密鑰被人截獲後重複使用,是以密鑰每次都要更換,這就涉及到密鑰分發問題。
基于KDC的秘鑰生成和分發
- 通信發起方生成密鑰,KDC進行分發
- KDC生成并分發密鑰
二、證書認證機構
認證中心CA:将公鑰與特定的實體綁定
- 證明一個實體的真實身份;
- 為實體頒發數字證書(實體身份和公鑰綁定)。
第六節 防火牆與入侵檢測系統
一、防火牆基本概念
防火牆:能夠隔離組織内部網絡與公共網際網路,允許某些分組通過,而阻止其它分組進入或離開内部網絡的軟體、硬體或者軟硬體結合的一種設施。
前提:從外部到内部和從内部到外部的所有流量都經過防火牆
二、防火牆分類
-
無狀态分組過濾器
基于特定規則對分組是通過還是丢棄進行決策,如使用 訪 問 控 制 列 表 ( A C L ) \color{blue}{通路控制清單(ACL)} 通路控制清單(ACL)實作防火牆規則。
-
有狀态分組過濾器
跟蹤每個TCP連接配接建立、拆除,根據狀态确定是否允許分組通過。
-
應用網關
鑒别使用者身份或針對授權使用者開放特定服務。
三、入侵檢測系統IDS
入侵檢測系統(IDS):當觀察到潛在的惡意流量時,能夠産生警告的裝置或系統。
第七節 網絡安全協定
一、安全電子郵件
-
電子郵件安全需求
1)機密性
2)完整性
3)身份認證性
4)抗抵賴性
- 安全電子郵件标準: P G P \color{blue}{PGP} PGP
二、安全套接字層SSL
- SSL是介于 應 用 層 \color{blue}{應用層} 應用層和 傳 輸 層 \color{blue}{傳輸層} 傳輸層之間的安全協定.
-
SSL協定棧
(傳統的TCP協定是沒有安全協定的,傳輸都是明文,是以在TCP上面設定SSL協定保證安全性)
-
SSL握手過程
協商密碼組,生成秘鑰,伺服器/客戶認證與鑒别。
三、虛拟專用網VPN和IP安全協定IPSec
-
VPN
建立在 公 共 網 絡 \color{blue}{公共網絡} 公共網絡上的安全通道,實作遠端使用者、分支機構、業務夥伴等與機構總部網絡的安全連接配接,進而建構針對特定組織機構的專用網絡。
關鍵技術: 隧 道 技 術 \color{blue}{隧道技術} 隧道技術,如IPSec。
-
典型的網絡層安全協定—— I P S e c \color{blue}{IPSec} IPSec
提供機密性、身份鑒别、資料完整性和防重播攻擊服務。
體系結構:認證頭AH協定、封裝安全載荷ESP協定。
運作模式:傳輸模式(AH傳輸模式、ESP傳輸模式)、隧道模式(AH隧道模式、ESP隧道模式)
小結:
本文主要介紹了網絡安全基本概念、資料加密算法、消息完整性與數字簽名、身份認證、密鑰分發中心與證書認證機構、防火牆與入侵檢測以及網絡安全協定等内容。
重 難 點 \color{blue}{重難點} 重難點回顧:
- 網絡安全基本屬性
- 典型資料加密算法;
- 消息完整性、數字前面以及身份認證原理。