网络安全知识要点
网络安全问题
面临安全性威胁
计算机网络上面临的威胁:
截获:从网络上窃听他人的通信内容
中断:有意中断他人在网络上的通信
篡改:故意篡改网络上传送的报文
伪造:伪造信息在网络上传送
被动攻击是攻击者观察和分析某PDU而不干扰信息流,主动攻击是指攻击者对PDU进行操作处理。
通信安全目标
防止分析出报文内容;防止通信量分析;检测更改报文流;检测拒绝报文服务;检测伪造初始化连接。
恶意程序
计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹
计算机网络安全内容
保密性、安全协议设计、访问控制
密码体制
对称密钥密码体制
1、加密密钥和解密密钥相同
2、数据加密标准DES。分组密码,在加密前先对整个明文进行分组,每个组64位,对每一个64位二进制数据进行加密处理产生密文数据。对密钥的保密。
3、如DES、3DES、TDEA、Blowfish算法、RC5算法和IDEA算法。
公钥密码体制
加密密钥与解密密钥不同。由已知加密密钥推导出解密密钥在计算上是不可行的。加密密钥(公钥)PK是公开信息,解密密钥(私钥)SK是保密的。加密算法E和解密算法D也公开。
A使用公钥对明文消息进行加密 , B使用对应的私钥对密文进行解密
解决问题:密钥分配和数字签名
算法:RSA、ECC、D-H算法
数字签名
保证完整性、不可否认性、身份认证
A使用私钥对认证消息进行加密,然后B使用公钥对其进行解密判断是否为A发送的消息。
鉴别
被动攻击措施是加密;主动攻击措施是鉴别。
报文鉴别
当很长报文进行数字签名是会是计算机增加很大的负担,使用简单的方法获取报文的摘要。
过程:A将所需发送的报文X通过报文摘要算法(单向函数)得到消息摘要H,使用私钥对H进行加密进行数字签名得到D。将D追加到报文后面发送给B
B接收到A发送过来的消息时,就先将报文和摘要分开,使用自己的公钥解密得到消息摘要H,并且对报文X进行摘要计算判断是符合H相同。
实体鉴别
在接入的全部时间内对通信对方只需验证一次。
通信双方使用共享对称密码进行加解密鉴别实体身份。
漏洞:
重放攻击:当入侵者C截获了A发送到B的消息,直接将消息发送给B让B认为C就是发送消息的A,就会像C返回响应内容。(使用随机数防止)
IP欺骗:将自己的IP地址换成A的IP地址进行IP欺骗。
中间人攻击:C截取A与B之间的通信信息获取相关信息。
密钥分配
如何通过安全的通路进行分配。常用密钥分配是设立密钥分配中心KDC。
对称密钥分配
使用KDC来进行密钥分配。
公钥分配
通过认证中心CA将公钥和实体进行绑定,每个实体都有CA发送的证书,通过获取CA的公钥来验证。
安全协议
网络层安全协议IPSec
对在IP数据报中的数据进行加密
运输层安全协议TLS
安全套接字对万维网客户与服务器之间传送数据进行加密和鉴别,在双方联络协商使用的加密算法和密钥。
提供功能:
1、SSL服务器鉴别。用户认证服务器身份,浏览器上有CA以及公钥。
2、加密SSL会话。客户端和服务器之间进行加密传输
3、SSL客户鉴别。允许服务器证实客户身份。
安全电子交易SET
专为因特网上进行安全支付卡交易的协议。
特点:
1、专为与支付有关的报文进行加密
2、涉及顾客、商家和商业银行。三方交互信息都被加密
3、三方都要有证书进行y验证。
应用层的安全协议
PGP:对电子邮件传送过程进行加密、鉴别、电子签名和压缩
PEM:因特网的邮件加密建议标准
系统安全
防火墙
隔绝内联网和外联网,控制进出网络的流量
分为网络级防火墙和应用级防火墙。
网络级防火墙:防止整个网络出现外来非法的入侵。
应用级防火墙:防从应用程序来进行接入控制。
入侵检测系统IDS
基于特征的入侵检测和基于异常的入侵异常。
重点知识点
1、网络安全的威胁可以分为主动攻击和被动攻击
2、主动攻击可进一步划分为更改报文流、拒绝报文服务和伪造连接初始化。
3、加密策略:链路加密和端到端加密
4、网络为用户提供的安全服务包括身份认证、访问控制、数据加密、数据完整和不可否认。
5、对信息流的干预方式可以分为中断、截取、修改和假冒。
6、系统安全的策略有防火墙和入侵检测。
7、经典加密算法:替换加密、换位加密和一次性填充。
8、计算机网络安全包括问题:
保密性:为用户提供安全可靠的保密通信。
全协议设计:设计针对攻击安全的通信协议。
存取控制:对接入网络的权限加以控制,规定每个用户的接入权限。
9、密钥分配方法:
网外分配方式:采用可靠方法携带密钥分配给各用户
网内分配方式:用户之间直接分配和使用密钥分配中心KDC来分配密钥
10、网络安全面临的威胁:
系统漏洞、黑客攻击、病毒入侵、网络配置管理不当
11、Novell NetWare对文件服务器的共享硬盘提供的5级措施。
对硬盘目录和文件分配表(FAT)的保护;
对硬盘表面损坏时的数据保护;
采用磁盘镜像的方法实现对磁盘驱动器损坏的保护
采用磁盘双工,大队磁盘通道和驱动器损坏起到保护作用
采用事务系统跟踪系统TTS的附加容错功能
12、防火墙和入侵检测系统技术区别与联系。
区别:
防火墙是设置在本地网络和外部网络的一道防御系统,以防止发生不可预测的、潜在的、破坏性的侵入。通过检测、限制、更改跨越防火墙的数据流,尽可能的对外部屏蔽内部的信息、结构和允许状态来保护内部网络中的信息和资源受到外部网络非法用户的入侵。过滤不安全的服务和非法用户,控制对特殊站点的访问,统计数据,提供告警和审计功能。
入侵检测系统从计算机网络或计算机关键点收集信息并进行分析,从中发现用户或系统是否存在违反安全策略的行为和被攻击的迹象。监测、分析用户及其系统异常活动,提示管理员对其行为做出响应。
联系:
IDS是继防火墙之后的防线,防火墙是防御,IDS是主动防御,结合有力地保证内部系统安全。
IDS实时监测防火墙未发现的入侵行为,发现入侵行为规律,使得防火墙将这些行为特征加入规则中,提高防火墙的防护力度。
13、
重放攻击:攻击者截获发往目的主机已接收过的包并向其发送,用于身份认证。
拒绝服务DOS:攻击者向因特网上服务器不同发送大量分组使得服务器无法提供正常服务
访问控制:对接入网络的权限加以控制并规定接入的用户的权限
流量分析:通过观察PDU的协议控制信息部分,了解正在通信的协议实体地址和身份,PDU的长度和传输频率。
恶意程序:带有攻击攻击意图所编写的程序。
14、密码学:密码编码学和密码分析学
密码编码学:对密码体制的设计学,研究对数据进行变换的原理、手段和方法的技术和科学
密码分析学:在未知密钥的情况下将密文推导出明文或密钥的技术
15、
“无条件安全的密码体制”:无论截取获得多少密文都无法唯一的确定出对应的明文。
“在计算上是安全的密码体制”:破译密码花费的价值超过密文价值,破译时间超过密文有限生存周期。
16、进行报文鉴别是为了防止主动攻击中的篡改和伪造,验证通信对方的确是自己所需通信的对象。保密是对传送消息进行加密,防止受到被动攻击被攻击者观察并分析传输数据报协议以及IP地址。授权是对所进行的进程是否被允许进行验证。
17、MD5是RFC1321的报文摘要算法,对任意长报文进行运算得到128bit的报文摘要算法。
18、Kerberos协议优缺点。
Kerberos协议主要用于计算机网络的身份鉴别,只需要输入一次身份验证信息就可凭借此验证获取的票据访问多个服务。
19、网络层安全协议簇IPSec包含鉴别首部AH和封装安全有效载荷ESP
AH将每个数据报中的数据和一个变化的数字签名结合在一起验证发送方身份。提供源站鉴别和数据完整性。
ESP对IP负载进行加密机制,对数据报中数据进行加密,提供源站鉴别、数据完整性和保密性。
20、PGP使用一个随机生成密钥及IDEA算法对明文加密,再使用RSA算法对该密钥进行加密。
21、防火墙工作原理:分组过滤路由器检查进出内部网络的分组数据,按照系统管理员设置的防火墙规则来与分组进行匹配,符合条件的分组就通过,否则就丢弃。