网络安全知识总结Word文档格式.docx
- 文档编号:18610521
- 上传时间:2022-12-29
- 格式:DOCX
- 页数:14
- 大小:22.46KB
网络安全知识总结Word文档格式.docx
《网络安全知识总结Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全知识总结Word文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
加密的相关术语
明文也叫明码(plaintext)
密文(ciphertext)
算法(algorithm)
密钥(key)
加密(encryption)
解密(decryption)
基本的加密操作
明文--->
加密算法--->
密文--->
解密算法--->
明文
基本的加密思想
置换:
按照规则改变内容的排列顺序
移位:
打乱字母的排列顺序
移位和置换都是可逆的操作,容易恢复信息
移位、置换应用于现代密码算法中
置换是用一个特定的值替换另一个特定值的过程
置换需要通信双方事先知道置换的方法
XAPCCOM
YCQEDQN
上例中,奇数位的ASCII码值加1,偶数位的ASCII码值加2。
把某个字母以其前或其后几位的某个特定的字母替代
移位具有规律,容易被攻破
EXAMPLE
ELPMAXE
在计算机中,怎样才能自动实现大量复杂数据的加密和解密?
--这依赖于好的、可被计算机识别的、被验证为有效的加密算法。
加密算法分类
--对称密钥加密算法(私有密钥算法)加密密钥==解密密钥
--非对称密钥加密算法(公钥算法)
著名的对称加密算法
--对称加密的密钥长度从难从40bits到168bits
--著名加密算法:
--DES/3DES数据加密标准
--IDEA国际数据加密算法
--RC系列(RC2、RC4、RC5)
--CAST
--Blowfish/Twofish
--AES高级数据加密标准等等
DES数据加密标准
--DES是一种块或分组加密算法
--20世纪70年代,由IBM公司发展
--1976年11月纳为美国国家标准
--DES密钥是固定的56bit,不安全
--DES以块模式对64bit的密文块进行操作
算法:
1输入64比特明文数据
2初始置换IP
3在密钥控制下16轮迭代
4交换左右32比特
5初始逆置换IP-1
6输出64比特密文数据
3DES算法:
加密:
m-->
des-->
des-1-->
c(加--解--加)
k1k2k1
解密:
c-->
m(解--加--解)
IDEA国际数据加密算法
--分组长度为64位,密钥长度为128位
--设计原则:
来自不同代数群的混合运算
--异或
--模216加
--模216+1乘
--软件实现的IDEA比DES快两倍
RC系列
-RC2
--RonaldRivest设计
--密钥长度可变
--RC2的运算速度比DES快
--软件实现的RC2比DES快三倍
-RC4
--Rivest设计
--流模式加密算法,面向bit操作
--算法基于随机置换
--RC4应用范围广
-RC5
--分组长、密钥长和迭代轮数都可变
--面向字结构,便于软件和硬件快速实现
--数据相倚旋转技术
Blowfish
--BruceSchneier设计
--易于软件快速实现,所需存储空间不到5KB
--安全性可以通过改变密钥长度进行调整
--适用于密钥不经常改变的加密
--不适用于需要经常变换密钥的情况
AES高级加密算法
公钥加密技术==非对称加密技术
--公钥加密比私钥加密出现晚
--私钥加密使用同一个密钥来加密和解密信息
--公钥加密使用两个密钥,一个密钥用于加密信息,另一个密钥用于解密信息
公钥加密publickey!
=privatekey
--私钥需要安全保存
--公钥公开
--加密速度慢
--可以与对称加密相结合
Diffie-Hellman密钥交换
--用于解决密钥发布问题
RSA
--密钥长度在512-2048bit之间
--安全性基于数学运算的复杂性
--RSA比用软件实现的DES慢100倍
--RSA比硬件实现的DES慢腾腾1000倍
-RSA的主要功能
--加密
--数字签名
PGP邮件系统加密
--网上的信息大多数以明文形式传输
--使用的邮件系统存在安全问题
-改进邮件系统,增进系统安全
-信息加密
-数字签名
PGP安全电子邮件程序
PrettyGoodPrivacy
PGP密钥管理--密钥生成与公钥导入
--密钥对(keypair),公钥(publickey),公钥文件(asc),导入(import)
利用PGP发送加密邮件
--文件加密,邮件正文加密,直接利用OUTLOOK,解密的简单实现.
解密
--文件解密,邮件正文解密
任务驱动--实现问题解决(能力扩展)
MD5SHA
保密性、完整性、不可抵赖性
数字信封----指将对称加密算法与非对称加密算法结合使用的方法。
它看重了对称加密的效率,看重了非对称加密的安全性。
先对明文使用对称加密将其变成密文,然后再使用非对称加密算法将对称密钥进行加密
数字签名----验证发送方的身份。
先形成数字摘要,然后利用非对称加密算法和发送方私钥对摘要进行加密。
接收方用发送方公钥进行验证。
也叫做数字指纹。
完整性验证----HASH函数、WinMD5工具
身份验证
[明文+(明文-->
Hash-->
数字摘要-->
使用发送者的私钥进行加密-->
形成数字签名)+发送者的公钥(发送者的数字证书)]-->
使用对称加密系统随机生成的对称密钥进行加密-->
形成密文
用接收者的公开密钥对对称密钥进行加密-->
数字信封
将二者发送到接收方
第三章
-CA数字证书服务
-CA服务器配置
-证书申请及应用
-SSL协议
-SSL实现Web加密通信
-SSL-VPN
CA电子商务网络
持卡人商户银行CA认证中心支付网关
CA-认证中心
CA为电子政务、电子商务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书;
CA对数字证书的签名使得第三者不能伪造和篡改证书;
它是电子商务和网上银行交易的权威性、可信赖性及公证性的第三方机构。
PKI--公钥基础设施,是用于发放公开密钥的一种渠道
CA
RA--注册
Directory-大量的查询操作-少量的插入、删除和修改
PKI签发证书,证书回收列表
证书服务--分层次的证书颁发体系
CA的功能
1.证书的申请。
在线早请或离线申请
2.证书的审批。
在线审核或离线审核
3.证书的发放。
在线发放或离线发放
4.证书的归档。
5.证书的撤销。
6.证书的更新。
人工密钥更新或自动密钥更新
7.证书废止列表CRL的管理。
8.CA本身的管理和CA自身密钥的管理。
个人证书、单位证书、服务器证书、代码签名证书、VPN证书、无线应用证书
公钥证书的主要内容身份证主要内容
--持有者标识--姓名
--序列号--身份证号码
--公钥(n,e)--照片
--有效期--有效期
--签发者标识--签发单位
--CA的数字签名--签发单位盖章、防伪标志
使用证书提供的服务
--Web认证和专有信道
--签名和加密的信息传递
--签名的事务和表单签发
--网络操作系统、主机和大型认证
--远程访问
--虚拟专用网
--文件加密
SSL协议概述
--数据保密:
连接是保密安全的。
在初始化的握手协议协商加密密钥之后传输的消息均为加密的消息。
加密的算法为私钥加密算法如DES、RC4、IDEA等。
--身份认证:
通信双方的身份是可以通过公钥加密算法如RSA、DSS等签名来验证,杜绝假冒。
--数据据完整性:
HASH函数例如SHA、MD5等被用来产生消息摘要MAC。
所传输的消息均包含数字签名,以保证消息的完整性。
这保证连接是可靠的。
SSL子协议:
SSL记录协议、SSL握手协议、SSL更改密码规格协议、SSL警报协议
它位于应用层与传输层之间。
SSL记录协议的内容:
应用数据、分段、压缩、添加MAC、加密、附加SSL记录报头
基于SSL的一个完整的Web访问过程
客户端C.客户机浏览器的数字证书和公钥服务器
------------>
S.服务器的数字证书和公钥
<
------------
C.用服务器的公钥加密信息
S.用服务器的私钥解密信息
S.用客户机浏览器的公钥加密会话密钥
C.用客户机浏览器的私钥解密信息
(S,C).用会话密钥加密传输的数据
------------->
SSL-VPN特性
一、安全的协议(443号端口)
1.SSLVPN采用了SSL协议,介于HTTP层及TCP层。
2.通过SSLVPN是接入企业内部的应用,而不是企业的整个网络。
没有控制的联入整个企业的网络是非常危险的。
3.采用SSL安全协议在网络中加密传输,对于Gateway上的防火墙来讲,只需要打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网来的攻击的可能性。
4.数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。
黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
5.Session保护功能:
在会话停止一段时间以后自动结束会话,如果需要继续访问则要重新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击。
Sinfor深信服
二、产品起到的安全功能
1.首先由于SSLVPN一般在Gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSLVPN上,这样对于Gateway来讲,只需要开通443端口到SSLVPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSLVPN这里,攻击不到内部的实际应用。
2.不改变防病毒策略:
如果您采用了IPSECVPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,因为联入内部网络的电脑并不受原来公司的防病毒策略的保护,而SSLVPN就没有这个问题。
3.不改变防火墙策略:
基本原理同防病毒。
还是从IPSEC的角度来讲,如果当客户端有一台电脑通过VPN联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而SSLVPN就没有这个问题。
第四章IPSEC
--IPSEC体系结构
--IPSEC安全协议
--IPSEC加密算法
--IPSEC密钥管理
--基于windows实现传输模式VPN
--基于windows实现隧道模式VPN
网络层安全性
优点:
-密钥协商的开销被大大的消减了
-需要改动的应用程序很少
-很容易构建VPN
缺点:
-很难解决“抗抵赖”之类的问题
IPSEC的目标
--为IPv4和IPv6提供具有较强的互操作能力
--高质量和基于密码的安全
--在IP层实现多种安全服务,包括:
--访问控制、无连接完整性、数据源验证、抗重播、机密性和有限的业务流机密性。
IPSec安全体系结构:
ESP协议(加密算法)AH协议(鉴别算法)
|
V
密钥管理
不同的用户可以应用不同的策略
IPSec安全体系的内容
-协议部分,分为
--AH:
AuthenticationHeader验证头部
为IP包提供数据完整性校验和身份认证功能;
验证算法由SA指定
认证的范围:
整个包
--ESP:
EncapsulatingSecurityPayload封装安全载荷
提供机密性、数据源验证、抗重播以及数据完整性等安全服务
加密算法和身份验证方法均由SA指定。
用于两种模式:
传输模式和隧道模式。
-密钥管理(KeyManagement)
--SA(SecurityAssociation)安全联盟
--ISAKMP定义了密钥管理框架
IKE是目前正式确定用于IPSec的密钥交换协议
IPSec的模式
原始IP包:
IP头TCP头数据
传输模式:
IP头IPSecTCP头数据
隧道模式:
外部IP头IPSec头IP头TCP头数据
AH头格式
NextHeaderPayloadLengthReserved
SecurityParametersIndex(SPI)
SequenceNumber
AuthenticationData(variable)
ESP头格式
SecurityParametersIndex(SPI)
sequenceNumber
PayloadData(variable)
Padding(0-255bytes)PadLengthNextHeader
AuthenticationData(variable)
安全关联SA
--SA是单向的;
--SA是“协议相关”的;
--每个SA通过三个参数标志<
spi,dst(src),protocol>
-安全参数索引SPI(SecurityParametersIndex)
-对方IP地址
-安全协议标识:
AHorESP
--SA与IPSec系统中实现的两个数据库有关
-安全策略数据库(SPD)
-安全关联数据库(SAD)
第一阶段:
建立起ISAKMPSA--IKESA
-双方(例如ISAKMPServers)商定如何保护以后的通讯,通信双方建立一个已通过身份鉴别和安全保护的通道;
-此SA将用于保护后面的protocolSA的协商过程。
第二阶段:
建立起针对其他安全协议的SA--IPSecSA
-这个阶段可以建立多个SA;
-此SA将被相应的安全协议用于保护数据或者消息的交换
IPSec-vpn要求
-数据私秘性
-数据完整性
-数据来源鉴别
-防重放
IPSec-vpn协议和算法
-IP安全协议:
AH,ESP
-数据加密标准:
DES,3DES
-公共密钥密码协议:
Diffie-Hellman
-散列算法:
MD5,SHA-1
-公钥加密算法:
-Internet密钥交换:
IKEisakmp
-证书授权中心:
掌握在路由器上实现IPSec-vpn
Router(config)#cryptoisakmpenable(enablesike)
Router(config)#cryptoisakmppolicypriority
Router(config-isakmp)#encryption{des|3des}
Router(config-isakmp)#hash{sha|md5}//指定消息摘要算法
Router(config-isakmp)#authentication{rsa-sig|rsa-encr|pre-share}
Router(config-isakmp)#group{1|2}//指定DH分组编号
Router(config-isakmp)#lifetimeseconds//指定SA生存期
Router(config)#cryptoisakmpidentity{address|hostname}
Router(config)#iphosthostnameaddress1[address2....address8]
Router(config)#cryptoisakmpkeykeystringaddresspeer-address
Router(config)#cryptoisakmpkeykeystringhostnamepeer-hostname
Router(config)#showcryptoisakmppolicy
Instance:
cyptoisakmppolicy15
encryption3des
hashmd5
authenticationrsa-sig
group2
lifetime5000
cryptoisakmppolicy20
authenticationpre-share
lifetime10000
cryptoisakmpkey1234567890address192.168.222.33
cryptoipsectransform-settransform-set-nametransform1.....
Router(cfg-crypto-tran)#mode[tunnel|transport]
MODE:
cryptoipsectransform-setmyset1ah-sha-hmacesp-3desesp-md5-hmac
cryptoipsectransform-setmyset2esp-3des
cryptoipsectransform-setmyset3ah-sha-hmac
cryptoipsectransform-setmyset4esp-md5-hmac
cryptoipsecsecurity-associationlifetimeseconds/kilobytesseconds/lilobytes
cryptomapmap-nameseq-numipsec-isakmp
matchaddressaccess-list-id
setpeer{hostname|ip-address}
settransform-set....
setpfs[group1|group2]
cryptomapmap-name
access-list101permitip10.0.0.00.0.0.25510.2.2.00.0.0.255
cryptoipsectransform-setmyset1esp-desesp-sha
cryptoipsectransform-setmyset2esp-3desesp-md5-hmac
cryptomaptoRemoteSite10ipsec-isakmp
matchaddress101
settransform-setmyset2
setpeer10.2.2.5
interfaceserial0
ipaddress10.0.0.2
cryptomaptoRemoteSite
showcryptoipsectansform-set
showcryptomap
showcryptoipsecsaaddress
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 知识 总结