网络安全基本知识.docx
- 文档编号:28035578
- 上传时间:2023-07-07
- 格式:DOCX
- 页数:19
- 大小:1.18MB
网络安全基本知识.docx
《网络安全基本知识.docx》由会员分享,可在线阅读,更多相关《网络安全基本知识.docx(19页珍藏版)》请在冰豆网上搜索。
网络安全基本知识
第一节介绍
●美国CNCI计划
●2008年12月,美国战略与国际问题研究中心(CSIS)网络安全委员会发布《为第44任总统保护网络空间》报告,强调加强网络安全的重要性,并向下任总统提出一些具体建议,呼吁奥巴马成立联邦机构,以加强网络安全。
●美国在网络方面的部署:
⏹美国国防部长盖茨于2009年6月23日正式下令由美军战略司令部负责组建网络战司令部,以统一协调保障美军网络安全和开展网络战等与电脑网络有关的军事行动,将对目前分散在美国各兵种间的网络战指挥机构进行整合,并为美国的非军事部门和国际伙伴提供支持。
⏹美国的网络战司令部是一个攻击性的作战单位。
建立网络战司令部意味着,网络战以后很可能作为政府统一的一种国家战争新的方式走向舞台。
从中长期看,必将对全球安全环境,以及中美在安全领域的互动,产生深远的影响。
●信息安全金三角模型CIA
●网络安全攻击:
主动被动
⏹被动:
releaseofmessagecontents,trafficanalysis,hardtodetectsoaimtoprevent
⏹主动:
masquerade(伪装),replay,modification,denialofservice,hardtopreventsoaimtodetect
●信息安全模型
Appropriatesecuritytransform(encryptionalgorithm),withsuitablekeys,possiblynegotiatedusingthepresenceofatrustedthirdparty.
Appropriatecontrolsareneededontheaccessandwithinthesystem,toprovidesuitablesecurity.Somecryptographictechniquesareusefulherealso.
●研究信息安全的目的
⏹Prevention
◆Preventattackersfromviolatingsecuritypolicy
⏹Detection
◆Detectattackers’violationofsecuritypolicy
◆Recovery
⏹Stopattack,assessandrepairdamage
◆Continuetofunctioncorrectlyevenifattacksucceeds
出于对人力、物力以及财力的考虑,系统设计并不是越安全越好,而是要总考虑这三方面给出一个合理的安全考虑方案
第二节知识点
●古典密码——滚筒密码
●古典密码——凯撒密码
●两种加密概念
⏹置换:
将字母顺序重新排列
⏹替换:
系统地将一组字母换成其他字母或符号
●密码学的三个阶段
⏹第一个阶段:
1949年以前
◆古典加密
◆计算机技术出现以前
◆密码学作为一种技艺,而不是一门科学
⏹第二个阶段:
1949年到1976年
◆标志:
Shannon发表“CommunicationTheoryofSecrecySystem”,密码学进入了科学的轨道
◆主要技术:
单密钥的对称密钥加密算法
⏹第三个阶段:
1976年以后
◆标志:
Diffie,Hellman发表“NewDirectionsinCryptography”
◆一种新的密码体制:
公开密钥体制
●暴力破解:
在知道明文与密文的前提下,通过对密钥的穷举,破解出密钥
●分组加密和流加密
⏹分组加密:
blockciphersprocessmessagesinblocks,eachofwhichisthenen/decrypted
⏹流加密:
streamciphersprocessmessagesabitorbyteatatimewhenen/decrypting
●对称加密和非对称加密
⏹对称加密:
加密、解密密钥相同,效率高,易实现,密钥分发管理是大问题
⏹非对称加密:
加密、解密密钥不同,效率低,硬件实现难度大,密钥管理相对容易
●混淆和扩散ConfusionandDiffusion
⏹Confusion:
makesrelationshipbetweenciphertextandkeyascomplexaspossible
⏹Diffusion:
dissipatesstatisticalstructureofplaintextoverbulkofciphertext
●FeistelCipherStructure
⏹processthroughmultipleroundswhich
⏹performasubstitution(替换)onleftdatahalf
⏹basedonroundfunctionofrighthalf&subkey
⏹thenhavepermutation(交换)swappinghalves
●DES加密算法:
DataEncryptionStandard
●二重DES:
C=EK2(EK1(P)),P=DK1(DK2(C))
⏹EK2(EK1(P))=EK3(P)不存在,表名DES算法不可成群
⏹若给出一个已知的明密文对(P,C)做:
对256个所有密钥K1做对明文P的加密,得到一张密钥对应于密文X的一张表;类似地对256个所有可能的密钥K2做对密文C的解密,得到相应的“明文”X。
做成一张X与K2的对应表,比较两个表就会得到真正使用的密钥对K1,K2。
●三重DES:
使用DK2兼容DES
⏹C=EK1(DK2(EK1(P)))……对P加密
⏹P=DK1(EK2(DK1(C)))……对C解密
●雪崩效应:
密钥稍微变化则会导致密文发生巨大的变化
●AES:
对称加密的一种,同样基于块加密,安全性较高且速度快
●公钥加密(PKC):
公钥公开,私钥个人保留(一般使用数学难题加密)
⏹Confidentiality:
encipherusingpublickey,decipherusingprivatekey
⏹Integrity/authentication:
encipherusingprivatekey,decipherusingpublicone
⏹相对密钥优点:
私钥少,便于管理;提高攻击难度。
●加密的几种形式
⏹ElectronicCodeBook(ECB)
◆Ci=DESK1(Pi)
◆分块加密,各块互不干扰
⏹CipherBlockChaining(CBC)
◆Ci=DESK1(PiXORCi-1),C-1=IV
◆上一块加密密文与当前明文异或后进行加密
⏹CipherFeedBack(CFB)
◆Ci=PiXORDESK1(Ci-1),C-1=IV
⏹OutputFeedBack(OFB)
◆Ci=PiXOROi,Oi=DESK1(Oi-1),O-1=IV
⏹Counter(CTR)
◆Ci=PiXOROi,Oi=DESK1(i)
●Diffie-Hellman密钥协商
⏹发表NewDirectioninCryptography,公钥密码诞生的标志
⏹大素数P,大整数g,双方都知道
⏹中间人攻击:
中间人劫持双方信息,分别与双方约定密钥
●RSA公钥算法是由Rivest,Shamir和Adleman在1978年提出,并由此获得图灵奖
●消息认证(MessageAuthentication)
⏹MAC(MessageAuthenticationCodes)
⏹HashFunction(UsedforMAC)
◆Weakcollisionresistance
Computationallyinfeasibletofindy≠xsuchthatH(y)=H(x)
◆Strongcollisionresistance
Computationallyinfeasibletofindanypair(x,y)suchthatH(x)=H(y)
●数字信封
●完整的数据加密及身份认证流程
●PKI:
PublicKeyInfrastructure,公钥基础设施
⏹Ensure“Youarewhoyousayyouare”
⏹数字信封——替换接受者的公钥,截获并重新加密
⏹数字签名——解封原数字签名,替换自身公钥并加密
●访问控制:
Systemthatenablesanauthoritytocontrolaccess
●访问控制元素
⏹Subject(Processrepresent——owner,group,world)
⏹Object(Accesscontrolledresources)
⏹Accessright(Wayinwhichsubjectaccessesanobject)
●访问控制矩阵以及引用监视器
●访问控制模型
⏹Bell-LaPadula(BLP)model
BLP模型的基本安全策略是“下读上写”,即主体对客体向下读、向上写。
主体可以读安全级别比他低或相等的客体,可以写安全级别比他高或相等的客体。
“下读上写”的安全策略保证了数据库中的所有数据只能按照安全级别从低到高的流向流动,从而保证了敏感数据不泄露。
⏹ChineseWallModel
●防火墙
⏹两个网络之间的安全网关
⏹四种防火墙类型
◆PacketFilteringFirewall(包过滤路由器)
配置防火墙一些过滤规则,根据信息IP包头信息进行过滤
◆StatefulInspectionFirewalls(状态检查防火墙)
包含上述功能,并且监视TCP连接信息
◆Application-LevelGateway(应用层网关)
用户以远程主机名联系网关并取得身份验证,网关转发两者间TCP消息
◆Circuit-LevelGateway(电路层网关)
对两个网络均建立TCP连接,判定是否中继TCP消息
⏹防火墙配置
◆屏蔽路由器(ScreeningRouter)
◆双宿主网关(DualHostGateway)
◆屏蔽主机网关(ScreenedHostGateway)
◆被屏蔽子网(ScreenedSubnet)
⏹DemilitarizedZone(DMZ,非军事区)
把允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。
⏹
●入侵检测系统(IDS,IntrusionDetectionSystem)
⏹入侵行为有一定的规律,通过对网络流量和主机审计记录的分析可以判断
⏹判断有时间限制,只有赶在穿透成功之前实现识别和响应,才能达到拦截的效果
⏹Pt:
穿透时间Dt:
检测时间Rt:
响应时间,Pt>Dt+Rt才有意义
⏹Basedontheassumptionthatattackerbehavioris(sufficiently)differentfromlegitimate(合法的)userbehavior
⏹Falsepositive(误报)Falsenegative(漏报)
⏹特征检测常见的两种方法:
路径检测,异常检测
●防火墙VS入侵检测系统
⏹防火墙旨在预防入侵
⏹入侵检测系统意在检测已发生的入侵事件
●IDS模型
⏹异常检测模型(AnomalyDetection),Threshold(阈值)detection,Profile-based
⏹误用检测模型(MisuseDetection),Defineasetof“badpatterns”
●IDS分类(主要元素:
sensors,analyzers,userinterface)
⏹Host-basedIDS:
monitorsinglehostactivity
⏹Network-basedIDS:
monitornetworktraffic
●NetworkAttacks
⏹DoSAttack(拒绝型服务攻击)
◆垃圾邮件&邮件炸弹
◆Smurf攻击
Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。
◆死亡之PING
◆TCPSYNFloodDoSAttack
◆TCPSessionHijacking(劫持)
◆BufferOverflow
⏹AccessAttacks(访问权限的获取)
◆Eavesdropping(偷听)
◆Interception(拦截)
◆Spoofing(电子欺骗)
◆PasswordGuessingAttacks
◆Man-in-the-MiddleAttacks
◆SocialEngineering
●社会工程:
Theuseofinfluenceandpersuasion(说服)tocoerce(强制)peopleintodivulging(透露)sensitiveinformation
●隔离的方式及应用
⏹物理隔离:
核心涉密网(政务内网)办公环境(E-governmentInternalNetwork)
⏹逻辑隔离:
一般政务网(政务外网)办公环境(E-governmentExternalNetwork)
●1949,TheoryandOrganizationofComplicatedAutomata,冯诺依曼
⏹Postulated(假设)thatacomputerprogramcouldreproduce(繁殖)
●定理:
要判断任意程序是否包含恶意代码是不可判定的
●Malware(恶意软件)isprogramming(code,scripts,activecontent,andothersoftware)designedtodisrupt(使分解)ordenyoperation,gatherinformationthatleadstolossofprivacyorexploitation(利用),gainunauthorizedaccesstosystemresources,andotherabusive(滥用的)behavior
●常见恶意代码:
viruses,worms,trojanhorses(木马),spyware(间谍程序),dishonestadware(广告插件),scareware(流氓安全软件),crimeware(钓鱼软件),mostrootkits(扫描隐蔽软件)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 基本知识