《网络安全知识总结》由会员分享,可在线阅读,更多相关《网络安全知识总结(11页珍藏版)》请在金锄头文库上搜索。
1、网络安全概述网络安全的应用领域 1 电子商务 2 电子现金 3 数字货币 4 网络银行 5 电子政务 6 国家机密、军事机密网络安全的主要威胁及技术隐患 1 自然灾害、意外事故 2 硬件故障、软件漏洞 3 人为失误 4 计算机犯罪、黑客攻击 5 内部泄露、外部泄密 6 信息丢失、电子谍报、信息战 7 网络协议中的缺陷黑客采用的攻击方法 1 非授权使用 2 破坏完整性 3 信息泄露或丢失 4 传播计算机病毒 5 破坏通信协议(dos,ddos)网络安全的基本需求 保密性、可用性、完整性、可控性 系统的开放灵活性与系统安全性的平衡常用的网络安全措施 数据加密、身份认证、数字签名、防火墙、入侵检测、
2、安全监控、网络扫描、网络防毒、 网络隔离 H3C 绿盟 启明星辰 天融信 UTM 多重安全网关增强安全意识教育、建立健全安全规章制度 网络安全教育、提高防范意识、抵制利用计算机进行各类犯罪活动的诱惑、尽快培养出一 批信息化安全的专门人才、提高全民的信息化安全意识第一章 加密技术 加密技术概要 1 信息是当今社会的一种重要资源(数据和信息的对比、信息应用的例子) 2 用户需要信息是保密的、完整的和真实的3 现代信息系统必须具备有信息安全技术措施 4 信息加密是信息安全的主要措施之一加密的基本概念 通过使用加密,可以提供的安全服务 -保密性 -完整性 -不可否认性加密的相关术语 明文也叫明码(pl
3、aintext) 密文(ciphertext) 算法(algorithm) 密钥(key) 加密(encryption) 解密(decryption)基本的加密操作 明文-加密算法-密文-解密算法-明文基本的加密思想 置换:按照规则改变内容的排列顺序 移位:打乱字母的排列顺序 移位和置换都是可逆的操作,容易恢复信息 移位、置换应用于现代密码算法中置换是用一个特定的值替换另一个特定值的过程 置换需要通信双方事先知道置换的方法 X A P C C O M Y C Q E D Q N上例中,奇数位的 ASCII 码值加 1,偶数位的 ASCII 码值加 2。移位:把某个字母以其前或其后几位的某个特定
4、的字母替代 移位具有规律,容易被攻破 E X A M P L E E L P M A X E在计算机中,怎样才能自动实现大量复杂数据的加密和解密?-这依赖于好的、可被计算 机识别的、被验证为有效的加密算法。加密算法分类 -对称密钥加密算法(私有密钥算法) 加密密钥=解密密钥 -非对称密钥加密算法(公钥算法)著名的对称加密算法-对称加密的密钥长度从难从 40bits 到 168bits -著名加密算法:-DES/3DES 数据加密标准-IDEA 国际数据加密算法-RC 系列(RC2、RC4、RC5)-CAST-Blowfish /Twofish-AES 高级数据加密标准等等DES 数据加密标准
5、-DES 是一种块或分组加密算法 -20 世纪 70 年代,由 IBM 公司发展 -1976 年 11 月纳为美国国家标准 -DES 密钥是固定的 56bit,不安全 -DES 以块模式对 64bit 的密文块进行操作 算法: 1 输入 64 比特明文数据 2 初始置换 IP 3 在密钥控制下 16 轮迭代 4 交换左右 32 比特 5 初始逆置换 IP-1 6 输出 64 比特密文数据3DES 算法: 加密:mdesdes-1desc (加-解-加)k1 k2 k1解密:cdes-1desdes-1m (解-加-解)k1 k2 k1IDEA 国际数据加密算法 -分组长度为 64 位,密钥长度
6、为 128 位 -设计原则:来自不同代数群的混合运算-异或-模 216 加-模 216+1 乘 -软件实现的 IDEA 比 DES 快两倍RC 系列 -RC2-Ronald Rivest 设计 -密钥长度可变 -RC2 的运算速度比 DES 快 -软件实现的 RC2 比 DES 快三倍 -RC4-Rivest 设计 -密钥长度可变 -流模式加密算法,面向 bit 操作 -算法基于随机置换 -RC4 应用范围广 -RC5-Rivest 设计 -分组长、密钥长和迭代轮数都可变 -面向字结构,便于软件和硬件快速实现 -数据相倚旋转技术Blowfish-Bruce Schneier 设计 -密钥长度可
7、变 -易于软件快速实现,所需存储空间不到 5KB -安全性可以通过改变密钥长度进行调整 -适用于密钥不经常改变的加密 -不适用于需要经常变换密钥的情况AES 高级加密算法公钥加密技术=非对称加密技术 -公钥加密比私钥加密出现晚 -私钥加密使用同一个密钥来加密和解密信息 -公钥加密使用两个密钥,一个密钥用于加密信息,另一个密钥用于解密信息公钥加密 public key != private key -私钥需要安全保存 -公钥公开 -加密速度慢 -可以与对称加密相结合 Diffie-Hellman 密钥交换 -用于解决密钥发布问题 RSA-密钥长度在 512-2048bit 之间 -安全性基于数学
8、运算的复杂性 -RSA 比用软件实现的 DES 慢 100 倍 -RSA 比硬件实现的 DES 慢腾腾 1000 倍 -RSA 的主要功能 -加密 -数字签名PGP 邮件系统加密 -网上的信息大多数以明文形式传输-使用的邮件系统存在安全问题-改进邮件系统,增进系统安全-信息加密-数字签名 PGP 安全电子邮件程序 Pretty Good PrivacyPGP 密钥管理-密钥生成与公钥导入 -密钥对(key pair),公钥(public key),公钥文件(asc),导入(import) 利用 PGP 发送加密邮件 -文件加密,邮件正文加密,直接利用 OUTLOOK,解密的简单实现. 解密 -
9、文件解密,邮件正文解密 任务驱动-实现问题解决(能力扩展)MD5 SHA保密性、完整性、不可抵赖性数字信封-指将对称加密算法与非对称加密算法结合使用的方法。它看重了对称加密的效 率,看重了非对称加密的安全性。先对明文使用对称加密将其变成密文,然后再使用非对 称加密算法将对称密钥进行加密数字签名-验证发送方的身份。先形成数字摘要,然后利用非对称加密算法和发送方私钥 对摘要进行加密。接收方用发送方公钥进行验证。也叫做数字指纹。完整性验证-HASH 函数、WinMD5 工具 身份验证明文+(明文Hash数字摘要使用发送者的私钥进行加密形成数字签名)+发送者的公 钥(发送者的数字证书)使用对称加密系统
10、随机生成的对称密钥进行加密形成密文 用接收者的公开密钥对对称密钥进行加密数字信封 将二者发送到接收方第三章 CA 数字证书服务 CA 服务器配置 证书申请及应用 SSL 协议 SSL 实现 Web 加密通信 SSL-VPN CA 电子商务网络 持卡人 商户 银行 CA 认证中心 支付网关CA认证中心 CA 为电子政务、电子商务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书; CA 对数字证书的签名使得第三者不能伪造和篡改证书; 它是电子商务和网上银行交易的权威性、可信赖性及公证性的第三方机构。 PKI公钥基础设施,是用于发放公开密钥的一种渠道 CARA注册
11、Directory大量的查询操作少量的插入、删除和修改 PKI 签发证书,证书回收列表证书服务分层次的证书颁发体系 CA 的功能 1.证书的申请。在线早请或离线申请 2.证书的审批。在线审核或离线审核 3.证书的发放。在线发放或离线发放 4.证书的归档。 5.证书的撤销。 6.证书的更新。人工密钥更新或自动密钥更新 7.证书废止列表 CRL 的管理。 8.CA 本身的管理和 CA 自身密钥的管理。个人证书、单位证书、服务器证书、代码签名证书、VPN 证书、无线应用证书公钥证书的主要内容身份证主要内容 持有者标识姓名 序列号身份证号码 公钥(n,e) 照片 有效期有效期 签发者标识签发单位 CA
12、 的数字签名签发单位盖章、防伪标志使用证书提供的服务 Web 认证和专有信道 签名和加密的信息传递 签名的事务和表单签发 网络操作系统、主机和大型认证 远程访问 虚拟专用网 文件加密 SSL 协议概述 数据保密:连接是保密安全的。在初始化的握手协议协商加密密钥之后传输的消息均 为加密的消息。加密的算法为私钥加密算法如 DES、RC4、IDEA 等。身份认证:通信双方的身份是可以通过公钥加密算法如 RSA、DSS 等签名来验证,杜绝假冒。数据据完整性:HASH 函数例如 SHA、MD5 等被用来产生消息摘要 MAC。所传输的消 息均包含数字签名,以保证消息的完整性。这保证连接是可靠的。SSL 子
13、协议: SSL 记录协议、SSL 握手协议、SSL 更改密码规格协议、SSL 警报协议 它位于应用层与传输层之间。SSL 记录协议的内容:应用数据、分段、压缩、添加 MAC、加密、附加 SSL 记录报头基于 SSL 的一个完整的 Web 访问过程 客户端C.客户机浏览器的数字证书和公钥 服务器 S.服务器的数字证书和公钥S.用服务器的私钥解密信息 S.用客户机浏览器的公钥加密会话密钥SSL-VPN 特性 一、安全的协议(443 号端口) 1.SSL VPN 采用了 SSL 协议,介于 HTTP 层及 TCP 层。2.通过 SSL VPN 是接入企业内部的应用,而不是企业的整个网络。没有控制的联
14、入整个企 业的网络是非常危险的。3.采用 SSL 安全协议在网络中加密传输,对于 Gateway 上的防火墙来讲,只需要打开有限 的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网 络被公网来的攻击的可能性。4.数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算 法比如 DES,3DES,RSA 等等也有自己的加密算法。黑客想要窃听网络中的数据,就要能够解 开这些加密算法后的数据包。5.Session 保护功能:在会话停止一段时间以后自动结束会话,如果需要继续访问则要重新 登陆,通过对 Session 的保护来起到数据被窃听后伪装访问的攻击
15、。 Sinfor 深信服二、产品起到的安全功能 1.首先由于 SSL VPN 一般在 Gateway 上或者在防火墙后面,把企业内部需要被授权外部访 问的内部应用注册到 SSL VPN 上,这样对于 Gateway 来讲,只需要开通 443 端口到 SSL VPN 即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到 SSL VPN 这里, 攻击不到内部的实际应用。2.不改变防病毒策略:如果您采用了 IPSEC VPN 的产品,当客户端有一台电脑通过 VPN 联 入网络后,该网络的防病毒的策略将被彻底破坏,因为联入内部网络的电脑并不受原来公 司的防病毒策略的保护,而 SSL VP
16、N 就没有这个问题。3.不改变防火墙策略:基本原理同防病毒。还是从 IPSEC 的角度来讲,如果当客户端有一台 电脑通过 VPN 联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部 网络的跳板,而 SSL VPN 就没有这个问题。第四章 IPSEC IPSEC 体系结构 IPSEC 安全协议 IPSEC 加密算法 IPSEC 密钥管理 基于 windows 实现传输模式 VPN 基于 windows 实现隧道模式 VPN网络层安全性 优点: 密钥协商的开销被大大的消减了 需要改动的应用程序很少 很容易构建 VPN 缺点: 很难解决“抗抵赖”之类的问题IPSEC 的目标 为 IPv4 和 I
