《网络安全概论》由会员分享,可在线阅读,更多相关《网络安全概论(16页珍藏版)》请在金锄头文库上搜索。
1、信息安全及安全属性: 主要属性:机密性,完整性,可用性其他属性:不可抵赖性, 可靠性,可审查性,访问控制,可控性,鉴别性。 机密性(Confidentiality):是指确保信息不暴露给未授权的实 体或进程。即信息的内容不会被未授权的第三方所知。 完整性(Integrity):信息不被偶然或蓄意地删除、修改、伪造 、乱序、重放、插入等破坏的特性。 可用性(Availability):得到授权的实体在需要时可访问资源和 服务。可用性是指无论何时,只要用户需要,信息系统必须是 可用的,也就是说信息系统不能拒绝服务。 不可抵赖性(Non-Repudiation):也称作不可否认性。不可抵 赖性是面向
2、通信双方(人、实体或进程)信息真实的安全要求 ,它包括收、发双方均不可抵赖。 可靠性(Reliability):可靠性是指系统在规定条件下和规定时 间内、完成规定功能的概率。造成网络安全威胁的原因主要有哪些?答:造成网络安全威胁的原因主要有以下七个方面:1、微机的安全结构过于简单:微机发展之初,为了降低微机成本或仅仅因为成熟 的安全机制已无必要,导致微机安全结构过于简单,这为网络安全带来潜在威胁;2、网络协议存在弱点:通用的TCP/IP协议设计的本身考虑安全方面的需求较少, 有着明显的弱点;3、网络操作系统存在漏洞:系统规模庞大,网络协议实现尤为复杂,这些因素使 得操作系统必然存在各种实现过程
3、中带来的缺陷和漏洞;网络操作系统的漏洞是网络 安全面临的主要威胁之一,而且安全漏洞暴露的速度不断加快;4、应用程序设计存在漏洞:在应用程序设计过程中因为人的局限性所导致的系统 漏洞和缺陷。具体到我国,硬件方面的落后使得硬件设计的后门和漏洞难以具体化;5、恶意攻击:网络攻击会造成系统和网络资源的消耗;网络攻击软件的攻击能力 和复杂度不断提高,这使得对攻击者自身的技术要求不断降低,网络攻击会更加易于 实施;6、来自合法用户的攻击:直接原因是网络管理漏洞,完善网络管理不容忽视;7、人为原因造成的潜在安全隐患:主要包括一些不恰当的系统网络参数设置,过 于简单的密码设置,拒绝打补丁等;每个人都要自觉提高
4、网络安全意识。对比对称密钥体质和非对称密钥体制的特点?二者是否可以相互替代? 答:1、从使用的密钥来看:对称密钥体制中,对明文加密和密文解密过 程中都是使用相同的密钥,使用这种机制时,信息传输的双方必须实现协 商出一个共知的密钥;在公钥密钥体制中,每个用户都有一对密钥,即公 钥和私钥,公钥用于加密明文,私钥用于解密密文,只有用户自己知道私 钥;2、从算法构造来看:对称密钥体制采用的基本方法是替代和置换的 方法;而公钥密钥体制中采用的是限门单向函数方法;3、从速度和效率上看:对称密钥体制比公钥密钥体制效率高,速度 快;4、二者主要存在的问题:对称密钥体制无数据签名功能,密钥的管 理难度大,以安全
5、的方式交换密钥有时候是难以实现的;公钥密钥体制方 便了密钥的交换和管理,提供数据保密和数据签名,但它的效率较低,不 适合用作大量明文的加密传输;5、对称密钥体制和公钥密钥体制各有优缺点,二者是不可以相互替 代的;在实际应用中,二者是配合使用的。Diffie-Hellman密钥交换协议的安全性在于有限域中的离 散对数计算难度比同一个域中的指数计算难的多。令f是 在有限域GF(n)中的指数函数,假定当n足够大时,对于 y= (mod n) ,已知大素数x 、 g 、 n,计算y是容易的;已 知y、g、n,求大素数x困难。 计算2100与从n= 2100计 算出x,两者的计算量比:0.1ms:160
6、0年数字信封的操作过程: 发送方A将明文信息用对称密钥K1加密,用B的公钥K2将 对称密钥K1加密,和密文形成了数字信封。然后通过网 络将数字信封传给接收方B,接收方B用私钥K3将对称密 钥K1解密,取得对称密钥K1然后解密密文得到信息。数字签名的签名过程: 首先生成被签名的电子文件,通过摘要算法 提取电子文件中的摘要信息。再对摘要用发 送私钥加密摘要信息,即做数字签名。之后 将签名和电子原文,以及公钥一起封装。形 成签名结果发给接收方,待接收方验证。 数字签名的验证过程: 接收方首先用发送公钥解密数字签名,导出 数字摘要,并且对电子原文用同样的摘要算 法得出一个新的摘要信息,将两个摘要信息
7、核对。相同则验证有效否则无效。 PKI的运行1)署名用户向CA(证书管理中心)提出数字证书申请;2)CA验明署名用户身份,并签发数字证书;3)CA将证书公布到证书库 中;4)署名用户对电 子信件数字签名作为发送认证,确保信件 完整性,不可否认性,并发送给依赖方。5)依赖方接收信件,用署名用户的公钥验证 数字签名,并到证书库查 明署名用户证书 的状态和有效性;6)证书库 返回证书检查结 果;应应用层层:SMTP:简单邮 件传输协议 它是一组用于由源地址到目 的地址传送邮件的规则 ,由它来控制信件的中转方式。 传输层传输层:TCP/UDP协议 :其中TCP提供IP环境下的数据可靠传输 ,它提供的服
8、务包括数据流传送、可靠性、有效流控、全双工操作 和多路复用。通过面向连接、端到端和可靠的数据包发送。而UDP 则不为IP提供可靠性、流控或差错恢复功能。 网络层络层 :IP协议为计算机网络相互连接进行通信而设计的协议 。在因特网中,它是能使连接到网上的所有计算机网络实现相互通 信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规 则 数据链链路层层点对点隧道协议 PPTP,隧道技术(Tunneling)是一 种通过使用互联网络的基础设 施在网络之间传递 数据的方式。 物理层层:电缆 加压技术:提供了安全的通信线路。关于SSL协议:(一)简述SSL协议的结构及其子协议的功能?答:SSL是S
9、ecure Socket Layer的简称,安全套接字协议,它位 于传输层和应用层之间,接收传输层数据并对其加入SSL头,保护 Web通信安全。SSL由多个协议组成,采取两层协议体系结构,位 于底层的是SSL记录协议,上层是SSL握手协议、SSL密码变化协 议和SSL警告协议。其中最重要的是SSL握手协议和SSL记录协议 ,下面分述各子协议的功能:1、SSL握手协议:SSL握手协议使得服务器和客户能够相互认 证对方的身份,协商加密和MAC算法以及用来保护SSL记录中发送 的数据的加密密钥;2、SSL记录协议:SSL记录协议规定了数据传输格式,建立在 传输协议之上,提供连接安全性,同时可以封装高
10、层的协议;3、SSL改变密码协议 :是SSL记录协议的三个特定协议之一, 由单个字节消息组成,是最简单的协议,用于从一种加密算法转变 成另外一种加密算法;4、SSL告警协议:用于客户机或服务器发现错误时,向对方发送 报警消息;告警协议由两个部分组成,即告警级别和告警说明; (二)、简述SSL记录协议提供的安全服务及其过程?答:1、SSL记录协议在客户端和服务器之间传输应用数据和SSL控制数据,期 间可能需要对数据进行分段或将多个高层协议数据封装组合成单个数据单元,SSL 记录协议主要为SSL连接提供两种服务:(1)、保密服务:握手协议定义了一个共享的保密密钥,可以对SSL有效 荷载进行加密,提
11、供保密服务;(2)、消息完整服务:握手协议定义了一个共享的保密密钥用于形成MAC 。2、SSL记录协议提供安全服务的过程由以下几个步骤组成:(1)、对从传输层得到的应用数据进行分段,得到长度适合的数据段;(2)、对(1)中得到的数据块进行压缩;(3)、利用握手协议中定义的共享保密密钥在压缩后的数据段尾部形成MAC,用于数据完整性验证;(4)、利用握手协议定义的共享保密密钥对SSL有效载荷加密,提供数 据保密性 ;(5)、为数据添加SSL记录头,完成过程。Ipsec体系结构(二)、IPsec隧道操作模式中的数据结构是怎样的?答:数据结构的形式如下图所示,其中IP头和ESP尾部之间的部分为加密部分
12、,ESP头和ESP尾部之间的为认证部分。IP 头TCP/UDP 头数据ESP 头TCP/UDP 头数据ESP尾新的IP 头MACIP 头加密前的IP数据包 : 加密后的 数据结构:Set协议中双重签名的概念 双重签名:SET要求将订单 信息和个人信用卡账号信息分别用商家公 钥和支付网关的公钥进 行数字签名,保证商家只能看到订货 信息,而支 付网关只能看到账户 信息。 持卡人在在线商店选择 好商品,并填写订单 信息M1。SET协议 在持卡 人的卡上获得支付信息M2。SET协议 把M1和M2变换为 密文(C1,C2)安全关联SA 概念:security association(SA)是构成IPSe
13、c的基础。 lSA是两个IPSec实体(主机、安全网关)之间经过协商建立起来的一种协定 ,内容包括采用何种IPSec协议(AH还是ESP)、运行模式(传输模式还是隧 道模式)、验证算法、加密算法等。 lSA是发送与接收者之间的一个单向关系。为单向通信设计在双向通信时 需要上下行两个SA才能实现全双工通信。外出和进入处理需要不同的SA。 lSA还与协议相关,每一种协议都有一个SA。传输模式的SA是两台主机之间 的安全,隧道模式的SA是主机和安全网关或者两个安全网关之间的安全。 SA用一个的三元 组唯一标识。 IKE的主要功能:AH和ESP两个协议都使用SA来保护通信,而IKE的主要功能 就是在通
14、信双方协商SAAH外出处理n检索SPD,查找应用于该数据包的策略n查找对应的SA:SPD通过SPI指向SAD中的一个相应SA,从SA中得到相关安全参数若SA尚未建立,则调用IKE协商一个SA,并将其连接到该SPD条目上。n构造AH载荷:按照SA中给出的处理模式填充AH载荷的各个字段(复制IP头、计算载荷长度、填入SPI值、产生或增加序列号值、计算ICV并填入)n为AH载荷添加IP头:传输模式添加原IP头;隧道模式构造新的IP头n其他处理:重新计算外部IP头校验和;若分组长度大于MTU(Maximum Transmission Unit)则进行IP分段。n处理完的数据包交给数据链路层(传输模式)
15、发送或IP层(隧道模式)重新路由。为什么局域网中监听更为方便 一、局域网技术将网络资源共享的特性体现得淋漓尽致:不仅能提供软件 资源、硬件资源共享;还提供Internet连接共享等各种网络共享服务;越来 越多的局域网被应用在学校、写字楼,办公区 。 二、目前绝大多数的局域网使用的协议都是和Internet一样的TCP/IP协议 ,各种黑客工具一样适用于局域网。 三、局域网中的计算机更多体现的是共享和服务,因此局域网的安全隐患 较之于Internet有过之而无不及监听防范的措施: 从逻辑或物理上对网络分段:划分VLAN:运用VLAN(虚拟局域网)技术, 将以太网通信变为点到点通信,可以防止大部分
16、基于网络监听的入侵。 以交换式集线器代替共享式集线器:控制单播包而无法控制广播包和多播 包。 一次性口令技术:口令并不在网络上传输而是在两端进行字符串匹配,客 户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并 将之返回给服务器。在服务器上用比较算法进行匹配,如匹配,连接就允许 建立,所有Challenge和字符串都只使用一次。 使用加密技术 禁用杂错节点 :安装不支持杂错的网卡,通常可以防止IBM兼容机进行嗅 探。以太网的工作方式:网络监听技术本来是提供给网络安全管理人员进行管理的 工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等局域网中采用广播方式l将网卡接口设置成监听模式,便可以源源不断地将信 息截获,从而监听到某广播域中所有的包l当信息以明文的形式网内传输时,通过对信息包进行 分析,就能获取重要信息l网络监听可以在网上的任一位置实施,如局域网中的 一台主机、网关上或远程网的调制解调器之间等l很多黑客入侵时都把局域网扫描和侦听作为其最基本 的步骤和手段,原因是想用这种方法获取其想要的密 码等信息
