《网络安全知识总结》由会员分享,可在线阅读,更多相关《网络安全知识总结(5页珍藏版)》请在金锄头文库上搜索。
1、网络平安概述网络平安的应用领域电子商务电子现金数字货币网络银行电子政务我国机密、军事机密网络平安的主要威逼及技术隐患自然灾难、意外事故硬件故障、软件漏洞人为失误计算机犯罪、黑客攻击内部泄露、外部泄密信息丢失、电子谍报、信息战网络合同中的缺陷黑客采纳的攻击方法非授权使用破坏完整性信息泄露或丢失传播计算机病毒5破坏通信合同(dos,ddos)网络平安的基本需求保密性、可用性、完整性、可控性系统的开放敏捷性与系统平安性的平衡常用的网络平安措施数据加密、身份认证、数字签名、防火墙、入侵检测、平安监控、网络扫描、网络防毒、网络隔离H3C绿盟启明星辰天融信UTM多重平安网关增加平安意识教育、建立健全平安规
2、章制度网络平安教育、提高防范意识、抵制采用计算机进行各类犯罪活动的诱惑、尽快培育出一批信息化平安的特地人才、提高全民的信息化平安意识第一章加密技术加密技术概要信息是当今社会的一种重要资源(数据和信息的对比、信息应用的例子)用户需要信息是保密的、完整的和真实的现代信息系统必需具备有信息平安技术措施信息加密是信息平安的主要措施之一加密的基本概念通过使用加密,可以供应的平安服务-保密性-完整性-不行否认性加密的相关术语明文也叫明码(plaintext)密文(ciphertext)算法(algorithm)密钥(key)力口密(encryption)解密(decryption)基本的加密操作明文-加密
3、算法-密文-解密算法-明文基本的加密思想置换:根据规章转变内容的排列挨次移位:打乱字母的排列挨次移位和置换都是可逆的操作,简洁恢复信息移位、置换应用于现代密码算法中置换是用一个特定的值替换另一个特定值的过程置换需要通信双方事先知道置换的方法XAPCCOMYCQEDQN上例中,奇数位的ASCII码值加1偶数位的ASCII码值加2。移位:把某个字母以其前或其后几位的某个特定的字母替代移位具有规律,简洁被攻破EXAMPLEELPMAXE在计算机中,怎样才能自动实现大量简单数据的加密和解密?-这依靠于好的、可被计算机识别的、被验证为有效的加密算法。加密算法分类-对称密钥加密算法(私有密钥算法)加密密钥
4、=解密密钥-非对称密钥加密算法(公钥算法)闻名的对称加密算法-对称加密的密钥长度从难从40bits到168bits-闻名加密算法:-DES/3DES数据加密标准-IDEA国际数据加密算法-RC系列(RC2、RC4、RC5)-CAST-Blowfish/Twofish-AES高级数据加密标准等等DES数据加密标准-DES是一种块或分组加密算法-20世纪70年月,由IBM公司进展-1976年11月纳为美国我国标准-DES密钥是固定的56bit,担心全-DES以块模式对64bit的密文块进行操作算法:输入64比特明文数据初始置换IP在密钥掌握下16轮迭代交换左右32比特初始逆置换IP-1输出64比特
5、密文数据3DES算法:加密:m-des-des-1-des-c(加-解-加)k1k2k1解密:c-des-1-des-des-1-m(解-加-解)k1k2k1IDEA国际数据加密算法-分组长度为64位,密钥长度为128位-设计原则:来自不同代数群的混合运算-异或-模216加-模216+1乘-软件实现的IDEA比DES快两倍RC系列-RC2-RonaldRivest设计-密钥长度可变-RC2的运算速度比DES快-软件实现的RC2比DES快三倍-RC4Rives设计-密钥长度可变-流模式加密算法,面对bit操作-算法基于随机置换RC4应用范围广-RC5Rives设计-分组长、密钥长和迭代轮数都可变
6、-面对字结构,便于软件和硬件快速实现-数据相倚旋转技术Blowfish-BruceSchnei设计-密钥长度可变-易于软件快速实现,所需存储空间不到5KB-平安性可以通过转变密钥长度进行调整-适用于密钥不常常转变的加密-不适用于需要常常变换密钥的状况AES高级加密算法公钥加密技术=非对称加密技术-公钥加密比私钥加密消失晚-私钥加密使用同一个密钥来加密和解密信息-公钥加密使用两个密钥,一个密钥用于加密信息,另一个密钥用于解密信息公钥加密publickey!=privatekey-私钥需要平安保存-公钥公开-加密速度慢-可以与对称加密相结合Diffie-Hellm密钥交换-用于解决密钥发布问题RS
7、A-密钥长度在512-2048bit之间-平安性基于数学运算的简单性RSA比用软件实现的DES慢100倍RSA比硬件实现的DES慢腾腾1000倍-RSA的主要功能-加密-数字签名PGP邮件系统加密-网上的信息大多数以明文形式传输-使用的邮件系统存在平安问题-改进邮件系统,增进系统平安-信息加密-数字签名PGP平安电子邮件程序PrettyGoodPrivacyPGP密钥管理-密钥生成与公钥导入-密钥对(keypair),公钥(publickey),公钥文件(asc),导入(import)采用PGP发送加密邮件-文件加密,邮件正文加密,直接采用OUTLOOK,解密的简洁实现.解密-文件解密,邮件正
8、文解密任务驱动-实现问题解决(力量扩展)MD5SHA保密性、完整性、不行抵赖性数字信封指将对称加密算法与非对称加密算法结合使用的方法。它看重了对称加密的效率,看重了非对称加密的平安性。先对明文使用对称加密将其变成密文,然后再使用非对称加密算法将对称密钥进行加密数字签名验证发送方的身份。先形成数字摘要,然后采用非对称加密算法和发送方私钥对摘要进行加密。接收方用发送方公钥进行验证。也叫做数字指纹。完整性验证-HASH函数、WinMD5工具身份验证明文+(明文-Hash-数字摘要-使用发送者的私钥进行加密-形成数字签名)+发送者的公钥(发送者的数字证书)-使用对称加密系统随机生成的对称密钥进行加密-
9、形成密文用接收者的公开密钥对对称密钥进行加密-数字信封将二者发送到接收方第三章-CA数字证书服务-CA服务器配置-证书申请及应用SSL合同-SSL实现Web加密通信SSL-VPNCA电子商务网络持卡人商户银行CA认证中心支付网关CA认证中心CA为电子政务、电子商务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书;CA对数字证书的签名使得第三者不能伪造和篡改证书;它是电子商务和网上银行交易的权威性、可信任性及公证性的第三方机构。1. PKI公钥基础设施,是用于发放公开密钥的一种渠道CARA注册Directory大量的查询操作一少量的插入、删除和修改PKI签发证书
10、,证书回收列表证书服务分层次的证书颁发体系CA的功能证书的申请。在线早请或离线申请证书的审批。在线审核或离线审核证书的发放。在线发放或离线发放证书的归档。2. 证书的撤销。3. 证书的更新。人工密钥更新或自动密钥更新证书废止列表CRL的管理。4. CA本身的管理和CA自身密钥的管理。个人证书、单位证书、服务器证书、代码签名证书、VPN证书、无线应用证书公钥证书的主要内容身份证主要内容持有者标识序列号公钥(n,e)有效期签发者标识姓名身份证号码照片有效期签发单位CA的数字签名签发单位盖章、防伪标志使用证书供应的服务Web认证和专有信道签名和加密的信息传递签名的事务和表单签发网络操作系统、主机和大
11、型认证远程访问虚拟专用网文件加密SSL合同概述数据保密:连接是保密平安的。在初始化的握手合同协商加密密钥之后传输的消息均为加密的消息。加密的算法为私钥加密算法如DES、RC4、IDEA等。身份认证:通信双方的身份是可以通过公钥加密算法如RSA、DSS等签名来验证,杜绝假冒。数据据完整性:HASH函数例如SHA、MD5等被用来产生消息摘要MAC。所传输的消息均包含数字签名,以保证消息的完整性。这保证连接是牢靠的。SSL子合同:SSL纪录合同、SSL握手合同、SSL更改密码规格合同、SSL警报合同它位于应用层与传输层之间。SSL纪录合同的内容:应用数据、分段、压缩、添加MAC、加密、附加SSL纪录
12、报头基于SSL的一个完整的Web访问过程客户端C.客户机扫瞄器的数字证书和公钥服务器S.服务器的数字证书和公钥S.用服务器的私钥解密信息S.用客户机扫瞄器的公钥加密会话密钥C.用客户机扫瞄器的私钥解密信息(S,C).用会话密钥加密传输的数据SSL-VPN特性一、平安的合同(443号端口)1.SSLVPN采纳了SSL合同,介于HTTP层及TCP层。2. 通过SSLVPN是接入企业内部的应用,而不是企业的整个网络。没有掌握的联入整个企业的网络是特别危急的。3. 采纳SSL平安合同在网络中加密传输,对于Gateway上的防火墙来讲,只需要打开有限的平安端口即可,不需要将全部对应应用的端口开放给公网用
13、户,这样大大降低了整个网络被公网来的攻击的可能性。4. 数据加密的平安性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。5.Session爱护功能:在会话停止一段时间以后自动结束会话,假如需要连续访问则要重新登陆,通过对Session的爱护来起到数据被窃听后伪装访问的攻击。1. Sinfor深信服二、产品起到的平安功能首先由于SSLVPN般在Gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSLVPN上,这样对于Gateway来讲,只需要
14、开通443端口到SSLVPN即可,而不需要开通全部内部的应用的端口,假如有黑客发起攻击也只能到SSLVPN这里,攻击不到内部的实际应用。2. 不转变防病毒策略:假如您采纳了IPSECVPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,由于联入内部网络的电脑并不受原来公司的防病毒策略的爱护,而SSLVPN就没有这个问题。3. 不转变防火墙策略:基本原理同防病毒。还是从IPSEC的角度来讲,假如当客户端有一台电脑通过VPN联入网络后,假如该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而SSLVPN就没有这个问题。第四章IPSECIPSEC体系结构
15、IPSEC平安合同IPSEC加密算法IPSEC密钥管理基于windows实现传输模式VPN基于windows实现隧道模式VPN网络层平安性优点:密钥协商的开销被大大的消减了需要改动的应用程序很少很简洁构建VPN缺点:很难解决“抗抵赖”之类的问题IPSEC的目标为IPv4和IPv6供应具有较强的互操作力量高质量和基于密码的平安在IP层实现多种平安服务,包括:访问掌握、无连接完整性、数据源验证、抗重播、机密性和有限的业务流机密性。IPSec平安体系结构:ESP合同(加密算法)AH合同(鉴别算法)|V密钥管理不同的用户可以应用不同的策略IPSec平安体系的内容合同部分,分为AH:AuthenticationHeader验证头部为IP包供应数据完整性校验和身份认证功能;验证算法由SA指定认证的范围:整个包ESP:EncapsulatingSecurityPayload封装平安载荷供应机密性、数据源验证、抗重播以及数据完整性等平安服务加密算法和身份验证方法均由SA指定。用于两种模式:传输模式和隧道模式。一密钥管理(KeyManagement)SA(Secur
