網(wǎng)絡(luò)安全基礎(chǔ)

第一節(jié) 網(wǎng)絡(luò)安全概述

一、基本概念

網(wǎng)絡(luò)安全通信所需要的基本屬性:

1. 機(jī)密性

2. 消息完整性

3. 可訪問與可用性

4. 身份認(rèn)證

二、網(wǎng)絡(luò)安全威脅

1. 竊聽

2. 插入

3. 假冒

4. 劫持

5. 拒絕服務(wù)DoS和分布式拒絕服務(wù)DDoS

6. 映射

7. 嗅探

8. IP欺騙


第二節(jié) 數(shù)據(jù)加密

數(shù)據(jù)加密

????\bullet ?明文:未被加密的消息

????\bullet ?密文:被加密的消息

????\bullet ?加密:偽裝消息以隱藏消息的過程,即明文\rightarrow 密文的過程.

????\bullet ?解密:密文\rightarrow 明文的過程

一、傳統(tǒng)加密方式

1. 替代密碼:用密文字母替代明文字母。

? ? 移位密碼加密函數(shù):

? ??\color{red}{E_k(M)=(M+k)modq}

? ??E:加密過程

? ?M :明文信息

? ?k?:密鑰,表示移幾位

? ??q:如果是26個字母,那q就是26

? ? 解密函數(shù):

? ??\color{red}{D_k(C)=(K-k)modq}

? ??D:解密過程

? ??C:密文

? ???k:密鑰

2.?換位密碼:根據(jù)一定規(guī)則重新排列明文。

? ? 【例題】如果對明文“bob.i love you. Alice",利用k=3的凱撒密碼加密,得到的密文是什么?利用密鑰 "nice" 進(jìn)行列置換加密后得到的密文是什么?

? ? 【答案凱撒密碼加密后得到的密文是:

? ? ????"ere l oryh brx Dolfh"

? ? ????列置換密碼加密后得到的密文是:

? ? ????iex bvu bly ooo"

? ? 【解析凱撒密碼

? ? ????以明文字母b為例,M=2(b的位置為2),k=3,q=26,則:

? ? ????密文C=(M+k)modq=(2+3)mod26=5,對應(yīng)字母e,故b經(jīng)過加密轉(zhuǎn)為了e

? ? ????將明文全部替換后得到的密文 "ere l oryh brx Dolfh"

? ???????列置換密碼:

? ????? 密鑰 "nice" 字母表先后順序為 "4,3,1,2" ,因此,按這個順序讀出表中字母,構(gòu)成密文:"iex bvu bly ooo",(密鑰有幾位就有幾列,如果明文不夠就補(bǔ)x,然后按列讀?。?/p>

二、對稱密鑰加密

1. 對稱密鑰密碼:加密秘鑰和解密秘鑰相同(\color{blue}{密鑰保密}),例如用一個鎖將箱子鎖起來,這個鎖有2把相同的鑰匙,鎖好之后把另一把鑰匙派人送給他。

2. 對稱密鑰密碼分類

? ? \bullet ?分組密碼:DES、AES、IDEA等。(分組處理)

? ? ? ? 1)\color{blue}{DES}(數(shù)據(jù)加密標(biāo)準(zhǔn)):56位密鑰,64位分組。(56位二進(jìn)制數(shù),每位的取值是0或1,則所有的取值就是2^{56}個)

????????2)\color{blue}{三重DES}:使用兩個秘鑰(共112位),執(zhí)行三次DES算法。(用1個密鑰執(zhí)行一次加密,再用另一個密鑰執(zhí)行一次解密,共執(zhí)行三次)

????????3)\color{blue}{AES}(高級加密算法):分組128位,密鑰128/192/256位。

????????4)IDEA:分組64位,密鑰128位。

? ? \bullet ?流密碼(挨個處理)

三、非對稱/公開密鑰加密

1. 非對稱密鑰密碼:加密密鑰和解密密鑰不同,\color{blue}{密鑰成對使用},其中一個用于加密,另一個用于解密。(私鑰:持有人所有?公鑰:公開的)

2. 加密密鑰可以公開,也稱公開密鑰加密。

3. 典型的公鑰算法:

? ??\bullet ?Diffie-Hellman算法

????\bullet ?RSA算法


第三節(jié)?消息完整與數(shù)字簽名


一、消息完整性檢測方法

密碼散列函數(shù)

1. 特性:

? ??\bullet ?定長輸出;

? ??\bullet ?單向性(無法根據(jù)散列值逆推報文)

? ??\bullet ?抗碰撞性(無法找到具有相同散列值的兩個報文)

2. 典型的散列函數(shù)

? ??\bullet ?MD5:128位散列值

? ??\bullet ?SHA-1:160位散列值

二、報文認(rèn)證

報文認(rèn)證是使消息的接收者能夠檢驗收到的消息是否是真實的認(rèn)證方法。來源真實,未被篡改。

1.?報文摘要(數(shù)字指紋)

2. 報文認(rèn)證方法

????\bullet ?簡單報文驗證:僅使用報文摘要,無法驗證來源真實性

????\bullet ?報文認(rèn)證碼:使用共享認(rèn)證密匙,但無法防止接收方篡改

三、數(shù)字簽名

身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性

1. 簡單數(shù)字簽名:直接對報文簽名

2. 簽名報文摘要


第四節(jié) 身份認(rèn)證

1. 口令:會被竊聽

2. 加密口令:可能遭受回放/重放攻擊

? ? 加密的口令可能會被截獲,雖然不知道口令是什么,但他將加密口令提交給服務(wù)器,說這是我加密的口令,這叫重放.

3. 加密一次性隨機(jī)數(shù):可能遭受中間人攻擊

Alice發(fā)給Bob說她是Alice,但Bob說你要向我證明,Bob生成一個隨機(jī)數(shù)發(fā)給Alice,讓Alice用自己的私鑰進(jìn)行加密,加密后再把數(shù)據(jù)發(fā)給Bob,然后Bob再向Alice要公鑰進(jìn)行解密解出來的隨機(jī)數(shù)如果和Bob發(fā)給Alice的隨機(jī)數(shù)一樣的話,那就說明她是Alice。

這種方法會被中間人攻擊,Alice發(fā)送的私鑰加密被Trudy更換為自己用私鑰加密的數(shù)據(jù)然后發(fā)給Bob,公鑰也被Trudy換了,最后Bob用公鑰加密數(shù)據(jù)發(fā)給Alice,Trudy截獲了,用自己的私鑰進(jìn)行解密,獲得了數(shù)據(jù)。


第五節(jié) 密匙分發(fā)中心與證書認(rèn)證

密鑰分發(fā)存在漏洞:主要在密鑰的分發(fā)和對公鑰的認(rèn)證環(huán)節(jié),這需要密匙分發(fā)中心與證書認(rèn)證機(jī)構(gòu)解決

一、密鑰分發(fā)中心

雙方通信時需要協(xié)商一個密鑰,然后進(jìn)行加密,每次通信都要協(xié)商一個密鑰,防止密鑰被人截獲后重復(fù)使用,所以密鑰每次都要更換,這就涉及到密鑰分發(fā)問題。

基于KDC的秘鑰生成和分發(fā)

通信發(fā)起方生成密鑰,KDC進(jìn)行分發(fā)
KDC生成并分發(fā)密鑰

二、證書認(rèn)證機(jī)構(gòu)

認(rèn)證中心CA:將公鑰與特定的實體綁定

1. 證實一個實體的真實身份;

2. 為實體頒發(fā)數(shù)字證書(實體身份和公鑰綁定)。


第六節(jié)?防火墻與入侵檢測系統(tǒng)

一、防火墻基本概念

防火墻:能夠隔離組織內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng),允許某些分組通過,而阻止其它分組進(jìn)入或離開內(nèi)部網(wǎng)絡(luò)的軟件、硬件或者軟硬件結(jié)合的一種設(shè)施。

前提:從外部到內(nèi)部和從內(nèi)部到外部的所有流量都經(jīng)過防火墻

二、防火墻分類

1. 無狀態(tài)分組過濾器

????基于特定規(guī)則對分組是通過還是丟棄進(jìn)行決策,如使用\color{blue}{訪問控制列表(ACL)}實現(xiàn)防火墻規(guī)則。

2. 有狀態(tài)分組過濾器

????跟蹤每個TCP連接建立、拆除,根據(jù)狀態(tài)確定是否允許分組通過。

3. 應(yīng)用網(wǎng)關(guān)

????鑒別用戶身份或針對授權(quán)用戶開放特定服務(wù)。

三、入侵檢測系統(tǒng)IDS

入侵檢測系統(tǒng)(IDS):當(dāng)觀察到潛在的惡意流量時,能夠產(chǎn)生警告的設(shè)備或系統(tǒng)。


第七節(jié) 網(wǎng)絡(luò)安全協(xié)議

一、安全電子郵件

1. 電子郵件安全需求

????1)機(jī)密性

? ? 2)完整性

? ? 3)身份認(rèn)證性

? ? 4)抗抵賴性

2. 安全電子郵件標(biāo)準(zhǔn):\color{blue}{PGP}

二、安全套接字層SSL

1. SSL是介于\color{blue}{應(yīng)用層}\color{blue}{傳輸層}之間的安全協(xié)議.

2. SSL協(xié)議棧

????(傳統(tǒng)的TCP協(xié)議是沒有安全協(xié)議的,傳輸都是明文,所以在TCP上面設(shè)置SSL協(xié)議保證安全性)

3. SSL握手過程

????協(xié)商密碼組,生成秘鑰,服務(wù)器/客戶認(rèn)證與鑒別。

三、虛擬專用網(wǎng)VPN和IP安全協(xié)議IPSec

1. VPN

????建立在\color{blue}{公共網(wǎng)絡(luò)}上的安全通道,實現(xiàn)遠(yuǎn)程用戶、分支機(jī)構(gòu)、業(yè)務(wù)伙伴等與機(jī)構(gòu)總部網(wǎng)絡(luò)的安全連接,從而構(gòu)建針對特定組織機(jī)構(gòu)的專用網(wǎng)絡(luò)。

????關(guān)鍵技術(shù)\color{blue}{隧道技術(shù)},如IPSec。

2. 典型的網(wǎng)絡(luò)層安全協(xié)議——\color{blue}{IPSec}

????提供機(jī)密性、身份鑒別、數(shù)據(jù)完整性和防重放攻擊服務(wù)。

????體系結(jié)構(gòu):認(rèn)證頭AH協(xié)議、封裝安全載荷ESP協(xié)議。

????運行模式:傳輸模式(AH傳輸模式、ESP傳輸模式)、隧道模式(AH隧道模式、ESP隧道模式)


小結(jié):

本文主要介紹了網(wǎng)絡(luò)安全基本概念、數(shù)據(jù)加密算法、消息完整性與數(shù)字簽名、身份認(rèn)證、密鑰分發(fā)中心與證書認(rèn)證機(jī)構(gòu)、防火墻與入侵檢測以及網(wǎng)絡(luò)安全協(xié)議等內(nèi)容。

\color{blue}{重難點}回顧:

1. 網(wǎng)絡(luò)安全基本屬性

2. 典型數(shù)據(jù)加密算法;

3. 消息完整性、數(shù)字前面以及身份認(rèn)證原理。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。
禁止轉(zhuǎn)載,如需轉(zhuǎn)載請通過簡信或評論聯(lián)系作者。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容