欧酷网

您的位置:主页>安全>

网络安全基础

网络安全概述

一、网络安全的基本概念及属性

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。

网络安全通信所需要的基本属性有:机密性、消息完整性、可访问与可用性、身份认证。

 

二、网络安全威胁

网络主要面临的安全威胁有以下几个方面:

(1)报文传输方面,主要包括窃听、插入、假冒、劫持等安全威胁。

(2)常见的网络攻击包括拒绝服务DoS以及分布式拒绝服务DDoS等。

(3)映射。

(4)分组“嗅探”。

(5)IP欺骗。

 

数据加密

一、数据加密的基础知识

密码技术是保障信息安全的核心基础,解决数据的机密性、完整性、不可否认性以及身份识别等问题均需要以密码为基础。简单来说,密码学包括密码编码学和密码分析学两部分。

根据密码学的定义,可以得到一套完整密码体制,其中包括M、C、K、E、D共5个要素:

(1)M是可能明文的有限集称为明文空间。

(2)C是可能密文的有限集称为密文空间。

(3)K是一切可能密钥构成的有限集称为密钥空间。

(4)E为加密算法,对于任一密钥,都能够有效地计算。

(5)D为解密算法,对于任一密钥,都能够有效地计算。

 

根据密码体制的特点以及出现的先后时间可以将密码方式分类为传统密码算法、对称密钥算法、公开密钥算法。同时,依据处理数据的类型可以划分为分组密码和序列密码。

 

二、传统加密方法

1. 替代密码

替代密码是将明文字母表M中的每个字母用密文字母表C中的对应字母来代替,常见的加密模型有移位密码、乘数密码、仿射密码等。

 

2. 换位密码

换位密码,又称置换密码,是根据一定的规则重新排列明文,以便打破明文的结构特性。置换密码的特点是保持明文的所有字符不变,只是利用置换打乱了明文字符的位置和次序。

换位密码可分为列置换密码和周期置换密码。

 

三、典型对称密钥密码算法

现代密码可以分为对称密钥密码和非对称密钥密码两大类。对称密钥加密系统又可以分为分组密码和流密码,比较常见的分组密码有DES、AES和IDEA等。

1. DES算法

DES是典型的分组密码,使用56位的密钥,明文为64位分组序列,共进行16轮的加密, 每轮加密都会进行复杂的替代和置换操作,并且每轮加密都会使用一个由56位密钥导出的48位子密钥,最终输出与明文等长的64位密文。

 

2. 三重DES

该方法使用两个密钥,执行三次DES算法。加密的过程是 加密-解密-加密 ,解密的过程是 解密-加密-解密 。具体步骤是:首先按照常规的方法用密钥K1执行DES加密,然后按照DES解密方式,使用K2作为密钥进行解密,最后,再次用K1执行DES加密。

 

3. AES加密算法

AES加密算法的特点如下:

(1)分组长度和密钥长度均可变。

(2)循环次数允许在一定范围内根据安全要求进行修正。

(3)汇聚了安全、效率、易用、灵活等优点。

(4)抗线性攻击和抗差分攻击的能力大大增强。

(5)如果1s暴力破解DES,则需要149万亿年破解AES。

 

4. IDEA加密算法

IDEA加密算法广泛应用在安全电子邮件PGP中。

IDEA加密算法是一个分组长度为64位的分组密码算法,密钥长度为128位,同一个算法即可用于加密,也可用于解密。算法运用硬件与软件实现都很容易,而且比DES算法在实现上快得多。

 

消息完整性与数字签名

一、数据完整性检测方法

为了实现消息完整性检测,需要用到密码散列函数 H(m) ,表示对报文 m 进行散列化。密码散列函数应具备的主要特征如下:

(1)一般的散列函数具有算法公开。

(2)能够快速计算。

(3)对任意长度报文进行多对一映射均能产生定长输出。

(4)对于任一报文无法预知其散列值。

(5)不同报文不能产生相同的散列值。

 

密码散列函数还应该具有单向性、抗弱碰撞性、抗强碰撞性。

典型散列函数有MD5和SHA-1。

 

二、报文认证

消息完整性检测的一个重要目的就是要完成报文认证的任务。

报文认证是使消息的接收者能够检验接收到的消息是否是真实的认证方法。报文(消息)认证的目的有两个:一个是消息源的认证,即验证消息的来源是真实的;另一个是消息的认证,即验证消息在传送过程中未被篡改。

 

三、数字签名方法

数字签名在信息安全,包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用,特别是在大型安全通信中密钥分配、认证以及电子商务系统中具有重要作用。数字签名是实现认证的重要工具。

数字签名与消息认证的区别:消息认证使接收方能验证发送方以及所发消息内容是否被篡改过。当收发者之间没有利害冲突时,这对于防止第三者的破坏来说足够了。但当接收者和发送者之间有利害冲突时,就无法解决他们之间的纠纷,此时须借助数字签名技术。

数字签名应满足以下要求:

(1)接收方能够确认或证实发送方的签名,但不能伪造。

(2)发送方发出签名的消息给接收方后,就不能再否认他所签发的消息。

(3)接收方对已收到的签名消息不能否认,即有收报认证。

(4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。

 

身份认证

身份认证的基本概念

身份认证又称身份鉴别,是一个实体经过计算机网络向另一个实体证明其身份的过程。鉴别应当在通信双方的报文和数据交换的基础上,作为某鉴别协议的一部分独立完成。鉴别协议通常在两个通信实体运行其他协议之前运行。

 

密钥分发中心与证书认证机构

一、KDC的作用

对称密钥分发的典型解决方案是,通信各方建立一个大家都信赖的密钥分发中心(KDC),并且每一方和KDC之间都保持一个长期的共享密钥。通信双方借助KDC,在通信双方之间创建一个临时的会话密钥。在会话密钥建立之前,通信双方与KDC之间的长期共享密钥,对于KDC对通信方进行验证以及双方之间的验证。

 

二、CA的作用

将公钥与特定实体绑定,通常是由认证中心(CA)完成的。CA具有以下作用:

(1)CA可以证实一个实体的真实身份。当通信方与CA打交道时,需要信任这个CA能够执行严格的身份验证。

(2)一旦CA验证了某个实体的身份,CA会生成一个把其身份和实体的公钥绑定起来的证书,其中包含该实体的公钥及其全局唯一的身份识别信息等,并由CA对证书进行数字签名。

 

防火墙与入侵检测系统

一、防火墙的基本概念

防火墙是能够隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其他分组进入或离开内部网络的软件、硬件或者软件与硬件结合的一种设施。

防火墙发挥作用的基本前提是需要保证从外部到内部和从内部到外部的所有流量都经过防火墙,并且仅被授权的流量允许通过,防火墙能够限制对授权流量的访问。

 

二、防火墙的分类

防火墙大致可以分为三类:无状态分组过滤器、有状态分组过滤器和应用网关。

1. 无状态分组过滤器

无状态分组过滤器是典型的部署在内部网络和网络边缘路由器上的防火墙。分组过滤是网关路由器的重要功能之一,路由器逐个检查数据报,然后基于特定的规则对分组是通过还是丢弃进行决策。进行过滤时通常基于以下参数进行决策:

(1)IP数据报的源IP地址和目的IP地址。

(2)TCP/UDP报文段的源端口号和目的端口号。

(3)ICMP报文类型。

(4)TCP报文段的SYN和ACK标志位等。

 

2. 有状态分组过滤器

有状态分组过滤器会使用连接表跟踪每个TCP连接。分组过滤器跟踪连接建立(SYN)、拆除(FIN),根据状态确定是否放行进入或者外出的分组。对于超时的非活动连接,则不再允许分组通过。

 

3. 应用网关

为了进一步提高防火墙的安全性,防火墙还必须把分组过滤器和应用程序网关结合起来。

防火墙和应用网关依然存在许多局限性:

(1)路由器无法确定数据是否来自声称的源,攻击者会利用此进行IP欺骗。

(2)应用网关通用性不好,如果不同应用有不同需求,每个应用需要一个独立的应用网关,此外,客户软件需要知道如何连接网关。

(3)针对UDP的流量经常全部通过或者全部不通过。

 

三、入侵检测系统的基本概念

入侵检测系统(IDS)是当观察到潜在的恶意流量时,能够产生警告的设备或系统。IDS不仅仅针对TCP/IP首部进行操作,而且会进行深度包检测,并检测多数据之间的相关性。IDS能够检测多种攻击,例如,网络映射、端口扫描、TCP栈扫描、DoS拒绝服务攻击等。

 

网络安全协议

一、安全电子邮件

1. 安全电子邮件基本原理

作为一个网络应用,电子邮件对网络安全的需求主要有以下几个方面:

(1)机密性:传输过程中不被第三方阅读到邮件内容,只有真正的接收方才能阅读邮件。

(2)完整性:支持在邮件传输过程中不被篡改,若发生篡改,通过完整性验证可以判断出该邮件被篡改过。

(3)身份认证性:电子邮件的发送方不能被假冒,接收方能够确认发送方的身份。

(4)抗抵赖性:发送方无法对发送的邮件进行抵赖。接收方能够预防发送方抵赖自己发送过的事实。

 

2. PGP提供的安全服务

目前,安全电子邮件标准时1991年提出的PGP标准。PGP可以免费运行在各种操作系统平台之上,可用于普通文件加密以及军事目的,所使用的算法,例如:公钥加密算法(如RSA)、对称加密算法(如3DES)、散列算法(如SHA-1),都已被证明是安全可靠的。

PGP能够提供诸如邮件加密、报文完整性等安全服务,满足电子邮件对网络安全的需求。PGP标准会对邮件内容进行数字签名,保证信件内容不被篡改。同时会使用公钥和对称密钥加密,保证邮件内容机密且不可否认,公钥的权威性由收发双方所信任的第三方签名认证,并且事先不需要任何保密信道来传递对称的会话密钥。

 

二、安全套接字层(SSL)

1. SSL提供的安全服务

在传输层之上构建一个安全层是一种Web安全解决方案,最典型的就是安全套接字层(SSL)或传输层安全(TLS)。SSL/TLS介于应用层和传输层之间,类似于会话层,可作为基础协议栈的一部分,也可直接嵌入到浏览器中使用。

简化的SSL主要包含4个部分:

(1)发送方和接收方利用各自的证书、私钥认证、鉴别彼此,并交换共享密钥。

(2)密钥派生或密钥导出,发送方和接收方利用共享密钥派生出一组密钥。

(3)数据传输,将传输数据分割成一系列记录,加密后传输。

(4)连接关闭,通过发送特殊消息,安全关闭连接,不能留有漏洞被攻击方利用。

 

在SSL密钥派生过程中,会派生出4个密钥:

(1)Kc:用于密钥客户向服务器发送数据的密钥(对称密钥)。

(2)Mc:用于客户向服务器发送数据的MAC密钥。

(3)Ks:用于加密服务器向客户发送数据的密钥。

(4)Ms:用于服务器向客户发送数据的MAC密钥。

 

2. SSL协议栈

SSL是介于TCP和HTTP等应用层协议之间的一个可选层,绝大多数应用层协议可以直接建立在SSL协议之上,SSL不是单独的协议,而是两层协议。

SSL使用的加密算法有:

(1)公开密钥加密算法:SSL主要食用RSA,其他多种公钥加密算法也支持。

(2)对称密钥加密算法:SSL支持DES分组密码、3DES分组密码等。

(3)MAC算法:MD5或SHA-1。

 

3. SSL的握手过程

SSL协议的握手过程主要有以下几个步骤:

(1)客户发送其支持的算法列表,以及客户一次随机数nonce,服务器从算法列表中选择算法,并发给客户自己的选择、公钥证书和服务器端一次随机数nonce。

(2)客户验证证书,提取服务器公钥,声称预主密钥,并利用服务器的公钥加密预主密钥,发送给服务器,实现密钥的分发。

(3)客户与服务器基于预主密钥和一次随机数,分别独立计算加密密钥和MAC密钥,包括前面提到的4个密钥。

(4)客户发送一个针对所有握手消息的MAC,并将此MAC发送给服务器。

(5)服务器发送一个针对所有握手消息的MAC,并将此MAC发送给客户。

 

三、虚拟专用网VPN和IP安全协议IPSec

1. VPN的基本原理

VPN通过隧道技术、加密技术、密钥管理、身份认证和访问控制等,实现与专用网类似的功能,可以达到PN安全性的目的,同时成本相对而言要低很多。VPN最重要的特点就是虚拟,连接总部网络和分支机构之间的安全通道实际上并不会独占网络资源,是一条逻辑上穿过公共网络的安全、稳定的隧道。

VPN的实现需要涉及的技术有很多,关键技术有隧道技术、数据加密、身份认证、密钥管理、访问控制和网络管理等,其中相对核心的是隧道技术。

隧道协议包括以下3种协议:

(1)乘客协议,确定封装的对象属于哪个协议。

(2)封装协议,确定遵循哪一种协议进行封装,需要加什么字段等。

(3)承载协议,确定最后的对象会放入哪类公共网络。

 

2. IPSec的核心协议及两种传输模式

IPSec是网络层使用最广泛的安全协议,但IPSec不是一个单一的协议,而是一个安全体系。IPSec提供的安全服务包括机密性、数据完整性、源认证和防重放攻击等。提供不同服务模型的两个协议分别是ESP和AH协议。

IPSec有两种典型的传输模式:传输模式和隧道模式。

 

3. 安全关联SA

作为IPSec的通信实体,可以是主机或者路由器,在发送数据之前,需要在发送实体和接收实体之间进行安全关联SA。SA是单工的,双向需要两个SA。

在SA建立时需要维护很多参数,主要有以下几个:

(1)安全参数索引(SPI),是32位SA唯一标识。

(2)序列号,用于抗重放攻击。

(3)抗重放窗口,接收方利用滑动窗口检测恶意主机重放数据报。

(4)生存周期,每个SA都有使用周期。

(5)运行模式,分为传输模式和隧道模式。

(6)IPSec隧道源和目的地址,只有隧道模式下才会有这两个参数。

 

4. AH协议和ESP协议提供的安全服务

AH协议和ESP是IPSec的核心。两种不同协议和两种模式(传输模式、隧道模式)结合起来共有4种组合:传输模式AH、隧道模式AH、传输模式ESP、隧道模式ESP。

传输模式AH:传输模式AH数据报结构,是在原IP头和原IP数据报载之间加入AH头构成。

隧道模式AH:与传输模式AH的主要不同是构建了新的IP头部,认证时也包括新的IP头部。

传输模式ESP:在原IP数据报载荷后面添加ESP尾部,尾部中会进行0~255字节的填充。

隧道模式ESP:隧道模式ESP是使用最广泛的,最重要的IPSec形式。ESP头部、尾部和ESP认证和传输模式ESP是一样的。

 

 

  • 点赞 1

  • 收藏

  • 分享

  •    
    • 文章举报

Seas.Su

 
发布了54 篇原创文章 ·    获赞 3 ·    访问量 8951  

私信

关注

相关文章推荐