导图社区 计算机网络谢希仁 第7章 网络安全 思维导图
这是一篇关于计算机网络 第7章 网络安全 谢希仁 第七章的思维导图,本图知识梳理清楚,非常实用,值得收藏。
这是一篇有关于计算机网络谢希仁 第8章 互联网上的音频视频服务的思维导图,有助于帮助您熟悉知识要点,加强记忆。
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
网络安全
7.1网络安全问题概述
7.1.1计算机网络命令面临的安全性威胁
被动攻击:指攻击者从网络上窃听他人得信息内容,也叫做截获,攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。
主动攻击
篡改:指攻击者故意篡改传送的数据,有时也被称为更改报文流。
恶意程序:包括计算机病毒、计算机蠕虫、特洛伊木马、后门入侵、逻辑炸弹、流氓软件
拒绝服务DoS:指攻击者向互联网上某个服务器不停地发送大量分组,是该服务器无法提供正常服务,甚至完全瘫痪
7.1.2安全的计算机网络
保密性:指只有信息的发送方和接收方才懂得所发送的信息的内容,而信息的截获者看不懂所截获的信息。
端点鉴别:安全的计算机网络必须能够鉴别信息的发送方和接收方的真实身份
信息的完整性:必须确认所受到的信息都是完整的
运行的安全性:进行访问控制,,对访问网络的权限加以控制,并规定每个用户的访问权限
7.1.3数据加密模型
用户A向B发送明文X,但通过加密算E运算后得出密文Y
7.2两类密码体制:数据保密性
7.2.1 对称密钥密码机制
概念:指加密密钥与解密密钥是使用相同的密码体制
特点:对称密钥是保密的,算法是公开的
7.2.2 公钥密码体制
概念:指使用不同的加密密钥与解密密钥
特点:接收方的加密密钥是公开给发送方使用的,但是其解密密钥是保密;算法都是公开的
7.3数字签名
必须保证能够实现一下三点功能
报文鉴别,接收者能够核实发送者对报文的签名
报文的完整性,接收者能确保所收到的数据和发送者发送的完全一样而没有被篡改过
不可否认,发送者事后不能抵赖对报文的签名
数字签名的实现
签名:发送方A对报文X用自己的私钥进行D运算,即进行签名。因为私钥只有发送方A有,所以可作为签名
鉴别签名:接收方(实际上任何人)用A的公钥对加密数据进行E运算,如果能够获取明文,就能核实签名者为A
7.4鉴别:身份、报文内容、实体鉴别
7.4.1报文鉴别
概念:指对报文的发送者身份鉴别,以及内容的鉴别,对每一个报文都需要鉴别
密码散列函数
目的:对报文进行鉴别
特点
1.散列函数的输入数据长度不限,但是输出长度是固定的,并且较短
2.不同的输入可能得到相同的散列值,即散列函数是多对一
报文摘要算法MD5和安全散列算法SHA-1
报文鉴别码
简单的报文鉴别步骤
(1)用户A根据铭文X计算出散列H
(2)用户A将散列H接在明文X后,然后发送给B
(3)用户B收到后,由于散列值是固定的,直接取出H和X,用散列函数对X进行计算出散列值,若和H相同,则身份无误
破绽:入侵者创建了一个伪造的报文M,然后也同样地计算出其散列H(M),并且冒充A把拼接有散列地扩展报文发送给B
改进:在A从报文X导出散列H后,就对散列H用密钥K加密。
7.4.2实体鉴别
概念:仅仅鉴别发送报文的实体,在通信持续时间内仅鉴别一次后就不再使用
最简单的实体鉴别方法:A向B发送带有自己身份A和口令的报文,并且双方约定使用共享对称密钥,那么B使用这个共享对称密钥解密,鉴别实体A的身份
最简单的实体鉴别方法的漏洞:攻击者C可以重放攻击,截获A的报文,重新发送给B,让B以为和自己通信的就是C
改进:使用不重数(不重复使用的大随机数),即“一次一数”
7.5密钥分配
7.5.1对称密钥的分配
对称密钥分配的问题
1.数量过大:密钥数为n(n-1)/2
2.密钥传送:密钥传输给用户,如何安全地传送给用户?
密钥分配中心KDC
KDC:密钥分配中心用来提前存储每一个用户的主密钥
KAB:用户A和B之间通信的共享密钥
A,B:通信双方
KA,KB:A和B的主密钥
Keberos的密钥分配方式
AS:鉴别服务器
TGS:票据授予服务器
7.5.2公钥的分配
公钥分配的问题
要确定公钥的拥有者:用户A要欺骗用户B,伪造一份用户C发送的报文,A用私钥数字签名,并附以A自己的公钥谎称是C的。B不知道这个公钥步不是C的
解决方法
绑定:将公钥与其对应实体绑定
认证中心AC:一般属于值得信赖的机构来进行绑定,国家机构
7.6互联网使用的安全的协议
7.6.1网络层安全协议
IPsec协议族
包括
1.IP安全数据报格式的两个协议:鉴别首部AH协议和封装安全有效载荷ESP协议
2.有关加密算法的三个协议(不讨论)
3.互联网密钥交换
IP安全数据报的两种工作方式
1.运输方式:在整个运输层报文段的前后分别添加若干控制信息,再加上IP首部,构成IP安全数据包
2.隧道方式:在原始的IP数据报的前后分别添加若干控制信息,再加上新的IP首部,构成一个IP数据报
安全关联SA
在发送IP安全数据包之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接,即安全关联SA
从源点到终点的单向连接
IP安全数据报的格式
IPsec的其他构件
安全关联数据库SAD
安全策略数据库SPD
互联网密钥交换IKE协议
IKEv2的三个基础协议
1.Oakley,是个密钥生成协议
2.安全密钥交换机制SKEME,用于密钥交换的协议,它利用公钥加密来实现密钥交换协议中的实体鉴别
3.互联网安全关联和密钥管理协议ISAKMP,用于实现IKE中定义的密钥交换,使IKE的交换能够标准化、格式化的报文创建安全关联SA
7.6.2运输层安全协议
广泛使用的运输层安全协议
安全套接字SSL
运输层安全TLS
运输层不使用安全协议和使用安全协议
提供的安全服务
1.SSL服务器鉴别
2.SSL客户鉴别
3.加密的SSL会话
工作过程
1.协商加密算法
2.服务器鉴别
3.会话密钥计算
4.安全数据传输
7.6.3应用层安全协议
电子邮件的通信安全的特点
1、电子邮件是即时的行为
2、电子邮件不需要建立会话,因为这是单向传送一个邮件,不是进行双方通信
问题
1、即时的行为下,双方如何确定加密算法的一致了?
2、不建立会话时,就不存在协商的可能,那么接收方如何确定发送方的加密算法、密钥?
为电子邮件提供安全服务的西医PGP
7.7系统防火墙:防火墙与入侵检测
7.7.1防火墙
第一道防线:防火墙,一种访问控制技术,严格控制网络边界进出的分组,禁止任何不必要的通信,从而减少潜在入侵的发生
第二道防线:入侵检测系统IDS,将通过防火墙的分组进行深度分析与检测是否有入侵行为
概念:防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略
防火墙技术分类
1.分组过滤路由器,一种具有分组过滤功能的路由器,根据过滤规则对进出内部网络的分组执行转发或者丢弃。
2.应用网关,也成为代理服务器,在应用层通信中扮演报文中继的角色
7.7.2入侵检测系统IDS
分类
1.基于特征的入侵检测
特点:只能检测已知攻击,对于未知攻击束手无策
2.基于异常的入侵检测
特点:当检测到网络中流量的某种统计规律不符合正常情况时,则认为可能发送了入侵行为
7.8一些未来的发展方向
1.椭圆曲线密码与AES
这一系统先已广泛应用与电子护照中,也是下一代金融系统使用的加密系统
2.移动安全
3.量子密码
