导图社区 网络安全
网络安全的特性具有矛盾性,主从性,相对性。涵盖了安全攻击,安全威胁,安全协议,密码学,数字签名的知识点总结。
编辑于2021-12-28 15:49:51网络安全
概述
特性
矛盾性(网络的自由和易受攻击)
主从性(任何时候都得以业务系统为主)
相对性(时间、技术、价值)
防范原则
避免短板
知己知彼
完善技术
主动被动相结合
国家要求
立法
保守国家秘密法
网络安全法
电子签名法
评估
静态评估
漏洞扫描
渗透测试
密码学
加密和解密
易加密易解密难破译
信息保密、不可抵赖、数据完整
古典加密
加密游戏
棍子加密
圆锥加密
希腊密码
5*5的字母矩阵
凯撒密码
单标置换
字母表中每个字母用该字母后第n个字母进行替换
标准字头密码
设定一个秘钥字
选取一个字母,从该字母位置开始获取变换表
公平竞赛
多表加密
维吉尼亚密码
单字符多表替换密码
弗纳姆密码
用二进制和不尔运算
希尔密码(Hill)
多字母密码加密
加密秘钥为一个矩阵
子主题
子主题
谜密码
转子机
现代加密
算法为核心,依赖于秘钥
对称秘钥加密(私钥加密)
明文密文等长,私钥长加密强度就大,计算效率高
分组加密
明文数据加密前,先填充
最后一块为长度字段(有效数据或原始数据的长度)
映射关系就是秘钥
Feistel加密算法
明文分为左右两部分,每轮用不同的秘钥进行代换运算,输出前左右置换
加密和解密一样,逆序使用子秘钥
子主题
微型加密算法 Tiny Encryption Algorithm,TEA
依赖于加密迭代轮次
使用δ(2的32次方除以黄金比例φ(二分之1+根号五))
Blowfish算法
分组长度64b,密钥长度从1至448b可变
用于SSH、文件加密软件
非常紧凑、易于实现、处理速度快、无须授权即可使用
加密过程采用16轮Feistel迭代
SM4
中国的第一个商用密码标准,于2006年1月发布
数据分组长度和密钥长度均为128b,数据处理单位为8b和32b,进行32轮非线性迭代运算
DES(数据加密标准)
针对64b数据分组进行加密和解密操作,采用的密钥被称为会话密钥(SessionKey),可为64b的任意数,密钥每字节的最高位作为奇偶校验位,实际密钥长度为56b
初始变换IP,迭代运算(16轮),逆变换IP-1
三重DES
对一个明文分组用3个相同或不同的密钥实施3次连续的DES加密(或解密)运算
可获得大约相当于112b长度密钥的强度
电子密码本(ECB)
最普通的DES
将明文分成64b分组,用密钥K分别进行加密
适合于并行处理,但相同的明文分组会得到相同的密文,若被成组替换或修改难以发现
密文分组链(CBC)
每个明文分组与前一分组密文按位异或后再进行加密
相同的明文分组加密后得到不同的密文
解密可并行处理
明文分组加密与前一组密文有关,因此加密操作无法并行处理
一个密文分组的数据传输错误会传播(影响)到下一分组的解密
密文反馈(CFB)
每个明文分组与前一分组密文的加密值进行按位异或来作为密文
对第一个分组加密需设置初始值
加密无法并行处理(但解密可并行处理),而且错误会传播到下一组
输出反馈(OFB)
明文分组与前一分组的DES输出进行按位异或
可以并行处理
每个分组解密操作相互独立
AES
快速、高效、易用、灵活
DES算法的替代技术之一
可采用三种密钥长度:128b、192b和256b
IDEA
解密过程与加密完全一样,子密钥的生成方法也相同,但子密钥的使用顺序和方式不同,需要进行数学变换成为解密子密钥,并几乎逆序使用
流式加密
RC4
状态向量初始化
秘钥初始化变换
初始置换
加密运算(一直循环)
子主题
非对称秘钥加密
公钥加密私钥解密(可保密可抵赖)
私钥加密公钥解密(不可抵赖不保密)
RSA
de=1modφ(n)是指de与1关于φ(n)同余
de = φ(n)k+1
公钥加密:C=Me(mod n),私钥加密:C=Md(mod n)
公钥解密:M=Ce(mod n),私钥解密:M=Cd(mod n)
ElGamal
公钥加密,私钥解密
椭圆曲线加密(ECC)
单向函数加密
正向容易计算,逆向无法求解(Hash)
采用特殊的数学函数(单向函数)对原消息进行加密处理,形成消息摘要(Message Digest),使之带有原消息的特征,但是难以复原为原消息
应用例子
用户密码安全
分布式哈希表
P2P
Bloom过滤器
信息存证
特性
单向性
一致性(相同输入产生相同输出)
随机性
唯一性
均匀性
校验码
奇偶校验
偶校验:偶数个1,校验码就0;奇数个1,校验码为1
CRC
1.将x的最高幂次为R的生成多项式G(x)转换成对应的R+1位二进制数
2.将信息码(原始报文)左移R位,相当与对应的信息多项式C(x)*2R
3.用信息多项式模二除以多项式Gx,得到R位的余数
4.余数拼到信息码后面,得到编码后的保卫。
Hash函数
MD5(Message Digest Algorithm 消息摘要算法)
以512-bit分组为单位来处理输入的信息
最终输出128-bit消息摘要
算法准备
对信息进行填充,使其比特数(信息长度)对512求余的结果等于448
后面附加一个以64-bit二进制数据表示的填充前信息的有效长度(以字节为单位)
SHA
SHA-2更为安全
算法处理单元为32b
对原消息的预处理与MD5算法相同
要对中间变量设置初始值h
RIPEMD
共有4个标准RIPEMD-128、RIPEMD-160、RIPEMD-256和RIPEMD-320,其对应输出长度分别为16B、20B、32B和40B
SM3
国密单向函数(杂凑函数)标准
以512bit数据块为处理单位,输出256bit哈希值
算法流程
消息填充
分块
迭代压缩
压缩函数CF
特殊单向函数:单向陷门函数
设k为密钥,函数y=f(x, k)的计算很容易,而已知y和k,则不可能计算出x=f -1(y, k),即函数f具有单向性;但是,若存在一个t和函数g,使得知道t就可以很容易地计算出x=g(y, t),则称函数y=f(x)为单向陷门函数,而t就称为陷门(好比是函数的“后门”)
消息指纹
一旦改变输入消息中的数据,消息摘要就会发生不可预测的变化
数字签名
数字签名是进行私钥加密的消息指纹,是公钥加密和单向函数的结合
消息发送方Alice
将公钥发送给Bob
对原消息做hash,得到消息摘要d
用私钥priKa加密摘要d,得到数字签名D
发送消息和签名{m,D}
接收方Bob
分离从Alice收到的消息和签名{m,D}
用Alice的公钥pubKa解密签名D,得到消息摘要d
对收到的消息m做Hash,得到消息摘要d ′
比较d和d ′,若相同,说明消息m没有被篡改
场景
自我验签
对等验签
公开验签
数字证书
公钥证书
包括:持有数字证书的主体的身份信息、公钥和认证机构的名称
DSA
其安全性与RSA类似,但比RSA更有优势的一个重要特点是两个质数可公开
环签名
签名者首先选定一个临时的签名者集合
签名者利用自己的私钥和签名者集合中其他人的公钥,独立地产生签名,而无需他人协助
签名者集合中的成员可能并不知道被包含在签名中
由于不掌握签名者私钥,环签名无法被其他人伪造
签名可被任何人验证
盲签名
特征
不可泄露
不可伪造
不可抵赖
不可跟踪
安全防范
嵌入式
地址翻译
安全隧道
虚拟局域网
访问代理
主动式
身份认证
信息加密
漏洞扫描
安全补丁
沙箱环境
堡垒机
被动式
网页防篡改
入侵检测
安全审计
蜜罐主机
网页防篡改
数字签名
Intrusion Detection System 入侵检测系统 IDS
Security Audit 安全审计 SA
网络隔离
安全攻击
陷阱攻击
虚假网站
陷阱链接
Dos攻击(拒绝服务攻击)
分布式拒绝服务攻击 Distributed DoS
利用协议漏洞
利用软件缺陷
进行资源比拼
同步洪水攻击 Syn Flood
也称为TCP同步攻击、三次握手攻击、半连接攻击
登陆攻击 Land
死亡回显攻击 Ping of Death
Smurf回显攻击
UDP洪水攻击
Tear Drop泪滴攻击
E-mail Bomb电子邮件炸弹
Fake IP IP欺骗攻击
劫持攻击
利用协议的攻击
中间人攻击
缓存溢出攻击
注入式攻击
越权攻击
安全威胁
通信侦听
漏洞扫描
零日攻击
口令破解
恶意代码
病毒
寄生性;感染性;破坏性
木马
独立性;隐蔽性;顽固性
蠕虫
用户不知情;大量消耗互联网资源
速度很快,特征不明显,复制能力很强,无法查杀
安全协议
Diffie-Hellman算法
ECC密钥安全互换算法
PKI基本构建组成
数字证书管理机构(CA)
应用接口(API)
数字证书库系统
证书撤销清单系统(CRL)
秘钥备份及恢复系统
身份安全
Password Authentication Protocol 口令鉴别协议
Challenge-Handshake Authentication Protocol 挑战握手鉴别协议
Remote Authentication Dial-In User Service 远程拨号用户认证服务
采用UDP传输
端口1812用于认证服务,端口1813用于记账服务
Kerberos协议
Message Authentication Code 消息认证码
HMAC算法
引入了密钥
单向性,一次性
传输安全
Point-to-Point Tunneling Protocol 点对点隧道协议
Layer 2 Tunneling Protocol 第二层隧道协议
Secure IP 安全IP
Authentication Header 鉴别报头
Encapsulating Security Payload 安全封装
Security Association,SA 安全关联
Secure Socket Layer 安全套接字层协议
Wired Equivalent Privacy 有线等效保密协议
Wi-Fi Protected Access 无线局域网保护接入协议
Wireless-LAN Authentication and Privacy Infrastructure 无线局域网鉴别和保密基础设施