导图社区 计算机网络第7章:网络安全
谢希仁版计算机网络第7章:网络安全导图笔记。
《计算机操作系统》 第11章 多媒体操作系统 思维导图
《计算机操作系统》第10章 ,多处理操作系统思维导图
《计算机操作系统》,操作系统接口思维导图
社区模板帮助中心,点此进入>>
互联网9大思维
安全教育的重要性
组织架构-单商户商城webAPP 思维导图。
个人日常活动安排思维导图
域控上线
西游记主要人物性格分析
17种头脑风暴法
python思维导图
css
CSS
第7章 网络安全
7.1 网络安全问题概述
7.1.1 计算机网络命令面临的安全性威胁
被动攻击:指攻击者从网络上窃听他人得信息内容,也叫做截获,但是并不会修改传送得数据,只是从截获的数据中进行分析
主动攻击
篡改:指攻击者故意篡改传送的数据
恶意程序:包括病毒(传染)、木马(执行功能实际上是恶意功能)、蠕虫(通信中从一个 节点到另一个结点)、后门入侵(利用漏洞)、逻辑炸弹(满足特性环境)流氓软件
拒绝服务:指站点被攻击者不停的发送报文,导致服务器无法提供正常的服务
7.1.2 安全的计算机网络
目标
保密性:指信息被截获后由于经过加密,攻击者也无法读取出有效的内容,常用来对付被动攻击
密码机制
端点鉴别:鉴别发送信息的发送方和接收方的身份,用来对付主动攻击
信息的完整性:保证信息的内容没有被篡改
报文鉴别
运行的安全性
7.1.3 数据加密模型
形式:用户A向B发送明文,中途经过加密算法后,输出密文发送接收方,接收方接受前进行破译
7.2 两类密码体制:数据保密性
7.2.1 对称密钥密码机制
概念:指发送方和接收方使用的密钥是相同的,故称为对称
使用通信信道:仅适合一对一信道,不适合存在第三者
特点:对称密钥是保密的,算法是公开的
7.2.2 公钥密码体制
概念:指发送方和接收方使用的密钥是不同的
使用通信信道:适合多对一信道
特点:接收方的加密密钥是公开给发送方使用的,但是其解密密钥是保密;算法都是公开的
破译的难度:实际取决于密钥长度,并不简单的取决于密码体制
7.3 数字签名
至少具备以下功能
1、报文鉴别:接收方对报文的签名者身份进行鉴别
2、报文的完整性:确保数据没有被篡改过
3、不可否认:发送方不能否认自己对报文的签名
从下面的数字签名的实现不难看出,这些功能的实现的关键是:私钥的私密性,仅有发送方A有
数字签名的实现
1、签名:发送方A对报文X用自己的私钥进行D运算,即进行签名。因为私钥只有发送方A有,所以可作为签名
2、鉴别签名:接收方用A的公钥对加密数据进行E运算,如果能够获取明文,就能核实签名者为A
7.4 鉴别:身份、报文内容、实体鉴别
7.4.1 报文鉴别
概念:指对报文的发送者身份鉴别,以及内容的鉴别,对每一个报文都需要鉴别
密码散列函数
目的:对报文进行鉴别
特点
1、散列函数的输入数据长度不限,但是输出长度是固定的,避免过多的开销
2、散列函数是多对一,即多个输入值可能对应同一个散列值
常用的密码散列函数
报文摘要算法MD5和安全散列算法SHA
报文鉴别流程
简单的报文鉴别
1、用户A根据明文X计算出散列H
2、用户A将散列H接在明文X后,然后发送给B
3、用户B收到后,由于散列值是固定的,直接取出H和X,用散列函数对X进行计算出散列值,若和H相同,则身份无误
简单的报文鉴别的漏洞:攻击者在知道散列函数后可以伪造一个全新的报文,并同样计算出H代替A来发送
改进的报文鉴别:对散列值H进行加密
7.4.2 实体鉴别
概念:仅仅鉴别发送报文的实体,在通信持续时间内仅鉴别一次后就不再使用
最简单的鉴别流程
1、A向B发送带有自己身份A和口令的报文,并且双方约定使用共享对称密钥,那么B使用这个共享对称密钥解密,鉴别实体A的身份
最简单的鉴别的漏洞
攻击者C可以重放攻击,截获A的报文,重新发送给B,让B以为和自己通信的就是C
改进的鉴别流程
使用不重数(不重复使用的大随机数)
7.5 密钥分配
7.5.1 对称密钥Kab的分配
对称密钥分配的问题
1、数量过大:由于每一对用户之间共享一个密钥,那么密钥数就是:n^2
2、密钥传送:密钥需要传输给用户,如何传送安全的传送给用户呢?
密钥分配中心KDC的密钥分配
KDC:密钥分配中心用来提前存储每一个用户的主密钥
KAB:用户A和B之间通信的共享密钥
A,B:通信双方
KA,KB:A和B的主密钥
Kerberos的密钥分配方式
AS:鉴别服务器
TGS:票据授予服务器
7.5.2 公钥的分配
公钥分配的问题
1、确定公钥的拥有者:如用户C请求到用户A的公钥获取后,发给B说这是C的公钥,虽然是A的公钥,但B不知道
解决办法
绑定:将公钥与拥有者绑定
认证中心AC:一般属于值得信赖的机构来进行绑定,国家机构
7.6 互联网使用的安全的协议
7.6.1 网络层安全协议
网络层的安全协议:IPsec协议族
IPsec协议族
组成部分
1、鉴别首部AH和封装安全有效载荷ESP
ESP比AH复杂(具有源点鉴别、数据完整性和保密功能)
2、加密算法的协议(此处不讨论)
3、互联网密钥交换
IP安全数据报的工作方式
1、运输方式:在整个运输层报文段的前后分别添加若干信息,再加上IP首部
2、隧道方式:在原始的IP数据的报前后分别添加若干控制信息,再加上新的IP首部
添加的首部都没有加密,而数据部分进行了加密的
安全关联AS
概念:即在源实体和目的实体之间建立一条网络层的逻辑连接
属性:单向连接
维持这条AS的项目
安全参数索引SPI
源实体与目的实体地址
密钥:加密密钥、鉴别密钥
类型:使用加密方式、鉴别方式
IP安全数据报的格式
见原书,比较复杂
7.6.2 运输层安全协议
目的:为基于TCP的网络应用如HTTP提供安全保障
广泛使用的两个运输层安全协议
安全套接字层SSL
运输层安全TLS
TLS是在SSL的基础上设计的,SSL是增强TCP连接的服务,更加安全
SSL实际上被应用层协议驻留在应用层了
提供的安全服务
1、SSL服务器鉴别
2、客户端鉴别
3、加密双方的通话
7.6.3 应用层安全协议
具体和软件有关,举例:讲述电子邮件的安全协议
电子邮件的通信安全的特点
1、电子邮件是即时的行为
2、电子邮件不需要建立会话,因为这是单向传送一个邮件,不是进行双方通信
由于特点所带来的问题
1、即时的行为下,双方如何确定加密算法的一致了
2、不建立会话时,就不存在协商的可能,那么接收方如何确定发送方的加密算法、密钥
为电子邮件提供安全服务的协议PGP
7.7 系统防火墙:防火墙与入侵检测
7.7.1 防火墙
防线
第一道防线:防火墙
一种访问控制技术,严格控制网络边界进出的分组,禁止任何不必要的通信,从而减少潜在入侵的发生
第二道防线;入侵检测系统IDS
将通过防火墙的分组进行深度分析与检测是否有入侵行为
防火墙的实际载体
一个特殊编程的路由器,放置在内部网络和连接外网的接口处,目的是实施访问控制策略
防火墙的技术使用
1、分组过滤路由器
2、应用网关
7.7.2 入侵检测系统
