《网络安全与病毒防范》第3章 网络安全技术基础
概要:
数据加密技术
身份认证技术
包过滤技术
资源授权技术
内容安全(防病毒)技术
1、计算机网络基础知识
OSI七层各功能:
应用层:与用户应用的接口
表示层:数据格式的转换
会话层:会话管理与数据同步
传输层:端到端的可靠传输
网络层:分组传送、路由选择、流量控制
数据链路层:相邻节点间无差错地传送帧
物理层:在物理媒体上透明传送位流
TCP/IP协议栈:应用层、传输层、互联层、网络接口层。
TCP/IP协议簇:TCP、IP、UDP、ICMP、ARP、RARP。
TCP/IP协议簇(应用层):HTTP、FTP、SMTP、DNS、SNMP、Telnet、POP3。
局域网(LAN)常见设备:PCMCIA网卡、网卡(NIC)、集线器(HUB)、交换机(Switch)。
广域网(WAN)常见设备:ADSL路由器、ISDN适配器、Cable Modem。
广域网(WAN)连接方式主要有:
租用专线(Leased Line)、
帧中继技术(Frame Relay)、
电话拨号接入技术(Dial Up)、
ISDN拨号接入技术(ISDN)、
虚拟专用网技术(VPN)。
常见的Internet服务:电子邮件、文件传输、Telnet、WWW服务、Usenet新闻、域名服务、网络管理服务、网络文件服务、网络文件系统、拨号访问服务。
2、数据加密技术
加密系统至少包括四部分:明文、密文、加解密设备或算法、加解密的密钥。
数据加密模型五要素:明文(Plaintext)、密文(Ciphertext)、密钥(Key)、加密(Encryption)、解密(Decryption)。
密码的分类
按密钥方式划分:对称式密码、非对称式密码。
按每次加密处理的比特分:序列密码(每次只加密一个比特)、分组密码(每次处理一个组)。
密码加密技术的应用:数据保密、身份验证、保存数据完整性、确认事件的发生。
对称密钥加密(保密密钥法):收发双方使用相同的密钥,即加解密密钥是相同或等价的。
对称密钥技术典型的加密算法:DES、RC2、RC4、3DES。
保密密码的优缺点:算法效率高,有很强的保密强度,且能经受住时间的检验。但其密钥必须通过安全的途径传送。
非对称密钥加密(公开密钥加密):收发双方使用不同密钥,且加密密钥不能推导出解密密钥。
著名的公钥密码算法:RSA、背包密码、McEliece密码、Differ-Hellman、Rabin、Ong、Fiat、Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等。
公钥密码的优缺点:适应网络开放性要求,密钥管理简单,方便实现数字签名和验证。但算法复杂,效率较低。
可将DES算法同RSA算法进行结合。用DES对信息进行加密,提高加密效率;用RSA对密钥进行加密,适应Internet的应用要求。
混合加密系统:
将常规密码和公钥密码结合一起使用,比如,利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。既能安全地交换对称密钥,又能克服非对称加密算法效率低的缺陷(只加密那么点密钥)。
哈希(hash)算法:可以提供数据完整性方面的判断依据。输出一个固定长度的数字,称为标记。
哈希算法具备三个特性:
a.不能以输出推导输入。
b.不能认为控制输入和输出的对应关系(必须用hash)。
c.找到同样标记(一个输出)的信息(不同输入)在计算方面是行不通的。(自:实际是有的)
常用的hash算法:MD5,SHA-1。
hash算法与加密算法共同使用,加强数据通信的安全性。
应用:数字签名、数字证书、网上交易(SSL)、终端的安全连接、安全的电子邮件系统(PGP算法)等。
数字签名:通过某种加密算法,在一条地址消息的尾部添加一个字符串,而收信人据此字符串验明发信人的身份,并可进行数据完整性检查。(自:不包括保密性)
原理:
发送方:明文--hash-->报文摘要--加密--加密的报文摘要,与明文一起传送-->收方。(不同明文对应不同报文摘要)
接收方:收到的明文--hash--报文摘要a;收到的加密的报文摘要--解密--报文摘要b。将两者比较,不一致表明明文已经被篡改。
自:为什么要将报文摘要加密?这样的话就是将“明文+没加密的摘要”发送出去。如果篡改的人知道了使用的hash函数是哪个,改了明文,跟着也改了摘要,收方觉得明文是对应摘要啊,但被改了却不知道呢。所以,要结合加密算法使用。
自:为什么要用hash?直接用加密算法全加密明文不行吗?不行,明文太大,而且明文无需保密,只要保证不被改即可。
数字签名的作用:
唯一地确定签名人的身份。
对签名后信件的内容是否又发生变化进行验证。
发信人无法对信件的内容进行抵赖。(自:被摘要的明文包括ip地址?或者data有涉及身份?)
认证中心(CA)简介:电子商务交易中受信任的第三方。解决公钥体系中公钥的合法性问题。发放和管理数字证书。
数字证书的作用:证明证书中列出的用户名称与证书中列出的公开密钥相对应。
CA中心的数字签名使得攻击者不能伪造和篡改数字证书。
CA的功能:证书发放、证书更新、证书撤销、证书验证。
CA的组成:注册服务器、证书申请受理和审核机构、认证中心服务器。
数字证书:电子身份证。用来强力验证某用户或系统的身份及其公开密钥。
数字证书常见内容:证书持有者的公开密钥、证书持有者的姓名、证书颁发者的名称、证书的序列号、证书颁发者的数字签名、证书的有效期。
数据传输的加密,三个层次实现:链路加密、节点加密、端到端加密。
常用加密协议:
SSL协议:安全套接层协议。传输层和应用层之间。提供加密通信、服务器(或客户端)身份鉴别、信息完整性检查等。
SSL协议分两部分:handshake protocol和record protocol。
协商密钥的过程:A是SSL客户端,B是SSL服务器端。
A:我想和你安全通话,我这的对称加密算法有DES和RC5,密钥交换算法有RSA和DH,摘要算法有MD5和SHA。
B:我们用DES-RSA-SHA这对组合好了。这是我的证书,有我的名字和公钥,你拿去验证好了。
A:(通过手头已有的CA证书验证B的证书,保证B的公钥真实性。产生一份“秘密消息”并用B的公钥加密后发给B)。
B:(用自己的私钥将“秘密消息”解密出来后将其处理,生成加密密钥。这时双方已安全协商出一套加密办法了)。
A:我的秘密是……
B:其他人不会听到的……
【自:一看到加密算法就知是对称密钥算法】
TSL协议:传输层安全协议。对SSL3.0协议的进一步发展。
IPSec协议(VPN加密标准):试图通过对IP数据包进行加密。
IPsec协议有两种模式:
透明模式:把IPSec协议施加到IP数据包上,但不改变数据包原来的数据头。
信道模式:把数据包的一切内容都加密(包括数据头),然后再加上一个新的数据头。
3、身份鉴别技术
常用的身份鉴别技术:
基于用户名和密码的身份鉴别:口令以明码方式在网络上传播有很大风险。应该建立在安全的密码系统上。
基于对称密钥体制的身份鉴别技术。
基于KDC的身份鉴别技术。
基于非对称密钥密码体制的身份鉴别技术。
基于证书的身份鉴别技术。