网络安全
加密——保证内容的私密性
被别人侦听/捕获(会被删除/增加/修改)
镜像 采集
网络安全
拒绝服务
为什么强制改密码
非对称密钥体系(公钥/私钥)
RSA算法
冒用身份
(没有另外的渠道证明它的身份)
附上IP地址
冒用IP地址(假如已经知道)
附上口令
中间人
数字签名
打入数字签名提供数字验证
生成摘要文件MD5
MD5的作用是让大容量信息在用数字签名软件签署私人密钥前被"压缩"成一种保密的格式(就是把一个任意长度的字节串变换成一定长的十六进制数字串)。除了MD5以外,其中比较有名的还有sha-1、RIPEMD以及Haval等。
注册
身份绑定公钥
手机实名制
找CA确定公钥是谁的
公证机构查询
用认证机构的私钥加密(要用认证机构公钥解密)
证书:经过认证机构加密的公钥
通过B的证书得到B的公钥
用B的公钥对A的私钥进行加密
先解密A的私钥,然后再用该私钥解密
问题:在这个过程中,m用对称密钥进行加密,又用B的公钥加密
为什么不直接用KB+进行加密
怎样保证完整性和身份认证
128bit以上
哈希函数 多->一
但有可能不同输入对应同一输出
不同输入导致不同输出的概率几乎为0
能够用公钥验证其来源
安全套接字
回想一下传输层的内容
应用层的数据会直接传输给传输层的套接字
直接调用接口API
传输层收到数据之后加上报头来指定位置
应用程序不用改
达到的效果:
1.能够实现发送端和接收端的私密性
安全套接字层进行加密/解密
钓鱼网站
ICBC 工业银行
SSL建立过程
握手:交换证书
各自在本地生成各自的密钥
客户端
加密的密文里加入一个序号,密文块是第几个被加密的
截断攻击
冒充 TCP中断
核心问题:四次握手是明文的
任何监听者都可以发送信息
交互 证书 主密钥
type=0 代表是数据
type=1 代表希望分手
怎样协商加密的协议
客户端和服务器端协商加密的算法
重放攻击
时间戳
为什么不是所有握手之后再做哈希呢
生成密钥
密钥越多越安全
VPN
不会泄露企业资源
发送之前做加密
安全关联
建立VPN的过程需要很多信息
加密和解密
隧道模式,主机模式
SAD
IPsec datagram~~What happens?
SPI安全解密索引号是明文的(没有加密)
WEP design goals
无线信号没有约束在一条信道中而是扩散
单独加密
WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。
不过密码分析学家已经找出 WEP 好几个弱点,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 标准(又称为 WPA2)所取代。WEP 虽然有些弱点,但也足以吓阻非专业人士的窥探了。
初步了解
防火墙
企业网络里头第一道安全屏障
僵尸主机,肉机
拒绝服务攻击(软件漏洞)
最简单的拒绝服务攻击:剪网线
防火墙配置
网管
先后次序上很有讲究
通信状态
分组的上下文
入侵检测系统(可以有多个)
极端:每个主机都有