网络安全技术
网络安全概述
1 基本概念
网络安全通信所需要的基本属性:
1 机密性
2 信息的完整性
3 可访问与可用性
4 身份认证
2 网络安全威胁
1 窃听
2 插入
3 假冒
4 劫持
5 拒绝服务DOS(让你的系统无法提供服务)和分布式拒绝服务DDOS
6 映射
7 嗅探
8 IP欺骗
数据加密
明文:没有加密的信息 密文:被加密的信息 加密:伪装消息让消息隐藏的过程,就是明文转换为密文的过程 解密:将密文转换为明文的过程 密钥:加密或者解密所需要的参数,称为密钥
传统的加密方式:
1 替代密码:用密文文字代替明文文字
2 换位密码:根据一定的规则重新排列明文
对称密码密钥
对称密钥密码:加密和解密的密钥相同
非对称密钥密码:加密和解密的密钥不相同
对称密钥密码分类:
1 分组密钥: DES ,AES,IDEA
2 流密码
DES: 56位的密钥(就是2的56次方),64位分组(数据长度到达64位之后分为一组,进行加密)
三重DES:使用2个密钥(112位),执行3次DES算法(现有第一个密钥进行加密,然后用第2个密钥进行解密,最后在用第一个
密钥进行加密)
AES:分组128位,密钥有3种; 128位,192位,256位的
IDEA:分组位64位 密钥128位(普遍使用的是这种)
消息完整性与数字签名
1 消息完整性的检测方法
使用密码散列函数
特点: 1 定长输出(不管你的数据多大,都会输出一个固定的数值)
2 单向性(无法根据散列数字逆推报文)
3 抗碰撞性(无法找到具有相同散列值的2个报文)
典型的散列函数 :
MD5:128位散列值
SHA-1:160散列值
2 报文认证
使消息的接收者能检测到消息是否是真实的,认证方法,来源真实而且数据没有被你篡改
1 报文摘要(数字指纹:任何长度的报文,通过计算以后算出的一个长度较小,且固定的值称为数字指纹)
2 报文认证的方法:
1 简单报文验证: 仅仅使用报文摘要,可以检测信息是否完整,无法验证来源的真实性
2 报文认证码:使用共识的认证码,但是无法防止接收方修改
3 数字签名:
特点:可以实现身份认证,数据的完整性,不可否认性
实现过程: 发起发将报文,使用自己的私钥对报文进行一个加密,获得加密的报文,然后
将要发送的报文,和加密的报文一同发送到接收端,接收端收到以后,
首先对报文进行一个散列函数得出的值,和使用发送方的公钥(公钥是可以公开的)
对报文进行一个解密,解密出来以后在进行一个散列函数求值,如果2个值相同,
证明这个数据是没有发生篡改,并且确定是由发起方
发送的,因为发起方的私钥加密只有它自己知道,
而这个公钥只能解这个私钥加密的文件,如果发送篡改,
别人的私钥加密的文件,发送方的公钥解不开,这样就能实现身份认证和不可否认性
防火墙与入侵检测系统
1 防火墙
能够隔离组织内部网络与公共互联网,允许某些分组通过,而组织其它分组进入或离开内部网络的软件,硬件或者
软硬结合的一种设施
前提: 从外部到内部和从内部到外部的所有流量都必须经过防火墙
分类:
1 无状态分组过滤器 :
基于特定的规则对分组时通过还是丢弃做一个决策,使用访问控制列表(ACL:一种通过IP
地址或者端口进行过滤)来实现防火墙的规则
2 有状态分组过滤器:
监听每个TCP连接的建立,拆除,根据状态确定是否允许分组通过
3 应用网关:
鉴别用户的身份,对授权的用户提供开放特权的服务
2 入侵检测系统(IDS)
当观察到潜在恶意流量时,能够产生警告的设备和系统
