当前位置:   article > 正文

网络安全_用户a有100mb数据,通过网络发送给用户b,期望不被攻击者窃取其中内容

用户a有100mb数据,通过网络发送给用户b,期望不被攻击者窃取其中内容

计算机网络面临的四大威胁:截获(被动攻击)、中断(主动攻击)、篡改(主动攻击)、伪造(主动攻击)

被动攻击是只是观察分析某个PDU(协议数据单元),而不干扰,又叫流量分析

主动攻击是对PDU做处理,又分为三种 {

更改报文流

拒绝服务:向服务器发送大量分组,使服务器没办法正常工作,占用服务器资源,又叫拒绝服务DoS,如果多个网站集中攻击一个网站,叫做分布式拒绝服务DDoS

伪造连接初始化:重放以前记录的合法的连接初始化序列,或者伪造来企图链接

计算机网络安全:保密性:保密通信、登陆口令设计、安全通信协议设计、数字签名设计等

访问控制:又叫存取控制或者是接入控制,对接入的网络权限个用户接入权限加以控制


密码体制

对称密钥密码体制(加密密钥和解密密钥是相同的密钥体制)

要使加解密双方采用相同的密钥要事先约定密钥,或者是信使传递,或使用密钥分配中心KDC

1.DES(数据加密标准),是一种分组密码

在加密前是对明文进行分组,每组是64位长的的二进制数,分别对每个组进行加密,得到64位密文,然后再将密文串接起来得到整个密文,使用的密钥是64位,实际上是56位,有8位的奇偶校验

安全性取决于密钥,算法是公开的,一共有2的56次方中密钥

IDEA(国际数据加密算法)采用的是128位密钥

AES(高级加密标准)速度快,安全级别高

使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据

RC5(分组加密算法)参数可变,三个可变的参数是:分组大小、密钥大小和加密轮数,通过异或、加、循环操作加密

公钥密码体制(加密密钥和解密密钥不是相同的密钥体制)

1.RSA,基于大数分解,比DES慢

加密体制中加密密钥PK就是公钥是公开的,解密密钥SK就是私钥是保密的,加解密算法是公开的,只需要对私钥保密,已知PK不能推出SK

加密算法的安全性取决于密钥的长度以及破解密文所需要的计算量

DSA(数字签名算法),是一种标准的DSS(数字签名标准)

ECC(椭圆曲线密码编码学)


数字签名

对纯数字的电子信息进行签名,表示信息是特定某个人产生的

数字签名:报文鉴别、报文完整没有被修改、不能抵赖对报文签名

签名过程:A用私钥对明文进行D运算(进行签名,不是解密运算,D 运算本身是得到某种不可读的密文)然后传递,在用A的私钥进行核实签名,最终B得到明文。因为A有别人没有的私钥,所以B得到的明文就A签名后的,如果别人对明文进行修改,但是没有A的私钥,就不能进行签名,B得到的就是不可读明文,这样就确定被修改过,这样只是进行签名,还是很容易获得内容的,最好是签名和加密都有


鉴别

鉴别验证要通信的对象正确不是冒充者

1.报文鉴别:鉴别报文真伪

报文摘要MD:A将报文X经过报文摘要算法得到摘要H,并且对H进行签名,连通X一块传给B,B先核实签名得到摘要H,在最传过来的X进行摘要算法看是否和核实签名得到的一样,一致的话就是正确的、

报文摘要算法是散列算法,又叫密码编码的检验和,是一种单向函数,也就是说加密是不可逆的,加密完是不用解密的,反正也得不到

MD5就是报文摘要算法,码长是128位,用512位数据块运算得到

SHA(安全散列算法)也是不可逆的,码长是160位,用512位数据块复杂运算得到

2.实体鉴别

报文鉴别是对每一个收到的报文都要进行一遍鉴别

实体鉴别是在持续时间内对和自己通信的对象值鉴别一次,鉴别是这个对象就好,对于内容就不鉴定了

如果C截获A发给B的报文,在发给B,这样B就以为C就是A,那么B就会把原本发给A的发给C,这就是重放攻击,或者第C截获A说的IP 地址冒充A的IP地址进行IP欺骗

对于重放攻击可以使用不重数(不重复使用的大随机数),一次一数,AB之间不同会话必须使用不同的不重数


密钥分配


安全协议

1.网络层安全协议

因特网网络层安全系列是RFC,最重要的是描述IP安全体系结构的是RFC2401和提供IPsec(IP安全协议)协议族的RFC2411

IPsec中最重要的是鉴别首部协议AH和封装安全有效载荷ESP协议,AH提供源点鉴别和数据的完整性,但是不能保密,ESP提供源点鉴别和数据的完整性,能保密

IPsec支持IPV4和IPV6

IPsec把传统因特网无连接的网络层转化为具有逻辑连接的层

网络层保密指的是所有在IP数据报中的数据都是加密的


2.运输层安全协议

运输层使用的第SSL(安全套接层协议),是保护万维网的HTTP通信的标准

除此之外还有就是TLS(运输层安全协议)

SSL是对client和server之间的传送数据进行加密和鉴别,是在握手阶段进行的

SSL功能 { 1.SSL服务器鉴别

2.加密的SSL会话

3.SSL客户鉴别

}


3.应用层安全协议

PGP协议:电子邮件软件安全包,包括加密、鉴别、电子签名、压缩

PEM协议:因特网的邮件加密建议标准


链路加密

每条通信链路上加密是独立的 ,通常采用不同的加密密钥,某条线路破坏不导致其他线路的信心析出,PDU的协议控制信息和数据都被加密,掩盖了源点和终点的地址,防止各种形式的流量分析,也不会减少有效带宽,只要求相邻节点是相同的密钥就行,链路加密对用户来说是透明的,


端对端加密

在源点和终点对PDU进行加密解密,在传输层及以上层实现,如果在传输层实现,安全措施对用户是透明的,但容易遭到攻击,在应用层实现,用户可以自定义选择,适用于互联网环境和广播网

端对端加密,PDU控制信息部分不能被加密,容易受到流量分析的攻击
一般而言采用的是用链路加密对PDU的目的地址加密,端对端加密是对数据进行保护


防火墙
防火墙是特殊编程的路由器,实施访问控制策略
网络级防火墙:防止整个网站出现外来入侵,例如分组过滤和授权服务器
应用级防火墙:从应用程序来控制访问,例如应用网关和代理服务器


常见的安全问题:
1.ARP(地址解析协议,将网络层地址解析为数据链路层物理地址)欺骗:由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通
2.交换机攻击:VALN跳跃攻击,依靠动态中继协议DTP,从一个VALN跳转到另一个VLAN
生成树攻击,生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。

3.ARP攻击

4.VTP攻击

声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
  

闽ICP备14008679号