文章目錄

• 一、四種網(wǎng)絡(luò)攻擊 ★
• 二、網(wǎng)絡(luò)安區(qū)指標(biāo) ★
• 三、數(shù)據(jù)加密模型 ★
• 四、對(duì)稱密鑰密碼體質(zhì) ★
• 五、公鑰密碼體質(zhì) ★
• 六、數(shù)字簽名 ★
• 七、報(bào)文鑒別 ★
• 八、實(shí)體鑒別 ★
• 九、IP 安全 ( 網(wǎng)絡(luò)層安全 ) ★
• 十、傳輸層安全 ( SSL , TSL , HTTPS ) ★
• 十一、防火墻 ★

一、四種網(wǎng)絡(luò)攻擊 ★

---

1 . 四種網(wǎng)絡(luò)攻擊 :

① 截獲 : 竊聽 其它的 通信內(nèi)容 , 不影響網(wǎng)絡(luò)通信 ;

② 中斷 : 中斷 他人 的網(wǎng)絡(luò)通信 ;

③ 篡改 : 篡改 網(wǎng)絡(luò)上傳輸?shù)?報(bào)文 , 分組 信息 ;

④ 偽造 : 偽造 虛假 報(bào)文 信息 , 在網(wǎng)絡(luò)中傳遞 ;

2 . 攻擊類型 :

① 被動(dòng)攻擊 : 截獲 ;

• 目的 : 竊聽他人通信內(nèi)容 ;
• 操作 : 攻擊者 只 觀察 , 分析 某一協(xié)議對(duì)應(yīng)的協(xié)議數(shù)據(jù)單元 PDU , 竊取其中的數(shù)據(jù)信息 , 但不干擾信息傳輸 ;
• 別名 : 又稱為 流量分析 ;

② 主動(dòng)攻擊 : 中斷 , 篡改 , 偽造

• 篡改 : 修改網(wǎng)絡(luò)上的報(bào)文信息 , 又稱為 更改 報(bào)文流 ;
• 惡意程序 : 病毒 , 蠕蟲 , 木馬 , 邏輯炸彈 等 ;
• 拒絕服務(wù)攻擊 : 攻擊者 向 某服務(wù)器 不停地發(fā)送大量分組 , 使服務(wù)器無(wú)法正常運(yùn)行 ;

3 . 檢測(cè)攻擊 :

• 主動(dòng)攻擊檢測(cè) : 采取適當(dāng)?shù)拇胧?, 檢測(cè)主動(dòng)攻擊 ;
• 被動(dòng)攻擊檢測(cè) : 無(wú)法檢測(cè) ;

4 . 惡意程序 :

① 病毒 : 可以傳染其它程序 , 通過將自身 ( 病毒 ) 復(fù)制到其它程序中 , 破壞目標(biāo)程序 ;

② 蠕蟲 : 通過網(wǎng)絡(luò)將自身發(fā)送給其它計(jì)算機(jī) , 并在其它計(jì)算機(jī)中運(yùn)行 ; 蠕蟲主要以消耗系統(tǒng)資源為主 , 啟動(dòng)后開始占用 CPU , 內(nèi)存 , 直至完全占滿 , 導(dǎo)致設(shè)備宕機(jī) ;

③ 木馬 : 主要是與外部溝通 ; 盜號(hào)木馬 , 遠(yuǎn)程控制木馬 , 功能強(qiáng)大 ;

④ 邏輯炸彈 : 當(dāng)運(yùn)行環(huán)境滿足某種特定條件 , 啟動(dòng)執(zhí)行的程序 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 計(jì)算機(jī)網(wǎng)絡(luò)安全威脅 ( 四種網(wǎng)絡(luò)攻擊類型 | 主動(dòng)攻擊與被動(dòng)攻擊 | 分布式拒絕服務(wù)攻擊 DDos | 惡意程序 | 計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo))

二、網(wǎng)絡(luò)安區(qū)指標(biāo) ★

---

安全的計(jì)算機(jī)網(wǎng)絡(luò)指標(biāo) :

• 保密性
• 端點(diǎn)鑒別
• 信息完整性
• 運(yùn)行安全性

1 . 保密性 :

① 數(shù)據(jù)加密 : 數(shù)據(jù)信息是加密的 , 只有 發(fā)送方 和 接收方 才能解碼出其中的數(shù)據(jù) ;

② 對(duì)應(yīng)攻擊 : 加密 是 針對(duì)被動(dòng)攻擊的 , 是網(wǎng)絡(luò)安全最基本的功能 ;

③ 密碼技術(shù) : 使用各種密碼技術(shù) , 保證數(shù)據(jù)安全性 ;

2 . 端點(diǎn)鑒別 : 使用 數(shù)字簽名技術(shù) 鑒別 數(shù)據(jù)通信中的 發(fā)送方 和 接收方 的真實(shí)身份 , 防止數(shù)據(jù)被 中斷 , 偽造 ;

3 . 信息完整性 :

① 篡改 : 數(shù)據(jù)內(nèi)容沒有被 篡改 ;

② 應(yīng)對(duì)攻擊 : 應(yīng)對(duì) 主動(dòng)攻擊方式 ;

③ 鑒別 : 鑒別包含 端點(diǎn)鑒別 和 報(bào)文完整性檢查 , 二者是密切相關(guān)的 ;

4 . 運(yùn)行安全性 :

① 正常運(yùn)行 : 網(wǎng)絡(luò)系統(tǒng)可以 正常運(yùn)行 , 并提供通信服務(wù) ;

② 訪問控制 : 對(duì)系統(tǒng)安全性很重要 , 主要是 控制每個(gè)用戶訪問網(wǎng)絡(luò)的權(quán)限 ,

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 安全的計(jì)算機(jī)網(wǎng)絡(luò)指標(biāo) ( 保密性 | 端點(diǎn)鑒別 | 信息完整性 | 運(yùn)行安全性 )

三、數(shù)據(jù)加密模型 ★

---

數(shù)據(jù)加密模型 :

① 發(fā)送明文 : 用戶 A 向 用戶 B 發(fā)送 明文 X ;

② 加密 : 通過 加密算法 對(duì) 明文 X 進(jìn)行 E 運(yùn)算加密算法 , 進(jìn)行加密 , 得到 密文 Y , 這個(gè) 密文 Y 是加密的數(shù)據(jù) ;

③ 防止截獲 : 密文 Y 即使被截獲 , 也無(wú)法獲取到真實(shí)信息 , 即 明文 X ;

④ 解密 : 密文 Y 在接收端 , 經(jīng)過 D 運(yùn)算 解密算法 , 進(jìn)行解密 , 得到 明文 X ;

密鑰 :

① 密鑰本質(zhì) : 加密 和 解密 使用的 密鑰 , 是 一串 保密的 字符串 ;

② 加密 : 明文 通過 加密算法 和 加密密鑰 , 可以計(jì)算出 對(duì)應(yīng) 密文 ;

③ 解密 : 密文 通過 解密算法 和 解密密鑰 , 可以計(jì)算出 對(duì)應(yīng) 明文 ;

④ 密鑰提供者 : 加密密鑰 和 解密密鑰 是 密鑰中心 提供的 ;

⑤ 密鑰特點(diǎn) : 加密密鑰 與 解密密鑰 , 可以是相同的 , 也可以是不同的 ;

⑥ 密鑰傳輸 : 傳輸 密鑰 時(shí) , 必須通過 安全信道 傳輸 ;

密碼安全 :

① 無(wú)條件安全 : 無(wú)論有多少密文 , 都 無(wú)法獲取足夠多的信息破解出明文 , 則稱該密碼體質(zhì) 是 無(wú)條件安全的 , 理論上不可破的 ;

② 計(jì)算安全 : 密碼 不能被 可以實(shí)現(xiàn)的計(jì)算資源破譯 , 則稱該密碼體質(zhì)是 計(jì)算上安全的 ; 如 破解需要計(jì)算 100 年 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 數(shù)據(jù)加密模型 ( 加密模型 | 密鑰 | 密碼學(xué) | 密碼安全 )

四、對(duì)稱密鑰密碼體質(zhì) ★

---

1 . 對(duì)稱密鑰密碼體質(zhì) : 又稱為 常規(guī)密鑰密碼體質(zhì) , 加密密鑰 與 解密密鑰 是相同的 ;

2 . 數(shù)據(jù)加密標(biāo)準(zhǔn) DES :

① 性質(zhì) : 數(shù)據(jù)加密標(biāo)準(zhǔn) DES 是 對(duì)稱密鑰密碼體質(zhì) , 是 分組密碼 ;

② 密鑰 : 64 位 , 其中 實(shí)際密鑰 56 位 , 奇偶校驗(yàn)位 8 位 ;

3 . DES 加密過程 :

① 分組 : 加密前 先將明文 按照 每組 64 位 進(jìn)行分組 ;

② 分組加密 : 然后 對(duì) 每個(gè)分組 進(jìn)行 加密處理 , 產(chǎn)生 64 位密文數(shù)據(jù) 分組 ;

③ 拼接密文 : 將所有的 密文分組 串聯(lián)起來(lái) , 就是整個(gè)密文分組 ;

每個(gè) 64 位 數(shù)據(jù)分組加密過程 :

① 初始變換 : 首先先進(jìn)行 初始變換 ;

② 迭代計(jì)算 : 然后經(jīng)過 16 輪次的迭代計(jì)算 , 每次迭代計(jì)算引入一個(gè)密鑰 ;

③ 32 位變換 : 之后進(jìn)行 32 位變換 ;

④ 初始變換逆運(yùn)算 : 最后進(jìn)行 初始變換 的逆運(yùn)算 , 得到 64 位 密文 ;

4 . DES 保密性 :

① 密鑰保密 : DES 算法是公開的 , 其密鑰越保密 , 保密程度越高 ;

② 問題 : DES 密鑰長(zhǎng)度太短 ; 目前已經(jīng)有 DES 密鑰搜索芯片 , 可以輕松破解 56 位密鑰 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 對(duì)稱密鑰密碼體質(zhì) ( 數(shù)據(jù)加密標(biāo)準(zhǔn) DES | DES 加密過程 | DES 保密性 | 三重 DES 加密 )

五、公鑰密碼體質(zhì) ★

---

1 . 公鑰密碼體質(zhì) ( 公開密鑰密碼體質(zhì) ) :

① 本質(zhì) :加密密鑰 與 解密密鑰 是不同的密鑰 ;

② 前提 : 已知 加密密鑰 , 無(wú)法計(jì)算出 解密密鑰 ;

③ 公鑰密碼體質(zhì) 產(chǎn)生原因 :

• 常規(guī)密鑰密碼體質(zhì) 密鑰分配 有問題 ;
• 數(shù)字簽名 需求 ;

2 . 公鑰密碼體質(zhì) 中的 加密密鑰 與 解密密鑰 :

① 加密密鑰 : 公鑰 , 是對(duì)外公開的 ;

② 解密密鑰 : 私鑰 , 是保密的 ;

③ 算法 : 加密算法 和 解密算法 都是 公開 的 ;

④ 密鑰計(jì)算 : 公鑰 決定 私鑰 , 但是 根據(jù) 公鑰 無(wú)法計(jì)算出 私鑰 ;

3 . 公鑰密碼體質(zhì) 與 對(duì)稱密碼體質(zhì)對(duì)比 :

① 安全性 : 密碼的安全性取決于 密鑰長(zhǎng)度 , 以及 破解密文的計(jì)算量 ; 二者安全性相同 ;

② 開銷 : 公鑰加密 其開銷 大于 對(duì)稱加密 , 傳統(tǒng)的對(duì)稱加密算法 還是需要繼續(xù)使用 ;

③ 密鑰分配協(xié)議 : 公鑰密碼體質(zhì) 需要 密鑰分配協(xié)議 , 其密鑰分配過程 , 不比傳統(tǒng)加密算法簡(jiǎn)單 ;

④ 通道性質(zhì) : 一對(duì)一 / 多對(duì)一 , 雙向 / 單向 ;

• 對(duì)稱密鑰體質(zhì) : 只能實(shí)現(xiàn) 信道上 一對(duì)一的雙向保密通信 , 發(fā)送方和接收方 使用相同的密鑰加密 和 解密 ;
• 公鑰密碼體質(zhì) : 可以實(shí)現(xiàn) 信道上 多對(duì)一的單向保密通道 ;

4 . 公鑰密碼體質(zhì)算法特點(diǎn) :

① 密鑰對(duì)產(chǎn)生器 : 針對(duì)某個(gè)接收者 , 該 密鑰對(duì)產(chǎn)生器 會(huì) 產(chǎn)生一對(duì)密鑰 , 分別是 加密密鑰 ( 公鑰 ) 和 解密密鑰 ( 私鑰 ) ;

② 加密密鑰 : 公鑰 , 對(duì)外公開 , 用于 加密 ; 其不能用于解密 ;

③ 解密密鑰 : 私鑰 , 對(duì)外保密 , 用于解密 ;

④ 使用過程 : 發(fā)送者 使用 公鑰 將 明文 加密成 密文 , 接收者 使用 私鑰 將 密文 解密成 明文 ;

⑤ 加密 與 解密 互逆 :

• 原文已知 , 先用公鑰加密 , 然后用私鑰解密 , 可以得到原文 ;
• 原文已知 , 先用私鑰解密 , 然后用公鑰加密 , 可以得到原文 ;

5 . 公鑰密碼體質(zhì) 與 數(shù)字簽名 :

• 公鑰密碼體質(zhì) : 使用 公開密鑰加密 , 私有密鑰 解密 , 是公鑰密碼體質(zhì) ;
• 數(shù)字簽名 : 使用 私有密鑰加密 , 公開密鑰 解密 , 是數(shù)字簽名方法 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 公鑰密碼體質(zhì) ( 公鑰 - 加密密鑰 | 私鑰 - 解密密鑰 | 與對(duì)稱密鑰體質(zhì)對(duì)比 | 特點(diǎn) | 數(shù)字簽名引入 )

六、數(shù)字簽名 ★

---

1 . 數(shù)字簽名 : 證明 數(shù)據(jù) 或 身份的 真實(shí)性 ; 需要有以下功能 :

① 報(bào)文鑒別 : 用于 證明來(lái)源 , 接收者 可以 通過簽名 確定 是哪個(gè)發(fā)送者 進(jìn)行的簽名 ;

② 防止抵賴 : 防止 發(fā)送者 否認(rèn)簽名 , 發(fā)送者 一旦簽名 , 標(biāo)記就打上了 , 無(wú)法抵賴 ;

③ 防止偽造 : 防止 接收者 偽造 發(fā)送者 的簽名 ;

2 . 數(shù)字簽名實(shí)現(xiàn)方式 : 數(shù)字簽名算法很多 , 公鑰算法 是最簡(jiǎn)單的算法 , 即 發(fā)送者 使用 私鑰加密數(shù)據(jù) , 接收者 使用 對(duì)應(yīng)的公鑰 解密數(shù)據(jù) ;

( 接收者 持有著大量公鑰 )

3 . 數(shù)字簽名 功能 : 以 發(fā)送者 使用 私鑰 加密密文 , 接收者 使用 公鑰 解密密文 為例 ;

① 報(bào)文鑒別 : 發(fā)送者 持有 私鑰 , 使用該私鑰 加密密文 , 除了該 發(fā)送者之外 , 其它人無(wú)法產(chǎn)生該密文 , 接收者 使用 公鑰解密出正確的信息 , 因此 接收者 相信 該密文 是發(fā)送者 使用私鑰加密 并 發(fā)出的 ;

② 防止抵賴 : 如果發(fā)送者 抵賴 , 接收者可以將 密文 , 公鑰 , 明文 , 提供給第三方進(jìn)行驗(yàn)證 , 將密文通過公鑰解密成明文 , 就能證明該密文是指定的發(fā)送者發(fā)送的 ;

③ 防止偽造 : 接收者 偽造了 密文 , 如果 接收者 將 偽造的 密文 , 公鑰 , 明文 , 提供給第三方 , 使用 公鑰 , 無(wú)法將密文解密成明文 , 證明該簽名是偽造的 ;

4 . 數(shù)字簽名弊端 :

① 數(shù)據(jù)竊取 : $A$ 的公鑰可能有很多人持有 , 如果一個(gè)持有 $A$ 公鑰的一方截獲了上述簽名數(shù)據(jù) , 就會(huì)被竊取數(shù)據(jù) ;

② 解決方案 簽名 + 公鑰加密 : 在 $A$ 數(shù)字簽名基礎(chǔ)上 , 再進(jìn)行公鑰加密 , 就將數(shù)據(jù)保密了 , 只有對(duì)應(yīng)私鑰才能對(duì)其進(jìn)行解密 ;

保密數(shù)字簽名實(shí)現(xiàn)方式 :

① 加密 : 發(fā)送者 $A$ 使用 $A$ 的私鑰 $S{K}_A$ ( Secret Key A ) 加密數(shù)據(jù) , 然后在 使用 接收者 $B$ 的公鑰 $P{K}_B$ ( Public Key B ) 加密數(shù)據(jù) ;

② 解密 : 接收者 $B$ 使用 $B$ 的私鑰 $S{K}_B$ ( Secret Key B ) 解密數(shù)據(jù) , 然后再 使用 發(fā)送者 $A$ 的公鑰 $P{K}_A$ 解密數(shù)據(jù) , 最終得到明文 ;

保密數(shù)字簽名實(shí)現(xiàn)方式優(yōu)勢(shì) : 接收者 $B$ 既可以識(shí)別 發(fā)送者 $A$ 的身份 , 又能保證數(shù)據(jù)不會(huì)被截獲 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 數(shù)字簽名 ( 數(shù)字簽名簡(jiǎn)介 | 數(shù)字簽名實(shí)現(xiàn) | 數(shù)字簽名功能 | 保密數(shù)字簽名 )

七、報(bào)文鑒別 ★

---

1 . 計(jì)算機(jī)網(wǎng)絡(luò)安全措施 :

① 針對(duì)被動(dòng)攻擊 ( 截獲 ) : 加密 ;

② 針對(duì)主動(dòng)攻擊 ( 篡改 , 偽造 ) : 需要使用 鑒別 ;

報(bào)文鑒別 : 接收方 可以 驗(yàn)證其接收到的 報(bào)文的真?zhèn)?/font> ; 包括 發(fā)送者身份 , 內(nèi)容 , 發(fā)送時(shí)間 , 報(bào)文序列等 ;

報(bào)文鑒別方法 : 加密 可以 實(shí)現(xiàn) 報(bào)文鑒別 , 但是網(wǎng)絡(luò)中對(duì)于保密性不高的數(shù)據(jù)來(lái)說(shuō) , 可以不進(jìn)行加密 , 接收者 需要使用 簡(jiǎn)單方法確認(rèn)報(bào)文的真?zhèn)?;

鑒別與授權(quán) 區(qū)別 : 這是兩個(gè)不同的概念 ; 授權(quán)是指 所執(zhí)行的操作是否被系統(tǒng)允許 ; 如 訪問權(quán)限 , 讀寫權(quán)限 等 ;

2 . 鑒別分類 :

① 報(bào)文鑒別 : 端點(diǎn)鑒別 + 報(bào)文完整性鑒別 ; 確認(rèn) 報(bào)文 是由 發(fā)送者 發(fā)出 , 不是偽造的 ;

② 實(shí)體鑒別 : 端點(diǎn)鑒別 ; 確認(rèn) 報(bào)文 發(fā)送者 實(shí)體 ( 應(yīng)用進(jìn)程 / 主機(jī)設(shè)備 / 人員 ) ;

3 . 報(bào)文鑒別 : 報(bào)文 接收者 需要鑒別報(bào)文真?zhèn)?, 需要使用 數(shù)字簽名 ;

① 弊端 : 增加計(jì)算負(fù)擔(dān) , 對(duì)數(shù)據(jù)很長(zhǎng)的報(bào)文 進(jìn)行 數(shù)字簽名 , 需要 很大的計(jì)算量 ;

② 需求 : 在不需要對(duì)數(shù)據(jù)進(jìn)行加密時(shí) , 使用 簡(jiǎn)單方法 進(jìn)行報(bào)文的真?zhèn)舞b別 ;

不需加密時(shí) , 使用密碼散列函數(shù)進(jìn)行 真?zhèn)舞b別 ;

4 . 密碼散列函數(shù) : 是非常簡(jiǎn)單的 報(bào)文 鑒別方法 , 計(jì)算量小 ;

① 散列值 : 散列函數(shù) 輸入 很長(zhǎng)的 值 , 輸出 較短的 固定的值 ; 輸出值 稱為 散列值 / 散列 ;

② 對(duì)應(yīng)關(guān)系 : 輸入 和 輸出 是 多對(duì)一 的 , 不同的輸入 可能對(duì)應(yīng) 相同的輸出 ;

密碼散列函數(shù) :

① 概念 : 密碼學(xué) 中使用的 散列函數(shù) , 稱為 密碼散列函數(shù) ;

② 單向性 ( 輸入值 -> 散列值 ) : 給定 一個(gè)散列值 , 無(wú)法通過計(jì)算得出 輸入值 ; 只能從 輸入值 計(jì)算出 散列值 , 不能根據(jù) 散列值 計(jì)算 輸入值 ;

③ 不可偽造 : 即使 固定長(zhǎng)度的 散列值 被截獲 , 截獲者無(wú)法偽造出一個(gè) 對(duì)應(yīng)的輸入值 ( 明文 / 發(fā)送數(shù)據(jù) ) ;

密碼散列函數(shù) 示例 :

• 報(bào)文摘要算法 MD5
• 安全散列算法 SHA-1
• 性能比較 : SHA-1 的計(jì)算量 高于 MD5 , SHA-1 安全性高與 MD5 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 報(bào)文鑒別 ( 密碼散列函數(shù) | 報(bào)文摘要算法 MD5 | 安全散列算法 SHA-1 | MAC 報(bào)文鑒別碼 )

八、實(shí)體鑒別 ★

---

1 . 鑒別分類 :

① 報(bào)文鑒別 : 端點(diǎn)鑒別 + 報(bào)文完整性鑒別 ; 確認(rèn) 報(bào)文 是由 發(fā)送者 發(fā)出 , 不是偽造的 ; 其中報(bào)文鑒別 要對(duì)每一個(gè)接收到的報(bào)文 , 都要鑒別 報(bào)文完整性 和 發(fā)送者 ; 鑒別多次 ;

② 實(shí)體鑒別 : 端點(diǎn)鑒別 ; 確認(rèn) 報(bào)文 發(fā)送者 實(shí)體 ( 應(yīng)用進(jìn)程 / 主機(jī)設(shè)備 / 人員 ) ; 實(shí)體鑒別 只是在 系統(tǒng)接入的時(shí)候 , 對(duì)通信實(shí)體 只鑒別一次 ;

2 . 簡(jiǎn)單實(shí)體鑒別過程 :

① 原理 : 基于 共享的 對(duì)稱密鑰 ;

② 加密 : 發(fā)送者 使用密鑰將報(bào)文 加密 , 然后發(fā)送給 接收者 ;

③ 解密 : 接收者 收到密文后 , 使用 相同的密鑰 解密 , 鑒別了 發(fā)送者的身份 ;

④ 相同密鑰 : 發(fā)送者 和 接收者 持有 相同的密鑰 ;

漏洞 ( 重放攻擊 ) : 黑客 截獲 密文后 , 直接 將 密文 轉(zhuǎn)發(fā)給接收者 , 此時(shí)接收者就會(huì)將 黑客 當(dāng)做 發(fā)送者 ; 這種攻擊稱為 重放攻擊 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 實(shí)體鑒別 ( 實(shí)體鑒別過程 | 不重?cái)?shù)機(jī)制 | 公鑰體質(zhì)加密不重?cái)?shù) | 中間人攻擊 )

九、IP 安全 ( 網(wǎng)絡(luò)層安全 ) ★

---

1 . 網(wǎng)絡(luò)層 幾乎不具備安全性 :

• 沒有 數(shù)據(jù)源鑒別機(jī)制 ;
• 沒有 數(shù)據(jù)完整性保護(hù)機(jī)制 ;
• 沒有 數(shù)據(jù)保密性機(jī)制 ;
• 設(shè)計(jì) / 實(shí)現(xiàn) 中 , 存在各種 安全漏洞 , 容易受到 IP 欺騙 , 會(huì)話劫持 , 流量嗅探 等攻擊 ;

2 . IPsec 協(xié)議族 :

① 全稱 : IP 安全 , sec 是 Security 的縮寫 ; 是 IETF 制定的開放安全標(biāo)準(zhǔn) ;

② 內(nèi)容 : 定義了 在網(wǎng)絡(luò)層如何實(shí)現(xiàn)網(wǎng)絡(luò)安全 , 提供了 數(shù)據(jù)完整性 , 保密性 , 認(rèn)證 , 應(yīng)用透明的安全性 ;

③ 性質(zhì) : IPsec 是一個(gè)協(xié)議族 ;

④ 框架 : IPsec 只提供了框架 , 通信雙方的 加密算法可以自定義 , 如使用什么樣的參數(shù) , 密鑰 等 ;

⑤ 互操作性 : IPsec 中提供了一套 所有 IPsec 都必須實(shí)現(xiàn)的加密算法 ;

3 . IPsec 協(xié)議族組成 :

① IP 安全數(shù)據(jù)報(bào)格式 協(xié)議 :

• 鑒別首部協(xié)議 ( AH , Authentication Header ) : 支持 源點(diǎn)鑒別 , 數(shù)據(jù)完整性 , 不支持 數(shù)據(jù)保密 ;
• 封裝有效載荷協(xié)議 ( ESP , Encapsulation Security Payload ) : 支持 源點(diǎn)鑒別 , 數(shù)據(jù)完整性 , 數(shù)據(jù)保密 ;

② 加密算法協(xié)議

③ 互聯(lián)網(wǎng)密鑰交換協(xié)議 ( IKE , Internet Key Exchange )

IP 安全數(shù)據(jù)報(bào) : 使用 ESP 或 AH 協(xié)議的 IP 數(shù)據(jù)報(bào) 稱為 IP 安全數(shù)據(jù)報(bào) , 又稱為 IPsec 數(shù)據(jù)報(bào) ;

支持的 IP 協(xié)議版本 : IPsec 支持 IPv4 和 IPv6 兩個(gè)版本的 IP 協(xié)議 ;

包含關(guān)系 : ESP 協(xié)議包含 AH 協(xié)議功能 ;

更多 IPsec 協(xié)議內(nèi)容參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 網(wǎng)絡(luò)層安全協(xié)議 ( IPsec 協(xié)議 | IPsec 協(xié)議族組成 | IP 安全數(shù)據(jù)報(bào)工作方式 | 安全關(guān)聯(lián) SA | SA 狀態(tài)信息 | IP 安全數(shù)據(jù)報(bào)格式 )

十、傳輸層安全 ( SSL , TSL , HTTPS ) ★

---

1 . 運(yùn)輸層安全協(xié)議 :

① 安全套接字層 ( SSL , Secure Socket Layer ) :

• 作用位置 : 端系統(tǒng) 應(yīng)用層 HTTP 與 運(yùn)輸層 之間 ;

• TCP 安全 : 在 TCP 基礎(chǔ)上建立安全通道 , 為 TCP 傳輸提供安全服務(wù) ;

• WEB 安全標(biāo)準(zhǔn) : SSL 3.0

② 運(yùn)輸層安全 ( TSL , Transport Layer Security ) :

• 基礎(chǔ) : 基于 SSL 3.0 ;

• 作用 : 為 基于 TCP 協(xié)議的應(yīng)用提供安全服務(wù) ;

2 . 運(yùn)輸層使用 SSL 前后對(duì)比 :

① SSL 使用情況 : SSL 增強(qiáng)了 TCP 服務(wù) , SSL 是運(yùn)輸層協(xié)議 , 但其需要使用安全運(yùn)輸程序 , 其實(shí)際被分在應(yīng)用層 ;

② 普通 TCP 通信 : 應(yīng)用程序 ( 應(yīng)用層 ) -> TCP 套接字 -> TCP 協(xié)議 ( 運(yùn)輸層 )

③ SSL TCP 通信 : 應(yīng)用程序 ( 應(yīng)用層 ) -> SSL 套接字 -> SSL 子層 ( 應(yīng)用層 ) -> TCP 套接字 -> TCP 協(xié)議 ( 運(yùn)輸層 ) ;

3 . SSL 服務(wù) :

① SSL 服務(wù)器鑒別 : 用于 鑒別 服務(wù)器身份 ; 客戶端 ( 支持 SSL ) 驗(yàn)證 服務(wù)器 證書 , 鑒別服務(wù)器 , 并獲取服務(wù)器的公鑰 ;

② SSL 客戶端鑒別 : 服務(wù)器 驗(yàn)證 客戶端 身份 ; ( 可選 )

③ 加密 SSL 會(huì)話 : 端與端之間的 報(bào)文都進(jìn)行加密 , 檢測(cè)是否被篡改 ;

4 . SSL 安全會(huì)話建立過程 : TCP 連接之后 , 開始建立 SSL 安全會(huì)話 ;

① 協(xié)商加密算法 : 瀏覽器 發(fā)送 SSL 版本號(hào) , 可選的加密算法 ; 服務(wù)器 回送 自己支持的加密算法 ;

② 傳輸公鑰 : 服務(wù)器 向 瀏覽器 發(fā)送包含 服務(wù)器公鑰的 CA 數(shù)字證書 , 瀏覽器使用該 CA 發(fā)布機(jī)構(gòu)驗(yàn)證該公鑰 ;

③ 會(huì)話密鑰計(jì)算 : 瀏覽器 產(chǎn)生 隨機(jī)秘密數(shù) , 使用 服務(wù)器公鑰 加密后 , 發(fā)送給 服務(wù)器 ; 服務(wù)器 收到后 , 產(chǎn)生共享的 對(duì)稱會(huì)話密鑰 , 發(fā)送給 瀏覽器 ;

之后進(jìn)行 SSL 安全會(huì)話 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 運(yùn)輸層安全協(xié)議 ( 安全套接字層 SSL | 運(yùn)輸層安全 TSL | SSL 服務(wù) | SSL 安全會(huì)話建立流程 )

十一、防火墻 ★

---

1 . 防火墻簡(jiǎn)介 :

① 組成 : 防火墻是由 軟件 , 硬件 構(gòu)成的系統(tǒng) ;

② 作用 : 用于在兩個(gè)網(wǎng)絡(luò)之間實(shí)施 訪問控制策略 ;

③ 配置 : 訪問控制策略由 網(wǎng)絡(luò)管理員 配置 ;

④ 可信網(wǎng)絡(luò) : 防火墻內(nèi)是 可信網(wǎng)絡(luò) , 防火墻外是 不可信網(wǎng)絡(luò) ;

2 . 防火墻 功能 :

① 阻止 : 阻止 某些類型的流量 通過 ( 雙向 ) 防火墻 ; ( 主要功能 )

② 允許 : 允許 某些類型的流量 通過 ( 雙向 ) 防火墻 ;

實(shí)現(xiàn)上述 阻止 允許 流量通過 , 防火墻需要能 識(shí)別通信流量 ;

3 . 防火墻分類 :

• 分組過濾路由器
• 應(yīng)用網(wǎng)關(guān)

4 . 分組過濾路由器 :

① 功能 : 分組過濾通信流量 , 通過 過濾規(guī)則 , 將網(wǎng)絡(luò)流量分組 轉(zhuǎn)發(fā) / 丟棄 ; 其中丟棄就是將該分組過濾掉了 ;

② 過濾規(guī)則 : 網(wǎng)絡(luò)層 / 運(yùn)輸層 首部信息 , 作為過濾規(guī)則 ; 如 源地址 / 目的地址 , 源端口號(hào) / 目的端口號(hào) , 協(xié)議類型等 ;

③ 分組過濾狀態(tài) :

• 無(wú)狀態(tài) : 每個(gè)分組都 獨(dú)立處理 ;
• 有狀態(tài) : 跟蹤連接的通信狀態(tài) , 根據(jù)狀態(tài)決定過濾規(guī)則 ;

④ 特點(diǎn) : 簡(jiǎn)單 , 效率高 , 對(duì)用戶透明 , 無(wú)法過濾高層數(shù)據(jù) ;

5 . 應(yīng)用網(wǎng)關(guān) :

① 別名 : 又稱為 代理服務(wù)器 ;

② 數(shù)量 : 每個(gè)網(wǎng)絡(luò)應(yīng)用 , 都需要 配置一個(gè)應(yīng)用網(wǎng)關(guān) ;

③ 功能 : 所有的該應(yīng)用的報(bào)文數(shù)據(jù)都必須 通過應(yīng)用網(wǎng)關(guān)傳輸 , 可以實(shí)現(xiàn) 高層 ( 應(yīng)用層 ) 數(shù)據(jù)的 過濾 和 高層 ( 應(yīng)用層 ) 用戶鑒別 ;

④ 缺點(diǎn) :

• 配置繁瑣 : 每個(gè)應(yīng)用都需要配置應(yīng)用網(wǎng)關(guān) ;
• 消耗資源 : 應(yīng)用層 轉(zhuǎn)發(fā)處理報(bào)文 , 資源消耗比較大 ;
• 透明性差 : 需要在每個(gè)客戶端程序中配置 應(yīng)用網(wǎng)關(guān)地址 ;

參考 : 【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全 : 防火墻 ( 簡(jiǎn)介 | 防火墻功能 | 防火墻分類 | 分組過濾路由器 | 應(yīng)用網(wǎng)關(guān) )

總結(jié)

以上是生活随笔為你收集整理的【计算机网络】网络安全 : 总结 ( 网络攻击类型 | 网络安全指标 | 数据加密模型 | 对称密钥密码体质 | 公钥密码体质 | 数字签名 | 报文鉴别 | 实体鉴别 | 各层安全 ) ★的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。