第一章:网络安全综述

网络安全是建立在密码学以及协议设
计的基础上的

网络安全的主要任务:

  • 保障网络与系统 安全、可靠、高效、可控、持续地运行和被访问。
  • 保障信息 机密、完整、不可否认、可认证地传输和使用。

ISO-OSI模型。

TCP/IP模型

image-20210913194224992

X.800

用一种或多种安全机制来实现安全服务,安全服务
致力于抵御安全攻击。

主动攻击:

  • 伪装
  • 重放
  • 篡改
  • 拒绝服务

被动攻击:

  • 窃听
  • 流量分析

image-20210913194643371

image-20210913194651098

第二章:公钥基础设施PKI

1.公钥基础设施:PKI是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。是一种遵循标准的利用公钥加密技术为电子商务的开展提供安全基础平台的技术和规范。能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理

2.功能(为什么需要PKI)

对可信第三方的需要(CA)
电子政务、电子商务对信息传输的安全需求,统一标准
在收发双方建立信任关系,提供身份认证、数字签名、加密等安全服务
收发双方不需要事先共享密钥,通过公钥加密传输会话密钥

3.证书的基本结构

image-20210913200921714

4.组成

image-20210913201019930

5.密钥备份和恢复系统:

  • 签名密钥对:签名私钥相当于日常生活中的印章效力,为保证其唯一性、抗
    否认性,签名私钥不作备份。签名密钥的生命期较长。
  • 加密密钥对:加密密钥通常用于分发会话密钥,为防止密钥丢失时无法解密
    数据,解密密钥应进行备份。这种密钥应频繁更换。

6.交叉认证:

多个PKI独立地运行,相互之间应建立信任关系

对等CA互相签发

7.PKI服务

  • 认证
  • 完整性
  • 保密性
  • 不可否认性服务
  • 公证服务

8.常用的密码技术

image-20210913200849982

机密性:数据加密(数字信封)

信息发送端用接收端的公钥,将一个通信密钥(即对称密钥)给予加密,生成一个数字信封。接收端用自己的私钥打开数字信封,获取该对称密钥SK,用它来解读收到的信息。

身份认证:数字签名

对待发的数据首先生成一段数据摘要,再采用己方私钥基于非对称加密算法进行加密,结果附在原文上一起发送,接受方对其进行验证,判断原文真伪。这种数字签名适用于对大文件的处理,对于那些小文件的数据签名,则不预先做数据摘要,而直接将原文进行非对称加密处理。

image-20210913203234717

完整性:数字签名+MAC

不可否认性:数字签名+时间戳

由于非对称密码的运算复杂、加/解密速度慢,因此信息的加密采用对称密码
算法,其会话密钥的分发采用非对称密码算法,即采用收方的公钥对会话密
钥进行加密。

报文检验码(消息认证码MAC)

9.PKI功能操作

image-20210913203710477

初始化

  • 终端实体注册
  • 密钥对产生(用户产生,CA产生,其他可信第三方产生)
  • 证书创建
  • 证书分发
  • 密钥备份

10.生命周期

  • 证书获取
  • 证书验证——确定一个证书的有效性
  • 密钥恢复——对终端用户因为某种原因而丢失的加密密钥可以恢复,从CA或信任第三方处恢复
  • 密钥更新——当一个合法的密钥对将过期时,进行新的公/私钥的自动产生和相应证书的颁发
image-20210913205553051

11.信任CA结构

  • 层次模型
  • 分布式信任结构模型
  • 桥式结构
  • 混合结构

层次模型:

image-20210913205835921

分布式模型:

image-20210913210007417

12.证书链

image-20210913205905995

image-20210913210043066

13.X.509

为了解决X.500目录中的身份鉴别和访问控制问题而设计的。同时本身也采用目录的形式进行管理和访问。

14.主要内容

image-20210913210603513

15.CA

PKI核心实体认证机构CA,为各个实体颁发电子证书,对实体身份信息和相应公钥数据进行数字签名,用以捆绑该实体的公钥和身份,以证明各实体在网上身份的真实性;并负责在交易中检验和管理证书.

功能

  • 证书申请
  • 证书审批
  • 证书颁发
  • 证书撤销
  • 证书更新
  • 证书废止列表管理
  • 证书的归档
  • CA自身的维护管理
  • CA自身密钥管理

第三章:IPSec-AH和ESP

1.IPv4和IPv6

image-20210914224817924

2.安全组合SA

为使通信双方的认证/加密算法及其参数、密钥的一致,相互间建立的联系被称为安全组合或安全关联(Security Association)

SA是单向的,在双向通信时要建立两个SA

安全关联数据库(SAD)

安全策略数据库(SPD)

SA由一个三元组唯一地标识,该三元组为安全参数索引SPI、一个
用于输出处理的目的IP地址和协议(如AH或ESP)

3.认证头标AH

  • AH协议提供无连接的完整性、数据源认证和抗重放保护服务
  • 不提供保密性服务
  • AH使用消息认证码(MAC)对IP进行认证

image-20210915000523376

序列号的使用:防止重放。

认证头标:完整性校验。

AH外出处理和进入处理

4.封装安全载荷ESP

  • ESP提供数据保密、抗重播服务、无连接完整
    性(可选)
  • ESP大都采用对称密码体制加密数据
  • ESP使用消息认证码(MAC)提供认证服务

image-20210915001552673

填充的目的:

  • 加密算法要求明文为某个数目字节的整数倍;
  • 32位对齐;
  • 隐藏实际载荷长度,提供流量保密性

ESP外出处理,进入处理。

5.传输模式和隧道模式

image-20210915003245428

6.IPsec和NAT

IPsec优点:

  • 对边界所有流量强制实现安全性,内部网络无需关注开销;
  • 对上层协议、终端用户透明、
  • 构建安全的虚拟专用网

具有AH头标或ESP头标的的IP分组不能穿越NAT和NATPT

7.IPSec隧道模式的应用-VPN

VPN 的种类、功能

8.IPsec的实现

IPSec VPN 的处理流程

第四章:IPSec-IKE

因特网密钥交换协议,是一个以受保护的方式动态协商IPsec SA的协议。

功能:使用某种长期密钥进行双向认证并建立会话密钥

主模式,野蛮模式。

IKEv1, IKEv2

第五章:SSL/TLS基本协议

SSL (Secure Socket Layer)是一种在TCP协议之上为两个端实体(End Entity)之间提供安全通道的协议。

具有保护传输数据以及识别通信实体的功能。安全通道是透明的,独立于应用层;传输层采用TCP,提供可靠业务

SSL功能:

  • 客户对服务器的身份认证
  • 服务器对客户的身份认证
  • 建立服务器与客户之间安全的数据通道

SSL工作原理:

  • 采用握手协议建立客户与服务器之间的安全通道,该协议包括双方的相互认证,交换密钥参数
  • 采用告警协议向对端指示其安全错误
  • 采用改变密码规格协议告知改变密码参数
  • 采用记录协议封装以上三种协议或应用层数据

第六章:防火墙与NAT

1.定义 防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合

防火墙 = 硬件 + 软件 + 控制策略

设计目标:

  • 内部和外部之间的所有网络数据流必须经过防火墙;
  • 只有符合安全政策的数据流才能通过防火墙;
  • 防火墙自身能抗攻击;

防火墙的必要性:

  • 保护内部不受来自Internet的攻击
  • 创建安全域
  • 强化机构安全策略

防火墙的要求(两个要求存在矛盾性):

  • 保障内部网安全
  • 保证内部网同外部网的连通

2.分类

包过滤型防火墙

针对包过滤型防火墙的攻击

状态检测型防火墙(参见百度百科)

状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。

应用级网关型防火墙

代理服务型防火墙

复合型防火墙

安全缺省策略:

  • 一切未被禁止的就是允许的

  • 一切未被允许的就是禁止的(RFC2979推荐)

3.功能

  • 访问控制:隔断、过滤、代理
  • 加密
  • 授权认证
  • 地址翻译(NAT)
  • VPN
  • 负载均衡
  • 内容安全:病毒扫描(特征码)、URL扫描、HTTP过滤
  • 日志记帐、审计报警

4.NAT 基本原理、作用

Network Address Translation

NAT技术可以在路由器(边界)、防火墙上实现内外地址的翻译工作

类型:

  • 源网络地址转换(Source NAT,缩写为SNAT),即IP伪装(masquerade)
  • 目的网络地址转换(Destination NAT,缩写为DNAT)

作用:

SNAT

  • 复用内部的全局地址,解缓IP地址不足的压力
  • 向外部网络隐藏内部网络的IP地址

DNAT

  • 在实现SNAT的环境下进行有效的服务访问
  • 流量均衡

NAT工作原理:

SNAT工作原理

实现方式:

  • 静态NAT(一一对应)
  • 动态NAT(多对多)
  • 过载(一对多)

第七章:虚拟专用网VPN

所需技术:

  • 隧道技术
  • 加解密技术
  • 密钥管理技术
  • 认证技术
  • 访问控制

分类:

image-20210916203559024

IPSec VPN

  • AH 协议提供信息源验证和完整性保证;
  • ESP 协议提供信息源验证、机密性和完整性保证;
  • IKE提供密钥协商

第八章:应用层安全协议

电子邮件安全协议:

  • PEM
  • S/MIME
  • PGP
  • SMTP

image-20210916204440621

签名、压缩、加密

若超过标准长度,则PGP自动对报文分段,接收端再重组。

PGP虽然采用公钥密码体系,但不是基于PKI证书体系

S/MIME使用X.509证书,它的密钥管理方案介于严格的X.509证书层次结构和PGP信任网之间

SSH

HTTPS((http over SSL)

安全电子交易协议SET(Secure Electronic Transaction)

SET提供了消费者、商家和银行之间的认证,确保了网上交易数据的保密性,数据的完整性以及交易的不可抵赖性。

SET采用公钥密码体制,遵循X.509数字证书标准

双重数字签名

第九章:无线局域网安全

1.无线网络的分类

  • 无线广域网(WWAN)
  • 无线城域网(WMAN)
  • 无线局域网(WLAN)Wireless Local Area Network
  • 无线个人网(WPAN)

2.WLAN建立的方式

  • Ad-hoc Mode
  • Infrastructure Mode

3.WLAN的安全需求

WLAN安全机制

  • 用户认证
  • 用户授权
  • 数据安全

802.11 的安全机制

  • 身份认证
  • 数据机密性
  • 数据完整性

WEP协议(有线等效保密协议)

功能:访问控制,数据保密性

802.11的安全增强

image-20210917091147265 image-20210917092310657

其他

安全机制实现安全服务,安全服务抵御安全攻击。

image-20211217161559825

防火墙设计目标:

  • 内部和外部之间的所有网络数据流必须经过防火墙;
  • 只有符合安全政策的数据流才能通过防火墙;
  • 防火墙自身能抗攻击;

防火墙的控制能力:

  • 服务控制
  • 方向控制
  • 用户控制
  • 行为控制

包过滤防火墙在(网络层)上进行检测,在(路由器)上实现。

image-20211219145112895

IKE的功能:使用某种长期密钥进行双向认证并建立会话密钥

IKE是一个是一个以受保护的方式动态协商IPsec SA的协议

image-20211219154048173 image-20211219160229356

选择符。

image-20211219161713558

电子邮件安全协议

  • PEM
  • S/MIME
  • PGP

image-20211219165020483

image-20211219181615499

image-20211219184746390 image-20211219190204120

image-20211219191438417

image-20211219200652506

WEP:有线等效保密协议

WEP功能:

  • 访问控制
  • 数据保密性
image-20211220155923021

image-20211220163158572