搜索
第一章1.2.1OSI参考模型OSI参考模型由低到高依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。1.2.1TCP/IP协议结构体系1.网络接口层网络接口层在TCP/IP协议结构的最底层。该层中的协议提供了一种数据传送的方法,使得系统可以通过直接的物理连接的网络,将数据传送到其他设备,并定义了如何利用网络来传送IP数据报。TCP/IP网络接口层一般包括OSI参考模型的物理层和数据链路层的全部功能,因此这一层的协议很多,包括各种局域网、广域网的各种物理网络的标准。2.网络层网络层在网络接口的上一层。网络层协议IP是TCP/IP的核心协议,也是网络层中最重要的协议。IP可提供基本的分组传输服务,这是构造TCP/IP的基础。网络层上、下层中的所有协议都使用IP协议传送数据;所有的TCP/IP数据,无论是进来的还是出去的,都流经IP,并与它的最终目的地无关。另外,网络层还有地址转换协议(ARP)和网间控制报文协议(ICMP)两个协议,其中ICMP协议具有测试网络链路和检测网络故障的功能,是IP协议不可分割的一部分。3.传输层传输层在网络层的上一层,又称主机到主机的传输层。传输层有传输控制协议(TCP)和用户数据报协议(UDP)两个重要的协议,用以提供端到端的数据传输服务,即从一个应用程序到另一个应用层序之间的信息传递。TCP利用端到端的错误检测与纠正功能,提供可靠的数据传输服务。而UDP则提供低开销、无链接的数据报传输服务。4.应用层TCP/IP协议体系结构的顶层是协议最多的一层。应用层的协议大多数都是为用户提供直接的服务,而且还在不断地增加新的服务。常见的应用层协议有:·Telnet网络终端协议。·FTP文件传输协议。·SMTP简单邮件传输协议。·POP邮件接收协议·HTTP超文本传输协议。·DNS域名服务等。1.5.3FTP服务和TFTP服务TFTP服务用于局域网,在无盘工作站启动时用于传输系统文件,安全性极差,常被人用来窃取密码文件,因为它不带有任何安全认证。FTP服务对于局域网和广域网都可以,可以用来下载任何类型的文件。1.7.1网络分段物理分段通常是指将网络从物理层和数据链路层(ISO/OSI)模型中的第1层和第2层)上分为若干网络段,各种段相互之间无法进行直接通信。逻辑分段是指将整个系统在网络层(ISO/OSI模型中的第3层)上进行分段。1.11网络安全的主要攻击形式在网络安全中常用的攻击形式有信息收集、利用技术漏洞型攻击、会话劫持、防止DNS毒化、URL字符串攻击、攻击安全账户管理器、文件缓冲溢出、拒绝服务、攻击后门攻击和恶化代码等。1.12网络安全的关键技术1.防电磁辐射2.访问控制技术3.安全鉴别技术4.权限控制5.通信保密6.数据完整性7.现实身份鉴别8.安全审计9.病毒防范及系统安全备份10.加密方法11.网络的入侵检测和漏洞扫描12.应用系统安全13.文件传送安全14.邮件安全1.13保证网络安全的措施1.防火墙2.身份认证3.加密加密是通过对信息的重新组合,使得只有收发双方才能解码还原信息。传统的加密系统是以密钥为基础的,这是一种对称加密,也就是说,用户使用同一个密钥加密和解码。目前,随着技术的进步,加密已被集成到系统和网络中,如InternetEngineeringTaskFore,正在发展的下一代网际协议IPv6。硬件方面,Intel公司也在研制用于PC和服务器主板的加密协处理器。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别及密钥管理技术4种。1)数据传输加密技术目的是对传输中的数据流加密,常用的方针有线路加密和端到端加密两种。前者侧重于线路上而不考虑信源与信宿,对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据经过因特网,这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。2)数据存储加密技术目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码和加密模块等方法实现;后者则是对用户资格加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。3)数据完整性鉴别技术目的是对介入信息的传送、存取和处理的人的身份和相关数据内容进行验证,达到保密的要求。一般包括口令、密钥、身份和数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全。4)密钥管理技术为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有磁卡、磁带、磁盘和半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。4.数字签名大多数电子交易采用两个密钥加密:密文和用来解码的密钥一起发送,而该密钥本身又被加密,还需要另一个密钥来解码。这种组合加密被称为数字签名,它有可能称为未来电子商务中首选的安全技术。美国政府的加密标准DSS,使用了SecureHash运算法则。用该法则对信息进行处理,可得到一个160位的数字,把这个数字以某种方式与信息的密钥组合起来,从而得到数字签名。完整性是在数据处理过程中,在原来数据和现行数据之间保持完全一致的证明手段。5.内容检查6.存取控制7.安全协议安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。根据计算机专用网多年的经验,一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。目前,已开发并应用的有如下几种协议。1)加密协议加密协议有两个要素,一是能把保密数据转换成公开数据,在公用网中自由发送;二是能用于授权控制,无关人员无法解读。因此,数据要划分等级,算法也要划分等级,以适应多级控制的安全模式。2)身份验证协议身份验证是上网的第一道关口,且与后续操作相关,因此身份验证至少应包括验证协议和授权协议。人员要划分等级,不同等级具有不同的权限,以适应多级控制的安全模式。3)密钥管理协议包括密钥的生成、分发、存储、保护和公证等协议,保证在开放环境中灵活地结构各种封闭环境。根据因特网的特点,密钥分离度在网上要做到端、级和个人级,在库中要做到字节级。4)数据验证协议包括数据压缩、数据验证和数字签名。数字签名要同时具有端、级签名和个人签名的功能。5)安全审计协议包括与安全有关的事件,包括事件的探测、收集和控制,能进行事件责任的追查。6)防护协议除了采用防病毒卡、干扰仪等物理性防护措施外,还对用于信息系统自身保护的数据(审计表等)和各种秘密参数(用户口令、密钥等)进行保护,已增强反入侵功能。8.智能卡技术1.14网络的安全策略1.14.1数据防御1.14.2应用程序防御1.14.3主机防御1.14.4网络防御1.14.5周边防御1.14.6物理安全第二章保密性完整性可用性可控性2.1密码算法加密和解码的技术统称为密码学。密码学的原则是“一切秘密寓于密钥之中”,算法可以公开。当加密完成后,可以将密文通过不安全渠道送给收信人,只有拥有解密密钥的收信人可以对密文进行解密,即破译得到明文,密钥的传递不须通过安全渠道。目前流行的密码算法主要有DES、RSA、IDEA和DSA等。密码算法可分为传统密码算法和现代密码算法。传统密码算法的特点是加密和解密必须是同一密钥,如EDS和IDEA;现代密码算法将加密密钥与解密密钥区分开来,且只有加密密钥事实上求不出解密密钥。因此传统密码算法又称对称密码算法,现代密码算法称非对称密码算法或公钥密码算法,是由Diffie和Hellman在1976年的美国国家计算机会议上提出这一概念的。按照加密时对明文的处理方式,密码算法又可分为分组密码算法和序列密码算法。分组密码算法是把密文分成等长的组分别密码,序列密码算法是一位一位的处理,用已知的密钥随机序列与文明按位异或。2.2对称加密技术对称加密算法是一种传统的加密算法,它的基本原理如下:在对称加密中,数据信息的传送、加密及接收解密都需要用到一个共享的钥匙,也就是说加密和解密共有一把钥匙。2.2.1DES算法在对称算法中,DES算法是最著名的对称密钥加密算法。DES使用56位密钥对64位的数据块进行加密,并对64位的数据块进行16轮编码。在每轮编码时,一个48位的“每轮”密钥值由56位的完整密钥得出来。DES的高速简便性使之流行,三重DES。这种方法用两个密钥对文明进行三次加密,·用密钥1进行DES加密。·用密钥2对步骤1的结果进行DES解密。·对步骤2的结果使用密钥1进行DES加密。2.3不对称加密技术在非对称加密算法中,利用了两把钥匙:一把钥匙用来将数据信息加密,而用另一把不同的钥匙来解密。这两把钥匙之间具有数学关系,所以用一个钥匙加密过的资料只能用相应的另一个钥匙来解密。非对称加密异于两方都用同一个密钥的对称加密算法,公钥密码法对每一个人都使用一对钥匙,其中一个是公开的,而另一个是私密的。公钥(公共密钥)可以让其他人知道,而私钥(专用密钥)则必须加以保密,只有持有人知道它的存在,但这两种钥匙都必须加以保证防止被修改。也就是每个人都有一对密钥,一个私钥和一个公钥,它们在数字上相关,在功能上不同。一个密钥锁上的另一个可以打开,此技术使用两个加密的密钥来保证会话的安全。公钥可以给任何请求它的应用程序或用户,私钥只有它的所有者知道。公钥加密算法也称非对称密钥算法,用两对密钥:一个公共密钥和一个专用密钥。用户要保障专用密钥的安全,公共密钥则可以发布出去。公共密钥与专用密钥是有紧密关系的,用公共密钥加密的信息只能用专用密钥解密,反之亦然。由于公钥算法不需要联机密钥服务器,密钥分配协议简单,所以极大地简化了密钥管理。除加密功能外,公钥系统还可以提供数字签名。公钥加密算法中使用最广的是RSA。RSA使用两个密钥:一个公共密钥,一个专用密钥。如果其中一个加密,则可用另一个解密,密钥长度从48~2048位可变。加密时也把明文分成块,块的大小可变,但不能超过密钥的长度,RSA算法把每一块明文转化为密钥长度相同的密文块。密钥越长,加盟米效果越好,但加密解密的开销也大,所以要在安全与性能之间折中考虑,一般64位较适合。RSA有一个比较知名的应用是SSL,在美国和加拿大SSL用128位RSA算法,由于出口限制,在其他地区(包括中国)通用的则是40为版本。公共密钥加密算法主要有如下两种途径。·数据加密:发送者用接收者的公钥对要发送的数据加密,接收者用自己的私钥对接收到的数据解密。第三者由于不知道接收者的私钥而无法破译该数据。·身份认证:发送者可以用自己的私钥对要发送的数据加上“数字签名”,接收者通过验证“数字签名”就可以准确的确定数据的来源。公共密钥加密算法又称为非对称加密算法,常见的加密算法有RSA、DSA等。2.4.1RSA算法1.RSA算法(1)选两个打素数r1和r2,通常均大于10100。(2)计算n=r1·r2和x=(r1-1)(r2-1)(注:x是欧拉函数)。(3)选一个与x互质的数,令其为d。(4)找一个e,满足e·d=1(modx)。(5)选好这些参数后,因为RSA是一种分组密码系统,所以先将文明划分成块,使得每个文明报文P的长度m满足0mn。加密P时计算C=Pd(modn),解密C时计算P=Cd(modn)。由于模运算的对称性,可以证明加密解密在一定范围内是可逆的。RSA加密算法使用了两个非常大的素数来产生公钥和私钥。即使从一个公钥中通过因数分解可以得到使私钥,单这个运算所包含的计算量是非常巨大的,以至于在现实上是不可行的。加密算法本身也是很慢的,这使得使用RSA算法加密大量的数据变得有些不可行。所以在大量数据进行加密传输时一般采用非对称算法(RSA等)和对称算法结合的方法。如PGP算法(及大多数基于RSA算法的加密方法)使用公钥来加密一个对称加密算法的密钥,然后再利用一个快速的对称算法来加密数据。这个对称算法的密钥是随机产生的,是保密的,因此得到这个密钥的唯一方法就是使用私钥来解密。2.RSA的具体工作原理主机