今天离考试还有15天,今天复习的重点如下:
网络安全(一)
网络安全模型
消息通过互联网络从一方传输到另一方,这两方都是事物的主体,通过在互联网络上定义一条从信息源到信息目的地之间的路由,以及两个信息主体之间使用的某种通信协议建立逻辑信息通道,进行消息交换。
所有用于提供安全性的安全要素主要包含以下两个部分:
- 对要发送的信息进行与安全相关的转换。如消息加密;在消息内容上添加用来验证发送者的身份的附加码等。
- 两个主体共享一些不希望被攻击者所知的秘密信息,包括在信息交换中使用的加密密钥(在传输之前用于加密消息而在接收之后用于恢复消息)。
要完成上述两个部分的工作,可能需要可信的第三方来完成以下内容:1、负责给两个主体分发秘密信息,同时对攻击者隐藏这些信息;2、仲裁在两个主体之间引起的关于消息传输认证的纷争。
对称加密原理和消息机密性
对称加密也成为常规加密、私钥或单钥加密。一个对称加密方案由部分组成:
- 明文:这是原始消息或数据, 作为算法的输入。
- 加密算法:加密算法对明文进行各种替换和转换。
- 秘密密钥:秘密密钥也是算法的输入。 算法进行的具体替换和转换取决于这个密钥。
- 密文:这是产生的已被打乱的消息输出。 它取决于明文和秘密密钥。 对于一个给定的消息, 两个不同的密钥会产生两个不同的密文。
- 解密算法:本质上是加密算法的反向执行,它使用密文和同一密钥产生原始明文。
公钥密码原理和消息认证
公钥密码体制有两个密钥,一个可用来加密数据,称为公钥;一个用来解密,称为私钥。私钥保密,公钥公开。公钥密码技术解决了不安全信道无接触安全通信的问题,本质上是解决了不安全信道密钥分发问题。公钥密码技术的另外一种重要应用就是数字签名,为身份认证、不可否认签名等需求提供了一种技术方法。公钥密码方案由6个部分组成:
- 明文:算法的输入,它是可读的消息或数据。
- 加密算法:加密算法对明文进行各种形式的变换。
- 公钥和私钥:算法的输入,这对密钥如果一个密钥用于加密,则另一个密钥就用于解密。加密算法所执行的具体变换取决于输入端提供的公钥或私钥。
- 密文:算法的输出,取决于明文和密钥。对于给定的消息,两个不同的密钥将产生两个不同的密文。
- 解密算法:该算法接收密文和匹配的密钥,生成原始的明文。
顾名思义,密钥对中的公钥是公开供其他人使用的,私钥只有自己知道。通常的公钥密码算法根据一个密钥进行加密,根据另一个不同但相关的密钥进行解密。
目前流行的公钥算法是RSA,它既可以用于加密,可可以用于数字签名。由于速度慢,一般不直接用于数据加密,而用于对称密码算法密钥的传递和数字签名。
密钥分配和用户认证
<1> 基于对称加密的密钥分配
对于对称加密,加密双方必须共享同一密钥,而且必须保护密钥不被他人读取。
<2> 基于非对称加密的密钥分配
公钥加密的一个重要作用就是处理密钥的分发问题,存在两个不同的方面:公钥的分发和使用公钥加密分发私钥。
网络访问控制和云安全
网络访问控制(NAC)是对网络进行管理访问的一个概括性术语。NAC对登录到网络的用户进行认证,同时决定该用户可以访问哪些数据,执行哪些操作。NAC同时可以检查用户的计算机或者移动设备(终端)的安全程度。
<1> 网络访问控制
- 网络访问控制系统的组成元素:访问请求者、策略服务器、网络访问服务器。
- 网络访问强制措施:IEEE 802.1x、VLAN、防火墙、DHCP。
<2>可扩展认证协议(EAP)
<3>云安全(按使用量付费的模式)
Web安全
Web安全需求
(1)互联网是双向的。电子发布系统使得Web服务器容易受到互联网的攻击。
(2)Web日益成为商业合作和产品信息的出口及处理商务的平台。如果web服务器遭到破坏,则可能会造成企业信誉的损害和经济损失。
(3)Web底层软件极其复杂。这种复杂的软件中可能会隐藏很多潜在的安全缺陷。在Web短暂的历史中,各种新的和升级的系统容易受到各种各样的安全攻击。
(4)Web服务器可以作为公司或机构的整个计算机系统的核心,这种情况下,一旦Web服务器遭到破坏,攻击者就不仅可以访问Web服务,而且可以获得与之相连的整个本地站点服务器的数据和系统的访问权限。
(5)基于Web的各种服务的客户一般都是临时性的或未经训练(在安全问题方面)的用户,对存在的安全缺乏警觉感,也没有对这些安全风险有效防范的工具和知识。Web安全威胁
被动攻击包括在浏览器和服务器之间通信时,窃听和获取Web站点上受限访问信息的访问权。主动攻击包括用户假冒、在客户和服务器之间的传输过程中替换消息和更改Web站点上的信息等。
| 威胁 | 后果 | 对策 | |
|---|---|---|---|
| 完整性 | 用户数据修改 特洛伊木马浏览器 内存修改 更改传输中的消息 |
丢失消息 设备受损 易受其他威胁 |
密码校验和 |
| 机密性 | 网上窃听 窃取服务器信息 窃取客户端信息 窃取网络配置信息 窃取客户与服务器通话信息 |
信息丢失 秘密丢失 |
加密 Web委托代理 |
| 拒绝服务 | 破坏用户线程 用假消息使机器溢出 填满硬盘或内存 用DNS攻击孤立机器 |
中断 干扰 阻止用户完成任务 |
难以防止 |
| 认证 | 假冒合法用户 伪造数据 |
用户错误 相信虚假信息 |
密码技术 |
Web安全解决方案
Web安全的一种解决方案是使用IPSec;另一种解决方案是仅在TCP上实现安全,最典型的例子是SSL和被称为第二代互联网标准的传输层安全。安全套接字层(SSL)
使用TCP提供一种可靠的端对端的安全服务HTTPS
HTTPS是指用HTTP和SSL的结合来实现网络浏览器和服务器之间的安全通信。默认端口为443(普通HTTP使用80端口),使用HTTPS时,通信过程中以下元素被加密:要求文件的URL、文件的内容、浏览器表单的内容、浏览器和服务器间发送的Cookie、HTTP报头的内容。SSH
SSH由3个通信协议组成:传输层协议、用户身份验证协议、连接协议。运行在TCP上。