信息安全
信息安全
信息安全分类 信息系统安全可划分为物理安全、网络安全、系统安全和应用安全
机房安全属于物理安全,入侵检测属于网络安全,漏洞补丁管理属于系统安全,而数据库安全则是应用安信息加密算法
IPsec协议 IPsec的功能可以划分三类:
①认证头(Authentication Header,AH):用于数据完整性认证和数据源认证;
②封装安全负荷(Encapsulating Security Payload,ESP):提供数据保密性和数据完整性认证,ESP也包括了防止重放攻击的顺序号;
③Internet密钥交换协议(Internet Key Exchange,IKE):用于生成和分发在ESP和AH中使用的密钥,IKE也对远程系统进行初始认证。
IPsec传输模式中,IP头没有加密,只对IP数据进行了加密;
在隧道模式中,IPSec 对原来的IP数据报进行了封装和加密,加上了新的IP头。IPSec的安全头插入在标准的IP头和上层协议(例如TCP)之间,任何网络服务和网络应用可以不经修改地从标准IP转向IPSec,同时IPSec通信也可以透明地通过现有的IP路由器。
信息加密算法 散列函数(散列(hash)、指纹、消息摘要、摘要算法、杂凑函数):把任意长度的输入消息数据转化成固定长度的输出数据的一种密码算法。 消息验证代码:验证数据完整性,即数据没有被篡改。 数字签名:RSA私钥加密,公钥解密,结合散列函数。验证消息真实性。 伪随机函数(PRF):生成任意数量的伪随机数据。 RSA:可以同时用于密钥交换和身份验证(数字签名)。 DHE_RSA:DHE 算法:密钥协商,RSA 算法:身份验证(数字签名)。 ECDHE_RSA: ECDHE 算法:密钥协商,RSA 算法:身份验证(数字签名)。 ECDHE_ECDSA :ECDHE 算法:密钥协商,ECDSA 算法:身份验证(数字签名)。
对称加密
缺陷:强度不高,效率高,秘钥分发困难
DES :56位密钥、64位数据块、速度快、密钥易产生 3DES(三重DES):两个56位的密钥K1、K2 一共112位 加密:K1加密->K2解密->K1加密 解密:K1解密->K2加密->K1解密
RC-5:RSA数据安全公司的很多产品都使用了RC-5。多用于明文传输
IDEA:128位密钥、64位数据块、比DES的加密性好、对计算机功能要求相对低,
非对称加密
公钥加密,私钥解密
RSA:512位(或1024位)密钥、计算量极大、难破解 ECC:椭圆曲线算法缺陷:加密速度慢
信息摘要
单向散列函数、固定长度的散列值。(HASH算法)
MD5 , SHA等,市场上广泛使用的MD5 , SHA算法的散列值分别为128和160位,由于SHA通常采用的密钥长度较长,因此安全性高于MD5
作用:保证信息的完整性,准确性
数字签字
hash得到摘要保证完整性,发送者私钥非对称加密,识别发送者身份,防抵赖
数字签名(又称公钥数字签名)是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
不可抵赖的原理:发送者A 用A的私钥 对信息摘要加密,接收者用A公开的公钥才能解密成功,拿到的信息如果能被A的公钥解密成功,那这个信息只可能是被A的私钥加密的,无法仿照;
数字信封
发送方将原文用对称密钥加密传输,而将对称密钥用接收方公钥加密发送给对方。
接收方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得原文。
常用方法:PGP
PGP可用于电子邮件,也可以用于文件存储。采用了杂合算法,包括IDEA、 RSA、MD5、ZIP数据压缩算法。
0PGP承认两种不同的证书格式: PGP证书和X.509证书。 PGP证书包含PGP版本号、证书持有者的公钥、证书持有者的信息、证书拥有者的数字签名、证书的有效期、密钥首选的对称加密算法。
X.509证书包含证书版本、证书的序列号、签名算法标识、证书有效期、以下数据:证书发行商名字、证书主体名、主体公钥信息发布者的数字签名。
PKI公钥体系
CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。
专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Public Key Infrastructure)。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,
任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。用户甲使用自己的私钥对信息M进行签名,用户乙用甲的公钥对签名进行验证。
网络安全保障 身份认证
用户名+口令 数字证书 生物特征识别 访问控制
自主访问控制(DAC) 访问控制列表(ACL) 强制访问控制(MAC) 基于角色的访问控制(RBAC) 基于任务的访问控制(TBAC) 系统
Kerberos PKI/CA
WAP
有线等效保密WEP的设计目的是提供与有线局域网等价的机密性。
WEP使用RC4协议进行加密,并使用CRC-32校验保证数据的完整性。最初的WEP标准使用Mbit的初始向量,加上40bit的字符串,构成64bit的WEP密钥。
Wi-Fi联盟厂商以802.11i草案的子集为蓝图制定了称为WPA(Wi-FiProtectedAccess)安全认证方案。在WPA的设计中包含了认证、加密和数据完整性校验三个组成部分。
首先是WPA使用了802.1X协议对用户的MAC地址进行认证;
其次是WEP增大了密钥和初始向量的长度,以128bit的密钥和48位的初始向量(V)用于RC4加密。
WPA还采用了可以动态改变密钥的临时密钥完整性协议TKIP,以更频繁地变换密钥来减少安全风险。
最后,WPA强化了数据完整性保护,使用报文完整性编码来检测伪造的数据包,并且在报文认证码中包含有帧计数器,还可以防止重放攻击。
入侵检测方法:
入侵检测系统由4个模块组成:事件产生器、事件分析器、事件数据库和响应单元。
其中,事件分析器负责接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其分析方法有以下三种:
①模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为;
②统计分析:首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为;
③数据完整性分析:主要关注文件或系统对象的属性是否被修改,这种方法往往用于事后的审计分析。
考点: 光纤
单模光纤(Single Mode Fiber):中心玻璃芯很细(芯径一般为9um或10um),只能传一种模式的光纤。
单模光纤相比于多模光纤可支持更长传输距离,在100Mb/s的以太网以至1Gb/s千兆网,单模光纤都可支持超过5000m的传输距离。
多模光纤容许不同模式的光于一根光纤上传输,由于多模光纤的芯径较大,故可使用较为廉价的耦合器及接线器,多模光纤的纤芯直径为50um至100um。
多模光纤一般采用LED光源,而单模光纤则采用极为昂贵的激光作为光源体。
水平分割法
RIPv2对RIPv1协议的改进之一 水平分割法的规则和原理是:路由器从某个接口接收到的更新信息不允许再从这个接口发回去。水平分割的优点:(1)能够阻止路由环路的产生;(2)减少路由器更新信息占用的链路带宽资源。
OSPF协议引入“分层路由”的概念,将网络分割成一个“主干”连接的一组相互独立的部分,这些相互独立的部分被称为“区域"(Area),“主干”的部分称为“主干区域”。
每个区域就如同一个独立的网络,该区域的OSPF路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小,路由计算的时间、报文数量都不会过大。完全存根区域:它不接受外部自治系统的路由以及自治系统内其他区域的路由总结。需要发送到区域外的报文则使用默认路由:0.0.0.0。
URL 格式
主机名书写方式采用层次型命名体系,类似于邮政系统的地址书写,由它所属的各级域与分配给该主机的名字共同构成,顶级域名放在最右边,主机名放在最左边,名字间用“.”隔开。
IPv6访问Ipv4网络
常使用隧道技术:6to4隧道、6over4隧道和ISATAP隧道。
TCP/IP 常用端口号
FTP:20 21 , SSH :22, Telnet :23 ,SMTP :25 ,HTTP :80 HTTPS :443 DHCP :67 DNS :53
HTTPS
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议。它是一个安全通信通道,基于HTTP开发,用于在客户计算机和服务器之间交换信息。HTTPS使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。