網路安全概述
網路安全的應用領域
1電子商務
2電子現金
3數字貨幣
4網路銀行
5電子政務
6****、軍事機密
網路安全的主要威脅及技術隱患
1自然災害、意外事故
2硬體故障、軟體漏洞
3人為失誤
4計算機犯罪、黑客攻擊
5內部洩露、外部洩密
6資訊丟失、電子諜報、資訊戰
7網路協議中的缺陷
黑客採用的攻擊方法
1非授權使用
2破壞完整性
3資訊洩露或丟失
4傳播計算機病毒
5破壞通訊協議(dos,ddos)
網路安全的基本需求
保密性、可用性、完整性、可控性
系統的開放靈活性與系統安全性的平衡
常用的網路安全措施
資料加密、身份認證、數字簽名、防火牆、入侵檢測、安全監控、網路掃瞄、網路防毒、網路隔離
h3c 綠盟啟明星辰天融信
utm 多重安全閘道器
增強安全意識教育、建立健全安全規章制度
網路安全教育、提高防範意識、抵制利用計算機進行各類犯罪活動的**、盡快培養出一批資訊化安全的專門人才、提高全民的資訊化安全意識
第一章加密技術
加密技術概要
1資訊是當今社會的一種重要資源(資料和資訊的對比、資訊應用的例子)
2使用者需要資訊是保密的、完整的和真實的
3現代資訊系統必須具備有資訊保安技術措施
4資訊加密是資訊保安的主要措施之一
加密的基本概念
通過使用加密,可以提供的安全服務
--保密性
--完整性
--不可否認性
加密的相關術語
明文也叫明碼(plaintext)
密文(ciphertext)
演算法(algorithm)
金鑰(key)
加密(encryption)
解密(decryption)
基本的加密操作
明文--->加密演算法--->密文--->解密演算法--->明文
基本的加密思想
置換:按照規則改變內容的排列順序
移位:打亂字母的排列順序
移位和置換都是可逆的操作,容易恢復資訊
移位、置換應用於現代密碼演算法中
置換是用乙個特定的值替換另乙個特定值的過程
置換需要通訊雙方事先知道置換的方法
x a p c c o m
y c q e d q n
上例中,奇數字的ascii碼值加1,偶數字的ascii碼值加2。
移位:把某個字母以其前或其後幾位的某個特定的字母替代
移位具有規律,容易被攻破
e x a m p l e
e l p m a x e
在計算機中,怎樣才能自動實現大量複雜資料的加密和解密?--這依賴於好的、可被計算機識別的、被驗證為有效的加密演算法。
加密演算法分類
--對稱金鑰加密演算法(私有金鑰演算法) 加密金鑰==解密金鑰
--非對稱金鑰加密演算法(公鑰演算法)
著名的對稱加密演算法
--對稱加密的金鑰長度從難從40bits到168bits
--著名加密演算法:
--des/3des資料加密標準
--idea國際資料加密演算法
--rc系列(rc2、rc4、rc5)
--cast
--blowfish /twofish
--aes 高階資料加密標準等等
des資料加密標準
--des是一種塊或分組加密演算法
--20世紀70年代,由ibm公司發展
--2023年11月納為美國國家標準
--des金鑰是固定的56bit,不安全
--des以塊模式對64bit的密文塊進行操作
演算法:1輸入64位元明文資料
2初始置換ip
3在金鑰控制下16輪迭代
4交換左右32位元
5初始逆置換ip-1
6輸出64位元密文資料
3des演算法:
加密:m-->des-->des-1-->des-->c (加--解--加)
k1 k2 k1
解密:c-->des-1-->des-->des-1-->m (解--加--解)
k1 k2 k1
idea 國際資料加密演算法
--分組長度為64位,金鑰長度為128位
--設計原則:來自不同代數群的混合運算
--異或
--模216加
--模216+1乘
--軟體實現的idea比des快兩倍
rc系列
-rc2
--ronald rivest設計
--金鑰長度可變
--rc2的運算速度比des快
--軟體實現的rc2比des快三倍
-rc4
--rivest設計
--金鑰長度可變
--流模式加密演算法,面向bit操作
--演算法基於隨機置換
--rc4應用範圍廣
-rc5
--rivest設計
--分組長、金鑰長和迭代輪數都可變
--面向字結構,便於軟體和硬體快速實現
--資料相倚旋轉技術
blowfish
--bruce schneier設計
--金鑰長度可變
--易於軟體快速實現,所需儲存空間不到5kb
--安全性可以通過改變金鑰長度進行調整
--適用於金鑰不經常改變的加密
--不適用於需要經常變換金鑰的情況
aes 高階加密演算法
公鑰加密技術==非對稱加密技術
--公鑰加密比私鑰加密出現晚
--私鑰加密使用同乙個金鑰來加密和解密資訊
--公鑰加密使用兩個金鑰,乙個金鑰用於加密資訊,另乙個金鑰用於解密資訊
公鑰加密 public key != private key
--私鑰需要安全儲存
--公鑰公開
--加密速度慢
--可以與對稱加密相結合
diffie-hellman金鑰交換
--用於解決金鑰發布問題
rsa--金鑰長度在512-2048bit之間
--安全性基於數**算的複雜性
--rsa比用軟體實現的des慢100倍
--rsa比硬體實現的des慢騰騰1000倍
-rsa的主要功能
--加密
--數字簽名
pgp郵件系統加密
--網上的資訊大多數以明文形式傳輸
--使用的郵件系統存在安全問題
-改進郵件系統,增進系統安全
-資訊加密
-數字簽名
pgp安全電子郵件程式
pretty good privacy
pgp金鑰管理--金鑰生成與公鑰匯入
--金鑰對(key pair),公鑰(public key),公鑰檔案(asc),匯入(import)
利用pgp傳送加密郵件
--檔案加密,郵件正文加密,直接利用outlook,解密的簡單實現.
解密--檔案解密,郵件正文解密
任務驅動--實現問題解決(能力擴充套件)
md5 sha
保密性、完整性、不可抵賴性
數字信封----指將對稱加密演算法與非對稱加密演算法結合使用的方法。它看重了對稱加密的效率,看重了非對稱加密的安全性。先對明文使用對稱加密將其變成密文,然後再使用非對稱加密演算法將對稱金鑰進行加密
數字簽名----驗證傳送方的身份。先形成數字摘要,然後利用非對稱加密演算法和傳送方私鑰對摘要進行加密。接收方用傳送方公鑰進行驗證。也叫做數字指紋。
完整性驗證----hash函式、winmd5工具
身份驗證
[明文+(明文-->hash-->數字摘要-->使用傳送者的私鑰進行加密-->形成數字簽名)+傳送者的公鑰(傳送者的數字證書)]-->使用對稱加密系統隨機生成的對稱金鑰進行加密-->形成密文
用接收者的公開金鑰對對稱金鑰進行加密-->數字信封
將二者傳送到接收方
第三章-ca數字證書服務
-ca伺服器配置
-證書申請及應用
-ssl協議
-ssl實現web加密通訊
-ssl-vpn
ca電子商務網路
持卡人商戶銀行 ca認證中心支付閘道器
ca-認證中心
ca為電子政務、電子商務等網路環境中各個實體頒發數字證書,以證明身份的真實性,並負責在交易中檢驗和管理證書;
ca對數字證書的簽名使得第三者不能偽造和篡改證書;
它是電子商務和網上銀行交易的權威性、可信賴性及公證性的第三方機構。
pki--公鑰基礎設施,是用於發放公開金鑰的一種渠道
cara--註冊
directory-大量的查詢操作-少量的插入、刪除和修改
pki簽發證書,證書**列表
證書服務--分層次的證書頒發體系
ca的功能
1.證書的申請。**早請或離線申請
2.證書的審批。**審核或離線審核
3.證書的發放。**發放或離線發放
4.證書的歸檔。
5.證書的撤銷。
6.證書的更新。人工金鑰更新或自動金鑰更新
7.證書廢止列表crl的管理。
8.ca本身的管理和ca自身金鑰的管理。
個人證書、單位證書、伺服器證書、**簽名證書、vpn證書、無線應用證書
公鑰證書的主要內容身份證主要內容
--持有者標識姓名
--序列號身份證號碼
--公鑰(n,e**
--有效期有效期
--簽發者標識簽發單位
--ca的數字簽名 --簽發單位蓋章、防偽標誌
使用證書提供的服務
--web認證和專有通道
--簽名和加密的資訊傳遞
--簽名的事務和表單簽發
--網路作業系統、主機和大型認證
--遠端訪問
--虛擬專用網
--檔案加密
ssl協議概述
--資料保密:連線是保密安全的。在初始化的握手協議協商加密金鑰之後傳輸的訊息均為加密的訊息。加密的演算法為私鑰加密演算法如des、rc4、idea等。
--身份認證:通訊雙方的身份是可以通過公鑰加密演算法如rsa、dss等簽名來驗證,杜絕假冒。
--資料據完整性:hash函式例如sha、md5等被用來產生訊息摘要mac。所傳輸的訊息均包含數字簽名,以保證訊息的完整性。這保證連線是可靠的。
ssl子協議:
ssl記錄協議、ssl握手協議、ssl更改密碼規格協議、ssl警報協議
它位於應用層與傳輸層之間。
ssl記錄協議的內容:應用資料、分段、壓縮、新增mac、加密、附加ssl記錄報頭
基於ssl的乙個完整的web訪問過程
客戶端 c.客戶機瀏覽器的數字證書和公鑰伺服器
>s.伺服器的數字證書和公鑰
>s.用伺服器的私鑰解密資訊 s.用客戶機瀏覽器的公鑰加密會話金鑰 (s,c).用會話金鑰加密傳輸的資料 <>ssl-vpn特性 一、安全的協議(443號埠) 1.ssl vpn採用了ssl協議,介於http層及tcp層。 2.通過ssl vpn是接入企業內部的應用,而不是企業的整個網路。沒有控制的聯入整個企業的網路是非常危險的。 3.採用ssl安全協議在網路中加密傳輸,對於gateway上的防火牆來講,只需要開啟有限的安全埠即可,不需要將所有對應應用的埠開放給公網使用者,這樣大大降低了整個網路被公網來的攻擊的可能性。 4.資料加密的安全性有加密演算法來保證,這個各家公司的演算法可能都不一樣,有標準的演算法比如des,3des,rsa等等也有自己的加密演算法。黑客想要竊聽網路中的資料,就要能夠解開這些加密演算法後的資料報。 1網路安全解決方案主要內容 網路安全是一項動態的 整體的系統工程,從技術上來說,網路安全由安全的作業系統 應用系統 防病毒 防火牆 入侵檢測 網路監控 資訊審計 通訊加密 災難恢復 安全掃瞄等多個安全元件組成,乙個單獨的元件是無法確保您資訊網路的安全性。網路安全解決方案主要針對一些普遍性問題和所應採... 1.ipconfig 的用法 ipconfig all 顯示本機tcp ip配置的詳細資訊 ipconfig release dhcp客戶端手工釋放ip位址 ipconfig renew dhcp客戶端手工向伺服器重新整理請求 ipconfig flushdns 清除本地dns快取內容 ipconf... 隨著資訊科技的廣泛應用,越來越多的人通過網路交流溝通 密切關係 成就事業 實現夢想,網路已成為人們工作 生活 學習不可或缺的工具,網路空間越來越成為人類生產生活的新空間。資訊科技和網路的快速發展應用在極大促進經濟社會發展的同時,也帶來各種新的網路安全問題,病毒木馬傳播 黑客攻擊破壞 網路盜竊詐騙 有...網路安全相關知識
網路安全網路安全
網路安全知識競賽工作總結