网络安全基础
网络安全信息数据5大特征:
- 完整性:信息数据完整不破坏
- 保密性:信息数据需授权不泄露
- 可用性:信息数据攻击后迅速恢复可用
- 不可否认性:信息数据参与者不可否认不可抵赖,身份真实有效。
- 可控性:信息数据可以管控传播范围。
3要素:完整性、保密性、可用性。
网络安全基本技术:
- 数据加密:数据按照规则打乱,重新组合
- 数字签名:证明发送者签发,也可验证完整性
- 身份认证:用户合法性,身份真实没假冒
- 防火墙:控制内外网数据进出,阻挡病毒木马
- 入侵检测:采用异常检测特征保护网络
- 网络隔离:内外网隔离分开使用
信息加密技术
对称:DES(数据加密标准)、3DES(三重DES加密)、IDEA(国际数据加密算法)、AES(高级加密标准)、RC4(流加密算法)
非对称加密:RSA(基于大素数分解)、ECC(椭圆曲线密码编码学)、Elgamal(基于离散对数)
公钥加密RSA:加密体系,公钥加密,私钥解密。(签名体系:私钥加密/签名,公钥加密/认证)
- 选两个大素数p和q
- 令n=p*q,z=(p-1)*(q-1)
- 符合公式e*d mod z =1,e公钥,d私钥。
数字签名技术
数字签名技术:数字签名用于确认发送者身份和消息完整性。满足三个条件:
- 接受者能够核实发送者
- 发送者事后不能抵赖
- 接受者不能伪造签名
基于公钥的签名和加密体系过程:
- 对数据用发送方s的私钥进行签名,Ds(P)
- 然后用接收方r的公钥进行加密,Er(Ds(P))
- 接收方用接收方的私钥进行解密,Dr(Er(Ds(P))
- 接收方用发送方的公钥进行认证,Es(Dr(Er(Ds(P)))
密钥管理技术
密钥管理体系:KMI、PKI、SPK(助记:男人在外面PK,女人在家里KaiMen)
- KMI:密钥管理基础结构,第三方KDC,密码物理通道,适用于封闭的内网使用
- PKI:公钥基础结构,不依赖秘密物理通道,适用于开放的外网
- SPK:适用于规模化专用网。
虚拟专用网VPN
VPN技术:
- 建立在公网上
- 虚拟性,没有专用物理连接
- 专用性,非VPN用户无法访问
VPN四个关键技术
- 隧道技术
- 加解密技术
- 密钥管理技术
- 身份认证技术
VPN三种应用解决方案:
- 内联网VPN(Intranet VPN):企业内部用于连通总部和分部各个LAN。
- 外联网VPN(Extranet VPN):企业外部用于实现企业与客户、银行、供应商互通。
- 远程接入VPN(Acess VPN):解决远程用户出差访问企业内部网络。
VPN在七层协议中使用的技术
- 二层
- PPP点对点协议
- LCP链路控制协议(2层)
- NCP网络控制协议(3层)
- PAP口令认证协议(明文)
- CHAP挑战握手协议(密文)
- PPTP点对点隧道协议
- PAC:PPTP接入集中器
- PNS:PPTP网络服务器
- L2TP第二层隧道协议
- LAC:L2TP访问集中器
- LNS:L2TP网络服务器
- PPTP与L2TP的区别比较(助记:L2TP一个字“好”,四个字“好好好好”)
- PPTP要求IP网络,L2TP适用各种网络
- PPTP只能建立1条隧道,L2TP建立多条
- PPTP包头占用6字节,L2TP占用4字节
- PPTP不支持隧道验证,L2TP支持。
- 三层
- IPSec(IP安全性),在IP层通过加密与数据源验证,来保证数据包传输安全
- 认证头AH,用于数据完整性和数据源认证、防重放。
- 封装安全负荷ESP,提供数据保密、数据完整、辅助防重放
- 密钥交换协议IKE,生产分发密钥。
- IPSec两种模式:传输模式和隧道模式:
- 传输模式包结构:原来的IP头+AH+载荷
- 隧道模式包结构:新IP头+AH+原来IP头+载荷。
- GRE通用路由封装协议
- 四层:SSL/TLS(安全套接层)
- SSL安全套接层和TLS(传输层安全标准)是双胞胎,在传输层上4.5层套接安全协议。SSL/TLS被称为HTTPS,工作在传输层,对传输层、应用层都可以控制。
- 包结构:IP头+TCP头+SSL记录协议层+握手(SSL握手协议)+加密参数修改(SSL改变密码协议)+告警(SSL警告协议)
- SSL和IPSec的区别比较:
- IPSec在网络层建立隧道,适用于固定的VPN。SSL是通过应用层的web连接建立的,适合移动用户远程访问公司的VPN。
- IPSec工作在网络层,灵活性小。SSL工作在传输层,灵活性大。
以上是为准备网络工程师考试的学习大涛老师18年视频的笔记,在此记录以备复习。