文章目錄

• 1.網絡安全的概念
• • 網絡安全的定義
  • 網絡安全的屬性
  • 網絡攻擊
  • • 主動攻擊
    • 被動攻擊
• 2.網絡協議基礎
• • 協議層次
  • 協議分析
  • • ARP協議
    • SMTP協議
    • POP3協議
    • HTTP協議
• 3.消息鑒別與身份認證
• • 消息鑒別協議
  • 身份認證方式
  • Kerberos認證系統
  • PKI技術
  • • PKI提供的服務
    • PKI的主要組件
  • 數字證書
• 4.密碼學在網絡安全中的應用
• • 對稱密碼體制/非對稱密碼體制
  • 數字簽名
• 5.Internet安全
• • IPSec協議
  • SSL/SET的思想
  • PGP技術
  • 常見的欺騙技術
  • • ARP欺騙
    • IP欺騙
    • Web欺騙
• 6.防火墻技術
• • 防火墻的概念
  • 防火墻的設計目標
  • 防火墻的作用
  • 防火墻的分類

1.網絡安全的概念

網絡安全的定義

ISO對網絡安全的定義：網絡系統的軟件、硬件以及系統中存儲和傳輸的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，網絡系統連續可靠正常地運行，網絡服務不中斷。

網絡安全的屬性

機密性： 保證信息與信息系統不被非授權的用戶、實體或過程所獲取與使用
完整性： 信息在存貯或傳輸時不被修改、破壞，或不發生信息包丟失、亂序等
可用性： 信息與信息系統可被授權實體正常訪問的特性，即授權實體當需要時能夠存取所需信息
可控性： 對信息的存儲于傳播具有完全的控制能力，可以控制信息的流向和行為方式
真實性： 也就是可靠性，指信息的可用度，包括信息的完整性、準確性和發送人的身份證實等方面，它也是信息安全性的基本要素

其中，機密性、完整性和可用性通常被認為是網絡安全的三個基本屬性（CIA三要素）

網絡攻擊

主動攻擊

主動攻擊則是攻擊者訪問他所需信息的故意行為，一般會改變系統資源或影響系統運作。
主動攻擊包括對數據流進行篡改或偽造數據流，可分為四類：偽裝、重放、消息篡改和拒絕服務。
（1）偽裝是指某實體假裝成別的實體。典型的比如：攻擊者捕獲認證信息，并在其后利用認證信息進行重放，這樣它就可能獲得其他實體所擁有的權限。
（2）重放是指將攻擊者將獲得的信息再次發送，從而導致非授權效應。
（3）消息修改是指攻擊者修改合法消息的部分或全部，或者延遲消息的傳輸以獲得非授權作用。
（4）拒絕服務指攻擊者設法讓目標系統停止提供服務或資源訪問，從而阻止授權實體對系統的正常使用或管理。典型的形式有插入所有發向某目的地的消息，以及破壞整個網絡，即或者使網絡失效，或者是使其過載以降低其性能。

被動攻擊

被動攻擊試圖收集、利用系統的信息但不影響系統的正常訪問，數據的合法用戶對這種活動一般不會覺察到。
被動攻擊采取的方法是對傳輸中的信息進行竊聽和監測，主要目標是獲得傳輸的信息。
有兩種主要的被動攻擊方式：信息收集和流量分析。

圖1-信息收集

圖2-流量分析

2.網絡協議基礎

協議層次

• 物理層： 考慮用多大的電壓代表所傳輸的比特，以及接收方如何識別出這些比特
• 數據鏈路層： 包括操作系統中的設備驅動程序和計算機中對應的網絡接口卡，負責處理與傳輸電纜的物理接口細節
• 網絡層： 負責處理分組在網絡中的活動，例如分組的選路
• 傳輸層： 負責向兩個主機中進程之間的通信提供通用的數據傳輸服務，傳輸層主要是提供端到端的通信
• 應用層： 定義應用進程間通信和交互的規則,負責通過應用進程間的交互來完成特定網絡應用。應用層的協議有支持萬維網應用的HTTP協議，支持電子郵件的SMTP協議等

? 分層的好處：
各層之間是獨立的。某一層并不需要知道它的下一層是如何實現的，而僅僅利用層間接口提供的服務。
靈活性好。當任何一層發生技術變化時，只要層間接口的關系不變，其他層不會受到影響。
結構上可分割開。各層都可以采用最合適的技術來實現。
易于實現和維護。使得調試一個復雜系統變得容易處理。
能促進標準化工作。

協議分析

ARP協議

ARP協議是一種將IP地址轉換成物理地址的協議，以便設備能夠在共享介質的網絡（如以太網）中通信。利用ARP緩存表記錄IP地址與MAC地址的對應關系，如果沒有此項記錄，則通過ARP廣播獲得目的主機的MAC地址

• 利用ARP協議實施攻擊
  原因：基于通信多方都是誠實的基礎上
  方式：建立錯誤的ARP緩存表

SMTP協議

SMTP（Simple Mail Transfer Protocol）簡單郵件傳輸協議，一組用于由源地址到目的地址傳送郵件的規則，用來控制信件的中轉方式，屬于TCP／IP協議族的應用層協議，幫助每臺計算機在發送或中轉信件時找到下一個目的地，通過SMTP協議所指定的服務器，我們就可以把E－mail寄到收信人的服務器上

POP3協議

POP3（Post Office Protocol 3）是郵局協議的第3個版本，規定怎樣將個人計算機連接到Internet的郵件服務器和下載電子郵件的電子協議，是因特網電子郵件的第一個離線協議標準，允許用戶從服務器上把郵件存儲到本地主機，同時刪除保存在郵件服務器上的郵件。與SMTP協議相結合，POP3是目前最常用的電子郵件服務協議

HTTP協議

HTTP （Hypertext Transfer Protocol，超文本傳輸協議），HTTP是一種請求/響應式的協議。客戶機與服務器建立連接后，發送一個請求給服務器；服務器接到請求后，給予相應的響應信息。

• HTTP 協議本身也是無連接的，雖然它使用了面向連接的 TCP 向上提供的服務
• HTTP的無狀態性： HTTP無法記住同一用戶連續兩次相同的連接
  客戶端瀏覽器向HTTP服務器發送請求，繼而HTTP服務器將相應的資源發回給客戶端這樣一個過程中，無論對于客戶端還是服務器，都沒有必要記錄這個過程，因為每一次請求和響應都是相對獨立的。
• 解決HTTP的無狀態性——Cookie
  有了Cookie這樣的技術實現，服務器在接收到來自客戶端瀏覽器的請求之后，就能夠通過分析存放于請求頭的Cookie得到客戶端特有的信息，從而動態生成與該客戶端相對應的內容。
  通常，我們可以從很多網站的登錄界面中看到“請記住我”這樣的選項，如果你勾選了它之后再登錄，那么在下一次訪問該網站的時候就不需要進行重復而繁瑣的登錄動作了，而這個功能就是通過Cookie實現的。
  Cookie帶來的新問題：獲取用戶的個人隱私

3.消息鑒別與身份認證

消息鑒別協議

• 消息鑒別協議的核心——鑒別函數
  鑒別算法：底層實現的一項基本功能
  鑒別功能要求底層必須實現某種能生成鑒別標識的算法
  鑒別標識（鑒別符）是一個用于消息鑒別的特征值
  鑒別標識的生成算法用一個生成函數f來實現，稱為鑒別函數
  鑒別協議
  接收方用該協議來完成消息合法性鑒別的操作
  認證協議調用底層的認證算法（鑒別函數），來驗證消息的真實性
  鑒別函數f是決定認證（鑒別）系統特性的主要因素

• 如何利用鑒別函數構造鑒別協議
  一個簡單的消息認證實例：一個短的字符串V追加到消息M之后，用以認證該消息
  發送方： M || V
  接收方： M || V，判斷Yes/No
  這個V可以是：
  消息加密函數：用完整信息的密文作為對信息的認證
  消息認證碼：是密鑰和消息的公開函數，產生一個固定長度的值作為認證標識
  散列函數：是一個公開的函數，將任意長度的消息映射成一個固定長度的串，作為認證值

身份認證方式

• 身份認證概念：身份認證是計算機及網絡系統識別操作者身份的過程

• 常用的身份認證方式：

用戶名/口令方式 優點：最常用且簡單；缺點：密碼容易泄露，密碼容易在傳輸過程中被截獲

IC卡認證 優點：簡單易行；缺點：很容易被內存掃描或網絡監聽等黑客技術竊取

USB key認證 優點：方便、安全、經濟；缺點：依賴硬件安全性

生物特征認證 優點：安全性最高；缺點：技術不成熟，準確性和穩定性有待提高

動態口令 優點：一次一密，較高安全性；缺點：使用繁瑣可能造成新的安全漏洞

Kerberos認證系統

• Kerberos：一種基于對稱密鑰、在網絡上實施身份認證的服務
• Kerberos特征：
  （1）提供一種基于可信第三方的認證服務
  KDC作為第三方，若用戶與服務器都信任KDC，則Kerberos就可以實現用戶與服務器之間的雙向鑒別。如果KDC是安全的，并且協議沒有漏洞，則認證是安全的
  （2）安全性
  能夠有效防止攻擊者假冒合法用戶
  （3）可靠性
  Kerberos服務自身可采用分布式結構，KDC之間互相備份
  （4）透明性
  用戶只需要提供用戶名和口令，工作站代替用戶實施認證的過程
  （5）可伸縮性
  能夠支持大量用戶和服務器

PKI技術

PKI(Public Key Infrastructure，公鑰基礎設施)，是一個基于公鑰概念和技術實現的、具有通用性的安全基礎設施。
PKI公鑰基礎設施的主要任務是在開放環境中為開放性業務提供公鑰加密和數字簽名服務。
PKI是生成、管理、存儲、分發和吊銷基于公鑰密碼學的公鑰證書所需要的硬件、軟件、人員、策略和規程的總和。

PKI提供的服務

• 數據傳輸的機密性（避免被截獲）
• 數據交換的完整性（避免被篡改）
• 發送信息的不可否認性（避免事后不承認）
• 交易者身份的確定性（避免被假冒）
• 解決安全問題
  建立安全證書體系結構。提供在網上驗證身份的方式。主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。

PKI的主要組件

（1）證書授權中心（CA）
證書簽發機構，是PKI的核心，是PKI應用中權威的、可信任的、公正的第三方機構。主要負責產生、分配并管理所有參與網上交易的實體所需的身份認證數字證書。
（2）證書庫
證書的集中存放地，提供公眾查詢。
（3）密鑰備份及恢復系統
對用戶的解密密鑰進行備份，當丟失時進行恢復。
（4）證書撤銷處理系統（CRL）
證書由于某種原因需要作廢，終止使用，將通過證書撤銷列表CRL來實現。
（5）PKI應用接口系統
為各種各樣的應用提供安全、一致、可信任的方式與PKI交互，確保所建立起來的網絡環境安全可靠，并降低管理成本。

數字證書

數字證書就是互聯網通訊中標識通訊各方身份信息的一系列數據，提供了一種在Internet上驗證身份的方式，其作用類似于駕駛執照或身份證。
數字證書是一個經數字證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。獲得證書的人只要信任這個證書授權中心，就可以相信他所獲得的證書。
數字證書的作用： 運用密碼技術建立起的一套嚴密的身份認證系統，從而保證信息除發送方和接收方外不被其它人竊取或篡改。

4.密碼學在網絡安全中的應用

對稱密碼體制/非對稱密碼體制

• 對稱加密(Symmetric Key Encryption)
  對稱加密是最快速、最簡單的一種加密方式，加密（encryption）與解密（decryption）用的是同樣的密鑰（secret key）。對稱加密有很多種算法，由于它效率很高，所以被廣泛使用在很多加密協議的核心當中。
  對稱加密算法的優點：算法公開、計算量小、加密速度快、加密效率高。
  對稱加密算法的缺點：交易雙方都使用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發收信雙方所擁有的鑰匙數量呈幾何級數增長，密鑰管理成為用戶的負擔。對稱加密算法在分布式網絡系統上使用較為困難，主要是因為密鑰管理困難，使用成本較高。而與公開密鑰加密算法比起來，對稱加密算法能夠提供加密和認證卻缺乏了簽名功能，使得使用范圍有所縮小。
  常用的對稱加密算法包括DES、3DES、AES、Blowfish、RC4、RC5、RC6等。
• 非對稱加密(Asymmetric Key Encryption)
  非對稱加密為數據的加密與解密提供了一個非常安全的方法，它使用了一對密鑰，公鑰（public key）和私鑰（private key）。私鑰只能由一方安全保管，不能外泄，而公鑰則可以發給任何請求它的人。非對稱加密使用這對密鑰中的一個進行加密，而解密則需要另一個密鑰。比如，你向銀行請求公鑰，銀行將公鑰發給你，你使用公鑰對消息加密，那么只有私鑰的持有人–銀行才能對你的消息解密。與對稱加密不同的是，銀行不需要將私鑰通過網絡發送出去，因此安全性大大提高。
  非對稱加密算法的優點：安全性更高，公鑰是公開的，秘鑰是自己保存的，不需要將私鑰給別人。
  非對稱加密算法的缺點：加密和解密花費時間長、速度慢，只適合對少量數據進行加密。
  常見的非對稱加密算法：RSA、DSA（數字簽名用）、ECC（移動設備用）、Diffie-Hellman、 Elgemal等。
• 混合加密體制
  同時利用對稱加密和公鑰加密進行優勢互補，從而達到快速而安全的加密。混合密碼體制用公鑰密碼加密一個用于對稱加密的短期密碼，再由這個短期密碼在對稱加密體制下加密實際需要安全傳輸的數據。（公鑰密碼體制與私鑰密碼體制結合）

數字簽名

• 數字簽名（Digital Signature, DS），是指附加在某一電子文檔中的一組特定的符號或代碼
  對電子文檔進行關鍵信息提取，并通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章

• 數字簽名的作用：防止通信雙方之間的欺騙和抵賴行為

• 數字簽名的功能
  防抵賴：發送者事后不能否認
  防篡改：接收者不能對發送者的消息進行部分篡改
  防偽造：接收方不能偽造消息并聲稱來自對方
  防冒充（身份認證）：驗證網絡實體的身份

• 數字簽名的擴展
  代理簽名
  群簽名
  盲簽名
  不可否認的數字簽名
  門限的數字簽名
  ……

5.Internet安全

IPSec協議

• 思想：使用IP封裝技術，對純文本的包加密，封裝在外層的IP數據報的首部里，用來對加密的包進行路由。到達接收端時，外層的IP報頭被拆開，報文被解密。
• 目的：使需要安全服務的用戶能夠使用相應的加密安全體制，且該體制與算法無關，即使替換了加密算法也不會對其他部分產生影響
• IPSec能提供的安全服務包括
  訪問控制、完整性、數據源認證、抗重播(replay)保護、保密性和有限傳輸流保密性在內的服務
• IPSec的特點
  1.在操作系統內部實現安全功能，在不需要修改應用程序的前提下，為多個應用提供安全保護
  2.IPSec獨立于鑒別和加密算法，在一個基本框架上可使用不同的鑒別和加密模塊以滿足不同的安全需要
  3.IPSec實現在傳輸層以下，因此對于應用程序和用戶都是透明的

圖3-IPSec框架

• IPSec使用兩個不同的協議：AH協議和ESP協議來保證通信的認證、完整性和機密性
  IP頭部認證（AH）提供無連接的完整性驗證、數據源認證、選擇性抗重放服務
  封裝安全負載（ESP）提供加密保障，完整性驗證、數據源認證、抗重放服務

• IPSec的兩種工作模式
  傳輸模式：用于主機到主機之間的直接通信
  隧道模式：用于主機到網關或網關到網關之間
  傳輸模式和隧道模式主要在數據包封裝時有所不同

• 傳輸模式下的AH
  AH頭插入到IP頭部之后、傳輸層協議之前；驗證范圍整個IP包，可變字段除外；與NAT沖突，不能同時使用
  

• 隧道模式下的AH
  AH插入到原始IP頭部之前，然后在AH外面再封裝一個新的IP頭部；驗證范圍整個IP包，也和NAT沖突
  

• 傳輸模式下的ESP
  保護內容是IP包的載荷（如TCP、UDP、ICMP等）；ESP插入到IP頭部之后，傳輸層協議之前；驗證和加密范圍不是整個IP包
  

• 隧道模式下的ESP
  保護的內容是整個IP包，對整個IP包加密；ESP插入到原始IP頭部前，在ESP外再封裝新的IP頭部
  

SSL/SET的思想

SSL（Secure Socket Layer，安全套接層）/TLS協議：用于在兩個通信應用程序之間提供保密性和數據完整性
SET（Secure Electronic Transaction）：是設計用于保護基于信用卡在線支付的電于商務的安全協議

• SSL提供的安全服務有三種
  （1）SSL服務器鑒別：允許用戶證實服務器的身份。支持SSL客戶端通過驗證來自服務器的證書，來鑒別服務器的真實身份并獲得服務器的公鑰。
  （2）SSL客戶鑒別：SSL的可選安全服務，允許服務器證實客戶的身份。
  （3）加密的SSL會話：對客戶和服務器間發送的所有報文進行加密，并檢測報文是否被篡改。
• SET提供三種服務
  （1）交易各方的安全通信
  （2）基于X.509證書的信任
  （3）消息的機密性保證

PGP技術

PGP（Pretty Good Privacy）：當前應用最廣的安全電子郵件技術，為電子郵件和文件存儲應用提供了認證和保密性服務
PGP采用的是混合加密方式，用對稱密碼算法對明文進行加密，保證了加密的速度；然后用非對稱密碼算法對加密密鑰進行加密，解決了對稱密碼算法中密鑰的管理問題。
采用一系列安全算法和機制，安全性已經得到了充分的論證
采用IDEA進行數據保密
采用RSA對加密密鑰進行加密和數字簽名
采用MD5/SHA1作為單向散列函數

常見的欺騙技術

ARP欺騙

• ARP欺騙就是一種通過虛假請求或響應報文，使得其它主機的ARP列表發生改變而無法正常通信的攻擊行為。
  主機發送虛假的請求報文或響應報文，報文中的源IP地址和源物理地址均可以偽造
• 針對主機的ARP欺騙
  冒充其它主機，接收該主機的信息
• 針對交換機的ARP欺騙
  利用工具產生欺騙MAC，并快速填滿交換機的MAC地址表

IP欺騙

• IP欺騙是使用其他計算機的IP來騙取連接，獲得信息或者得到特權

• 最基本的IP欺騙技術有三種
  （1）基本地址變化
  IP欺騙包括把一臺計算機偽裝成別人機器的IP地址的這種情況，所以IP欺騙最基本的方法是搞清楚一個網絡的配置，然后改變自己的IP地址，這樣做就可以使所有發送的數據包都帶有假冒的源地址
  （2）源路由機制
  需要使用源路由，它被包含在TCP/IP協議組中，源路由可使信息包的發送者將此數據包要經過的路徑寫在數據包里某些路由器對源路由包的反應是使用其指定的路由，并使用其反向路由來傳送應答數據。這就使得一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲取某些被保護數據
  （3）利用Unix機器上的信任關系
  在UNIX世界中，利用信任關系可以使機器之間的切換變得更加容易，特別是在進行系統管理的時候，管理員一般會使用信任關系和UNIX的r命令從一個系統方便的切換到另一個系統。 r命令允許一個人登錄遠程機器而不必提供口令，取代詢問用戶名和口令，遠程機器基本上使用IP地址來進行驗證，也就是說將會認可來自可信IP地址的任何人

• IP欺騙的高級應用——TCP會話劫持
  （1）會話劫持（Session Hijack），就是結合了嗅探以及欺騙技術在內的攻擊手段，在一次正常的會話中，攻擊者作為第三方參與到其中，或者是在數據流里注入額外的信息，或者是將雙方的通信模式暗中改變，從用戶之間的直接聯系轉變為通過攻擊者聯系
  （2）會話劫持的目的
  使攻擊者避開了被攻擊主機對訪問者的身份驗證和安全認證，從而使攻擊者直接進入對被攻擊主機的的訪問狀態，因此對系統安全構成的威脅比較嚴重
  例如，在一次正常的會話過程當中，攻擊者作為第三方參與到其中，他可以在正常數據包中插入惡意數據，也可以在雙方的會話當中進行監聽，甚至可以是代替某一方主機接管會話
  （3）TCP會話劫持
  首先要使被信任關系的主機失去工作能力，同時利用目標主機發出的TCP序列號，猜測出它的數據序列號，然后偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應用連接。連接成功后，欺騙者就可以設置后門以便日后使用。（工具：Juggernaut、Hunt等）
  （4）TCP會話劫持的難點
  攻擊者接收服務器的響應數據
  猜測序列號和獲取服務器的響應包是非常重要的，在整個攻擊過程中持續

Web欺騙

Web欺騙是一種電子信息欺騙，攻擊者創造了一個完整的令人相信的web世界，但實際上卻是一個虛假的復制。
攻擊者構建的虛擬網站就像真實的站點一樣。攻擊者切斷從被攻擊者主機到目標服務器之間的正常連接，建立一條從被攻擊者主機到攻擊者主機，再到目標服務器的連接。

6.防火墻技術

防火墻的概念

防火墻是位于兩個(或多個)網絡間，實施網間訪問控制的組件集合，通過建立一整套規則和策略來監測、限制、更改跨越防火墻的數據流，達到保護內部網絡的目的

防火墻的設計目標

• 內部和外部之間的所有網絡數據流必須經過防火墻；
• 只有符合安全政策的數據流才能通過防火墻；
• 防火墻自身能抗攻擊；

防火墻的作用

（1）保護內部網不受來自Internet的攻擊
（2）創建安全域
（3）強化機構安全策略
（4）保障內部網安全
（5）保證內部網同外部網的連通

防火墻的分類

（1）包過濾防火墻

• 基本的思想
  在網絡層對數據包進行選擇
  對于每個進來的包，適用一組規則，然后決定轉發或者丟棄該包
  通常在路由器上實現
  實際上是一種網絡的訪問控制機制
• 優點：
  實現簡單
  對用戶透明
  一個包過濾路由器即可保護整個網絡
• 缺點：
  正確制定規則并不容易
  不可能引入認證機制
  包過濾防火墻只通過簡單的規則控制數據流的進出，沒考慮高層的上下文信息

（2）應用層防火墻

• 基本思想
  在應用層上建立協議過濾和轉發功能
  針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告
• 優點：
  允許用戶“直接”訪問Internet
  易于記錄日志
• 缺點：
  新的服務不能及時地被代理
  每個被代理的服務都要求專門的代理軟件
  客戶軟件需要修改，重新編譯或者配置
  有些服務要求建立直接連接，無法使用代理
  比如聊天服務、或者即時消息服務
  代理服務不能避免協議本身的缺陷或者限制

（3）狀態監測防火墻

• 基本思想
  拓撲結構同應用程序網關相同
  接收客戶端連接請求代理客戶端完成網絡連接
  在客戶和服務器間中轉數據
• 優點：
  效率高
  精細控制，可以在應用層上授權
  為一般的應用提供了一個框架
• 缺點：
  客戶程序需要修改

總結

以上是生活随笔為你收集整理的计算机网络安全技术复习知识点总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。