计算机网络读书笔记7

发表于 | 分类于 |

计算机网络读书笔记7

计算机网络中的安全

  • 计算机网络中的安全问题包括:恶意软件攻击、拒绝服务、嗅探、源伪装以及报文的修改和删除等。
  • 安全通信的特性:机密性(confidentiality)、报文的完整性(messageintegrity)、端点鉴别(end-point authentication)、运行时安全(operational security)
  • 密码学是网络安全的基石
  • 对称密钥系统:在对称密钥系统中,通信双方具有相同的密钥并且是秘密的
  • 公开密钥系统:使用一对密钥:一个密钥为双方两人所知,另一个密钥只有某一方自己知道了
  • 块密码:块密码是对称加密技术的一种宽泛类型,用在多种因特网技术的机密中,包括PGP(用于安全电子邮件)/SSL(用于使TCP链接更安全)/IPses(用于使网络层传输更安全)
  • 在块密码中,要加密的报文被处理成k比特的块,每块报文独立加密,将k比特的明文加密成k比特的密文.
  • 目前一些流行的块密码包括DES(数据加密标准)/3DES和AES(高级加密标准).
  • RSA算法是公开密钥密码的常用算法.因为RSA所要求的的指数运算是相当耗费时间的过程,所以在实际应用中,RSA通常与对称密码结合使用.例如Alice要向Bob发送大量的加密数据.首先,Alice选择一个用于加密数据本身的密钥,称为为会话密钥.Alice使用Bob的公钥加密该会话密钥.Bob接收到RSA加密的会话密钥后解密获得该会话密钥.
  • 密码散列函数附加要求:找不到任意两个不同的报文x和y使得H(x)=H(y),在计算是不可能的.MD5是目前广泛使用的一种散列算法.
  • 报文鉴别码(MAC)。为了执行报文完整性,除了使用散列函数外,Alice和Bob需要共享一个比特串s(称为鉴定密钥),Alice将报文m与s级联生成m+s,并计算散列H(m+s).H(m+s)被称为报文鉴别码(MAC).
  • 数字签名:在数字领域,人们通常需要指出一个文件的所有者或创造者,或者表明某人认可一个文件的内容,数字签名就是一种在数字领域实现这些目标的密码技术.
  • 因为加密和解密的计算过于昂贵,通常对报文散列签名而不是对报文本身签名.
  • 公钥认证:数字签名的一个重要应用是公钥认证,证实一个公钥属于某个特定实体.
  • 将公钥和特定实体绑定通常是由认证中心(CA) 完成的,CA的职责就是使识别和发行证书合法化.
  • CA的作用:
    • CA证实一个实体(一个人/一台路由器等)的真实身份.
    • 一旦CA验证了某个实体的身份,这个CA会生成一个将其身份和实体的公钥绑定起来的证书.
  • 端点鉴别:一个实体经过计算机网络向另一个实体证明其身份的过程.
  • 不重数:在一个协议的生存期只使用一次的数.不重数和对称密钥加密是鉴别协议的基础.
  • 安全套接字(SSL):安全性服务加强的TCP,该安全性包括机密性/数据完整性/端点鉴别.
  • SSL将数据流分割成记录,对每个记录附加一个MAC用于完整性检查,然后加密该”记录+MAC”
  • IP安全协议被称为IPsec,为网络层提供安全性.
  • 许多机构使用IPsec创建了运行在公共因特网之上的虚拟专用网(VPN)
  • IPsec提供了安全性/源鉴别/数据完整性/重放攻击防护这些安全服务的机制.
  • IPsec协议族中,有两个主要的协议:鉴别首部协议(AH)和封装安全性载荷协议(ESP).AH协议提供别和数据完整性服务,但不提供机密性服务.因机密性通常对VPN和其他IPsec应用过至关重要,所以ESP协议的使用比AH协议要广泛的多。
  • 安全关联。在从源实体想目标实体发送IPsec数据之前,源和目的实体创建了一个网络层逻辑连接。这个逻辑连接称为安全关联(SA)。SA是一个单工逻辑连接;也就是说,它是从源到目的单向的。如果两个实体互相发送安全数据报,需要创建两个SA。
  • 一个IPsec实体在它的安全关联数据库(SAD)中存储所有SA的状态信息,SAD的实体操作系统内核中的一个数据结构。
  • 除了SAD外,IPSec实体也维护另一个数据结构,成为安全策略库(SPD)。该SPD指示哪些类型的数据报(作为源IP地址、目的IP地址和协议类型的函数)将被IPsec处理;并且对这些将被IPsec处理的数据报应当使用哪个SA。
  • 防火墙是一个硬件和软件的结合体,它将一个机构的内部网络与整个因特网隔离开,允许一些数据分组通过而阻止另一些数据分组通过。防火墙的三个目标
    • 从外部到内部和从内部到外部的所有流量都通过防火墙。
    • 仅被授权的流量(由本地安全策略定义)允许通过。
    • 防火墙自身免于渗透。
  • 防火墙能够分为三类:传统分组过滤器、状态过滤器、应用程序网关。
  • 分组过滤器独立的检查每个数据报,然后基于管理员特定的规则决定数据报应当允许通过还是应当丢弃。过滤决定通常基于下列因素:
    • IP源和目的地址
    • 在IP数据报中的协议类型字段:TCP、UDP、ICMP、OSPF等。
    • TCP或UDP的源和目的端口。
    • TCP标志比特:SYN、ACK等。
    • ICMP报文类型
    • 数据报离开和进入网络的不同规则
    • 对不同路由器接口的不同规则
  • 当观察到潜在恶意流量时能产生警告的设备车成卫入侵检测系统(IDS),滤除可疑流量的设备称为入侵防止系统(IPS)。因为这些系统最为有趣的 技术方面是它们检测可以流量的原理。因此将IPS和IDS统称为IDS系统。
  • IDS系统大致可分为基于特征的系统基于异常的系统
  • 基于特征的系统维护了一个范围广泛的攻击特征数据库。每个特征是和一个入侵活动相关联的规则集。
  • 基于异常的系统最大的特点是他们不依赖现有攻击的以前知识。
  • 迄今为止,大多数部署的IDS系统都是基于特征的。