网络安全技术5

Posted on Edited on In ,

网络安全技术名词汇总

信息安全

computer security: 保持机密性,完整性和可用性(CIA)

confidentiality:机密性

integrity:完整性

availability:可用性

authentication:鉴别性

accountability:问责

security attack:损害信息安全的动作

security mechanism:检测,预防安全攻击或从安全攻击中恢复的步骤

security service:用来抵御安全攻击,通过安全机制来提供服务

design principle:

  1. Economy of mechanism
  2. Fail-safe default
  3. Complete mediation
  4. Open design
  5. Separation of privilege
  6. Least privilege
  7. Least common mechanism
  8. Psychological acceptability
  9. Isolation

attack surface:network, software, human

系统安全

authentication:端点鉴别

authorization:授权

auditing:审计,判断动作是否允许

access control mechanism(ACM): ACLs or Capabilities

Trusted Computing Base(TCB): 不可绕过,防篡改,尽可能简单

设计原则:同信息安全,KISS

网络安全

network security:机密性,端点鉴别,消息完整性,可访问性与可用性

唯密文攻击:只有密文

已知明文攻击:已知一部分明文及其密文

选择明文攻击:可以选择一段明文并得到对应密文

对称加密,公钥加密

单表代换和多表代换

RSA:p和q,n和z,e和d

会话密钥:就是一个对称的,共享的密钥,用公钥加密来传输

authentication:几个ap

  1. ap1:直接说
  2. ap2:带IP地址
  3. ap3:带密钥
  4. ap3.1:带加密后的密钥
  5. ap4:带nonce,bob发送一个nonce给alice,alice加密后发送给bob
  6. ap5:发回的nonce用alice的私钥加密

数字签名:用自己的私钥加密,有时先hash再加密,即K-(H(m))

消息认证码MAC:计算hash值,有时会带上密钥,即H(m||s)

校验和:略

证书颁发机构CA:略

安全邮件:三部分,签名,消息和会话密钥

  1. 签名:先hash再用私钥加密
  2. 消息:和签名一起被会话密钥加密
  3. 会话密钥:用bob的公钥加密

类SSL:握手,密钥导出和数据传输

  1. 握手:创建TCP连接,验证身份,发送主密钥(MS)
  2. 密钥导出:使用MS生成4个密钥(两个会话加密密钥,两个会话MAC密钥)
  3. 数据传输:SSL将数据分割成记录,对每个记录附加一个MAC(=H(数据, MAC密钥))用于完整性检查,然后用会话加密密钥加密”记录+MAC”

将流分成多个记录,每个记录计算MAC

防止replay攻击,使用seq,MAC为H(数据||密钥||seq)

防止TCP关闭连接的攻击,使用内容类型,MAC为H(数据||密钥||seq||类型)

实际SSL的握手

  1. 先创建TCP连接
  2. 客户发送支持的算法列表,以及一个nonce
  3. 服务器选择一个对称算法,一个非对称算法和一个MAC算法。返回算法,证书和一个nonce
  4. 客户验证证书并提取公钥,生成一个前主密钥(PMS),发送用服务器公钥加密过的PMS
  5. 客户和服务器分别从PMS和不重数中计算出主密钥(MS),然后将该MS切片以生成4个密钥
  6. 客户发送所有握手消息的MAC
  7. 服务器发送所有握手消息的MAC

这里有个疑问:用PMS和nonce计算MS的具体操作?

IPsec:提供机密性、源鉴别、数据完整性和重放攻击防护

VPN:虚拟专用网

transport mode:传输模式,点到点

tunnel mode:隧道模式,路由器

AH:鉴别首部,提供源鉴别,数据完整性,无机密性

ESP:封装安全性载荷,提供源鉴别,数据完整性和机密性

SA&SAD:安全关联数据库,2+2n,包含以下:

  1. SPI
  2. 双方接口(IP)
  3. 加密类型和对应密钥
  4. 完整性检查类型和对应密钥

SPI:安全参数索引,SA标识符

IPsec数据报结构见《网络安全技术3》

SPD:安全策略库,指示哪些数据报将被IPsec处理,使用哪个SA

IKE:因特网密钥交换,自动生成SA,有以下两个阶段:

  1. 第一个阶段是两次报文对的交换:
    1. 第一次交换生成一次双向IKE SA,创建用于IKE SA的密钥
    2. 第二次交换。。。
  2. 第二个阶段在两侧生成了两个单向的SA

WEP:有线等效保密

  1. 计算ICV,得出数据帧
  2. 密钥和IV得出密钥流
  3. 数据帧和对应密钥异或加密

firewall:防火墙,有以下目标:

  1. 所有流量通过防火墙
  2. 仅授权流量通过
  3. 自身防渗透

stateless packet filter:无状态过滤器

state packet filter:状态过滤器,可以追踪连接来核对连接

IDS:入侵检测系统,检测到可疑流量后产生告警

IPS:入侵防止系统,滤除可疑流量