计网学习笔记十九.网络安全基本原理

(81) 2024-04-22 20:01:01

目录

网络安全基本概念

拟人场景: Alice、Bob、Trudy

网络安全威胁

攻击者行为

攻击的一些方式和对策

映射

分组嗅探

IP欺骗

DOS拒绝服务

密码学基础

密码学(cryptography)术语

对称密钥加密

公开密钥加密

激活成功教程加密方法

传统加密方法

替代密码

换位(transpositions)密码

现代加密技术

流密码

分组密码

数据加密标准: DES

高级加密标准AES

公钥密码学、RSA加密

RSA的实际应用

身份认证(Authentication)

协议ap1.0

协议ap2.0

协议ap3.0

协议ap3.1

ap4.0

ap5.0

报文完整性

密码散列函数

散列函数算法

报文摘要(Message digests)

报文认证(验证报文的是否被篡改)

报文认证码MAC

数字签名


这一章节,讲攻击方式、加密方式、报文摘要可以学习,往后的数字签名就不用看了,越看越乱,看极客时间的https章节更清晰。

网络安全基本概念

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第1张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第2张   计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第3张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第4张

拟人场景: Alice、Bob、Trudy

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第5张计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第6张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第7张

网络安全威胁

攻击者行为

拒绝服务,让服务器没有足够的cpu或者带宽去工作

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第8张

攻击的一些方式和对策

映射

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第9张

分组嗅探

嗅探(Sniffers)一般是指使用嗅探器对数据流的数据截获与分组分析。嗅探(Sniffers)安装了嗅探器的计算机能够接收局域网中计算机发出的数据包,并对这些数据进行分析。以太网中是基于广播方式传送数据的,所有的物理信号都要经过主机节点。TCP/IP 协议栈中的应用协议大多数明文在网络上传输,明文数据可能会包含一些敏感信息(如账号、密码、银行卡号等)。使用嗅探工具后,计算机则能接收所有流经本地计算机的数据包,从而实现盗取敏感信息。由于嗅探器的隐蔽性好,只是被动接收数据,而不向外发送数据,所以在传输数据的过程中,难以觉察到有人监听。

以太网中是基于广播方式传送数据的,所有的物理信号都要经过主机节点。以太网交换机有自学习的过程,自学习中会泛洪,导致主机收到不属于自己的帧,所以嗅探有可能拿到其他主机的包

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第10张计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第11张

IP欺骗

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第12张计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第13张

DOS拒绝服务

之前学过tcp三次握手,第一次握手服务端会分配资源,大量向服务器发送第一次握手让服务器耗尽资源,就是SYB攻击

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第14张

构建僵尸网络控制一些主机,然后控制僵尸主机向目标主机攻击

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第15张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第16张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第17张

有一种对策是SYN cookie,服务器在第一次握手不会建立资源,但返回的报文序号是       hash  (源IP地址,目的IP地址, 源端口号,目的端口号,R)R是服务器端产生的数,如果第三次握手的序号正确、和之前给的报文序号一致才会分配资源。

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第18张

密码学基础

密码学的最基本内容

密码学(cryptography)术语

很多加密算法是公共的,谁都知道,光靠算不不够,需要利用参数或规则加密

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第19张

对称密钥加密

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第20张

公开密钥加密

公钥是公开的,谁都可以知道,私钥是私密的,公钥加密、私钥解密。

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第21张

激活成功教程加密方法

统计分析:如一些字母组合是有出现概率的,通过概率去分析。

字母替代加密:知道字母的互相替代关系,就相当于激活成功教程了

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第22张

传统加密方法

替代密码

凯撒密码:固定用该字母后面的第k个字母替代,替代关系是固定的,安全性很低。

单码替代:固定两个字母间的替代关系,a用m替代

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第23张

多玛替代:两个a可能会被不同的字母替代。下面例子,第一个a用f替代,第二个a用t替代

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第24张

换位(transpositions)密码

先分成几组,每组有个置换规则,把iloveyou 分成两组,分别按照规则f置换

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第25张

列置换:4列矩阵,规则(2,3,1,4)先输出2列、再3列..  

解密,字符串长度除以4=3,新矩阵:3列,按照规则,把密文的第一串 3个字母ooo当做矩阵的第2行,第二串bvu当做矩阵的第三行...

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第26张

用单次来代替秘钥,算法不变

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第27张

现代加密技术

流密码

z0z1z2可以是字节、或bit。用z对数据加密,加密方式是异或运算

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第28张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第29张

分组密码

分组秘钥加密的方式可能是前面的换位等等。

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第30张

feistel加密很多轮

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第31张      计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第32张

数据加密标准: DES

des加密的历史

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第33张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第34张计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第35张

把明文分组后,按置换表组合,比如第58组放到第一组

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第36张

一轮DES加密过程:然后分成左右两部分,右边R作为下一轮的L,左边L经过函数f计算得到下一轮的R。继续循环。函数f会用到子秘钥,秘钥由最初的秘钥压缩变换而来,下一轮的秘钥跟本轮秘钥有关

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第37张

des的安全隐患

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第38张

高级加密标准AES

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第39张     计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第40张

公钥密码学、RSA加密

对称密钥加密:

  • 需要发送方与接收方知 道共享的秘密密钥
  • Q: 最初如何商定密钥( 尤其“素未谋面”)?

公开密钥加密:

  • 发送方与接收方无需共 享秘密密钥
  • 公开密钥(公钥)完全 公开
  • 私有密钥(私钥)只有 接收方知道

不能根据公钥计算出私钥!

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第41张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第42张

重要性质

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第43张

rsa安全性

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第44张

RSA的实际应用

因为RSA计算量过大,实际应用中RSA和对称秘钥结合使用。在建立连接时,用RSA公钥加密,把对称秘钥传送给对方,下次发送数据时,双方使用对称秘钥进行加密解密,RSA只是为了传输对称秘钥。https就是这样

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第45张

身份认证(Authentication)

在网络中如何认证身份。

目标: Bob希望Alice“证明”她的身份

协议ap1.0

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第46张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第47张

协议ap2.0

声明身份时,传递源IP地址,但有可能出现IP欺骗

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第48张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第49张

协议ap3.0

声明时要求发送口令,即密码。

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第50张

但有可能被嗅探破坏,Trudy 嗅探Alice 的分组(嗅探是Trudy拿到了Alice的分组,从中取出口令),,Trudy再根据口令和bob通信

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第51张

协议ap3.1

为了防止嗅探,Alice把口令加密后再传输

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第52张

但还有可能被 回放攻击。 回访就是Trudy记录了Alice分组,用这个分组发送给BOB,骗bob发送数据给Trudy

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第53张

ap4.0

一次性随机数。假设双方有了共享秘钥,在收到口令后,Bob给Alice发个随机数R,Alice加密后发给Bob,但共享秘钥从哪来?说白了就是二次认证。

如果Alice发送了分组 提供了口令,trudy回放攻击记录了分组,但trudy不知道秘钥,所以无法加密。

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第54张

ap5.0

Bob跟Alice索取公钥,然后互相发送数据。

越讲越糊涂,之前已经发送了一次口令,现在又要用秘钥证实对方身份。

这讲的有问题,首先公钥发送有可能被截取,其次Truedy完全可以把自己的公钥给Bob,反正trudy之前回放攻击了 口令分组。直接用https不就完了么,去ca认证证书就完了

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第55张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第56张

报文完整性

报文完整性不光是有没有被篡改,还包括身份认证、预防伪造、抵赖

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第57张

密码散列函数

以下是百度百科:

密码散列函数(Cryptographic hash function),又译为加密散列函数,是散列函数的一种。它被认为是一种单向函数,也就是说极其难以由散列函数输出的结果,回推输入的数据是什么。这样的单向函数被称为“现代密码学的驮马”。这种散列函数的输入数据,通常被称为消息(message),而它的输出结果,经常被称为消息摘要(message digest)或摘要(digest)。在信息安全中,有许多重要的应用,都使用了密码散列函数来实现,例如数字签名,消息认证码

java Object hashCode就是散列函数,散列值不同,原始值一定不同;散列值相同,原始值不一定相同

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第58张

以下是课程:两个说法矛盾了,百科上散列值有可能相同,课程上说函数不允许散列值相同

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第59张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第60张

散列函数算法

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第61张

报文摘要(Message digests)

用散列函数,这里就认为散列值不会相同

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第62张

报文认证(验证报文的是否被篡改)

  • 发送方将报文用散列函数生成摘要,加上原始报文组成扩展报文
  • 接收方从扩展报文中分离出摘要和报文
  • 接收方对报文也进行散列函数计算,将自己计算的散列值和发送方的摘要对比,如果相同就认为没有被篡改
  • 至于报文完整性提到的发送者、时间等等需要借助身份认证等其他手段验证

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第63张

报文认证码MAC()

摘要保证防篡改,再加验证发送者身份。

把秘钥也用散列计算。前提是依赖于,双方已经共享了秘钥。

缺陷有可能出现伪造,伪造就是接受者不承认或者造假,看下一节

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第64张

数字签名(解决报文完整性剩余的问题)

篡改可以用摘要搞定。

剩下的否认、伪造、冒充都是身份认证问题。

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第65张

签名过程:

  • bob对报文散列,用bob私钥对摘要加密构成签名
  • Alice收到报文和签名,对签名用bob共用解密,拿到摘要
  • 对报文用相同散列函数计算,如果结果和解密签名得到的摘要相同,证实报文为bob所发
  • 因为是拿着bob的公钥解密,其他人的公钥解不开

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第66张

计网学习笔记十九.网络安全基本原理 (https://mushiming.com/)  第67张

后面的内容还有CA,证书等。

从身份认证这块,看极客时间的更好,这里讲的太浅太乱。

THE END

发表回复