網絡工程師基礎知識總結------網絡安全與資訊安全

主要内容:1、密碼學、鑒别

　　2、通路控制、計算機病毒

　　3、網絡安全技術

　　4、安全服務與安全機制

　　5、資訊系統安全體系結構架構

　　6、資訊系統安全評估準則

　　一、密碼學

　　1、密碼學是以研究資料保密為目的，對存儲或者傳輸的資訊采取秘密的交換以防止第三者對資訊的竊取的技術。

　　2、對稱密鑰密碼系統(私鑰密碼系統):在傳統密碼體制中加密和解密采用的是同一密鑰。常見的算法有:DES、IDEA

　　3、加密模式分類:

　　(1)序列密碼:通過有限狀态機産生性能優良的僞随機序列，使用該序列加密資訊流逐位加密得到密文。

　　(2)分組密碼:在相信複雜函數可以通過簡單函數疊代若幹圈得到的原則，利用簡單圈函數及對合等運算，充分利用非線性運算。

　　4、非對稱密鑰密碼系統(公鑰密碼系統):現代密碼體制中加密和解密采用不同的密鑰。

　　實作的過程:每個通信雙方有兩個密鑰，K和K'，在進行保密通信時通常将加密密鑰K公開(稱為公鑰)，而保留解密密鑰K'(稱為私鑰)，常見的算法有:RSA

　　二、鑒别

　　鑒别是指可靠地驗證某個通信參與方的身份是否與他所聲稱的身份一緻的過程，一般通過某種複雜的身份認證協定來實作。

　　1、密碼技術

　　身份認證标記:PIN保護記憶卡和挑戰響應卡

　　分類:共享密鑰認證、公鑰認證和零知識認證

　　(1)共享密鑰認證的思想是從通過密碼認證使用者發展來了。

　　(2)公開密鑰算法的出現為

　　2、會話密鑰:是指在一次會話過程中使用的密鑰，一般都是由機器随機生成的，會話密鑰在實際使用時往往是在一定時間内都有效，并不真正限制在一次會話過程中。

　　簽名:利用私鑰對明文資訊進行的變換稱為簽名

　　封裝:利用公鑰對明文資訊進行的變換稱為封裝

　　3、Kerberos鑒别:是一種使用對稱密鑰加密算法來實作通過可信第三方密鑰分發中心的身份認證系統。客戶方需要向伺服器方遞交自己的憑據來證明自己的身份，該憑據是由KDC專門為客戶和伺服器方在某一階段内通信而生成的。憑據中包括客戶和伺服器方的身份資訊和在下一階段雙方使用的臨時加密密鑰，還有證明客戶方擁有會話密鑰的身份認證者資訊。身份認證資訊的作用是防止攻擊者在将來将同樣的憑據再次使用。時間标記是檢測重播攻擊。

　　4、數字簽名:

　　加密過程為C=EB(DA(m)) 使用者A先用自己的保密算法(解密算法DA)對資料進行加密DA(m)，再用B的公開算法(加密算法EB)進行一次加密EB(DA(m))。

　　解密的過程為m= EA (DB (C)) 使用者B先用自己的保密算法(解密算DB)對密文C進行解密DB (C)，再用A的公開算法(加密算法EA)進行一次解密EA (DB (C))。隻有A才能産生密文C，B是無法依靠或修改的，是以A是不得抵賴的DA(m)被稱為簽名。

　　三、通路控制

　　通路控制是指确定可給予哪些主體通路的權力、确定以及實施通路權限的過程。被通路的資料統稱為客體。

　　1、通路矩陣是表示安全政策的最常用的通路控制安全模型。通路者對通路對象的權限就存放在矩陣中對應的交叉點上。

　　2、通路控制表(ACL)每個通路者存儲有通路權力表，該表包括了他能夠通路的特定對象和操作權限。引用螢幕根據驗證通路表提供的權力表和通路者的身份來決定是否授予通路者相應的操作權限。

　　3、粗粒度通路控制:能夠控制到主機對象的通路控制

　　細粒度通路控制:能夠控制到檔案甚至記錄的通路控制

　　4、防火牆作用:防止不希望、未經授權的通信進出被保護的内部網絡，通過邊界控制強化内部網絡的安全政策。

　　防火牆的分類:IP過濾、線過濾和應用層代理

　　路由器過濾方式防火牆、雙穴信關方式防火牆、主機過濾式防火牆、子網過濾方式防火牆

　　5、過濾路由器的優點:結構簡單，使用硬體來降低成本;對上層協定和應用透明，無需要修改已經有的應用。缺點:在認證和控制方面粒度太粗，無法做到使用者級别的身份認證，隻有針對主機IP位址，存在着假冒IP攻擊的隐患;通路控制也隻有控制到IP位址端口一級，不能細化到檔案等具體對象;從系統管理角度來看人工負擔很重。

　　6、代理伺服器的優點:是其使用者級身份認證、日志記錄和帳号管理。缺點:要想提供全面的安全保證，就要對每一項服務都建立對應的應用層網關，這就極大限制了新應用的采納。

　　7、×××:虛拟專用網，是将實體分布在不同地點的網絡通過公共骨幹網，尤其是internet聯接而成的邏輯上的虛拟子網。

　　8、×××的模式:直接模式×××使用IP和編址來建立對×××上傳輸資料的直接控制。對資料加密，采用基于使用者身份的鑒别，而不是基于IP位址。隧道模式×××是使用IP幀作為隧道的發送分組。

　　9、IPSEC是由IETF制訂的用于×××的協定。由三個部分組成:封裝安全負載ESP主要用來處理對IP資料包的加密并對鑒别提供某種程式的支援。，鑒别報頭(AP)隻涉及到鑒别不涉及到加密，internet密鑰交換IKE主要是對密鑰交換進行管理。

　　四、計算機病毒

　　1、計算機病毒分類:作業系統型、外殼型、入侵型、源碼型

　　2、計算機病毒破壞過程:最初病毒程式寄生在媒體上的某個程式中，處于靜止狀态，一旦程式被引導或調用，它就被激活，變成有傳染能力的動态病毒，當傳染條件滿足時，病毒就侵入記憶體，随着作業程序的發展，它逐漸向其他作業子產品擴散，并傳染給其他軟體。在破壞條件滿足時，它就由表現子產品或破壞子產品把病毒以特定的方針表現出來。

　　五、網絡安全技術

　　1、鍊路層負責建立點到點的通信，網絡層負責尋徑、傳輸層負責建立端到端的通信信道。

　　2、實體層可以在通信線路上采用某些技術使得搭線偷聽變得不可能或者容易被檢測出。資料鍊路層，可以采用通信保密機進行加密和解密。

　　3、IP層安全性

　　在IP加密傳輸信道技術方面，IETF已經指定了一個IP安全性工作小組IPSEC來制訂IP安全協定IPSP和對應的internet密鑰管理協定IKMP的标準。

　　(1)IPSEC采用了兩種機制:認證頭部AH，提前誰和資料完整性;安全内容封裝ESP，實作通信保密。1995年8月internet工程上司小組IESG準許了有關IPSP的RFC作為internet标準系列的推薦标準。同時還規定了用安全雜湊演算法SHA來代替MD5和用三元DES代替DES。

　　4、傳輸層安全性

　　(1)傳輸層網關在兩個通信節點之間代為傳遞TCP連接配接并進行控制，這個層次一般稱作傳輸層安全。最常見的傳輸層安全技術有SSL、SOCKS和安全RPC等。

　　(2)在internet程式設計中，通常使用廣義的程序信IPC機制來同不同層次的安全協定打交道。比較流行的兩個IPC程式設計界面是BSD Sockets和傳輸層界面TLI。

　　(3)安全套接層協定SSL

　　在可靠的傳輸服務TCP/IP基礎上建立，SSL版本3，SSLv3于1995年12月制定。SSL采用公鑰方式進行身份認證，但是大量資料傳輸仍然使用對稱密鑰方式。通過雙方協商SSL可以支援多種身份認證、加密和檢驗算法。

　　SSL協商協定:用來交換版本号、加密算法、身份認證并交換密鑰SSLv3提供對Deffie-Hellman密鑰交換算法、基于RSA的密鑰交換機制和另一種實作在Frotezza chip上的密鑰交換機制的支援。

　　SSL記錄層協定:它涉及應用程式提供的資訊的分段、壓縮資料認證和加密SSLv3提供對資料認證用的MD5和SHA以及資料加密用的R4主DES等支援，用來對資料進行認證和加密的密鑰可以有通過SSL的握手協定來協商。

　　SSL協商層的工作過程:當客戶方與服務方進行通信之前，客戶方發出問候;服務方收到問候後，發回一個問候。問候交換完畢後，就确定了雙方采用的SSL協定的版本号、會話标志、加密算法集和壓縮算法。

　　SSL記錄層的工作過程:接收上層的資料，将它們分段;然後用協商層約定的壓縮方法進行壓縮，壓縮後的記錄用約定的流加密或塊加密方式進行加密，再由傳輸層發送出去。

　　5、應用層安全性

　　6、WWW應用安全技術

　　(1)解決WWW應用安全的方案需要結合通用的internet安全技術和專門針對WWW的技術。前者主要是指防火牆技術，後者包括根據WWW技術的特點改進HTTP協定或者利用代理伺服器、插入件、中間件等技術來實作的安全技術。

　　(2)HTTP目前三個版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本，它隻定義了最基本的簡單請求和簡單回答;HTTP1.0較完善，也是目前使用廣泛的一個版本;HTTP1.1增加了大量的報頭域，并對HTTP1.0中沒有嚴格定義的部分作了進一步的說明。

　　(3)HTTP1.1提供了一個基于密碼基本認證方法，目前所有的WEB伺服器都可以通過"基本身份認證"支援通路控制。在身份認證上，針對基本認證方法以明文傳輸密碼這一最大弱點，補充了摘要認證方法，不再傳遞密碼明文，而是将密碼經過散列函數變換後傳遞它的摘要。

　　(4)針對HTTP協定的改進還有安全HTTP協定SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基礎上，提供了資料加密、身份認證、資料完整、防止否認等能力。

　　(5)DEC-Web

　　WAND伺服器是支援DCE的專用Web伺服器，它可以和三種客戶進行通信:第一是設定本地安全代理SLP的普通浏覽器。第二種是支援SSL浏覽器，這種浏覽器向一個安全網關以SSL協定發送請求，SDG再将請求轉換成安全RPC調用發給WAND，收到結果後，将其轉換成SSL回答，發回到浏覽器。第三種是完全沒有任何安全機制的普通浏覽器，WANS也接受它直接的HTTP請求，但此時通信得不到任何保護。

　　六、安全服務與安全與機制

　　1、ISO7498-2從體系結構的觀點描述了5種可選的安全服務、8項特定的安全機制以及5種普遍性的安全機制。

　　2、5種可選的安全服務:鑒别、通路控制、資料保密、資料完整性和防止否認。

　　3、8種安全機制:加密機制、資料完整性機制、通路控制機制、資料完整性機制、認證機制、通信業務填充機制、路由控制機制、公證機制，它們可以在OSI參考模型的适當層次上實施。

　　4、5種普遍性的安全機制:可信功能、安全标号、事件檢測、安全審計跟蹤、安全恢複。

　　5、資訊系統安全評估準則

　　(1)可信計算機系統評估準則TCSEC:是由美國國家計算機安全中心于1983年制訂的，又稱桔皮書。

　　(2)資訊技術安全評估準則ITSEC:由歐洲四國于1989年聯合提出的，俗稱白皮書。

　　(3)通用安全評估準則CC:由美國國家标準技術研究所NIST和國家安全局NSA、歐洲四國以及加拿大等6國7方聯合提出的。

　　(4)計算機資訊系統安全保護等級劃分準則:我國國家品質技術監督局于1999年釋出的國家标準。

　　6、可信計算機系統評估準則

　　TCSEC共分為4類7級:D，C1，C2，B1，B2，B3，A1

　　D級，安全保護欠缺級，并不是沒有安全保護功能，隻是太弱。

　　C1級，自主安全保護級，

　　C2級，受控存取保護級，

　　B1級，結構化保護級

　　B3級，安全域級

　　A1，驗證設計級。

　　七、評估增長的安全操作代價

　　為了确定網絡的安全政策及解決方案:首先，應該評估風險，即确定侵入破壞的機會和危害的潛在代價;其次，應該評估增長的安全操作代價。

　　安全操作代價主要有以下幾點:

　　(1)使用者的友善程度

　　(2)管理的複雜性

　　(3)對現有系統的影響

　　(4)對不同平台的支援