信息摘要
信息安全体系中的一种密码学哈希函数,用于将任意长度的数据映射为固定长度的摘要值,以确保数据完整性和安全性
- 生成信息摘要目的是防止篡改
- 对摘要进行加密的目的是防止抵赖
特点
- 唯一性:不同数据生成不同摘要
- 确定性:相同数据始终生成相同摘要
- 不可逆性:无法从摘要还原原始数据
- 抗碰撞性:难以找到两个不同数据生成相同摘要
- 高灵敏度(雪崩效应):输入的微小变化会导致完全不同的摘要值
算法
| 算法 | 摘要长度 | 安全性 |
|---|---|---|
| MD5 | 128 位 | 已不安全(易碰撞) |
| SHA-1 | 160 位 | 已不安全(有碰撞漏洞) |
| SHA-256 | 256 位 | 安全 |
| SHA-3 | 224/256/384/512 位 | 高安全性 |
公钥基础设施(PKI, Public Key Infrastructure)
公钥基础设施(PKI)是一套用于管理、分发和验证公钥的体系,确保数据传输的机密性、完整性和身份认证。PKI
是一种基于公钥加密和数字证书的身份认证机制,广泛应用于认证代理体制中。在这种体制下,PKI
可以作为身份验证的基础设施,帮助实现多个服务之间的身份验证和信息安全交换。
核心
PKI 主要由以下几个部分构成
| 组件 | 作用 |
|---|---|
| 证书颁发机构(CA,Certificate Authority) | 负责签发、管理和吊销数字证书 |
| 注册机构(RA,Registration Authority) | 负责验证用户身份,并向 CA 提交证书申请 |
| 证书库(Certificate Repository) | 存储并提供证书查询 |
| 证书吊销列表(CRL,Certificate Revocation List) | 记录被撤销或失效的证书 |
| 证书持有者(End Entity) | 使用证书的终端用户,如个人、服务器、设备等 |
工作流程
- 证书申请:用户向 RA 申请数字证书,并提供身份信息
- 身份验证:RA 验证用户身份后,将请求转交给 CA
- 证书签发:CA 生成用户的公钥证书并使用自己的私钥签名,形成数字证书
- 证书分发:用户收到 CA 颁发的证书,其他用户可以通过证书库查询该证书
- 证书验证:验证证书是否可信,是否已过期或被吊销(CRL 或 OCSP)
数字证书
X.509 是最常见的数字证书标准,包含以下内容:
- 持有者信息(姓名、组织等)
- 公钥(用于加密/验证)
- 颁发机构信息(CA 详情)
- 证书序列号(唯一标识)
- 有效期(起始时间 - 过期时间)
- 签名算法(如 SHA-256)
- 颁发机构的签名(证明证书可信)
示例:
Subject: CN=example.com, O=Example Ltd, C=US
Issuer: CN=Root CA, O=Trusted CA, C=US
Validity: Not Before: 2025-01-01, Not After: 2026-01-01
Public Key: RSA 2048-bit
Signature Algorithm: sha256WithRSAEncryption
网络安全技术
防火墙(Firewall)
- 原理: 防火墙通过定义规则(如允许哪些IP、端口、协议通过)来过滤进出网络的流量。
- 作用: 用于控制网络边界流量,防止未经授权的访问。
- 特点: 防火墙在所有防御技术中占据重要位置,基本防止大多数外部攻击。
入侵检测与防御系统(IDS(Intrusion Detection System)/IPS)
- 原理: IDS监控网络流量,发现并告警潜在攻击行为;IPS则可以主动阻止攻击。
- 作用: 检测恶意行为并采取响应措施,防止网络攻击蔓延。
- 特点: IDS主要用于检测,IPS则进一步具备主动防御功能。
网络攻击和威胁
网络安全协议
网络安全协议是用于确保网络通信的机密性、完整性、身份验证、非否认性和访问控制等安全属性的协议。随着网络安全威胁的不断变化,网络安全协议也在不断演进,确保数据传输、通信、身份验证等活动的安全
1. SSL/TLS(安全套接层/传输层安全协议)
-
原理:
- SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是加密协议,用于在网络中提供安全通信。SSL是TLS的前身,TLS是SSL的改进版。
- 通过对数据进行加密、解密、身份验证等操作,保护数据在网络中的传输安全。
-
作用:
- 数据加密: 确保数据在传输过程中的机密性。
- 身份验证: 确保通信双方身份的真实性。
- 数据完整性: 确保数据在传输过程中没有被篡改。
-
应用:
- SSL/TLS广泛应用于HTTPS(HTTP Secure)协议中,保证浏览器与网站之间的安全通信。
2. SSH(安全外壳协议)
-
原理:
- SSH是一种用于加密远程登录会话和其他网络服务的协议。它通过对会话的加密,确保数据的安全传输,防止中间人攻击、监听等威胁。
-
作用:
- 加密通信: 确保远程登录和数据传输过程的安全。
- 身份验证: 通过公钥加密技术进行身份验证,确保对方身份的可靠性。
- 数据完整性: 确保传输的数据没有被篡改。
-
应用:
- 广泛用于远程登录、远程命令执行以及远程文件传输等。
3. HTTPS(超文本传输安全协议)
-
原理:
- HTTPS是基于HTTP和SSL/TLS协议的组合,用于加密和保护HTTP协议的安全传输。
- 它使用SSL/TLS加密层来加密通信,保证通信数据的机密性和完整性。
-
作用:
- 数据加密: 通过加密保证传输数据的机密性。
- 身份验证: 验证网站身份,防止假冒网站。
- 数据完整性: 防止数据在传输过程中被篡改。
-
应用:
- 主要用于保护Web浏览器和服务器之间的通信,特别是在线支付、银行服务和登录操作。
4. Kerberos 协议
Kerberos 是一种集中式认证协议,用于验证用户身份并在计算机网络中提供安全的身份认证。它通过一个中心认证服务器来管理身份验证请求,属于集中式认证体制的一种具体实现。
-
原理:
- 在 Kerberos 中,KDC(Key Distribution Center,密钥分发中心) 扮演着认证服务器的角色,负责用户身份的验证。
- 用户登录时,KDC 会根据用户提供的凭证(通常是用户名和密码)生成一个 票据(Ticket),用于用户访问其他网络资源。
- 用户通过使用该票据请求访问其他服务,而服务提供者只需要验证该票据的有效性。
-
作用:
- 身份验证: 确保用户和服务的身份真实性。
- 单点登录: 用户只需登录一次,就可以访问多个服务。
-
应用:
- 在分布式环境中(如企业内部网)用于安全的身份验证和访问控制。
5. SET(Secure Electronic Transaction,安全电子交易)协议
SET(Secure Electronic
Transaction)协议是一种用于安全电子支付的标准协议,旨在通过加密技术、数字签名等方式,保障电子交易的安全性。它的设计目标是确保在线交易的身份验证、数据的机密性、完整性以及交易的不可否认性。
-
原理:
- 身份认证:商家、客户以及银行之间通过数字证书进行身份认证。使用公钥基础设施(PKI)技术来验证各方身份。
- 数据加密:交易内容(如信用卡号、商品信息)使用加密算法进行加密,防止数据在传输过程中被截获和篡改。
- 数字签名:交易的每一方使用自己的私钥进行数字签名,确保交易内容的完整性以及交易者身份的不可否认性。
- 支付指令:客户将支付指令发送给银行,银行在验证客户身份后,完成资金的转账。
-
作用:
- 保护信用卡支付安全:SET 协议为网上信用卡支付提供了一种安全的解决方案,防止支付过程中信息的泄露、篡改或伪造。
- 防止欺诈行为:通过数字签名和加密机制,SET 协议确保了交易双方的身份验证,防止信用卡欺诈。
- 交易数据保护:加密和数字签名保证了支付交易数据的机密性、完整性和不可否认性。
-
应用:
- 在线支付:SET 协议用于电子商务平台、在线银行和其他需要进行电子支付的场合。
- 电子商务:大多数电子商务网站在进行支付时,可能会使用 SET 协议来确保交易的安全性。
- 信用卡公司和银行:SET 协议可被银行和支付网关用来保障交易数据的安全,避免遭受网络攻击。
6. PGP 协议(Pretty Good Privacy,隐私保护)
PGP(Pretty Good Privacy)协议是一种用于加密和签名电子邮件、文件和通信的标准协议,目的是确保信息在传输过程中的机密性、完整性和真实性。它结合了对称加密和非对称加密(公钥加密与私钥解密)技术,具有高度的安全性。
-
原理:
- 加密:发送方使用接收方的公钥对消息进行加密,只有接收方可以用自己的私钥解密该消息。
- 数字签名:发送方对消息的哈希值进行签名,接收方通过验证数字签名,确保消息未被篡改且确实是发送方发出的。
- 密钥管理:PGP 允许用户管理公钥和私钥,用户可以自由选择将公钥公开或私下共享。
-
作用:
- 信息加密:PGP 提供的加密功能保证了电子邮件、文件等数据传输过程中的机密性,防止数据泄露。
- 消息完整性:数字签名可以确保消息在传输过程中没有被篡改,接收方可以验证消息的完整性。
- 身份验证:数字签名还能够证明消息的发送者身份,防止伪造和欺诈行为。
- 非对称加密:使用公钥加密和私钥解密,增强了密钥管理的灵活性和安全性。
-
应用:
- 电子邮件加密:PGP 协议广泛用于电子邮件加密,确保只有预定接收者能够查看邮件内容。
- 文件加密:PGP 可用于加密文件或目录,确保文件在传输或存储过程中的机密性。
- 数据验证:PGP 可用来验证软件包、文档等的完整性,确保它们没有在传输过程中被篡改。
- 跨组织的安全通信:PGP 协议适用于跨组织、跨平台的安全通信,广泛用于企业、政府等机构的机密通信。
知识点
- 第三方认证服务有两种常见的体制:认证代理(Federated Identity)和集中式认证(Centralized Authentication)
- BARP攻击是针对以太网地址解析协议(ARP)的一种攻击技术,此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接
- ARP攻击造成网络无法跨网段通信的原因是伪造网关ARP报文使得数据包无法发送到网关。
