信息安全概述:
1.安全:
信息安全:让数据处于原理危险、免于威胁的状态或特征
网络安全:计算机网络环境下的信息安全
2.协议栈自身的脆弱性:
(1)缺乏数据源验证机制
(2)缺乏完整性验证机制
(3)缺乏机密性保障机制
3.网络基本攻击模式:
被动威胁:截获
主动威胁:篡改、中断、伪造
4.操作系统自身的漏洞:
认为原因
客观原因
硬件原因
5.信息安全的五要素:
保密性
完整性
可用性
可控性
不可否认性
VPN技术:
1.VPN:虚拟专用网(虚拟专线)
核心技术:隧道技术
2.VPN技术按业务分类
Client-LAN VPN(Access VPN):适合出差在外的员工访问公司的内网所需要的通信手段
LAN-LAN VPN:实现站点到站点的通信手段
3.VPN技术按网络层次分类:
应用层:SSL VPN
传输层:Sangfor VPN
网络层:IPSec、GRE
网络接口层:L2F/L2TP、PPTP
4.VPN常用技术:
隧道技术
加解密技术
身份认证技术
数据认证技术
密钥管理技术
5.隧道技术
隧道技术的实现:以来封装技术(封装与解封装)
SangforVPN 深信服私有技术
密码学基础:
1.分类:
对称加密算法
非对称加密算法(公钥加密算法)
2. 常见的对称加密算法:
IDEA、DES/3DES、RC、AES
3.对称加密算法的缺陷:
1.密钥传输风险:当密钥传给接收方式,很容易被其他人截取到,对数据的安全传输造成威胁
解决:数据和密钥分开传输(不在同一信道传输)
2.密钥多难管理:当传输数据增多时,产生的大量的密钥管理成为了很大问题
4.弥补对称加密算法的缺陷:
思路邮差原理:将数据和密钥都分别加密,然后将两一块传输,但是解密的密钥只有接受方有
5.非对称加密算法
三种加密传输机制:
一端将公钥发送给要传输数据的一端,收到公钥的该端使用该公钥加密要传输的数据,然后将数据和公钥一块传给另一端,,接受端收到的加密数据,使用自己的私钥解密得到原始数据-----应用于非对称加密算法
一端用自己的公钥加密数据,然后将数据和公钥一块传输给验证方,验证方收到数据和公钥后,能用公钥解密数据的话,则证明,发送方使它所验证的人----用于做认证
收发数据双方各存在公钥、私钥。其中,一端将自己的私钥与公钥运算后发送给另一端。而另一端收到数据后再和自己的公钥运算也能算后得到一个新的数据。同样的方法,另一端也会受到对端加密后的数据,它再次将该数据与自己的公钥运算后的到一个新的数据。那么此时双方得到的数据一定是一样的。该数据可作为加密数据来解密还原数据----用来给对称加密算法生成公钥
6.对称加密算法与非对称对比加密算法:
6.身份验证:
1.使用哈希算法验证:首先发送端和接收端都有相同的密码,发送端,会将原始信息与密码一起通过哈希算法运算,得到一个定长的结果A,然后将原始信息和A一块发送给接收端。接收端收到数据包后,后将接收到的原始信息和本地密码一块运算,会得到一个运算结果B。现在接收端会比较B和A,如果A与B相同,表明认证成功,否则认证失败
MD5算法特点(哈希算法一种):输出定长的值、运算不可逆性、雪崩效应
该算法的缺陷:公钥钥传输在公网传输,有可能会被其他人篡改,使接收端拿到的不是传输端的公钥,而是篡改者的公钥,从而产生安全漏洞
7.可信机构CA
在网络传输环境中,可信机构CA会为公钥颁发CA证书,通过官方途径来证明公钥的真伪性
CA证书包括:证明者的信息、认证机构、公钥信息
CA证书生成过程:
使用CA证书进行解密认证:
8.规定CA工作流程PKI体系
PKI:公开密钥体系
PKI采用证书来管理密钥
PKI体系组成:
9.CA中心的作用:
10.常见证书类型:数字证书、根证书、用户证书、设备证书
11.数据传输案例:
IPSEC VPN
1.IPSEC VPN(安全的VPN)是基于网络层的,应用于密码学的安全通信协议簇
2.IPSec提供的安全服务:
机密性、完整性、数据源鉴别、重传攻击保护、不可否认性、访问控制有限流量保密等其他安全服务
3.IPSec协议安全体系框架:
4.IPSec协议簇:
5.传输模式:
主要应用场景:经常用于主机到主机之间端到端通信的数据保护
封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据
6.隧道模式:
主要应用场景:经常用于私网与私网之间的通过公网进行通信,建立安全的VPN通道
封装方式:增加新的IP(外网IP)头,其后是IPSec包头,之后再将原来的整个数据包封装
7.通信保护协议AH:
AH提供的安全服务:无连接数据完整性、数据源认证、抗重放服务性
AH不提供任何薄膜服务:它不加密所保护的数据包
不管是传输模式还是隧道模式,AH提供的数据包的保护,它保护的是整个IP数据包(易变的字段除外,入IP头中的TTL和TOS字段)
AH头:
AH在传输模式下的封装:
AH在隧道模式下的封装:
8.通信保护协议ESP:
提供的安全服务:
无连接数据完整性
数据源认证
抗重放服务
数据保密
有限数据流保护
ESP头:
传输模式下的封装:
隧道模式下的封装:
9.AH和ESP的比较:
10.安全联盟SA
SA:是通信对等体见对某些要素的约定,通信的双方符合SA约定的内容,就可以建立SA
SA由三元组来唯一标识:安全参数、目的IP地址、安全协议号
11. IKE的用途:
(1)IKE为IPSec协商生成密钥,供AH/ESP加解密和验证使用
(2)IPSec通信双方之间,动态建立安全联盟,对SA进行管理和维护
IKE在数据通信中的作用:
IKE的两个阶段:
第一阶段:在建立了身份验证和安全保护通道的基础上建立了一个ISAKMP联盟即IKE SA
主模式协商
野蛮模式协商
第二阶段:在已经建立的安全联盟(IKE SA)为IPSec协商安全服务,即为IPSec协商具体安全联盟,产生真 正可用来加密数据流的密钥,IPSec SA用于最终IP数据安全传输
IKE第一阶段两个模式比较:
IKE第二阶段
双方协商IPsec安全参数,称之为变换集,包括:
加密算法
Hash算法
安全协议
封装模式
存活时间
12.VPN黑洞:
对端VPN连接已经断开而我方还处于SA的有效生存期时间内,从而形成了VPN隧道的黑洞,即我方不断发送加密后的VPN数据,但对方拒绝接受
PDP解决VPN隧道黑洞:
PDP:死亡对等体检测,检查对端SA是否存在。当VPN隧道异常的时候,能检测并重新发起协商,来维持VPN隧道
PDP主要是为了防止标准IPSec出现 隧道黑洞
PDP只对第一阶段生效,如果第一阶段本身已经超时断开,则不会再发PDP包