文章目錄

• • 一、安全協議概述
  • 二、網絡層安全
  • • 1、IPSec概述
    • 2、IPSec的特點
    • 3、IPSec 體系結構
    • 4、認證頭協議AH
    • 5、安全負載封裝協議ESP
    • 6、IPSec密鑰管理
  • 三、傳輸層安全
  • • 1、Web安全
    • 2、SSL/TLS協議
    • • 1）SSL概述
      • 2）SSL體系結構
      • 3）SSL的兩個重要概念
  • 四、應用層安全
  • • 1、PGP安全電子郵件協議概述
    • 2、PGP消息認證
    • 3、PGP保密性的實現
    • 4、PGP的壓縮與分段重裝
    • 5、PGP的密鑰管理
  • 五 、Internet欺騙
  • • 1、ARP欺騙
    • 2、DNS欺騙
    • 3、IP欺騙
    • • 1）IP欺騙的高級應用——TCP會話劫持：
      • 2） IP欺騙的簡單預防

一、安全協議概述

安全協議和安全策略是安全系統實現和密碼算法之間的聯系紐帶。
安全協議的定義： 安全協議是在消息交換和處理過程中使用的若干密碼算法的協議，主要提供機密性、完整性 、不可抵賴性等安全屬性。
安全協議的分類（從協議目的分）：

• 密鑰交換協議
• 認證協議
• 電子商務安全協議
• 認證于密鑰交換協議

安全協議缺陷：

• 基本安全協議缺陷：指安全協議在設計中沒有或很少有防范攻擊的措施
• 口令/密鑰缺陷：產生這種缺陷的原因多在于使用了常用詞作為口令或或選取了不安全的偽隨機數生成算法以至于攻擊者能恢復該密鑰。
• 陳舊消息缺陷：主要是對消息的新鮮性沒有充分考慮，致使攻擊者能進行重放攻擊。
• 并行會話缺陷：攻擊者能銅鼓適當的交換協議獲取所需信息。
• 內部系統缺陷：協議的可達性存在問題，參與的其中一方或多方不能完成必須的動作而導致的缺陷。
• 密碼系統缺陷：協議中使用的密碼算法和密碼協議導致不能完全滿足所要求的機密性、認證等需求。

二、網絡層安全

1、IPSec概述

“IP層安全標準 (IPSec)”是互聯網工程任務組(IETF)于1998年頒布的一種開放標準的框架結構，通過使用加密的安全服務以確保在網絡層上進行保密的安全通信。
其安全性包括三個方面的內容：認證、保密和密鑰管理。該技術應用于網絡層，提供端對端通信數據的私有性、完整性、真實性和防重放攻擊等安全服務。
IPSec對于IPv4是可選的，對于IPv6是強制性的。
IPSec中的核心概念：安全關聯(SA)
一個安全關聯是發送方和接收方之間收到密碼技術保護的單向關系，該關聯對所攜帶的通信流量提供安全服務：要么對通信實體收到的IP數據報進行“進入”保護，要么對實體外發的數據包進行“流出”保護。如果要進行雙向安全交換則需要建立兩個俺去那關聯。安全服務可以由AH或ESP提供，但不能由二者同時提供。

2、IPSec的特點

• 在操作系統內部實現安全功能，在不需要修改應用程序的前提下為多個應用提供安全保護。
• IPSec獨立于鑒別和加密算法，在一個基本框架上可使用多種不同的鑒別協議和加密模塊，滿足不同的安全需求。
• 對于引應用程序和用戶是透明的。

3、IPSec 體系結構

IPSec使用兩個不同的協議：AH和ESP協議來保證通信的認證、完整性、和機密性。

• IP頭部認證(AH)提供無連接的完整性驗證、數據源認證、選擇抗重放服務。
• 封裝安全負載(ESP)提供加密保障，完整性認證、數據源認證、抗重放服務。

IPsec的兩種工作模式：

• 傳輸模式：用于主機到主機之間的直接通信
• 隧道模式：用于主機到網關或網關到網關之間的通信

傳輸模式于隧道模式主要是在數據包封裝時有所不同。

4、認證頭協議AH

• 鄰接頭(8位)，標識AH字段后面下一個負載的類型
• 有效荷載長度(8位)，
• 安全索引參數SPI()是一個32位的連接標識符，同一個SA的所有IPSec數據報都是用同樣的SPI值。
• 序號字段(32位)是為了防止重返攻擊，如果是分組重傳，序號也不會重復。
• 最后的字段是認證值(變長，但必須為32位整數倍)

傳輸模式下的AH：

• AH頭插入到IP頭部之后、傳輸層協議之前
• 驗證范圍整個IP包，可變字段除外
• 與NAT沖突，不能同時使用

隧道模式下的AH:

• AH插入到原始IP頭部之前，然后在AH外面再封裝一個新的IP頭部
• 驗證范圍整個IP包，也和NAT沖突

5、安全負載封裝協議ESP

ESP不僅能提供AH提供的源點鑒定和數據完整性，還能保護機密性。其數據包可以在主機與主機、主機與路由器、路由器與路由器直接發送。

傳輸模式下的ESP：

傳輸模式ESP操作歸納：

• 在源端，包括ESP和整個傳輸層分段的數據包被加密，塊中的明文被密文替代，形成要傳輸的IP包，如果選擇了認證，則加上認證
• 將包送到目的地。中間路由器需要檢查和處理IP頭和任何附加的IP拓展頭，但不需要檢查密文。
• 目的節點對IP報文進行處理，利用ESP中SPI解密包的剩余部分，恢復傳輸層數據

隧道模式下的ESP：

隧道模式下，將ESP頭作為包的前綴，并在包后附加ESP尾，該模式用于對抗流量分析。
由于原有的IP頭被加密處理，所以必須加上新的IP頭封裝整個ESP數據塊。

6、IPSec密鑰管理

IPSec 的密鑰管理包括密鑰的建立和分發，Internet密鑰交換協議(IKE)是用于動態建立SA和會話密鑰的協議，其密鑰交換基于diffie-Hellman密鑰交換。

三、傳輸層安全

1、Web安全

World Wide Web 是互聯網上最重要，最廣泛的應用之一，IPSec是提供web安全性的一種方法，它對終端用戶和應用軍事透明的，并且提供了通用的解決方案，另外一種方法是在TCP之上實現的安全性。
比如當用戶在英特網上購物時，他會要求得到下列服務：

• 顧客需要確保服務器屬于真正的銷售商而不是冒充者
• 顧客與銷售商需要確保報文的內容（訂單）在傳輸過程中沒有被更改
• 顧客與銷售商需要確保信用卡號之類的敏感信息不被冒充者竊聽

上述安全服務，就需要使用傳輸層的安全協議。

2、SSL/TLS協議

1）SSL概述

SSL（Secure Socket Layer，安全套接層）/TLS協議：用于在兩個通信應用程序之間提供保密性和數據完整性。
提供的三種安全服務：

• SSL服務器鑒別：允許用戶證實服務器的身份。支持SSL客戶端通過驗證來自服務器的證書，來鑒別服務器的真實身份并獲得服務器的公鑰
• SSL客戶鑒別：SSL的可選安全服務，允許服務器證實客戶的身份
• 加密的SSL會話：對客戶和服務器間發送的所有報文進行加密，并檢測報文是否被篡改

2）SSL體系結構

（1）SSL協議分層模型
SSL是一個中間層協議，位于TCP/IP層與應用層之間，為TCP提供可靠的端到端服務。
簡單分析：

• SSL握手協議：允許客戶端和服務器彼此認證，并在應用協議發出或受到第一個數據之前協商加密算法。
• SSL修改密碼規程協議：用于切換狀態，通過把密碼參數設置為當前狀態，在握手協議之后當安全參數協商一致之后，發送有單字節“１”構成的消息，通知接收方下面的記錄將受到剛剛達成的密碼規范的保護。
• SSL告警協議：一種通過SSL記錄協議進行傳輸的特定類型的消息，規定了告警的級別和告警的類型，在SSL協議執行過程中通過告警協議來顯示信息交換過程中所發生的錯誤。
• SSL記錄協議：SSL記錄協議目的在于為高層協議提供基本的安全服務(保密和消息完整性)并且封裝各種高層協議。

3）SSL的兩個重要概念

（1）SSL會話
一個SSL會話指客戶與服務器之間的聯系，會話由SSL握手協議創建，定義了一套安全加密參數，為多個連接所共享。
（2）SSL連接
用于實現特定類型的服務數據的安全傳輸，通過點對點的形式建立暫時性的連接，每個來凝結與每個會話相關聯。
具有的特性：

• 連接具有私有性：在初始化連接后，協商密鑰，基于對稱加密體制進行加密
• 對端實體鑒別：可采用非對稱密碼體制
• 連接是可靠的：消息傳輸使用加密MAC算法進行消息完整性檢測

4）SSL工作流程

• 消息1：A發起會話，并發送自己的隨機數S_A，同時列出自己支持的加密算法
• 消息2：B把自己的證書和隨機數S_B發送給和A，同時選擇消息1中自己支持的算法發送給A .
• 消息3：A隨機選擇一個隨機數S，與S_A，S_B一起計算會話密鑰K，用B的公鑰加密S后同會話K、握手消息的散列值一起與發送給B。證明自己身份的同時還可以防止被篡改。
• 消息4：B根據S，S_A，S_B計算出K，發送此前所有握手消息的散列值，此散列值通過B的寫加密密鑰進行加密保護，通過寫完整性保護密鑰進行完整性保護，通過這個消息告訴A自己知道了會話密鑰。

至此，A完成了對B的認證。

四、應用層安全

1、PGP安全電子郵件協議概述

PGP - Pretty Good Privacy：是當前應用最廣的安全電子郵件技術,為電子郵件和文件存儲應用提供了認證和保密性服務.
是由Philip Zimmermann設計的免費保密電子郵件程序，創造性的將公鑰密碼體制與對稱密碼體制結合了起來,提供了眾多的免費版本，支持各種系統平臺，采用了一系列的安全加密算法和機制，其安全性已經得到了充分的論證。
它的出現與應用很好地解決了電子郵件的安全傳輸問題，提供了一種機密性和鑒別的服務，支持1024位的公開密鑰與128位的分組加密算法。其之際操作由以下五種服務組成：

• 鑒別
• 機密性
• 電子郵件兼容性
• 壓縮
• 分段和重裝

2、PGP消息認證

步驟簡述：

• 發送者創建報文
• 發送者使用哈希函數生成該報文的摘要X
• 發送者使用私鑰，采用RSA算法對X進行簽名運算并得到簽名值Y，將Y串接在報文前面
• 接收者使用發送者的公鑰，采用RSA算法對Y進行運算并得到值X’
• 接收者使用哈希函數生成該報文的摘要X，將X與X’進行比較，如果相同則接受

3、PGP保密性的實現

PGP使用的是混合加密的的方式實現加密傳輸，簡單理解就是先使用隨機產生的會話密鑰對報文進行加密（采用對稱加密算法），再使用公鑰對會話密鑰進行加密（采用公鑰加密算法）。
加密步驟：

• 發送者生成128位的隨機值X
• 發送者使用IDEA算法，用X對報文M進行加密，得到值Y
• 發送者使用RSA算法，用接收者的公鑰對X進行加密，得到值Z
• 接收者收到（Y,Z）后，使用自己的私鑰對Z進行解密，得到值X
• 接收者使用IDEA算法，用X對Y進行解密，得到報文M

4、PGP的壓縮與分段重裝

壓縮作為一種默認處理，PGP在應用簽名之后、加密之前要對消息進行壓縮，使用的壓縮算法是ZIP，壓縮后進行傳輸很好的節省了傳輸和存儲成本。
簡析：
在簽名后壓縮，是因為不需要為檢驗簽名而保留壓縮版本的消息。
在壓縮后加密，是因為壓縮后的消息其冗余小，增加密碼分析的難度。
分段重裝：
電子郵件工具通常限制了消息的最大程度，所以任何大于該成都的消息都必須分成若干小段進行傳輸。未來適應你這個限制，PGP自動將消息發段，這個操作在其他所有操作之后進行。因此會話密鑰和簽名部分都只會在第一段收到首部出現。

5、PGP的密鑰管理

PGP在會話中一共使用了四種密鑰：

• 一次性會話對稱密鑰：需要一種生成不可預知的會話密鑰的方法，PGP的會話密鑰是個隨機數(一定的真隨機性)，它是基于ANSI X.917的算法由隨機數生成器產生。
• 公鑰和私鑰：一個用戶擁有多個公鑰/私鑰對，并且需要某種手段來標識具體的密鑰(64位密鑰ID)
• 基于對稱加密的口令：用戶選擇一個短口令用于加密私鑰。

密鑰環：
對于PGP來說，Key ID是非常關鍵的。
PGP消息中包括兩個keyID，分別提供保密與認證功能，需要一種系統化的方法存儲和組織這些密鑰以保證有效使用這些密鑰。
而公鑰環和私鑰環就是這樣一種在每個用戶節點上設置的管理用戶密鑰的數據結構。
1）私鑰環：

• 存儲的信息：時間戳、KeyID、公鑰、私鑰、UserID
• User ID :通常是用戶的郵件地址,也可以是一個名字，可以重名
• 保存方法：用戶選擇一個口令短語用于加密私鑰，當系統用RSA生成一個新的公鑰/私鑰對時，要求用戶輸入口令短語。對該短語使用SHA-1生成一個160位的散列碼后，銷毀該短語，系統用其中128位作為密鑰用CAST-128加密私鑰，然后銷毀這個散列碼，并將加密后的私鑰存儲到私鑰環中，當用戶要訪問私鑰環中的私鑰時，必須提供口令短語。PGP根據該口令短語，生成散列碼，并使用該散列碼解密私鑰。

2）公鑰環：公鑰環可以用UserID或KeyID索引，存儲的信息包括時間戳、KeyID、公鑰、對所有者信任度、用戶ID、密鑰合法度、簽名、對簽名者信任度。

五 、Internet欺騙

所謂欺騙就是指攻擊者通過偽造一些容易引起錯覺的信息來誘導受騙者做出錯誤的、與安全有關的決策。
電子欺騙是通過偽造源于一個可信任地址的數據包以使一臺機器認證另一臺機器的網絡攻擊手段。
Internet欺騙有ARP欺騙、DNS欺騙、IP地址欺騙和WEB欺騙等幾種類型。

1、ARP欺騙

ARP欺騙是一種通過虛假請求或響應報文，使得其它主機的ARP列表發生改變而無法正常通信的攻擊行為。
有針對主機和針對交換機的兩種欺騙。

• 針對主機的欺騙：冒充其它主機，接收該主機的信息
• 針對交換機的MAC欺騙：利用工具產生欺騙MAC，并快速填滿交換機的MAC地址表。

簡單的防護措施：

• 不要把網絡的安全信任關系僅建立在IP或MAC基礎上，而是應該建立在IP+MAC基礎上(即將IP和MAC兩個地址綁定在一起)。
• 使用ARP服務器，通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播，確保這臺ARP服務器不被攻擊
• 管理員要定期從響應的IP包中獲得一個RARP請求，然后檢查ARP響應的真實性。
• 管理員要定期輪詢，檢查主機上的ARP緩存。
• 使用防火墻連續監控網絡

2、DNS欺騙

DNS是TCP/IP協議體系中的應用程序，其主要功能是進行域名和IP地址的轉換。
假如入侵者偽裝成DNS服務器提前向客戶端發送響應數據報，那么客戶端的DNS緩存里的域名所對應的IP就是它們自己定義的IP，同時客戶端也就被帶入入侵者希望的地方

簡單的防護措施：

• 直接使用IP地址訪問重要服務器，可以避開DNS對域名的解析過程，因此也就避開了DNS欺騙攻擊。
• 用轉化得到的IP地址或域名再次作反向轉換驗證。
• 最根本的解決方法還是加密所有對外的數據流，服務器應使用SSH(Secure Shell)等具有加密功能的協議，一般用戶則可使用PGP類軟件加密所有發送到網絡的數據。

3、IP欺騙

IP欺騙就是使用其他計算機的IP來騙取連接，獲得信息或者得到特權。
基本的IP欺騙包括基本地址變化、使用源站選路截取數據包、利用Unix機器上的信任關系三種方法，這三種IP欺騙技術都是早期使用，原理比較簡單，效果也十分有限。

1）IP欺騙的高級應用——TCP會話劫持：

基本步驟：

• 使被信任主機網絡癱瘓，以免堆攻擊造成干擾
• 連接到目標主機的某個端口，猜測INS基值和增加規律
• 把源地址偽裝成被信任主機，發送帶有SYN標志的數據段請求連接
• 帶目標發送SNY／ACK數據包給已經癱瘓的主機
• 在此偽裝成被信任主機向目標發送ACK報文，此時發送的報文數據段帶有預測的目標級的ISN+1
• 建立連接，發送命令請求。

2） IP欺騙的簡單預防

• 拋棄基于地址的信任策略
• 進行包過濾
• 采用加密傳輸
• 使用隨機的初始序列號

總結

以上是生活随笔為你收集整理的计算机网络安全-----Internet安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。