一.攻击分类
1.被动攻击:
一般指的是信息被窃取,且不会干扰信息流的正常传输。
应对方法:加密技术
主动攻击:
①信息被纂改
②恶意程序入侵
③拒绝服务攻击
应对方法:加密技术+鉴别技术
二.信息安全五大特性
1 保密性:信息在传输过程中不被别人知道
2 可用性:能够提供正常的服务(尽管被恶意攻击)
3 完整性:信息在传输过程中没被纂改过
4 真实性:信息来自真实发送方而不是冒充者
5 不可否认性:信息发送方不能否认发送过某消息
三.对称加密
DES、AES:
这两个加密方案都属于分组密码:即先对明文分组,然后对每组进行加密,然后再串接起来形成整个密文。
四.非对称加密
RSA
消息认证:
用接受方的公钥加密,然后用接受方的私钥解密,这是属于消息认证,确保了完整性和真实性。
比如A1,A2,A3是一组消息发送方,他们都知道B的公钥,现在假设A1要发送数据,那么这个方案能够保证B在接受密文时确保密文是没被纂改过的,因为密文要是被纂改过,那么密文在进行D解密时就能够校验发现,这就是完整性。而随便一条消息被送到D解密程序时,也能被筛选掉,因此可以排除掉冒充密文的攻击,所以只能是对A1,A2,A3这些人发送的数据进行解密(因为他们拥有B的密钥),这就是真实性。但是,这个方案并不具备不可否认性,就是假如A1发个消息x给B,然后A2也发个x给B并谎称自己是A1,这个时候B并不能分别出来,也就是说A2能够否认他发过x给B,所以这种情况很容易发生A2,A3对B进行冒充攻击。
数字签名:
?用发送方的私钥加密,然后用发送方的公钥解密,这是属于数字签名,确保了完整性,不可否认性和真实性。关于完整性和真实性与上面的消息认证差不多,现在来解释不可否认性是怎么做到的。假设A1发送x给B,x先经过A1私钥的加密,然后B接受的时候进行A公钥的解密。因为A1私密只有A1自己知道,A2,A3都不知道,所以当B能够正确解开A1发送的密文的时候,就能证明这个消息只能来自于A1而不是别人,因此具有不可否认性。
保密+签名技术:
五.鉴别
鉴别是为了验证对象不是冒充者
密钥的分配:
对称密钥的分配:密钥分配中心(KDC)
非对称密钥的分配:认证中心(CA)(公钥与对应实体进行绑定)
六.各层安全协议
网络层:IP安全协议(IPSec)
传输层:1.安全套接字层SSL(作用在TCP、Http)
应用层:电子邮件安全协议
防火墙:访问控制技术(入侵前阻止可疑访问)
入侵检测系统:对进入后的数据进行检查,若可疑,则立即告警