資訊保安學習

安全攻擊：

認證服務：

訪問控制

機密性資料完整性服務

不可抵賴性

對稱加密的簡化模型：

feistel密碼結構

des三重des加密：

高階加密標準aes

ipsec

資料機密性：保證私有的或機密的資訊不會被洩露給未經授權的個體。

資料完整性：保證只能由某種特定的、已授權的方式來更改資訊和**。

系統完整性：保證系統正常實現其預期功能，而不會被故意或偶然的非授權操作控制。

保證系統及時運轉，其服務不會拒絕已授權的使用者。

1.訊息內容洩露攻擊

2.流量分析攻擊

1.改寫資料流的改寫 2.錯誤資料流的新增 4類：1.假冒 2.重放 3.改寫訊息

4.拒絕服務

功能：向接收者保證訊息是來自他所要求的源

指限制和控制通過通訊鏈路來訪問主機系統和應用程式的能力

是保護被傳輸的資料不會遭受被動攻擊

防止資料遭受竊聽分析

最有效和直接的方法是對整個訊息流的保護

確保訊息接收時與傳送時一致，未被複製、插入、重排序或者重放

防止傳送者或接收者否認乙個已傳輸的訊息

明文x	->	加密演算法(+k私鑰)	->	密文y=e[k,x]	->	解密演算法(+k私鑰)	->x=d[k,y]

對稱加密的安全使用有如下兩個要求：

1.需要乙個強加密演算法

2.傳送者和接收者必須通過乙個安全的方式獲得金鑰並且保證金鑰安全

對稱加密的安全取決於金鑰的保密性而非演算法的保密性

使用對稱密碼時主要的安全問題一直都是金鑰的保密性

輸入2w位元的明文分組及金鑰k，明文分組被分為兩半：l0和r0，通過n輪，第i輪輸出為li-1和ri-1 同時子金鑰ki由金鑰k產生

所有輪都具有相同的結構，左半邊資料要做乙個替換，具體過程是先對右半邊資料使用輪函式f（使用ki），然後將函式輸出同原來左邊資料做異或xor.

data encryption standard

資料加密標準

encryption 加密

decrypt 解密

分組長度64位元，16輪迭代

c=e(k1,d(k2,e(k3,p)))
p=d(k1,e(k2,d(k3,c)))
利用三重des加密來解密單重des：
c=e(k,d(k,e(k,p)))

1.演算法軟體執行相對較慢。

2.分組大小採用64位元，需要更大的分組以達到更高的安全度。

advanced encryption standard

aes採用分組大小為128位元

aes過程：

1.每輪替換和移位時都並行處理整個資料分組。

2.輸入的金鑰被擴充套件成為44個32位元字的陣列w[i],4個不同的字用作每輪的金鑰

3.進行了4個不同的步驟，乙個是移位，三個是替換

位元組替換：使用乙個表（被稱為s盒）來對分組進行逐一的位元組替換

行移位：對行做簡單的移位

列混合：對列的每個位元組做替換，是乙個與本列全部位元組有關的函式

輪金鑰加：將當前分組與一部分擴充套件金鑰簡單的按位異或

4.結構非常簡單。對於加密和解密，都是從輪金鑰加開始，接下來經過九輪，每一輪都是四個步驟，最後進行一輪包括三個步驟的第10輪迭代。

5.只有輪金鑰加步驟使用了金鑰。由於這個原因，金鑰在開始和結束的時候進行輪金鑰加步驟。對於其他任何步驟，如果在開始和結束時應用，都可以在不知道金鑰的情況下進行反向操作，並且不會增加任何安全性。

6.輪金鑰加步驟本身並不強大，另外三個步驟一起打亂了資料位元，但是因為沒有使用金鑰，他們本身不提供安全。將這個密碼先對分組做異或加密（輪金鑰加）操作，接下來打亂這個分組，再做異或加密，依此類推，這個結構既高效又高度安全。

7.每一步都簡單可逆。對於位元組替換，行移位，列混合，在解密演算法中使用逆函式。對輪金鑰加步驟，反向操作用同乙個輪金鑰異或資料分組，利用a異或b異或b=a這個結果。

8.像大多數分組密碼一樣解密演算法也是按照相反的順序使用擴充套件金鑰。但是解密演算法並不與加密演算法相同，這是aes特殊結構的結果

9.如果四個步驟都可逆，則容易證明解密確實能夠恢復明文。

10.加密和解密的最後一輪都只包含3個步驟，這是aes特殊結構的結果，這麼做是為了使密碼可逆。

trng真隨機數發生器

偽隨機數生成器採用乙個不變值作為輸入端，這個不變值稱為種子

prng偽隨機數發生器：一種用來生產乙個開路型位元流的演算法

prf偽隨機函式：被用來產生一些固定長度的偽隨機位元串。

密碼演算法能夠作為prng的核心，以下三種密碼演算法經常被用來創造prng：

對稱的分組密碼

不對稱的密碼

雜湊函式和訊息認證碼

密碼分組鏈結模式（cbc）

加密演算法的輸入是當前明文分組與前一密文分組的異或

解密時，用解密演算法依次處理每個密文分組，將其結果與前一密文分組進行異或，產生明文分組：

cj=e(k,[cj-1異或pj])

有協商引數：有連線

無協商引數：無連線

ipsec有連線

sa security association one-direction

if want a p2p association,need two sa

ip目的位址

安全協議標識：ah/sep

序號計數器：乙個32位的值，用於生成ah頭或esp頭的序號域 ip安全序列號：32位的值序號計數器溢位標誌：2^32個包抗重放視窗：用於判斷入站的ah/esp報文是否是一種重放攻擊安全關聯生命期 ah資訊 esp資訊 ipsec協議模式

mtu路徑最大傳輸單元

ip流量與sa相關聯

需要安全策略資料庫spd

安全關聯

ipsec認證頭：

- 0 8 16 31

- 下一頭有效負載長度保留

- 安全引數索引

- 序號

-- 認證資料

-header

0800 ip包

0806 arp包

埠：22

服務：ssh

說明：pcanywhere建立的tcp和這一埠的連線可能是為了尋找ssh。這一服務有許多弱點，如果配置成特定的模式，許多使用rsaref庫的版本就會有不少的漏洞存在。

埠：23

服務：telnet

說明：遠端登入，入侵者在搜尋遠端登入unix的服務。大多數情況下掃瞄這一埠是為了找到機器執行的作業系統。還有使用其他技術，入侵者也會找到密碼。木馬tiny telnet server就開放這個埠。

埠：53

服務：domain name server（dns）

說明：dns伺服器所開放的埠，入侵者可能是試圖進行區域傳遞（tcp），欺騙dns（udp）或隱藏其他的通訊。因此_blank">防火牆常常過濾或記錄此埠。

埠：80/8080

服務：http

說明：用於網頁瀏覽。木馬executor開放此埠。

在新建sa時，序號清0，每當傳送乙個資料報文的時候，序號計數器加1

mac認證演算法

hmac-md5-96

hmac-sha-1-96

hmac-sha-256-96

資訊保安學習

資訊保安學習筆記

資訊保安學習筆記 1

資訊保安學習筆記 3

資訊保安學習

資訊保安學習筆記

資訊保安學習筆記 1

資訊保安學習筆記 3

相關推薦