网络安全漫谈及实战摘要

存在意义：检测篡改攻击，如果篡改，丢弃。

• 报文摘要：给要传输的数据生成一个简单的指纹(身份ID)，用来唯一的标识这段数据
• 报文摘要的优点：仅对短得多的定长报文摘要H(m)进行加密比对整个长报文m进行加密要简单的多

此处我想多说点，这种策略还不是最安全，比如游戏防止盗取装备也是采取类似这种对装备关键信息的加密(二进制加密)，不可能对整个装备从头到脚进行加密，如果这样数据包会非常大，造成网络堵塞。我觉得最好的防范措施是：不能只用一种加密算法去加密，要把所有的加密算法要平衡运用到所有的装备身上，必要要在你网络传输流畅度和数据加密找到一个平衡点!

(8) 实体鉴别

是对每一个收到的报文都要鉴别报文的发送者，而实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。

存在的威胁：

1)重放攻击问题

未被攻击，上面流程默认进行了KAB会话的协商操作，以后就A->B进行通信。

攻击时，攻击者C伪装A(截获A给B的数据包)然后用自己的sk或者pk加密后与B进行会话协商成功以后C和B进行会话通信，如下图所示：

产生重放攻击的原因：KAB 会话密钥是由A B 随机产生的，不随外人的干涉，那任何人跟B会话，都可以形成KAB会话密钥。

2)中间人攻击

分析：中间人C截获A的信息，重发”我是A”给B，B返回给A RB被C截获，C再给A发了一份RB;然后A用自己的私钥SKA对RB进行加密本来要返回给B，在中间又被C截获并丢掉，然后C用自己的私钥SKc对RB进行加密，发送给B，B把公钥请求返回给C，再重发一份给A，A本返回给B公钥PKa，C截获并丢掉，C将自己的PKc伪装成PKa发给B，B成功解密出来被SKc加密的RB，返回给C，C用自己的SKC解密出来DATA，再用刚才截获来的PKa对DATA进行加密返回给A。

产生重放攻击和中间人攻击的原因：密钥的管理不当引起

7. 密钥分配<对称密钥分配>

密钥管理包括：密钥的产生、分配、注入、验证和使用，比加密算法更为复杂!本技术稿只讨论密钥的分配。

为了防止以上攻击上演，引入一个可信第三方，由它对密钥进行管理和维护。

(1) 对称密钥分配

如果A要与B进行通信 必须去线下的密钥分配中心KDC注册，然后分配中心分别给A和B分配密钥KA kB生成注册表。类似去银行开银行卡，系统会记录你设置的账号和密码，同时生成一对映射表;KAB是通信双方共享会话的KAB。Kerberos 既是鉴别协议，同时也是KDC。

优点：对密钥分配制度进行了一个扩充,将到场注册的线下改为线上。

(2) 公钥的分配<非对称密钥分配>

公钥需要有一个值得信赖的机构来将公钥与其对应的实体(人或机器)进行绑定(binding)<防止中间人的攻击手法>这样的机构就叫做认证中心( CA fCertification Authority)

8. 英特网使用的安全协议<网络层+运输层+应用层>

(1) 网络层的安全协议

1)IPsec协议：网络层保密是指所有在IP数据报中的数据都是加密的。此外，网络层还应提供源站鉴别，即当目的站收到IP数据包时，能确信这是从该数据包的源IP地址的主机发来的。

总结：

• 完成了一个实体鉴别;
• 对IP数据包进行了加密。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!