¿Qué es un algoritmo de cifrado de red? ¿Qué categorías hay? Dé ejemplos respectivamente.
Las principales tecnologías de seguridad de red actuales son las siguientes:
1. Tecnología de enrutador de cifrado
El enrutador de cifrado cifra y comprime el contenido que pasa a través del enrutador. Luego se transmite a través de una red no segura, donde se descomprime y descifra en el destino.
En segundo lugar, la tecnología de kernel seguro
La gente comenzó a considerar la seguridad a nivel del sistema operativo, tratando de eliminar del kernel del sistema las partes que pueden causar problemas de seguridad, haciendo así que el sistema sea más seguro. . Por ejemplo, el sistema operativo Solaris coloca contraseñas estáticas en archivos implícitos para mejorar la seguridad del sistema.
En tercer lugar, el traductor de direcciones de red (traductor de direcciones de red)
El traductor de direcciones de red, también conocido como compartidor de direcciones o asignador de direcciones, fue diseñado originalmente para resolver el problema de la escasez de direcciones IP. ahora se utiliza principalmente en seguridad de redes. Cuando un host interno se conecta a un host externo, utiliza la misma dirección IP; por el contrario, cuando un host externo desea conectarse a un host interno, debe asignarse al host interno a través de una puerta de enlace. Hace que la red externa sea invisible para la red interna, ocultando así la red interna y logrando la confidencialidad.
Tecnología de cifrado de datos
El llamado cifrado consiste en convertir un mensaje (o texto sin formato) en texto cifrado sin sentido mediante la clave de cifrado y la función de cifrado. El receptor descifra el mensaje mediante la función de descifrado y el descifrado. función. La clave restaura el texto cifrado a texto sin formato. La tecnología de cifrado es la piedra angular de la tecnología de seguridad de redes.
La tecnología de cifrado de datos requiere que los datos originales solo puedan ser obtenidos por un usuario o red designado, lo que requiere que el remitente y el receptor de datos cifren y descifren cierta información especial, que es la llamada clave. El valor de su clave se selecciona entre una gran cantidad de números aleatorios. Según el algoritmo de cifrado, se puede dividir en clave privada y clave pública.
Las claves privadas, también llamadas claves simétricas o claves simples, utilizan la misma clave, es decir, el mismo algoritmo. Algoritmos Kerberos como DES y MIT. La clave única es la forma más sencilla. Ambas partes que se comunican deben intercambiar la clave del otro. Al enviar información a la otra parte, utilizarán su propia clave de cifrado para cifrarla. Después de recibir los datos, utilizarán la clave de cifrado proporcionada por la otra parte. parte. Este método se vuelve muy complicado cuando se comunica con varias partes porque requiere guardar muchas claves y la seguridad de las claves en sí también es un problema.
DES es un algoritmo de cifrado de bloques de datos que divide los datos en seis bloques de datos de 4 bits, de los cuales 8 bits se utilizan para la paridad y los 56 bits restantes se utilizan como longitud de la contraseña. El primer paso es reemplazar el texto original y obtener seis conjuntos de datos caóticos de 4 bits; el segundo paso es dividirlo en dos segmentos iguales; el tercer paso es utilizar la función de cifrado para transformar, dados los parámetros clave, múltiples iteraciones. , se obtiene el texto cifrado cifrado.
Las claves públicas también se denominan claves asimétricas. Se utilizan diferentes claves para el cifrado, es decir, diferentes algoritmos, incluida una clave pública y varias claves de descifrado, como el algoritmo RSA.
En las redes informáticas, el cifrado se puede dividir en "cifrado de comunicaciones" (es decir, cifrado de datos durante la transmisión) y "cifrado de archivos" (es decir, cifrado de datos almacenados). Hay tres tipos de cifrado de comunicación: cifrado de nodo, cifrado de enlace y cifrado de extremo a extremo.
(1) El cifrado de nodo, en términos de coordenadas de tiempo, se realiza antes de que la información se transmita al enlace de comunicación física en términos de las coordenadas (espacio lógico) del modelo de referencia OSI de 7 capas; se realiza en la primera Se lleva a cabo entre la primera capa y la segunda capa desde el objeto de implementación, cifra los datos transmitidos entre dos nodos adyacentes, pero solo cifra el mensaje y no cifra el encabezado para facilitar la selección de. rutas de transmisión.
②El cifrado de enlace se realiza en la capa de enlace de datos, que cifra los datos transmitidos en el enlace entre nodos adyacentes. No solo cifra los datos, sino que también cifra el encabezado.
③El cifrado de extremo a extremo, realizado en la sexta o séptima capa, proporciona protección continua para la transmisión de datos entre usuarios. También es eficaz implementar el cifrado en el nodo de origen, transmitirlo en forma de texto cifrado en el nodo intermedio y descifrarlo cuando finalmente llegue al nodo de destino.
En el modelo de referencia OSI, todas las capas excepto la capa de sesión pueden implementar ciertas medidas de cifrado. Pero generalmente es el cifrado de nivel más alto, es decir, cada aplicación en la capa de aplicación se modifica mediante codificación de contraseña, por lo que puede desempeñar un papel en la confidencialidad de cada aplicación, protegiendo así la inversión en la capa de aplicación. Si el cifrado se implementa en una capa inferior, como la capa TCP, solo se puede proteger esta capa.
Vale la pena señalar que el funcionamiento eficaz del mecanismo de cifrado depende de la gestión de claves, incluido todo el proceso de supervivencia, distribución, instalación, almacenamiento, uso y caducidad de las claves.
(1) Firma digital
Aunque el mecanismo de cifrado de clave pública proporciona una buena confidencialidad, es difícil identificar al remitente, es decir, cualquiera que obtenga la clave pública puede generar y enviar. mensajes. El mecanismo de firma digital proporciona un método de autenticación que resuelve los problemas de falsificación, repudio, falsificación y manipulación.
Las firmas digitales generalmente utilizan tecnología de cifrado asimétrico (como RSA) y se obtiene un valor como firma de verificación realizando alguna transformación en todo el texto sin formato. El receptor descifra la firma utilizando la clave pública del remitente. Si el resultado es texto claro, la firma es válida y acredita la identidad de la otra parte. Por supuesto, las firmas también se pueden utilizar de diversas formas, como añadiendo una firma a texto sin formato. Las firmas digitales se utilizan ampliamente en la banca, el comercio electrónico y otros campos.
Las firmas digitales son diferentes de las firmas manuscritas: las firmas digitales cambian a medida que cambia el texto, mientras que las firmas manuscritas reflejan la personalidad de una persona y permanecen sin cambios. Las firmas digitales y la información del texto son inseparables, mientras que las firmas manuscritas están adjuntas al texto; y separada de la información del texto.
(2) Sistema Kerberos
El sistema Kerberos fue diseñado por el MIT para el proyecto Athena. Proporciona un método de autenticación para verificar a ambos usuarios en un entorno informático distribuido.
El mecanismo de seguridad consiste en primero autenticar al usuario solicitante para confirmar si es un usuario legítimo, y luego verificar si el usuario tiene derecho a acceder al servicio o host que solicitó. En cuanto a los algoritmos de cifrado, su verificación se basa en el cifrado simétrico.
El sistema Kerberos ha sido ampliamente utilizado en entornos informáticos distribuidos (como Notes) porque tiene las siguientes características:
(1) Alta seguridad. El sistema Kerberos cifra la contraseña del usuario y la utiliza como clave privada del usuario, evitando así la visualización y transmisión de la contraseña del usuario en la red, lo que dificulta que los espías obtengan la información de la contraseña correspondiente en la red;
(2) Alta transparencia Los usuarios solo necesitan ingresar su contraseña al iniciar sesión, que es exactamente igual que la operación normal. La existencia de Ker beros es transparente para los usuarios legítimos;
③Buena escalabilidad. Kerberos proporciona autenticación para cada servicio para garantizar la seguridad de las aplicaciones.
El sistema Ker beros es algo similar al proceso de ver una película. La diferencia es que solo los clientes que hayan iniciado sesión en el sistema Kerberos con anticipación pueden solicitar servicios. Kerberos requiere que los clientes que solicitan boletos soliciten los servicios finales del TGS (Servidor de distribución de boletos).
El proceso del protocolo de autenticación Kerberos se muestra en la Figura 2.
Kerberos tiene sus ventajas y desventajas, principalmente las siguientes:
(El secreto compartido por el servidor Kerberos y el usuario * * * es la contraseña del usuario y el servidor no verifica la autenticidad del usuario al responder, asumiendo que solo los usuarios legítimos tienen contraseñas. Si el atacante registra el mensaje de respuesta de la aplicación, es fácil formar un ataque de libro de códigos.
El secreto compartido por el servidor Kerberos y el usuario es. la contraseña del usuario y el servidor responde. La autenticidad del usuario no se verifica, asumiendo que solo los usuarios legítimos tienen contraseñas. Si el atacante registra el mensaje de respuesta de la aplicación, es fácil formar un ataque de libro de códigos. >③ AS y TGS están centralizados y son fáciles de formar. Los cuellos de botella, el rendimiento y la seguridad del sistema también dependen en gran medida del rendimiento y la seguridad de AS y TGS. Debe haber control de acceso antes de AS y TGS para mejorar la seguridad de AS y TGS. /p>
④ A medida que aumentan los usuarios, la administración de claves se vuelve más complicada. Kerberos tiene el valor hash de la contraseña de cada usuario, y AS y TGS son responsables de la distribución de claves de comunicación entre familias. al mismo tiempo, N*(Aún se necesita N. -1)/2 teclas.
(3) Algoritmo PGP
PGP (Pretty Good Privacy) es una solución propuesta por el autor hil Zimmermann y ha sido escrita desde mediados de los años 80. La clave pública y la clave de grupo están en el mismo sistema. La clave pública utiliza el algoritmo de cifrado RSA para administrar la clave; el algoritmo IDEA se utiliza en la clave de grupo para cifrar la información.
La primera característica de la aplicación PGP es su rápida velocidad y alta eficiencia. Otra característica notable es su excelente portabilidad, lo que le permite ejecutarse en una variedad de plataformas operativas. PGP incluye principalmente cifrar archivos, enviar y recibir correos electrónicos cifrados, firmas digitales, etc.
(4) Algoritmo PEM
Private Enhanced Mail (PEM) es un producto desarrollado por el laboratorio americano RSA basado en los algoritmos RSA y DES. Su propósito es mejorar las capacidades de privacidad de un individuo. En la actualidad, se ha utilizado ampliamente en Internet y proporciona los siguientes dos tipos de servicios de seguridad para los usuarios de correo electrónico:
Proporciona funciones de servicios de seguridad como verificación, integridad y no repudio para todos los mensajes proporcionados; Funciones opcionales del servicio de seguridad, como la confidencialidad.
PEM procesa los correos electrónicos de la siguiente manera:
Paso 1: Estandarización: Para que PEM sea compatible con MTA (Message Transfer Agent), el mensaje se estandariza según el protocolo MTP;
El segundo paso es calcular el MIC (Código de integridad del mensaje);
El tercer paso es convertir el correo electrónico procesado a un formato adecuado para la transmisión del sistema SMTP.
Tecnología de autenticación
El reconocimiento de identidad es el proceso mediante el cual los usuarios designados revelan su identidad al sistema. La autenticación es el proceso mediante el cual el sistema verifica la identidad de un usuario. La gente suele referirse a estas dos tareas como verificación de identidad (o autenticación de identidad), que son dos vínculos importantes para identificar y confirmar la verdadera identidad de las partes que se comunican.
Tecnología de seguridad de red
Hay dos formas de implementar la seguridad de red en la Web: SHTTP/HTTP y SSL.
(1) HTTP/HTTP
SHTTP/HTTP puede encapsular información de diversas formas. El contenido encapsulado incluye cifrado, firma y autenticación basada en MAC. Y los mensajes se pueden encapsular y cifrar repetidamente. Además, SHTTP también define información de encabezado para la transmisión de claves, la transmisión de autenticación y funciones de gestión similares. SHTTP puede admitir varios protocolos de cifrado y proporcionar a los programadores un entorno de programación flexible.
SHTTP no depende de un sistema de autenticación de claves específico y actualmente admite RSA, intercambio de claves dentro y fuera de banda y Kerberos.
(2) SSL (Secure Socket Layer) Secure Sockets Layer es un estándar de la industria que utiliza tecnología de clave pública. SSL se utiliza ampliamente en intranets e Internet, y sus productos incluyen clientes y servidores habilitados para SSL proporcionados por empresas como Netscape, Microsoft, IBM y Open Market, así como productos como Apache-SSL.
SSL proporciona tres servicios de seguridad básicos, todos los cuales utilizan tecnología de clave pública.
① La confidencialidad de la información se logra mediante tecnología de clave pública y clave simétrica. Todo el tráfico entre el cliente SSL y el servidor SSL se cifra utilizando las claves y algoritmos establecidos durante el protocolo de enlace SSL. Esto evita que algunos usuarios realicen escuchas ilegales utilizando herramientas de rastreo de paquetes IP. Si bien un rastreador de paquetes aún puede capturar el contenido de la comunicación, no puede descifrarlo. (2) La integridad de la información garantiza que todos los servicios SSL alcancen sus objetivos. Si Internet se convierte en una plataforma de comercio electrónico viable, debemos asegurarnos de que el contenido de la información entre el servidor y el cliente no esté dañado. SSL proporciona servicios de integridad de la información mediante el uso de intercambio de secretos y un conjunto de funciones hash. ③La autenticación mutua es el proceso en el que el cliente y el servidor se reconocen entre sí. Sus números de identificación están codificados con la clave pública y sus números de identificación se intercambian durante el protocolo de enlace SSL. Para verificar que el titular del certificado es su usuario legítimo (no un impostor), SSL requiere que el titular del certificado identifique digitalmente los datos intercambiados durante el protocolo de enlace. El titular del certificado identifica todos los datos de información, incluido el certificado, para demostrar que es el propietario legal del certificado. Esto evita que otros usuarios utilicen el certificado con seudónimos. El certificado en sí no proporciona autenticación, sólo el certificado y la clave funcionan juntos. ④Los servicios de seguridad SSL deben ser lo más transparentes posible para los usuarios finales.
Normalmente, los usuarios pueden conectarse a un host SSL haciendo clic en un botón o enlace en su escritorio. A diferencia de las aplicaciones de conexión HTTP estándar, el puerto predeterminado para un servidor web típico que admite conexiones SSL es 443, no 80.
Cuando un cliente se conecta al puerto, se inicia un protocolo de intercambio para establecer una sesión SSL. Después del apretón de manos, la comunicación se cifra y se comprueba la integridad de la información hasta el final de la conversación. Sólo se produce un protocolo de enlace durante cada sesión SSL. Por el contrario, HTTP requiere un protocolo de enlace para cada conexión, lo que resulta en una baja eficiencia de comunicación. Los siguientes eventos ocurren durante el protocolo de enlace SSL:
1. El cliente y el servidor intercambian certificados X.509 para confirmación mutua. En este proceso, puede intercambiar toda la cadena de prueba o puede optar por intercambiar solo una parte de la prueba subyacente. La verificación del certificado incluye: la fecha de validez y autoridad firmante del certificado.
2. El cliente genera aleatoriamente un conjunto de claves para el cifrado de información y el cálculo de MAC. Estas claves están cifradas mediante la clave pública del servidor antes de enviarse al servidor. Hay cuatro claves que se utilizan para la comunicación de servidor a cliente y de cliente a servidor.
3. El algoritmo de cifrado de información (utilizado para el cifrado) y la función hash (utilizada para garantizar la integridad de la información) se utilizan juntos. La implementación SSL de Netscape consiste en que el cliente proporcione una lista de todos los algoritmos que admite y el servidor elige el cifrado que considera más eficaz. Los administradores del servidor pueden utilizar o prohibir determinadas contraseñas.
Servicios proxy
Los servicios proxy, como el Sistema de nombres de dominio (DNS), se utilizan ampliamente en Internet y muchas personas consideran los servicios proxy como una característica de seguridad.
Técnicamente hablando, el servicio proxy es una función de puerta de enlace, pero su ubicación lógica está por encima de la capa de aplicación del protocolo OSI Capa 7.
Un proxy utiliza un programa cliente para vincularse a un nodo intermedio específico, que luego se vincula al servidor deseado. A diferencia de los firewalls de puerta de enlace, cuando se utiliza este tipo de firewall, no existe una conexión directa entre la red externa y la red interna, por lo que incluso si hay un problema con el firewall, la red externa no puede conectarse a la red protegida.
Tecnología de firewall
(1) El concepto de firewall
En el campo informático, puede proteger una red y sus recursos del "fuego" fuera de la red. "muro" El dispositivo se llama "firewall". En términos más técnicos, un firewall es un dispositivo de red o un grupo de dispositivos de red (sistema informático o enrutador, etc.). ) se utiliza para fortalecer el control de acceso entre dos o más redes, con el propósito de proteger una red de ataques de otra red. Puede entenderse como equivalente a cavar un foso alrededor de la red, establecer puntos de control de seguridad en el único puente y todos los peatones que entran y salen deben pasar controles de seguridad.
La composición del firewall se puede expresar como: firewall = filtro + política de seguridad (+ puerta de enlace).
(2) Implementación de firewall
① Implementada en el enrutador fronterizo
② Implementada en la máquina de doble host
( 3) Implementado en una subred pública (la subred equivale a un host de doble puerto), en la que se puede establecer un firewall con una estructura de zona de alto el fuego.
(3) Estructura de la red del firewall
La topología de la red y la configuración razonable del firewall están estrechamente relacionadas con el rendimiento del sistema de firewall. Los firewalls generalmente adoptan la siguiente estructura.
①La estructura de firewall más simple
Esta estructura de red permite que la red protegida solo vea el "host cabeza de puente" (el host a través del cual la comunicación debe entrar y salir). Al mismo tiempo, el host cabeza de puente no reenvía ningún paquete de comunicación TCP/IP y todos los servicios de la red deben ser compatibles con el programa de servicio proxy correspondiente del host cabeza de puente. Sin embargo, confía el desempeño de la seguridad de toda la red a una única unidad de seguridad, que es el primer objetivo de los atacantes. Una vez que se destruye el firewall, el host cabeza de puente se convierte en un enrutador sin función de enrutamiento y la seguridad del sistema no es confiable.
②Estructura de firewall de red única
Entre ellos, la función del enrutador de protección es proteger la seguridad del host bastión (puerta de enlace de aplicaciones o servicio proxy) y establecer una barrera. En esta estructura, el host bastión puede considerarse como un servidor de información y un centro de datos para que la red interna publique información al mundo exterior. Sin embargo, esta topología de red todavía confía la mayor parte de la seguridad de la red a los enrutadores protectores. La seguridad del sistema todavía no es muy fiable.
③La estructura del firewall de segmento único mejorado
Para mejorar la seguridad del firewall del segmento de red, se agrega un enrutador de protección entre la red interna y la subred, de modo que toda la subred puede comunicarse con las redes interna y externa. La conexión está controlada por el enrutador que funciona a nivel de red. La red interna y la red externa no se pueden conectar directamente y solo pueden comunicarse con el host bastión a través del enrutador correspondiente.
(4) Estructura de firewall con "zona de alto el fuego"
Para algunos requisitos de seguridad especiales, se puede establecer la siguiente estructura de red de firewall. Todas las características de seguridad de la red son compartidas por múltiples unidades de seguridad, y el servidor de información pública se puede conectar a la subred de la zona de alto el fuego externa como un lugar para el intercambio de información entre las redes internas y externas.
Tecnología antivirus de red
Dado que los virus informáticos tienen amenazas inconmensurables y un poder destructivo en el entorno de la red, la prevención de virus informáticos también es una parte importante de la construcción de seguridad de la red. En consecuencia, la tecnología antivirus de red también se ha desarrollado.
La tecnología antivirus de red incluye tres tecnologías: prevención de virus, detección de virus y antivirus. (1) La tecnología de prevención de virus utiliza la memoria del sistema donde reside para priorizar el control del sistema, monitorear y determinar si hay virus en el sistema y así evitar que los virus informáticos ingresen al sistema informático y lo dañen. Dichas tecnologías incluyen: cifrado de programas ejecutables, protección del sector de arranque, monitoreo del sistema y control de lectura y escritura (como tarjetas antivirus), etc. (2) Tecnología de detección de virus, que es una tecnología que determina las características de los virus informáticos, como autopruebas, palabras clave, cambios en la longitud de los archivos, etc. (3) La tecnología antivirus, mediante el análisis de virus informáticos, desarrolla software con la función de eliminar programas virales y restaurar archivos originales.
Los objetivos de implementación de la tecnología antivirus de red incluyen virus de archivos, virus de arranque y virus de red.
Los métodos de implementación específicos de la tecnología antivirus de red incluyen escaneo y monitoreo frecuentes de archivos en servidores de red; uso de chips antivirus en estaciones de trabajo y configuración de permisos de acceso a directorios y archivos de red.
Con el desarrollo continuo de aplicaciones en línea y la aplicación continua de tecnología de red, seguirán apareciendo factores de inseguridad de la red, pero son interdependientes. La tecnología de seguridad de la red también se desarrollará rápidamente y surgirán nuevas tecnologías de seguridad. tras otro. En última instancia, los problemas de seguridad en Internet no detendrán nuestro progreso.