56、网络安全加密标准与协议全解析-优快云博客

本文链接：https://blog.youkuaiyun.com/zz67890/article/details/153103666

网络安全加密标准与协议全解析

1. 认证协议

CHAP ：变更握手认证协议（CHAP）通过点对点协议（PPP）和三次握手实现认证，能抵御重放攻击。不过，它使用共享密钥，客户端和服务器都需知道密钥明文。微软推出的 MS - CHAP 无需收发双方知晓明文，也不传输明文，但已被破解。
EAP ：可扩展认证协议（EAP）最初用于点对点通信，是 CHAP 和过时的密码认证协议（PAP）的替代方案。它更安全，支持一次性密码、标准密码或智能令牌等不同认证机制。

2. 公钥基础设施（PKI）

PKI 采用非对称加密，使用公钥和私钥确保信息仅由授权方加密和解密，与对称加密仅使用一个共享密钥不同。
- 证书：证书用于识别组织或用户，通常基于 X.509 标准，包含有效期、加密算法、颁发者等信息。例如，访问 Packt 网站时，通过 HTTPS 连接的锁图标可查看证书，了解其用途、有效期、颁发者等详细信息。
- 证书类型 ：
- 签名证书 ：由公共证书颁发机构（CA）签名并颁发，包含公钥和密钥所有者身份，私钥由 CA 保密。
- 自签名证书 ：由组织或实体自行签名认证，一般仅在内部基础设施中使用，不建议在外部使用。

3. 数字签名

数字签名用于验证电子邮件或文档的来源。例如，Bruce Wayne 和 Selina Kyle 通信时，Selina 用私钥签署邮件，Bruce 用她的公钥验证邮件是否来自 Selina。需注意，数字签名不加密信息，仅用于验证。

4. SSL 和 TLS

SSL 和 TLS 是用于在不安全网络（如互联网）上保护通信的加密协议，SSL 是 TLS 的前身，如今更常用。它们结合对称密钥密码和非对称密钥密码加密通信，使用数字证书进行实体认证，防止中间人攻击。
- TLS 握手过程 ：
1. 客户端向服务器发送 Hello 消息和随机值，并告知支持的加密算法。
2. 服务器回复服务器 Hello 消息、随机值，若请求客户端证书，客户端会发送。
3. 客户端创建随机预主密钥，用服务器证书的公钥加密后发送给服务器。
4. 服务器和客户端根据预主密钥生成新的主密钥和会话密钥。
5. 客户端发送消息表示更改加密规范，使用新会话密钥进行哈希和加密，并发送完成消息。服务器接收后切换到安全状态，也发送完成消息。
6. 双方使用新会话密钥通过安全通道交换数据。

以下是 TLS 握手过程的 mermaid 流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([客户端]):::startend -->|Hello 消息、随机值、支持的加密算法| B([服务器]):::startend
    B -->|服务器 Hello 消息、随机值| A
    B -->|请求客户端证书| A
    A -->|发送客户端证书| B
    A -->|创建随机预主密钥，用公钥加密发送| B
    B -->|根据预主密钥生成主密钥和会话密钥| B
    A -->|根据预主密钥生成主密钥和会话密钥| A
    A -->|更改加密规范消息、完成消息| B
    B -->|切换到安全状态、完成消息| B
    A <-->|使用会话密钥交换数据| B

5. PGP

PGP 始于 1991 年，可用于加密消息和文件、数字签名、删除文档和压缩。其加密过程包括哈希、数据压缩、对称密钥加密和公钥加密，每个步骤支持多种算法，公钥与用户名或电子邮件地址绑定。
- PGP 操作流程 ：
1. 用户加密数据时，PGP 先压缩数据，避免被利用破解加密。
2. 创建一次性使用的随机密钥，用该密钥加密明文得到密文。
3. 用接收方公钥加密随机密钥，将加密数据发送给接收方。解密过程相反。

以下是 PGP 操作流程的表格：
|步骤|操作|
| ---- | ---- |
|1|压缩数据|
|2|创建随机密钥并加密明文|
|3|用接收方公钥加密随机密钥并发送|

6. 密码学对策

为减轻可能的攻击，可采取以下 12 条对策：
1. 仅向直接用户和应用程序授予访问加密密钥的权限。
2. 部署入侵检测系统（IDS），监控密钥交换和访问情况，并记录日志。
3. 存储加密密钥时使用密码短语和密码。
4. 高级开发者不应将密钥放在源代码或二进制文件中。
5. 绝不使用证书签署私钥传输。
6. 对称算法使用至少 168 位或 256 位的最大位数。
7. 对称密钥协议实现加密时进行消息认证。
8. 非对称算法使用 1536 或 2048 位（推荐 2048 位）的最大尺寸。
9. 哈希算法使用 168 或 256 位的最大位数。
10. 创建或实施加密环境时使用行业标准，避免自制算法。
11. 限制每个密钥每秒的操作次数，防止暴力破解。
12. 哈希函数输出使用最大位长，增加解密难度。

网络安全加密标准与协议全解析

7. 知识测验

以下是一些问题，可测试对前面内容的掌握程度：
|问题|选项|答案|
| ---- | ---- | ---- |
|非对称加密也被称为什么？|A. 共享密钥
B. 哈希
C. 公钥
D. 块|C|
|SSL 的机制是什么？|A. 认证数据
B. 保护存储数据
C. 验证数据
D. 保护传输数据|D|
|常见的哈希协议是以下哪个？|A. RSA
B. MD5
C. DES
D. AES|B|
|对称密码学的另一个名称是什么？|A. 共享密钥密码学
B. 隐写术
C. 公钥密码学
D. 哈希|A|

8. CEH 考试练习问题

以下是一系列有助于进一步准备认证道德黑客（CEH）考试的问题：
1. 何时适合测试他人系统？
- A. 获得许可或被邀请时
- B. 认为系统被黑客攻击时
- C. 发现系统漏洞时
- D. 认为系统有价值时
- 答案：A
2. 使用 Shodan 网络服务时，会针对哪种设备？
- A. 网络服务器
- B. 物联网设备
- C. 移动设备
- D. 云存储服务器
- 答案：B
3. 所有标志位都设置的数据包属于哪种扫描类型？
- A. SYN 扫描
- B. TCP 连接扫描
- C. 全开放扫描
- D. XMAS 扫描
- 答案：D
4. 以下哪个最能描述枚举？
- A. 用户和机器名称识别
- B. 识别网络中的活跃系统
- C. 密码破解
- D. 路由器和防火墙识别
- 答案：A
5. 攻击者向目标发送探测和伪造请求以查找漏洞，这属于哪种扫描？
- A. 主动扫描
- B. 被动扫描
- C. 洪水攻击
- D. 中间人攻击
- 答案：A

以下是部分攻击类型和防护措施的 mermaid 流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([攻击者]):::startend -->|主动扫描| B([目标系统]):::startend
    B -->|检测到攻击| C{是否有防护措施}:::decision
    C -->|有| D([防护成功]):::process
    C -->|无| E([攻击成功]):::process
    A -->|社会工程攻击| B
    B -->|识别攻击| C

较新版本的 Windows 禁用了哪种哈希机制？
- A. NTLM
- B. Kerberos
- C. NTLMv2
- D. LM
- 答案：D
以下哪种不能用于社会工程攻击？
- A. 移动电话
- B. 病毒
- C. 即时通讯
- D. 特洛伊木马
- 答案：B
哪种攻击无需人为交互即可传播？
- A. 特洛伊木马
- B. 蠕虫
- C. 中间人攻击
- D. 病毒
- 答案：B
交换机端口连接情况及数据包发送问题 ：一个交换机端口连接目标系统（MAC 地址为 12:34:56:AB:CD:EF），攻击者（MAC 地址为 78:91:00:ED:BC:A1）连接到同一交换机的不同端口且正在捕获数据包，无端口镜像或端口安全措施。目标机器发送两个数据包，消息 1 的目标 MAC 地址是 E1:22:BA:87:AC:12，消息 2 的目标 MAC 地址是 FF:FF:FF:FF:FF:FF。攻击者能看到哪些消息？
- A. 两条消息都看不到
- B. 能看到消息 1
- C. 能看到消息 2
- D. 两条消息都能看到
- 答案：C
以下关于无线加密协议的说法正确的是？（多选）
- A. WPA2 使用 TKIP 和 AES 加密
- B. WEP 使用基于 RC4 的共享密钥加密
- C. WEP 使用 TKIP 的共享密钥加密
- D. WPA2 使用基于 RC4 的共享密钥加密
- 答案：AB