1. Häufige Bedrohungen der Netzwerksicherheit Zu den häufigsten Bedrohungen für die Netzwerksicherheit gehören: ● Abhören (d. h. unbefugter Zugriff, Informationsverlust, Ressourcendiebstahl usw.) ● Identitätsdiebstahl (Vorgeben, eine andere Entität zu sein, z. B. Website-Identitätsbetrug, IP-Spoofing usw.) ● Wiedergabe ● Zerstörung der Integrität ● Dienstverweigerung ● Trojanische Pferde, Viren ● Verkehrsanalyse

2. Sicherheitslücken im Netzwerk Normalerweise suchen Eindringlinge nach Sicherheitslücken im Netzwerk und dringen durch die Lücken unbemerkt in das Netzwerk ein. Daher besteht die Idee bei der Entwicklung von Gegenangriffswaffen für Hacker darin, die Sicherheitslücken im aktuellen Netzwerk herauszufinden, diese Sicherheitslücken zu demonstrieren und zu testen und dann aufzuzeigen, wie die Sicherheitslücken geschlossen werden können. Derzeit ist die Sicherheit von Informationssystemen sehr schwach, was sich hauptsächlich in der Existenz von Sicherheitsrisiken in Betriebssystemen, Computernetzwerken und Datenbankverwaltungssystemen widerspiegelt. Diese Sicherheitsrisiken manifestieren sich in den folgenden Aspekten. (1) Physische Sicherheit. An jedem Ort, an dem physisch auf unbefugte Maschinen zugegriffen werden kann, bestehen potenzielle Sicherheitsprobleme, die es den Zugriffsbenutzern ermöglichen, Dinge zu tun, die ihnen nicht gestattet sind. (2) Sicherheitslücken in der Software. „Privilegierte“ Software enthält schädlichen Programmcode, der es ihr ermöglicht, zusätzliche Privilegien zu erlangen. (3) Inkompatible Nutzung von Sicherheitslücken. Wenn Systemadministratoren Software und Hardware bündeln, kann aus Sicherheitsgründen davon ausgegangen werden, dass das System ernsthafte Sicherheitsrisiken birgt. Das sogenannte Inkompatibilitätsproblem besteht darin, zwei unabhängige, aber nützliche Dinge miteinander zu verbinden, was zu Sicherheitslücken führt. Sobald das System in Betrieb ist, sind solche Probleme schwer zu erkennen. (4) Wählen Sie eine geeignete Sicherheitsphilosophie. Dies ist ein Verständnis und eine Intuition von Sicherheitskonzepten. Es ist nicht gewährleistet, dass einwandfreie Software, geschützte Hardware und kompatible Komponenten ordnungsgemäß und effektiv funktionieren, es sei denn, Benutzer wählen geeignete Sicherheitsrichtlinien aus und aktivieren Komponenten, die die Sicherheit ihrer Systeme erhöhen.

3. Cyberangriffe

4. Ziele der Sicherheitsmaßnahmen

5. Wichtigste Sicherheitstechnologien ● Datenverschlüsselung: Kombinieren Sie die Informationen neu, sodass nur der Sender und der Empfänger die Informationen wiederherstellen können. ● Datensignatur: Wird verwendet, um zu beweisen, dass sie tatsächlich vom Absender signiert wurde. ● Identitätsauthentifizierung: Überprüfen Sie die Legitimität des Benutzers. ● Firewall: Zwischen zwei Netzwerken gelegen, kontrolliert sie den Ein- und Ausgang von Datenpaketen durch Regeln. ● Inhaltsprüfung: Überprüfen Sie die Sicherheit von Dateninhalten, um Schäden durch Viren und Trojaner zu verhindern.

6. Grundkenntnisse der Systemsicherheit

Übung

1. Datenverschlüsselungstechnologie Datenverschlüsselungstechnologie bezieht sich auf den Prozess der Umwandlung von Informationen (Klartext) in bedeutungslosen Chiffretext durch Verschlüsselungsschlüssel und Verschlüsselungsfunktionen, und der Empfänger verwendet die Entschlüsselungsfunktion und den Entschlüsselungsschlüssel, um den Chiffretext in Klartext wiederherzustellen. Abhängig davon, ob der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel gleich sind (ob einer vom anderen abgeleitet werden kann), können sie unterteilt werden in: ● Symmetrische Verschlüsselungstechnologie (Verschlüsselungsalgorithmus mit privatem Schlüssel) ● Asymmetrische Verschlüsselungstechnologie (Verschlüsselungsalgorithmus mit öffentlichem Schlüssel)

2. Symmetrische Verschlüsselungstechnologie DES/3DES/IDEA/AES/SM1/SM2/RC2/RC4/RC5 Symmetrische Verschlüsselungstechnologie bedeutet, dass der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel gleich sind oder, obwohl sie unterschiedlich sind, leicht voneinander abgeleitet werden können. ● Vorteile: schnelle Verschlüsselungs- und Entschlüsselungsgeschwindigkeit, hohe Verschlüsselungsstärke und offener Algorithmus. ● Nachteile: Es ist schwierig, Schlüssel heimlich zu verteilen, wenn es eine große Anzahl von Benutzern gibt. Darüber hinaus können Funktionen wie die Identitätsauthentifizierung nicht ausgeführt werden, was die Anwendung in einer offenen Netzwerkumgebung unpraktisch macht. Gängige symmetrische Verschlüsselungsalgorithmen: ● DES (Data Encryption Standard): Es handelt sich um eine iterative Blockverschlüsselung. Die Eingabe/Ausgabe beträgt 64 Bit 56-Bit-Schlüssel und ein zusätzliches 8-Bit-Paritätsbit. ● 3DES: Aufgrund der kurzen Schlüssellänge von DES wird zur Verbesserung der Sicherheit der Einsatz empfohlen Ein Algorithmus, der einen 112-Bit-Schlüssel verwendet, um Daten dreimal zu verschlüsseln, heißt 3DES. ● IDEA-Algorithmus (International Data Encryption Algorithm): Der Klartext und der Chiffretext sind jeweils 64 Bit lang und die Schlüssellänge beträgt 128 Bit. PGP (Pretty Good Privacy) verwendet IDEA als Blockverschlüsselungsalgorithmus und nutzt sein kommerzielles Urheberrecht; Secure Socket Layer SSL (Secure Socket Layer) umfasst auch IDEA in seiner Verschlüsselungsalgorithmus-Bibliothek SSLRef; Ascom, Inhaber des IDEA-Algorithmuspatents, hat außerdem eine Reihe von Sicherheitsprodukten auf den Markt gebracht, die auf dem IDEA-Algorithmus basieren, darunter: IDEA-basiertes Exchange-Voll-Plug-in, IDEA-Verschlüsselungschip, IDEA-Verschlüsselungssoftwarepaket usw. ● AES (Advanced Encryption Standard) (Advanced Encryption Standard) Der Schlüssel ist die Grundlage für die Ver- und Entschlüsselung des AES-Algorithmus. Symmetrische Verschlüsselungsalgorithmen sind symmetrisch, da sie zum Verschlüsseln und Entschlüsseln von Klartext denselben Schlüssel benötigen. Blockverschlüsselungsalgorithmus AES unterstützt drei Schlüssellängen: 128 Bit, 192 Bit und 256 Bit ● Stream-Verschlüsselungsalgorithmus und RC4, andere sind Blockverschlüsselung;

3. Asymmetrische Verschlüsselungstechnologie (Verschlüsselungsalgorithmus mit öffentlichem Schlüssel) RSA/ECC/SM2 Asymmetrische Schlüsseltechnologie bedeutet, dass der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel völlig unterschiedlich sind und dies unmöglich ist Von dem einen folgern Sie das andere. ●Der Vorteil ist: Die Schlüsselverwaltung ist einfach, digitale Signatur- und Identitätsauthentifizierungsfunktionen können realisiert werden und sind die Kerngrundlage des aktuellen E-Commerce und anderer Technologien. ●Nachteile: Der Algorithmus ist komplex und die Geschwindigkeit und Effizienz der Verschlüsselung der Daten sind gering. RSA-Algorithmus Ein Paar RSA-Schlüssel wird vom Schlüsselverwaltungszentrum generiert. Einer wird als privater Schlüssel bezeichnet und vom Benutzer gespeichert. Der andere wird als öffentlicher Schlüssel bezeichnet und kann öffentlich gemacht werden. ●Die Verwendung von RSA zum Verschlüsseln großer Datenmengen ist zu langsam, daher wird RSA häufig für die Schlüsselverteilung verwendet. ●Der RSA-Algorithmus basiert auf einer sehr einfachen Tatsache der Zahlentheorie: Es ist sehr einfach, zwei große Primzahlen zu multiplizieren, aber es ist äußerst schwierig, das Produkt zu faktorisieren (Zerlegung großer Primzahlen). Der RSA-Algorithmus löst eine große Anzahl von Problemen bei der Schlüsselverwaltung von Netzwerkbenutzern. RSA kann DES jedoch nicht ersetzen. Ihre Vor- und Nachteile ergänzen sich: ●RSAs Schlüssel ist sehr lang und die Verschlüsselungsgeschwindigkeit ist langsam; ●DES-Verschlüsselung ist schnell und eignet sich zum Verschlüsseln längerer Nachrichten; Daher werden bei der Übertragung von Informationen häufig Verschlüsselungsalgorithmen mit privatem Schlüssel und Verschlüsselungsmethode mit öffentlichem Schlüssel verwendet, um Zahlen mit großer Kapazität zu verschlüsseln, und Verschlüsselungsalgorithmen mit öffentlichem Schlüssel wie RSA zur Übertragung privater Schlüssel. Der vom Schlüsselverschlüsselungsalgorithmus verwendete Schlüssel

die Verschlüsselungstechnologie meines Landes

Übung

Die Authentifizierungstechnologie wird in zwei Typen unterteilt: Entitätsauthentifizierung und Nachrichtenauthentifizierung. ●Entitätsauthentifizierung dient der Identifizierung der Identität des Kommunikationspartners und der Verhinderung von Fälschungen. Digitale Signaturen können verwendet werden. ●Bei der Nachrichtenauthentifizierung wird überprüft, ob die Nachricht während der Übertragung oder Speicherung manipuliert wurde, normalerweise mithilfe der Message-Digest-Methode. ●Zu den Authentifizierungsmethoden gehören die Authentifizierung mit Kontoname/Passwort, die Authentifizierung mit Digest-Algorithmus und die PKI-basierte Authentifizierung.

1. Informationszusammenfassung Informationszusammenfassungen werden auch digitale Zusammenfassungen genannt. Es wird durch Anwenden einer Einweg-Hash-Verschlüsselungsfunktion auf die Nachricht generiert. Und die Ergebnisse verschiedener Klartext-Digests in Chiffretext sind immer unterschiedlich. Wenn sich die Informationen während des Übertragungsprozesses auch nur um 1 Bit ändern, generiert der Empfänger einen neuen Digest der empfangenen Informationen, der sich vom ursprünglichen Digest unterscheidet So können Sie feststellen, ob sich die Informationen geändert haben. Daher stellt die Informationszusammenfassung die Integrität der Informationen sicher. Informationsauszüge können zur Erstellung digitaler Signaturen verwendet werden. Der Informationsauszug ist für eine bestimmte Datei eindeutig. Und unterschiedliche Dokumente führen zwangsläufig zu unterschiedlichen Informationszusammenfassungen. Zu den gängigen Algorithmen zur Informationszusammenfassung gehören: ●MD5: Die fünfte Version des Information Digest-Algorithmus. Die Eingabe wird in 512-Bit-Gruppen gruppiert und verarbeitet, um eine 128-Bit-Ausgabe zu erzeugen. ●SHA: Sicherer Hash-Algorithmus, der ebenfalls in 512-Bit-Gruppen verarbeitet wird und eine 160-Bit-Ausgabe erzeugt. Sie können zum Schutz der Datenintegrität verwendet werden. SHA-1 (englisch: Secure Hash Algorithm 1, chinesischer Name: Secure Hash Algorithm 1) ist eine kryptografische Hash-Funktion, die von der US-amerikanischen National Security Agency entwickelt und vom US-amerikanischen National Institute of Standards and Technology (NIST) für Bundesdatenverarbeitungsstandards veröffentlicht wurde (FIPS). SHA-1 kann einen 160-Bit-Hashwert (20 Byte) generieren, der als Nachrichtendigest bezeichnet wird. Der Hashwert wird normalerweise als 40 Hexadezimalziffern dargestellt.

2. Digitale Signatur Unter digitaler Signatur versteht man die Verarbeitung der zu übertragenden Nachricht über eine Einwegfunktion, um eine alphanumerische Zeichenfolge zu erhalten, die zur Authentifizierung der Nachrichtenquelle und zur Überprüfung, ob sich die Nachricht geändert hat, verwendet wird. Zusammen mit der Datenverschlüsselungstechnologie entsteht ein sicheres kommerzielles Verschlüsselungssystem. Die herkömmliche Datenverschlüsselung ist die grundlegendste Methode zum Schutz von Daten. Sie kann nur verhindern, dass Dritte an die echten Daten gelangen (Datenvertraulichkeit), während digitale Signaturen das Problem lösen können. Fragen der Authentifizierung, Fälschung, Manipulation und Identitätsdiebstahl (Datenintegrität und Nichtabstreitbarkeit). Digitale Signaturen verwenden Public-Key-Algorithmen (asymmetrische Schlüsseltechnologie). Digitaler Signaturprozess: (1) Absender A berechnet zunächst den Message Digest (MD) der zu sendenden Informationen (M) über eine Hash-Funktion, das heißt, er extrahiert die Merkmale des Originaltextes. (2) Absender A verschlüsselt den Originaltext (M) und den Nachrichtenauszug (MD) mit seinem eigenen privaten Schlüssel (PrA), der die Signaturaktion abschließen soll. Die Informationen können als PrA (M MD) ausgedrückt werden. (3) Verwenden Sie dann den öffentlichen Schlüssel (PB) des Empfängers B als Schlüssel, um das Informationspaket erneut zu verschlüsseln und PB (PrA (M MD)) zu erhalten. (4) Wenn der Empfänger es erhält, entschlüsselt er es zunächst mit seinem eigenen privaten Schlüssel PrB, um PrA(M MD) zu erhalten. (5) Verwenden Sie dann den öffentlichen Schlüssel (PA) von A zum Entschlüsseln. Wenn er entschlüsselt werden kann, bedeutet dies offensichtlich, dass die Daten von A gesendet wurden und gleichzeitig der Originaltext M und der Nachrichtenauszug MD erhalten werden. (6) Berechnen Sie dann den Nachrichtenauszug für den Originaltext M, holen Sie sich den neuen MD und vergleichen Sie ihn mit dem empfangenen MD If Konsistent, was darauf hinweist, dass die Daten während der Übertragung nicht manipuliert wurden.

Der Unterschied zwischen digitaler Verschlüsselung und digitaler Signatur ● Bei der digitalen Verschlüsselung wird der öffentliche Schlüssel des Empfängers zum Verschlüsseln verwendet, und der Empfänger verwendet seinen privaten Schlüssel zum Entschlüsseln. ●Eine digitale Signatur besteht darin, die zusammenfassenden Informationen mit dem privaten Schlüssel des Absenders zu verschlüsseln und sie zusammen mit dem Originaltext an den Empfänger zu senden. Der Empfänger kann nur den öffentlichen Schlüssel des Absenders verwenden, um die verschlüsselten Zusammenfassungsinformationen zu entschlüsseln, und dann die HASH-Funktion verwenden, um neue Zusammenfassungsinformationen für den empfangenen Originaltext zu generieren, die mit den entschlüsselten Zusammenfassungsinformationen verglichen werden.

3. RADIUS-Protokoll RADIUS (Remote User Dial-in Authentication Service) ist ein Netzwerkübertragungsprotokoll, das die drei Dienste Authentifizierung, Autorisierung und Abrechnung berücksichtigt. RADIUS ist ein C/S-Strukturprotokoll, das über UDP kommuniziert. Es können verschiedene Methoden wie PAP, CHAP oder Unix-Login-Authentifizierung verwendet werden.

Übung

digitales Zertifikat Ein digitales Zertifikat ist eine Zahlenfolge, die die Identitätsinformationen kommunizierender Parteien in der Internetkommunikation kennzeichnet. Es ist eine Möglichkeit, die Identität kommunizierender Einheiten im Internet zu überprüfen. Es funktioniert wie unser Personalausweis. Es wird von einer maßgeblichen Organisation, der CA (Certificate Authority), ausgestellt und ermöglicht es Menschen, sich online gegenseitig zu identifizieren. Ein digitales Zertifikat ist eine von einer Zertifizierungsstelle digital signierte Datei, die Informationen zum Eigentümer des öffentlichen Schlüssels und den öffentlichen Schlüssel enthält. Digitale Zertifikate verwenden ein öffentliches Schlüsselsystem, das ein Paar passender Schlüssel zur Ver- und Entschlüsselung verwendet. Legen Sie zwei Schlüssel pro Benutzer fest: ●Privater Schlüssel: ein privater Schlüssel, der nur Ihnen bekannt ist und zum Entschlüsseln und Signieren verwendet wird ●Öffentlicher Schlüssel: von der Person offengelegt und zur Verschlüsselung und Überprüfung von Signaturen verwendet ● Vertrauliche Dokumente versenden. Der Absender verwendet den öffentlichen Schlüssel des Empfängers zum Verschlüsseln und der Empfänger verwendet seinen privaten Schlüssel zum Entschlüsseln. ●Datensignatur. Der Empfänger kann die Identität des Absenders durch das digitale Zertifikat bestätigen, und der Absender kann sie nicht leugnen. Digitale Signaturen stellen sicher, dass Änderungen an Informationen entdeckt werden.

Digitales Zertifikatsformat Das Format digitaler Zertifikate verwendet im Allgemeinen den internationalen Standard X.509. Das öffentliche Schlüsselzertifikat des X.509-Benutzers wird von einer vertrauenswürdigen Zertifizierungsstelle (CA) erstellt und von der CA oder dem Benutzer im öffentlichen X.500-Verzeichnis gespeichert, damit andere Benutzer darauf zugreifen können. Zu den digitalen Zertifikaten gehören die Versionsnummer, die Seriennummer (die Seriennummer jedes von der Zertifizierungsstelle ausgestellten Zertifikats ist eindeutig), die Kennung des Signaturalgorithmus, der Name des Ausstellers, die Gültigkeit, der Name des Subjekts, die Informationen zum öffentlichen Schlüssel des Subjekts und die eindeutige Kennung des Ausstellers, die eindeutige Kennung des Subjekts, erweitert Domäne, Signatur (d. h. das Ergebnis der digitalen Signatur der oben genannten Felder durch die CA mit ihrem eigenen privaten Schlüssel, d. h. die Signatur des Benutzerzertifikats durch das CA-Zentrum).

Erhalten Sie ein digitales Zertifikat Solange ein Benutzer den öffentlichen Schlüssel des CA-Zentrums erhält, kann er oder sie den vom CA-Zentrum signierten öffentlichen Schlüssel für den Benutzer erhalten. Da das Zertifikat nicht gefälscht werden kann, besteht keine Notwendigkeit, das Verzeichnis, in dem das Zertifikat gespeichert ist, besonders zu schützen.

Widerruf des Zertifikats Das Zertifikat muss widerrufen werden, wenn das Zertifikat abgelaufen ist, der private Schlüssel des Benutzers durchgesickert ist, der Benutzer die Nutzung der Dienste des ursprünglichen CA-Centers aufgegeben hat oder der private Schlüssel des CA-Centers durchgesickert ist. Zu diesem Zeitpunkt führt das CA-Zentrum eine Zertifikatssperrliste (CRL), die jeder abfragen kann.

Schlüsselverwaltungssystem Unter Schlüsselmanagement versteht man Probleme im Zusammenhang mit dem gesamten Prozess von der Schlüsselgenerierung bis zur Schlüsselzerstörung, einschließlich Systeminitialisierung, Schlüsselgenerierung, Speicherung, Sicherung/Wiederherstellung, Laden, Verteilung, Schutz, Aktualisierung, Kontrolle, Verlust, Widerruf und Zerstörung. Es gibt drei Hauptschlüsselverwaltungssysteme: ●KMI-Mechanismus, der für geschlossene Netzwerke geeignet ist und durch traditionelle Schlüsselverwaltungszentren repräsentiert wird ●PKI-Mechanismus geeignet für offene Netzwerke ●SPK-Mechanismus geeignet für große private Netzwerke

[ ] Benutzer B erhält die von A digital signierte Nachricht M. Um die Authentizität der Nachricht zu überprüfen, muss er zunächst das digitale Zertifikat von Benutzer A von der Zertifizierungsstelle erhalten. Das digitale Zertifikat enthält (A) und (A). kann verwendet werden, um die Authentizität des Zertifikats zu überprüfen, und dann (C) verwenden, um die Authentizität von M zu überprüfen. A. Öffentlicher Schlüssel von A. Privater Schlüssel von B. A. Öffentlicher Schlüssel von C. B. Privater Schlüssel von D. B A. Öffentlicher Schlüssel von CA. Privater Schlüssel von B. Öffentlicher Schlüssel von C. A. Öffentlicher Schlüssel von D. B A. Öffentlicher Schlüssel von CA. Privater Schlüssel von B. Öffentlicher Schlüssel von C. A. Öffentlicher Schlüssel von D. B

VPN Virtuelles privates Netzwerk Ein virtuelles privates Netzwerk ist eine Erweiterung des Unternehmensnetzwerks in öffentlichen Netzwerken wie dem Internet. Es stellt über einen privaten Kanal eine sichere private Verbindung im öffentlichen Netzwerk her. Im Wesentlichen ist ein VPN ein virtueller Kanal, der zur Verbindung zweier privater Netzwerke verwendet werden kann, seine Sicherheit durch zuverlässige Verschlüsselungstechnologie gewährleistet und als Teil des öffentlichen Netzwerks existiert.

Schlüsseltechnologien von VPN ●Tunneltechnologie ●Verschlüsselungs- und Entschlüsselungstechnologie ●Schlüsselverwaltungstechnologie ●Technologie zur Identitätsauthentifizierung

Klassifizierung und Anwendung von VPN

Was sind die Klassifizierungen der VPN-Technologie? 1. Einteilung nach Datenübertragungsart: ●Tunneling-Modus: Durch Einfügen eines neuen Datenpaket-Headers außerhalb des ursprünglichen Datenpakets werden die Daten verschlüsselt und dann übertragen. Er wird normalerweise in Szenarien wie Fernzugriff und der Verbindung privater Netzwerke in verschiedenen Regionen verwendet. ●Transparenter Modus: Verschlüsselt Datenpakete direkt, ohne sie zu ändern. Wird normalerweise verwendet, um die Sicherheit der Übertragung im öffentlichen Netzwerk zu gewährleisten. 2. Klassifizierung nach Netzwerktyp: ●Remote-Zugriffs-VPN: wird für Remote-Mitarbeiter verwendet, um auf unternehmensinterne Netzwerkressourcen zuzugreifen. Zum Beispiel PPTP, L2TP, SSL VPN usw. ●Punkt-zu-Punkt-VPN: Stellen Sie eine VPN-Verbindung zwischen zwei Geräten her, um eine Verbindung zu LANs herzustellen, die an verschiedenen Orten verteilt sind. IPSec eignet sich beispielsweise für Punkt-zu-Punkt-Szenarien. 3. Klassifizierung nach Sicherheitsprotokollen: ●PPTP-Protokoll: Mit dem GRE-Protokoll gekapselt, ist die Verschlüsselungsstärke niedrig und eignet sich für Szenarien, die keine hohe Sicherheit erfordern. ●L2TP-Protokoll: Basierend auf dem PPTP-Protokoll wird das L2TP-Protokoll hinzugefügt, um es sicherer und für Szenarien geeignet zu machen, die mittlere Sicherheit erfordern. ●IPSec-Protokoll: Hohe Verschlüsselungsstärke und gute Sicherheit, aber die Einstellungen sind kompliziert und für Szenarien geeignet, die ein hohes Maß an Sicherheit erfordern.

PPTP (Point-to-Point Tunneling Protocol) ist die Abkürzung für Point-to-Point Tunneling Protocol. Die Standard-Portnummer ist: 1723 (TCP). Es handelt sich um eine Netzwerktechnologie, die virtuelle private Netzwerke mit mehreren Protokollen unterstützt zweite Schicht. Über dieses Protokoll können Remote-Benutzer über das Microsoft Windows-Betriebssystem und andere mit Punkt-zu-Punkt-Protokollen ausgestattete Systeme sicher auf das Unternehmensnetzwerk zugreifen, sich beim lokalen ISP einwählen und über das Internet eine sichere Verbindung zum Unternehmensnetzwerk herstellen. L2TP (Layer 2 Tunneling Protocol) ist die Abkürzung für das englische Layer 2 Tunneling Protocol. Die Standardportnummer ist: 1701 (UDP). Seine Funktionen ähneln in etwa dem PPTP-Protokoll. Es kann auch Netzwerkdatenflüsse verschlüsseln. Es gibt jedoch Unterschiede. Beispielsweise erfordert PPTP, dass das Netzwerk ein IP-Netzwerk ist, und L2TP erfordert eine paketorientierte Punkt-zu-Punkt-Verbindung, und L2TP verwendet mehrere Tunnel Tunnelüberprüfung, PPTP unterstützt sie jedoch nicht. PPP Point to Point Protocol (PPP) ist ein Verbindungsschichtprotokoll, das für einfache Verbindungen wie die Übertragung von Datenpaketen zwischen Peer-Einheiten entwickelt wurde. Diese Verbindung ermöglicht den Vollduplexbetrieb und liefert Pakete der Reihe nach. Der Designzweck dient hauptsächlich dem Aufbau von Punkt-zu-Punkt-Verbindungen zum Senden von Daten über DFÜ- oder Standleitungen und ist somit eine gängige Lösung für einfache Verbindungen zwischen verschiedenen Hosts, Bridges und Routern. PPP verfügt über die folgenden Funktionen: (1) PPP verfügt über die Fähigkeit, IP-Adressen dynamisch zuzuweisen, sodass IP-Adressen zum Zeitpunkt der Verbindung ausgehandelt werden können. (2) PPP unterstützt mehrere Netzwerkprotokolle wie TCP/IP, NetBEUI, NWLINK usw.; (3) PPP verfügt über Fehlererkennungsfunktionen, jedoch nicht über Fehlerkorrekturfunktionen, sodass PPP ein unzuverlässiges Übertragungsprotokoll ist. (4) Es gibt keinen Neuübertragungsmechanismus, der Netzwerk-Overhead ist gering und die Geschwindigkeit ist hoch. (5) PPP verfügt über eine Identitätsprüfungsfunktion. (6) PPP kann auf verschiedenen Arten von physischen Medien verwendet werden, einschließlich serieller Leitungen, Telefonleitungen, Mobiltelefonen und Glasfasern (wie z. B. SDH wird auch für den Internetzugang verwendet).

VPN-Tunnel-Technologie ●PPTP: Erweitert die PPP-Sitzung logisch, um eine virtuelle Remote-Einwahl zu bilden. Bei der Implementierung des Protokolls wird derselbe Authentifizierungsmechanismus wie bei PPP verwendet, einschließlich EAP (Expanded Identity Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), SPAP (Shiva Password Authentication Protocol). PAP (Password Authentication Protocol). Darüber hinaus verwendet PPP in Windows 2000 MPPE (Microsoft Point-to-Point Encryption Technology) zur Verschlüsselung, sodass EAP- oder MS-CHAP-Authentifizierungstechnologie verwendet werden muss ●L2F: Eine sichere VPN-Kommunikationsmethode mit mehreren Protokollen kann auf einer Vielzahl von Medien eingerichtet werden. Sie kapselt das Verbindungsschichtprotokoll, sodass die Netzwerkverbindungsschicht völlig unabhängig vom Verbindungsschichtprotokoll des Benutzers ist. ●L2TP: Es ist das Produkt der Kombination von PPTP und L2F. Nachdem das L2TP-Protokoll den PPP-Frame gekapselt hat, kann er über IP, X.25, FR oder ATM übertragen werden. Beim Erstellen eines L2TP-Tunnels muss derselbe Authentifizierungsmechanismus wie bei PPP-Verbindungen verwendet werden. Er kombiniert die Vorteile von L2F und PPTP und ermöglicht es Benutzern, VPN-Verbindungen vom Client oder Zugriffsserver aus zu initiieren. ●IPSec: Es handelt sich um eine Sicherheitsstruktur, die aus vier Teilen besteht: Sicherheitsprotokoll, Schlüsselverwaltungsprotokoll, Sicherheitszuordnung, Authentifizierungs- und Verschlüsselungsalgorithmus. Das Sicherheitsprotokoll fügt dem IP-Protokoll zwei passwortbasierte Sicherheitsmechanismen hinzu: Authentication Header (AH) und Encapsulated Security Payload (ESP). AH: Es handelt sich um einen Nachrichtenauthentifizierungscode, der vor dem Senden des IP-Pakets berechnet wurde. Der Sender berechnet die AH mithilfe des Verschlüsselungsschlüssels und der Empfänger überprüft sie mithilfe desselben (symmetrische Verschlüsselung) oder eines anderen Schlüssels (asymmetrische Verschlüsselung). ESP: Kapseln und verschlüsseln Sie das gesamte IP-Paket, normalerweise mit dem DES-Algorithmus.

Welche Sicherheitsdienste kann die IPSEC-Technologie (Internet Protocol Security) bieten? 1. Identitätsauthentifizierung: IPSec kann die Identität beider Kommunikationsparteien überprüfen, um sicherzustellen, dass nur legitime Benutzer auf geschützte Ressourcen zugreifen können. 2. Datenintegrität: IPSec verwendet einen Algorithmus namens Hash-Funktion, um die Daten zu hashen und zu überprüfen, ob die Daten manipuliert wurden. Sollten sich bei der Datenübermittlung Änderungen ergeben, wird der Empfänger feststellen, dass die Daten unvollständig sind und die Verarbeitung verweigern. 3. Datenvertraulichkeit: IPSec verwendet Verschlüsselungsalgorithmen zur Verschlüsselung übertragener Daten, um die Daten vor dem Zugriff durch Unbefugte zu schützen. 4. Schutz vor Replay-Angriffen: Wenn IPSec eine Kommunikation aufbaut, fordert es den Absender auf, eine eindeutige Kennung zu senden, die sich bei jeder Kommunikation ändert. Diese Kennung schützt die Daten vor der Wiederverwendung und verhindert, dass Angreifer die Nachteile der Datenwiederverwendung ausnutzen. 5. Verhindern Sie Denial-of-Service-Angriffe: IPSec kann den Datenverkehr gemäß Sicherheitsrichtlinien begrenzen, nicht autorisierten Datenverkehr abfangen und Angriffe auf geschützte Ressourcen reduzieren.

Technische IPSEC-Architektur

IPSec-VPN-Architektur Sicherheitsprotokoll: Verantwortlich für den Datenschutz, AH/ESP Arbeitsmodus: Übertragungsmodus: um einen End-to-End-Schutz zu erreichen, Tunnelmodus: um einen Site-to-Site-Schutz zu erreichen Schlüsselaustausch: IKE: Führt die Aushandlung von Sicherheitsprotokollen durch AH Datenintegritätsprüfung und Quellenverifizierung, eingeschränkte Anti-Replay-Fähigkeit und keine Datenverschlüsselungsfunktion verfügbar ESP Stellen Sie die Vertraulichkeit der Daten, die Überprüfung der Datenintegrität und der Quelle sowie bestimmte Anti-Replay-Funktionen sicher

IKE (Internet Key Exchange) Das Protokoll ist ein Protokoll, das zum Einrichten eines sicheren Kanals im IPsec-Verschlüsselungsprotokoll (Internet Protocol Security) verwendet wird. Seine Aufgabe besteht darin, sichere Schlüssel und Authentifizierungskanäle für IPsec einzurichten, um sicherzustellen, dass Kommunikation und Datenübertragung im Internet sicher und privat sind. Das IKE-Protokoll wird in folgenden Aspekten verwendet: Bestätigen Sie die kommunizierenden Parteien: Das IKE-Protokoll verwendet digitale Zertifikate oder vorab freigegebene Passwörter, um verschlüsselte Kanäle einzurichten und sicherzustellen, dass nur vertrauenswürdige kommunizierende Parteien kommunizieren können. Verschlüsselungsregeln aushandeln: Das IKE-Protokoll handelt Verschlüsselungsregeln wie Verschlüsselungsalgorithmen, Schlüssellängen und Hash-Algorithmen aus, um sicherzustellen, dass die neueste Sicherheitstechnologie zum Verschlüsseln von Daten verwendet wird. Schlüssel erstellen: Das IKE-Protokoll generiert Schlüssel, die für die IPsec-Verschlüsselung und -Authentifizierung verwendet werden. Aufrechterhaltung sicherer Kanäle: Das IKE-Protokoll ist auch für die Aufrechterhaltung sicherer IPsec-Kanäle verantwortlich, um sicherzustellen, dass die Daten während der Kommunikation Vertraulichkeit, Integrität und Verfügbarkeit wahren.

Zwei IPSec-Modi Transportmodus Dies ist der Standardmodus von IPSec, auch End-to-End-Modus genannt. Er eignet sich für die IPSec-Kommunikation zwischen zwei Hosts. Im Übertragungsmodus ist nur die IP-Nutzlast geschützt, bei der es sich um das TCP/UDP/ICMP-Protokoll oder das AH/ESP-Protokoll handeln kann. Der Übertragungsmodus bietet nur Sicherheitsschutz für Protokolle der oberen Schicht. In diesem Modus müssen beide an der Kommunikation beteiligten Hosts das IPSec-Protokoll installieren und die IP-Adresse des Hosts kann nicht verborgen bleiben. Nachdem der IPSec-Übertragungsmodus aktiviert wurde, fügt IPSec einen AH/ESP-Header oder beide Header vor dem Transportschichtpaket hinzu, um ein AH/ESP-Paket zu bilden, und fügt dann den IP-Header hinzu, um ein IP-Paket zu bilden. Auf der Empfangsseite wird zuerst IP verarbeitet, dann wird IPSec verarbeitet und schließlich werden die Nutzdaten an das Protokoll der oberen Schicht übergeben. Tunnelmodus Nutzen Sie die Site-to-Site-Kommunikation zwischen zwei Gateways. Die beiden an der Kommunikation beteiligten Gateways stellen tatsächlich sichere Kommunikationsdienste für die Computer in den beiden Netzwerken bereit, die als Grenze dienen. Der Tunnelmodus bietet Schutz für das gesamte IP-Paket und bietet Sicherheitsschutz für das IP-Protokoll selbst und nicht nur für das Protokoll der oberen Schicht. Normalerweise muss der Tunnelmodus verwendet werden, solange eine der beiden Parteien, die IPSec verwenden, ein Sicherheitsgateway ist. Ein Vorteil des Tunnelmodus besteht darin, dass er die IP-Adressen interner Hosts und Server verbergen kann. Die meisten VPNs verwenden den Tunnelmodus, da er nicht nur die gesamte Originalnachricht verschlüsselt, sondern auch die Quell- und Zieladressen der Kommunikation teilweise oder vollständig verschlüsselt. Er erfordert nur das Sicherheits-Gateway und keine Installation von VPN-Software auf dem internen Host. Während dieser Zeit werden alle Verschlüsselungs-, Entschlüsselungs- und Verhandlungsvorgänge von ersterem abgeschlossen.

Transportmodus AH-Kapselung

AH-Kapselung im Tunnelmodus

Übung

Wichtige Punkte für die Einrichtung eines IPSec-Tunnels

Firewall Eine Firewall ist ein aus Software oder Hardware bestehender Informationsschutz zwischen einem internen Netzwerk und einem externen Netzwerk oder zwischen einem privaten Netzwerk und einem öffentlichen Netzwerk. Sie ermöglicht oder schränkt die Übertragung übertragener Daten gemäß bestimmten Regeln ein. Der Zweck einer Firewall besteht darin, zu verhindern, dass unbefugte Kommunikation in ein geschütztes Netzwerk gelangt oder dieses verlässt.

Firewall-Funktionen Die Firewall verfügt über folgende Funktionen: ●Zugriffskontrollfunktion ●Inhaltskontrollfunktion ●Umfassende Protokollierungsfunktion ●Zentralisierte Verwaltungsfunktion

Cybersicherheitsdesign Auf der Grundlage des Schutzes des internen Netzwerks schützen wir auch die Server, die Dienste für die Außenwelt bereitstellen.

Drei Firewall-Betriebsmodi: Routing-Modus: externe Verbindung auf Layer 3 (Schnittstelle hat IP-Adresse) Transparenter Modus: externe Verbindung über Layer 2 (Schnittstelle hat keine IP-Adresse) Gemischter Modus: Die Firewall verfügt über Schnittstellen, die sowohl im Routing-Modus als auch im transparenten Modus arbeiten (einige Schnittstellen haben IP-Adressen, andere keine IP-Adressen).

Firewall-Struktur Abschirmender Router (Paketfilter-Firewall) 2. Dual-Hole-Host-Modus 3. Abschirmender Host-Modus 4. Abschirmender Subnetz-Modus

1. Shield-Router (Paketfilter-Firewall) Der Header jedes empfangenen Datenpakets wird anhand der Paketfilterungsregeln beurteilt, die gemäß den Routing-Informationen weitergeleitet werden. Andernfalls wird die Paketfilterung auf der IP-Ebene implementiert des Datenpakets Adresse, Protokolltyp (TCP-Paket, UDP-Paket, ICMP-Paket), Quellport, Zielport und andere Paket-Header-Informationen sowie die Übertragungsrichtung des Datenpakets und andere Informationen, um zu bestimmen, ob das Datenpaket passieren darf.

2. Dual-Loch-Host-Modus Als Firewall dient ein Bastion Host, der mit mindestens zwei Netzwerkkarten ausgestattet ist und sich zwischen dem internen und externen Netzwerk befindet, um eine physische Trennung zu erreichen.

3. Shield-Host-Modus Der abgeschirmte Host-Modus bezieht sich auf eine Firewall, die aus einem separaten Router und einem Bastion-Host im internen Netzwerk besteht. Er verwendet hauptsächlich Paketfilterung, um interne und externe Netzwerke zu isolieren und das interne Netzwerk zu schützen. In diesem Modus gibt es zwei Barrieren: eine ist der abschirmende Router und die andere ist der Bastion-Host.

4. Abgeschirmter Subnetzmodus Der abgeschirmte Subnetzmodus verwendet zwei abschirmende Router und einen Bastion-Host, um ein isoliertes Subnetz zwischen dem internen und dem externen Netzwerk einzurichten, das als DMZ-Netzwerk, eine sogenannte demilitarisierte Zone, definiert wird.

Einbrucherkennung Bei der Intrusion Detection handelt es sich um die Erkennung von Einbruchsverhalten. Es sammelt und analysiert Netzwerkverhalten, Sicherheitsprotokolle, Prüfdaten und Informationen zu mehreren wichtigen Punkten im Computersystem, um zu überprüfen, ob es Verstöße gegen Sicherheitsrichtlinien und Anzeichen eines Angriffs im Netzwerk oder System gibt.

Einbruchmeldesystem (IDS-Einbruchmeldesystem) Es handelt sich um eine Netzwerksicherheitstechnologie, die sich aktiv vor illegalen Angriffen auf Netzwerke und Systeme schützt. Sie überwacht den Betriebszustand von Netzwerken und Systemen gemäß bestimmten Sicherheitsrichtlinien und versucht, verschiedene Angriffsversuche, Angriffsverhalten oder Angriffsergebnisse zu erkennen möglich, um die Vertraulichkeit, Integrität und Verfügbarkeit der Netzwerksystemressourcen sicherzustellen. IDS ist eine proaktive Sicherheitsschutztechnologie.

Funktionen von IDS IDS umfasst drei Teile: Datenextraktion, Einbruchsanalyse und Antwortverarbeitung. Darüber hinaus kann es auch mit Funktionsmodulen wie Sicherheitswissensdatenbank und Datenspeicherung kombiniert werden, um umfassendere Funktionen zur Analyse der Sicherheitserkennungstechnologie bereitzustellen.

IDS-Klassifizierung IDS können anhand von Datenquellen und anhand unterschiedlicher Erkennungsmethoden klassifiziert werden Es gibt verschiedene IDS-Klassifizierungsmethoden.

Intrusion Prevention System (IPS Intrusion Prevention System) Es handelt sich um ein aktives und aktives Intrusion Prevention- und Blocking-System. Es wird am Eingang und Ausgang des Netzwerks eingesetzt. Wenn ein Angriffsversuch erkannt wird, wird das Angriffspaket automatisch verworfen oder es werden Maßnahmen ergriffen, um die Angriffsquelle zu blockieren. Die Erkennungsfunktion von IPS ähnelt der von IDS, aber nach der Erkennung eines Angriffs ergreift IPS Maßnahmen, um den Angriff zu verhindern. Man kann sagen, dass IPS ein neues Netzwerksicherheitsprodukt ist, das auf der Entwicklung von IDS basiert.

Vorteile der Intrusion Prevention: Intrusion Prevention ist eine neue Sicherheitsverteidigungstechnologie, die Einbrüche sowohl erkennen als auch verhindern kann. Nach der Erkennung eines Netzwerkeinbruchs kann es Eindringlingspakete automatisch verwerfen oder die Angriffsquelle blockieren und so Angriffe grundsätzlich verhindern. Die Hauptvorteile der Intrusion Prevention sind folgende: ●Blockierung von Angriffen in Echtzeit: Das Gerät wird direkt im Netzwerk eingesetzt. Wenn ein Einbruch erkannt wird, kann es Einbruchsaktivitäten und anstößigen Netzwerkverkehr in Echtzeit abfangen, um das Eindringen in das Netzwerk zu minimieren. ● Umfassender Schutz: Da neue Angriffe in der Anwendungsschicht des TCP/IP-Protokolls verborgen sind, kann die Intrusion Prevention den Inhalt der Anwendungsschicht der Nachricht erkennen. Außerdem kann sie eine Protokollanalyse und -erkennung bei der Wiederzusammenführung des Netzwerkdatenflusses durchführen und erkennen und erkennen Sie den Netzwerkdatenfluss entsprechend der Angriffsart und -strategie. Warten Sie, um zu bestimmen, welcher Datenverkehr blockiert werden soll. ●Umfassender Schutz: Intrusion Prevention kann Schutz vor Würmern, Viren, Trojanern, Botnets, Spyware, Adware, CGI-Angriffen (Common Gateway Interface), Cross-Site-Scripting-Angriffen, Injektionsangriffen, Verzeichnisdurchquerung, Informationslecks und Remote-Dateieinbindung bieten. Schutzmaßnahmen gegen Angriffe, Überlaufangriffe, Codeausführung, Denial-of-Service, Scan-Tools, Hintertüren und andere Angriffe zur umfassenden Abwehr verschiedener Angriffe und zum Schutz der Netzwerksicherheit. ●Sowohl interne als auch externe Verteidigung: Intrusion Prevention kann nicht nur Angriffe von außerhalb des Unternehmens, sondern auch Angriffe von innerhalb des Unternehmens verhindern. Das System kann den gesamten passierenden Datenverkehr erkennen und sowohl Server als auch Clients schützen. ●Kontinuierliche Aktualisierung, präziser Schutz: Die Intrusion-Prevention-Signaturdatenbank wird kontinuierlich aktualisiert, um das höchste Sicherheitsniveau aufrechtzuerhalten.

Der Unterschied zwischen IPS und IDS IPS und IDS werden unterschiedlich bereitgestellt: ● IDS-Produkte arbeiten im Bypass-Modus im Netzwerk IDS (Intrusion Detection System) Intrusion Detection System: IDS erkennt und alarmiert abnormale Daten, bei denen es sich um Einbrüche handeln könnte, informiert Benutzer über Echtzeitbedingungen im Netzwerk und stellt entsprechende Lösungen und Verarbeitungsmethoden bereit. Es handelt sich um ein Einbruchserkennungssystem, das sich auf Sicherheit konzentriert Funktionen für das Risikomanagement. ● IPS-Produkte arbeiten seriell im Netzwerk Durch die serielle Arbeit wird sichergestellt, dass alle Netzwerkdaten das IPS-Gerät passieren. Das IPS erkennt Schadcodes im Datenfluss, überprüft die Richtlinie und fängt die Informationspakete oder Datenflüsse ab, bevor sie an den Server weitergeleitet werden. Es handelt sich um eine Sicherheitsfunktion, die sich auf die Risikokontrolle konzentriert. Die Intrusion-Prevention-Technologie erweitert das herkömmliche IDS um leistungsstarke Verteidigungsfunktionen

Arten von Intrusion Prevention-Systemen ● Hostbasierte Intrusion Prevention ● Netzwerkbasierte Intrusion Prevention ● Anwendungsbasierte Intrusion Prevention

Herausforderungen für Intrusion-Prevention-Systeme ● Single Point of Failure ● Leistungsengpass ● Falsch positive und falsch negative Ergebnisse

Übung

PGP-Technologie PGP ist ein E-Mail-Verschlüsselungsprotokoll, das auf dem RSA-Public-Key-Verschlüsselungssystem basiert. ●Verschlüsseln Sie damit E-Mails, um zu verhindern, dass Unbefugte sie lesen, und fügen Sie E-Mails digitale Signaturen hinzu. Dadurch kann der Empfänger den Absender der E-Mail identifizieren und sicherstellen, dass die E-Mail nicht manipuliert wurde. Es kombiniert die Kettenverschlüsselungsmethoden von RSA und IDEA. ●Der Arbeitsprozess von PGP besteht darin, einen zufällig generierten Schlüssel (für jede Verschlüsselung unterschiedlich) zu verwenden, um den Klartext mit dem IDEA-Algorithmus zu verschlüsseln, und den Schlüssel dann mit dem RSA-Algorithmus zu verschlüsseln. Daher verfügt es über die Vertraulichkeit von RSA und die Geschwindigkeit des IDEA-Algorithmus. Hauptmerkmale von PGP: ●Verschlüsseln Sie E-Mails mit PGP, um illegales Lesen zu verhindern. ●Sie können der verschlüsselten E-Mail eine digitale Signatur hinzufügen, sodass der Empfänger noch mehr vom Absender der E-Mail überzeugt ist, ohne dass ein vertraulicher Kanal zur Übermittlung des Schlüssels im Voraus erforderlich ist. ●Es kann nur ohne Verschlüsselung signiert werden, was zur Überprüfung der Identität des Erklärenden bei der Abgabe einer öffentlichen Erklärung geeignet ist und auch verhindern kann, dass der Erklärende diese verweigert. ●Möglichkeit zum Verschlüsseln von Dateien, einschließlich Grafikdateien, Sounddateien und anderen Dateitypen.

Kerberos In einer verteilten Netzwerkanwendungsumgebung muss die Workstation in der Lage sein, ihre Identität gegenüber dem Server auf vertrauenswürdige und sichere Weise zu bestätigen, um die Sicherheit ihrer Nutzung zu gewährleisten, da sonst viele Sicherheitsprobleme auftreten. Die Technologie, die dieses Problem löst, heißt Identitätsauthentifizierung. Zu den gängigen Technologien zur Identitätsauthentifizierung gehören: ●Beide Benutzer geben einen gemeinsamen Schlüssel an (den am wenigsten sicheren) ●Generieren Sie Schlüssel mithilfe von Smartcards ●Verwenden Sie den Kerberos-Dienst ●Verwenden Sie den PKI-Dienst (erhalten Sie ein digitales Zertifikat vom CA-Center). So funktioniert Kerberos ●Kerberos erstellt nicht für jeden Server ein Identitätsauthentifizierungsprotokoll, sondern stellt einen zentralen Authentifizierungsserver bereit, um Benutzer-zu-Server- und Server-zu-Benutzer-Authentifizierungsdienste bereitzustellen. ●Der Kern von Kerberos besteht darin, mithilfe der DES-Verschlüsselungstechnologie den grundlegendsten Authentifizierungsdienst zu erreichen.

Der Kerberos-Authentifizierungsprozess ist in 3 Phasen und 6 Schritte unterteilt: Die erste Stufe: Authentifizierungsdienstaustausch, Client erhält Autorisierungsserver-Zugriffsberechtigungsticket. ① Benutzer A gibt seinen Benutzernamen ein und sendet ihn im Klartext an den Authentifizierungsserver. ②Der Authentifizierungsserver gibt einen Sitzungsschlüssel Ks und ein Ticket KTGS (A,Ks) zurück. Dieser Sitzungsschlüssel ist einmalig (kann auch mit einer Smartcard generiert werden) und diese beiden Datenpakete werden mit dem Schlüssel von Benutzer A verschlüsselt Bei der Rückkehr werden Sie aufgefordert, Ihr Passwort einzugeben und die Daten zu entschlüsseln. Die zweite Stufe (③④): Ticket-Berechtigungsservice-Austausch, der Client erhält das Anwendungsservice-Zugriffsberechtigungsticket. ③Benutzer A sendet das erhaltene Ticket, den Namen des Anwendungsservers B, auf den zugegriffen werden soll, und den mit dem Sitzungsschlüssel verschlüsselten Zeitstempel (zur Verhinderung von Neuübertragungsangriffen) an den Autorisierungsserver (TGS). ④Nach dem Empfang gibt der Autorisierungsserver (TGS) den Sitzungsschlüssel für die Kommunikation zwischen A und B zurück, einschließlich des Sitzungsschlüssels KAB, der mit dem Schlüssel von A und dem Schlüssel von B verschlüsselt ist. Die dritte Stufe (⑤⑥): Authentifizierungsaustausch zwischen dem Client und dem Anwendungsserver, und der Client erhält schließlich Anwendungsdienste. ⑤ Benutzer A sendet den Sitzungsschlüssel, der mit dem von TGS erhaltenen Schlüssel von B verschlüsselt ist, an Server B und fügt einen Zeitstempel an, der mit den Sitzungsschlüsseln beider Parteien KAB verschlüsselt ist, um Angriffe durch erneute Übertragung zu verhindern. ⑥ Server B antwortet und schließt den Authentifizierungsprozess ab. Kerberos verwendet einen kontinuierlichen Verschlüsselungsmechanismus, um Session-Hijacking zu verhindern.

SSL SSL (Secure Sockets Layer) und sein Nachfolger TLS (Transport Layer Security) sind Sicherheitsprotokolle, die Sicherheit für die Netzwerkkommunikation und Datenintegrität bieten. SSL und TLS sind Sicherheitsprotokolle, die auf der Transportschicht arbeiten und Netzwerkverbindungen auf der Transportschicht verschlüsseln. (1) Das SSL-Protokoll ist in zwei Schichten unterteilt Das SSL Record Protocol basiert auf einem zuverlässigen Übertragungsprotokoll (z. B. TCP) und bietet Unterstützung für grundlegende Funktionen wie Datenkapselung, Komprimierung und Verschlüsselung für High-Level-Protokolle. SSL-Handshake-Protokoll Es basiert auf dem SSL-Aufzeichnungsprotokoll und wird zur Identitätsauthentifizierung, zur Aushandlung von Verschlüsselungsalgorithmen und zum Austausch von Verschlüsselungsschlüsseln zwischen den kommunizierenden Parteien verwendet, bevor die eigentliche Datenübertragung beginnt. (2) Durch das SSL-Protokoll bereitgestellte Dienste ●Authentifizieren Sie Benutzer und Server, um sicherzustellen, dass Daten an den richtigen Client und Server gesendet werden. ●Verschlüsseln Sie Daten, um zu verhindern, dass Daten auf halbem Weg gestohlen werden. ●Bewahren Sie die Datenintegrität und stellen Sie sicher, dass Daten während der Übertragung nicht verändert werden.

HTTPS HTTPS ist ein auf Sicherheit ausgerichteter HTTP-Kanal. Es handelt sich um eine Erweiterung des HTTP-Protokolls und eine sichere Version von HTTP. HTTPS ist ein Protokoll, das auf der Anwendungsebene arbeitet, Portnummer 443 Der Unterschied zwischen HTTPS und HTTP Für das HTTPS-Protokoll ist die Beantragung eines Zertifikats bei der Zertifizierungsstelle erforderlich. HTTP ist das Hypertext Transfer Protocol, Informationen werden im Klartext übertragen und HTTPS ist ein sicheres SSL-verschlüsseltes Übertragungsprotokoll. HTTP und HTTPS verwenden völlig unterschiedliche Verbindungsmethoden und verwenden unterschiedliche Ports. Ersteres ist 80 und letzteres ist 443. Die HTTP-Verbindung ist sehr einfach und zustandslos; das HTTPS-Protokoll ist ein Netzwerkprotokoll, das auf dem SSL-HTTP-Protokoll basiert und eine verschlüsselte Übertragung und Identitätsauthentifizierung durchführen kann und sicherer als das HTTP-Protokoll ist.

SATZ Das SET-Protokoll wird als Secure Electronic Transaction Protocol bezeichnet. Bei Online-Transaktionen hoffen alle an der Transaktion beteiligten Parteien, die Identität anderer Parteien überprüfen zu können, um einer Täuschung vorzubeugen. Als Reaktion auf diese Situation haben die beiden großen Kreditkartenorganisationen in den USA, Visa und MasterCard, gemeinsam ein bankkartenbasiertes Online-Transaktionssystem für den Einsatz im Internet entwickelt. Sicherheitsstandard - SET. Es verwendet Public-Key-Kryptographie und den digitalen Zertifikatsstandard X.509, um die Sicherheit von Online-Einkaufsinformationen zu gewährleisten. Sicherheit Das SET-Protokoll kann die Vertraulichkeit elektronischer Transaktionen, die Datenintegrität, die Nichtabstreitbarkeit des Transaktionsverhaltens und die Rechtmäßigkeit der Identität gewährleisten. ● Zu den Teilnehmern des SET-Protokolls gehören: Karteninhaber, Händler, Banken (Kartenaussteller), Zahlungsgateways und CA-Zentren.

Übung