¿Cuál es el algoritmo para el cifrado de red?
Debido a los numerosos factores de inseguridad causados por la red, los usuarios de la red deben tomar las correspondientes contramedidas de seguridad de la red. Para tapar los agujeros de seguridad y proporcionar servicios de comunicación seguros, se deben utilizar ciertas tecnologías para proteger la red, lo cual ha sido reconocido por la mayoría de los desarrolladores y usuarios de la red.
Las principales tecnologías de seguridad de red actuales incluyen las siguientes:
1. Tecnología de enrutador de cifrado
El enrutador de cifrado cifra el contenido que pasa a través del enrutador y lo comprime. luego transmitirlos a través de una red no segura y descomprimirlos y descifrarlos en el destino.
2. Tecnología de kernel segura
La gente comenzó a considerar la seguridad a nivel del sistema operativo, tratando de eliminar partes del kernel del sistema que puedan causar problemas de seguridad. hacer el sistema más seguro. Por ejemplo, el sistema operativo Solaris coloca contraseñas estáticas en un archivo oculto para mejorar la seguridad del sistema.
3. Traductor de direcciones de red (Traductor de direcciones de red)
El traductor de direcciones de red también se llama compartidor de direcciones o asignador de direcciones. La intención original es resolver la escasez de. Direcciones IP, ahora se utiliza principalmente para la seguridad de la red. Cuando un host interno se conecta a un host externo, utiliza la misma dirección IP; por el contrario, cuando un host externo desea conectarse a un host interno, debe asignarse al host interno a través de una puerta de enlace. Evita que la red externa vea la red interna, ocultando así la red interna y logrando la confidencialidad.
Tecnología de cifrado de datos
El llamado cifrado se refiere a convertir un fragmento de información (o texto sin formato) a través de una clave de cifrado (Encrypt ionkey) y una función de cifrado, deja de tener sentido. texto cifrado, y el receptor restaura el texto cifrado a texto sin formato mediante la función de descifrado y la clave de descifrado. La tecnología de cifrado es la piedra angular de la tecnología de seguridad de redes.
La tecnología de cifrado de datos requiere que solo un usuario o red designado pueda desbloquear la contraseña y obtener los datos originales. Esto requiere que el remitente y el receptor de los datos utilicen cierta información especial para el cifrado y descifrado. llave. El valor de su clave se selecciona entre una gran cantidad de números aleatorios. Según el algoritmo de cifrado, se divide en dos tipos: clave privada y clave pública.
La clave privada, también conocida como clave simétrica o clave única, utiliza la misma clave, es decir, el mismo algoritmo, a la hora de cifrar. Como el algoritmo Kerberos de DES y MIT. La clave única es el método más simple. Ambas partes que se comunican deben intercambiar las claves de la otra parte. Cuando necesitan enviar información a la otra parte, usan su propia clave de cifrado para cifrar. Una vez que el receptor recibe los datos, utiliza la clave proporcionada por el. otra parte. Este método se vuelve muy complicado cuando se comunica con varias partes porque es necesario almacenar muchas claves y la seguridad de las claves en sí es un problema.
DES es un algoritmo de cifrado de paquetes de datos que divide los datos en bloques de datos de 64 bits, de los cuales 8 bits se utilizan para la paridad y los 56 bits restantes se utilizan como longitud de la contraseña. El primer paso es reemplazar el texto original para obtener un grupo de datos desordenados de 4 bits; el segundo paso es dividirlo en dos partes iguales; el tercer paso es usar la función de cifrado para transformarlo y bajo el parámetro clave dado; condiciones, realice múltiples iteraciones para obtener el texto cifrado cifrado.
La clave pública, también conocida como clave asimétrica, utiliza diferentes claves, es decir, diferentes algoritmos, para el cifrado. Existe una clave de cifrado común y varias claves de descifrado, como el algoritmo RSA.
En las redes informáticas, el cifrado se puede dividir en "cifrado de comunicaciones" (es decir, cifrado de datos durante la transmisión) y "cifrado de archivos" (es decir, cifrado de datos almacenados). Hay tres tipos de cifrado de comunicación: cifrado de nodo, cifrado de enlace y cifrado de extremo a extremo.
① El cifrado de nodo, en términos de coordenadas de tiempo, se realiza antes de que la información se transmita al punto de conexión de comunicación real (enlace de comunicación física en términos de las coordenadas (espacio lógico) del OSI 7-); modelo de referencia de capa, Se realiza entre la primera capa y la segunda capa; en términos de objeto de implementación, es cifrar los datos transmitidos entre dos nodos adyacentes, pero solo cifra el mensaje, no el encabezado, para facilitar el enrutamiento de la transmisión. elección.
②El cifrado de enlace (Cifrado de enlace), que se realiza en la capa de enlace de datos, cifra los datos transmitidos en el enlace entre nodos adyacentes, no solo cifrando los datos sino también cifrando el encabezado.
③El cifrado de extremo a extremo (cifrado de extremo a extremo), que se realiza en la sexta o séptima capa, proporciona protección continua para la transmisión de datos entre usuarios. El cifrado se implementa en el nodo de origen, se transmite en texto cifrado en el nodo intermediario y se descifra sólo cuando finalmente llega al nodo de destino. Esto también es muy eficaz para evitar la copia del software de la red y la fuga de software.
En el modelo de referencia OSI, excepto que la capa de sesión no puede implementar el cifrado, otras capas pueden implementar ciertas medidas de cifrado. Pero generalmente está cifrado en el nivel más alto, es decir, cada aplicación en la capa de aplicación se modifica mediante codificación de contraseña, por lo que cada aplicación puede mantenerse confidencial, protegiendo así la inversión en la capa de aplicación. Si el cifrado se implementa en una capa inferior, como la capa TCP, solo puede proteger esta capa.
Vale la pena señalar que si el mecanismo de cifrado puede desempeñar eficazmente su función, la cuestión clave radica en la gestión de las claves, incluido todo el proceso de supervivencia, distribución, instalación, almacenamiento, uso e invalidación de las claves.
(1) Firma digital
Aunque el mecanismo de cifrado de clave pública proporciona una buena confidencialidad, es difícil identificar al remitente, es decir, cualquiera que obtenga la clave pública puede generar y enviar. mensajes. El mecanismo de firma digital proporciona un método de identificación para resolver problemas como la falsificación, la denegación, la suplantación y la manipulación.
Las firmas digitales generalmente utilizan tecnología de cifrado asimétrico (como RSA). Al realizar alguna transformación en todo el texto sin formato, se obtiene un valor como firma de verificación. El destinatario utiliza la clave pública del remitente para descifrar la firma. Si el resultado es texto sin formato, la firma es válida y demuestra que la identidad de la otra parte es verdadera. Por supuesto, las firmas también se pueden adoptar de muchas maneras, por ejemplo, añadiendo la firma al texto sin formato. Las firmas digitales se utilizan habitualmente en bancos, comercio electrónico, etc.
Las firmas digitales son diferentes de las firmas manuscritas: las firmas digitales cambian con los cambios en el texto, mientras que las firmas manuscritas reflejan la personalidad de una persona y permanecen sin cambios. Las firmas digitales y la información del texto son inseparables, mientras que las firmas manuscritas son lo que se adjunta; el texto está separado de la información del texto.
(2) Sistema Kerberos
El sistema Kerberos fue diseñado por el Instituto de Tecnología de Massachusetts para el proyecto Athena. Proporciona un método de autenticación para ambos usuarios en entornos informáticos distribuidos.
Su mecanismo de seguridad consiste en primero autenticar al usuario que realiza la solicitud para confirmar si es un usuario legítimo, en caso de ser un usuario legítimo, luego verificar si el usuario tiene derecho a realizar el servicio o hospedar; solicitó acceso. En cuanto al algoritmo de cifrado, su verificación se basa en el cifrado simétrico.
El sistema Kerberos ha sido ampliamente utilizado en entornos informáticos distribuidos (como en Notes) porque tiene las siguientes características:
① Alta seguridad, sistema Kerberos La contraseña del usuario está cifrada y se utiliza como clave privada del usuario, lo que evita que la contraseña del usuario se muestre y transmita en la red, lo que dificulta que los espías obtengan la información de contraseña correspondiente en la red
② Alta transparencia, durante el uso, el usuario solo debe ingresar una contraseña al iniciar sesión, que es exactamente la misma que las operaciones normales. La existencia de Kerberos es transparente para los usuarios legítimos
③ Buena escalabilidad, Kerberos es un servicio para cada usuario; proporciona autenticación para garantizar la seguridad de la aplicación.
El sistema Kerberos es algo similar al proceso de ver una película. La diferencia es que solo los clientes que hayan iniciado sesión en el sistema Kerberos con anticipación pueden solicitar servicios, y Kerberos requiere que los clientes soliciten boletos. para ir a TGS (iniciar sesión El servidor de distribución de billetes) va al cliente que solicita el servicio final.
El proceso del protocolo de autenticación Kerberos se muestra en la Figura 2.
Kerberos tiene sus ventajas y desventajas, principalmente las siguientes:
① El secreto compartido entre el servidor Kerberos y el usuario es la contraseña del usuario. El servidor no verifica la autenticidad de. el usuario, asumiendo que sólo los usuarios legítimos tienen contraseñas. Si un atacante registra mensajes de respuesta de la aplicación, es fácil realizar un ataque de libro de códigos.
②. El secreto compartido por el servidor Kerberos y el usuario es la contraseña del usuario. El servidor no verifica la autenticidad del usuario al responder, asumiendo que solo los usuarios legítimos tienen la contraseña. Si un atacante registra mensajes de respuesta de la aplicación, es fácil realizar un ataque de libro de códigos.
③, AS y TGS son administración centralizada, lo que fácilmente puede formar cuellos de botella. El rendimiento y la seguridad del sistema también dependen en gran medida del rendimiento y la seguridad de AS y TGS. Debe haber control de acceso frente a AS y TGS para mejorar la seguridad de AS y TGS.
④ A medida que aumenta el número de usuarios, la gestión de claves se vuelve más compleja. Kerberos tiene el valor hash de la contraseña de cada usuario, y AS y TGS son responsables de la distribución de las claves de comunicación entre los usuarios. Cuando N usuarios quieren comunicarse al mismo tiempo, todavía se necesitan N*(N-1)/2 claves
(3), algoritmo PGP
PGP (Pretty Good Privacy) Es una solución propuesta por el autor hil Zimmermann, escrita desde mediados de los años 1980. La clave pública y la clave de grupo están en el mismo sistema. La clave pública utiliza el algoritmo de cifrado RSA para implementar la gestión de claves; la clave de grupo utiliza el algoritmo IDEA para implementar el cifrado de información.
La primera característica de la aplicación PGP es su rápida velocidad y alta eficiencia; otra característica notable es su excelente portabilidad, que puede ejecutarse en una variedad de plataformas operativas. PGP tiene principalmente las funciones de cifrar archivos, enviar y recibir correos electrónicos cifrados, firmas digitales, etc.
(4), algoritmo PEM
Private Enhanced Mail (PEM) es un producto desarrollado por el laboratorio americano RSA basado en los algoritmos RSA y DES. Su finalidad es la función de. La mejora de la privacidad personal se utiliza actualmente ampliamente en Internet. Proporciona los siguientes dos tipos de servicios de seguridad para los usuarios de correo electrónico:
Proporciona servicios tales como: verificación, integridad y defensa para todos los mensajes. otras funciones de servicios de seguridad; proporcionar funciones de servicios de seguridad opcionales, como confidencialidad, etc.
PEM procesa los paquetes mediante el siguiente proceso:
El primer paso es la estandarización: para que PEM sea compatible con MTA (Agente de transferencia de mensajes), los paquetes se procesan de acuerdo con el S Protocolo MTP. El mensaje está estandarizado;
El segundo paso es calcular el MIC (Código de integridad del mensaje).
El tercer paso es convertir el mensaje procesado en uno adecuado para SMTP. formato de transmisión del sistema.
Tecnología de verificación de identidad
La identificación (Identificación) es el proceso mediante el cual un usuario designado presenta su identidad al sistema. La autenticación es el proceso mediante el cual el sistema verifica el certificado de identidad del usuario. La gente suele referirse a estas dos tareas colectivamente como verificación de identidad (o autenticación de identidad), que son dos vínculos importantes para determinar y confirmar la verdadera identidad de las partes que se comunican.
Tecnología de seguridad utilizada en la Web
Generalmente, existen dos formas de lograr la seguridad de la red en la Web: SHTTP/HTTP y SSL.
(1) SHTTP/HTTP
SHTTP/HTTP puede encapsular información de varias maneras. El contenido encapsulado incluye cifrado, firma y autenticación basada en MAC. Y un mensaje se puede cifrar repetidamente. Además, SHTTP también define información de encabezado para la transmisión de claves, la transmisión de autenticación y funciones de gestión similares.
SHTTP puede admitir una variedad de protocolos de cifrado y también proporciona a los programadores un entorno de programación flexible.
SHTTP no depende de un sistema de certificación de claves específico. Actualmente admite RSA, dentro y fuera de banda, y el intercambio de claves Kerberos.
(2) SSL (Secure Sockets Layer) La capa de sockets seguros es un estándar industrial que utiliza tecnología de clave pública. SSL se usa ampliamente en intranets y redes de Internet, y sus productos incluyen clientes y servidores que admiten SSL proporcionados por Netscape, Microsoft, IBM, Open Market y otras compañías, así como productos como Apache-SSL.
SSL proporciona tres servicios de seguridad básicos, todos los cuales utilizan tecnología de clave pública.
① Privacidad de la información, mediante el uso de tecnología de clave pública y clave simétrica para lograr la privacidad de la información. Todo el tráfico entre el cliente SSL y el servidor SSL se cifra utilizando las claves y algoritmos establecidos durante el protocolo de enlace SSL. Esto evita que algunos usuarios realicen escuchas ilegales mediante el uso de herramientas de rastreo de paquetes IP. Aunque el rastreador de paquetes aún puede capturar el contenido de la comunicación, no puede descifrarlo. ②La integridad de la información garantiza que todos los servicios SSL alcancen sus objetivos. Si Internet se convierte en una plataforma viable de comercio electrónico, el contenido de información entre servidores y clientes debería protegerse contra la destrucción. SSL utiliza grupos de funciones hash y de intercambio de secretos para proporcionar servicios de integridad de la información. ③La autenticación mutua es el proceso mediante el cual el cliente y el servidor se identifican entre sí. Sus números de identificación están codificados con una clave pública y sus números de identificación se intercambian durante el protocolo de enlace SSL. Para verificar que el titular del certificado es su usuario legítimo (y no un impostor), SSL requiere que el titular del certificado identifique digitalmente los datos intercambiados durante el protocolo de enlace. El titular del certificado identifica todos los datos de información, incluido el certificado, para indicar que es el propietario legal del certificado. Esto evita que otros usuarios utilicen el certificado haciéndose pasar por ellos. La prueba en sí no proporciona autenticación, sólo la prueba y la clave funcionan juntas. ④Los servicios de seguridad SSL deben ser lo más transparentes posible para los usuarios finales. Normalmente, los usuarios sólo necesitan hacer clic en un botón o en una conexión en el escritorio para conectarse a un host SSL. A diferencia de las solicitudes de conexión HTTP estándar, el puerto predeterminado para que un host de red típico que admita SSL acepte conexiones SSL es 443 en lugar de 80.
Cuando un cliente se conecta a este puerto, primero inicializa el protocolo de intercambio para establecer una sesión SSL. Una vez completado el protocolo de enlace, la comunicación se cifra y se verifica la integridad de la información hasta el final de este período de conversación. Sólo se produce un protocolo de enlace por sesión de conversación SSL. Por el contrario, cada conexión HTTP requiere un protocolo de enlace, lo que reduce la eficiencia de la comunicación. Los siguientes eventos ocurrirán durante un protocolo de enlace SSL:
1. El cliente y el servidor intercambian certificados X.509 para que ambas partes puedan confirmarse mutuamente. En este proceso, puede intercambiar toda la cadena de pruebas o puede optar por intercambiar solo algunas pruebas subyacentes. La verificación del certificado incluye: verificar la fecha de validez y verificar la autoridad firmante del certificado.
2. El cliente genera aleatoriamente un conjunto de claves, que se utilizan para el cifrado de información y el cálculo de MAC. Estas claves deben estar cifradas mediante la clave pública del servidor antes de enviarse al servidor. Hay cuatro claves en total que se utilizan para la comunicación de servidor a cliente y de cliente a servidor.
3. El algoritmo de cifrado de información (utilizado para el cifrado) y la función hash (utilizada para garantizar la integridad de la información) se utilizan juntos. La implementación SSL de Netscape es: el cliente proporciona una lista de todos los algoritmos que admite y el servidor elige el cifrado que cree que es el más efectivo. Los administradores del servidor pueden utilizar o prohibir determinadas contraseñas.
Servicio proxy
Los servicios proxy se utilizan ampliamente en Internet, como el Sistema de nombres de dominio (DNS). Al mismo tiempo, muchas personas consideran los servicios proxy como una característica de seguridad.
Técnicamente hablando, el Servicio Proxy es una función de puerta de enlace, pero su ubicación lógica está por encima de la capa de aplicación del protocolo OSI de 7 capas.
El proxy utiliza un programa cliente para conectarse a un nodo intermedio específico y luego el nodo intermedio realmente se conecta al servidor deseado.
La diferencia con los firewalls de puerta de enlace de aplicaciones es que no existe una conexión directa entre la red externa y la red interna cuando se utiliza este tipo de firewall. Por lo tanto, incluso si hay un problema con el firewall, la red externa no puede conectarse a la red protegida. .
Tecnología firewall
(1) El concepto de firewall
En el campo informático, una red y sus recursos están protegidos del "muro" de la red El dispositivo afectado por un "incendio" se denomina "cortafuegos". En términos más profesionales, un firewall (FireWall) es uno o un grupo de dispositivos de red (sistemas informáticos o enrutadores, etc.) que se utilizan para fortalecer el control de acceso entre dos o más redes. Su propósito es proteger una red del ataque de otra red. . Se puede entender que equivale a cavar un foso alrededor de la red y establecer un puesto de seguridad en el único puente. Los peatones que entran y salen deben someterse a inspecciones de seguridad.
La composición del firewall se puede expresar de la siguiente manera: firewall = filtro + política de seguridad (+ puerta de enlace).
(2) Cómo implementar el firewall
①Implementado en el enrutador fronterizo
②Implementado en un host de doble hogar
; ③ Implementado en la subred pública *** (esta subred funciona como un host de doble puerto), en la que se puede establecer un firewall con una estructura de zona de alto el fuego.
(3) Estructura de la red del firewall
La topología de la red y la configuración razonable del firewall están estrechamente relacionadas con el rendimiento del sistema de firewall. Los firewalls generalmente adoptan las siguientes estructuras.
①La estructura de firewall más simple
Esta estructura de red puede garantizar que la red protegida solo pueda ver el "host cabeza de puente" (el host a través del cual deben pasar las comunicaciones entrantes y salientes). Al mismo tiempo, el host cabeza de puente no reenvía ningún paquete de comunicación TCP/IP. Todos los servicios de la red deben ser compatibles con el programa de servicio proxy correspondiente del host cabeza de puente. Sin embargo, confía el rendimiento de seguridad de toda la red a una única unidad de seguridad, y una única unidad de seguridad de red es el objetivo preferido del atacante. Una vez que se destruye el firewall, el host cabeza de puente se convierte en un enrutador sin función de búsqueda de ruta. del sistema no es confiable.
②Estructura de firewall de extremo de red única
La función del enrutador de protección es proteger la seguridad del host bastión (puerta de enlace de aplicaciones o servicio proxy) y establecer una barrera. En esta estructura, el host bastión puede considerarse como un servidor de información, que es el centro de datos para que la red interna publique información al mundo exterior. Sin embargo, esta topología de red todavía confía la mayor parte de la seguridad de la red a los enrutadores protectores. La seguridad del sistema todavía no es muy fiable.
③La estructura del firewall de segmento único mejorado
Para mejorar la seguridad del firewall de segmento de red, se agrega un enrutador de protección entre la red interna y la subred, de modo que toda la subred y La conexión entre las redes interna y externa está controlada por un enrutador que funciona a nivel de red. La red interna y la red externa aún no se pueden conectar directamente y solo pueden comunicarse con el host bastión a través del enrutador correspondiente.
④ Estructura de firewall que incluye "zona de alto el fuego"
Para ciertas necesidades de seguridad especiales, se puede establecer la siguiente estructura de red de firewall. Todas las características de seguridad de la red se comparten entre múltiples unidades de seguridad, y el servidor de información pública se puede conectar a la subred en la zona exterior de alto el fuego como un lugar para el intercambio de información entre redes internas y externas.
Tecnología antivirus de red
Dado que los virus informáticos tienen amenazas inconmensurables y un poder destructivo en el entorno de la red, la prevención de virus informáticos también es una parte importante de la construcción del anillo de seguridad de la red. En consecuencia, la tecnología antivirus de red también se ha desarrollado.
La tecnología antivirus de red incluye tres tecnologías: prevención de virus, detección de virus y desinfección. (1) Tecnología de prevención de virus, que utiliza su propia memoria permanente del sistema para obtener control del sistema primero, monitorea y determina si hay virus en el sistema y luego evita que los virus informáticos ingresen al sistema informático y lo dañen. Estas tecnologías son: programas ejecutables cifrados, protección del sector de arranque, supervisión del sistema y control de lectura y escritura (como tarjetas antivirus), etc. (2) Tecnología de detección de virus, que es una tecnología que juzga las características de los virus informáticos, como autoverificación, palabras clave, cambios en la longitud del archivo, etc. (3) Tecnología de desinfección, que analiza los virus informáticos para desarrollar software que pueda eliminar programas virales y restaurar archivos originales.
Los objetivos de implementación de la tecnología antivirus de red incluyen virus de archivos, virus de arranque y virus de red.
Los métodos de implementación específicos de la tecnología antivirus de red incluyen escaneo y monitoreo frecuentes de archivos en servidores de red; uso de chips antivirus en estaciones de trabajo y configuración de derechos de acceso a directorios y archivos de red.
Con el desarrollo continuo de aplicaciones en línea y la aplicación continua de tecnología de red, seguirán surgiendo factores de inseguridad de la red, pero son interdependientes. La tecnología de seguridad de la red también se desarrollará rápidamente y surgirán nuevas tecnologías de seguridad. sin cesar, al final los problemas de seguridad en Internet no nos impedirán seguir adelante