此次复习：Chapter-8: 无线局域网安全（重点 WAPI）

Chapter-9: 网络安全技术（重点网络扫描、防火墙、IDS 和蜜罐的基本原理）

Chapter-10: 信息隐藏与数字水印技术（重点数字水印）

内容概述

Chapter-8: 无线局域网安全

本章介绍无线局域网 (WLAN）面临的安全威胁和安全需求，实现 WLAN 安全保护的机制。

WLAN 及其安全需求
有线等同保密协议 WEP
WLAN 鉴别与保密基础结构 WAPI

Chapter-9: 网络安全技术

本章主要学习网络环境下安全防范技术

网络安全包括哪些常用技术和手段
网络扫描技术作用和实施
网络防火墙的作用和工作机理
入侵检测：IDS 和蜜罐的基本原理

Chapter-10: 信息隐藏与数字水印技术

本章主要讲授信息隐藏技术和数字水印技术，介绍信息隐藏和数字水印的相关概念、应用、实现方法。

信息隐藏的工作原理及实现方法
数字水印的应用及实现方法

# 无线局域网安全

# WLAN 及其安全需求

WLAN = Wireless Local Area Network

WLAN 的基本特点
- 采用射频无线电信号传输，通信链路具有 开放性
- 容易遭受窃听和攻击，网络安全问题突出。
WLAN 技术规范
- IEEE802.11 系列标准：物理层、数据链路层
  - IEEE802.11 中定义了 WEP (Wired Equivalent Privacy)
- IEEE802.11i：WLAN 安全保护规范，于 2004 年发布
WLAN 的工作模式
- 自组织模式 (Ad Hoc)：无线网络终端 (STA) 点对点通信，自组织构建无线通信网络
- 基础设施模式：无线网络终端通过访问点 AP (Access Point) 相互通信，并实现与有线网络连接通信
WLAN 的安全问题
- 接入控制：只有合法实体才能访问 WLAN 及相关资源
- 链路保密通信：无线链路通信应该确保数据的保密性、完整性及数据源的可认证性
WLAN 的安全机制
- 实体认证、链路加密、完整性保护、数据源认证……
WLAN 安全保护方法分类
- 采用非密码技术的接入控制机制
- 采用基于密码技术的安全机制

# 非密码技术的接入控制机制举例

服务集识别码 SSIb (Service Set Identifier) 认证
- 每个 AP 设有一个 SSID，可以把 SSID 作为一群 WLAN 子系统设备所共享的网域识别码
地址过滤机制
- 如采用 MAC 地址过滤机制，配置 MAC 地址访问列表 ACL (Access Control List)
定向天线或控制传输功率

而基于共享密钥实现 WLAN 安全就要靠 WEP 了 👇

# 有线等同保密协议 WEP

# WEP 概述

有线等同保密协议 WEP: Wired Equivalent Privacy

企图提供与有线网等同的数据保密性
采用流密码算法 RC4 ，基于共享密钥实现实体认证和数据保密通信

WEP 定义了两种认证机制

开放系统认证 (Open System Authentication)：实际上为空认证
共享密钥认证 (Shared Key Authentication)：实现基于共享密钥的质询 —— 响应握手协议。

WEP 的安全性

RC4 密码作为一种流密码，其安全程度取决于 密钥流的随机程度
- 流密码密钥流的随机程度并不高，在安全上存在一定风险
802.11 的帧格式也容易泄露部分密钥特定字节的信息。

RSN 跳过...

# WLAN 鉴别与 WAPI 保密基础结构

GB15629.11 中定义了 WLAN 鉴别与保密基础结构 WAPI，包括两个部分：

WLAN 鉴别基础结构 WAI (WLAN Authenticatiot Infrastructure)
WLAN 保密基础结构 WPI (WLAN Privacy Infrastructure)

WAPI 使用椭圆曲线 ECC 公钥密码算法，以及国家密码办指定的商用对称密码算法，分别实现对 WLAN 实体的鉴别和传输数据加密保护。

# WAI

WAI 采用公钥密码体制，重新定义了数字证书结构实现实体身份与公钥的绑定，实现实体间认证和密钥协商，且证书格式与 X.509 不兼容。

# 网络安全技术

# 网络安全包括哪些常用技术和手段

由于网络的存在，攻击者更容易通过网络非法入侵他人网络系统、计算机系统，非法访问网络上的资源，非法窃取终端系统中的数据。

内部网络、外部网络与安全边界

网络通常分为内部网络和外部网络（也称公共网络，如 Internet）
内外网络之间的连接设备（路由器）成为 安全边界
对安全边界的监控是网络安全的重要内容

构建网络安全防御体系，除了必要的人、制度、机制、管理等方面保障，还要依赖于各种网络安全技术

扫描技术：发现内部网络安全薄弱环节，进行完善保护
防火墙技术：在内部与外部网络衔接处，阻止外部对内部网络的访问，限制内部对外部网络的访问等
入侵检测系统：发现非正常的外部对内部网络的入侵行为，报警并阻止入侵行为和影响的进一步扩大
隔离网闸技术：在物理隔离的两个网络之间进行安全数据交换

# 网络扫描技术作用和实施

如何探测网络拓扑结构及网络中系统存在的安全弱点？这就需要网络扫描技术。

网络扫描技术目的是发现网络中的设备及系统是否存在安全漏洞。典型的网络扫描包括主机扫描和端口扫描。

主机扫描

目的是确定在目标网络上的主机是否可达
常用的扫描手段如 ICMP Echo 扫描、 Broadcast ICMP 扫描等
防火墙和网络过滤设备常常导致传统的探测手段变得无效
- 为了突破这种限制，攻击者通常利用 ICMP 协议提供的错误消息机制，例如发送异常的 IP 包头、在 IP 头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等

端口扫描

目的是发现目标主机的开放端口，包括网络协议和各种应用监听的端口
端口扫描技术包括开放扫描、隐蔽扫描和半开放扫描等。
典型的端口扫描方法（看看就好）
- TCP Connect 扫描和 TCP 反向 ident 扫描
- TCP Xmas 和 TCP Null 扫描是 FIN 扫描的两个变种。TCP FTP 代理扫描
- 分段扫描，将数据包分为两个较小的 IP 段
- TCP SYN 扫描和 TCP 间接扫描，两种半开放扫描

# 网络防火墙的作用和工作机理

如何隔离内部网络和外部网络？这就需要网络防火墙！

网络防火墙是建立在内部网络 (Intranet) 与外部网络 (Extranet) 之间的安全网关 (Gateway)。

# 防火墙的概念、功能

内部网络与外部网络之间所有的网络数据流都必须经过防火墙
只有符合安全策略的数据流才能通过防火墙
防火墙自身应具有非常强的抗攻击免疫力

防火墙的功能

防火墙是网络安全的屏障
防火墙可以强化网络安全策略
对网络接入和访问进行监控审计
防止内部信息的外泄
集成其它网络应用功能，如 VPN 、 NAT 等

# 防火墙的工作原理

# 包过滤技术

包过滤防火墙工作在 OSI 体系结构的网络层
对通过防火墙的每个 IP 数据包的头部、协议、地址、端口、类型等信息进行检查，与预先设定好的防火墙过滤规则进行匹配
一旦发现某个数据包的某个或多个部分与过滤规则匹配并且条件为阻止的时候，这个数据包就会被丢弃
从 “静态包过滤” 到 “动态包过滤”
包过滤防火墙通常要对经过的数据包检查下列字段：
- 源 IP 地址和目的 IP 地址
- TCP、UDP 和 ICMP 等 协议类型
- 源 TCP 端口和目的 TCP 端口
- 源 UDP 端口和目的 UDP 端口
- ICMP 消息类型
- 输出分组的网络接口
包过滤规则的匹配结果分为三种情况：
- 如果一个分组与一个拒绝转发的规则相匹配，则该分组将被禁止通过
- 如果一个分组与一个允许转发的规则相匹配，则该分组将被允许通过
- 如果一个分组没有与任何的规则相匹配，则该分组将被禁止通过
  这里遵循了 “一切未被允许的皆禁止” 的原则

# 应用代理技术

具有应用协议分析 (Application Profocol AnaysIs) 能力的防火墙
“应用协议分析” 技术工作在 OSI 模型的最高层 —— 应用层，在这一层防火墙能看到应用数据最终形式，从而可以实现更高级、更全面的数据检测
采取代理机制工作，内外部网络之间的通信都要先经过代理服务器审核，不能直接连接会话，这样就可以避免攻击者使用 “数据驱动” 网络攻击
代理机制使防火墙的性能受到一定的限制

# 状态监视技术

状态监视技术（Stateful Inspection）

在动态包过滤技术基础上发展而来的防火墙技术
能对网络通信各个层次实施监测，并根据各种过滤规则进行决策
状态监视技术在支持对每个数据包的头部、协议、地址、端口类型等信息进行分析的基础上，进一步发展了 “会话过滤” (Session Filtering）功能
在每个连接建立时，防火墙会为该连接构造一个会话状态，包含了该连接数据包的所有信息
之后基于连接状态信息对每个数据包的内容进行分析和监视
状态监视技术结合了包过滤技术和应用代理技术，实现上更复杂，也会占用更多资源

# 入侵检测：IDS 和蜜罐的基本原理

如何检测非法入侵网络行为？IDS!

入侵检测：通过收集和分析计算机网络或系统中 若干关键点 的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象
实现这一功能的软件与硬件组合即构成 入侵检测系统 IDS (Intrusion Detection System)
分为 IDS 与 IPS (Intrusion Prevention System)

入侵检测系统分类如下：

主机型 IDS ：安装在服务器或 PC 机上的软件，监测到达主机的网络信息流
网络型 IDS：一般配置在网络入口处（路由器) 或网络核心交换处（核心交换路由器）通过旁路技术监测网络上的信息流

# IDS 的主要功能与组成

入侵检测系统的主要功能如下：

监测、记录并分析用户和系统的活动
核查系统配置和漏洞
评估系统关键资源和数据文件的完整性
识别已知的攻击行为
统计分析异常行为
管理操作系统日志，识别违反安全策略的用户活动

IDS 需要分析的数据称为事件 (Event)，它可以是网络中的数据包，也可以是从系统日志等其它途径得到的信息。

IDS 一般包括以下组件

事件产生器 (Event generators)
事件分析器 (Event analyzers)
响应单元 (Response units)
事件数据库 (Event databases)

# 网络 IDS 与主机 IDS 基本原理

网络 IDS 是网络上的一个监听设备，通过监听网络上传递的报文，按照协议对报文进行分析，并报告网络中可能存在的入侵或非法使用者信息，还能对入侵行为自动地反击

网络 IDS 的工作原理：按事件分析方法分类

基于知识的数据模式判断方法：
- 分析、建立网络中非法使用者 (入侵者) 的工作方法 —— 数据模型
- 在实时检测网络流量时，将网络中读取的数据与数据模型比对，匹配成功则报告事件。
基于行为的行为模式判断方法
- 统计行为判断：根据上面模式匹配的事件，在进行事后统计分析时，根据已知非法行为的规则判断出非法行为。
- 异常行为判断：根据平时统计的各种信息，得出正常网络行为准则，当遇到违背这种准则的事件发生时，报告非法行为事件

主机 IDS 的基本原理：以主机系统日志、应用程序日志等作为数据源，也可以包括其他资源（如网络、文件、进程)，从所在的主机上收集信息并进行分析，通过查询、监听当前系统的各种资源的使用、运行状态，发现系统资源被非法使用或修改的事件，并进行上报和处理。

# 蜜罐技术

如何更有效地检测非法入侵网络的行为？通过蜜罐技术

蜜罐 (Honeypot) 技术顾名思义，可以看成是一种诱导技术，目的是发现恶意攻击和入侵。

通过设置一个 “希望被探测攻击甚至攻陷” 的系统，模拟正常的计算机系统或网络环境，引诱攻击者入侵蜜罐系统，从而发现甚至定位入侵者，发现攻击模式、手段和方法，进而发现配置系统的缺陷和漏洞，以便完善安全配置管理消除安全隐患。

蜜罐可以分为高交互蜜罐和低交互蜜罐
根据系统载体不同可以分类为物理蜜罐和虚拟蜜罐

# 高交互蜜罐 (High-interaction honeypots)

一个高交互蜜罐是一个常规的计算机系统，如使用一台标准计算机、路由器等

高交互蜜罐实际上是一个配置了真实操作系统和服务的系统为攻击者提供一个可以交互的真实系统
这一系统在网络中没有常规任务，也没有固定的活动用户
系统上只运行正常守护进程或服务，不应该有任何不正常的进程，也不产生任何网络流量

高交互蜜罐可以完全被攻陷，它们运行真实操作系统，可能带有所有已知和未知的安全漏洞，攻击者与真实的系统和真实的服务交互，使得我们能够捕获大量的威胁信息。

当攻击者获得对蜜罐非授权访问时，可以捕捉他们对漏洞的利用，监视他们的操作，找到他们的工具，搞清他们的动机。

即使攻击者使用了我们尚不知道的未知漏洞，通过分析其入侵过程和行为，可以发现其使用的方法和手段，即所谓发现 “零日攻击”。

# 低交互蜜罐 (Low-interaction honeypots)

低交互蜜罐则是使用特定软件工具模拟操作系统、网络堆栈或
某些特殊应用程序的一部分功能，例如具有网络堆栈、提供 TCP 连接、提供 HTTP 模拟服务等。

低交互蜜罐允许攻击者与目标系统有限交互，允许管理员了解关于攻击的主要的定量信息
优点是简单、易安装和易维护，只需要安装和配置一个工具软件即可
典型的低交互蜜罐工具软件，有 Tiny HoneypotHoneyd 、 Nepentbes 等，以及用于 Web 欺骗的 Google 入侵蜜罐 GHH (Google Hack Honeypot) 、 PHP.HoP 等
由于低交互蜜罐只为攻击者提供一个模拟交互系统，这系统不会完全被攻陷，因此，低交互蜜罐构造了一个可控环境，风险有限。
因为蜜罐没有生产价值，任何连接蜜罐的尝试都被认为是可疑的

# 物理蜜罐和虚拟蜜罐

物理蜜罐意味着蜜罐运行在一个物理计算机上

物理蜜罐通常暗指高交互，允许系统被完全攻陷
物理蜜罐安装和维护成本高，为每个空闲 IP 地址（空闲即被用于监听入侵）部署一个物理蜜罐是不切实际的

虚拟蜜罐是在一台物理计算机上部署多个虚拟机作为蜜罐

可以是低交互蜜罐也可以是高交互蜜罐
虚拟蜜罐配置资源少、成本低，易于维护
通常使用如 VMware 、 Virtual PC 虚拟机软件。

# 信息隐藏与数字水印技术

# 信息隐藏的工作原理及实现方法

密码技术本质上是一种数据变换，将数据从一种编码变换成另一种编码，而且变换过程受密钥控制。

信息隐藏技术

利用特定载体中具有随机特性的冗余部分，将有特别意义的或重要的信息嵌入其中掩饰其存在
嵌入的秘密信息称为隐藏信息，嵌入秘密信息后的载体称隐藏载体
信息隐藏与 “隐写术 (Steganography)”

# 信息隐藏的基本特征

隐蔽性：也称透明性或不可见性，在特定载体中嵌入秘密信息后在不引起所嵌入信息质量下降的前提下，不显著改变隐藏载体的外部特征
不可检测性：嵌入秘密信息后载体与原始载体具有一致的特性
鲁棒性：不因隐藏载体 (如图像) 的某种改动而导致隐藏信息丢失。
- 所谓 “改动” 包括传输过程对载体进行的一般信号处理（滤波、增强、重采样、有损压缩等……）、一般的几何变换（平移、旋转、缩放、分割等……）和恶意攻击等
自恢复性：经过了一些操作和变换后，可能会使隐藏载体受到较大的破坏，如果只留下部分的数据，在不需要宿主信号的情况，却仍能恢复隐藏信息的特征就是所谓的自恢复性。
安全性：隐藏算法有较强的抗攻击能力，即隐藏算法必须能够承受一定程度的人为攻击，保证隐藏信息不会被破坏。

# 信息隐藏的基本手段

图像中嵌入信息的方法一般分为空域 (或时域) 替换方法及变换域方法。

# 空域替换方法

空域替换方法是用隐藏信息替换载体信息中的冗余部分

一种简单的替换方法就是用隐藏信息位替换载体中最不重要的位 (LSB: Least Significant Bit)，将秘密数据转换成 0、1 比特流，然后将其藏入到图像时域数据的最低比特上。
例如把一个灰度图像的某个像点的灰度值由 190 变成 191, 人的肉眼是看不出来的。
信息嵌入过程，即选择一个载体元素子集，例如每个元素代表一个像点的灰度，然后在子集上执行替换操作，即把子集元素最不重要的位 (如最低位) 替换为隐藏信息位，提取过程直接提取隐藏载体集合元素对应的位。

其特点如下：

隐藏效果好，且能够做到盲提取。
鲁棒性差：容易遭受图像压缩、裁剪等图像处理而丢失秘密数据
安全性低：图像中嵌入信息部分与没有嵌入信息部分具有不同的统计特性，容易遭受攻击

# 变换域技术

采用变换域技术，可在载体图像的显著区域隐藏信息。

在伪装系统中，在信号频域中嵌入信息比在空域中嵌入信息具有更好的健壮性，能够更好地抵御攻击，如压缩、裁剪和一些图像处理。
典型的变换方法如使用离散余弦变换 (DCT)、小波变换等方法在图像中嵌入信息，变换可以在整个图像上进行，也可以对整个图像分块后操作。
当然，图像中能够隐藏的信息数量和可以获得的健壮性之间存在着矛盾。

# 数字水印的应用及实现方法

数字产品具有易修改、易复制、易窃取的特点，数字知识产权保护成为基于网络数字产品应用迫切需要解决的实际问题。

# 数字水印基本概念

数字水印 (Digital Watermark) 是指嵌入在数字产品中不可见、不易移除的数字信号，可以是图像、符号、数字等一切可以作为标识和标记的信息
其目的是进行版权保护、所有权证明、指纹 (追踪发布多份拷贝）和完整性保护等

# 数字水印基本特点

鲁棒性：嵌入数字水印的媒体在受到无意损害或蓄意攻击后，仍然能够提取出数字水印信息
- 例如，加入图像中的水印必须能够承受施加于图像的变换操作，不会因变换处理而丢失，水印信息经检验提取后应清晰可辨
不可见性 (透明性)：数字水印不影响宿主媒体的主观质量
- 例如，嵌入水印的图像不应有视觉质量下降，与原始图像对比，很难发现二者区别
安全性：数字水印应能抵御各种攻击，必须能够惟一地标识原始图像的相关信息，任何第三方都不能伪造他人的水印信息

# 数字水印分类

按照数字水印提取过程是否需要原始宿主的参与，可将其分为秘密水印、半秘密水印、公开水印

秘密水印：检测水印时需要输入原始数据或原始水印
半秘密水印 (半盲化水印)：不使用原始数据而使用水印拷贝检测水印
公开水印 (盲化水印)：检测水印时不需要原始数据也不需要原始水印

按照水印的用途不同，可以分为文本水印、图像水印、音频水印、视频水印

按照数字水印自身类型，可分为有意义数字水印、无意义水印

有意义数字水印：如数字水印本身为有特定意义的图像
无意义数字水印：如数字水印本身为序列。

在版权保护领域，有意义数字水印更具有版权证明能力。

# 数字水印算法分类

空域算法
- 适用于图像、视频。文本、三维模型等载体
- 将水印信息直接嵌入到图像的像素、视频的帧、文本的字符特征及字符间隙、三维模型的空间尺寸中
时域算法
- 主要适用于音频数字水印
- 将水印信息嵌入到音频时域采样中，如果将时间序列看成一个普通的维度，时域算法可以等价于一维空域算法
变换域算法
- 适用于音频、图像、视频等数字载体
- 将水印信息嵌入载体的变换域系数中
- 先对载体进行特定数学变换，再对变换后得到的变换域系数加水印，最后通过相应的逆变换将加了水印的变换域载体变换回原域
- 变换域算法具有不可见性、鲁棒性好、抗攻击能力强等优点
压缩域算法
- 主要针对音频、图像、视频等数字载体
- 利用 JPEG、MPEG 等图像、视频压缩技术的结构和特点，将水印嵌入到压缩过程中的各种变量值域中。

信息安全概论