第一章:
1、机密性:是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用。通常通过访问控制阻止非授权用户获得机密信息,通过加密交换阻止非授权用户获知信息内容。
2、完整性:完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生认为或非人为的非授权篡改。一般通过访问控制阻止篡改行为,同时通过信息摘要算法来检测信息是否被篡改。
3、抗否认性:抗否认性是指能保障用户无法在事后否认曾今对信息进行的生成、签发、接受等行为,是针对通信各方信息真实同一性的安全要求。一般通过数字签名来提供抗否认服务。
4、可用性:可用性是指保障信息资源随时可提供服务的特性,即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量,设计物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。可靠性的要求。
5、身份认证:是指验证用户身份与其所声称的身份是否一致的过程。最常见的身份认证是口令认证。
6、授权和访问控制的区别:授权侧重于强调用户拥有什么样的访问权限,这种权限是系统预先设定的,并不关心用户是否发出访问请求;而访问控制是对用户访问行为进行控制,它将用户的访问行为控制在授权允许的范围之内,因此,也可以说,访问控制是在用户发起访问请求是才起作用的。
7、物理安全:物理安全是指保障信息网络物理设备不受物理损坏,或是损坏时能及时修复和替换。
8、经典信息安全:通常采用一些简单的替代和置换来保护信息。
9、现代密码理论的标志性成果是DES算法和RSA算法。
第二章:
1、密码学:研究如何实现秘密通信的科学,包括两个分支,即密码编码学和密码分析学。
2、加密和加密算法:对需要保密的信息进行编码的过程称为加密,编码的规则称为加密算法。
3、密码系统从原理上分为两大类,即单密钥系统和双密钥系统。单密钥系统又称为对称密码系统或秘密密钥密码系统,单密钥系统的加密密钥和解密密钥相同,或者实质上等同。
4、双密钥系统又称为非对称密码系统或公开密钥密码系统。双密钥系统有两个密钥,一个是公开的,另一个是私人密钥,从公开的密钥推不出私人密钥。
5、单表代换密码:最典型的代表是凯撒密码,难以抗击字母频度分析。
6、多表代换密码:最典型的是维吉尼亚密码。
7、密码分析的原则:密码分析是研究密钥未知的情况下恢复明文的科学。通常假设攻击者知道正在使用的密码体制,称为Kerckhoff原则。
8、密码分析分类(按强度排列):已知密文攻击、已知明文攻击、选择明文攻击、选择密文攻击
9、一般说来密码系统应该经得起已知明文攻击。
10、密码系统应该满足的准则(至少满足一个):(1)破译该密码的成本超过被加密信息的价值;(2)破译该密码的时间超过被加密信息的生命周期
第三章:
1、对称密码体制根据对明文加密的方式不同分为分组密码和流密码。分组密码和流密码区
别在于记忆性。
2、分组密码算法设计的原则:分组长度应足够大,使得不同明文分组的个数足够大,以防止明文被穷举法攻击;密钥空间应足够大,尽可能消除弱密钥,从而使得所有密钥同等概率,以防穷举密钥攻击;由密钥确定的算法要足够复杂,充分体现明文与密钥的扩散和混淆,没有简单关系可循,要能抵抗各种已知的攻击,如差分攻击和线性攻击等;软件实现要求,尽量使用适合编程的子块和简单的运算;硬件实现的要求,加密和解密应具有相似性,即加密和解密过程的不同应仅仅在于密钥的使用方式上,以便采用同样的器件来实现加密和解密,以节省费用和体积。
3、混淆和扩散:扩散要求明文的统计结构扩散消失到密文的统计特性中。混淆则是试图使得密文的统计特性与密钥的取值之间的关系尽量复杂。扩散和混淆的目的都是为了挫败推测出密钥的尝试,从而抗击统计分析。
4、分组密码的机构一般分为两种:Feistel网络结构和SP网络结构
5、Feistel加密过程:在给定明文P,将P分成左右长度相等的两半分别记为L0和R0,从而P=L0R0。进行l轮完全类似的迭代运算后,再将左、右长度相等的两半合并产生密文分组。在进行l轮迭代运算后,将L l和R l再进行交换,最后输出的密文分组是C=R l L l
6、Feistel网络的安全性和软、硬件实现速度取决于下列参数:分组长度、密钥长度、循环次数、子密钥算法、轮函数、快速的软件实现、算法简洁
7、SP网络与Feistel网络相比,SP网络密码可以得到更快的扩散、但加、机密通常不相似。
8、DES是分组长度为64比特的分组密码算法,密钥长度也是64比特,其中每8比特有一位奇偶校验位,因此有效密钥长度为56比特。
9、S盒的扩展运算(32bit—>48bit)和压缩运算(48bit—>32bit).
10、分组密码的工作模式:所谓分组密码的工作模式就是以该分组密码为基础构造的一个密码系统,如电码本(ECB)、密码分组连接(CBC)、密码反馈(CFB)、输出反馈(OFB)。11、电码本模式的工作过程及优缺点:
工作过程:ECB模式是最简单的运行模式,它一次对一个64比特长的明文分组进行加密,而且每次的加密密钥同相同,当密钥取定时,对于每一个明文分组,都有唯一的一个密文分组与之对应。
优缺点:ECB用于短数据时非常理想,但如果同一明文分组在消息中反复出现,产生的密文分组就会相同,因此,用于长消息时可能不够安全。如果消息有固定的结构,密码分析者就有可能会利用这种规律。
12、密码分组连接模式的工作过程和优缺点:
工作过程:每次加密使用同一密钥,加密算法的输入是当前明文组和前一次密文组的异或。因此加密算法的输入与明文分组之间不再有固定的关系,所以重复的明文分组不会在密文中暴露。解密时,每一个密文分组解密后,再与前一个密文分组异或来产生出明文分组。
优缺点:它对加密大于64比特的消息非常适合。CBC模式除了能够获得保密性外,还能用于认证,可以识别攻击者在密文传输中是否做了数据篡改,比如组的重放、嵌入和删除等,但同时也会导致错误的传播,密文传输中任何一个分组发生错误不仅会影响该组的正确译码,也会影响其下一组的正确译码。
第五章:
1、一般说来,产生认证符的方法可以分为以下三类:信息加密,将明文加密后以密文作为认证符;消息认证码(MAC),用一个密钥控制的公开函数作用后,产生固定长度的数值作为认证符,也称为密码校验和;散列函数,定义一个函数将任意长度的消息映射为定长的散列值,以散列值作为认证符。
2、加密认证分为:对称密码体制加密认证和公钥密码体制加密认证。
3、对称密码体制加密认证的做法及局限性:
做法:设想发送者A使用只有他和接收者B知道的密钥K加密信息并发送给接收者。因为A是除B以外唯一拥有密钥的一方,而攻击者不知道如何通过改变密文来产生明文中所期望的变化,所以,B能够知道解密得到的明文是否被改变,这样,对称加密就提供了消息认证功能。
局限性:
4、公钥密码体制加密认证的做法和局限性:
做法:使用公开密钥加密明文只能提供保密而不能提供认证,因为任何人都可以得到公钥,为了提供认证,发送者A用私钥对信息的明文进行加密,任意接收者都可以用A的公钥解密。这种方式提供的认证措施与对称密码体制加密的情形在原理上是相同的。
局限性:只用私钥加密不能提供保密性。因为任何人只要拥有A的公开密钥,就能够对该密文进行解密。
5、消息认证码的使用方式:消息认证码是在密钥的控制下将任意长的消息映射到一个简短的定长数据分组,并将它附加在消息后。接收者通过重新计算MAC来对消息进行认证。如果接收到的MAC与计算得出的MAC相同,则接收者可以认为:消息未被更改过、消息来自其他共享密钥的发送者。
6、用于消息认证的散列函数H必须具有如下性质:H能用于任何大小的数据分组,都能产生定长的输出;对于任何给定的x,H(x)要相对易于计算;对任何给定的散列码h,寻找x 使得H(x)=h在计算上不可行(单向性);对任何给定的分组x,寻找不等于x的y,使得H(x)=H(y)在计算上不可行(弱抗冲突);寻找任何(x,y),使得H(x)=H(y)在计算上不可行(强抗冲突)。
7、散列码不同的使用方式可以提供不同要求的消息认证:使用对称密码体制对附加了散列码的消息进行加密;使用对称密码体制仅对附加的散列码进行加密;使用公钥密码体制,但发送方的私有密钥仅对散列码进行加密;发送者将消息M与通信各方共享的一个秘密值S 串接,然后计算出散列值,并将散列值符在消息后发送出去。
8、数字签名与传统的手写签名的不同点:(1)签名:手写签名是被签文件的物理组成部分;而数字签名不是被签消息的物理部分,因而需要将签名连接到被签消息上;(2)验证:手写签名是通过将它与真实姓名的签名进行比较来验证;而数字签名是利用已经公开的验证算法来验证;(3)数字签名消息的复制品与其本身是一样的;而手写签名纸质文件的复制品与原品是不同的。
9、数字签名至少应满足的3个基本条件:(1)签名者不能否认自己的签名;(2)接收者能够验证签名,而其他任何人都不能伪造签名;(3)当关于签名的真伪发生争执时,存在一个仲裁机构或第三方能够解决争执
10、数字签名的要求:(1)依赖性:数字签名必须依赖于要签名消息的比特模式;(2)唯一性:数字签名必须使用对签名者来说是唯一的信息,以防伪造和否认;(3)可验证:数字签名必须是在算法上可验证的;(4)抗伪造:伪造一个数字签名在计算机上不可行,无论是通过以后的数字签名来构造新的消息,还是对给定的消息构造一个虚假的数字签名;(5)可用性:数字签名的产生、识别和验证必须相对简单,并且可以将其备份在存储设备上;
第六章:
1、加密位置:根据加密物理位置的不同,可以分为端—端加密和链路加密。
2、链路加密:指每个易受攻击的链路两端都使用加密设备进行加密。
3、端—端加密:指仅在一对用户的通信线路两端进行加密。
4、密钥管理的任务是管理密钥的产生到销毁全过程,包括系统初始化、密钥的产生、存储、备份、恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等。
5、密钥的分类:(1)基本密钥:基本密钥又称为初始密钥,是由用户选定或由系统分配,可在较长时间内由一对用户专门使用的秘密密钥,也称为秘密密钥;(2)对话密钥:对话密钥即两个通信终端用户在一次通话或交换数据时所用的密钥;(3)密钥加密密钥:用于对传送的会话或文件密钥进行加密时采用的密钥,也称为次主密钥、辅助密钥或密钥传送密钥;(4)主机主密钥:是对密钥加密密钥进行加密的密钥,存于主机处理器中。
6、对称密码体制的密钥分配:对称密码的密钥分配的方法归纳起来有两种:利用公钥密码体制实现和利用安全信道实现。在局域网中两个用户A和B要建立会话密钥,须经过一下3步:(1)A向B发出建立会话密钥的请求和一个一次性随机数N1;(2)B 用与A共享的主密钥对应答的消息加密,并发送给A,应答的消息中包括B选取的会话密钥、B的身份、f(N1)和另一个一次性随机数N2;(3)A用新建立的会话密钥加密f(N2)并发送给B。
在大型网络中不可能每对用户共享一个密钥,因此采用中心化密钥分配方式,由一个可信赖的联机服务器作为密钥分配中心(KDC)来实现,用户A和B要建立共享密钥,可以采用如下5个步骤:(1)A向KDC发出会话密钥请求。该请求由两个数据组成,一是A与B的身份;二是一次性随机数N1;(2)KDC为A的请求发出应答。应答是用A与KDC的共享主密钥加密的,因而只有A能解密这一消息,并确保消息来自KDC,消息中包含A希望得到的一次性会话密钥Ks以及A的请求,还包括一次性随机数N1;(3)A存储会话密钥,并向B转发从KDC 的应答中得到的应该转发给B的部分,B收到后可得到会话密钥Ks,从A的身份知会话的另一方是A;(4)B用会话密钥Ks加密另一个一次性随机数N2,并将加密结果发送给A;(5)A用会话密钥Ks加密f(N2),并将结果发送给B;
7、公钥密码体制的密钥分配:由于公钥机密速度太慢,常常只用于加密分配对称密码体制的密钥,而不用于保密通信。分配步骤:(1)A用B的公钥加密A的身份和一个一次性随机数N1后发给B;(2)B解密得到N1,并用A的公钥机密N1和另一个一次性随机数N2后发给A;(3)A用B的公钥加密N2后发给B;(4)A选一个会话密钥Ks,用A的私钥加密后再用B的公钥加密,发送给B;(5)B用A的公钥和B的私钥解密得到Ks。
公钥的分配方法有以下几种:(1)公开发布;
(2)公钥动态目录表,步骤:(a)用户A向公钥管理机构发送
一带时戳的请求,请求得到B当前的公钥;(b)公钥管理机构为A
的请求发出应答,应答中包含B的公钥以及A向公钥管理机构发送的
带时戳的请求;(c)A用B的公钥加密一个消息并发送给B,这个消
息由A的身份和一个一次性随即数N1组成;(d)B用与A同样的方
法从公钥管理机构得到A的公钥;(e)B用A的公钥加密一个消息并
发送给A,这个消息由N1和N2组成,这里N2是B产生的一个一次
性随机数;(f)A用B的公钥加密N2,并将加密结果发送给B;
(3)公钥证书。
8、证书颁发机构CA的作用:(1)验证并标识申请者的身份;(2)确保CA用于签名证书的非对称密钥的质量;(3)确保整个签证过程和签名私钥的安全性;(4)证书材料信息的管理;(5)确定并检查证书的有效期限;(6)确保证书主人的标识的唯一性,防止重名;(7)发布并维护作废的证书表;(8)对整个证书签发过程做日志记录;(9)向申请人发通知
9、公钥的用途:(1)验证数字签名;(2)加密信息
10、PKI信任模型:PKI信任模型用来描述终端用户、依托主机和CA之间的关系。基本的PKI信任模型有:CA的严格层次结构、分布式信任结构、Web模型、以用户为中心的信任模
型以及交叉信任模型。
第七章:
1、身份认证的物理基础:(1)用户所知道的;(2)用户所拥有的;(3)用户的特征
2、双向认证协议:
基于对称密码的双向认证协议,过程是:(1)A—>KDC:ID A||ID B||N1;(2)KDC—>A:E Ka[Ks||ID B||N1||E Kb||[Ks||ID A]];(3)A—>B:E Kb[Ks||ID A];(4)B—>A:E Ks[N2];(5)A->B:E Ks[f(N2)]。其中第四步和第五步是为了防止某种类型的重放攻击。但是该协议仍然有漏洞。假定攻击方C已经掌握A和B之间通信的一个老的会话密钥,C可以在第(3)步冒充A,利用老的会话密钥欺骗B,除非B记住所有以前使用的与A通信的会话密钥,否则B无法判断这是一个重放攻击。然后,如果C可以中途阻止第(4)步的握手信息则可以冒充A在第(5)步响应。从这一点起C就可以向B发送伪造的消息,而B认为是在于A进行正常的通信。结合时间戳方法对其进行改进:(1)A—>KDC:ID A||ID B;(2)KDC—>A:E Ka[Ks||ID A||T||E Kb||[Ks||ID A||T]];(3)A—>B:E Kb[Ks||ID A||T];(4)B—>A:E Ks
[N1];(5)A—>B:E Ks[f(N1)];|Clock—T|<△t1+△t2其中T是时间戳;△t1是KDC时钟与本地时钟之间差异的估计值;△t2是预期的网络延迟时间。
基于公钥密码的双向认证协议:(1)A—> KDC:ID A||ID B;(2)KDC—>A:E KRauth[ID B||K Ub];(3)A—>B:E KUb[Na||ID A];(4)B—>KDC:ID B||ID A||E KUauth[Na];
(5)KDC—>B:E KRauth[ID A||K Ua]||E KUb[E KRauth[Na||Ks||ID A||ID B]];(6)B—>A:E KUa[E KRauth[Na||Ks||ID A||ID B||N b]];(7)A—>B:E Ks[N b];其中,K Ua是A的公钥;K Ra是A的私钥;K Uauth是KDC的公钥;K Rauth是KDC的私钥。
3、单项认证协议:无第三方的:(1)A—>B:ID A||N1;(2)B—>A:E Kab[Ks||ID B||f(N1)||N2];(3)A—>B:E Ks[f(N2)],即f(x)=x+1;
有第三方的:(1)A—>KDC:ID A||ID B||N1;(2)KDC—>A:E Ka[Ks||ID B||N1||E Kb[Ks||ID A]];(3)A—>B:E Kb[Ks||ID A]||E Ks[M]。
4、Kerberosd 的认证过程中需要用到两种凭证:票据和鉴别码;票据用户客户秘密的向服务器发送自己的身份标识,同时,服务器还可以通过票据中的信息证实使用票据的和发送票据的是同一个客户。鉴别码是另外一个凭证,与票据一同发送。
5、Kerberos认证过程:(1)c—>AS:c,tgs;(2)AS—>c:EKc[Kc,tgs]||EKtgs[Tc,tgs];(3)c—>TGS:EKc,tgs[Ac,s]||EKtgs[Tc,tgs];(4)TGS—>c:EKc,tgs[Kc,s]||EKs[Tc,s];(5)c—>s:EKc,s[Ac,s]||EKs[Tc,s];其中c是客户,AS是鉴别服务器,TGS是票据许可服务器,s是c要使用的服务器,其余的标记与前面相同。这一过程可分为三个阶段:票据许可票据的获取、请求许可票据的获取、服务请求。
Welcome !!! 欢迎您的下载,资料仅供参考!
信息安全概论课程报告 一、课程内容简介 1.“国内外信息安全研究现状与发展趋势” (1)“信息安全”的定义 “信息安全”在当前可被理解为在既定的安全要求的条件下,信息系统抵御意外事件或恶意行为的能力。而信息安全事件则会危及信息系统提供的服务的机密性、完整性、可用性、非否认性和可控性。 (2)“信息安全”发展的四个阶段 信息安全的发展在历史发展的进程中可被分为四个阶段: 首先,是通信安全发展时期(从有人类以来~60年代中期)。在这个时期,人们主要关注的是“机密性”问题,而密码学(密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。)是解决“机密性”的核心技术,因此在这个时期,密码学得到了非常好的发展。而由于Shannon在1949年发表的论文中为对称密码学建立了理论基础,使得密码学从非科学发展成了一门科学。 然后,是计算机安全发展时期(60年代中期~80年代中期)。在1965年,美国率先提出了计算机安全(compusec)这一概念,目前国际标准化委员会的定义是“为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”美国国防部国家计算机安全中心的定义是“要讨论计算机安全首先必须讨论对安全需求的陈述。” 在这一时期主要关注的是“机密性、访问控制、认证”方面的问题。同时,密码学得到了快速发展:Diffiee和Hellman在1976年发表的论文《密码编码学新方向》导致了一场密码学革命,再加上1977年美国制定数据加密标准DES,标志着现代密码学的诞生。 另外,80年代的两个标志性特征分别为:计算机安全的标准化工作,计算机在商业环境中得到了应用。 随后,到了信息安全发展时期(80年代中期~90年代中期)。此时的关注点则变成了“机密性、完整性、可用性、可控性、非否认性”。在此阶段,密码学得到空前发展,社会上也涌现出大量的适用安全协议,如互联网密钥交换协议、SET协议等,而安全协议的三大理论(安全多方计算、形式化分析和可证明安全性)取得了突破性的进展。 最后,是信息安全保障发展时期(90年代中期~ )。在这一时期主要关注“预警、保护、检测、响应、恢复、反击”整个过程。目前,人们正从组织管理体系(做顶层设计)、技术与产品体系、标准体系、法规体系、人才培养培训与服务咨询体系和应急处理体系这几个方面致力于建立信息安全保障体系。 (3)危害国家安危的信息安全问题 1.网络及信息系统出现大面积瘫痪。我们都知道,目前我们国家的网民数量非常之多,并且国家的电力系统也由网络控制,一旦网络出现大面积瘫痪,不仅无数人的个人利益受到侵害,国家的安全问题也处于水火之中。 2.网上内容与舆论失控。由目前的情况来看,由于微博等新媒体的出现,网络言论的传播速度与以往不可同日而语,一旦恶意诋毁国家领导人形象、诋毁国家组织形象的言论大肆传播,将对国人价值取向的产生十分恶劣的影响,进而威胁到国家安全。 3.网上信息引发社会危机。 4.有组织的网络犯罪。网络犯罪有隐蔽性强、难追踪这一显着特点,一旦发生有组织的网络犯罪,将会对国民的财产、信息安全和国家的信息安全造成严重威胁。
湖南科技大学2016 - 2017 学年信息安全概论考试试题 一、名词解释(15分,每个3分) 信息隐藏:也称数据隐藏,信息伪装。主要研究如何将某一机密信息隐藏于另一公开信息的载体中,然后会通过公开载体的信息传输来传递机密信息。 宏病毒:使用宏语言编写的一种脚本病毒程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据库和演示文档等数据文件中,利用宏语言的功能将自己复制并繁殖到其他数据文档里。 入侵检测:通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。 花指令:是指利用反汇编时单纯根据机器指令字来决定反汇编结果的漏洞,在不影响程序正确性的前提下,添加的一些干扰反汇编和设置陷阱的代码指令,对程序代码做变形处理。缓冲区溢出攻击:指程序运行过程中放入缓冲区的数据过多时,会产生缓冲区溢出。黑客如成功利用缓冲溢出漏洞,可以获得对远程计算机的控制,以本地系统权限执行任意危害性指令。 二、判断题(对的打√,错的打×,每题1分,共10分) 1. 基于账户名/口令认证是最常用的最常用的认证方式(√) 2. 当用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这属于钓鱼攻击(√) 3. RSA算法的安全性归结于离散对数问题(×) 4. 量子不可克隆定理、不确定性原理,构成了量子密码的安全性理论基础(√) 5. 访问控制的安全策略是指在某个安全区域内用语所有与安全相关活动的一套控制规则(√) 6. 反弹连接是木马规避防火墙的技术,适合动态IP入侵(×) 7. 驱动程序只能在核心态下运行(×) 8. 混沌系统生成的混沌序列具有周期性和伪随机性的特征(×) 9. 最小特权思想是指系统不应给用户超过执行任务所需特权以外的特权(√) 10. 冲击波蠕虫病毒采用UPX压缩技术,利用RPC漏洞进行快速传播(√) 三、选择题(30分,每题2分) (1) 按照密钥类型,加密算法可以分为(D )。 A. 序列算法和分组算法 B. 序列算法和公钥密码算法 C. 公钥密码算法和分组算法 D. 公钥密码算法和对称密码算法 (2) 以下关于CA认证中心说法正确的是(C )。 A. CA认证是使用对称密钥机制的认证方法 B. CA认证中心只负责签名,不负责证书的产生 C. CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D. CA认证中心不用保持中立,可以随便找一个用户来做为CA认证中心 (3) Web从Web服务器方面和浏览器方面受到的威胁主要来自( D )。 A. 浏览器和Web服务器的通信方面存在漏洞 B. Web服务器的安全漏洞 C. 服务器端脚本的安全漏洞 D. 以上全是
实验成绩 《信息安全概论》实验报告 实验二PKI实验 专业班级:学号:姓名:完成时间_2016/5/18 一、实验目的 加深对CA认证原理及其结构的理解;掌握在Windows 2003 Server环境下独立根CA 的安装和使用;掌握证书服务的管理;掌握基于Web的SSL连接设置,加深对SSL的理解。 二、实验内容 客户端通过Web页面申请证书,服务器端颁发证书,客户端证书的下载与安装;停止/启动证书服务,CA备份/还原,证书废除,证书吊销列表的创建与查看;为Web服务器申请证书并安装,在Web服务器端配置SSL连接,客户端通过SSL与服务器端建立连接。 三、实验环境和开发工具 1.Windows 2003 操作系统 2.VMware Workstation 四、实验步骤和结果 CA分为两大类,企业CA和独立CA; 企业CA的主要特征如下: 1.企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。 2.当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁 发机构的证书存储区域; 3.必须是域管理员或对AD有写权限的管理员,才能安装企业根CA; 独立CA主要以下特征:
1.CA安装时不需要AD(活动目录服务)。 2.任何情况下,发送到独立CA的所有证书申请都被设置为挂起状态,需要管理员受 到颁发。这完全出于安全性的考虑,因为证书申请者的凭证还没有被独立CA验证; AD(活动目录)环境下安装证书服务(企业根CA)的具体步骤如下: 首先要安装IIS ,这样才可以提供证书在线申请。 1)从“控制面板”,双击“添加/删除程序”,单击“添加/删除Windows组件”,选中“证 书服务”,单击“下一步”。如图4-1所示。 图4-1添加证书服务 弹出警告信息“计算机名和域成员身份都不能更改”,选择“是” 2)选中“企业根CA”,并选中“用户自定义设置生成密钥对和CA证书”,单击“下 一步”。如图4-2所示。
第二章: 密码系统 一个密码系统可以用以下数学符号描述: S = {P,C,K,E,D} P = 明文空间C = 密文空间K = 密钥空间E = 加密算法 D = 解密算法 ?当给定密钥k∈K时,加解密算法分别记作Ek、Dk,密码系统表示为 Sk = {P,C,k,Ek ,Dk} C = Ek (P) P = Dk (C)= Dk (Ek (P)) 第三章:信息认证技术及应用 三、数字签名技术 数字签名概念 在计算机网络应用过程中,有时不要求电子文档的保密性,但必须要求电子文档来源的真实性。数字签名(digital signature)是指利用数学方法及密码算法对电子文档进行防伪造或防篡改处理的技术。就象日常工作中在纸介质的文件上进行签名或按手印一样,它证明了纸介质上的内容是签名人认可过的,可以防伪造或篡改。随着计算机网络的迅速发展,特别是电子商务、电子政务、电子邮件的兴起,网络上各种电子文档交换的数量越来越多,电子文档的真实性显得非常重要。数字签名技术能有效地解决这一问题。 数字签名的功能:可以解决否认、伪造、篡改及冒充等问题 发送者事后不能否认发送的报文签名 接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改 网络中的某一用户不能冒充另一用户作为发送 者或接收者。 RSA签名: 用RSA实现数字签名的方法 要签名的报文输入散列函数,输出一个定长的安全散列码,再用签名者的私有密钥对这个散列码进行加密就形成签名,然后将签名附在报文后。 验证者根据报文产生一个散列码,同时使用签名者的公开密钥对签名进行解密。如果计算得 出的散列码与解密后的签名匹配那么签名就是有效的。因为只有签名者知道私有密钥,因此只有签名者才能产生有效的签名。
17年12月考试《信息安全概论》期末大作业-0001 试卷总分:100 得分:0 一、单选题(共49 道试题,共98 分) 1.信息具有的重要性质中,不包括() A.普遍性; B.无限性; C.相对性; D.保密性 正确答案:D 2.在建立堡垒主机时() A.在堡垒主机上应设置尽可能少的网络服务 B.在堡垒主机上应设置尽可能多的网络服务 C.对必须设置的服务给予尽可能高的权限 D.不论发生任何入侵情况,内部网始终信任堡垒主机 正确答案:A 3.摄像设备可分为网络数字摄像机和(),可用作前端视频图像信号的采集 A.家用摄像机 B.专业摄像机 C.高清摄像机 D.模拟摄像机 正确答案:D 4.就信息安全来说,完整性是( ) A.保护组织的声誉 B.保护系统资源免遭意外损害 C.保护系统信息或过程免遭有意或意外的未经授权的修改 D.两个或多个信息系统的成功安全组合 正确答案:C 5.消息认证码是与()相关的单向Hash函数,也称为消息鉴别码或消息校验和。 A.加密; B.密钥; C.解密; D.以上都是 正确答案:B 6.数字签名机制取决于两个过程___。
A.加密过程和验证过程; B.Hash散列过程和签名过程; C.签名过程和验证过程; D.加密过程和Hash散列过程 正确答案:C 7.下面算法中,不属于Hash算法的是( ) 。 A.MD-4算法; B.MD-5算法 C.DSA算法; D.SHA算法。 正确答案:C 8.下面属于仿射密码的是() A.ek(x) = x + k (mod 26),dk(x) = y –k (mod 26) (x,y∈Z26); B.∏= 0 1 2 3 4 ……23 24 25 0’1’2’3’4’……23’24’25’ C.P = C = Z26,且K = {(a,b)∈Z26XZ26|gcd(a,26)=1},对k=(a,b) ∈K,定义e(x)=ax+b (mod 26)且dk(y) = a-1(y-b)(mod 26) D.对于a,b,……,z这26个字母组成的单词,不改变明文字符,但要通过重排而改变他们的位置,实现加密。 正确答案:C 9.信息技术简单地说就是( ) A.计算机、通信和情报; B.通信、控制和情报; C.计算机、通信和控制; D.计算机、控制和管理。 正确答案:C 10.微软的ProxyServer是使一台WINDOWS服务器成为代理服务器的软件。它的安装要求中不包括() A.服务器一般要使用双网卡的主机 B.客户端需要配置代理服务器的地址和端口参数 C.当客户使用一个新网络客户端软件时,需要在代理服务器上为之单独配置提供服务 D.代理服务器的内网网卡IP和客户端使用保留IP地址 正确答案:C 11.下面属于数字签名功能的是()。 A.发送者事后不能否认发送的报文签名;
实验三网络信息扫描实验 一、实验目的 1、通过练习使用网络端口扫描器,可以了解目标主机开放的端口和服务程序,从而获取系统的有用信息,发现网络系统的安全漏洞。在实验中,我们将练习使用Superscan网络端口扫描工具。通过端口扫描实验,增强网络安全方面的防护意识。 2、通过使用综合扫描及安全评估工具,学习如何发现计算机系统的安全漏洞,并对漏洞进行简单分析,加深对各种网络和系统漏洞的理解。在实验中,我们将练习使用流光Fluxay5和SSS。 二、实验原理 1、网络端口扫描原理 一个开放的网络端口就是一条与计算机进行通信的信道,对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息,从而为下一步的入侵做好准备。对网络端口的扫描可以通过执行手工命令实现,但效率较低;也可以通过扫描工具实现,效率很高。扫描工具是对目标主机的安全性弱点进行扫描检测的软件。它一般具有数据分析功能,通过对端口的扫描分析,可以发现目标主机开放的端口和所提供的服务,以及相应服务软件版本和这些服务及软件的安全漏洞,从而能及时了解目标主机存在的安全隐患。 扫描工具根据作用的环境不同,可分为两种类型:网络漏洞扫描工具和主机漏洞扫描工具。主机漏洞扫描工具是指在本机运行的扫描工具,以期检测本地系统存在的安全漏洞。网络漏洞扫描工具是指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。本实验主要针对网络漏洞扫描工具进行介绍。 1)端口的基础知识 为了了解扫描工具的工作原理,首先简单介绍一下端口的基本知识。 端口是TCP协议中所定义的,TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。套接字采用[IP地址:端口号]的形式来定义,通过套接字中不同的端口号可以区别同一台计算机上开启的不同TCP和UDP连接进程。对于两台计算机间的任一个TCP连接,一台计算机的一个[IP地址:端口]套接字会和另一台计算机的一个[IP地址:端口]套接字相对应,彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。由此可见,端口和服务进程一一对应,通过扫描开放的端口,就可以判断出计算机中正在运行的服务进程。 TCP/UDP的端口号在0~65535范围之内,其中1024以下的端口保留给常用的网络服务。例如:21端口为FTP服务,23端口为TELNET服务,25端口为SMTP服务,80端口为HTTP服务,110端口为POP3服务等。 2)扫描的原理 扫描的方式有多种,为了理解扫描原理,需要对TCP协议简要介绍一下。 一个TCP头的数据包格式如图4-16所示。它包括6个标志位,其中: SYN用来建立连接; ACK为确认标志位,例如,当SYN=1,ACK=0表示请求连接的数据包;当SYN=1,ACK=1表示接受连接的数据包。 FIN表示发送端已经没有数据可传了,希望释放连接。 RST位用于复位错误的连接,比如收到的一个数据分段不属于该主机的任何一个连接,
课程编号: 课程名称:信息安全概论 英文名称:Introduction of Information Security 课程性质:学科教育(必修) 总学时:41(授课学时32,实验学时9)学分:2 适用专业: “信息安全概论”教学大纲 一、教学目标 “信息安全概论”是学科教育平台必修课,适用所有理工科专业。 本课程的教学目标是,通过本课程的学习学生应该能够认识到信息安全的重要性,了解信息安全的相关技术及知识体系,掌握加密、认证、访问控制、防火墙、入侵检测、虚拟专用网、网络攻击等信息安全技术的原理与应用;培养学生用信息安全的思维方式和方法分析问题、解决问题,使学生具有一定的信息安全保障能力,为毕业后从事信息化密码保障工作做准备。 二、教学说明 本课程的教学内容主要包括信息安全概述、网络与系统攻击技术、密码与加密技术、认证技术、访问控制技术、防火墙技术、入侵检测技术、网络安全协议与虚拟专用网技术、信息安全管理等内容。 本课程的教学内容具有涉及知识面较广,与应用联系密切以及知识更新较快等特点,因此,在具体教学过程中,使用翻转课堂、慕课等学习方式扩充课堂教学内容,使用案例分析与讨论、项目研究等方式开拓学生思路,培养学生分析问题、解决问题的能力。同时,结合信息安全领域的最新技术发展、研究成果和解决方案,对云计算、大数据、物联网等新应用下的信息安全问题进行专题研究和讨论。 本课程的教学重点是网络攻击技术以及常见信息安全技术的基本原理和实现方法。 本课程的先修课为“计算机网络”。 三、教学内容及要求 第一章信息安全概述 (一)教学内容 1.信息安全基本概念; 2.OSI安全体系结构; 3.信息安全保障; 4.信息安全领域的研究内容。 (二)教学要求 了解信息技术与产业繁荣与信息安全威胁的挑战;了解产生信息安全问题的技术原因;掌握信息安全及信息系统安全的概念;掌握OSI安全体系结构;掌握信息安全保障思想;了解我国信息安全事业的发展概况;了解信息安全领域的研究内容。 第二章密码与加密技术 (一)教学内容 1.密码学概述; 2.对称密码技术及应用; 3.公钥密码技术及应用; 4.散列函数技术及应用;
《信息安全概论》20春期末考试-00001 试卷总分:100 得分:70 一、单选题 (共 20 道试题,共 40 分) 1.信息安全CIA三元组中的A指的是 A.机密机 B.完整性 C.可用性 D.可控性 答案:C 2.在Windows安全子系统中,保存用户账号和口令等数据,为本地安全机构提供数据查询服务的是什么部件? A.GINA B.SRM C.SAM D.Winlogon 答案:C 3.以下哪种分组密码的工作模式可以并行实现? A.ECB B.CBC C.CFB D.OFB 答案:A 4.Bot病毒又称为什么? A.木马病毒 B.僵尸病毒 C.网络欺骗 D.拒绝服务 答案:B 5.CBC是指分组密码的哪种工作模式? A.电子编码本模式 B.密码分组模式 C.密码反馈模式 D.输出反馈模式 答案:B 6.攻击者通过伪造以假乱真的网站和发送诱惑受害者按攻击者意图执行某些操作的电子邮件等方法,使得受害者“自愿”交出重要信息(例如银行账户和密码)的手段称为什么? A.僵尸网络 B.缓冲区溢出
C.网络钓鱼 D.DNS欺骗 答案:C 7.在使用公钥密码算法的加密通信中,发信人使用什么来加密明文? A.发信人的公钥 B.收信人的公钥 C.发信人的私钥 D.收信人的私钥 答案:B 8.Bell-LaPaDula访问控制模型的读写原则是哪项? A.向下读,向上写 B.向上读,向上写 C.向下读,向下写 D.向上读,向下写 答案:A 9.在CC标准中,要求在设计阶段实施积极的安全工程思想,提供中级的独立安全保证的安全可信度级别为 A.EAL1 B.EAL3 C.EAL5 D.EAL7 答案:B 10.Windows系统安全架构的核心是什么? A.用户认证 B.访问控制 C.管理与审计 D.安全策略 答案:D 11.以下哪种技术可用于内容监管中数据获取过程? A.网络爬虫 B.信息加密 C.数字签名 D.身份论证 答案:A 12.IPS的含义是什么? A.入侵检测系统 B.入侵防御系统
《信息安全概论实验六》实验报告 姓名:学号: 专业班级:成绩: ====================================================================== 1.实验题目: 信息加密(二) 2.实验目的: 掌握信息加密的基本原理和方法。 3. 实验环境 计算机一台,安装软件windows 2000 server、Vmware、sniffer、vc++6.0等。 4.实验要求: 完成教材第九章课后习题7上机题。 ?恺撒密码的加密方法是把a变成D,b变成E,c换成F,依次类 推,z换成C。这样明文和密文的字母就建立一一对应的关系。加密原理其实就是:对明文加上了一个偏移值29,即“a”对应的ASCII码位97,“D” 对应的ASCII码为68,相减得到29。 ?编写程序1:实现恺撒密码加密单词“julus”。 5. 实验内容及步骤 案例9-1 DES算法的程序实现 根据DES算法的原理,可以方便的利用C语言实现其加密和解密算法。 在VC++6.0中新建基于控制台的Win32应用程序,算法如程序proj8_1.cpp所示。 设置一个密钥匙为数组char key[8]={1,9,8,0,9,1,7,2},要加密的字符串数组是str[]="Hello",利用Des_SetKey(key)设置加密的密钥,调用Des_Run(str, str, ENCRYPT)对输入的明文进行加密,其中第一个参数str是输出的密文,第二个参数str是输入的明文,枚举值ENCRYPT 设置进行加密运算。程序执行的结果如图8-7所示。
案例9-2 RSA算法的程序实现 根据RSA算法的原理,可以利用C语言实现其加密和解密算法。RSA算法比DES算法复杂,加解密的所需要的时间也比较长。 本案例利用RSA算法对文件的加密和解密。算法根据设置自动产生大素数p和q,并根据p 和q的值产生模(n)、公钥(e)和密钥(d)。利用VC++6.0实现核心算法,如图8-8所示。 编译执行程序,如图8-9所示。该对话框提供的功能是对未加密的文件进行加密,并可以对已经加密的文件进行解密。
知识点 信息安全目标 对称加密算法 DES密码算法 公钥密码密钥 RSA 单向散列函数 SHA安全Hash函数 数字签名 SSL记录层协议 计算机病毒特征 身份认证 口令 防火墙 第一章网络信息安全概论 安全机制 安全服务相关的安全机制(8个) 安全管理相关的安全机制(5个) 第二章密码技术 对称加密算法 DES 非对称加密 RSA Diffie-Hellman 数字签名 HASH 公开密钥算法(RSA算法) 第一个完善的公开密钥算法RSA 经受住了多年的密码分析。密码分析者既不能证明但也不能否定RSA的安全性。 其安全性基于大数分解的难度 求一对大素数的乘积很容易但是要做因式分解就难。因此可以把一对大素数的乘积公开作为公钥,而素数作为私钥。 从而从一个公开密钥和密文中恢复出明文的难度等价于分解两个大素数之积。 公开密钥n:两素数p和q的乘积(p,q必须 保密) e:与(p-1)(q-1)互素私钥d:e×d mod [ (p-1)(q-1)]=1(辗转相除法) 等价表示为d=e-1 mod [ (p-1)(q-1)] 加密:c=me mod n 解密:m=cd mod n 例子:p=47 q=71 则n=pq=3337 (p-1)(q-1)=3220 随机选取e=79 则79×d mod 3220=1 d=1019算法公开e和n,保密d,丢弃p和q 这样对于待加密的消息m=688 c=me mod n= 68879 mod 3337=1570 解密: m=cd mod n=15701019 mod 3337=688 Diffie-Hellman密钥交换 假设A选择了一个随机数Xa作为Diffiee-Hellman的指数,B选择了另一个随机数Xb。 A和B就可以通过下面的过程进行Diffie-Hellman密钥交换,并得到共享密钥gXaXb(mod p)。 ①:A→B:gXa(mod p) ②:B→A:gXb (mod p) 数字签名 证明消息确实是由发送者签发的 并且可以用于验证数据或程序的完整性 它和传统的手写签名类似,满足以下条件:收方可以确认或证实签名确实是由发方签名的 签名不可伪造
信息安全导论复习题 湖南科技大学2016 - 2017 学年信息安全概论考试试题 一、名词解释 (15 分,每个 3 分 ) 信息隐藏:也称数据隐藏,信息伪装。主要研究如何将某一机密信息隐藏于另一公开信息的 载体中,然后会通过公开载体的信息传输来传递机密信息。 宏病毒:使用宏语言编写的一种脚本病毒程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据库和演示文档等数据文件中,利用宏语言的功能将自己复制并繁 殖到其他数据文档里。 入侵检测:通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以 及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻 击的迹象。作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。 花指令:是指利用反汇编时单纯根据机器指令字来决定反汇编结果的漏洞,在不影响程序正确性的前提下,添加的一些干扰反汇编和设置陷阱的代码指令,对程序代码做变形处理。 缓冲区溢出攻击:指程序运行过程中放入缓冲区的数据过多时,会产生缓冲区溢出。黑客如成功利用缓冲溢出漏洞,可以获得对远程计算机的控制,以本地系统权限执行任意危害性指令。 二、判断题(对的打√,错的打×,每题 1 分,共 10 分) 1. 基于账户名/口令认证是最常用的最常用的认证方式(√) 2. 当用户收到了一封可疑的电子邮件, 要求用户提供银行账户及密码,这属于钓鱼攻击(√ ) 3. RSA算法的安全性归结于离散对数问题(× ) 4. 量子不可克隆定理、不确定性原理,构成了量子密码的安全性理论基础(√ ) 5.访问控制的安全策略是指在某个安全区域内用语所有与安全相关活动的一套控制规则 (√) 6. 反弹连接是木马规避防火墙的技术,适合动态IP 入侵(×) 7. 驱动程序只能在核心态下运行(×) 8. 混沌系统生成的混沌序列具有周期性和伪随机性的特征(× ) 9. 最小特权思想是指系统不应给用户超过执行任务所需特权以外的特权(√ ) 10.冲击波蠕虫病毒采用 UPX压缩技术,利用 RPC漏洞进行快速传播(√)三、选 择题( 30 分,每题 2 分) (1) 按照密钥类型,加密算法可以分为( D )。 A. 序列算法和分组算法 B. 序列算法和公钥密码算法 C. 公钥密码算法和分组算法 D. 公钥密码算法和对称密码算法 (2)以下关于 CA 认证中心说法正确的是(C )。 A.CA 认证是使用对称密钥机制的认证方法 B.CA认证中心只负责签名,不负责证书的产生 C.CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D.CA认证中心不用保持中立,可以随便找一个用户来做为CA 认证中心 (3) Web 从 Web 服务器方面和浏览器方面受到的威胁主要来自( D )。 A. 浏览器和Web 服务器的通信方面存在漏洞 B. Web 服务器的安全漏洞 C. 服务器端脚本的安全漏洞 D. 以上全是
河南工业大学实验报告 实验一 古典密码-Vigenere算法 课程信息安全概论实验名称古典密码-Vigenere算法院系信息科学与工程专业班级计科1304 姓名学号 指导老师:刘宏月日期 2015.10.24
一、实验名称 古典密码-Vigenere算法 二、实验目的 1、理解简单加密算法的原理; 2、掌握Vigenere密码的原理,完成Vigenere密码加解密程序的编写; 3、通过实验,加深对古典密码体制的了解,掌握对字符进行灵活处理的方法。 三、实验内容及要求 (一)实验要求 根据Vigenere密码的原理编写程序,对输入的符号串能够根据设置的密钥分别正确实现Vigenere加密和解密功能。 (二)实验准备 1、阅读教材有关章节,理解简单加密算法的原理,掌握Vigenere密码的原理。 2、初步编制好程序。 3、准备好多组测试数据。 四、实验过程及结果 源代码: #include"iostream" using namespace std; #define MINCHAR 97 #define CHARSUM 26 char table[CHARSUM][CHARSUM]; bool Init(); bool Encode(char* key, char* source, char* dest); bool Dncode(char* key, char* source, char* dest); int main() { if(!Init()) { cout << "初始化错误!" << endl; return 1; } char key[256]; char str1[256]; char str2[256]; int operation; while(1) { do
江南大学现代远程教育考试大作业 考试科目:《信息安全概论》 一、大作业题目(内容) 题目:基于机器学习的IoT网络分布式拒绝服务(DDoS)攻击检测软件(或系统) 目的:目前越来越多的物联网(IoT)设备连接到互联网,但其中许多设备并不安全,进一步恶化了互联网环境。利用不安全的家用物联网设备,一些僵尸网络(如Mirai)对关键基础设施进行分布式拒绝服务(DDoS)攻击。据报道,通过物联网病毒“Mirai”实施的DDoS攻击事件感染了超过100,000个物联网设备。在其爆发的高峰期,“Mirai”僵尸网络病毒感染了40万台以上的机器人。亚马逊,Netflix,Reddit,Spotify,Tumblr和Twitter 等服务都遭到其攻击。根据绿盟科技的数据显示,目前许多传统的安全设备在设计时并没有考虑如何应对大规模的DDoS攻击,要更新这些设备需要大量资金和时间;此外,DDoS 攻击的方式多样,难以对攻击来源进行追踪,这使得DDoS攻击成为攻击者的热门选择。针对物联网DDoS攻击检测的研究迫在眉睫。 要求实现的功能:(1)不同于传统的DDoS检测方法,本项目首先通过分析DDoS攻击流量与普通流量的区别,再从DDoS攻击的特征中寻找解决方案;(2)本系统采用深度学习的方法区分正常物联网数据包和DDoS攻击数据包;(3)相比较现有的检测方法,本系统结合了深度学习算法和轻量级物联网流量特征,能在短时间内对大量的访问流量进行检测,并具有实时监测功能,准确率高达99%;(4)因为人们对物联网设备的安全问题不够重视,导致多种设备成为黑客手中的帮凶,因此本系统针对的重点是智能家居设备;5)通过在网关进行物联网流量的实时获取、实时检测,并对DDoS攻击流量进行在线分析和报警,不仅可以防止智能家居设备被感染,而且还可以防止网络中其他设备的DDoS攻击。 大作业具体要求: 1.项目必须为一个基本完整的设计; 2.项目设计报告书旨在能够清晰准确地阐述(或图示)该项目(或方案); 3.作品报告采用A4纸撰写。除标题外,所有内容必需为宋体、小四号字、1.25倍行距; 4.项目设计报告逻辑严明、条理清晰; 5.项目设计报告不少于5页; 6.在规定时间以报告形式提交。 1
三、名词解释题: 1、数字证书? 答: 数字证书是一种权威性的电子文文件,由权威公正的第三方机构,即CA中心签发的证书。它以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。 2、防火墙?P181 答: 防火墙是置于两个网络之间的一组构件或一个系统,具有以下属性: (1)防火墙是不同网络或网络安全域之间信息流通过的唯一出入口,所有双向数据流必须经过它; (2)只有被授权的合法数据,即防火墙系统中安全策略允许的资料,才可以通过; (3)该系统应具有很高的抗攻击能力,自身能不受各种攻击的影响。 3、数字签名技术? 答: 4、入侵检测?P157 答: 入侵检测(Intrusion Detection)是对入侵行为的发觉。它从计算机网络或或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 5、分组密码?P22 答: 分组密码是将明文消息编码后表示的数字(简称明文数字)序列x0,x1,x2,…,划分成长度为n的组x=(x0,x1,x2,…xn-1)(可看成长度为n的向量),每组分别在密钥k=(k0,k1,k2,…kn-1),其加密函数是E:Vn×K→Vn,Vn是n维向量空间,K为密钥空间。 6、序列密码 答: 序列密码也称为流密码(Stream Cipher),它是对称密码算法的一种。流密码对明文加解密时不进行分组,而是按位进行加解密。流密码的基本思想是利用密钥k产生一个密钥流:z=z0z1…,并使用如下规则加密明文串x=x0x1x2…,y=y0y1y2…=ez0(x0)ez1(x1)ez2(x2)…。密钥流由密钥流发生器f产生:zi=f(k,σi),这里的σi是加密器中的存储元件(内存)在时刻i的状态,f是由密钥k和σi产生的函数。 7、DES?P26 答: DES,Data Encryption Standard,数据加密标准,是分组长度为64比特的分组密码算法,密钥长度也是64比特,其中每8比特有一位奇偶校验位,因此有效密钥长度是56比特。DES算法是公开的,其安全性依赖于密钥的保密程度。DES加密算法为:将64比特明文数据用初始置换IP置换,得到一个乱序的64比特明文分组,然后分成左右等长的32比特,分别记为L0和R0;进行16轮完全类似的迭代运算后,将所得左右长度相等的两半L16和R16交换得到64比特数据R16L16,最后再用初始逆置换IP-1进行置换,产生密文数据组。 8、AES?P36 答: AES,Advanced Encryption Standard,高级加密标准,是一个迭代分组密码,其分组长度和密钥长度都可以改变。分组长度和密钥长度可以独立的设定为128比特、192比特或者256比特。AES加密算法框图如下:
河南工业大学实验报告 课程信息安全概论实验名称实验四网络端口扫描 院系___信息科学与工程学院____ 专业班级 _ 计科0805班 __ 姓名______唐广亮_____ 学号________200848140523 _ 指导老师:王峰日期 一.实验目的 1. 学习端口扫描技术基本原理,理解端口扫描技术在网络攻防中的作用。 2. 通过上机实验,熟练掌握目前最为常用的网络扫描工具Nmap的使用,并能利用工具扫描漏洞,更好的弥补安全不足。 二.实验内容及要求 1. 阅读nmap文档,了解命令行参数。 2. 选择局域网中的主机作为扫描对象(不可非法扫描Internet中的主机),使用Nmap 提供的默认配置文件,以及自行设定相关参数,对指定范围的主机进行PING扫描、TCP connect扫描、UDP扫描、秘密扫描等,记录并分析扫描结果。 三.实验过程及结果 (说明:实验结果可以是运行画面的抓屏,抓屏图片要尽可能的小。) 1. 端口扫描的原理。 (1)对指定范围的主机进行PING扫描
从扫描结果可得:在对121.195.0.0/24进行扫描时,总共有256个IP地址,但只有一个IP处于host up 状态,其余的处于host down 状态。 (2)-sS (TCP SYN scan)参数扫描如图所示:
从扫描结果可得:网易网站(https://www.doczj.com/doc/1f3930874.html,),即121.195.178.238总共开通了23个端口,这些端口有的是OPEN状态,有的是FILTERED,但它们都是TCP端口,因为SYN扫描是基于TCP的。 (3)-sT (TCP connect scan)参数扫描211.69.207.72如图所示:
信息安全概论--课后习题参考答案 主编:张雪锋 出版社:人民邮电出版社 第一章 1、结合实际谈谈你对“信息安全是一项系统工程”的理解。 答:该题为论述题,需要结合实际的信息系统,根据其采取的安全策略和防护措施展开论述。 2、当前信息系统面临的主要安全威胁有哪些? 答:对于信息系统来说,安全威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面。通过对已有的信息安全事件进行研究和分析,当前信息系统面临的主要安全威胁包括:信息泄露、破坏信息的完整性、非授权访问(非法使用)、窃听、业务流分析、假冒、网络钓鱼、社会工程攻击、旁路控制、特洛伊木马、抵赖、重放、计算机病毒、人员不慎、媒体废弃、物理侵入、窃取、业务欺骗等。 3、如何认识信息安全“三分靠技术,七分靠管理”? 答:该题为论述题,可以从人事管理、设备管理、场地管理、存储媒介管理、软件管理、网络管理、密码和密钥管理等方面展开论述。 第二章 1、古典密码技术对现代密码体制的设计有哪些借鉴? 答:一种好的加密法应具有混淆性和扩散性。混淆性意味着加密法应隐藏所有的局部模式,将可能导致破解密钥的提示性信息特征进行隐藏;扩散性要求加密法将密文的不同部分进行混合,使得任何字符都不在原来的位置。古典密码中包含有实现混淆性和扩散性的基本操作:替换和置乱,这些基本操作的实现方式对现代密码体制的设计具有很好的借鉴作用。 2、衡量密码体制安全性的基本准则有哪些? 答:衡量密码体制安全性的基本准则有以下几种: (1)计算安全的:如果破译加密算法所需要的计算能力和计算时间是现实条件所不具备的,那么就认为相应的密码体制是满足计算安全性的。这意味着强力破解证明是安全的。 (2)可证明安全的:如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决,就认为相应的密码体制是满足可证明安全性的。这意味着理论保证是安全的。 (3)无条件安全的:如果假设攻击者在用于无限计算能力和计算时间的前提下,也无法破译加密算法,就认为相应的密码体制是无条件安全性的。这意味着在极限状态上是安全的。 3、谈谈公钥密码在实现保密通信中的作用。 答:基于对称密码体制的加密系统进行保密通信时,通信双方必须拥有一个共享的秘密密钥来实现对消息的加密和解密,而密钥具有的机密性使得通信双方如何获得一个共同的密钥变得非常困难。而公钥密码体制中的公开密钥可被记录在一个公共数据库里或者以某种可信的方式公开发放,而私有密钥必须由持有者妥善地秘密保存。这样,任何人都可以通过某种公开的途径获得一个用户的公开密钥,然后与其进行保密通信,而解密者只能是知道相应私钥的密钥持有者。用户公钥的这种公开性使得公钥体制的密钥分配变得非常简单,目前常用公钥证书的形式发放和传递用户公钥,而私钥的保密专用性决定了它不存在分配的问题,有效
信息安全概论习题及答案 第1章概论 1.谈谈你对信息的理解. 答:信息是事物运动的状态和状态变化的方式。 2.什么是信息技术 答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。 本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。 也有人认为信息技术简单地说就是3C:Computer+Communication+Control。 3.信息安全的基本属性主要表现在哪几个方面 答:(1)完整性(Integrity) (2)保密性(Confidentiality) (3)可用性(Availability) (4)不可否认性(Non-repudiation) (5)可控性(Controllability) 4.信息安全的威胁主要有哪些 答: (1)信息泄露 (2)破坏信息的完整性 (3)拒绝服务 (4)非法使用(非授权访问) (5)窃听 (6)业务流分析 (7)假冒 (8)旁路控制 (9)授权侵犯 (10)特洛伊木 马 (11)陷阱门 (12)抵赖 (13)重放 (14)计算机病 毒 (15)人员不慎 (16)媒体废弃 (17)物理侵入 (18)窃取 (19)业务欺骗 等 5.怎样实现信息安全 答:信息安全主要通过以下三个方面:
A 信息安全技术:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等; B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。 C 信息安全相关的法律。法律可以使人们了解在信息安全的管理和应用中什么是违法行为,自觉遵守法律而不进行违法活动。法律在保护信息安全中具有重要作用对于发生的违法行为,只能依靠法律进行惩处,法律是保护信息安全的最终手段。同时,通过法律的威慑力,还可以使攻击者产生畏惧心理,达到惩一警百、遏制犯罪的效果。 第2章信息保密技术 1.为了实现信息的安全,古典密码体制和现代密码体制所依赖的要素有何不同答:古典密码体制中,数据的保密基于加密算法的保密。 现代密码体制中,数据的安全基于密钥而不是算法的保密。 2.密码学发展分为哪几个阶段各自的特点是什么 答:第一个阶段:从几千年前到1949年。 古典加密 计算机技术出现之前 密码学作为一种技艺而不是一门科学 第二个阶段:从1949年到1975年。 标志:Shannon发表“Communication Theory of Secrecy System” 密码学进入了科学的轨道 主要技术:单密钥的对称密钥加密算法 第三个阶段:1976年以后 标志:Diffie,Hellman发表了“New Directions of Cryptography”
二、填空题 1套 1.__数字签名技术___是实现交易安全的核心技术之一,它的实现基础就是加密技术,够实现电子文档的辨认和验证。 2.根据原始数据的来源IDS可以分为:基于主机的入侵检测和基于网络的入侵检测。 3.____PKL__是创建、颁发、管理和撤销公钥证书所涉及的所有软件、硬件系统,以及所涉及的整个过程安全策略规范、法律法规和人员的集合。 4._计算机病毒_是一组计算机指令或者程序代码,能自我复制,通常嵌入在计算机程序中,能够破坏计算机功能或者毁坏数据,影响计算机的使用。 5.证书是PKI的核心元素,___CA__是PKI的核心执行者。 6.__蠕虫____是计算机病毒的一种,利用计算机网络和安全漏洞来复制自身的一段代码。 7._特洛伊木马__只是一个程序,它驻留在目标计算机中,随计算机启动而自动启动,并且在某一端口进行监听,对接收到的数据进行识别,然后对目标计算机执行相应的操作。 8.特洛伊木马包括两个部分:被控端和___控制端______。 9._网页病毒__是利用网页来进行破坏的病毒,它存在于网页之中,其实是使用一些脚本语言编写的一些恶意代码,利用浏览器漏洞来实现病毒的植入。 10._网页挂马_是指黑客自己建立带病毒的网站,或者入侵大流量网站,然后在其网页中植入木马和病毒,当用户浏览到这些网页时就会中毒。 1.主机不能保证数据包的真实来源,构成了IP地址欺骗的基础。( √ ) 2.DNS欺骗利用的是DNS协议不对转换和信息性的更新进行身份认证这一弱点。( √ ) 3.身份认证一般都是实时的,消息认证一般不提供实时性。 ( √ ) 4.防火墙无法完全防止传送已感染病毒的软件或文件。( √ ) 5.KV300杀病毒软件可以清除计算机内的所有病毒。( ×)改正:KV300杀病毒软件只能清除部分病毒,有些未知病毒清除不了。 1.数据包过滤的安全策略基于哪几种方式?答:(1)数据包的源地址,(2)数据包的目的地址,(3)数据包的TCP/UDP源端口,(4)数据包的TCP/UDP目的端口,(5)数据包的标志位,(6)传送数据包的协议。 2.简述包过滤技术。答:防火墙在网络层中根据数据包的包头信息有选择地允许通过和阻断。依据防火墙内事先设定的规则检查数据流中每个数据包的头部,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号和数据包头中的各种标志位等因素来确定是否允许数据包通过。其核心是安全策略即过滤规则设计。 3.计算机病毒的特征是什么?答:1)传染性:病毒通过各种渠道从已被感染的计算机扩散 到未被感染的计算机。2)隐蔽性:病毒一般是具有很高的编程技巧的、短小精悍的一段代码,躲在合法程序当中。很难与正常程序区别开来。3)潜伏性:病毒进入系统后一般不会马上发作,可以在一段时间内隐藏起来,默默地进行传染扩散而不被发现。一旦触发条件满足就发作。4)多态性:病毒试图在每次感染时改变形态;使对它的检测变得困难。病毒代码的主要部分相同,但表达方式发生了变化。5)破坏性:病毒一旦 1