下载文档原格式
全国计算机等级考试三级信息系统知识点关键信息项1、考试大纲信息系统概述信息系统开发基础信息系统管理信息系统安全技术数据库技术网络技术2、考试形式笔试机试3、考试时间每年 X 月、X 月4、合格标准总分不低于 XX 分各部分得分不低于 XX 分11 信息系统概述111 信息系统的概念信息的定义和属性系统的概念和特性信息系统的定义和功能112 信息系统的类型作业信息系统管理信息系统决策支持系统专家系统办公自动化系统113 信息系统的发展电子数据处理系统管理信息系统决策支持系统企业资源规划系统客户关系管理系统供应链管理系统电子商务系统12 信息系统开发基础121 信息系统开发方法结构化方法原型法面向对象方法敏捷开发方法122 信息系统开发过程可行性研究与计划需求分析概要设计详细设计编码与测试运行与维护123 信息系统设计系统架构设计数据库设计输入输出设计模块设计124 信息系统测试测试的目的和类型测试用例设计测试的执行和评估13 信息系统管理131 信息系统项目管理项目的定义和特点项目管理的知识体系项目的生命周期项目计划与控制132 信息系统运维管理运维管理的目标和内容运维管理的流程运维管理的工具和技术133 信息系统资源管理人力资源管理硬件资源管理软件资源管理数据资源管理14 信息系统安全技术141 信息安全概述信息安全的概念和目标信息安全的威胁和风险142 加密技术对称加密算法非对称加密算法数字签名143 认证技术身份认证消息认证144 访问控制技术访问控制模型访问控制策略145 网络安全技术防火墙技术入侵检测技术虚拟专用网络技术15 数据库技术151 数据库系统概述数据库的基本概念数据模型数据库系统的结构152 关系数据库关系模型的基本概念关系代数关系数据库的规范化153 数据库设计需求分析概念结构设计逻辑结构设计物理结构设计154 数据库管理系统数据库管理系统的功能常见的数据库管理系统16 网络技术161 网络体系结构OSI 参考模型TCP/IP 模型162 网络互联技术局域网技术广域网技术网络互联设备163 Internet 技术IP 地址和子网掩码域名系统万维网技术电子邮件技术文件传输技术以上内容涵盖了全国计算机等级考试三级信息系统的主要知识点,考生应根据这些知识点进行系统的学习和准备,以提高通过考试的几率。
2024计算机三级网络技术知识点最全版1.网络基础知识-IP地址(IPv4和IPv6)-子网掩码和网络地址-网关和路由-域名系统(DNS)-网络拓扑结构(包括总线、环形、星形等)-网络协议(如TCP/IP协议)-网络拓展设备,如交换机、中继器、路由器等2.网络设备和技术-交换机和路由器的配置和管理-虚拟局域网(VLAN)的配置-网络地址转换(NAT)的配置-网络带宽管理和负载均衡-VPN(虚拟私人网络)的配置和管理-WLAN(无线局域网)和Wi-Fi技术3.网络安全-防火墙和网络安全策略-网络入侵检测和防御-虚拟专用网(VPN)的安全性-数据加密和认证(如SSL和TLS协议)-网络安全事件的处理和应急响应4.互联网和云计算-互联网的发展和结构-云计算的基础知识和使用场景-虚拟化技术和云平台的配置和管理-云存储和云备份技术-高可用性和容灾技术5.网络协议和服务-TCP/IP协议和IPv6协议-网络层和传输层协议-网络服务和应用,如HTTP、FTP、SMTP等-网络文件共享和打印服务-网络监控和故障排除6.网络维护和管理-网络规划和设计-IP地址分配和管理-网络设备的安装和配置-网络故障排除和维修-网络性能调优和优化7.网络安全和法律法规-网络安全政策和法律法规-信息安全管理制度和策略-个人信息保护和网络隐私-网络攻击和黑客技术-防御网络攻击和入侵的方法和工具8.无线网络和移动应用-无线网络标准和技术,如Wi-Fi、3G/4G等-无线网络的安全性和保护措施-移动应用的开发和部署-移动设备管理和远程访问控制-移动应用测试和性能优化。
全国计算机等级考试三级网络技术知识点第一章 计算机根底分析:考试形式:选择题和填空题,6个的选择题和2个填空题共10分,都是根本概念。
1、计算机的四特点:有信息处理的特性,有广泛适应的特性,有灵活选择的特性。
有正确应用的特性。
〔此条不需要知道〕2、计算机的开展阶段:经历了以下5个阶段(它们是并行关系):大型机阶段(58、59年103、104机)、小型机阶段、微型机阶段、客户机/效劳器阶段〔对等网络与非对等网络的概念〕和互联网阶段〔Arpanet是1969年美国国防部运营,在1983年正式使用TCP/IP协议;在1991年6月我国第一条与国际互联网连接的专线建成,它从中国科学院高能物理研究所接到美国斯坦福大学的直线加速器中心;在1994年实现4大主干网互连,即全功能连接或正式连接;1993年技术出现,网页浏览开场盛行。
3、应用领域:科学计算、事务处理、过程控制、辅助工程(CAD,CAM,CAE,CAI,CAT)、人工智能、网络应用。
4、计算机种类:按照传统的分类方法:分为6大类:大型主机、小型计算机、个人计算机、工作站、巨型计算机、小巨型机。
按照现实的分类方法:分为5大类:效劳器、工作站(有大屏幕显示器)、台式机、笔记本、手持设备(PDA等)。
效劳器:按应用围分类:入门、工作组、部门、企业级效劳器;按处理器构造分:CISC、RISC、VLIW(即EPIC)效劳器;按机箱构造分:台式、机架式、机柜式、刀片式〔支持热插拔〕;工作站:按软硬件平台:基于RISC和UNIX-OS的专业工作站;基于Intel和Windows-OS的PC工作站。
5、计算机的技术指标:〔1〕字长:8个二进制位是一个字节。
〔2〕速度:MIPS:单字长定点指令的平均执行速度,M:百万;MFLOPS:单字长浮点指令的平均执行速度。
〔3〕容量:字节Byte用B表示,1TB=1024GB≈103GB≈106MB≈109KB≈1012B。
全国计算机等级考试三级网络技术知识点必考整理全面全国计算机等级考试三级网络技术知识点必考整理全面全国计算机等级考试三级网络技术知识点(全面)第一章计算机基础分析:考试形式:选择题和填空题,6个的选择题和2个填空题共10分,都是基本概念。
1、计算机的四特点:有信息处理的特性,有广泛适应的特性,有灵活选择的特性。
有正确应用的特性。
(此条不需要知道)2、计算机的发展阶段:经历了以下5个阶段(它们是并行关系):大型机阶段(58、59年103、104机)、小型机阶段、微型机阶段、客户机/服务器阶段(对等网络与非对等网络的概念)和互联网阶段(Arpanet是1969年美国国防部运营,在1983年正式使用TCP/IP协议;在1991年6月中国第一条与国际互联网连接的专线建成,它从中国科学院高能物理研究所接到美国斯坦福大学的直线加速器中心;在1994年实现4大主干网互连,即全功能连接或正式连接;1993年WWW技术出现,网页浏览开始盛行。
3、应用领域:科学计算、事务处理、过程控制、辅助工程(CAD,CAM,CAE,CAI,CAT)、人工智能、网络应用。
4、计算机种类:按照传统的分类方法:分为6大类:大型主机、小型计算机、个人计算机、工作站、巨型计算机、小巨型机。
按照现实的分类方法:分为5大类:服务器、工作站(有大屏幕显示器)、台式机、笔记本、手持设备(PDA等)。
服务器:按应用范围分类:入门、工作组、部门、企业级服务器;按处理器结构分:CISC、RISC、VLIW(即EPIC)服务器;按机箱结构分:台式、机架式、机柜式、刀片式(支持热插拔);工作站:按软硬件平台:基于RISC和UNIX-OS 的专业工作站;基于Intel和Windows-OS的PC 工作站。
5、计算机的技术指标:(1)字长:8个二进制位是一个字节。
(2)速度:MIPS:单字长定点指令的平均执行速度,M:百万;MFLOPS:单字长浮点指令的平均执行速度。
2023年下半年计算机等级考试三级信息安全技术复习要点汇总1.信息安全保障概述
1.信息安全保障的内涵和意义
2.信息安全保障的总体思路和基本实践方法
2.信息安全基础技术与原理
1.密码技术
(1)对称密码与非对称密码
(2)哈希函数
(3)数字签名
(4)密钥管理
2.认证技术
(1)消息认证
(2)身份认证
3.访问控制技术
(1)访问控制模型
(2)访问控制技术
4.审计和监控技术
(1)审计和监控基础
(2)审计和监控技术
3.系统安全
1.操作系统安全
(1)操作系统安全基础
(2)操作系统安全实践
2.数据库安全
(1)数据库安全基础
(2)数据库安全实践
4.网络安全
1.网络安全基础
2.网络安全威胁技术
3.网络安全防护技术
(1)防火墙
(2)入侵检测系统与入侵防御系统(3)PKI
(4)VPN
(5)网络安全协议
5.应用安全
1.软件漏洞概念与原理
2.软件安全开发
3.软件安全检测
4.软件安全保护
5.恶意程序
6.Web应用系统安全
6.信息安全管理
1.信息安全管理体系
2.信息安全风险评估
3.信息安全管理措施
7.信息安全标准与法规
1.信息安全标准
2.信息安全法律法规与国家政策3.信息安全从业人员道德规范。
全国计算机等级考试三级网络技术知识点(全面)第一章计算机基础分析:考试形式:选择题和填空题,6个的选择题和2个填空题共10分,都是基本概念。
1、计算机的四特点:有信息处理的特性,有广泛适应的特性,有灵活选择的特性。
有正确应用的特性。
(此条不需要知道)2、计算机的发展阶段:经历了以下5个阶段(它们是并行关系):大型机阶段(58、59年103、104机)、小型机阶段、微型机阶段、客户机/服务器阶段(对等网络与非对等网络的概念)和互联网阶段(Arpanet是1969年美国国防部运营,在1983年正式使用TCP/IP协议;在1991年6月我国第一条与国际互联网连接的专线建成,它从中国科学院高能物理研究所接到美国斯坦福大学的直线加速器中心;在1994年实现4大主干网互连,即全功能连接或正式连接;1993年WWW技术出现,网页浏览开始盛行。
3、应用领域:科学计算、事务处理、过程控制、辅助工程(CAD,CAM,CAE,CAI,CA T)、人工智能、网络应用。
4、计算机种类:按照传统的分类方法:分为6大类:大型主机、小型计算机、个人计算机、工作站、巨型计算机、小巨型机。
按照现实的分类方法:分为5大类:服务器、工作站(有大屏幕显示器)、台式机、笔记本、手持设备(PDA等)。
服务器:按应用范围分类:入门、工作组、部门、企业级服务器;按处理器结构分:CISC、RISC、VLIW(即EPIC)服务器;按机箱结构分:台式、机架式、机柜式、刀片式(支持热插拔);工作站:按软硬件平台:基于RISC和UNIX-OS的专业工作站;基于Intel和Windows-OS 的PC工作站。
5、计算机的技术指标:(1)字长:8个二进制位是一个字节。
(2)速度:MIPS:单字长定点指令的平均执行速度,M:百万;MFLOPS:单字长浮点指令的平均执行速度。
(3)容量:字节Byte用B表示,1TB=1024GB≈103GB≈106MB≈109KB≈1012B。
全国计算机等级考试三级网络技术知识点(全面)第一章计算机基础分析:考试形式:选择题与填空题,6个的选择题与2个填空题共10分,都是基本概念。
1、计算机的四特点:有信息处理的特性,有广泛适应的特性,有灵活选择的特性。
有正确应用的特性。
(此条不需要知道)2、计算机的发展阶段:经历了以下5个阶段(它们是并行关系):大型机阶段(58、59年103、104机)、小型机阶段、微型机阶段、客户机/服务器阶段(对等网络及非对等网络的概念)与互联网阶段(是1969年美国国防部运营,在1983年正式使用协议;在1991年6月我国第一条及国际互联网连接的专线建成,它从中国科学院高能物理研究所接到美国斯坦福大学的直线加速器中心;在1994年实现4大主干网互连,即全功能连接或正式连接;1993年技术出现,网页浏览开始盛行。
3、应用领域:科学计算、事务处理、过程控制、辅助工程(,,,,)、人工智能、网络应用。
4、计算机种类:按照传统的分类方法:分为6大类:大型主机、小型计算机、个人计算机、工作站、巨型计算机、小巨型机。
按照现实的分类方法:分为5大类:服务器、工作站(有大屏幕显示器)、台式机、笔记本、手持设备(等)。
服务器:按应用范围分类:入门、工作组、部门、企业级服务器;按处理器结构分:、、(即)服务器;按机箱结构分:台式、机架式、机柜式、刀片式(支持热插拔);工作站:按软硬件平台:基于与的专业工作站;基于与的工作站。
5、计算机的技术指标:(1)字长:8个二进制位是一个字节。
(2)速度::单字长定点指令的平均执行速度,M:百万;:单字长浮点指令的平均执行速度。
(3)容量:字节用B表示,11024≈103≈106≈109≈1012B。
(4)带宽(数据传输率) :。
(5)可靠性:用平均无故障时间与平均故障修复时间来表示。
(6)版本6、微处理器简史:8080(8位)→8088(16位)→奔腾(32位)→安腾(64位)7、奔腾芯片的技术特点:奔腾32位芯片,主要用于台式机与笔记本,奔腾采用了精简指令技术。
计算机三级《网络技术》复习重点信息平安技术
信息平安是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然的或恶意的原因此遭到破坏、更改、泄漏,系统连续、可靠、正常运行,信息效劳不中断。
主要有以下目的:
真实性:鉴别伪造的信息。
保密性:信息不被偷听。
完好性:数据的一致性防止数据非法篡改。
可用性:合法用户的合法使用不被回绝。
不可抵赖性:建立责任机制,防止用户否认其行为。
可控制性:信息传播及内容具有控制才能。
可审查性:对出现的网络平安问题提供调查的根据和手段。
主要从三个方面表达:先进的信息平安技术是网络平安的根本保证,严格的平安管理,严格的法律、法规。
美国国防部可信任计算机标准评估准那么(TCSEC):又称为橘皮书,将网络平安性等级划分为A、B、C、D共4类,其中A类平安等级最高,D类平安等级最低。
【C2级软件:
UNIX,NETWARE,XENIX,Windows NT等】
我国的信息平安系统平安保护分为5个等级:
自主保护级:会对国家平安、社会秩序、经济建立和公共利益的一般信息和信息系统,造成一定影响。
指导保护级:会对国家平安、社会秩序、经济建立和公共利益的一般信息和信息系统,造成一定伤害。
监视保护级:会对国家平安、社会秩序、经济建立和公共利益的一般信息和信息系统,造成较大伤害
强迫保护级:会对国家平安、社会秩序、经济建立和公共利益的一般信息和信息系统,造成严重伤害
专控保护级:会对国家平安、社会秩序、经济建立和公共利益的一般信息和信息核心子系统,造成特别严重伤害。
计算机三级信息安全技术知识点一、密码学密码学是信息安全领域的基础学科,主要研究加密算法、解密算法以及相关的协议和技术。
在计算机三级信息安全技术考试中,密码学是一个重要的知识点。
1. 对称加密算法对称加密算法是指加密和解密使用相同的密钥的算法,常见的对称加密算法有DES、3DES、AES等。
这些算法通过将明文与密钥进行处理,生成密文,再通过相同的密钥进行解密还原为明文。
2. 非对称加密算法非对称加密算法需要使用一对密钥,一把是公钥,一把是私钥。
公钥用于加密,私钥用于解密。
常见的非对称加密算法有RSA、ECC 等。
非对称加密算法具有加密速度慢、安全性高等特点,常用于数字签名和密钥协商等场景。
3. 哈希算法哈希算法是将任意长度的输入数据转换为固定长度的输出数据的算法。
常见的哈希算法有MD5、SHA-1、SHA-256等。
哈希算法具有不可逆性和唯一性的特点,常用于数据完整性校验和密码存储等场景。
4. 数字签名数字签名是一种用于验证数据完整性和认证数据来源的技术。
数字签名使用非对称加密算法,通过将数据进行哈希运算得到摘要,再使用私钥进行加密生成签名。
接收者使用公钥解密签名,再对接收到的数据进行哈希运算得到新的摘要,比较两个摘要是否一致,从而验证数据的完整性和认证数据来源。
二、网络安全网络安全是指保护计算机网络、网络设备和网络应用免受未经授权的访问、破坏、篡改和泄露的威胁。
在计算机三级信息安全技术考试中,网络安全是一个重要的知识点。
1. 防火墙防火墙是用于保护计算机网络不受未经授权的访问的安全设备。
防火墙通过设置访问控制策略,对网络流量进行过滤和检测,阻止不合法的访问和恶意攻击。
2. 入侵检测系统(IDS)和入侵防御系统(IPS)入侵检测系统用于检测网络中潜在的入侵行为,通过监控和分析网络流量、日志等数据,发现并报告可能的入侵事件。
入侵防御系统在检测到入侵行为后,可以采取主动防御措施,如阻止攻击流量、断开攻击者的连接等。
第一章信息安全保障概述1.1信息安全保障背景1. 什么是信息?事物运行的状态和状态变化的方式。
2. 信息技术发展的各个阶段?a. 电讯技术的发明b. 计算机技术发展c. 互联网的使用3. 信息技术的消极影响?信息泛滥、信息污染、信息犯罪。
4. 信息安全发展阶段?a. 信息b. 计算机安全c. 信息安全保障5. 信息安全保障的含义?运行系统的安全、系统信息的安全6. 信息安全的基本属性?性、完整性、可用性、可控性、不可否认性7信息安全保障体系框架?保障因素:技术、管理、工程、人员安全特征:性、完整性、可用性生命周期:规划组织、开发采购、实施交付、运行维护、废弃8.P2DR 模型?策略(核心)、防护、监测、响应9.IATF信息保障的指导性文件?核心要素:人员、技术(重点)、操作10.IATF中4个技术框架焦点域?a. 保护本地计算环境b. 保护区域边界c. 保护网络及基础设施d. 保护支持性基础设施11. 信息安全保障工作的容?a. 确定安全需要b. 设计实施安全方案c. 进行信息安全评测d. 实施信息安全监控和维护12. 信息安全评测的流程?见课本p19图1.4受理申请、静态评测、现场评测、风险分析13. 信息监控的流程?见课本p20图1.5受理申请、非现场准备、现场准备、现场监控、综合分析1.1.1信息技术及其发展阶段信息技术两个方面:生产:信息技术产业;应用:信息技术扩散信息技术核心:微电子技术,通信技术,计算机技术,网络技术第一阶段,电讯技术的发明;第二阶段,计算机技术的发展;第三阶段,互联网的使用 1.1.2信息技术的影响积极:社会发展,科技进步,人类生活消极:信息泛滥,信息污染,信息犯罪1.2信息安全保障基础1.2.1信息安全发展阶段通信阶段(20世纪四十年代):性,密码学计算机安全阶段(20世纪六十和七十年代):性、访问控制与认证,公钥密码学(Diffie Hellman , DES),计算机安全标准化(安全评估标准)信息安全保障阶段:信息安全保障体系(IA ), PDRR模型:保护(protection )、检测(detection )、响应(response)、恢复(restore),我国PWDRRC 模型:保护、预警(warning)、监测、应急、恢复、反击(counter-attack), BS/ISO 7799标准(有代表性的信息安全管理体系标准):信息安全管理实施细则、信息安全管理体系规1.2.2信息安全的含义一是运行系统的安全,二是系统信息的安全:口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等信息安全的基本属性:完整性、性、可用性、可控制性、不可否认性1.2.3信息系统面临的安全风险1.2.4信息安全问题产生的根源:信息系统的复杂性,人为和环境的威胁1.2.5信息安全的地位和作用1.2.6信息安全技术核心基础安全技术:密码技术安全基础设施技术:标识与认证技术,授权与访问控制技术基础设施安全技术:主机系统安全技术,网络系统安全技术应用安全技术:网络与系统安全攻击技术,网络与系统安全防护与响应技术,安全审计与责任认定技术,恶意代码监测与防护技术支撑安全技术:信息安全评测技术,信息安全管理技术1.3信息安全保障体系1.3.1信息安全保障体系框架生命周期:规划组织,开发采购,实施交付,运行维护,废弃保障要素:技术,管理,工程,人员安全特征:性,完整性,可用性1.3.2信息系统安全模型与技术框架P2DR安全模型:策略(policy ),防护,检测,响应;防护时间大于检测时间加上响应时间,安全目标暴露时间 =检测时间+响应时间,越小越好;提高系统防护时间,降低检测时间和响应时间信息保障技术框架(IATF ):纵深防御策略():人员,技术,操作;技术框架焦点域:保护本地计算机,保护区域边界,保护网络及基础设施,保护支撑性基础设施 1.4信息安全保障基本实践1.4.1国外信息安全保障工作概况1.4.2信息安全保障工作的容确定安全需求,设计和实施安全方案,进行信息安全评测,实施信息安全监控第二章信息安全基础技术与原理2.1密码技术2.1.1对称密码与非对称密码对称密钥密码体制:发送方和接收方使用相同的密钥非对称密钥密码体制:发送方和接收方使用不同的密钥对称密钥体制:加密处理速度快、度高,密钥管理分发复杂代价高、数字签名困难分组密码:一次加密一个明文分组:DES , IDEA , AES;序列密码:一次加密一位或者一个字符:RC4, SEAL加密方法:代换法:单表代换密码,多表代换;置换法安全性:攻击密码体制:穷举攻击法(对于密钥长度128位以上的密钥空间不再有效),密码分析学;典型的密码攻击:唯密文攻击,已知明文攻击,选择明文攻击(加密算法一般要能够抵抗选择明文攻击才认为是最安全的,分析方法:差分分析和线性分析),选择密文攻击基本运算:异或,加,减,乘,查表设计思想:扩散,混淆;乘积迭代:乘积密码,常见的乘积密码是迭代密码,DES, AES数据加密标准DES :基于Feistel网络,3DES,有效密钥位数:56 国际数据加密算法IDEA :利用128位密钥对64位的明文分组,经连续加密产生64位的密文分组高级加密标准AES : SP网络分组密码:电子密码本模式ECB,密码分组链模式CBC,密码反馈模式CFB,输出反馈模式OFB,计数模式CTF非对称密码:基于难解问题设计密码是非对称密码设计的主要思想,NP问题NPC问题克服密钥分配上的困难、易于实现数字签名、安全性高,降低了加解密效率RSA:基于大合数因式分解难得问题设计;既可用于加密,又可用于数字签名;目前应用最广泛ElGamal:基于离散对数求解困难的问题设计椭圆曲线密码ECC:基于椭圆曲线离散对数求解困难的问题设计通常采用对称密码体制实现数字加密,公钥密码体制实现密钥管理的混合加密机制2.1.2哈希函数单向密码体制,从一个明文到密文的不可逆的映射,只有只有加密过程,没有解密过程可将任意长度的输入经过变换后得到固定长度的输出(原消息的散列或消息摘要)应用:消息认证(基于哈希函数的消息认证码),数字签名(对消息摘要进行数字签名口令的安全性,数据完整性)消息摘要算法MD5 : 128位安全散列算法SHA : 160位SHA比MD5更安全,SHA比MD5速度慢了25%, SHA操作步骤较MD5更简单2.1.3数字签名通过密码技术实现,其安全性取决于密码体制的安全程度普通数字签名:RSA , ElGamal,椭圆曲线数字签名算法等特殊数字签名:盲签名,代理签名,群签名,不可否认签名,具有消息恢复功能得签名等常对信息的摘要进行签名美国数字签名标准DSS:签名算法DSA应用:鉴权:重放攻击;完整性:同形攻击;不可抵赖2.1.4密钥管理包括密钥的生成,存储,分配,启用与停用,控制,更新,撤销与销毁等诸多方面密钥的分配与存储最为关键借助加密,认证,签名,协议和公证等技术密钥的秘密性,完整性,真实性密钥产生:噪声源技术(基于力学,基于电子学,基于混沌理论的密钥产生技术);主密钥,加密密钥,会话密钥的产生密钥分配:分配手段:人工分发(物理分发),密钥交换协议动态分发密钥属性:秘密密钥分配,公开密钥分配密钥分配技术:基于对称密码体制的密钥分配,基于公钥密码体制的密钥分配密钥信息交换方式:人工密钥分发,给予中心密钥分发,基于认证密钥分发人工密钥分发:主密钥基于中心的密钥分发:利用公开密钥密码体制分配传统密码的密钥;可信第三方:密钥分发中心KDC,密钥转换中心KTC;拉模型,推模型;密钥交换协议:Diffie-Hellman算法公开密钥分配:公共发布;公用目录;公约授权:公钥管理机构;公钥证书:证书管理机构CA ,目前最流行密钥存储:公钥存储私钥存储:用口令加密后存放在本地软盘或硬盘;存放在网络目录服务器中:私钥存储服务PKSS;智能卡存储;USB Key存储2.2认证技术2.2.1消息认证产生认证码的函数:消息加密:整个消息的密文作为认证码消息认证码(MAC ):利用密钥对消息产生定长的值,并以该值作为认证码;基于DES的MAC算法哈希函数:将任意长的消息映射为定长的哈希值,并以该哈希值作为认证码2.2.2身份认证身份认证系统:认证服务器、认证系统客户端、认证设备系统主要通过身份认证协议(单向认证协议和双向认证协议)和认证系统软硬件进行实现认证手段:静态密码方式动态口令认证:动态短信密码,动态口令牌(卡)USB Key认证:挑战/应答模式,基于PKI体系的认证模式生物识别技术认证协议:基于口令的认证协议,基于对称密码的认证,基于公钥密码的认证 2.3访问控制技术访问控制模型:自主访问控制(DAC):访问矩阵模型:访问能力表(CL ),访问控制表(ACL);商业环境中,大多数系统,如主流操作系统、防火墙等强制访问控制(DAC ):安全标签:具有偏序关系的等级分类标签,非等级分类标签,比较主体和客体的安全标签等级,,访问控制安全标签列表(ACSLL );访问级别:最高秘密级,秘密级,级,无级别及;Bell-Lapadula模型:只允许向下读、向上写,保证数据的性,Biba不允许向下读、向上写,保护数据完整性;Chinese Wall模型:多边安全系统中的模型,包括了MAC 和DAC的属性基于角色的访问控制(RBAC ):要素:用户,角色,许可;面向企业,大型数据库的权限管理;用户不能自主的将访问权限授权给别的用户;MAC基于多级安全需求,RBAC 不是2.3.2访问控制技术集中访问控制:认证、授权、审计管理(AAA管理)拨号用户远程认证服务RADIUS :提供集中式AAA管理;客户端/服务器协议,运行在应用层,使用UDP协议;组合认证与授权服务终端访问控制器访问控制系统TACACS : TACACS+使用TCP;更复杂的认证步骤;分隔认证、授权、审计Diameter:协议的实现和RADIUS类似,采用TCP协议,支持分布式审计非集中式访问控制:单点登录SSOKerberos:使用最广泛的身份验证协议;引入可信的第三方。
Kerberos验证服务器;能提供网络信息的性和完整性保障;支持双向的身份认证SESAME :认证过程类似于Kerberos.RADIUS运行在UDP协议上,并且没有定义重传机制,而Diameter运行在可靠的传输协议TCP、SCTP之上。
Diameter还支持窗口机制,每个会话方可以动态调整自己的接收窗口,以免发送超出对方处理能力的请求。
RADIUS协议不支持失败恢复机制,而Diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误。
