下载文档原格式
安全学原理复习重点一、引言安全学原理是计算机科学与技术领域中的重要基础课程,旨在培养学生对计算机系统安全性的认识和理解。
本文将回顾安全学原理的重点内容,包括密码学、访问控制、网络安全和软件安全等方面。
二、密码学1. 对称加密和非对称加密的原理及应用- 对称加密:使用相同的密钥进行加密和解密,如DES和AES算法。
- 非对称加密:使用公钥进行加密,私钥进行解密,如RSA和椭圆曲线加密算法。
2. 数字签名和数字证书的作用和原理- 数字签名:用于验证消息的完整性和真实性,常用的算法有RSA和DSA。
- 数字证书:用于验证实体的身份,包含公钥和相关信息,常用的标准是X.509。
3. 密码协议的设计原则和常见协议- 密码协议设计原则:安全性、正确性、可用性和实用性。
- 常见协议:SSL/TLS、SSH、IPSec等。
三、访问控制1. 访问控制模型的基本概念和分类- 强制访问控制:基于安全级别和安全策略,如Bell-LaPadula模型。
- 自主访问控制:基于主体和对象的访问控制策略,如Biba模型。
- 基于角色的访问控制:将权限分配给角色,用户通过角色进行访问控制,如RBAC模型。
2. 访问控制机制的实现和应用- 访问控制列表(ACL):为每个对象定义访问权限列表。
- 角色基于访问控制(RBAC):将权限分配给角色,用户通过角色进行访问控制。
- 属性基于访问控制(ABAC):根据对象属性和主体属性进行访问控制。
四、网络安全1. 网络攻击和防御的基本概念- 主动攻击:攻击者主动发起攻击,如拒绝服务(DoS)攻击和分布式拒绝服务(DDoS)攻击。
- 被动攻击:攻击者通过监听和窃取信息进行攻击,如中间人攻击和密码破解。
- 防御措施:防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等。
2. 网络安全协议的原理和应用- IPsec:提供网络层的安全性,包括加密、数据完整性和身份验证。
- SSL/TLS:提供传输层的安全性,用于保护Web通信。
1.网络安全的威胁主要来源于以下几个方面:人为的疏忽、人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄露或丢失、破坏数据完整性。
2.人为攻击具有下述特性:智能性、严重性、隐蔽性、多样性。
3.计算机安全应当包括以下几项主要内容:物理安全、逻辑安全、操作系统安全、联网安全。
4.计算机安全的物理安全包括三方面:环境安全、设备安全、媒体安全。
5.计算机网络安全的特性有:保密性、完整性、可用性、实用性、真实性、占有性。
6.危害网络安全的三种人是:故意破坏者、不遵守规则者、刺探秘密者。
7.常见的主动防御技术有:数据加密、身份验证、存取控制、权限设置、虚拟局域网。
8.常见的被动防御技术有:防火墙技术、入侵检测系统、安全扫描器、密码验证、审计跟踪、物理保护及安全管理。
9.内部安全危害分为三大类,分别是操作失误、存心捣乱及用户无知。
10.TCP/IP是一组协议,它包括上百种功能的协议,如远程登录、文件传输和电子邮件等,而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。
11.网卡的四种接收方式:广播方式、组播方式、直接方式、混杂方式。
12.为使个人用户和企业用户对上网和网上交易有更大的安全感,主要采用以下措施来保证:加密技术、数字签名和认证技术、VPN技术。
13.密码体制从原理上分为三大类:对称密码体制、非对称密码体制、混合密码体制。
14. PKI公钥基础设施体系主要由密钥管理中心、CA认证机构、RA注册审核机构、证书/CRL发布系统和应用接口系统五部分组成。
15.认证中心主要由以下三部分组成:注册服务器、证书申请受理和审核机构、认证中心服务器。
16.电子邮件可能遇到的安全风险有:E-mail的漏洞、匿名转发邮件、垃圾电子邮件。
17.网络防火墙的任务是:执行安全策略、创建一个阻塞点、记录网络活动、限制网络暴露。
18.防火墙技术的分类:包过滤防火墙技术、IP级包过滤型防火墙、代理防火墙技术、其他类型的防火墙。
1.2 我国网络安全现状网上信息可信度差,垃圾电子邮件,安全,病毒:计算机病毒,攻击:黑客攻击,白领犯罪,成巨大商业损失,数字化能力的差距造成世界上不平等竞争,信息战阴影威胁数字化和平CNCERT,全称是国家计算机网络应急技术处理协调中心。
木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
一,重要联网信息系统安全(1)政府网站安全防护薄弱。
(2)金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标。
“网络钓鱼是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天”(3)工业控制系统安全面临严峻挑战。
三、公共网络环境安全(1)木马和僵尸网络依然对网络安全构成直接威胁。
(2)手机恶意代码日益泛滥引起社会关注。
(Symbian平台是手机恶意程序感染的重点对象)(3)软件漏洞是信息系统安全的重大隐患。
(4)DDoS攻击危害网络安全。
(DDoS)攻击呈现转嫁攻击3和大流量攻击的特点。
(5)我国垃圾邮件治理成效显著。
(6)互联网应用层服务的市场监管和用户隐私保护工作亟待加强。
1.2 信息安全:通俗定义:是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露。
学术定义:通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换、和存储的信息的机密性、完整性和真实性,并对信息的传播及内容有控制能力。
第一大题:名词解释(1-9为重点)1.隐秘信道:指允许进程以危害系统安全策略的方式传输信息的通信信道。
利用计算机系统中的未使用和保留的空间,利用计算机系统中的隐通道,利用密码协议中的阈下信道。
2.隐写术:把秘密消息隐藏于其他信息当中,其中消息的存在形式较为隐秘。
隐写术的目的是在不引起任何怀疑的情况下秘密传送消息,因此它的主要要求是不被检测到和大容量等。
3.数字水印:数字水印是指嵌在数字产品中的数字信号,可以是图像,文字,符号,数字等一切可以作为标识和标记的信息;其目的是进行版权保护、所有权证明、指纹(追踪发布多份拷贝)和完整性保护等。
4.数字指纹:每个水印都是一系列编码中唯一的一个编码,即水印中的信息可以唯一地确定每一个数字产品的拷贝,因此,称它们为指纹或标签。
5.脆弱水印:脆弱水印是一种在数字图像作品发生任何形式的改变时都无法检测出来的水印。
6.可见水印:电视屏幕左上角的电视台的台标是肉眼可以看见的水印,即可见水印。
7.嵌入域:指数字水印嵌入时载体的组织形式,一般有空间域和变换域。
8.盲隐藏:若在提取隐藏信息时不需要利用原始载体,则称为盲隐藏。
9.索引图像:是一种把像素值直接作为RGB 调色板下标的图像。
索引图像可把像素值“直接映射”为调色板数值。
10.数字内容:以数字形式存在的文本、图像、声音等信息,它可以存储在如光盘、硬盘等数字载体上,并通过网络等手段传播。
11.对称密钥加密:又叫专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。
12.公钥加密:又叫非对称密钥加密,用两个密钥:一个公共密钥和一个专用密钥。
用户要保障专用密钥的安全;公共密钥则可以发布出去。
用公钥加密的信息只能用专用密钥解密。
13.空域信息隐藏技术:指在图像、视频、音频等载体的空间域上进行信息隐藏。
通过直接改变宿主媒体的某些像素值(采样值)来嵌入数据。
14.变换域信息隐藏技术:信息隐藏过程是在变换域中进行的。
1.密码学的目的是 C 。
【】A.研究数据加密 B.研究数据解密C.研究数据保密 D.研究信息安全2.网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑 D 。
【】A. 用户的方便性B. 管理的复杂性C. 对现有系统的影响及对不同平台的支持D. 上面3项都是3破解双方通信获得明文是属于的技术。
【 A 】A. 密码分析还原B. 协议漏洞渗透C. 应用漏洞分析与渗透D. 攻击4窃听是一种攻击,攻击者将自己的系统插入到发送站和接收站之间。
截获是一种攻击,攻击者将自己的系统插入到发送站和接受站之间。
【 A 】A. 被动,无须,主动,必须B. 主动,必须,被动,无须C. 主动,无须,被动,必须D. 被动,必须,主动,无须5以下不是包过滤防火墙主要过滤的信息?【 D 】A. 源地址B. 目的地址C. 源端口和目的端口D. 时间6 是。
【 C 】A. B.C. D.7防火墙最主要被部署在 _位置。
【 C 】A.网络边界 B.骨干线路C.重要服务器 D.桌面终端8下列机制不属于应用层安全。
【 C 】A.数字签名 B.应用代理C.主机入侵检测 D.应用审计9 _最好地描述了数字证书。
【 A 】A.等同于在网络上证明个人和公司身份的身份证 B.浏览器的一标准特性,它使得黑客不能得知用户的身份C.网站要求用户使用用户名和密码登陆的安全机制 D.伴随在线交易证明购买的收据10下列不属于防火墙核心技术的是。
【 D 】A (静态/动态)包过滤技术B 技术C 应用代理技术D 日志审计11信息安全等级保护的5个级别中,是最高级别,属于关系到国计民生的最关键信息系统的保护。
【 B 】A 强制保护级B 专控保护级C 监督保护级D 指导保护级E 自主保护级12公钥密码基础设施解决了信息系统中的问题。
【】A 身份信任B 权限管理C 安全审计D 加密13计算机病毒是计算机系统中一类隐藏在上蓄意破坏的捣乱程序。
信息安全复习资料1. 身份鉴别是安全服务中的重要一环,1. 身份鉴别是授权控制的基础2. 目前一般采用基于对称密钥加密或公开密钥加密的方法3. 数字签名机制是实现身份鉴别的重要机制2. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是共享密钥认证3. 访问控制是指确定用户权限以及实施访问权限的过程。
4.对访问控制影响不大的是主体与客体的类型。
5. 为了简化管理,通常对访问者分类组织成组,以避免访问控制表过于庞大。
6. 一般而言,Internet防火墙建立在一个网络的内部网络与外部网络的交叉点。
7. 包过滤型防火墙原理上是基于网络层进行分析的技术。
8. 为了降低风险,不建议使用的Internet服务是FTP服务。
9. 对动态网络地址交换(NAT)1. 将很多内部地址映射到单个真实地址2. 最多可有64000个同时的动态NA T连接3. 每个连接使用一个端口10. VPN的加密手段为VPN内的各台主机对各自的信息进行相应的加密11. 将公司与外部供应商、客户及其他利益相关群体相连接的是外联网VPN。
12. PPTP、L2TP和L2F隧道协议属于第二层隧道协议。
13.TCP/IP不属于隧道协议。
14. SSL产生会话密钥的方式是由服务器产生并分配给客户机15. SSL、S-HTTP属于Web中使用的安全协议。
16. 传输层保护的网络采用的主要技术是建立在可靠的传输服务,安全套接字层SSL协议基础上的。
17. 密码学的目的是研究数据保密。
18. 假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于对称加密技术。
19. 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑1.用户的方便性2.管理的复杂性3.对现有系统的影响及对不同平台的支持20.A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB秘密),A方向B方发送数字签名M,对信息M加密为:M’= KB公开(KA秘密(M))。
第一大题:名词解释(1-9为重点)1.隐秘信道:指允许进程以危害系统安全策略的方式传输信息的通信信道。
利用计算机系统中的未使用和保留的空间,利用计算机系统中的隐通道,利用密码协议中的阈下信道。
2.隐写术:把秘密消息隐藏于其他信息当中,其中消息的存在形式较为隐秘。
隐写术的目的是在不引起任何怀疑的情况下秘密传送消息,因此它的主要要求是不被检测到和大容量等。
3.数字水印:数字水印是指嵌在数字产品中的数字信号,可以是图像,文字,符号,数字等一切可以作为标识和标记的信息;其目的是进行版权保护、所有权证明、指纹(追踪发布多份拷贝)和完整性保护等。
4.数字指纹:每个水印都是一系列编码中唯一的一个编码,即水印中的信息可以唯一地确定每一个数字产品的拷贝,因此,称它们为指纹或标签。
5.脆弱水印:脆弱水印是一种在数字图像作品发生任何形式的改变时都无法检测出来的水印。
6.可见水印:电视屏幕左上角的电视台的台标是肉眼可以看见的水印,即可见水印。
7.嵌入域:指数字水印嵌入时载体的组织形式,一般有空间域和变换域。
8.盲隐藏:若在提取隐藏信息时不需要利用原始载体,则称为盲隐藏。
9.索引图像:是一种把像素值直接作为RGB 调色板下标的图像。
索引图像可把像素值“直接映射”为调色板数值。
10.数字内容:以数字形式存在的文本、图像、声音等信息,它可以存储在如光盘、硬盘等数字载体上,并通过网络等手段传播。
11.对称密钥加密:又叫专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。
12.公钥加密:又叫非对称密钥加密,用两个密钥:一个公共密钥和一个专用密钥。
用户要保障专用密钥的安全;公共密钥则可以发布出去。
用公钥加密的信息只能用专用密钥解密。
13.空域信息隐藏技术:指在图像、视频、音频等载体的空间域上进行信息隐藏。
通过直接改变宿主媒体的某些像素值(采样值)来嵌入数据。
14.变换域信息隐藏技术:信息隐藏过程是在变换域中进行的。
借助信号进行正交变换后能量分布的特点,在变换域中进行信息隐藏,可以较好的解决不可感知性和稳健型的矛盾。
15.可逆数字水印:数字水印提取后,原宿主信息能无损恢复的数字水印方案被称为可逆数字水印。
16.LSB:即最不重要比特位。
基于LSB的数字水印算法就是将水印信息嵌入到图像每个像素的最后一位,对图像效果影响很小。
17.鲁棒性:指数字图像经过一些处理、数字图像数据发生一定程度的变化后,版权所有者仍然可以证明水印的存在。
第二大题简答题(1-3题为重点)1.数字图像有哪几种置乱算法,每一种算法有哪些特点?答:①Arnold变换:可以看作是裁剪和拼接的过程。
通过这一过程将离散化的数字图像矩阵中的点重新排列。
由于离散数字图像是有限点集,这种反复变换的结果,在开始阶段s中像素点的位置变化会出现相当程度的混乱,但由于动力系统固有的特性,在迭代进行到一定步数时会恢复到原来的位置,所以保密性不高。
②基于色彩空间的置乱加密技术是通过置乱原始图像象素的灰度值或色彩值,起到扰乱原图信息的目的。
比如基于灰度变换的置乱加密方法,其思想来源于数字图像处理中的灰度直方图变换。
③采用密码学加密算法对图像灰度进行变换,研究空间更广泛,算法运行时间较短。
人们意识到置乱加密技术不仅可以考虑将图像的像素位置置乱,像素灰度值也可以进行置乱处理,因此提出了准逆序置乱和准抖动置乱,这是针对数字图像灰度空间中两种变换的置乱加密。
在图像信息隐蔽存储与传输中具有重大的应用价值。
2.谈谈MD5和SHA-1的差异。
(如果考试要我们描述MD5和SHA-1算法,自由发挥想象力吧)答:MD5对输入以512位分组,其输出是4个32位字的级联,SHA-1对长度小于264的输入,产生长度为160bit 的散列值,因此抗穷举性比MD5更好。
SHA-1 设计时基于和MD4相同原理,并且模仿了该算法,SHA-1基于MD5,MD5又基于MD4。
综上所述,SHA-1和MD5最大的区别在于其摘要比MD5摘要长32比特。
对于强行攻击,SHA-1抗强行攻击的强度更大。
但由于SHA-1的循环步骤比MD5多且要处理的缓存大,SHA-1的运行速度比MD5慢。
3.数字水印方案算法,每个算法都有相应的特点(嵌入域、可逆和不可逆、可见与不可见和盲检测和非盲检测),考试时根据题目要求对号入座,建议先理解,考试时根据自己的理解写出来。
①基于LSB 的数字水印方案(空间域、不可逆、不可见和盲检测)嵌入步骤:(1)先把水印信息转化为二进制比特流I 。
(2)根据I 的长度生成密钥K ,并且严格保存。
密钥K 是对图像载体像素位置的一个映射。
(3)把I 中的每一位依次根据密钥K ,置换掉原始载体图像中相应位置的像素最后一位。
提取步骤:(1)根据严格保存的密钥K 遍历嵌入了水印的图像中的相应像素,提取出最后一位。
(2)将提取出来的每一位重新组合成水印信息。
②基于差分扩展的数字水印方案(变换域、可逆、不可见和盲检测)嵌入步骤:(1)将图像M 分成像素点对(x ,y ),将水印信息转化为二进制比特流,比特流的每一位用m 表示。
(2)根据水印信息比特流的长度随机生成信息的嵌入位置k 作为密钥信息严格保存。
(3)对图像M 计算均值l 和差值h :⎪⎩⎪⎨⎧-=+=yx h y x floor l )2((floor 表示向下取整)(4)将水印比特信息m 以差值扩展的方法嵌入到差值h 中:m h h +⨯='2(5)将得到的h '代入(3)中,得到新的图像像素对,形成嵌入秘密信息后的图像C 。
提取步骤:(1)将图像C 分成像素点对(x ,y ),读入密钥信息K 。
(2)将图像C 依旧按照嵌入步骤中的(3)式计算均值l 和差值h 。
(3)根据密钥k 找到相应位置,提取差值h 的最后一位比特信息m ,再将差值h 进行变换得到1>>='h h 。
(4)将提取到的比特信息m 进行组合可以恢复水印信息,将得到的h '代入嵌入步骤的(3)中计算新的图像像素对可以恢复原始图像载体M 。
③基于直方图修改的数字水印算法(空间域、可逆、不可见和盲检测)嵌入步骤:(1)找到直方图的零点z 和峰值点p ,将z v p <<的像素值v 自加1。
(2)漂移后的直方图v=p 处即为嵌入水印的位置,将水印信息转化为二进制流 并记为k ,按顺序嵌入,即k v v +=';(3)得到的由像素值v '组成的图像就是嵌入秘密信息后的图像。
同时p 、z 以密钥的形式保存。
提取步骤:(1)读取密钥,得到p 、z 的值。
(2)遍历图像的每个像素,当像素v=p 时,提取信息0并保持数据不变;当v=p+1时,提取信息1并将数据减1。
(3)当v<p 或v>z 时,数据保持不变;当p-1<v<z 时,数据自减1。
(4)提取到的比特信息可以组合成水印信息,重新计算像素后的图像即为原始载体图像。
④基于Hear 小波变换矩阵的数字水印算法(变换域、可逆、不可见和盲检测)嵌入算法:a.首先将原始图像C 进行一次Hear 小波变换,得到四块区域:LL 、LH 、HL 、HH 。
b.针对变换域中的高频区域,即LH 、HL 、HH 区域,采用直方图修改的方法, 计算高频区域数据的直方图。
c.找到直方图的零点z 和峰值点p ,并重新扫描高频区域的数据v ,将z v p <<的系数值自加1。
d.漂移后的直方图v=p 处即为嵌入水印的位置,将水印图像转化为二进制流 并记为k ,按顺序嵌入,即k v v +=';e.将嵌入了水印的变换域数据矩阵进行Hear 小波逆变换,并将z 和p 作为密 钥严格保存下来。
提取算法:a.读取密钥,得到p 、z 。
b.将嵌入了水印的图像进行Hear 小波变换。
c.一次遍历变换域中的高频部分,当v=p 时,提取信息0并保持数据不变;当v=p+1时,提取信息1并将数据减1。
d.当v<p 或v>z 时,数据保持不变;当p-1<v<z 时,数据自减1。
e.按照c 和d 遍历完整个变换域中的高频部分,水印信息就被解析出来。
f.将最后的变换域数据矩阵进行Hear 小波逆变换即能恢复出原始图像。
⑤基于DCT 变换域的数字水印算法(变换域、不可逆、不可见和非盲检测)水印嵌入:⑴首先将原始图像C 进行离散余弦变换得到变换域系数矩阵C '。
⑵在变换域系数矩阵中的中频段随机选出一些系数,进行如下操作:i m j i x j i x α+='),(),( 其中:),(j i x 为DCT 系数 i m 为第i 个秘密信息比特α为可调强度),(j i x '为隐藏秘密后的DCT 系数 ⑶将隐藏秘密后的DCT 系数矩阵进行DCT 逆变换,水印已经嵌入。
水印提取:⑴将原始图像和嵌入了水印的图像进行DCT 变换,分别得到DCT 系数矩阵A 和B 。
⑵依次遍历两个矩阵,将系数不相等的地方进行B-A 操作还原出秘密信息片 段。
⑶将所有还原的秘密信息片段连接起来,即可还原出水印信息。
⑥基于二值水印图像的可见数字水印盲检测算法(空间域、不可逆、可见和盲检测)水印嵌入:⑴加载水印图像和原始载体图像,分析二值水印图像,确定黑还是白是需要嵌入的水印颜色。
⑵获取水印图像长宽a和b以及嵌入初始位置坐标(x,y)和强度因子c。
⑶利用置换原理将水印图像的像素乘上强度因子c置换掉载体图像中以(x,y)为初始位置的长宽都等于水印图像的区域块,注意只对水印图像中确定的需要嵌入的颜色进行操作,并严格保存x,y,a,b和c作为密钥信息。
水印提取:⑴读入密钥信息。
⑵利用x和y定位到载体图像具体的位置,根据长宽分别为a和b以及强度因子c分离出水印。
这种方式无法恢复原始图像。
⑦基于二值水印图像的可见数字水印非盲检测算法(空间域、不可逆、可见和非盲检测)水印嵌入:⑴加载水印图像和原始载体图像,分析二值水印图像,确定黑还是白是需要嵌入的水印颜色。
⑵获取水印图像长宽a和b以及嵌入初始位置坐标(x,y)和强度因子c。
⑶利用置换原理将水印图像的像素乘上强度因子c置换掉载体图像中以(x,y)为初始位置的长宽都等于水印图像的区域块,注意只对水印图像中确定的需要嵌入的颜色进行操作.水印提取:⑴载入原始载体图像A和嵌入了水印的图像B。
⑵同时遍历两个图像的像素信息,如果遇到不同的像素位置,即可按顺序记录下B图中的像素信息。
⑶最后将记录的像素信息组合在一起,即可提取出水印图像。
4.信息隐藏按照保护对象分为几类?它们各自的侧重点是什么?答:主要分为隐写术和水印技术。
(1)隐写术的目的是在不引起任何怀疑的情况下秘密传送信息,因此他的主要要求是不被检测到和大容量等;(2)数字水印是指嵌在数字产品中的数字信号,可以说图像,文字,符号,数字等一切可以作为标识和标记的信息,其目的是进行版权保护,所有权证明,指纹(追踪发布多份拷贝)和完整性保护等,因此他的要求是鲁棒性和不可感知性等。
