网工考试考点(二)六、网络安全1、网络安全威胁的类型窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用、陷门和特洛尹木马、病毒、诽谤2、安全措施的目标访问控制:控制会话权限。
认证:确保对话双方的资源同他声称的相一致。
完整性:发送与接收一致审计:不可抵赖性保密:不被窃听3、基本安全技术数据加密数字签名身份认证防火墙入侵检测4、数据加密经典密码技术替换加密技术substitution换位加密技术transposition一次性填充技术one-time pad5、现代加密技术现代加密体制使用的基本方法仍然是替换和换位法,采用复杂的加密算法和简单的密钥。
另:增强了对付主动攻击的手段,加入随机冗余,以防止制造假消息;加入时间控制信息,以防止旧消息重放。
6、对称密码体制(1)DES算法(2)IDEA算法:明文64位,128位密钥。
(3)3DES算法:使用3个密钥并执行3次DES算法,密钥112位。
(4)AES算法:以Rijndael算法为候选,密钥长度:128、192、256位。
(5)流加密算法:R2-R6系列7、DES(Data Encryption Standard)DES密码是一种数据加密标准,1977年正式公布,非机密数据加密。
64位密钥:有效长为56位、另8位为奇偶校验位。
64位明文:将输入的明文分成若干64位的数据组块。
8、公开密钥算法即非对称加密算法公开密钥算法,加密与解密使用不同的密钥;(1)加密密钥:用于数据加密,且是公开的。
也称公开密钥(Public Key);(2)解密密钥:用于数据解密,是不公开的。
也称私人密钥(Private Key)。
(3)公钥加密,私钥解密,可实现保密通信。
(4)私钥加密,公钥解密,可实现数字签名。
9、RSA算法的安全性基于大素数分解计算的复杂性原理。
其公钥和私钥是一对大素数的函数,从一个公钥和密文恢复出明文的难度等价于分解两个大素数的乘积。
10、认证分为实体认证和消息认证(1)实体认证:通信双方的身份,即数字签名(2)消息认证:消息是否被篡改,即报文摘要三种认证方式:(1)基于共享密钥的认证(2)Needham-Schroeder认证协议(3)基于公钥的认证11、基于共享密钥的认证KDC是双方信任的密钥分发中心(Key Distribution Center)。
可能会受到报文重放的攻击。
12、Needham-Schroeder认证协议这是一种多次提问—响应协议,可以对付重放攻击,每次会话都有一个新的随机数在起作用。
Ks是KDC指定的会话密钥,K A是KDC与A的共享密钥,K B是KDC与B的共享密钥。
R A、R A2、R B是随机数,用于防止重放攻击。
13、基于公钥的认证基于公钥的认证协议14、数字签名A 向B 发送数字签名要达到的目的 (1)B 可以验证消息P 确实来源于A (2)A 以后不能否认发送过P (3)B 不能编造或修改消息P15、基于密钥的数字签名基于共享密钥的数字签名16、基于公钥的数字签名基于公钥的数字签名E B (D A (P))D A (P)D A (P)17、报文摘要(1)报文摘要是原报文唯一的压缩表示,代表了原来报文的特征,也叫数字指纹(Digital fingerprint )。
报文摘要通常用单向散列算法H(M)求得。
(2)报文摘要可加速数据签名。
18、常用报文摘要的算法(1)报文摘要算法MD5:128位报文摘要 (2)安全散列算法SHA-1:160位报文摘要 (3)散列式报文认证码HMAC19、MD5算法MD5算法以一个任意长度的信息作为输入,并输出一个128位的报文摘要信息。
MD5算法的安全性(1)如果采用野蛮攻击,寻找具给定Hash值的报文的计算机复杂性是2128。
(2)采用生日攻击法,寻找有相同hash的值的两个报文的计算复杂性为264。
20、安全散列算法(The Secure Hash Algorithm,SHA)输入报文小于264位,输出160位摘要。
安全散列算法由美国国家标准和技术协会于1993年提出,SHA-1是1994年修订版。
比MD5慢,但是报文摘要更长,更适合对抗野蛮攻击21、散列报文认证码HMAC散列报文认证码HMAC是利用对称密钥生成报文认证码的散列算法。
KopadHHK=⊕KtextHMAC⊕(ipad),,(text(,)注:H可使用MD5或SHA-1算法,K是双方共享密钥,text是报文。
共享的密钥可提供数据源认证;报文摘要提供了数据完整性。
22、什么是数字证书数字证书是用户在网上进行信息交流及商务活动的身份证明,通过验证数字证书来解决相互间的信任问题。
数字证书采用公钥体制:私钥用于解密和签名;公钥用于身份验证和加密23、可信的证书发放机构(CA)签署数字证书用户的数字证书由可信的证书发放机构(Certification Authority,CA)签署,并由CA或用户将其放入公共目录中,以供其它用户访问。
所谓签署数字证书即是用CA的私钥对用户的公钥进行加密,因此CA为用户产生的证书有以下特性:(1)只要得到CA的公钥,就能由此得由CA为用户签署的公钥。
(2)除CA外,其他任何人员都不能以不被察觉的方式修改证书的内容。
因为证书是不可伪造的,因此无需为存放证书的目录施加特别的保护。
24、多个CA间的相互认证问题两个证书发放机构X1和X2彼此间要安全地交换公开密钥,然后,相互用自己的私钥签署对方公钥的认证。
例如:A在X1处签署数字证书,B在X2处签署了数字证书。
A取得B的数字证书后,还要获取X1签置的X2的数据证书,这样通过证书链X1《X2》X2《B》可以验证B的数字证书。
25、证书的吊销证书的吊销原因有三:用户的私钥泄漏、用户不再由该CA来认证、CA为该用户签署证书的私钥已泄漏每个CA还必须维护一个证书吊销的列表(Certificate Revocation List, CRL),每个用户在收到他人消息中的证书时,都必须通过目录检查这一证书是否已经被吊销。
26、密钥管理处理密钥自产生到最终销毁的整个过程,包括系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁。
密钥管理是信息安全的核心技术之一。
27、对密钥的威胁(1)私钥的泄露(2)私钥或公钥的真实性丧失(3)私钥或公钥未经授权使用,如使用失效的密钥或违例使用密钥28、密钥管理体制美国信息保障技术框架(Information Assurane Technical Framework, IA TF)中定义的密钥管理体制主要有3种:(1)KMI(Key Management Infrastructure)体制:适用于封闭网的技术,以传统的密钥分发中心为代表。
(2)PKI(Public Key Infrastructure)机制:适用于开放网络(3)SPK机制:适用于规模化的专用网的技术29、PKIPKI解决了不依赖秘密信道进行密钥管理的重大课题。
1991年,PGP首先提出“Web of Trust”信任模型和密钥由个人产生的思路,避开了私钥的传递,从而避开了秘密通道,推动了PKI 技术的发展。
30、PKI与KMI的比较(1)KMI具有很好的封闭性;PKI则具有很好的扩展性(2)实际应用中,KMI主内、PKI主外:与外界没有联系的封闭系统,仅有KMI就可与外界有联系的专用网,要同时具备两个密钥管理体制。
开放网业务,完全可用PKI技术处理。
31、实现VPN的关键技术1、隧道技术(Tunneling)2、加解密技术(Encryption & Decryption)3、密钥管理技术(Key Management)4、身份认证技术(Authentication)32、VPN的解决方案(1)内联网VPN(Intranet VPN):地域分布的公司分支机构通过Internet建立Intranet VPN (2)外联网VPN(Extranet VPN):企业与客户、供应商和其他团体之间的互联互通。
一般用于实现B2B之间的安全访问服务。
(3)远程接入VPN(Access VPN):远程用户访问内部网络。
33、第二层隧道技术VPN可以通过第二层隧道协议实现(如PPTP和L2TP),把数据封装在点对点协议PPP的帧中在互联网上传输。
34、PPP的组成(1)封装协议:用于包装上层数据报。
(2)链路控制协议LCP(Link Control Protocol):用于组建、配置和管理数据链路连接。
(3)网络控制协议NCP(Network Control Protocol):在PPP链路建立过程中的最后阶段,选择承载的网络层协议,如IP、IPX或AppleTalk等。
35、PPP协议的用户认证过程用户认证过程常用两种认证协议PAP和CHAP(1)PAP口令认证协议:简单的明文认证方式。
(2)CHAP挑战握手协议:安全性好Challenge=会话ID, 挑战字符串Response=MD5(会话ID, 挑战字符串,用户Password), 用户名Chap认证过程36、PPTP点对点隧道协议(Point to Point T unneling Protocol)PPTP是定义在第2层的隧道协议PPTP使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。
37、PPTP的两种逻辑设备PAC:是PPTP接入集中器(PPTP Access Concentrator)。
PNS:是PPTP网络服务器(PPTP Network Server),是建立在通用服务器上的PPTP服务器,运行TCP/IP协议。
帧头IP头负载帧头IP头GRF头PPP桩负载帧头IP头负载RRAS---Routing and Remote Access Server 即是PAC,PNS在一对PAC和PNS之间必须建立两条并行的PPTP连接(1)一条是运行在TCP协议之上的控制连接(2)一条是传输PPP协议数据单元的IP隧道38、L2TP第二层隧道协议(Layer 2 T unneling Protocol)第2层隧道协议L2TP,L2TP是把数据链路层PPP帧封装在公共网络设施如IP、A TM、帧中继中进行隧道传输的封装协议。
39、L2TP的两种逻辑设备:(1)LAC(L2TP Access Concentrator):L2TP访问集中器,用于发起呼叫,接收呼叫和建立隧道;(2)LNS(L2TP Network Sever):L2TP网络服务器,LNS是所有隧道的终点。
40、PPTP和L2TP的比较(1)PPTP要求IP网络,L2TP只要求隧道提供面向数据包的点对点的连接。
(2)PPTP只能在两端点上建立单一隧道,L2TP支持在两端点间使用多个隧道。
![网络工程师考试知识点[必考知识点]](https://img.taocdn.com/s1/m/aa892f5c05087632311212d5.png)
