网络信息安全复习重点整理版
- 格式:doc
- 大小:35.50 KB
- 文档页数:5
网络信息安全复习重点名词解释:非对称加密───是一种密码系统形式,这种密码系统在加密和解密的时候使用两个不同的密钥,一个称为公钥,另一个称为私钥。
这种加密也叫做公钥加密。
认证───是指用于验证一个系统实体声称其具有的身份或其他系统为此系统提供身份的过程。
分组加密───是一种对称加密算法,在这种算法中,明文(通常是64比特或128比特)被整体转换为相同长度的密文分组。
数字签名───是一种认证机制,它使得消息的创建者在消息上附加一个码来作为签名。
签名是通过使用消息的散列值以及用创建者的私钥加密消息形成的。
这个签名保证了消息的来源和完整性散列函数───是一种函数,它将可变长度的数据块或消息映射成固定长度的函数值(称为散列码)。
这种函数的设计方法要满足以下条件:如果对散列函数进行保护,那么它就能为数据或者消息提供一个验证码。
也称为消息摘要。
蜜罐───一个用于引诱潜在攻击者绕开关键系统的欺骗性系统,是一种入侵检测系统。
入侵检测───指用于检测对主机系统的非授权访问的自动化工具集。
公钥/私钥───私钥:是指在非对称加密系统中使用的两个密钥中的一个。
在保密通信中,只有它的创建者才知道这个私钥。
公钥:是指在非对称加密系统中使用的两个密钥中的一个。
公钥是公开的,与相应的私钥一起使用。
公钥证书───由公钥及公钥拥有者的用户ID组成,并由第三方签署整体内容。
一般来说,第三方是被用户团体的信任的认证中心(CA),例如政府代表处或金融机构。
公钥基础设施(PKI)───之一系列用来产生、管理、存储、分发和撤销基于非对称密码数字证书所需的硬件、软件、人力资源、政策和程序的总和。
重放攻击───是一种攻击,由另一个“复制的请求”伪造的已授权并已完成的服务,试图重复授权命令。
RSA算法───是基于模运算中的乘幂运算的公钥加密算法。
这种算法是公钥加密算法中唯一被公认的可行和安全的算法。
流密码───是指一种对称加密算法。
在这种算法中,由明文输入流按照逐比特或逐字节的方式产生密文输出。
对称加密───是密码系统的一种形式,它使用同一个密钥执行加密和解密。
也称为传统加密。
蠕虫───指一种可以复制自身并可以通过互联网传播其副本的程序。
一旦到达目的计算机,蠕虫得以激活并继续进行复制和传播。
除传播之外,蠕虫通常还执行一些有害的功能。
概念和论述:1、安全攻击的分类,攻击原理,安全服务的的分类,安全机制的分类,安全服务的基本任务;分类:被动攻击:消息内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务攻击原理:被动攻击的本质是窃听或监视数据传输。
攻击者的目标是获取传输的数据信息。
(P7图1.3 )。
主动攻击包含数据流的改写和错误数据流的添加。
(P8图1.4)安全服务的分类:认证,访问控制,数据机密性,数据完成性,不可抵赖性安全机制的分类:特定安全机制——加密,数字签名,访问控制,数据完整性认证交换,流量填充,路由控制,公证。
普适的安全机制——可信功能,安全标签,事件检测,安全审计跟踪,安全恢复安全服务的基本任务:确保系统或数据传输足够安全2、对称加密的算法种类(主要),分组加密原理,分组长度,密钥长度,迭代次数,流密码原理;对称加密的算法种类:DES 三重DES AESDES 明文长度64比特密文长度56 比特,原始56比特密钥,每轮编码时密钥长度48比特,一共16组子密钥。
16次迭代,每次迭代采用一个子密钥。
3DES 有效密钥长度168比特。
AES 分组大小128比特密钥长度128或 192或 256 比特(可选)。
流密码原理分组密码每次处理一个输入元素分组,并为每个输入分组产生一个输出分组。
流密码连续处理输入元素,在运行过程中,一次产生一个输出元素。
3、HMAC、SHA-1、MD5散列函数的特征、原理、摘要长度,公钥加密原理、应用及主要两种算法;为满足在消息认证中心的应用,散列函数H必须具有下列性质1 H可使用于任意长度的数据块2 H能生成固定长度的输出3 对于任意长度的x,计算H(x)相对容易,并且可以用软/硬件方式实现4对于任意给定值h,找到满足H(x)=h的x在计算机上不可行。
5对于任意给定的数据块x,找到满足H(y)=H(x),的y=!x在计算机上是不可行的。
6找到满足H(x)=H(y)的任意一对(x,y)在计算机上是不可行的。
SHA-1 摘要长度160比特MD5 摘要长度128比特抗分析能力很脆弱。
公钥加密:与传统加密同等重要,还可以用来进行消息认证和密钥分发。
公钥系统的特征就是使用具有两个密钥的加密算法,其中一个密钥为私人所有,另一个密钥公共可用。
加密/解密、数字签名、密钥交换。
主要两种算法:RSA和Diffie-Hellman。
4、Kerberos V4的票据传输原理,认证流程,加密方法,X.509加密方法公钥证书的使用;AS创建一个票据,这个票据包含用户ID、用户网络地址和服务器ID。
这个票据用AS和服务器共享的秘密密钥进行加密,使用户或攻击者无法篡改。
从而完成服务器与客户端的身份确定。
(1)客户端代表用户请求票据授权票据。
(2) AS返回一个由用户口令生成的密钥加密过的票据。
(3)客户端代表用户请求一个服务授权票据。
(4)TGS对到来的票据进行解密,并通过ID来验证解密是否成功。
(5)客户端代表用户请求访问一个服务。
X.509 公钥证书的使用 P93 图 4.35-了解PGP技术和S/MIME技术原理,STMP的局限性,BSAE-64的转换法;PGP可以在电子邮件和文件存储应用中提供保密和认证服务P110 图5.1S/MIME是基于RSA数据安全性,对互联网电子邮件格式标准MIME的安全性增强。
S/MIME侧重于适合商业和团体使用的工业标准。
STMP的局限性:(P122)(1)STMP不能传输可执行文件或其他二进制对象。
(2)SMTP不能传递包括国际语言字符的文本数据。
(3)SMTP服务器可能拒绝超过一定大小的邮件信息。
(4)SMTP忘光在ASCII码和EBCDIC码之间转换时没有使用一致的映射。
(5)通往X.400电子邮件网络的STMP网关不能处理办好在X.400消息中的非文本数据。
(6)一些SMTP的实现与RFC 821 中定义的SMTP标准不完全一致。
BASE-64转换法。
(P137)6、IPSec的AH协议和ESP协议的工作原理,安全关联SA的作用,隧道模式与传输模式的原理和区别;安全关联:同一个流量可能需要多个SA才能获得想要的IPSec服务。
在这些SA上必须处理流量来提供一组期望的IPSec服务传输模式:主要为上层协议提供保护。
传输模式下的ESP加密和认证(认证可选)IP载荷,但不包括IP报头。
传输模式下AH认证IP载荷和IP报头的选中部分。
隧道模式:对整个IP包提供保护。
隧道模式下的ESP机密和认证(认证可选)包括内部IP 报头的整个内部IP包。
隧道模式下的AH认证整个内部IP包和外部IP报头被选择的部分。
(P148)7、Web收到的威胁,SSL体系结构,SSL握手协议过程,SET特性和参与者、双重签名;分类法1:主动攻击和被动攻击。
分类法2(地域):Web服务器,浏览器、浏览器和服务器之间的流量。
S SL使用TCP提供一种可靠的端对端的安全服务。
(P178 图7.2 SSL协议栈)(P184 图7.6握手协议过程。
)握手协议过程4个阶段:(1)客户端发起建立连接请求(2)服务器认证和密钥交换(3)客户端认证和密钥交换(4)完成。
SET特性:信息的机密性、数据的完整性、持卡者账户认证、商家认证。
参与者:持卡者、商家、发卡机构、代理商、支付网关、认证机构。
双重签名:目的是要把发给两个不同的接受者的两条消息连接起来。
步骤:(1)商家收到OI(订单信息)并验证签名;(2)银行收到PI(支付信息)并验证签名;(3)消费者把OI和PI联系起来并能够证明这种联系。
(P197)8、SNMP V1版本的特性,V2版本的特性,两者的区别,SNMP模型的4个元素组成,4元素的作用;SNMP V1 所有代理和管理站都必须支持UDP和IP等协议。
SNMP V2 还允许使用TCP/IP协议簇之外的其他协议。
SNMP(Simple Network Management Protocol)简单网络管理协议SNMP中的网络管理模型4要素:管理站、管理代理、管理信息库、网络管理协议。
管理站:充当网络管理器和网络管理系统直接的接口角色。
管理代理:负责应答管理站发出的信息请求和操作请求,也可以将重要的信息以异步方式主动提供给管理站。
管理信息库:MIB的功能是作为管理站在代理上的访问点集合。
网络管理协议:管理站和代理通过网络管理协议互联。
9、入侵者的分类,入侵检测的两种主要方法:原理、区别、优缺点,口令选择策略;“盐”的概念作用入侵者的分类:假冒用户、违法用户、隐密用户。
入侵检测的两种主要方法:统计异常检测:a 阈值检测b基于行为曲线基于规则的检查:a异常检查b 渗透检测统计方法用来定义普通的或者期望的行为,而基于规则的方法则致力于定义正确的行为。
统计异常检测不能用来有效的检测违规用户。
口令选择策略:防止口令猜测4种技术:用户教育,由计算机生成口令、后验口令检验、先验口令检验盐:12比特随机数。
修改基于DES算法的加密程序。
用来对抗多种口令破译攻击方法。
10、恶意软件的分类、种类,病毒的生命周期,蠕虫的额概念,GD的组成和作用;恶意软件分为两类:一类需要驻留在宿主程序中,而另一类独立于宿主程序。
前一类软件有病毒、逻辑炸弹、后门等。
后一类软件有:蠕虫僵尸等。
病毒的生命周期:睡眠阶段:在这个阶段中病毒不执行任何操作,而是等待被某些事激活。
传播阶段:病毒将与其自身完全相同的副本植入其他程序或磁盘的某些系统区域。
触发阶段:病毒在这一阶段被激活以执行其预先设计的功能。
执行阶段:实现其预期的功能。
蠕虫是可以自行复制,并通过网络连接将病毒副本从一台计算机发送到其他计算机中的程序。
GD技术使得反病毒软件能够在保证足够快的扫描速度的同时,也能够轻松的检测到最为复杂的病毒变种。
GD扫描器包含:CPU仿真器、病毒特征码扫描器、仿真控制模块。
11、防火墙的概念、四种机制、局限性、类型,包过滤的内容,堡垒主机,3种防火墙配置;放火墙是一种用于保护本地系统或者系统网络不受基于网络的安全威胁的有效方法,同时支持通过广域网和互联网访问外部世界。
四种机制:服务控制、方向控制、用户控制、行为控制。
局限性:防火墙不能组织那些绕开防火墙的攻击;不能组织内部威胁;不能阻止感染病毒的程序或文件的传递。
类型:包过滤器、应用级网关、电路级网关。
包过滤路由器对每个接受和发送的IP包应用一些规则,然后觉得转发或者丢弃此包。
过滤规则基于网络包中包含的信息:源IP地址,目的IP地址,源端和目的端传输层地址(端口号)、IP协议域、接口。