網(wǎng)絡(luò)信息安全知識(shí)點(diǎn)

第一章 第一章 一 計(jì)算機(jī)系統(tǒng)的安全目標(biāo) 安全性 可用性 完整性 保密性 所有權(quán) 二 橘皮書標(biāo)準(zhǔn)將計(jì)算機(jī)系統(tǒng)安全性分為七類 D C1 C2 B1 B2 B3 A1 A1 為最高等級 三 安全威脅分為四類 阻斷 攔截 篡改 偽造 阻斷 篡改 攔截屬于主動(dòng)攻擊 攔截屬于被動(dòng) 攻擊 第二章 第二章 一 數(shù)據(jù)加密 加密系統(tǒng)由哪些元素構(gòu)成 相互之間關(guān)系 一 數(shù)據(jù)加密 加密系統(tǒng)由哪些元素構(gòu)成 相互之間關(guān)系 一個(gè)加密系統(tǒng)采用的基本工作方式成為密碼體制 密碼體制的基本要素是密碼算法和密鑰 一個(gè)加密系統(tǒng)可以用數(shù)字符號(hào)描述如下 S P C K E D P 為明文空間 C 為密文空間 K 是密鑰空間 E 是加密算法 D 是解密算法 其中其中 Dk Ek 1Dk Ek 1 Ek Dk 1 Ek Dk 1 C Ek P P Dk C Dk Ek P 二 加密的基本方法二 加密的基本方法 變位法 替換法 三 密碼體制可分為對稱密碼體制和非對稱密碼體制 三 密碼體制可分為對稱密碼體制和非對稱密碼體制 對稱密碼體制缺點(diǎn) 密鑰使用一段時(shí)間后需要更換 但密鑰的傳遞需要可靠通道 密鑰空間難以管理 無法滿足互不相識(shí)的人之間私密談話的保密性要求 對稱密鑰至少兩人共享 不帶有個(gè)人的特征 因此難以解決對數(shù)據(jù)的簽名驗(yàn)證問題 對稱密碼體制 youdian 計(jì)算開銷小 算法簡單 加密速度快 是目前用于信息加密的主要算法 非對稱密碼體制優(yōu)點(diǎn) 密鑰分發(fā)簡單 可通過一般的通信環(huán)境 需要秘密保存的密碼量大大減少 N 個(gè)人只需要 N 個(gè) 可以滿足互不相識(shí)的人之間私密談話的保密性要求 可以完成數(shù)字簽名 非對稱密碼體制缺點(diǎn) 加密算法復(fù)雜 加解密速度慢 四 一般的 總可以通過遍歷密鑰所有的值的可能方法來發(fā)現(xiàn)密鑰 這成為四 一般的 總可以通過遍歷密鑰所有的值的可能方法來發(fā)現(xiàn)密鑰 這成為暴力破解暴力破解 也 也 成為估計(jì)密碼算法保密強(qiáng)度的一個(gè)基本測度 成為估計(jì)密碼算法保密強(qiáng)度的一個(gè)基本測度 五 分組密碼體制的設(shè)計(jì)要求 五 分組密碼體制的設(shè)計(jì)要求 分組長度要足夠大 以防止通過收集不同的密文明文來進(jìn)行窮舉明文空間的攻擊 密鑰量要足夠大 以防止窮舉密鑰空間的攻擊 密碼算法應(yīng)該足夠復(fù)雜 加密解密算法簡單 易于軟件實(shí)現(xiàn) 便于分析 分組密碼體制的基本方法 替換 變位 六 六 DES DES 是 56 位的密鑰 對 64 位的明文加密 DES 算法的基本原理 進(jìn)行 16 輪加密循環(huán) 多重 DES 分為三重 DES 和三密鑰 DES 三重 DES 使用兩個(gè) DES 密鑰 有效長度為 112 比特 三密鑰 DES 使用三個(gè)密鑰 有效長度為 168 比特 AES 高級數(shù)據(jù)加密 AES 為分組密碼算法 分組長度和密鑰長度彼此獨(dú)立地為 128 192 或 256 比特 七 什么是大數(shù)據(jù)加密 七 什么是大數(shù)據(jù)加密 在實(shí)際使用中 被加密的數(shù)據(jù)往往不可能僅用一個(gè)分組就能表示 需要分成多個(gè)分組進(jìn)行操作 這時(shí)對 于整個(gè)密文而言 不僅要保持各分組內(nèi)容的完整 還要保持各分組的次序不變 這就是大數(shù)據(jù)加密問題 因此數(shù)據(jù)加密算法的實(shí)現(xiàn)不僅要包括加密算法本身 還需帶有某種大數(shù)據(jù)加密機(jī)制 否則無法實(shí)用 三種方式 ECB CBC OFB 八 公鑰密碼體制主要有三類 八 公鑰密碼體制主要有三類 一類 基于大整數(shù)因子分解問題 如 RSA 二類 基于有限域離散對數(shù)問題的 三類 基于有限域橢圓曲線離散對數(shù)問題 第三章第三章 一 層次化密鑰管理 一 層次化密鑰管理 最高層為主密鑰 第二層為會(huì)話密鑰 第三層為數(shù)據(jù) 最高層為主密鑰 它是構(gòu)成整個(gè)密鑰管理系統(tǒng)的核心 在多層密鑰管理系統(tǒng)中 通常下一層的密鑰由上 一層按照某種密鑰協(xié)議來生成 因此掌握了主密鑰 就有可能找到下層的各個(gè)密鑰 第二層為會(huì)話密鑰 又成為工作密鑰 建立會(huì)話密鑰的必要性 密鑰重復(fù)使用容易導(dǎo)致泄漏 因此應(yīng)經(jīng)常更換 若使用相同的密鑰 攻擊者可將以前截獲的信息插入當(dāng)前的會(huì)話 而通信雙方不一定能發(fā)現(xiàn) 密鑰一旦被破譯 則使用這一密鑰加密的信息都會(huì)失密 若使用會(huì)話密鑰 則只有當(dāng)前會(huì)話的信息 失密 如果對方不可靠 則更換會(huì)話密鑰可防止對方以后竊取信息 所以使用多層密鑰體制大大增強(qiáng)了密碼系統(tǒng)的安全性 二 二 KDC 在密鑰分配過程中充當(dāng)何種角色 在密鑰分配過程中充當(dāng)何種角色 KDC 在密鑰分配過程中充當(dāng)可信任的第三方 KDC 保存有每個(gè)用戶和 KDC 之間共享的唯一密鑰 以便 進(jìn)行分配 在密鑰分配過程中 KDC 按照需要生成各對端用戶之間的會(huì)話密鑰 并由用戶和 KDC 共享的 密鑰進(jìn)行加密 通過安全協(xié)議將會(huì)話密鑰安全地傳送給需要進(jìn)行通信的雙方 第四章第四章 一 信息摘錄定義一 信息摘錄定義 對數(shù)據(jù)完整性保護(hù)的最基本思路是在綜合相關(guān)因素的基礎(chǔ)上為每個(gè)需要保護(hù)的信息 M 生成一個(gè)唯一的 附加信息 成為信息摘錄 它是使用單向的哈希函數(shù)來計(jì)算信息摘錄 目的 保護(hù)數(shù)據(jù)不被非法修改 三種算法 MD SHA HMAC 二 數(shù)字簽名 二 數(shù)字簽名 數(shù)字簽名的原理 看書吧 我不曉得怎么寫 P116 到 117 頁 特殊簽名技術(shù) 盲簽名 代理簽名 群簽名 盲簽名的目的 保護(hù)簽名持有者的匿名性 三 信息隱藏技術(shù)的五個(gè)特性 三 信息隱藏技術(shù)的五個(gè)特性 魯棒性 不可檢測性 透明性 安全性 自恢復(fù)性 數(shù)字水印技術(shù)的特性 數(shù)字水印技術(shù)的特性 可證明性 不可感知性 魯棒性 四 信息隱藏和數(shù)據(jù)加密的主要區(qū)別是什么 四 信息隱藏和數(shù)據(jù)加密的主要區(qū)別是什么 答 區(qū)別 目標(biāo)不同 加密僅僅隱藏了信息的內(nèi)容 信息隱藏既隱藏了信息內(nèi)容 還掩蓋了信息的存在 實(shí)現(xiàn)方式不同 加密依靠數(shù)學(xué)運(yùn)算 而信息隱藏充分運(yùn)用載體的冗余空間 應(yīng)用場合不同 加密只關(guān)注加密內(nèi)容的安全 而信息隱藏還關(guān)注載體與隱藏信息的關(guān)系 聯(lián)系 理論上相互借用 應(yīng)用上互補(bǔ) 信息先加密 再隱藏 第五章第五章 一 鑒別服個(gè)務(wù)的對象主要是報(bào)名鑒別 身份鑒別 一 鑒別服個(gè)務(wù)的對象主要是報(bào)名鑒別 身份鑒別 報(bào)文鑒別的三個(gè)方法 哈希函數(shù) CRC 校驗(yàn) CBC 方式 二 單向鑒別雙向鑒別 二 單向鑒別雙向鑒別 單向鑒別是指通信雙方只有一方鑒別另一方 在單向身份鑒別中 一個(gè)實(shí)體充當(dāng)聲稱者 一個(gè)實(shí)體充當(dāng) 驗(yàn)證者 雙向鑒別是指通信雙方互相鑒別 實(shí)體雙方同時(shí)充當(dāng)聲稱者和驗(yàn)證者 雙向鑒別可在兩個(gè)方向上使用相 同或不同的鑒別機(jī)制 三 零知識(shí)證明 三 零知識(shí)證明 示證者在證明自己身份時(shí) 不泄露自己任何信息 驗(yàn)證者得不到示證者的任何私有信息 但又能有效證 明對方身份的一種方法 四 口令管理 四 口令管理 人工 系統(tǒng) 加鹽 具體請看 P147 頁 五 五 KDC 的工作原理的工作原理 看 P153 頁的圖 5 7 圖 5 8 的 KDC 加入了鑒別 六 公平數(shù)據(jù)服務(wù) 時(shí)標(biāo)服務(wù) 信息承諾 六 公平數(shù)據(jù)服務(wù) 時(shí)標(biāo)服務(wù) 信息承諾 七 匿名通信的三種方法 廣播方法 匿名鏈方法 洋蔥路由方法 七 匿名通信的三種方法 廣播方法 匿名鏈方法 洋蔥路由方法 八 什么是回放攻擊 八 什么是回放攻擊 在消息沒有時(shí)間戳的情況下 攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的消息 記錄下來 過一段時(shí)間后再發(fā)送出去 第六章第六章 一 自主訪問控制一 自主訪問控制 DAC 在計(jì)算機(jī)系統(tǒng)中設(shè)立安全機(jī)制的最初目的就是為了控制用戶對系統(tǒng)資源的訪問 成為授權(quán) 計(jì)算機(jī)系統(tǒng)中所有可控制的資源均抽象為客體 對客體實(shí)施動(dòng)作的實(shí)體稱為主體 自主訪問控制的基本思想 相信客體擁有者對客體的安全管理 也即擁有者對客體有全部的管理權(quán)限 可 以資助決定是否將對該客體的訪問權(quán)授予其它主體 特點(diǎn) 不安全 方便 便于共享 二 強(qiáng)制訪問控制二 強(qiáng)制訪問控制 MAC 基本思想 系統(tǒng)中每個(gè)主客體都有既定的安全屬性 主體對客體是否能執(zhí)行特定的操作取決于二者安全 屬性之間的關(guān)系 特點(diǎn) 保證了數(shù)據(jù)的保密性 效率低 不適于大規(guī)模網(wǎng)絡(luò)環(huán)境 適合軍事領(lǐng)域 主體對客體 向下讀 向上寫 平級可讀可寫 三 基于角色的訪問控制模型三 基于角色的訪問控制模型 RBAC RBAC 基本特征 用戶所執(zhí)行的操作與其所扮演的角色智能相匹配 特點(diǎn) 以角色作為訪問控制的主體 角色繼承 第七章第七章 一 網(wǎng)絡(luò)攻擊分類一 網(wǎng)絡(luò)攻擊分類 主動(dòng)攻擊和被動(dòng)攻擊 主動(dòng)攻擊包括服務(wù)失效 信息篡改 資源濫用 信息欺騙等 被動(dòng)攻擊的主要目的信息竊取 二 緩沖區(qū)溢出 二 緩沖區(qū)溢出 P210 頁開始 看看源程序代碼 緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù) 據(jù)上 理想的情況是 程序檢查數(shù)據(jù)長度并不允許輸入超過緩沖區(qū)長度的字符 但是絕大多數(shù)程序都會(huì)假設(shè)數(shù) 據(jù)長度總是與所分配的儲(chǔ)存空間想匹配 這就為緩沖區(qū)溢出埋下隱患 操作系統(tǒng)所使用的緩沖區(qū)又被稱為堆棧 在各個(gè)操作進(jìn)程之間 指令會(huì)被臨時(shí)儲(chǔ)存在堆棧當(dāng)中 堆棧也會(huì)出 現(xiàn)緩沖區(qū)溢出 緩沖區(qū)溢出有時(shí)又稱為堆棧溢出攻擊 是網(wǎng)絡(luò)安全漏洞常用的一種形式并且易于擴(kuò)充 相比于其他因素 緩沖區(qū)溢出是網(wǎng)絡(luò)受到攻擊的主要原因 三 三 SQL 注入 注入 P215 頁開始 看代碼 理解 四 服務(wù)失效攻擊 四 服務(wù)失效攻擊 服務(wù)失效攻擊 DoS 是指攻擊者通過某種手段 有意的造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)作從而使其不能向合 法用戶提供所需要的服務(wù)或者使得服務(wù)質(zhì)量降低 原理過程 收集目標(biāo)信息 建立僵尸網(wǎng)絡(luò) 攻擊實(shí)施 軟件更新 服務(wù)失效攻擊分為三類 邏輯型攻擊 泛洪攻擊 重定向攻擊 泛洪攻擊 指攻擊者通過發(fā)送大量的豹紋使受害者的網(wǎng)絡(luò)信道擁塞而無法正常通信 泛洪攻擊可分為直接泛洪攻擊和反射泛洪攻擊 如何避免泛洪攻擊 縮短 SYN timeout 時(shí)間 設(shè)置 SYN cookie 設(shè)置 SYN 可疑隊(duì)列 使用防火墻 設(shè)置防火墻相關(guān)安全策 略 第八章第八章 一 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)一 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) NIDS 和基于主機(jī)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng) HIDS 兩者差別主要是數(shù)據(jù)來源不同 基于主機(jī)是從單個(gè)主機(jī)上提取數(shù)據(jù)作為入侵分析的數(shù)據(jù)源 它只可檢測這個(gè)主機(jī)系統(tǒng) 基于網(wǎng)絡(luò)是從網(wǎng)絡(luò)上提取數(shù)據(jù)作為入侵分析的數(shù)據(jù)源 它是對本網(wǎng)絡(luò)的多個(gè)主機(jī)系統(tǒng)進(jìn)行檢測 二 入侵檢測過程在宏觀上分為三個(gè)步驟 信息收集 數(shù)據(jù)分析 結(jié)果處理 二 入侵檢測過程在宏觀上分為三個(gè)步驟 信息收集 數(shù)據(jù)分析 結(jié)果處理 三 濫用檢測和異常檢測 三 濫用檢測和異常檢測 濫用檢測優(yōu)點(diǎn) 誤報(bào)率低 技術(shù)相對成熟 實(shí)現(xiàn)效率高 缺點(diǎn) 不能檢測出新的入侵行為 完全依賴入侵特征的有效性 異常檢測優(yōu)點(diǎn) 能夠檢測出新的網(wǎng)絡(luò)入侵方法的攻擊 較少依賴于特定的主機(jī)操作系統(tǒng) 缺點(diǎn) 行為基準(zhǔn)模型建立困難 誤報(bào)率仍然很高 嚴(yán)重影響了它們的應(yīng)用 四 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)三種原始報(bào)文采集方式 廣播傾聽 端口鏡像 分光方法 四 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)三種原始報(bào)文采集方式 廣播傾聽 端口鏡像 分光方法 五 以太網(wǎng)卡通常工作模式 正常模式和雜收模式 五 以太網(wǎng)卡通常工作模式 正常模式和雜收模式 六 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)六 基于