《《網絡信息安全》復習重點-整理版》由會員分享���,可在線閱讀�����,更多相關《《網絡信息安全》復習重點-整理版(5頁珍藏版)》請在裝配圖網上搜索��。
1���、看不慣騙分的
網絡信息安全
復習重點
名詞解釋:
非對稱加密 是一種密碼系統形式,這種密碼系統在加密和解密的時候使用兩個不同的密鑰�����,一個
稱為公鑰���,另一個稱為私鑰�����。這種加密也叫做公鑰加密�����。
認證 是指用于驗證一個系統實體聲稱其具有的身份或其他系統為此系統提供身份的過程��。
分組加密 是一種對稱加密算法���,在這種算法中���,明文(通常是 64比特或128比特)被整體轉換為
相同長度的密文分組。
數字簽名 是一種認證機制��,它使得消息的創(chuàng)建者在消息上附加一個碼來作為簽名��。簽名是通過使
用消息的散列值以及用創(chuàng)建者的私鑰加密消息形成的����。這個簽名保證了消息的來源和完整性
散列函數 是一種函數
2、���,它將可變長度的數據塊或消息映射成固定長度的函數值(稱為散列碼) 。這
種函數的設計方法要滿足以下條件:如果對散列函數進行保護�����,那么它就能為數據或者消息提供一個驗 證碼。也稱為消息摘要����。
蜜罐 一個用于引誘潛在攻擊者繞開關鍵系統的欺騙性系統,是一種入侵檢測系統��。
入侵檢測 指用于檢測對主機系統的非授權訪問的自動化工具集�����。
公鑰/私鑰 私鑰:是指在非對稱加密系統中使用的兩個密鑰中的一個�����。在保密通信中�����,只有它的創(chuàng)
建者才知道這個私鑰���。 公鑰:是指在非對稱加密系統中使用的兩個密鑰中的一個�����。公鑰是公開的��,與
相應的私鑰一起使用�。
公鑰證書 由公鑰及公鑰擁有者的用戶 ID組成,并由第三方簽
3��、署整體內容�。一般來說,第三方是被
用戶團體的信任的認證中心( CA),例如政府代表處或金融機構����。
公鑰基礎設施(PKI) 之一系列用來產生、管理�、存儲、分發(fā)和撤銷基于非對稱密碼數字證書所需
的硬件�����、軟件���、人力資源��、政策和程序的總和����。
重放攻擊 是一種攻擊����,由另一個“復制的請求”偽造的已授權并已完成的服務,試圖重復授權命
令���。
RSA算法 是基于模運算中的乘幕運算的公鑰加密算法����。 這種算法是公鑰加密算法中唯一被公認的可
行和安全的算法���。
流密碼 是指一種對稱加密算法����。在這種算法中��,由明文輸入流按照逐比特或逐字節(jié)的方式產生密
文輸出����。
對稱加密 是密碼系統的一種形式,它使用同一
4�、個密鑰執(zhí)行加密和解密。也稱為傳統加密。
蠕蟲 指一種可以復制自身并可以通過互聯網傳播其副本的程序�。一旦到達目的計算機,蠕蟲得以
激活并繼續(xù)進行復制和傳播����。除傳播之外,蠕蟲通常還執(zhí)行一些有害的功能��。
概念和論述:
1���、 安全攻擊的分類���,攻擊原理,安全服務的的分類�,安全機制的分類,安全服務的基本任
務����;
分類:被動攻擊:消息內容泄漏和流量分析;主動攻擊:假冒��,重放���,改寫消息��,拒絕服務
攻擊原理:被動攻擊的本質是竊聽或監(jiān)視數據傳輸���。攻擊者的目標是獲取傳輸的數據信息����。 (P7
圖 1.3 )�����。
主動攻擊包含數據流的改寫和錯誤數據流的添加��。 (P8圖1.4)
安全服務的分類: 認證��,
5�、訪問控制,數據機密性,數據完成性���,不可抵賴性
安全機制的分類:特定安全機制一一 加密����,數字簽名�����,訪問控制���,數據完整性認證交換����,流量
填充�����,路由控制�,公證。
普適的安全機制一一 可信功能���,安全標簽,事件檢測��,安全審計跟蹤,安全恢
復
安全服務的基本任務:確保系統或數據傳輸足夠安全
2�、 對稱加密的算法種類(主要)���,分組加密原理,分組長度��,密鑰長度,迭代次數��,流密碼 原理;
對稱加密的算法種類: DES三重DES AES
DES明文長度64比特 密文長度56比特,原始56比特密鑰���,每輪編碼時密鑰長度 48比特�����,
一共16組子密鑰�����。16次迭代��,每次迭代采用一個子密鑰���。
3DES有
6����、效密鑰長度168比特�。
AES分組大小128比特 密鑰長度128或192或256比特(可選)。
流密碼原理分組密碼每次處理一個輸入元素分組����, 并為每個輸入分組產生一個輸出分組。 流密
碼連續(xù)處理輸入元素����,在運行過程中����,一次產生一個輸出元素�。
3、 HMAC�、SHA-1、MD5散列函數的特征��、原理���、摘要長度����,公鑰加密原理�、應用及主要 兩種算法�;
為滿足在消息認證中心的應用,散列函數 H必須具有下列性質
1H可使用于任意長度的數據塊
2 H能生成固定長度的輸出
3對于任意長度的X�����,計算H (x)相對容易��,并且可以用軟 /硬件方式實現
4對于任意給定值 h,找到滿足H(x)=h的x
7、在計算機上不可行��。
5對于任意給定的數據塊 x,找到滿足H( y) =H(x)���,的y=!x在計算機上是不可行的����。
6找到滿足H( x) =H(y)的任意一對(x,y )在計算機上是不可行的���。
SHA-1摘要長度160比特
MD5摘要長度128比特 抗分析能力很脆弱����。
公鑰加密:與傳統加密同等重要���, 還可以用來進行消息認證和密鑰分發(fā)���。 公鑰系統的特征就是使用具有
兩個密鑰的加密算法,其中一個密鑰為私人所有�����,另一個密鑰公共可用。加密 /解密���、數字簽
名���、密鑰交換。 主要兩種算法:RSA和Diffie-Hellman�����。
4����、 Kerberos V4的票據傳輸原理,認證流程�����,加密方法��,
8�����、 X.509加密方法公鑰證書的使用�����;
AS創(chuàng)建一個票據���,這個票據包含用戶 ID���、用戶網絡地址和服務器ID。這個票據用AS和服務器共享的
秘密密鑰進行加密��,使用戶或攻擊者無法篡改���。從而完成服務器與客戶端的身份確定��。
(1 )客戶端代表用戶請求票據授權票據���。
(2) AS返回一個由用戶口令生成的密鑰加密過的票據。
(3) 客戶端代表用戶請求一個服務授權票據�。
(4) TGS對到來的票據進行解密,并通過 ID來驗證解密是否成功�。
(5 )客戶端代表用戶請求訪問一個服務。
X.509公鑰證書的使用 P93圖4.3
5-了解PGP技術和S/MIME技術原理�,多用途網際郵件擴展的局限性,
9�����、BSAE-64的轉換法;
PGP可以在電子郵件和文件存儲應用中提供保密和認證服務 P110圖5.1
S/MIME是基于RSA數據安全性,對互聯網電子郵件格式標準 MIME的安全性增強���。S/MIME側重于適 合商業(yè)和團體使用的工業(yè)標準���。
多用途網際右鍵擴張的局限性: (P122)
(1) STMP不能傳輸可執(zhí)行文件或其他二進制對象。
(2) SMTP不能傳遞包括國際語言字符的文本數據��。
(3) SMTP服務器可能拒絕超過一定大小的郵件信息�����。
(4) SMTP忘光在ASCII碼和EBCDIC碼之間轉換時沒有使用一致的映射�����。
(5) 通往X.400電子郵件網絡的 STMP網關不能處理
10�、辦好在 X.400消息中的非文本數據。
(6) 一些SMTP的實現與RFC 821中定義的SMTP標準不完全一致���。
BASE-64 轉換法�����。(P137)
6�����、 IPSec的AH協議和ESP協議的工作原理��,安全關聯 SA的作用���,隧道模式與傳輸模式 的原理和區(qū)別;
安全關聯:同一個流量可能需要多個 SA才能獲得想要的IPSec服務���。在這些SA上必須處理流量來提 供一組期望的IPSec服務
傳輸模式:主要為上層協議提供保護�����。傳輸模式下的 ESP加密和認證(認證可選)IP載荷�����,但不包括 IP報頭���。傳輸模式下 AH認證IP載荷和IP報頭的選中部分。
隧道模式:對整個IP包提供保護���。隧道模式下
11���、的 ESP機密和認證(認證可選)包括內部 IP報頭的整
個內部IP包�。隧道模式下的 AH認證整個內部IP包和外部IP報頭被選擇的部分�。(P148)
7、 Web收到的威脅��,SSL體系結構��,SSL握手協議過程��,SET特性和參與者���、雙重簽名�;
分類法1:主動攻擊和被動攻擊���。
分類法2 (地域):Web服務器�,瀏覽器�、瀏覽器和服務器之間的流量。
SSL使用TCP提供一種可靠的端對端的安全服務���。 (P178圖7.2 SSL協議棧)(P184圖7.6握手協議過
程��。)
握手協議過程4個階段:(1)客戶端發(fā)起建立連接請求(2)服務器認證和密鑰交換
(3)客戶端認證和密鑰交換 (4)完成��。
12��、
SET特性:信息的機密性�、數據的完整性��、持卡者賬戶認證���、商家認證�����。
參與者:持卡者�、商家����、發(fā)卡機構、代理商�、支付網關、認證機構����。
雙重簽名:目的是要把發(fā)給兩個不同的接受者的兩條消息連接起來��。
步驟:(1 )商家收到01 (訂單信息)并驗證簽名�;
(2) 銀行收到PI (支付信息)并驗證簽名�����;
(3) 消費者把 OI和PI聯系起來并能夠證明這種聯系�。 (P197)
8、 SNMP V1版本的特性���,V2版本的特性�,兩者的區(qū)別�����,SNMP模型的4個元素組成�,4 元素的作用;
SNMP V1所有代理和管理站都必須支持 UDP和IP等協議����。
SNMP V2還允許使用TCP/IP協議簇之外
13、的其他協議�����。
SNMP ( Simple Network Management Protocol )簡單網絡管理協議
SNMP中的網絡管理模型 4要素:管理站、管理代理�����、管理信息庫�����、網絡管理協議�。
管理站:充當網絡管理器和網絡管理系統直接的接口角色�����。
管理代理:負責應答管理站發(fā)出的信息請求和操作請求����, 也可以將重要的信息以異步方式主動提供給管
理站。
管理信息庫:MIB的功能是作為管理站在代理上的訪問點集合�。
網絡管理協議:管理站和代理通過網絡管理協議互聯。
9���、 入侵者的分類��,入侵檢測的兩種主要方法:原理��、區(qū)別���、優(yōu)缺點���,口令選擇策略; “鹽” 的概念作用
入侵者的分類:假冒
14���、用戶���、違法用戶、隱密用戶�����。
入侵檢測的兩種主要方法:統計異常檢測:a閾值檢測b基于行為曲線
基于規(guī)則的檢查:a異常檢查 b滲透檢測
統計方法用來定義普通的或者期望的行為��,而基于規(guī)則的方法則致力于定義正確的行為�。
統計異常檢測不能用來有效的檢測違規(guī)用戶。
口令選擇策略:防止口令猜測4種技術:用戶教育��,由計算機生成口令�、后驗口令檢驗、先驗口令檢驗 鹽:12比特隨機數。修改基于 DES算法的加密程序���。用來對抗多種口令破譯攻擊方法�。
10�、 惡意軟件的分類、種類�,病毒的生命周期,蠕蟲的額概念���, GD的組成和作用�;
惡意軟件分為兩類:一類需要駐留在宿主程序中���,而另一類獨立于宿主程序����。
前
15�、一類軟件有 病毒�����、邏輯炸彈�����、后門等。后一類軟件有:蠕蟲 僵尸等���。
病毒的生命周期:睡眠階段:在這個階段中病毒不執(zhí)行任何操作�,而是等待被某些事激活����。
傳播階段:病毒將與其自身完全相同的副本植入其他程序或磁盤的某些系統區(qū)域。
觸發(fā)階段:病毒在這一階段被激活以執(zhí)行其預先設計的功能�����。
執(zhí)行階段:實現其預期的功能���。
蠕蟲是可以自行復制���,并通過網絡連接將病毒副本從一臺計算機發(fā)送到其他計算機中的程序。
GD技術使得反病毒軟件能夠在保證足夠快的掃描速度的同時����,也能夠輕松的檢測到最為復雜的病毒 變種。GD掃描器包含:CPU仿真器�����、病毒特征碼掃描器、仿真控制模塊��。
11��、防火墻的概念�、四種機制、局限
16��、性���、類型��,包過濾的內容�,堡壘主機���, 3種防火墻配置;
放火墻是一種用于保護本地系統或者系統網絡不受基于網絡的安全威脅的有效方法���, 同時支持通過廣
域網和互聯網訪問外部世界���。
四種機制:服務控制�����、方向控制����、用戶控制、行為控制�����。
局限性:防火墻不能組織那些繞開防火墻的攻擊�;不能組織內部威脅;不能阻止感染病毒的程序或文 件的傳遞����。
類型:包過濾器、應用級網關���、電路級網關��。
包過濾路由器對每個接受和發(fā)送的IP包應用一些規(guī)則���,然后覺得轉發(fā)或者丟棄此包。
過濾規(guī)則基于網絡包中包含的信息:源 IP地址�,目的IP地址���,源端和目的端傳輸層地址(端口號)
IP協議域、接口��。
兩種默認策略默認丟棄:沒有明確準許的將被阻止��。
默認傳遞:沒有明確組織的將被準許�。
堡壘主機是放火墻管理員成為網絡安全中的極強端的系統。 通常堡壘主機可以作為應用級或電路級網
關平臺���。
防火墻配置:(1)屏蔽主機防火墻和宿主堡壘主機配置��;
(2)屏蔽主機防火墻和雙宿主堡壘主機配置�����;
(3屏蔽子網的防火墻配置��。(最安全)
《網絡信息安全》復習重點-整理版
