《2013河南理工大学-网络信息安全考试重点.doc》由会员分享,可在线阅读,更多相关《2013河南理工大学-网络信息安全考试重点.doc(7页珍藏版)》请在金锄头文库上搜索。
1、第一章1(掌握)网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。2(掌握)信息安全的目标有的认为是机密性 完整性抗否认性可用性可控性通常强调所谓CIA三元组的目标,即保密性、完整性和可用性。3信息安全的研究内容(背住)信息安全基础研究内容主要包括密码学研究和网络信息安全基础理论研究(了解)信息安全应用研究内容主要包括安全技术研究和平台安全研究(了解)信息安全管理研究内容主要包括
2、安全策略研究安全标准研究安全测评研究4(掌握)安全隐患类型a)硬件的安全隐患;b)操作系统安全隐患;c)网络协议的安全隐患;d)数据库系统安全隐患;e)计算机病毒;f)管理疏漏,内部作案。第二章1(掌握)密码学的概念:密码学是研究如何实现秘密通信的科学,包括密码编码学和密码分析学。2(了解)密码学的发展1)古典密码:包括代换加密、置换加密。2)对称密钥密码:包括DES和AES。3)公开密钥密码:包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamalD_H等。3(背住)密码学模型对称加密、非对称加密、分组密码、流密码。4(背住)计算机网络加密技术(链路加密、节点加密和端
3、到端加密)1) 链路加密不但要加密报文,还要加密报头。要传输到下一个节点必须解密再加密,直到到达目的节点。2)节点加密在传输中的节点设置一个加、解密保护装置完成密钥转换。除保护装置外不出现明文。3)端到端加密在发送、接收端才加、解密,中间节点不解密。5(理解)古典加密方法(凯撒和维吉尼亚算法)凯撒密码就是单表代换密码置换限制为移位,所以这类密码又称为移位密码密钥移位固定多表代换密码就是用一系列的不同置换代换明文中的字母。也就是在不同字母位置使用不同的替换规则维吉尼亚(Vigenere)密码密钥移位周期固定6(理解)原理(主要采用的两种机制:混淆和扩散香农)扩散就是让明文中的每一位影响密文中的许
4、多位,或者说让密文中的每一位受明文中的许多位的影响;混淆就是将密文与密钥之间的统计关系变得尽可能复杂。7(掌握)分组密码的两种结构的特点及原理(先对明文消息分组,再逐组加密,称为分组密码。分组密码将明文分成固定长度的组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。)Feistel网络结构,每轮处理一半数据,加解密相似例如:DES、SP网络结构。SP结构是Feistel结构的推广,结构更加清晰,S(混淆层)是子密钥控制下的代换,P(扩散层)是置换,每轮处理完整数据,加解密不相似,是一种重要的结构。例如:AES8(掌握)DES的基本原理及应用:密文分组:64bit明文分组64bit密钥:
5、64bit其中8bit为校验位,实际56bit轮数:16轮(圈)加密函数:直接异或,8个6-4S盒。9(重点)流密码相关概念:对称密码体制中对明文按字符逐位加密,称为流密码或序列密码。第三章1(掌握)单向散列函数概念:散列函数(又称hash函数,杂凑函数)是将任意长度的输入消息M映射成一个固定长度散列值h的特殊函数。特性及用途;哈希函数除了可用于数字签名方案之外,还可用于其它方面,诸如消息的完整性检测(一般哈希函数)、消息的起源认证检测(密码哈希函数)等。2(了解)常用散列算法(MD5、SHA-1)的基本模型P40页、43页3消息认证码MAC的概念及用途。消息认证码(MAC),是与密钥相关的的
6、单向散列函数,也称为消息鉴别码或是消息校验和。MAC可为拥有共享密钥的通信双方验证消息的完整性,也可被单个用户用来验证文件是否被改动。第四章1(掌握)公钥密码体制的基本思想和原理(陷门单向函数和数学复杂性理论)每个用户都有一对预先选定的密钥:一个是公钥,以k1表示,用于加密,另一个是私钥,以k2表示,用于解密公钥k1是公开的,任何人都可以得到,私钥是其拥有者自己保存。陷门单向函数:如果已知K,由c计算m是不容易的,但如果知道陷门秘密d(K),由c就能容易的得到m所以单向函数不能用作加密,可以用陷门单向函数来解释公钥密码系统。公钥密码用于保密性和数字签名的方法。2理解公钥密码用于保密性和数字签名
7、的方法。(课本上)3(掌握)RSA方法的原理及简单应用:1)RSA加密算法的过程2)取两个随机大素数p和q(保密)3)计算公开的模数n=p*q(公开)4)计算秘密的欧拉函数(n)=(p-1)*(q-1)(保密),丢弃p和q,不要让任何人知道。5)随机选取整数e,满足gcd(e,(n)=1(公开e加密密钥)6)计算d满足de1(mod(n)(保密d解密密钥)7)加密:将明文x(按模为r自乘e次幂以完成加密操作,从而产生密文y(X、Y值在0到n-1范围内)。Y=xe mod n;8)解密:将密文y按模为n自乘d次幂。X=Yd modn4(了解)其他公钥密码体制:背包体制1978年提出5年后被Sha
8、mir破解。椭圆曲线体制(ECC)1985年基于离散对数,优点:安全性高;密钥短;灵活性好。5(掌握)数字签名的概念、特性及签名过程,结合实例理解应用。了解数字签名分类。数字签名是信息发送者使用公开密钥算法技术,产生别人无法伪造的一段数字串。特性:1)签名是可信的:任何人都可以方便地验证签名的有效性。2)签名是不可伪造的:除了合法的签名者之外,任何其他人伪造其签名是困难的。这种困难性指实现时计算上是不可行的。签名是不可复制的:对一个消息的签名不能通过复制变为另一个消息的签名。如果一个消息的签名是从别处复制的,则任何人都可以发现消息与签名之间的不一致性,从而可以拒绝签名的消息。通过增加时间戳实现
9、。第五章1(掌握)PKI的概念及组成:PKI(PublicKeyInfrastructure)是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施,它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI是经过多年研究形成的一套完整的Internet安全解决方案。它用公钥技术和规范提供用于安全服务的具有普适性的基础设施。用户可利用PKI平台提供的服务进行安全通信。PKI系统由五个部分组成:认证中心CA,注册机构RA、证书库CR、证书申请者、证书信任方。前三部分是PKI的核心,证书申请者和证书信任方则是利用PKI进行网上交易的参与者。2(理解)数字证
10、书的概念:一段包括用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。一个经证书认证中心(CA)签名的包括公钥拥有者信息及公钥信息的文件3(理解)CA的功能:CA系统的主要功能是对证书进行管理,包括颁发证书、废除证书、更新证书、验证证书、管理密钥等。权威、可信、第三方机构,为认证需求提供数字证书相关服务。4(理解)密钥生命周期的含义:密钥产生证书签发密钥使用证书检验密钥过期密钥更新密钥产生第六章1(掌握)掌握信息隐藏的概念及应用:信息隐藏是利用载体信息的冗余性,将秘密信息隐藏在普通信息之中,通过发布普通信息将秘密信息发布出去。掩盖信息存在的事实。应用:数据保密,防止信息被截获;数据的不可
11、抵赖性:电子商务、数字水印技术;数据的完整性:防篡改,数字作品的版权保护是数字水印技术的一种重要应用,防伪票据的防伪,数字票据可打印、可扫描。2(理解)数字水印的概念:数字水印是永久镶嵌在其他数据(宿主数据)中具有可鉴别性的数字信号或模式,并且不影响宿主数据的可用性3数字水印不等同于信息隐藏,概念有区别:数字水印注重水印,用于版权保护,可公开;信息隐藏注重隐藏,不可见不可察觉,要保密第七章1(掌握)掌握报文认证的主要内容:报文认证,是指两个通信者之间建立通信联系后,每个通信者对收到的信息进行验证,以保证所收到的信息是真实的过程。报文源的认证;报文内容的认证;报文时间性的认证。2(掌握)身份认证
12、的概念及身份认证技术(生物特征和零知识证明)、身份认证是指用户的真实身份与其所声称的身份是否相符的过程。包括:识别、验证、生物特征、指纹、虹膜和视网膜、DNA、零知识证明、交互式、非交互式、交互式零知识证明是由规定轮数组成的一个“挑战-应答”协议。非交互式证明者P公布一些不包括他本人任何信息的秘密消息,却能够让任何人相信这个秘密消息。3(重点)PPP协议使用的认证机制及AAA认证的含义:PPP提供的身份认证方法包括:密码认证协议(PAP)、挑战握手认证协议(CHAP)、扩展认证协议(EAP)。AAA指的是:认证(Authentication)、授权(Authorization)和审计(Acco
13、unting),简称AAA。认证指用户在使用网络系统中的资源时对用户身份的确认。授权是网络系统授权用户以特定的方式使用其资源。审计是网络系统收集、记录用户对网络资源的使用。4(掌握)访问控制概念、三要素,(理解)不同类型的访问控制模型的特点(DAC、MAC、RBAC)。访问控制(AccessControl)是对信息系统资源的访问范围以及方式进行限制的策略。简单地说,就是防止合法用户的非法操作。三要素:主体、客体、访问控制策略。MAC是一种多级访问控制策略,数据所有者无权决定文件的访问权限,权限由操作系统决定,可能覆盖所有者MAC对访问主体和受控对象标识两个安全标记:一个是具有偏序关系的安全等级
14、标记;另一个是非等级分类标记。自主访问控制(DAC):配置的粒度小、配置的工作量大,效率低;强制访问控制(MAC):配置的粒度大、缺乏灵活性。RBAC(基于角色访问控制)模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。访问控制是由各个用户在部门中所担任的角色来确定。第八章1掌握入侵检测的概念、了解入侵常用的手段和方法(掌握)入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”,入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。(了解)入侵
15、的方法和手段:端口扫描与漏洞攻击、密码攻击、网络监听、拒绝服务攻击、缓冲区溢出攻击、欺骗攻击。2入侵检测的实现方式(基于主机的HIDS和基于网络的NIDS)的特点、掌握入侵检测方法和步骤入侵检测分类;主机IDS:运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。主要用于保护运行关键应用的服务器。通过监视与分析主机的审计记录和日志文件来检测入侵。主机IDS优势:(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况。(3)能够检测到NIDS无法检测的攻击。(4)适用加密的和交换的环境。(5)不需要额外
16、的硬件设备。网络IDS是网络上的一个监听设备(或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。网络IDS优势 1)实时分析网络数据,检测网络系统的非法行为(2)网络IDS系统单独架设,不占用其它计算机系统的任何资源(3)网络IDS系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高(4)既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证(5)通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏(6)不会增加网络中主机的负担。3、两种实现方式的比较:1)如果攻击不经过网络则NIDS无法检测到,只能通过HIDS来检测;2)基于N
