《信息安全课程总结(北邮)精要》由会员分享,可在线阅读,更多相关《信息安全课程总结(北邮)精要(8页珍藏版)》请在金锄头文库上搜索。
1、1. It has been shown that complex networks including the internet are resilient to indepent random falilures but fragile to intentional atacks.2. 什么是信息安全管理:信息的保密性、完整性和有效性,业务的永续性。有效的信息共享机制3. 信息资产:硬件,软件,网络,通讯,资料,人员,服务4. 信息安全:是保护资产的一种概念、技术及管理方法。是信息资产免受有意或无意的泄露、破坏、遗失、假造以及未经授权的获取、使用和修改。5. 安全属性,通俗的说,进不来,拿
2、不走,改不了,看不懂,跑不了6. 从目标保护角度看信息安全:涉及 机密性、完整性、可用性(信息安全金三角)。7. 机密性:confidentiality 完整性integrity 可用性availability 真实性Authentication 不可抵赖性 non-repudiation8. ITU-T的安全框架 X-80-端到端通信的安全架构,三个平面,三个层次,8个维度 9. 三个平面:p1最终用户平面,p2控制平面 ,p3管理平面10. 三个层次:L1应用安全,L2服务安全,L3基础设置安全11. 8个维度 访问控制,认证,不可否认,数据保密性,通信安全,数据完整性,可用性,隐私。12
3、. 安全模型 1)风险评估常用模型 2)纵深防御模型3)(基于时间的安全体系)模型 PD+R P:protection防护 手段所能支持的视觉 D:detection检测 手段发现入侵所需要的时间 R:事件响应机制采取有效措施所需的时间13. 安全-及时的检测和处理 指导思想:快速检测、有限影响、快速溯源、快速恢复相应的安全机制。14. 其他模型,PDRR保护,检测,响应,恢复 P2DR 策略P,保护P,检测D,响应R15. APT(Advanced Persistent Threat)高级,持续的攻击16. 攻击的分类:active attack,主动攻击 Passive attack被动攻
4、击17. 攻击的一般过程:预攻击,攻击,后攻击18. 预攻击,目的,收集新,进行进一步攻击决策。内容:获得域名及IP分布,获得拓扑及OS等,获得端口和服务 获得应用系统情况 跟踪新漏洞发布19. 攻击,目的:进行攻击。 内容:获得权限,进一步扩展权限,进行实质性操作20. 后攻击, 目的:消除痕迹,长期维持一定的权限 内容:植入后门木马,删除日志,修补明显的漏洞,进一步渗透扩展。21. IP网络面临的安全威胁 1)恶意攻击: 网络扫描,Ddos,会话劫持,欺骗和网络钓鱼 2)误用和滥用(内部和外部)配置错误、缺省配置,内部窃取,内部越权,操作行为抵赖 3)恶意代码:病毒和蠕虫,木马 逻辑炸弹,
5、时间炸弹。22. 漏洞预防:安全意识,安全审记 23. 漏洞检测:渗透测试,风险评估24. 漏洞修复:补丁(patch)管理25. 源代码审核(白盒),逆向工程(灰盒),FUZZing(黑盒)26. 密码学在信息网络安全中的作用: 机密性,完整性,鉴别性,抗抵赖性。27. 密码学(cryptology):密码编码学(cryptography)和密码分析学(cryptanalytics)28. 密码编码学就是研究对数据进行变换的原理、手段和方法的技术和科学。29. 密码分析学是为了取得秘密的信息,而对密系统及其流动的数据进行分析,是对密码原理、手段和方法进行分析、攻击的技术和科学。30. 明文p
6、lain text,clear text:需姚秘密传送的消息31. 密文:cipher text:明文经过密码变换后的消息32. 加密:Encryption:由明文到密文的变换33. 解密:Decryption:从密文恢复出明文的过程。34. 破译:Cryptanalysis:非法接受者视图从密文分析出明文的过程35. 加密算法Encryption algorithm:对明文进行加密时采用的一组规则36. 解密算法:Decryption Algorithm:对密文进行解密时采用的一组规则37. 密钥Key:加密和解密时使用的一组秘密信息38. 密码系统:一个密码系统可以用以下数学符号描述:S=
7、(P,C,K,E,D) P=明文空间 C=密文空间 K=密钥空间 E加密算法 D=解密算法39. 当给定秘钥k属于K时,加解密算法分别记作Ek、Dk,密码系统表示为:Sk=P,C,k,Ek,Dk C=Ek(P) P=Dk(C)=Dk(Ek(P)40. 安全性体现在: 1)破译的成本超过加密信息的价值 2)破译的时间超过该信息有用的生命周期41. 无条件安全:若密文中不含明文的任何信息,则认为该密码体制是安全的,否则就认为是不安全的。无论提供的密文有多少,由一个加密方案产生的密文中包含的信息不足以唯一地决定对应的明文42. 对于一个加密方案,如果任意概率多项式时间(PPT)的敌手在上述游戏中的优
8、势是可忽略的,则称该加密方案是IND-CCA,安全,建成CCA安全。对应选择明文攻击游戏,成为INDCPA安全,简称CPA安全。43. CPA安全是公钥加密机制的最基本要求,CCA安全是公钥加密机制更强的安全性要求44. 密钥的选择,1)Degree of security 2)speed :加密与解密运算速度 3)key length 关系到key的存储空间,算法的安全性,key space 密钥空间 4)public/private:通常公开的算法,经过了更多的测试 5)专利的出口限制问题45. 密码算法分类:1)受限制的(restricted)算法:算法的保密性基于保持算法的秘密。2)基
9、于密钥(key-based)的算法:算法的保密性基于对密钥的保密46. 古典密码学 被传统密码学所借鉴,加解密都很简单,易被攻破,属于对称密钥算法;包括置换密码、代换密码。47. 古典密码:1) 置换密码,用加密置换去对消息进行加密 2)代换密码:明文中的字幕用相应的密文字幕进行替换,单表代换密码,多表代换密码。48. 编码的原则:加密算法应建立在算法的公开不影响明文和密钥的安全的基础上。这条原则成为判定密码强度的衡量标准,实际上也是古典密码和现代密码的分界线。2)其基本特点:加密和解密采用同一个缪尔3)基本技术,替换/置换和移位49. 密码学的第一次飞跃:1949年Shannon发表了保密通
10、信的信息理论论文。50. 密码学的第二次飞跃:密码编码学新方向提出公开密钥的思想51. DES,数据加密标准,EES,密钥托管加密标准 DSS数字签名标准,AES高级数据加密标准52. 基于密钥的算法,按照密钥的特点分类 1)对称密钥算法(symmetric cipher):又称传统密码算法(conventional cipher),就是加密密钥和解密密钥相同,或实质上等同,即从一个易于退出另一个。又称秘密密钥算法或单密钥算法2)非对称密钥算法:(asymmetric cipher):加密密钥和解密密钥不同,从一个很难推出另外一个。又称公开密钥算法(public-key cipher)。公开密
11、钥算法用一个密钥进行加密,而用另一个进行解密,其中的加密密钥可以公开,又称为公开密钥(publickey),简称公钥。解密密钥必须保密,又称为四人密钥(private key)私钥,简称私钥3)混合密钥体制53. 分组密码(block cipher):将明文分成固定长度的组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。54. 流密码(stream cipher):又称序列密码。序列密码每次加密一位的明文。序列密码是手工和机械密码时代的主流。55. 密码模式:以某个分组密码算法为基础,对任意长度的明文加密的方法56. 电码本ECB(Electronic Code Book )57. 密
12、码分组链接CBC(Cipher Block Chaining)58. 密码反馈CFB(Cipher FeedBack)59. 输出反馈OFB(Output FeedBack)60. 计数器模式(counter mode)61. 分组链接BC(Block Chaining)62. 扩散密码分组链接PCBC(Propagating Cipher Block Chaining)63 . ECB 1实现简单, 2不同明文分组的加密可并行处理硬件实现3密文中的误码不会影响其它分组的解密4无法恢复同步错误5相同明文分组对应相同密文分组,因而不能隐蔽明文分组的统计规律和结构规律5不能抵抗替换攻击.(特别当明
13、文为结构数据时),需增加完整性检查字段64 ECB应用:1单分组明文的加密2各明文块间无冗余信息:如随机数65 密码分组链接CBC 加密算法的输入是当前明文组与前一密文组的异或。66 密码反馈(CFB-Cipher Feedback)模式,CBC模式,整个数据分组需要接收完后才能进行加密。 若待加密消息需按字符、字节或比特处理时,可采用CFB模式。并称待加密消息按j 比特处理的CFB模式为j 比特CFB模式。适用范围:适用于每次处理j比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要.67 优点:(1) 适用于每次处理j比特明文块的特定需求的加密情形;(2) 具有有限步的错误传播,可用
14、于完整性认证;(3) 可实现自同步功能:该工作模式本质上是将分组密码当作序列密码使用的一种方式,DES分组加密并不直接对明文加密,它产生的乱数j可作为流加密的key!68 缺点:加密效率低。69 输出反馈(OFB-Output Feedback)模式 OFB模式在结构上类似于CFB模式,但反馈的内容是DES输出的j位乱数而不是密文!70 优点:(1)这是将分组密码当作序列密码使用的一种方式,序列密码与明文和密文无关!(2)不具有错误传播特性!71 适用范围:(1)明文的冗余度特别大,信道不好但不易丢信号,明文有误码也不影响效果的情形。如图象加密,语音加密等。(2)OFB安全性分析表明,j应与分
15、组大小相同。72 缺点:(1)不能实现报文的完整性认证。(2)乱数序列的周期可能有短周期现象73 总评:1)ECB模式简单、高速,但最弱,易受重发和替换攻击。商业软件中仍应用,可用于无结构小数据。2)低丢包率,低误码率,对明文的格式没有特殊要求的环境可选用CBC模式。需要完整性认证功能时也可选用该模式。3)高丢包率,或低误码率,对明文格式有特殊要求的环境(如字符处理),可选用CFB模式。4)低丢包率,但高误码率,或明文冗余多,可选用OFB模式。(但加密前先将明文压缩是一种安全的方法)74 对称加密,1)对称加密算法中加密和解密使用相同的密钥。2)对称加密算法工作原理可以用下列公式表示:加密(明
16、文,密钥)密文 解密(密文,密钥)明文75 对称密钥算法的优缺点,优点,加解密速度快。缺点:1)网络规模扩大后,密钥管理很困难2)无法解决消息确认问题3)缺乏自动检测密钥泄露的能力76 DES(Data Encryption Standard)是第一个得到广泛应用的密码算法;DES是一个分组加密算法,它以64位为分组对数据加密。同时DES也是一个对称算法,即加密和解密用的是同一个算法。它的密钥长度是56位77 分组密码设计准则 1)混淆(confusion):用于掩盖明文和密文间的关系。在加密变换过程中使明文、密钥以及密文之间的关系尽可能地复杂化,以防密码破译者采用统计分析法,通过研究密文以获取冗余度
