《网络工程师复习资料(软考)网络安全》由会员分享,可在线阅读,更多相关《网络工程师复习资料(软考)网络安全(30页珍藏版)》请在金锄头文库上搜索。
1、2010年网络工程师考试复习资料 (30页完美打印版) 电脑天地官方博客、部落、团队、QQ群目录1 网络安全概述3网络安全的目标3网络安全威胁的主要类型3网络安全机制与技术32 信息加密技术32.1现代密码体制分类32.2 对称密码体制32.3 非对称密码体制33 消息摘要43.1 MD543.2 安全散列算法(SHA)44 实体认证44.1 概述44.2 基于共享密钥的认证44.3 基于公钥的认证45 数字签名和数字水印45.1 RSA数字签名55.2 DSS数字签名55.3 数字水印和数字防伪56 密钥管理56.1 KMI56.2 PKI56.3 PMI67 网络安全体系结构68网络接口层
2、的安全协议78.1 PAP/CHAP78.2 隧道协议78.3 无线局域网安全协议89 网际层安全协议89.1 IPsec服务内容89.2 IPsec体系结构810 传输层安全协议1110.1 SSL协议1110.2 TLS协议1310.3 SOCKS协议1311 应用层安全协议1311.1 SSH协议1311.2 Kerberos协议1311.3 PGP和S/MIME协议1411.4 S-HTTP协议1512 虚拟专用网1512.1 概述及基本原理1512.2 隧道技术和隧道协议1512.3 实现方式和服务类型1613防火墙1613.1 防火墙概述1613.2 防火墙的基本类型1613.3
3、防火墙应用的常见网络结构1714 入侵检测1814.1 入侵检测概述1814.2 IDS的分析方法1814.3 IDS原理与配置1814.4 IDS的类型1815 计算机病毒保护1915.1 病毒定义1915.2 病毒的分类1915.3 计算机病毒的防御措施19网络安全历年真题191 网络安全概述1.1网络安全的目标可靠性、可用性、真实性、保密性、完整性、不可抵赖性1.2网络安全威胁的主要类型内部窃密和破坏、窃听和截收、非法访问、破坏信息的完整性、冒充、流量分析攻击、其他威胁网络攻击的主要手段窃听、数据篡改、盗用口令攻击、中间人攻击、缓冲区溢出攻击、后门攻击、欺骗攻击、Dos、野蛮攻击、SQL
4、注入、计算机病毒攻击、特洛伊木马1.3网络安全机制与技术数据加密机制、访问控制机制、数据完整性机制、鉴别机制、流量填充机制、路由控制机制、防火墙、入侵检测【例题】2005年度下半年上午试卷窃取是对_(31)_的攻击,DDos攻击破坏了_(32)_。(31)A. 可用性B. 保密性C. 完整性D. 真实性(32)A. 可用性B. 保密性 C. 完整性D. 真实性2 信息加密技术2.1现代密码体制分类l 对称密码体制 对称密码体制也称为单密钥体制或私钥密码体制,是广泛应用的普通密码体制,其特点是加密和解密所用的密钥是一样的或相互可以导出的。采用对称密码体制的加密算法有DES、IDEA、AES等 对
5、称密码体制的优点是对称加密算法效率高、速度快。l 非对称密码体制 非对称密码体制也称为公钥密码体制,其基本原理是在加密和解密的过程中使用不同密钥的处理方式。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,而用于解密的私钥只有收信方(解密者)才拥有。 目前只有三种体制被证明是相对安全和有效的,即RSA体制、ElGamal体制和椭圆曲线密码体制l 混合密码体制 混合密码体制利用公钥密码体制分配私钥密钥体制的密钥,数据的收发双方共享这个密钥,然后按照私钥密码体制方式,进行加密和解密运算,目前密码体制中比较普遍采用的是混合密码体制。2.2 对称密码体制l 联邦
6、数据加密标准DES DES算法,它使用56位密钥对64位的数据块进行加密,并对64位的数据进行16轮编码,在每轮编码时都采用不同的子密钥,子密钥长度均为48位,由56位的完整密钥得出。三重DES(3DES): 1) 用密钥K1进行DES加密。 2) 用K2对步骤1的结果进行DES解密。 3) 对步骤2的结果再使用K1进行DES加密。 其密钥长度为56*2=112位。 l 欧洲加密标准IDEA 密钥长度为128位,数据块长度为64位,IDEA算法也是一种数据块加密算法,它设计了一系列的加密轮次,每轮加密都使用从完整的加密密钥生成一个子密钥。2.3 非对称密码体制l RSA公钥加密算法通常由密钥管
7、理中心先生成一对RSA密钥,其中之一称为私钥,由用户保存。另外一个称为公钥,可公开,也可以在网络服务器中注册。在传送信息时,常采用私钥加密与公钥加密相结合的方法,即信息采用改进的DES或IDEA用对话密钥进行加密。然后使用RSA密钥加密对话密钥和信息摘要。 密钥中心产生一对公钥和私钥的方法如下:在离线方式下,先产生两个足够大的质数p,q,计算n=p*q和 z=(p-1)*(q-1),再选取一个与z互素的奇数e,称e为公开指数,从这个e值可以找出另一个值d,并能满足e*d=1 mod (z),由此产生两组数(n,e)和(n,d),分别称为公钥和密钥。 RSA基于一个特性事实:即将两个大的质数合成
8、一个大数很容易,而反过程则几乎是不可能的。 l Elgamal算法它既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数的难度。l 椭圆曲线加密(ECC) 它与RSA相比最大好处就是密钥更小,因而同样安全级别的计算速度更快。【例题】2005年度下半年上午试卷数据加密标准(DES)是一种分组密码,将明文分成大小_(33)_位的块进行加密,密钥长度为_(34)_位。(33)A. 16B. 32 C. 56 D. 64(34)A. 16B. 32 C. 56 D. 643 消息摘要 消息摘要的产生源于保证数据完整性的安全需求。消息摘要算法的主体就是设计单向的Hash函数。 单向散列函
9、数H(M)作用于一个任意长度的数据M,它返回一个固定长度(m)的散列h,h称为数据M的摘要。单向散列函数的特点有:l 给定M,很容易计算hl 给定h,无法推算出Ml 给定M,很难找到另一个数据N,使得H(M)=H(N) 3.1 MD5MD5是RSA数据安全公司开发的一种单向散列算法。已经被广泛使用,可以把不同长度的数据块进行编码成一个128位的散列值。 3.2 安全散列算法(SHA)SHA(Secure Hash Algorithm)可以对 任意长度的数据运算成一个160位的散列值。4 实体认证认证的基本思想是通过验证需认证的实体的一个或多个参数的真实性和有效性,以验证是否名副其实。认证分为实
10、体认证和消息认证。4.1 概述 实体认证,也称为身份认证,是系统对通信主体进行验证的过程,用户必须证明他是谁。常用基本身份认证方法有以下几个方面:l 主体特征认证:视网膜扫描、声音验证、指纹和手型识别器。l 口令机制l 一次性口令l 智能卡l 身份认证协议:应用较为广泛的是PAP、CHAP、Kerberos和X.509。4.2 基于共享密钥的认证 基于共享密钥的认证方式是:通信双方以共享密钥作为相互通信的依据,在相互通信过程中,为每一个新连接选择一个随机生成的会话密钥。主要通信数据采用会话密钥来加密,尽可能减少使用共享密钥加密的数据量,以减少窃听者获得的使用共享密钥加密的消息数量,降低共享密钥
11、别破译的可能性。 基于共享密钥的常见认证协议有:质询-回应协议、使用密钥分发中心的认证协议、Needham-Schroeder认证协议和Otway-Rees认证协议。4.3 基于公钥的认证 基于公钥的认证采用公钥体制,通信的双方在发送通信消息时,都使用对方的公钥加密,并用各自的私钥对收到的消息解密,以判断通信用户的真实性。5 数字签名和数字水印 数字签名必须满足的条件:l 接收方可以验证发送方所宣称的身份。l 发送发以后不能否认数据是自己发出的。l 接收方不可能自己编造这样的数据。 数字签名是一个加密的数据摘要,附加在被签名数据单元后面,用来确认发送者的身份和数据单元的完整性。数字签名并不对数
12、据单元本身进行加密,仅仅是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。5.1 RSA数字签名5.2 DSS数字签名5.3 数字水印和数字防伪基于信息隐藏的数字水印技术为解决多媒体作品的版权保护和认证、来源认证、篡改认证、网上发行、用户跟踪和数字防伪等一系列问题提供了新的技术方向。数字水印是指永久镶嵌在其他数据(主要指宿主数据)中具有可鉴别性的数字信号和数字模式,其数据具有不可感知性、鲁棒性、可证明性、自恢复性、和安全保密性,且嵌入数据不会影响宿主数据的正常使用。【例题】2005年度下半年上午试卷下面关于数字签名的说法错误的是_(35)_。(35)A. 能够保证信息传输过程中的保密
13、性 B. 能够对发送者的身份进行认证 C. 如果接收者对报文进行了篡改,会被发现 D. 网络中的某一用户不能冒充另一用户作为发送者或接收者。6 密钥管理 密钥管理体制主要有三种:一是适用于封闭网的技术,以传统的密钥管理中心为代表的KMI机制;二是适用于开放网的PKI机制;另一种是适用于规模化专用网的SPK。PMI建立在KMI和PKI基础之上。6.1 KMI KMI提供统一的密钥管理服务,涉及密钥生成服务器、密钥数据库服务器和密钥服务管理器等组成部分。KMI已成为目前应用较广泛,研究较为热门的密钥管理技术。 KMI分为静态分发和动态分发,它们都基于秘密通道(物理通道)进行。6.2 PKIPKI(
14、Public Key Infrasturcture,公开密钥基础设施)是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务及所需的密钥和证书管理的体系。PKI就是利用公钥理论和技术建立的提供安全服务的措施。它由公开密钥密码技术、数字证书、CA和关于公开密钥的安全策略等基本成分共同组成的。一个典型、完整、有效的PKI应用系统应具有一下功能:l 证书的版本信息管理l 黑名单的发布和管理l 密钥的备份和恢复l 自动更新密钥l 自动管理历史密钥l 支持交叉认证PKI组成:l X.509格式的证书(X.509v3)和证书撤销列表CRL(X.509v2)l CA/RA操作协议l CA管理协议l CA政策制定一个典型、完整、有效的PKI应用系统应具有以下组成部分:CA认证中心:CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用层序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。X.500目录服务器:X.500目录服务器用户发布用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。具有高强度密码算法(SSL)的安全WWW服务器。(1)数字证书 数字证书(Di
