《网络信息安全知识点》由会员分享,可在线阅读,更多相关《网络信息安全知识点(12页珍藏版)》请在金锄头文库上搜索。
1、1.什么是信息安全为了防止未经授权就对知识、实事、数据或能力进行使用、滥用、修改、破坏、拒绝使用或使信息被非法系统辨识、控制而采取的措施。建立在网络基础之上的信息系统,其安全定位较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。 2.安全隐患 a) 硬件的安全隐患;b) 操作系统安全隐患;c) 网络协议的安全隐患;d) 数据库系统安全隐患;e) 计算机病毒;f) 管理疏漏,内部作案。3. 安全管理实施:风险评估、等级保护4. 信息安全技术典型地应该包括以下几个方面的内容:物理安全技术、系统安全技术 、
2、网络安全技术、应用安全技术 、数据加密技术 、认证授权技术 、控制技术 、扫描评估技术 、审计跟踪技术 、病毒防护技术 、备份恢复技术 、安全管理技术 5. 信息安全通常强调所谓CIA 三元组的目标,即*性、完整性和可用性。6.安全威胁:对安全的一种潜在的侵害。威胁的实施称为攻击。计算机系统安全面临的威胁主要表现在三类: 泄漏信息:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏,信息在存储介质中丢失或泄漏。破坏信息:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。 拒绝服务:它不
3、断对网络服务系统进行干扰,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 7.安全的体系结构物理层的安全:物理层信息安全,主要防止物理通路的损坏、窃听、干扰等。链路层的安全:链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。网络层的安全:网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。操作系统的安全:操作系统安全要求保证客户资料、操作系统控制的安全,同时能够对该操作系统上的应用进行审计。应用平台的安全:应用平台指建立在网络系统之上的应用软件服务,如数
4、据库服务器、电子服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。应用系统的安全:应用系统完成网络系统的最终目标为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。网络信息系统的安全体系包含:控制:通过对特定网段、服务建立的控制体系,将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行
5、动(如断开网络连接、记录攻击过程、跟踪攻击源等)。认证:良好的认证体系可防止攻击者假冒合法用户。备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。隐藏内部信息:使攻击者不能了解系统内的基本情况。设立安全监控中心:为信息系统提供安全体系管理、监控,救护及紧急情况服务。 第二章1.密码学是研究如何实现秘密通信的科学,包括密码编码学和密码分析学。密码编码学是对信息进行编码实现信息*性的科学。密码分析学是研究、分析、破译密码的科学。2. 加密算法的三个发展阶段:经典密码体制 对称密钥密码(即:单钥密码体制) 公
6、钥密钥密码(即:双钥密码体制)3.数据加密技术主要分为数据传输加密和数据存储加密。4.数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。5.数据加密算法经历了以下三个阶段。n 1)古典密码:包括代换加密、置换加密。n 2)对称密钥密码:包括DES和AES。n 3)公开密钥密码:包括RSA 、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal D_H等。6.计算机网络的加密技术密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。o 一般的数据加密可以在通信的三
7、个层次来实现:链路加密、节点加密和端到端加密。7密码学基本概念n 密文:明文经过密码变换后的消息。n 加密:由明文到密文的变换。n 解密:从密文恢复出明文的过程。n 破译:非法接收者试图从密文分析出明文的过程。n 加密算法:对明文进行加密时采用的一组规则。n 解密算法:对密文进行解密时采用的一组规则。n 密钥:加密和解密时使用的一组秘密信息。8.分组密码设计原理9.分组密码的一般结构一般有两种:Feistel网络结构 由Feistel发明,被DES采用SP网络结构1)可逆函数S,置换作用P,是一种重要的结构2)AES标准采用此结构10.Feistel 结构:每轮处理一半数据,加解密相似。SP
8、结构(替代置换网络): 每轮处理整个分组数据,加解密不相似。SP结构是Feistel结构的推广,结构更加清晰,S 一般称为混淆层,主要起混淆作用; P 一般称为扩散层,主要起扩散作用。11.DES的结构明文分组: 64 bit 密文分组: 64 bit密钥:64 bit,其中8bit为校验位,实际 56 bit轮数: 16 轮(圈)加密函数: 直接异或,8个 6-4 S盒。第三章1.散列函数(又称hash函数,杂凑函数)是将任意长度的输入消息M映射成一个固定长度散列值h的特殊函数:hH(M)其中M是变长的输入消息, hH(M)是定长的散列值(或称为消息摘要)。散列函数H是公开的,散列值在信源处
9、被附加在消息上,接收方通过重新计算散列值来确认消息未被篡改。由于函数本身公开,传送过程中对散列值需要另外的加密保护(如果没有对散列值的保护,篡改者可以在修改消息的同时修改散列值,从而使散列值的认证功能失效)2.散列函数要具有单向性,必须满足如下特性:n 给定M,很容易计算h;n 给定h,根据H(M)=h,反推M很难;n 给定M,要找到另一个消息M,并满足H(M)=H(M)是很难的。o 单向散死函数是从全体消息集合到一个肯有固定长度的消息摘要的变换。o 带密钥的哈希函数可用于认证、密钥共享、软件保护等方面。3.MD5 算法逻辑 输入:任意长度的消息;输出:128位消息摘要;处理:以512位输入数
10、据块为单位4.SHA-1 算法逻辑输入:最大长度为264位的消息;输出:160位消息摘要;处理:输入以512位数据块为单位处理第四章1.公钥密码与对称钥密码的比较:公钥密码:不需共享密钥;理论基础坚实;产生数字签名; 速度慢、密钥长. 对称钥密码:速度快,密钥短,可作为基本单元构建,各种密码工具如伪随机数产生器、Hash函数; 需要实现共享密钥、密钥管理困难;没有可证明安全性;公钥密码有效的数字签名和密钥管理;少量数据的加密; 公钥常用于加密对称密钥。这样的系统称为混合密码系统。 对称钥密码有效的大量数据加密和一些数据完整性应用。 2.公钥密码体制概念每个用户都有一对预先选定的密钥:一个是公钥
11、,以k1表示,另一个是私钥,以k2表示,公钥k1是公开的,任何人都可以得到,私钥是其拥有者自己保存。3.非对称密码算法原理非对称密钥密码,也称公开密钥密码,由Diffie, Hellman 1976年提出 使用两个密钥,对于密钥分配、数字签名、认证等有深远影响基于数学函数而不是代替和换位,密码学历史上唯一的一次真正的革命 每个通信实体有一对密钥(公钥,私钥)。公钥公开,用于加密和验证签名,私钥*,用作解密和签名4公钥密码系统的应用n 三种用途:加密/解密:数字签名:发送方用自己的私钥签署报文,接收方用对方的公钥验证对方的签名;密钥交换:双方协商会话密钥n 5.数字签名(digital sign
12、ature)是指利用数学方法及密码算法对电子文档进行防伪造或防篡改处理的技术。就象日常工作中在纸介质的文件上进行签名或按手印一样,它证明了纸介质上的内容是签名人认可过的,可以防伪造或篡改。n 6.数字签名的作用:保证信息完整性;提供信息发送者的身份认证。n 7.与传统签名的区别:需要将签名与消息绑定在一起。通常任何人都可验证。要考虑防止签名的复制、重用。n 8.数字签名(Digital Signature) 信息发送者使用公开密钥算法技术,产生别人无法伪造的一段数字串。n 9.发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可确定消息来自于谁,同时也是对发送者发送的
13、信息的真实性的一个证明。发送者对所发信息不能抵赖n 10.数字签名必须保证:可验证:签字是可以被确认的;防抵赖:发送者事后不承认发送报文并签名;防假冒:攻击者冒充发送者向收方发送文件;防篡改:收方对收到的文件进行篡改;防伪造:收方伪造对报文的签名。签名对安全、防伪、速度要求比加密更高。n 11.数字签名的特性n 签名是可信的:任何人都可以方便地验证签名的有效性。n 签名是不可伪造的:除了合法的签名者之外,任何其他人伪造其签名是困难的。这种困难性指实现时计算上是不可行的。n 签名是不可复制的:对一个消息的签名不能通过复制变为另一个消息的签名。如果一个消息的签名是从别处复制的,则任何人都可以发现消
14、息与签名之间的不一致性,从而可以拒绝签名的消息。通过增加时间戳实现。n 12.数字签名的过程:n 假设A要发送一个电子文件给B。 n 1系统初始化:选择签名所需的算法、参数n 2. 产生签名:A用其私钥加密文件并发送给B ;n 3签名验证:B用A的公钥解开A送来的文件 n 签名体制的构成:签名算法;验证算法n 13.签名与加密n 签名提供真实性(authentication) 先签名,后加密n 加密提供*性(confidentiality)先加密,后签名:n “签名+加密”提供“真实性+*性”n 14.认证与签名的区别 认证能验证消息来源及完整性,防范第三者; 签名在收发双方产生利害冲突时,解
15、决纠纷。第五章1.PKI (Pubic Key Infrastructure)的概念PKI是经过多年研究形成的一套完整的Internet安全解决方案。它用公钥技术和规范提供用于安全服务的具有普适性的基础设施。用户可利用PKI平台提供的服务进行安全通信。2.PKI系统由五个部分组成:认证中心CA,注册机构RA、证书库CR 、证书申请者、证书信任方。前三部分是PKI的核心,证书申请者和证书信任方则是利用PKI进行网上交易的参与者。3.什么是数字证书:一段包括用户身份信息、用户公钥信息以及身份验证机构数字签名的数据,一个经证书认证中心(CA)签名的包括公钥拥有者信息及公钥信息的文件4.数字证书的作用1)网络通信的*明,解决相互间信任问题2)用户公钥信息用户数据加密,保证数据*性、用户身份的不可抵赖性5.CA:n 一个值得信赖的公正的第三方机构,PKI的核心n 管理数字证书:证书签发(把用户的公钥和用户的其他信息捆绑在一起)等n 在网上验证用户的身份 :证书废除列表管理等6.RA:n CA的组成部分,实现CA功能的一部分n CA面向用户的窗口,接受用户申请、审核用户身份n 代表CA发放证书7.RS:n 管理所辖受理点的用户资料、受理用户证书业务、审
